Microsoft セキュア スコア

注:

Microsoft Defender XDRを体験したいですか? Microsoft Defender XDRを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

Microsoft Secure Score は、organizationのセキュリティ体制の測定値であり、より多くの数値で推奨されるアクションが実行されることを示します。 microsoft Secure Score、Microsoft Defender ポータルにあります。

セキュリティ スコアの推奨事項を実行することにより、組織を脅威から保護できます。 組織は、Microsoft Defender ポータルの一元化されたダッシュボードから、Microsoft 365 の ID、アプリ、デバイスのセキュリティを監視および操作できます。

セキュア スコアは、次のような方法で組織の役に立ちます。

  • 組織のセキュリティ体制の現在の状態について報告します。
  • 検出可能性、可視性、ガイダンス、制御機能を提供して、セキュリティ体制を改善します。
  • ベンチマークと比較し、主要業績評価指標 (KPI) を確立します。

セキュア スコアの概要については、このビデオをご覧ください。

指標と傾向の堅牢な視覚化、他の Microsoft 製品との統合、類似組織とのスコア比較などを、組織で利用することができます。 スコアは、Microsoft 以外のソリューションが推奨されるアクションに対処した場合にも反映されます。

Microsoft Defender ポータルの Microsoft Secure Score ホームページを示すスクリーンショット

メカニズム

次のアクションのポイントが与えられます。

  • 推奨されるセキュリティ機能の構成
  • セキュリティ関連のタスクの実行
  • Microsoft 以外のアプリケーションまたはソフトウェア、または代替の軽減策を使用して推奨されるアクションに対処する

推奨されるアクションの中には、完全に完了した時点でのみポイントが与えられます。 一部のデバイスまたはユーザーに対して完了した場合は、部分的なポイントが与えられます。 推奨されるアクションの 1 つを適用できない場合、または実行したくない場合は、リスクを受け入れるか、残りのリスクを受け入れることを選択できます。

サポートされている Microsoft 製品のいずれかのライセンスをお持ちの場合は、それらの製品に関する推奨事項が表示されます。 ライセンス エディション、サブスクリプション、プランに関係なく、製品に関して考えられる推奨事項の完全なセットが表示されます。 これにより、セキュリティのベスト プラクティスを理解し、スコアを向上させることができます。 セキュリティ スコアで表される絶対的なセキュリティ体制は、organizationが特定の製品に対して所有しているライセンスに関係なく同じままです。 セキュリティは使いやすさとバランスが取れている必要があり、すべての推奨事項がご使用の環境に適しているわけではないことを覚えておいてください。

スコアはリアルタイムで更新され、視覚化と推奨されるアクション ページに表示される情報が反映されます。 またセキュア スコアは毎日同期を行い、各アクションで達成されたポイントに関するシステム データを受信します。

注:

Microsoft Teams と関連する推奨事項Microsoft Entraの場合、構成状態で変更が発生すると推奨事項の状態が更新されます。 さらに、推奨事項の状態は、それぞれ月に 1 回または週に 1 回更新されます。

重要なシナリオ

推奨される各アクションは 10 ポイント以下の価値があり、そのほとんどはバイナリ形式でスコア付けされます。 新しいポリシーの作成や特定の設定の有効化など、推奨されるアクションを実装すると、ポイントの 100% が得られます。 その他の推奨されるアクションの場合、ポイントは構成全体に対する割合として指定されます。

たとえば、推奨されるアクションでは、多要素認証を使用してすべてのユーザーを保護することで、10 ポイントを取得すると表示されます。 保護されているユーザーの総数は 100 人のうち 50 人だけなので、5 ポイントの部分スコア (50 個の保護されたポイント/ 100 個の合計 * 10 個の最大 pts = 5 pts) が得られます。

セキュア スコアに含まれる製品

現在、次の製品に関する推奨事項があります。

  • アプリ ガバナンス
  • Microsoft Entra ID
  • Citrix ShareFile
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office
  • Docusign
  • Exchange Online
  • GitHub
  • Microsoft Defender for Cloud Apps
  • Microsoft Information Protection
  • Microsoft Teams
  • Okta
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • 拡大/縮小

その他のセキュリティ製品の推奨事項は近日リリース予定です。 推奨事項は、各製品に関連付けられているすべての攻撃対象領域をカバーするわけではありませんが、適切なベースラインです。 また、推奨されるアクションをサード パーティまたは代替の軽減策の対象としてマークすることもできます。

セキュリティの既定値

Microsoft Secure Score は、Microsoft Entra IDのセキュリティの既定値をサポートするために推奨されるアクションを更新しました。これにより、一般的な攻撃に対して事前に構成されたセキュリティ設定を使用してorganizationを保護しやすくなります。

セキュリティの既定値をオンにすると、次の推奨されるアクションの完全なポイントが付与されます。

  • すべてのユーザーがセキュリティで保護されたアクセス (9 ポイント) の多要素認証を完了できることを確認する
  • 管理ロールに MFA を要求する (10 ポイント)
  • レガシ認証をブロックするポリシーを有効にする (7 ポイント)

重要

セキュリティの既定値には、"サインイン リスク ポリシー" および "ユーザー リスク ポリシー" 推奨アクションと同様のセキュリティを提供するセキュリティ機能が含まれます。 セキュリティの既定値に加えてこれらのポリシーを設定する代わりに、状態を "代替の軽減策によって解決済み" に更新することをお勧めします。

セキュリティ スコアのアクセス許可

Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) を使用してアクセス許可を管理する

Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) を使用すると、Secure Score に対する特定のアクセス許可を持つカスタム ロールを作成できます。 これにより、Secure Score データへのアクセス権を持つユーザー、セキュア スコア データ (Microsoft Defender for Endpoint など) が表示される製品、およびデータに対するアクセス許可レベルを制御できます。

また、Secure Score でサポートされているその他の製品など、追加のデータ ソースから Secure Score データにアクセスするためのユーザーアクセス許可を管理することもできます。詳細については、「 Secure Score に含まれる製品」を参照してください。 追加のデータ ソースから、単独で、または他のデータ ソースと共に Secure Score データを表示できます。

Microsoft Defender XDR統合 RBAC を使用してセキュリティ スコアのアクセス許可を管理するには、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)」を参照してください。

注:

現在、モデルはMicrosoft Defender ポータルでのみサポートされています。 GraphAPI (内部ダッシュボードや Defender for Identity Secure Score など) を使用する場合は、引き続きMicrosoft Entraロールを使用する必要があります。 サポート GraphAPI は後日計画されています。

グローバル ロールのアクセス許可をMicrosoft Entraする

Microsoft Entraグローバル ロール (グローバル管理者など) は、引き続き Secure Score にアクセスするために使用できます。 サポートされているMicrosoft Entraグローバル ロールを持っているが、Microsoft Defender XDR統合 RBAC のカスタム ロールに割り当てられていないユーザーは、次の説明に従って、セキュリティ スコア データを表示 (および許可されている場所で管理) するためのアクセス権を引き続き持ちます。

次のロールは、読み取りおよび書き込みアクセス権を持ち、変更を加え、Secure Score と直接対話し、他のユーザーに読み取り専用アクセスを割り当てることができます。

  • グローバル管理者
  • セキュリティ管理者
  • Exchange 管理者
  • SharePoint 管理者

次のロールには読み取り専用アクセス権があり、推奨されるアクションの状態やメモの編集、スコア ゾーンの編集、カスタム比較の編集はできません。

  • ヘルプデスク管理者
  • ユーザー管理者
  • サービス サポート管理者
  • セキュリティ閲覧者
  • セキュリティ オペレーター
  • グローバル閲覧者

注:

最小限の特権アクセスの原則に従う場合 (ユーザーとグループにアクセス許可のみを付与する場合は、ユーザーとグループにアクセス許可を付与する必要があります)、セキュリティ スコアのアクセス許可を持つカスタム ロールが割り当てられているユーザーやセキュリティ グループに対して、既存の管理者特権Microsoft Entraグローバル ロールを削除することをお勧めします。 これにより、カスタム Microsoft Defender XDR統合 RBAC ロールが有効になります。

リスク認識

Microsoft セキュア スコアは、システム構成、ユーザーの行動、その他セキュリティ関連の測定に基づいて、セキュリティ体制の概要を数値的に表したものです。 システムまたはデータが侵害される可能性を絶対的に測定するわけではありません。 代わりに、侵害のリスクを相殺するのに役立つセキュリティ制御を Microsoft 環境で採用した範囲を表します。 オンライン サービスはセキュリティ侵害から免除されません。セキュリティ スコアは、セキュリティ侵害に対する保証として解釈しないでください。

ご意見をお聞かせください。

問題がある場合は、 セキュリティ、プライバシー & コンプライアンス コミュニティに投稿して、お知らせください。 コミュニティを監視しているので、問題に対応します。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします