Alternative Architecture DOJO

オルターブースのクラウドネイティブ特化型ブログです。

トップ > アドベントカレンダー2025 > GitHub Advanced Security と Microsoft Defender for Cloud の統合

GitHub Advanced Security と Microsoft Defender for Cloud の統合

アドベントカレンダー2025 GitHub Advanced Security M365

はっしーです!この記事は「オルターブース Advent Calendar 2025」の15日目の記事です。

adventar.org

気づいたらもう12月も半ば。アドベントカレンダーの季節がまたやってきましたね。毎年思うんですが、1年って本当にあっという間ですよね...。

今年を技術観点で振り返ると、おなじみのAzureや.NETの他に、Defender for Cloudをよく触りました。そんな中、2025年11月のMicrosoft Ignite 2025で、Defender for CloudとGitHub Advanced Securityのネイティブ統合がパブリックプレビューとして発表されたので、今回はこの統合について紹介したいと思います。

GitHub Advanced Security (GHAS)

GitHubが提供するエンタープライズ向けのセキュリティソリューションです。リポジトリ内のコードに対して脆弱性検出やシークレットスキャン、依存関係の分析などを行ってくれます。開発の早い段階でセキュリティリスクを見つけて修正できるのが強みですね。

詳しくは、過去ブログにも紹介記事がありますのでご覧ください。 【2023年】GitHub Advanced Securityで脆弱性ゼロへ!セキュリティ機能ご紹介! - Alternative Architecture DOJO

Microsoft Defender for Cloud

一方で Microsoft Defender for Cloud は、マルチクラウド環境やハイブリッド環境をカバーする包括的なセキュリティ管理プラットフォームです。Azure、AWS、GCP、オンプレミス環境のワークロードを守りつつ、セキュリティポスチャの管理や脅威検出、コンプライアンス管理を一箇所でまとめて行えます。

Microsoft Defender for Cloud の概要 - Microsoft Defender for Cloud | Microsoft Learn

統合のメリット

この統合により、以下のようなメリットが得られます:

  • 開発チームとセキュリティチームが一緒に作業しやすくなる: Defender for Cloudで見つかった問題を、そのままGitHubのIssueとして登録できます。別々のツールを行き来する必要がなくなるので、スムーズに情報共有できます。
  • AIを使用してすぐに修正できる: GitHub Copilot、Copilot Autofixを使用して修正することができるので、より早く脆弱性に対応できます。
  • 本当に危ない問題から対処できる: 実際に動いているアプリの情報とコード情報をマッピングできるので、今すぐ対応すべき問題が分かりやすくなります。理論上の問題より、実際に悪用される可能性がある問題を優先できます。
  • セキュリティの状況を1ヵ所で見られる: コードの問題もクラウド上の問題も、同じ画面で確認できます。あちこちのダッシュボードを開く手間が省けます。

それでは、実際の設定手順を見ていきましょう。

統合の設定手順

前提条件

統合を設定する前に、以下の準備が必要です:

  • Azure サブスクリプション
  • Microsoft Defender for Cloud が有効化されていること
  • GitHub Organization の Owner または Admin 権限
  • GitHub Advanced Security が有効化されているリポジトリ

手順1: Defender for Cloud でコネクタを作成

  1. Azure Portal にログインし、「Microsoft Defender for Cloud」を開きます

  2. 左側メニューから「環境設定」>「環境の追加」>「GitHub」を選択します

[スクリーンショット: Defender for Cloud の環境設定画面]

  1. アカウント詳細を設定します。
  2. コネクタ名
  3. サブスクリプション、リソースグループを選択

  4. 場所を選択 ※2025/12/15時点では Japan East、Westのリージョンは選択できませんでした

  5. 機能の選択を行います。Defender CSPM がオンになっていることを確認します。

  6. アクセスの構成を行います。DevOps セキュリティの承認、また、連携する組織に DevOps セキュリティ アプリのインストールを行います。

  7. 認証、インストール後

  8. レビューと生成にて選択内容を確認し、作成を実行します。

  9. 「Defender for Cloud」 > 「環境設定」にコネクタが表示されます。また接続状態についても確認できます。「接続済み」になるまで待ちます。

※ しばらく待っても接続が完了しない場合、コネクタのアクセス構成を再設定し、更新すると接続が完了する場合があります。

手順2: 統合の確認

  1. Defender for Cloud のダッシュボードに戻ります
  2. 「DevOps セキュリティ」セクションで、GitHub リポジトリが表示されていることを確認します
  3. リポジトリをクリックすると、検出された脆弱性やセキュリティ推奨事項が表示されます

利用シナリオ例

統合が完了したら、以下のようなワークフローで活用できます:

  1. 脆弱性の検出: Defender for Cloud が Azure 上のアプリケーションで脆弱性を検出
  2. GitHub Issue の作成: Defender for Cloud から直接 GitHub Issue を作成
  3. 修正案の確認: GitHub Copilot Autofix が修正コードを提案
  4. プルリクエストの作成: 提案された修正を確認し、PR を作成
  5. レビューとマージ: チームでレビューし、本番環境に反映

これはまた検証してみたいと思いますので、進捗があればまたブログで共有したいと思います。

まとめ

Microsoft Ignite 2025 で発表された Defender for Cloud と GitHub Advanced Security の統合により、コードからクラウドまでの一貫したセキュリティ管理が実現できるようになりました。

特に、AI を活用した修正提案や、ランタイム情報に基づく優先順位付けなど、実務で役立つ機能が盛り込まれています。まだパブリックプレビュー段階ですが、今後の機能拡張にも期待が持てますね。

セキュリティを「開発プロセスに組み込む」DevSecOps の実現に向けて、ぜひ活用してみてください!

サービス一覧 www.alterbooth.com www.alterbooth.com www.alterbooth.com