Microsoft セキュア スコア

  • [アーティクル]

Microsoft Secure Score は、組織のセキュリティ体制の測定値であり、より多くの数値で推奨されるアクションが実行されることを示します。 Microsoft Defender ポータルの Microsoft Secure Score で確認できます。

セキュリティ スコアの推奨事項を実行することにより、組織を脅威から保護できます。 組織は、Microsoft Defender ポータルの一元化されたダッシュボードから、Microsoft 365 の ID、アプリ、デバイスのセキュリティを監視および操作できます。

セキュア スコアは、次のような方法で組織の役に立ちます。

  • 組織のセキュリティ体制の現在の状態について報告します。
  • 検出可能性、可視性、ガイダンス、制御機能を提供して、セキュリティ体制を改善します。
  • ベンチマークと比較し、主要業績評価指標 (KPI) を確立します。

セキュア スコアの概要については、このビデオをご覧ください。

指標と傾向の堅牢な視覚化、他の Microsoft 製品との統合、類似組織とのスコア比較などを、組織で利用することができます。 スコアは、Microsoft 以外のソリューションが推奨されるアクションに対処した場合にも反映されます。

Microsoft Defender ポータルの Microsoft Secure Score ホームページを示すスクリーンショット

メカニズム

次のアクションのポイントを取得します。

  • 推奨されるセキュリティ機能の構成
  • セキュリティ関連のタスクの実行
  • Microsoft 以外のアプリケーションまたはソフトウェア、または代替の軽減策を使用して推奨されるアクションに対処する

推奨されるアクションの中には、完全に完了した時点でのみポイントが与えられます。 一部のデバイスまたはユーザーのタスクが完了すると、一部のアクションによって部分的なポイントが発生します。 推奨されるアクションの 1 つを適用できない場合、または実行したくない場合は、リスクを受け入れるか、残りのリスクを受け入れることを選択できます。

サポートされている Microsoft 製品のいずれかのライセンスをお持ちの場合は、それらの製品に関する推奨事項が表示されます。 ライセンス エディション、サブスクリプション、プランに関係なく、製品に関して考えられる推奨事項の完全なセットが表示されます。 これにより、セキュリティのベスト プラクティスを理解し、スコアを向上させることができます。 セキュリティ スコアで表される絶対的なセキュリティ体制は、組織が特定の製品に対して所有しているライセンスに関係なく同じままです。 セキュリティは使いやすさとバランスが取れている必要があり、すべての推奨事項がご使用の環境に適しているわけではないことを覚えておいてください。

スコアはリアルタイムで更新され、視覚化と推奨されるアクション ページに表示される情報が反映されます。 またセキュア スコアは毎日同期を行い、各アクションで達成されたポイントに関するシステム データを受信します。

注:

Microsoft Teamsおよび Microsoft Entra 関連の推奨事項の場合、構成状態で変更が発生すると、推奨事項の状態が更新されます。 さらに、推奨事項の状態は、それぞれ月に 1 回または週に 1 回更新されます。

重要なシナリオ

推奨される各アクションは 10 ポイント以下の価値があり、そのほとんどはバイナリ形式でスコア付けされます。 新しいポリシーの作成や特定の設定の有効化など、推奨されるアクションを実装すると、ポイントの 100% が得られます。 その他の推奨されるアクションの場合、ポイントは構成全体に対する割合として指定されます。

たとえば、推奨されるアクションでは、多要素認証を使用してすべてのユーザーを保護することで 10 ポイントを取得するとします。 保護されているユーザーの総数は 100 人のうち 50 人だけなので、5 ポイントの部分スコア (50 個の保護されたポイント/ 100 個の合計 * 10 個の最大 pts = 5 pts) が得られます。

セキュア スコアに含まれる製品

現在、次の製品に関する推奨事項があります。

  • アプリ ガバナンス
  • Microsoft Entra ID
  • Citrix ShareFile
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office
  • Docusign
  • Exchange Online
  • GitHub
  • Microsoft Defender for Cloud Apps
  • Microsoft Purview Information Protection
  • Microsoft Teams
  • Okta
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • 拡大/縮小

その他のセキュリティ製品の推奨事項は近日リリース予定です。 推奨事項は、各製品に関連付けられているすべての攻撃対象領域をカバーしているわけではありませんが、適切なベースラインです。 推奨されるアクションを、Microsoft 以外のソリューションまたは代替の軽減策の対象としてマークすることもできます。

セキュリティの既定値

Microsoft Secure Score には、[Microsoft Entra ID のセキュリティの既定値](/azure/active-directory/fundamentals/concept-fundamentals-security-defaults) をサポートするための更新された推奨アクションが含まれています。これは、一般的な攻撃に対して構成済みのセキュリティ設定を使用して組織を保護しやすくします。

セキュリティの既定値をオンにすると、次の推奨されるアクションの完全なポイントが付与されます。

  • すべてのユーザーがセキュリティで保護されたアクセス (9 ポイント) の多要素認証を完了できることを確認する
  • 管理ロールに MFA を要求する (10 ポイント)
  • レガシ認証をブロックするポリシーを有効にする (7 つのポイント)

重要

セキュリティの既定値には、サインイン リスク ポリシーと同様のセキュリティを提供するセキュリティ機能と、ユーザー リスク ポリシーの推奨アクションが含まれます。 セキュリティの既定値に加えてこれらのポリシーを設定する代わりに、状態を Resolved through alternative mitigationに更新することをお勧めします。

セキュリティ スコアのアクセス許可

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) を使用してアクセス許可を管理する

Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) を使用すると、Secure Score に対する特定のアクセス許可を持つカスタム ロールを作成できます。 統合 RBAC を使用すると、セキュリティ スコア データへのアクセス権を持つユーザー、セキュリティ スコア データを表示する製品 (Microsoft Defender for Endpoint など)、およびデータに対するアクセス許可レベルを制御できます。

また、Secure Score でサポートされているその他の製品など、追加のデータ ソースから Secure Score データにアクセスするためのユーザーアクセス許可を管理することもできます。詳細については、「 Secure Score に含まれる製品」を参照してください。 他のデータ ソースからのセキュア スコア データは、単独で、または他のデータ ソースと共に表示できます。

Microsoft Defender XDR 統合 RBAC を使用してセキュリティ スコアのアクセス許可を管理するには、「 Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC)」を参照してください。

注:

現在、モデルは Microsoft Defender ポータルでのみサポートされています。 GraphAPI (内部ダッシュボードや Defender for Identity Secure Score など) を使用する場合は、引き続き Microsoft Entra ロールを使用する必要があります。 サポート GraphAPI は後日計画されています。

Microsoft Entra グローバル ロールのアクセス許可

Microsoft Entra グローバル ロール (グローバル管理者など) は、引き続き Secure Score にアクセスするために使用できます。 サポートされている Microsoft Entra グローバル ロールを持っているが、Microsoft Defender XDR 統合 RBAC のカスタム ロールに割り当てられていないユーザーは、次の説明に従って、セキュリティ スコア データを表示 (および許可されている場所で管理) するためのアクセス権を引き続き持ちます。

次のロールは、読み取りおよび書き込みアクセス権を持ち、変更を加え、Secure Score と直接対話し、他のユーザーに読み取り専用アクセスを割り当てることができます。

  • グローバル管理者
  • セキュリティ管理者
  • Exchange 管理者
  • SharePoint 管理者

次のロールには読み取り専用アクセス権があり、推奨されるアクションの状態やメモの編集、スコア ゾーンの編集、カスタム比較の編集はできません。

  • ヘルプデスク管理者
  • ユーザー管理者
  • サービス サポート管理者
  • セキュリティ閲覧者
  • セキュリティ オペレーター
  • グローバル閲覧者

注:

最小特権アクセスの原則に従う場合 (ユーザーとグループにのみアクセス許可を付与する場合は、ユーザーとグループに権限を付与する必要があります)、セキュリティ スコアのアクセス許可を持つカスタム ロールが割り当てられているユーザーまたはセキュリティ グループに対して、既存の管理者特権の Microsoft Entra グローバル ロールを削除することをお勧めします。 これにより、カスタムの Microsoft Defender XDR 統合 RBAC ロールが有効になります。

リスク認識

Microsoft セキュア スコアは、システム構成、ユーザーの行動、その他セキュリティ関連の測定に基づいて、セキュリティ体制の概要を数値的に表したものです。 これは、システムまたはデータが侵害される可能性を絶対的に測定することではありません。 代わりに、Microsoft 環境でセキュリティ制御を使用している範囲を表します。これは、侵害のリスクを相殺するのに役立ちます。 オンライン サービスはセキュリティ侵害から免除されません。セキュリティ スコアは、セキュリティ侵害に対する保証として解釈しないでください。

ご意見をお聞かせください。

問題がある場合は、 セキュリティ、プライバシー & コンプライアンス コミュニティに投稿して、お知らせください。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。