Microsoft Defender for Key Vaultの有効化について
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、Azure CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、Microsoft Defender for Key Vaultの有効化について、リスクと対策を解説します。
ポリシーの説明
Microsoft Defender for Key Vaultは、Azure Key Vaultに対する包括的な脅威保護サービスです。機械学習と異常検出アルゴリズムを使用して、証明書、暗号化キー、シークレットへのアクセスをリアルタイムで監視し、異常なアクセスパターンや悪意のある操作を検出します。Key Vaultへの不審なアクセス試行、異常な大量アクセス、既知の悪意のあるIPアドレスからのアクセス、異常な時間帯のアクセスなどを自動的に検出し、セキュリティアラートを生成します。
修復方法
Azure Portalでの詳細な修復手順
手順1: Microsoft Defender for Cloudでの有効化
- Azure Portalにサインインし、検索バーで「Microsoft Defender for Cloud」を検索して開きます
- 左側のナビゲーションメニューから「管理」セクションの「環境設定」をクリックします
- サブスクリプション階層を展開し、対象のサブスクリプション名をクリックします
- 「Defender プラン」タブを選択します
- 「クラウドワークロード保護(CWP)」セクションで「Key Vault」の行を探します
- 現在の状態が「オフ」の場合、トグルスイッチをクリックして「オン」に変更します
- プラン設定で以下を確認します:
- 月額料金:$0.02/トランザクション10,000件(最初の30日間は無料試用)
- 保護対象:サブスクリプション内のすべてのKey Vaultインスタンス(新規作成分も自動的に保護対象)
- 「保存」ボタンをクリックして設定を適用します
手順2: Key Vault個別設定と監視
- Azure Portalで「Key Vault」サービスを検索して開きます
- 保護対象のKey Vaultを選択します
- 左側メニューの「セキュリティ」セクションから「Microsoft Defender for Cloud」をクリックします
- 以下の項目を確認・設定します:
- 保護ステータス:「保護済み」
- セキュリティスコア:80%以上を維持
- アクティブな推奨事項:すべて対処
- 「推奨事項」タブで優先度の高い項目から対処します
手順3: 高度なアラート設定
- Microsoft Defender for Cloudに戻り、「セキュリティアラート」を選択します
- 「ワークフロー自動化」をクリックし、新規作成します
- 以下のトリガー条件を設定:
- スコープ:対象のKey Vault
- 条件:Defender for Key Vaultアラート
- 重要度:中以上
- アクションを設定:
- Logic Appを作成してインシデント管理システムと連携
- Teams/Slackへの通知
- 自動的なKey Vaultアクセスの一時停止
手順4: 診断ログとSIEM統合
- Key Vaultリソースページで「診断設定」をクリックします
- 「診断設定を追加する」を選択します
- 以下のログカテゴリをすべて有効化:
- AuditEvent(監査イベント)
- AzurePolicyEvaluationDetails(ポリシー評価)
- AllMetrics(すべてのメトリクス)
- 送信先を複数選択(冗長性確保):
- Log Analytics ワークスペース(リアルタイム分析用)
- ストレージアカウント(長期保管用、イミュータブル設定)
- Event Hub(SIEM連携用)
最後に
この記事では、Microsoft Defender for Key Vaultの有効化について、詳細なリスク分析と複数の実装方法を解説しました。
この問題の検出は弊社が提供するSecurifyのCSPM機能で自動的に検出し、継続的に管理することが可能です。 運用負荷を大幅に削減できる製品となっていますので、ご興味がある方はお問い合わせをお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんのクラウドセキュリティ強化に役立てば幸いです。