Defender for CloudとAzure DevOpsの接続方法について

はじめに

こんにちは、AZPower 株式会社 クラウドネイティブ推進チーム所属の max です。

本記事では、Microsoft Defender for CloudとAzure DevOpsを連携させる方法について、手順やポイントを説明しています。

Defender for Cloudとは？

Microsoft Defender for Cloud（ディフェンダー・フォー・クラウド）は、クラウド上のアプリケーションやリソースをサイバー脅威や脆弱性から守るための、クラウドネイティブなセキュリティプラットフォーム（CNAPP）です。
▶ 公式ドキュメントはこちら

主な特徴は以下の通りです：

• クラウドやオンプレミス、マルチクラウド（Azure、AWS、Google Cloudなど）環境のリソースを一元的に監視し、セキュリティ状態を可視化します。
• セキュリティのベストプラクティスや業界基準に基づいて、リソースの設定や運用状況を自動的に評価し、改善点（推奨事項）を提示します。
• サーバー、コンテナ、ストレージ、データベースなど、さまざまなワークロードを保護します。
• 脅威の検出やアラート発報、リアルタイムでの防御機能を備えています。
• セキュリティポリシーの管理や、DevSecOps（開発・運用・セキュリティの統合）にも対応しています。

つまり、Defender for Cloudは「クラウドやハイブリッド環境のセキュリティを一元管理し、脅威から守るための総合的なサービス」です。

---

Azure DevOpsとは？

Azure DevOps（アジュール デブオプス）は、ソフトウェア開発に必要な「計画」「開発」「テスト」「リリース」「運用」までを一元的に管理・自動化できる、Microsoftのクラウドサービスです。
▶ 公式ドキュメントはこちら

わかりやすく言うと、開発チームが効率よく協力しながら、ソフトウェアを素早く・高品質に作るための「道具箱」のようなものです。主な機能は以下の通りです：

• Azure Boards：タスク管理や進捗管理（カンバンやスクラムなど）をサポート
• Azure Repos：ソースコードのバージョン管理（GitやTFVCに対応）※DefenderforCloudとAzureDevOpsを連携する場合は、Git（TfsGit）のみがサポートされます（TFVCは未対応）
• Azure Pipelines：自動ビルド・自動テスト・自動デプロイ（CI/CD）
• Azure Test Plans：テスト計画や手動・自動テストの管理
• Azure Artifacts：ライブラリやパッケージの共有・管理

これらの機能を組み合わせて、チームでの開発作業を効率化し、品質向上やリリースの自動化を実現できます。

---

Defender for CloudとAzure DevOps接続（連携）について

この連携により、Defender for CloudがAzure DevOpsのリポジトリやパイプラインを自動的に検出し、DevOps環境のセキュリティ状態を一元的に可視化・管理できるようになります。

たとえば、コードやパイプラインの脆弱性、IaC（Infrastructure as Code）の設定ミス、シークレットの漏洩などを検出し、セキュリティ強化のための具体的な推奨事項が一覧で提示されます。

連携に必要な主な条件

1. Azure DevOpsの「サードパーティアプリケーションのアクセス（OAuth）」がONになってること
2. Azure DevOps側で「Project Collection Administrator」権限
3. Azureサブスクリプション側で「Contributor」権限（コネクタ作成用）
4. Azure DevOps組織で「Basic」または「Basic + Test Plans」アクセスレベル（Stakeholderは不可）
5. AzureサブスクリプションとAzure DevOps組織が同じテナントに存在
6. Defender for Cloudが有効化されているAzureサブスクリプション
7. Azure DevOpsのリポジトリはGit（TfsGit）のみサポートされています（TFVCは未対応）
   • ※TfsGit：Azure DevOpsで使える「Git」形式のリポジトリのことです。
   • Gitは、分散型バージョン管理システムで、世界中の多くの開発現場で使われています。
   • 各開発者が自分のPCにリポジトリのコピーを持ち、ローカルで作業・履歴管理ができます。
   • Azure DevOpsでは「TfsGit」と呼ばれることもありますが、実態は一般的なGitと同じです。

▶ 公式ドキュメントはこちら

---

連携までの手順

1. Azureポータルで「Defender for Cloud」を検索しページへ移動→「管理」→「環境設定」→「環境の追加」→「Azure DevOps」を選択
   
2. 必要な情報（名前、サブスクリプション、リソースグループ、リージョンなど）を入力
   
3. 「アクセスの構成」で「承認」ボタンを押し、Azure DevOpsと連携
   
4. 必要な権限（Project Collection Administratorなど）やOAuth設定が有効になっていることを確認
   ・権限確認↓
   
   
   
   ・OAuth設定確認↓
   
   

この連携により、DevOpsのセキュリティリスクを早期に発見し、クラウドリソースと一体的に守ることができます。

---

補足情報

• DevOps連携や高度なセキュリティ分析は有料プラン（Defender CSPM等）が必要です。30日間の無料トライアルもあります。
• 連携後はDefender for Cloudの「DevOpsセキュリティ」ペインでリスクや推奨事項を確認できます。
  • 「DevOpsセキュリティ」ペイン（↓手順）で、連携済みのAzure DevOpsやGitHub、GitLabなどのDevOps環境のリスクや推奨事項、セキュリティ状態を一覧で確認できます。
  1. Azureポータル（https://portal.azure.com）にサインイン
  2. 左側メニューから「Defender for Cloud」を選択
  3. 「Defender for Cloud」メニュー内のクラウドセキュリティ→「DevOps セキュリティ」（または「DevOps Security」）をクリック
     
  • DevOps セキュリティ ペインの説明: ▶ 公式ドキュメントはこちら

---

公式ドキュメント

• Defender for CloudとAzure DevOpsの連携手順
• Microsoft Defender for Cloud DevOps セキュリティの概要
• DevOpsセキュリティのサポートと前提条件
• Defender for Cloudの料金