Defender CSPMを使用して API セキュリティ体制を有効にする

Microsoft Defender for Cloudの Defender Cloud Security Posture Management (CSPM) プランでは、Azure API Management、Function Apps、Logic Apps 全体の API の完全なビューが提供されます。構成の誤りや脆弱性を検出することで、API のセキュリティを向上します。この記事では、Defender CSPM プランで API セキュリティ体制管理を有効にし、API のセキュリティを評価する方法について説明します。 Defender CSPMエージェントなしで API をオンボードし、リスクと機密データの公開を定期的にチェックします。 API 攻撃パス分析とセキュリティに関する推奨事項を通じて、優先順位付けされたリスクの分析情報と軽減策が提供されます。

注

Microsoft Defender for Cloudの API 検出とセキュリティ体制の機能では、Function Apps および Logic Apps もサポートされるようになりました。この機能は現在 プレビューで利用できます。

前提条件

API のセキュリティ体制の向上について説明します。
Microsoft Azure サブスクリプションが必要です。ない場合は、無料サブスクリプションにサインアップできます。
Azure サブスクリプションでDefender for Cloudを有効にします。
Azure サブスクリプションで Defender Cloud Security Posture Management (CSPM) を有効にします。
サブスクリプション所有者は、CSPM プランがすべての機能にアクセスできるようにする必要があります。
保護する API が Azure API Management、Function Apps、または Logic Apps にデプロイされていることを確認します。

クラウドとリージョンのサポート

Defender CSPM内の API セキュリティ体制管理は、Azure商用クラウドの次のリージョンで利用できます。

アジア (東南アジア、東アジア)
オーストラリア (オーストラリア東部、オーストラリア南東部、オーストラリア中部、オーストラリア中部 2)
ブラジル (ブラジル南部、ブラジル南東部)
カナダ (カナダ中部、カナダ東部)
ヨーロッパ (西ヨーロッパ、北ヨーロッパ)
フランス (フランス中部、フランス南部)
ドイツ (ドイツ中西部、ドイツ北部)
インド (インド中部、インド南部、インド西部)
イタリア (イタリア北部)
日本 (東日本、西日本)
韓国 (韓国中部、韓国南部)
ノルウェー (ノルウェー東部、ノルウェー西部)
南アフリカ (南アフリカ北部、南アフリカ西部)
スウェーデン (スウェーデン中部、スウェーデン南部)
スイス (スイス北部、スイス西部)
英国 (英国南部、英国西部)
米国 (米国東部、米国東部 2、米国西部、米国西部 2、米国西部 3、米国中部、米国中北部、米国中南部、米国中西部、米国東部 2 EUAP、米国中部 EUAP)

cloud サポートマトリックスのDefender for Cloudプランと機能に関する最新のクラウドサポート情報を確認します。

API のサポート

特徴	サポートされています
可用性	Azure API Management: この機能は、Azure API Managementの Premium、Standard、Basic、Developer のレベルで使用できます。 API Management のセルフホステッドゲートウェイを介して公開される API や、API Management ワークスペースを介して管理される API はサポートされていません。 Azure アプリ Services: サポートされている Azure Function App ホスティングレベルには、Premium、Elastic Premium、Dedicated (App Service)、App Service Environment (ASE) が含まれます。 Azure Logic Appsの場合、サポートされているレベルには Standard (Single-Tenant) と App Service Environment (ASE) が含まれます。従量課金レベルの Function Apps、従量課金レベルの Logic Apps、およびAzure Arc対応 Logic Apps はサポートされていません。
API の種類	REST API のサポートのみ。

特徴

サポートされています

可用性

Azure API Management: この機能は、Azure API Managementの Premium、Standard、Basic、Developer のレベルで使用できます。 API Management のセルフホステッドゲートウェイを介して公開される API や、API Management ワークスペースを介して管理される API はサポートされていません。

Azure アプリ Services: サポートされている Azure Function App ホスティングレベルには、Premium、Elastic Premium、Dedicated (App Service)、App Service Environment (ASE) が含まれます。 Azure Logic Appsの場合、サポートされているレベルには Standard (Single-Tenant) と App Service Environment (ASE) が含まれます。従量課金レベルの Function Apps、従量課金レベルの Logic Apps、およびAzure Arc対応 Logic Apps はサポートされていません。

API の種類

REST API のサポートのみ。

API セキュリティ態勢管理の拡張機能を有効にする

Azure ポータルにサインインします。
Microsoft Defender for Cloud>Environment settings に移動します。
関連するサブスクリプションを選択します。
Defender CSPMプランを見つけて、Settings を選択します。
API セキュリティ体制管理を有効にします。
続行を選択します。
[保存] を選択します。

設定が正常に保存されたことを確認する通知メッセージが表示されます。有効にすると、API のオンボードが開始され、数時間以内に Defender for Cloud インベントリに表示されます。

API インベントリの表示

Defender CSPM プランにオンボードされた API は、API セキュリティダッシュボードの Workload protection および Microsoft Defender for Cloud Inventory に表示されます。

Defender for Cloud メニューの [クラウドセキュリティ] セクションに移動し、Advanced Workload protections の下にある API security を選択します。
ダッシュボードには、API コレクション、エンドポイント、およびAzure API Management サービス別に分類されたオンボード API の数が表示されます。これには、API ワークロード保護プランのDefenderを使用して、脅威検出のセキュリティカバレッジ用にオンボードされた API の概要が含まれています。
フィルター Defender plan == Defender CSPM を適用して、Defender CSPM プランにオンボードされている API を表示します。

[OK] を選択.
目的の API 操作を選択して、特定の API 操作のセキュリティ結果を確認します。

API エンドポイントに関する詳細な調査結果

機密情報の種類: API URL パス、クエリパラメーター、要求本文、サポートされているデータ型に基づく応答本文で公開されている機密情報の詳細と、検出された情報の種類のソースを示します。
追加情報: API 応答本文の場合、このフィールドには機密情報 (2xx、3xx、4xx など) が含まれている HTTP 応答コードが表示されます。

Microsoft Defender for Cloud インベントリエクスペリエンスで、API のセキュリティ体制の結果と API インベントリを確認します。

注

機密データ検出拡張機能が有効になっていない場合、機密データの露出は検出されません。 API で機密情報をスキャンするには、機密データの検出を有効にする必要があります。この設定は、Defender CSPM プランにオンボードされている API にのみ影響します。同じ API で API ワークロード保護プランのDefenderを有効にすると、機密データがスキャンされます。

API のセキュリティに関する推奨事項を調査する

Defender for Cloudは、認証の欠陥や非アクティブな API など、構成と脆弱性の誤りについて API エンドポイントを継続的に評価します。外部への露出やデータの機密性のリスクなどの関連するリスク要因を含むセキュリティに関する推奨事項が生成されます。 Defender for Cloudは、これらのリスク要因に基づいて、セキュリティに関する推奨事項の重要性を計算します。リスクに基づいたセキュリティに関する推奨事項をご覧ください。

API のセキュリティ態勢に関する推奨事項を調査するには、次の手順を実行します。

Defender for Cloudのメインメニューに移動し、Recommendations を選択します。
[ タイトル別にグループ化 ] トグルを選択して、推奨事項を整理します。
リソースの種類 (API Management 操作や API エンドポイントなど) でフィルター処理するか、推奨事項名でフィルター処理して API 関連の推奨事項を絞り込み、特定の API セキュリティの問題を対象にします。

API 関連の推奨事項の完全な一覧については、Defender for Cloudの推奨事項リファレンスガイドの API のセクションを参照してください。

API のリスクを調べ、攻撃パス分析を使用して修復する

クラウドセキュリティエクスプローラーは、クラウドセキュリティグラフを照会することで、クラウド環境にある潜在的なセキュリティリスクの特定を支援します。

Azure ポータルにサインインします。
Microsoft Defender for Cloud>Cloud セキュリティエクスプローラーに移動します。
組み込みのクエリテンプレートを使用して、セキュリティの分析情報を備えた API をすばやく特定します。
または、クラウドセキュリティエクスプローラーでカスタムクエリを作成して API リスクを見つけ、バックエンドコンピューティングまたはデータストアに接続されている API エンドポイントを確認します。たとえば、リモートコードの脆弱性がある仮想マシンにトラフィックをルーティングする API エンドポイントを確認できます。

Defender for Cloudの攻撃パス分析は、クラウドアプリケーションと環境に直ちに脅威をもたらすセキュリティの問題に対処します。 API 主導の攻撃パスを特定して修復し、組織を深刻に脅かす可能性のある最も重大な API リスクに対処します。

Defender for Cloud メニューの Attack path analysis に移動します。
リソースの種類 [API Management 操作] でフィルター処理して、API 関連の攻撃パスを調査します。
対象範囲にある API エンドポイントのセキュリティに関する推奨事項を表示し、高リスクの攻撃面から API を保護するために推奨事項の内容を修復します。

API のセキュリティ態勢保護を解除する

Defender CSPM プランの一部である個々の API をオフボードすることはできません。 Defender CSPMプランからすべての API をオフボードするには、[Defender CSPM プランの設定] ページに移動し、API ポスチャ拡張機能を無効にします。

[ 続行] を選択し、[ 保存] を 選択して確定します。このアクションは、Defender CSPM プランからすべての API をオフボードし、API セキュリティ体制管理が無効になっています。

API の脅威を監視するには、Defender for APIs Workload Protection を使用します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-15