この記事は、Microsoft Defender for Cloud の新機能についてまとめています。 プレビューまたは一般公開 (GA) の新機能、機能更新プログラム、今後の機能プラン、非推奨の機能に関する情報が含まれています。
このページは、Defender for Cloud の最新の更新プログラムと共に頻繁に更新されます。
セキュリティに関する推奨事項とアラートに関する最新情報については、「 推奨事項とアラートの新機能」を参照してください。
6 か月より前のアイテムをお探しの場合は、 新着情報アーカイブで見つけることができます。
ヒント
ご自身のフィード リーダーに次の URL をコピーして貼り付けることで、このページの更新時に通知を受け取ることができます。
https://aka.ms/mdc/rss
2025 年 12 月
| 日付 | カテゴリ | 更新する |
|---|---|---|
| 2025 年 12 月 17 日 | プレビュー | AWS CloudTrail インジェスト (プレビュー) |
| 2025 年 12 月 2 日 | 今後の変更 | CIEM レコメンデーション ロジックの更新 |
| 2025 年 12 月 1 日 | GA | Endor Labs 連携の正式リリース |
| 2025 年 12 月 1 日 | プレビュー | クラウドポスチャ管理により、Azure と AWS のサーバーレス保護が追加される (プレビュー) |
AWS CloudTrail インジェスト (プレビュー)
2025 年 12 月 17 日
AWS CloudTrail 管理イベントインジェストは、Microsoft Defender for Cloud でプレビューで利用できるようになりました。
有効にすると、AWS CloudTrail インジェストは、観察された AWS 管理イベントアクティビティと、Access Advisor データなどの既存のエンタイトルメントシグナルを組み込むことにより、クラウドインフラストラクチャエンタイトルメント管理 (CIEM) を強化します。 追加の使用コンテキストは、未使用のアクセス許可、休止中の ID、潜在的な特権エスカレーション パスの識別など、AWS のセキュリティに関する推奨事項の精度を高めるのに役立ちます。
CloudTrail インジェストは、一元的なログ記録を使用する単一の AWS アカウントと AWS 組織でサポートされています。
AWS CloudTrail ログと Microsoft Defender for Cloud (プレビュー) の統合の詳細について説明します。
CIEM レコメンデーション ロジックの今後の変更
2025 年 12 月 2 日
Microsoft Entra Permissions Management 機能の継続的な非推奨化の一環として、Microsoft Defender for Cloud では、Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) 全体でクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) レコメンデーション ロジックが更新されています。 この更新プログラムにより、精度が向上し、ノイズが軽減され、非アクティブな ID と過剰なアクセス許可ロールの評価方法が変更されます。
CIEM の主な変更
- 非アクティブな ID 検出では、サインイン アクティビティではなく、未使用のロールの割り当てが使用されるようになりました。
- ルックバック ウィンドウが 90 日 (以前は 45 日) に拡張されました。
- 過去 90 日以内に作成された ID は非アクティブとして評価されません。
クラウド固有の要件
| 雲 | 変更 |
|---|---|
| 紺碧 | 非アクティブな ID の推奨事項に、忠実性を向上させるために読み取りレベルのアクセス許可の評価が含まれるようになりました。 |
| AWS | - CIEM 評価は、アクセス許可を確実に評価できるすべての AWS ユーザーとロールに適用されるようになりました。 - SAML と SSO の ID では、Defender CSPM プラン内で AWS CloudTrail ログ (プレビュー) を有効にする必要があります。 - サーバーレス ID とコンピューティング ID は CIEM の非アクティブ ロジックに含まれなくなり、推奨事項の数が変更される可能性があります。 |
| GCP | CIEM 評価では、Defender CSPM プラン内で クラウド ログ インジェスト (プレビュー) を有効にする必要があります。 |
Permissions Creep Index (PCI) メトリックは非推奨となり、Defender for Cloud の推奨事項には表示されなくなります。 PCI は、改善されたアクティビティ ベースの CIEM ロジックに置き換えられ、より明確なガイダンスと一貫性のある ID リスク分析情報が提供されます。
Defender for Cloud でのアクセス許可管理の詳細について説明します。
Endor Labs 統合の一般提供
2025 年 12 月 1 日
Defender for Cloud と Endor ラボの統合が一般公開されました。
Defender for Cloud と Endor Labs の統合により、到達可能性ベースのソフトウェア構成分析 (SCA) を使用して脆弱性分析が強化され、コードからランタイムへの悪用可能な脆弱性が示されます。
Endor Labs の統合の詳細を確認します。
クラウドポスチャ管理により、Azure と AWS のサーバーレス保護が追加される (プレビュー)
2025 年 12 月 1 日
Defender for Cloud は、Defender Cloud Security Posture Management (CSPM) プランの機能を、Azure portal と Defender ポータルの両方で Azure および Amazon Web Service (AWS) (プレビュー) のサーバーレス ワークロードに拡張します。
現在、使用可能な機能はポータルによって異なります。 次の表に、各ポータルで使用できる機能を示します。
| 特徴 | Defender for Cloud ポータル | Defender ポータル |
|---|---|---|
| Defender CSPM プランを使用した導入 | 
|
|
| 構成ミスに関する推奨事項を確認する |
|
|
| クラウド セキュリティ エクスプローラーを使用してクエリを作成する |
|
|
| Cloud Inventory のワークロードを調べる |
|
|
| 攻撃パスを調査する |
|
|
| 脆弱性評価 | - |
|
このリリースでは、次の自動検出とセキュリティ体制の評価が導入されています。
- Azure Functions
- Azure Web Apps
- AWS Lambda 関数
セキュリティ チームは、一元化されたインベントリ内のすべてのサーバーレス リソースを表示し、構成ミス、脆弱性、および安全でない依存関係を特定できます。
サーバーレス保護について詳しくは、こちらをご覧ください。
2025 年 11 月
GitHub Advanced Security (GHAS) と Microsoft Defender for Cloud Native の統合
2025 年 11 月 26 日
Microsoft Defender for Cloud (MDC) と GitHub Advanced Security (GHAS) のネイティブ統合のパブリック プレビューを発表します。
この統合により、組織はコードをクラウドにセキュリティで保護し、ソフトウェア ポートフォリオのセキュリティの問題を迅速に解決できます。 GitHub Advanced Security のセキュリティ キャンペーンからのエージェントによる修復と、Microsoft Defender for Cloud のランタイム コンテキストに基づく脆弱性の優先順位付けを伴う自動修正エージェントを使用します。 その結果、気が散る作業が減り、修正が速くなり、コラボレーションが向上し、コードがクラウドに対してセキュリティで保護されます。
この統合により 、コードとランタイムのセキュリティが接続され、開発者チームとセキュリティ チームが既存のワークフローでシームレスに共同作業できるようになります。
主なハイライト
ネイティブ統合
MDC ランタイム コンテキストが GitHub Advanced Security ダッシュボードに直接表示されるようになりました。
開発者は、コード スキャン アラートと共に実行時のリスク要因 (インターネットへの公開、機密データなど) を表示できます
AIによる改善
Copilot Autofix と GitHub Copilot コーディング エージェントは、脆弱性に対して検証済みの修正プログラムを提供します。
複数修正マージ機能を使用すると、修正プログラムを 1 つの PR にバンドルして効率を高めます。
セキュリティ キャンペーン
セキュリティ管理者は、MDC から GitHub Security Campaigns をトリガーして、優先順位付けされた問題に関する開発者チームを参加させることができます。
キャンペーンでは、ランタイム コンテキストを利用して悪用可能な脆弱性に重点を置き、アラートの疲労を軽減します。
統合されたコードからクラウドへの可視性
ソース コードからデプロイされたワークロードへの完全な追跡可能性を持つリンクされた成果物。
構成証明と展開のレコードは、MDC API を介して自動的に入力されます。
特典
重要な事項に優先順位を付ける
- アラートは、理論上のリスクではなく、実際の実行時の公開に基づいてランク付けされます。
修正プログラムの高速化
- AI による修復により、修復サイクルが数日から数時間に短縮されます。
ツールの乱立を抑える
- 開発者は GitHub に留まる。セキュリティ チームは Azure に残ります。コンテキストの切り替えはありません。
作業を開始する方法
Defender for Cloud ポータルを使用して統合を有効にし、GitHub 組織をリンクします。
対象となるキャンペーンの GHAS でランタイム リスク フィルターを構成します。
GHAS の概要の詳細なガイダンスを確認します。
Kubernetes のゲート付きデプロイメント (GA)
2025 年 11 月 26 日
Microsoft Defender for Containers での Kubernetes によるゲートデプロイが一般公開されました。 この機能は、Kubernetes アドミッション制御を使用して、デプロイ時にコンテナー イメージのセキュリティを適用します。
主な機能
- Kubernetes クラスターのアドミッション制御: 組織のセキュリティ規則に違反するコンテナー イメージのデプロイをブロックまたは監査します。
- セキュリティ規則フレームワーク: 脆弱性評価の結果に基づいて、AKS、EKS、および GKE クラスターのカスタム規則を定義します。
-
監査モードと拒否モード:
- 監査: デプロイがセキュリティ規則に違反したときに推奨事項を生成します
- 拒否: 準拠していないイメージがデプロイされないようにします
- マルチクラウド サポート: Azure Container Registry (ACR)、Amazon Elastic Container Registry (ECR)、および Google Artifact Registry と連携します。
- 統合された監視: Defender for Cloud ポータルで、受付監視と違反の詳細を表示します。
GA の機能強化
- Defender for Cloud ポータルでのセットアップ エクスペリエンスの合理化
- 既定の監査規則を有効にして導入プロセスを高速化する
- 特定の名前空間またはワークロードのスコープ除外管理
- アドミッション決定の待機時間を短縮したパフォーマンスの最適化
- トラブルシューティングと開発者エクスペリエンスの強化されたドキュメント
Kubernetes コンテナー イメージのゲートデプロイの詳細、ゲートデプロイを有効にする方法、およびゲートデプロイに関する FAQ について説明します。
Defender for Cloud の Defender ポータルへの統合 (プレビュー)
2025 年 11 月 25 日
Microsoft Defender for Cloud (MDC) は、Defender ポータルと、より広範な Microsoft セキュリティ エコシステムの一部に深く統合されました。 脅威の防止が既に Defender ポータルに深く埋め込まれているので、この統合によって体制管理が追加され、1 つの統合されたエクスペリエンスで完全なクラウド セキュリティ ソリューションが統合されます。 このネイティブ統合によりサイロが排除されるため、セキュリティ チームは、すべてのクラウド、ハイブリッド、およびコード環境の脅威を 1 か所から見て対処できます。
この統合により、セキュリティ ペルソナに新しい価値と利点がもたらされます。
統合されたクラウド セキュリティ エクスペリエンス – クラウド セキュリティは、security.microsoft.com の Microsoft Defender ポータルに完全に統合され、セキュリティ チームはすべてのワークロードにわたって 1 つの統一されたビューを提供するようになりました。 この統合により、ツールとポータルを切り替える必要がなくなり、SOC チームはワークロード間で完全なセキュリティ体制の可視性を使用して、より効率的に作業できるようになります。 新しいクラウドに依存しない統合では、Azure、AWS、GCP、およびその他のプラットフォームが 1 つのインターフェイスでサポートされるため、包括的な露出管理を求めるハイブリッドおよびマルチクラウド組織にも最適です。 詳しくは、次の情報をご参照ください。
クラウド ダッシュボード - 新しいクラウド セキュリティ ダッシュボードは、体制管理と脅威保護の両方を一元化し、セキュリティ ペルソナに環境の概要を提供します。 リスク軽減のための主要な改善アクションを強調表示し、ワークロード固有のビューにセキュリティの分析情報を含めています。また、セキュリティの進行状況を時間の経過と共に追跡するためのツールもすぐに利用可能です。 統合されたダッシュボードは、Azure、AWS、GCP 環境全体のセキュリティ体制、Defender カバレッジ、クラウド資産、正常性データ、露出分析情報を統合します。 詳細については、「 クラウドの概要ダッシュボード」を参照してください。
クラウド資産インベントリ – Azure、AWS、GCP 全体のクラウド資産とコード資産の包括的なビューを提供する一元化されたインベントリ。 資産は、統合された正常性データ、デバイス アクション、リスクシグナルを使用して、ワークロード、重要度、カバレッジごとに分類されます。 情報セキュリティチームと SOC チームは、リソース固有のビュー、露出マップ、メタデータに簡単にアクセスして、セキュリティに関する推奨事項に対処し、脅威に迅速に対応できます。 詳細については、「 資産インベントリ」を参照してください。
統合されたクラウド セキュリティ体制機能 – Microsoft は、すべてのクラウド セキュリティ体制管理 (CSPM) 機能を Microsoft Security Exposure Management (MSEM) に統合しています。 セキュリティ ペルソナは、セキュリティ スコア、優先順位付けされた推奨事項、攻撃パス、脆弱性を 1 つのウィンドウで表示できるようになりました。これにより、リスクを軽減し、デバイス、ID、SaaS アプリ、データなど、すべての姿勢をエンドツーエンドで包括的に把握できます。 詳細については、「 Microsoft セキュリティ露出管理の新機能」を参照してください。
詳細なアクセス管理 – セキュリティ チームは、セキュリティ コンテンツへのターゲット アクセスを提供できるようになりました。そのため、関連するユーザーのみが必要な情報を表示できます。 このアクセス モデルを使用すると、ユーザーは直接リソースのアクセス許可なしでセキュリティの分析情報を表示でき、運用上のセキュリティとコンプライアンスが強化されます。 新しいクラウド スコープ機能を使用すると、Azure サブスクリプション、AWS アカウント、GCP プロジェクトなどのクラウド アカウントを論理グループに編成して、データのピボットと RBAC を向上させ、ダッシュボードとワークフロー全体で永続的なフィルター処理を行うことで、ビジネス ユニット、リージョン、またはワークロードごとのセグメント化をサポートできます。 詳細については、「 クラウド スコープと統合 RBAC」を参照してください。
セキュリティに関する推奨事項の新しいモデリング
セキュリティに関する推奨事項では、各結果が独自の推奨事項として表示される統合モデルが使用されるようになりました。 以前は、いくつかの推奨事項で複数の結果 (たとえば 、"脆弱性を解決する必要があります" ) がグループ化され、優先順位付けとガバナンスが困難になりました。
この変更により、次の情報が得られます。
- 個々の影響に基づくよりスマートな優先順位付け
- ガバナンス - ガバナンス、推奨事項、および除外機能のより詳細な使用方法
- 各結果が個別にカウントされるため、より正確なスコアリング
Defender ポータルでは、新しいモデルのみが使用できます。 Azure portal では、新しいエクスペリエンスは現在のモデルと共にプレビュー段階にあります。 この統合アプローチにより、集計された推奨事項を異なる方法で扱う必要がなくなります。他のすべての推奨事項と同様に、通常の推奨事項になりました。 詳細については、「 セキュリティに関する推奨事項」を参照してください。
リスクベースのクラウド セキュリティ スコア - 新しいクラウド セキュリティ スコアには、クラウド セキュリティ体制を客観的に評価および監視できる新しいスコア式が導入されています。 クラウド セキュア スコアは、資産のリスク要因と資産の重要度に基づいてスコアをより正確にし、高リスク レベルの推奨事項のよりスマートな優先順位付けを可能にします。 新しいクラウド セキュリティ スコアは、Defender ポータルでのみ使用できます。 クラシック セキュア スコアは、Azure portal で引き続き使用できます。 詳細については、「 クラウド セキュリティ スコア」を参照してください。
詳細については、Defender ポータルの「Defender for Cloud」を参照してください。
ドキュメントの更新
2025 年 11 月 25 日
Microsoft Defender for Cloud ドキュメントの大幅な改良が開始され、構造の合理化、古いコンテンツの削除、Defender ポータルへの統合のための新しい資料の追加が行われます。
ハイライト:
- 簡略化されたナビゲーション: 顧客からのフィードバックに基づく統一された目次。
- 混合モードエクスペリエンス: Azure ポータルと Defender ポータルの両方に関する記事と、記事の上部にエントリ ポイントが含まれています。
- 新しい Defender ポータル セクション: 最新の機能強化、オプトイン ガイダンス、既知の制限事項が記載されています。
環境内の Azure AI Foundry エージェントを検出する (プレビュー)
2025 年 11 月 25 日
Defender for Cloud を使用して、環境内の Azure AI Foundry エージェントを検出できるようになりました。 この新しいプレビュー機能は、リソース全体にデプロイされた AI Foundry エージェントを特定して監視し、セキュリティ体制とリスクに関する分析情報を提供するのに役立ちます。
AI セキュリティ体制管理の詳細を確認します。
GCP Vertex AI での AI セキュリティ体制管理の一般公開
2025 年 11 月 25 日
Defender for Cloud では、GCP Vertex AI の AI セキュリティ体制管理の一般提供が発表されています。 この新機能は、継続的な監視、リスク評価、実行可能な推奨事項を提供することで、GCP 上の AI ワークロードをセキュリティで保護するのに役立ちます。
AI セキュリティ体制管理の詳細を確認します。
攻撃パス分析ロジックの更新
2025 年 11 月 24 日
プレーン テキスト キーによる横移動を伴う攻撃パスは、ソース リソースとターゲット リソースの両方が Defender CSPM によって保護されている場合に生成されます。 この変更により、表示される攻撃パスの数が減少する可能性があります。
包括的な攻撃パス分析を維持するには、すべてのクラウド環境で Defender CSPM プランが有効になっていることを確認します。
攻撃パスの分析と Defender CSPM を有効にする方法の詳細を確認する
CSPM マルチクラウド ネットワーク要件の更新
2025 年 11 月 24 日 変更予定日: 2025 年 12 月
2025 年 12 月、Defender for Cloud では、改善に対応し、すべてのユーザーに対してより効率的なエクスペリエンスを確保するために、マルチクラウド探索サービスに IP アドレスを追加しています。
サービスからのアクセスを中断しないように、IP 許可リストを 新しい範囲で更新する必要があります。
ファイアウォールの設定、セキュリティ グループ、またはお使いの環境に当てはまる可能性のあるその他の構成で、必要な調整を行う必要があります。 このリストは、CSPM の基本 (無料) オファリングの全機能に十分対応しています。
クラウド セキュリティ体制管理 (CSPM) の詳細を確認します。
攻撃パスに Microsoft Entra OAuth アプリケーションの侵害が含まれるようになりました
2025 年 11 月 20 日
攻撃パスは、悪いアクターが侵害された Microsoft Entra OAuth アプリケーションを使用して環境間を移動し、重要なリソースに到達する方法を示すようになりました。 このリリースは、セキュリティ チームが特権を超える ID と脆弱な OAuth アプリケーションを特定し、可視性を向上させ、修復を高速化するのに役立ちます。
攻撃パスを管理する方法の詳細を確認します。
パイプライン内コンテナーの脆弱性スキャン (プレビュー)
2025 年 11 月 19 日
Defender for DevOps Security のパイプライン内コンテナーの脆弱性スキャンが、Defender for Cloud CLI を通じてプレビューで利用できるようになりました。
CI/CD ワークフロー内でビルドされたコンテナー イメージを直接スキャンすると、レジストリにプッシュまたはデプロイされる前にリアルタイムのフィードバックが提供されます。 この機能は、以前に脆弱性を検出し、修復を高速化し、DevOps プラクティスに合わせてセキュリティ ゲートを調整するのに役立ちます。
Defender for Cloud CLI の詳細を確認します。
AKS ランタイム コンテナーのエージェントレス脆弱性評価の一般提供
2025 年 11 月 19 日
Defender for Containers と Defender for Cloud Security Posture Management (CSPM) プランに、AKS ランタイム コンテナーのエージェントレス脆弱性評価が含まれるようになりました。 この更新プログラムは、脆弱性評価の対象範囲を、サポートされているレジストリだけでなく、任意のコンテナー レジストリのイメージを使用する実行中のコンテナーに拡張します。 また、AKS クラスターで実行されている Kubernetes アドオンとサード パーティ製ツールのスキャンも続行されます。
この機能を有効にするには、Defender for Cloud 環境設定でサブスクリプションの エージェントレス マシン スキャン が有効になっていることを確認します。
Defender for Cloud でのコンテナーの脆弱性スキャンの詳細について説明します。
API 検出の高度なセキュリティ体制 (プレビュー)
2025 年 11 月 18 日
Microsoft Defender for Cloud API セキュリティ体制管理では、Azure Functions や Logic Apps で検出された API など、環境全体でインターネットに公開されている認証されていない API と API が自動的に識別されるようになりました。
このリリースでは、以前にリスクの高い API エンドポイントを明らかにし、新しいポスチャ分析情報とリスク要因を使用して API リスクに優先順位を付け、セキュリティ エクスプローラーを使用して環境全体で検出された API リスクを表示および分析できます。
Defender for Cloud での API セキュリティ体制管理の詳細について説明します。
Defender for Cloud の Microsoft Cloud セキュリティ ベンチマーク v2 (プレビュー)
2025 年 11 月 17 日
Defender for Cloud では、Microsoft Cloud Security Benchmark (MCSB) コンプライアンス標準 v2 がプレビュー段階で発表されています。
MCSB は、影響の大きいセキュリティ制御と推奨事項のコレクションを提供し、単一およびマルチクラウド環境でクラウド サービスをセキュリティで保護するのに役立ちます。 MCSB v2 では、拡張されたリスクと脅威ベースのガイダンス、拡張された Azure Policy 測定、AI ワークロードをセキュリティで保護するための制御が追加されています。 規制コンプライアンス ダッシュボードを使用すると、MCSB v2 コントロールに対してリソースを評価し、クラウド環境全体のコンプライアンス体制を追跡できます。
Defender for Cloud の Microsoft クラウド セキュリティ ベンチマークの詳細について説明します。
ポッドアクセスの応答アクションを制限する (プレビュー)
2025 年 11 月 12 日
Defender for Containers に新しいポッド アクセスの制限応答アクションが含まれるようになりました。これは、Microsoft Defender XDR でプレビュー段階で利用できます。
このアクションにより、横移動または特権エスカレーションを有効にする可能性がある Kubernetes ポッド内の機密性の高いインターフェイスがブロックされます。 このコントロールを使用すると、潜在的な侵害を含め、クラスター環境内の露出を減らすことができます。
Defender XDR でのポッド アクセスの制限の詳細について説明します。
コンテナー イメージの継続的な脆弱性再スキャン ポリシーの更新
2025 年 11 月 10 日
Microsoft Defender for Cloud は、コンテナー イメージの継続的脆弱性再スキャン ポリシーを一時的に更新しました。
コンテナー レジストリに格納されているイメージは、プッシュ時にスキャンされ、定期的に再スキャンされ、up-to-date 脆弱性評価が維持されます。 この一時的な更新により、過去 30 日以内にイメージがレジストリにプッシュまたはプルされた場合、イメージは毎日再スキャンされるようになりました。
この変更により、以前の 90 日間の再スキャン期間が 30 日に短縮され、アクティブに使用されるイメージの最新の脆弱性データが確保されます。 30 日より前の画像の脆弱性情報は、以前のスキャンから引き続き使用できますが、更新は行われません。
Defender for Cloud でのコンテナーの脆弱性スキャンの詳細について説明します。
Jfrog Artifactory と Docker Hub コンテナー レジストリのサポートの一般提供
2025 年 11 月 3 日
Microsoft Defender for Containers および Defender CSPM での Jfrog Artifactory (クラウド) と Docker Hub コンテナー レジストリのサポートの一般提供についてお知らせします。
このリリースでは、Microsoft Defender for Containers の対象範囲が外部レジストリに拡張され、Microsoft Defender 脆弱性管理 (MDVM) を使用して、組織の JFrog Artifactory (Cloud) および Docker Hub アカウントに格納されているコンテナー イメージの脆弱性スキャンが可能になります。 この機能強化は、以前に脆弱性を検出し、クラウド のセキュリティ体制を強化するのに役立ちます。
Jfrog Artifactory (Cloud) のエージェントレス脆弱性評価と Docker Hub のエージェントレス脆弱性評価の詳細について説明します。
注
Defender for Containers および Defender CSPM による Jfrog Artifactory (クラウド) とコンテナー レジストリのサポートの課金は 、2025 年 12 月 2 日に開始されます。 詳細については、Microsoft Defender for Cloud の価格に関するページを参照してください。
コンプライアンス フレームワークの一般提供
2025 年 11 月 3 日
以前はプレビューで利用可能だった次の規制コンプライアンス標準が、Microsoft Defender for Cloud で一般提供されるようになりました。
| Standard | 雲 |
|---|---|
| APRA CPS 234 2019 | Azure、AWS |
| Australian Government ISM PROTECTED | 紺碧 |
| オーストラリア政府情報セキュリティマニュアル 12.2023 | AWS、GCP |
| AWS Foundational Security ベスト プラクティス | AWS |
| AWS Well-Architected フレームワーク 2024 | AWS |
| ブラジル一般データ保護法 (LGPD) 2018 | Azure、AWS、GCP |
| カリフォルニア州消費者プライバシー法 (CCPA) | AWS、GCP |
| カナダ連邦 PBMM 3.2020 | Azure、AWS、GCP |
| CIS Amazon Elastic Kubernetes Service (EKS) ベンチマーク | AWS |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | 紺碧 |
| CIS Azure Kubernetes Service (AKS) ベンチマーク | 紺碧 |
| CIS コントロール v8.1 | Azure、AWS、GCP |
| CIS GCP Foundations v3.0 | GCP |
| CIS Google Cloud Platform基盤ベンチマーク | GCP |
| CIS Google Kubernetes Engine (GKE) ベンチマーク | GCP |
| CRI プロファイル | AWS、GCP |
| 刑事司法情報サービス セキュリティ ポリシー v5.9.5 | Azure、AWS、GCP |
| CSA クラウド コントロール マトリックス v4.0.12 | Azure、AWS、GCP |
| Cyber Essentials v3.1 | Azure、AWS、GCP |
| サイバーセキュリティ成熟度モデル認定 (CMMC) レベル 2 v2.0 | Azure、AWS、GCP |
| EU 2022/2555 (NIS2) 2022 | Azure、AWS、GCP |
| EU 一般データ保護規則 (GDPR) 2016/679 | Azure、AWS、GCP |
| FedRAMP "H" と "M" | 紺碧 |
| FedRAMP High ベースライン Rev5 | AWS、GCP |
| FedRAMP Moderate ベースライン Rev5 | AWS、GCP |
| FFIEC CAT 2017 | Azure、AWS、GCP |
| HIPAA | 紺碧 |
| HITRUST CSF v11.3.0 | Azure、AWS、GCP |
| ISO/IEC 27001:2022 | Azure、AWS、GCP |
| ISO/IEC 27002:2022 | Azure、AWS、GCP |
| ISO/IEC 27017:2015 | Azure、AWS、GCP |
| NCSC サイバー アシュアランス フレームワーク (CAF) v3.2 | Azure、AWS、GCP |
| NIST 800-171 Rev 3 | Azure、AWS、GCP |
| NIST CSF v2.0 | Azure、AWS、GCP |
| NIST SP 800-53 R5 | AWS |
| NIST SP 800-53 R5.1.1 | Azure、AWS、GCP |
| NIST SP 800-172 2021 | AWS、GCP |
| NZISM v3.7 | Azure、AWS、GCP |
| PCI DSS 3.2.1 | GCP |
| PCI DSS v4.0.1 | Azure、AWS、GCP |
| RMIT マレーシア | 紺碧 |
| サーベンス-オックスリー法 2022 (SOX) | Azure、AWS、GCP |
| SOC 2023 | Azure、AWS、GCP |
| SOC 2 | Azure、GCP |
| スペイン語 ENS | 紺碧 |
| SWIFT カスタマーセキュリティコントロールフレームワーク 2024 | Azure、AWS、GCP |
| SWIFT CSP-CSCF v2020 | 紺碧 |
| UK OFFICIAL および UK NHS | 紺碧 |
| インド準備銀行 - NBFCのためのITフレームワーク | 紺碧 |
| サイバーセキュリティ成熟度モデル認定 (CMMC) レベル 3 | Azure、AWS、GCP |
| ISO/IEC 27018:2019 | Azure、AWS、GCP |
| ISO/IEC 27019:2020 | Azure、AWS、GCP |
| NIST SP 800-53 R6 | Azure、AWS、GCP |
| NIST SP 800-82 R3 | Azure、AWS、GCP |
| NIST AI リスク管理フレームワーク (AI RMF 1.0) | Azure、AWS、GCP |
| 米国エグゼクティブ オーダー 14028 | Azure、AWS、GCP |
| シンガポール MTCS SS 584:2015 | Azure、AWS、GCP |
| タイ PDPA 2019 | Azure、AWS、GCP |
| 日本の ISMAP | Azure、AWS、GCP |
Microsoft Defender for Cloud の規制コンプライアンス標準の詳細について説明します。
2025 年 10 月
| 日付 | カテゴリ | 更新する |
|---|---|---|
| 2025 年 10 月 31 日 | パブリック プレビュー | GCP クラウド ログ インジェスト (プレビュー) |
| 2025 年 10 月 23 日 | 今後のバージョンでの使用 | Microsoft Defender for Containers の送信規則を更新する |
| 2025 年 10 月 23 日 | 更新する | GitHub アプリケーションのアクセス許可の更新 |
GCP クラウド ログ インジェスト (プレビュー)
2025 年 10 月 31 日
GCP クラウド ログ インジェストがプレビューで利用できるようになりました。これにより、Google Cloud 環境全体で CIEM の分析情報とアクセス許可の使用状況の可視性が向上します。
接続された GCP 環境に対して継続的な CIEM 推奨事項を維持するには、新規または既存の Pub/Sub サブスクリプションを使用してクラウド ログインジェストを有効にします。
GCP クラウド ロギングを使用した取り込みの詳細を学びます。
非推奨の通知: Microsoft Defender for Containers の送信規則を更新する
Microsoft Defender for Containers では、Defender センサーの送信ネットワーク要件が更新されました。 適切な機能を維持するには、送信規則を更新する必要があります。
この変更は、Microsoft Defender for Containers を使用するすべてのサブスクリプションに影響します。 Defender センサーを使用していない場合は、アクションは必要ありません。
以降、Defender for Containers センサーには、次の完全修飾ドメイン名 (FQDN) とポートへの送信トラフィックが必要です。
*.cloud.defender.microsoft.com (HTTPS: ポート 443)
推奨アクション
プロキシやファイアウォールなどの送信制限方法で、許可されたトラフィックに新しい FQDN とポートを追加します。
クラスターからのエグレス トラフィックをブロックしない場合は、アクションは必要ありません。
Microsoft Defender for Containers エンドポイントへの接続を確認するには、接続テスト スクリプトを実行して、クラスターからのネットワーク アクセシビリティを確認します。
期限
サービスの中断を回避するには、2026 年 9 月 30 日までに GKE と EKS の必要な更新を完了します。 必要に応じてアクションが実行されない場合、Defender for Containers センサーは期待どおりに機能しません。
GitHub アプリケーションのアクセス許可の更新
2025 年 10 月 23 日
Defender for Cloud は、新しいアクセス許可 ( artifact_metadata:write) を要求するために GitHub コネクタを更新しています。 これにより、 成果物の構成証明 をサポートする新機能が可能になります。検証可能なビルドの実績を提供し、ソフトウェアサプライ チェーンのセキュリティを強化します。
アクセス許可のスコープは狭く、最小限の特権の原則に合わせて調整され、セキュリティ承認の高速化と容易化がサポートされます。
新しいアクセス許可を承認する方法:
GitHub の設定を使用して: GitHub 組織で、 GitHub Apps > 設定に移動し、 Microsoft Security DevOps アプリケーションを選択して、保留中のアクセス許可要求を承認します。
電子メール (組織の所有者向け):GitHub は、"Microsoft Security DevOps のアクセス許可要求を確認する" という件名の自動メールを組織の所有者に送信します。 [ アクセス許可要求の確認 ] を選択して、変更を承認または拒否します。
メールが届かなかった場合 GitHub 組織の所有者 のみがこの通知を受け取ります。 所有者でない場合は、組織内の 1 人に連絡して、GitHub の設定で要求を承認してください。
注: 既存のコネクタはこのアクセス許可なしで引き続き機能しますが、新しい機能はアクセス許可が承認された後にのみ使用できます。
2025 年 9 月
| 日付 | カテゴリ | 更新する |
|---|---|---|
| 2025 年 9 月 16 日 | パブリック プレビュー | Defender for Storage でのマルウェアの自動修復 (プレビュー) |
| 2025 年 9 月 15 日 | 更新する | 改良された新しい攻撃パス |
| 2025 年 9 月 14 日 | プレビュー | 信頼できる IP によるインターネット露出分析のサポート |
| 2025 年 9 月 14 日 | GA | インターネット露出分析用の露出幅 |
| 2025 年 9 月 11 日 | プレビュー | コード リポジトリの Trivy 依存関係スキャン (更新) |
Defender for Storage でのマルウェアの自動修復 (プレビュー)
2025 年 9 月 16 日
Defender for Storage マルウェア スキャンのマルウェア自動修復がパブリック プレビューで利用できるようになりました。
この新機能により、アップロード時またはオンデマンドスキャン中に検出された悪意のある BLOB を自動的に論理的に削除できます。 これにより、有害なコンテンツが検疫され、さらに調査するために回復可能になります。
Azure portal の [Microsoft Defender for Cloud] タブから、または API を使用して、サブスクリプションまたはストレージ アカウント レベルでマルウェアの自動修復を有効または無効にすることができます。
詳細については、「 悪意のある BLOB の組み込みの自動マルウェア修復」を参照してください。
改良された新しい攻撃パス
2025 年 9 月 9 日
攻撃パスには、敵対者が組織を侵害するために使用できる実際の外部主導の悪用可能なリスクが反映され、ノイズをカットして迅速に行動できるようになりました。 これらのパスは、外部のエントリ ポイントと、攻撃者がビジネス クリティカルなターゲットに到達する環境を進む方法に焦点を当てています。 このエクスペリエンスにより、セキュリティ チームが最も重要なリスクを確実に軽減できるように、明確さ、焦点、優先順位付けが向上します。
詳細については、このブログの「攻撃パスの絞り込み: 実際の悪用可能な脅威の優先順位付け」を参照してください。
詳細については、「 攻撃パスの特定と修復」を参照してください。
信頼できる IP によるインターネット露出分析のサポート
2025 年 9 月 14 日
Defender for Cloud を使用すると、信頼できるインターネット プロトコル (IP) 範囲を定義して、インターネット露出分析での誤検知を減らすことができます。 信頼できる IP からのみアクセスできるリソースは、信頼済みと見なされます。 Defender for Cloud では、信頼できる IP の攻撃パスは生成されません。
信頼できる公開について詳しくは、こちらをご覧ください。
インターネット露出分析用の露出幅
2025 年 9 月 14 日
公開幅は、Microsoft Defender for Cloud で一般提供されるようになりました。 露出の幅は、ネットワーク ルールに基づいてリソースがパブリック インターネットに公開される方法を示します。 この機能は、セキュリティ チームが重要な攻撃パスを見つけて修正するのに役立ちます。
インターネットの露出の幅について詳しくは、こちらをご覧ください。
コード リポジトリの Trivy 依存関係スキャン (更新)
2025 年 9 月 11 日
Defender for Cloud に、ファイル システム モードの Trivy を利用したオープンソースの依存関係の脆弱性スキャンが含まれるようになりました。 これにより、GitHub と Azure DevOps リポジトリ全体のオペレーティング システムとライブラリの脆弱性を自動的に検出することで、セキュリティを強化できます。
適用される場所:
行う必要があること:
- Azure DevOps または GitHub の場合は、コネクタを作成または編集します。
- パイプライン内スキャンの場合は、 Microsoft Security DevOps (MSDO) CLI ツールをパイプライン定義に追加します。
結果が表示される場所:
パイプライン ログと SARIF ファイル。
Defender for Cloud の推奨事項:
GitHub Advanced Security の依存関係スキャンを使用する場合、Defender for Cloud では、それらの結果が置き換えられず、強化されるようになりました。
有効日: 2025 年 9 月 15 日。
2025 年 8 月
| 日付 | カテゴリ | 更新する |
|---|---|---|
| 2025 年 8 月 27 日 | GA | マルウェア スキャンの結果を格納するためのオプションのインデックス タグの一般提供 |
| 2025 年 8 月 12 日 | GA | Azure Government クラウドでの Defender for Storage の一般提供 |
| 2025 年 8 月 11 日 | GA | Azure Government クラウドでの Defender CSPM と Defender for Servers プラン 2 の一般提供 |
| 2025 年 8 月 6 日 | GA | AKS セキュリティ ダッシュボード |
| 2025 年 8 月 5 日 | プレビュー | XDR の高度なハンティング (プレビュー) のストレージ集計ログ |
Defender for Storage でのマルウェア スキャンの結果を格納するためのオプションのインデックス タグの一般提供
2025 年 8 月 27 日
Defender for Storage マルウェア スキャンでは、オンアップロード スキャンとオンデマンド スキャンの両方にオプションのインデックス タグが導入されています。 この新機能により、ユーザーは、BLOB がスキャンされたときに BLOB のインデックス タグに結果を発行するか (既定)、インデックス タグを使用しないかを選択できます。 インデックス タグは、Azure portal または API を使用して、サブスクリプションとストレージ アカウント レベルで有効または無効にすることができます。
Azure Government クラウドでの Defender for Storage の一般提供
2025 年 8 月 12 日
Microsoft Defender for Storage は、政府機関向けクラウドのお客様が一般提供しています。 このサービスは、米国連邦および政府機関がストレージ アカウントをセキュリティで保護するのに役立ちます。 Defender for Storage のすべての機能は政府機関向けクラウドで利用でき、機能の対象範囲は商用クラウド サービスに合わせて調整されます。 Defender for Cloud の政府機関向けクラウド対応状況の詳細を確認してください。
Azure Government クラウドでの Defender CSPM と Defender for Servers プラン 2 の一般提供
2025 年 8 月 11 日
Microsoft Defender for Cloud の クラウド セキュリティ態勢管理 (CSPM) が、政府機関向けクラウドのお客様に一般提供されます。 このサービスは、国防総省 (DoD) や民間機関を含む米国の連邦および政府機関が、クラウド セキュリティ態勢を管理し、コンプライアンスを改善するのに役立ちます。
Defender for Servers プラン 2 (P2) のすべての機能を政府機関向けクラウドで利用でき、商用クラウド サービスでの機能の対応状況と一致します。
Defender for Cloud の政府機関向けクラウド対応状況の詳細を確認してください。
AKS セキュリティ ダッシュボード
2025 年 8 月 6 日
AKS セキュリティ ダッシュボードには、Azure portal 内の AKS クラスターのセキュリティ体制と実行時の脅威保護の一元的なビューが用意されています。 ソフトウェアの脆弱性、コンプライアンスのギャップ、アクティブな脅威が強調表示され、修復の優先順位付けに役立ちます。 このダッシュボードを使用して、AKS ワークロード保護、クラスター構成、脅威検出をリアルタイムで監視します。
詳細については、「 Azure Kubernetes Service (AKS) セキュリティ ダッシュボード」を参照してください。
XDR の高度なハンティング (プレビュー) のストレージ集計ログ
2025 年 8 月 5 日
新しい CloudStorageAggregatedEvents テーブルは、Microsoft Defender XDR の高度なハンティング エクスペリエンスで使用できるようになりました。 Defender for Cloud から、操作、認証の詳細、アクセス ソース、成功/失敗数などの集計されたストレージ アクティビティ ログが、クエリ可能な単一のスキーマに変換されます。 この集計により、ノイズが軽減され、パフォーマンスが向上し、より効果的な脅威の検出と調査をサポートするためのストレージ アクセス パターンの概要が提供されます。
このログは、Defender for Storage の新しいストレージごとのアカウント プランの一部として、追加コストなしで利用できます。 詳細については、 CloudStorageAggregatedEvents (プレビュー) を参照してください。
2025 年 7 月
| 日付 | カテゴリ | 更新する |
|---|---|---|
| 2025 年 7 月 15 日 | プレビュー | 4 つの新しい規制コンプライアンス標準 |
| 2025 年 7 月 3 日 | GA | ChainguardコンテナイメージとWolfiのスキャンに対するサポート |
4 つの新しい規制コンプライアンス標準
2025 年 7 月 15 日
Microsoft Defender for Cloud の規制コンプライアンスは、Azure、AWS、および GCP 環境全体に 4 つの新しいフレームワークを含むようにサポートを拡大しています。
- デジタル運用回復法 (DORA)
- 欧州連合人工知能法 (EU AI 法)
- パブリック クラウド向け韓国語情報セキュリティ管理システム (k-ISMS-P)
- Center for Internet Security (CIS) Microsoft Azure Foundations Benchmark v3.0
これらのフレームワークは パブリック プレビュー で利用できるようになりました。Microsoft Defender for Cloud の 規制コンプライアンス ダッシュボード から有効にすることができます。
詳しくは、「Microsoft Defender for Cloud の規制コンプライアンス標準」をご覧ください。
Chainguard コンテナ イメージと Wolfi のスキャン サポート
2025 年 7 月 3 日
Microsoft Defender 脆弱性管理を利用した Microsoft Defender for Cloud の脆弱性スキャナーは、スキャン対象範囲を Chainguard コンテナー イメージに拡張し、Chainguard Images と Wolfi の脆弱性を特定して、可能な限り最も安全なビルドを出荷していることを検証します。 追加の画像の種類がスキャンされると、請求書が増える可能性があります。 サポートされているすべてのディストリビューションについては、 脆弱性評価のレジストリとイメージのサポートに関するセクションを参照してください。