次の方法で共有


API セキュリティ テストの統合の概要 (プレビュー)

Microsoft Defender for Cloud では、Defender for API によって提供される既存のランタイム セキュリティ機能の強化に役立つパートナー ツールがサポートされています。 Defender for Cloud では、開発ライフサイクルの初期段階 (ソース コード リポジトリーおよび CI/CD パイプラインを含む) でプロアクティブ API セキュリティ テスト機能がサポートされています。

パートナー ソリューションのサポートは、Microsoft Defender for Cloud を使用して、パートナーのソリューションからのセキュリティ結果をさらに効率化、統合、調整するのに役立ちます。 このサポートにより、完全なライフサイクル API セキュリティが実現し、運用環境にデプロイされる前に、セキュリティ チームが API セキュリティの脆弱性を効果的に検出して修復できるようになります。

パートナー アプリケーションからのセキュリティ スキャン結果は、Defender for Cloud 内で利用できます。 Defender for Cloud で結果を確認できるため、中央のセキュリティ チームが Defender for Cloud の推奨事項エクスペリエンス内の API の正常性を確実に把握することができます。 これらのセキュリティ チームは、Defender for Cloud の推奨事項を通じてネイティブに利用できるガバナンス手順と、Azure Resource Graph から選択した管理ツールにスキャン結果をエクスポートする機能拡張を実行できるようになりました。

サンプル セキュリティ分析の推奨事項ページのスクリーンショット。

前提条件

この機能には、Defender for Cloud に DevOps コネクタが必要です。 DevOps 環境をオンボードする方法を参照してください。

特徴 詳細
リリース状態 プレビュー
Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
必須または優先環境要件 OpenAPI、Swagger などの API 仕様ファイルを含む、ソース コード リポジトリ内の API。
クラウド 商用クラウドで利用できます。 国内またはソブリン クラウド (Azure Government、21Vianet が運営する Microsoft Azure) では使用できません。
ソース コード管理システム GitHub Enterprise Cloud。 これには、GitHub Advanced Security (GHAS) のライセンスも必要です。

Azure DevOps Services

サポートされているアプリケーション

ロゴ パートナー名 説明 有効化ガイド
42Crunch オンボード ガイド 開発者は、上位の OWASP API リスクと OpenAPI 仕様のベスト プラクティスに対する API の静的および動的テストを通じて、CI/CD パイプライン内の API を事前にテストおよび強化できます。 42Crunch 技術オンボード ガイド
StackHawk StackHawk は、CI/CD で実行される唯一の最新の DAST および API セキュリティ テスト ツールです。開発者はこれを使って、運用環境に展開する前にセキュリティの問題を迅速に検出して修正することができます。 StackHawk オンボード ガイド
Bright Security Bright Security の開発中心の DAST プラットフォームでは、開発者と AppSec プロフェッショナルの両方に、Web アプリケーション、API、GenAI および LLM アプリケーション向けのエンタープライズ グレードのセキュリティ テスト機能を提供します。 Bright は、擬陽性とアラートの疲労を最小限に抑えて、SDLC において適切なタイミングで、開発者や AppSec のツールと選択したスタックで適切なテストを提供する方法を知っています。 Bright Security オンボード ガイド

Defender for API について学習する