Defender CSPM で API セキュリティ態勢を有効にする

Microsoft Defender for Cloud の Defender Cloud Security Posture Management (CSPM) プランでは、Azure API Management、Function Apps、Logic Apps 全体の API の完全なビューが提供されます。 構成の誤りや脆弱性を検出することで、API のセキュリティを向上します。 この記事では、Defender CSPM プランで API セキュリティ体制管理を有効にし、API のセキュリティを評価する方法について説明します。 Defender CSPM は、エージェントなしで API をオンボードし、リスクと機密データの公開を定期的にチェックします。 API 攻撃パス分析とセキュリティに関する推奨事項を通じて、優先順位付けされたリスクの分析情報と軽減策が提供されます。

前提条件

• API のセキュリティ体制の向上について説明します。
• Microsoft Azure サブスクリプションが必要です。 ない場合は、無料サブスクリプションにサインアップできます。
• Azure サブスクリプションで Defender for Cloud を有効にしてください。
• Azure サブスクリプションで Defender クラウド セキュリティ態勢管理 (CSPM) を有効にします。
• サブスクリプション所有者は、CSPM プランがすべての機能にアクセスできるようにする必要があります。
• 保護する API が Azure API Management、 Function Apps、または Logic Apps にデプロイされていることを確認します。

クラウドとリージョンのサポート

Defender CSPM 内の API セキュリティ体制管理は、次のリージョンの Azure 商用クラウドで利用できます。

• アジア (東南アジア、東アジア)
• オーストラリア (オーストラリア東部、オーストラリア南東部、オーストラリア中部、オーストラリア中部 2)
• ブラジル (ブラジル南部、ブラジル南東部)
• カナダ (カナダ中部、カナダ東部)
• ヨーロッパ (西ヨーロッパ、北ヨーロッパ)
• インド (インド中部、インド南部、インド西部)
• 日本 (東日本、西日本)
• 英国 (英国南部、英国西部)
• 米国 (米国東部、米国東部 2、米国西部、米国西部 2、米国西部 3、米国中部、米国中北部、米国中南部、米国中西部、米国東部 2 EUAP、米国中部 EUAP)

クラウド サポート マトリックスで、Defender for Cloud のプランと機能に関する最新のクラウド サポート情報をご確認ください。

API のサポート

API セキュリティ態勢管理の拡張機能を有効にする

1. Azure portal にサインインします。

2. 「Microsoft Defender for Cloud」を検索して選択します。

3. [環境設定] に移動します。

4. 対象範囲内にある、関連するサブスクリプションを選択します。

5. Defender CSPM プランに移動して、[設定] を選択します。

6. API セキュリティ体制管理を有効にします。

   

7. [保存] を選択します。

設定が正常に保存されたことを示す通知メッセージが表示されます。 有効にすると、API はオンボードを開始し、数時間以内に Defender for Cloud Inventory に表示されます。

API インベントリの表示

Defender CSPM プランにオンボードされた API は、API セキュリティ ダッシュボードの [ワークロード保護] と Microsoft Defender for Cloud の [インベントリ] に表示されます。

1. Defender for Cloud メニューの [クラウド セキュリティ] セクションに移動し、[高度なワークロード保護] の下にある [API セキュリティ] を選択します。

   

2. ダッシュボードには、オンボードされた API の数が、API コレクション、エンドポイント、Azure API Management サービス別に分類して表示されます。 これには、Defender for API のワークロード保護プランを使用した、脅威検出のセキュリティ カバレッジ用にオンボードされた API の概要が含まれています。

3. 態勢保護のために Defender CSPM プランにオンボードされている API を表示するには、フィルター Defender plan == Defender CSPM を適用します。

   

4. [API コレクションの詳細] ページにドリルダウンして、特定の API 操作に関するセキュリティの調査結果を確認します。 これらは、目的の API 操作を選択すると、サイド コンテキスト ウィンドウに表示されます。

   

API エンドポイントに関する詳細な調査結果

1. 機密情報の種類: API URL パス、クエリ パラメーター、要求本文、サポートされているデータ型に基づく応答本文で公開されている機密情報の詳細と、検出された情報の種類のソースを示します。

2. 追加情報: API 応答本文の場合、どの HTTP 応答コードに機密情報が含まれていたかを示します (2xx、3xx、4xx など)。

Microsoft Defender for Cloud Inventory エクスペリエンスの API インベントリと共に、API セキュリティ態勢の調査結果を確認します。

API のセキュリティに関する推奨事項を調査する

API エンドポイントは、認証の欠陥や非アクティブな API など、構成の誤りや脆弱性がないかどうかについて継続的に評価されます。 セキュリティに関する推奨事項は、関連するリスク要因 (外部への露出やデータの機密性のリスクなど) と共に生成されます。 セキュリティに関する推奨事項の重要性は、これらのリスク要因に基づいて計算されます。 リスクに基づいたセキュリティに関する推奨事項をご覧ください。

API のセキュリティ態勢に関する推奨事項を調査するには、次の手順を実行します。

1. Defender for Cloud のメイン メニューに移動し、[推奨事項] を選択します。
2. [タイトル別にグループ化] トグルを使用して、推奨事項を整理します。
3. フィルターを適用して、API 関連の推奨事項を絞り込みます。 リソースの種類 (API Management 操作や API エンドポイントなど) でフィルター処理するか、推奨事項名でフィルター処理して特定の API セキュリティの問題を対象にします。

API 関連の推奨事項の完全な一覧については、Defender for Cloud の推奨事項リファレンス ガイドの API セクション を参照してください。

API のリスクを調べ、攻撃パス分析を使用して修復する

クラウド セキュリティ エクスプローラーは、クラウド セキュリティ グラフを照会することで、クラウド環境にある潜在的なセキュリティ リスクの特定を支援します。

1. Azure portal にサインインします。

2. [Microsoft Defender for Cloud]>[Cloud Security Explorer] の順に移動します。

3. 組み込みのクエリ テンプレートを使用して、セキュリティの分析情報を備えた API をすばやく特定します。

   

4. または、クラウド セキュリティ エクスプローラーでカスタム クエリを作成して API リスクを見つけ、バックエンド コンピューティングまたはデータ ストアに接続されている API エンドポイントを確認します。 たとえば、リモート コードの脆弱性がある仮想マシンにトラフィックをルーティングする API エンドポイントを確認できます。

   

Defender for Cloud の攻撃パス分析は、クラウド アプリケーションと環境に直ちに脅威をもたらすセキュリティの問題に対処します。 API 主導の攻撃パスを特定して修復し、組織を深刻に脅かす可能性のある最も重大な API リスクに対処します。

1. Defender for Cloud メニューで、[攻撃パスの解析] に移動します。

2. リソースの種類 [API Management 操作] でフィルター処理して、API 関連の攻撃パスを調査します。

   

3. 対象範囲にある API エンドポイントのセキュリティに関する推奨事項を表示し、高リスクの攻撃面から API を保護するために推奨事項の内容を修復します。

   

API セキュリティ態勢の保護をオフボードする

Defender CSPM プランの一部である API を個別にオフボードすることはできません。 Defender CSPM プランからすべての API をオフボードする場合は、Defender CSPM プランの設定ページに移動し、API 態勢の拡張機能を無効にします。

関連するコンテンツ

• Defender for API ワークロード保護を使用して API の脅威を監視します。