データ セキュリティ態勢管理のサポートと前提条件

  • [アーティクル]

Microsoft Defender for Cloud でデータ セキュリティ態勢管理を設定する前に、このページで要件を確認してください。

機密データ検出の有効化

機密データの検出は、Defender CSPM、Defender for Storage、Defender for Databases の各プランで利用できます。

  • いずれかのプランを有効にすると、プランの一部として、機密データ検出拡張機能が有効になります。
  • 実行している既存のプランがある場合、この拡張機能は使用可能ですが、既定ではオフになっています。
  • 1 つ以上の拡張機能がオンになっていない場合、既存のプランの状態は [完全] ではなく [部分] と表示されます。
  • この機能は、サブスクリプション レベルで有効にされます。
  • 機密データの検出が有効になっているが、Defender CSPM が有効になっていない場合は、ストレージ リソースのみがスキャンされます。
  • Defender CSPM でサブスクリプションが有効になっていて、同時に Purview で同じリソースをスキャンした場合、Purview のスキャン結果は無視され、サポートされているリソースの種類に対する Microsoft Defender for Cloud のスキャン結果が既定で表示されます。

サポートされる操作

次の表では、機密データ検出の可用性とサポートされているシナリオをまとめています。

サポート 詳細
どの Azure データ リソースを検出できるか オブジェクト ストレージ:

Azure Storage v1/v2 のブロック BLOB ストレージ アカウント

Azure Data Lake Storage Gen2

プライベート ネットワークの背後にあるストレージ アカウントがサポートされます。

カスタマー マネージド サーバー側キーで暗号化されたストレージ アカウントがサポートされます。

ストレージ アカウント エンドポイントにカスタム ドメインがマップされている場合、アカウントはサポートされません。


データベース

Azure SQL Databases

Transparent Data Encryption を使用した Azure SQL Databaseの暗号化
どの AWS データ リソースを検出できるか オブジェクト ストレージ:

AWS S3 バケット

Defender for Cloud では、KMS で暗号化されたデータを検出できますが、カスタマー マネージド キーで暗号化されたデータは検出できません。

データベース

- Amazon Aurora
- Amazon RDS for PostgreSQL
- Amazon RDS for MySQL
- Amazon RDS for MariaDB
- Amazon RDS for SQL Server (非カスタム)
- Amazon RDS for Oracle Database (非カスタム、SE2 エディションのみ)

前提条件と制限事項:
- 自動バックアップを有効にする必要があります。
- スキャン目的で作成された IAM ロール (既定では DefenderForCloud-DataSecurityPostureDB) には、RDS インスタンスの暗号化に使用される KMS キーへのアクセス許可が必要です。
- オプション グループを永続的なオプションと合わせて使用する DB スナップショットを共有することはできません。ただし、タイムゾーンまたは OLS オプション (またはその両方) を持つ Oracle DB インスタンスは例外です。 詳細情報
どの GCP データ リソースを検出できますか? GCP ストレージ バケット
Standard クラス
Geo: リージョン、デュアル リージョン、マルチ リージョン
検出のためにどのアクセス許可が必要か ストレージ アカウント: サブスクリプション所有者
or
Microsoft.Authorization/roleAssignments/* (読み取り、書き込み、削除) Microsoft.Security/pricings/* (読み取り、書き込み、削除) Microsoft.Security/pricings/SecurityOperators (読み取り、書き込み)

Amazon S3 バケットおよび RDS インスタンス: Cloud Formation を実行するための AWS アカウントのアクセス許可 (ロールを作成するため)。

GCP ストレージ バケット: スクリプトを実行するための Google アカウントのアクセス許可 (ロールを作成するため)。
機密データの検出ではどのファイルの種類がサポートされているか サポートされているファイルの種類 (サブセットは選択できません) - .doc、.docm、.docx、.dot、.gz、.odp、.ods、.odt、.pdf、.pot、.pps、.ppsx、.ppt、.pptm、.pptx、.xlc、.xls、.xlsb、.xlsm、.xlsx、.xlt、.csv、.json、.psv、.ssv、.tsv、.txt、.xml、.parquet、.avro、.orc。
どの Azure リージョンがサポートされていますか。 Azure ストレージ アカウントは、次で検出できます。

東アジア; 東南アジア; オーストラリア中部; オーストラリア中部 2; オーストラリア東部; オーストラリア南東部; ブラジル南部; ブラジル南東部; カナダ中部; カナダ東部; 北ヨーロッパ; 西ヨーロッパ; フランス中部; フランス南部; ドイツ北部; ドイツ中西部; インド中部; インド南部; 東日本; 西日本; Jio インド西部; 韓国中部; 韓国南部; ノルウェー東部; ノルウェー西部; 南アフリカ北部; 南アフリカ西部; スウェーデン中部; スイス北部; スイス西部; アラブ首長国連邦北部; 英国南部; 英国西部; 米国中部; 米国東部; 米国東部 2; 米国中北部; 米国中南部; 米国西部; 米国西部 2; 米国西部 3; 米国中西部;

Azure SQL データベースは、Defender CSPM データベースと Azure SQL データベースがサポートされている任意のリージョンで検出できます。
どの AWS リージョンがサポートされているか S3:

アジア太平洋 (ムンバイ); アジア太平洋 (シンガポール); アジア太平洋 (シドニー); アジア太平洋 (東京); カナダ (中部); ヨーロッパ (フランクフルト); ヨーロッパ (アイルランド); ヨーロッパ (ロンドン); ヨーロッパ (パリ); 南アメリカ (サンパウロ); 米国東部 (オハイオ); 米国東部 (北バージニア); 米国西部 (北カリフォルニア); 米国西部 (オレゴン)。


RDS:

アフリカ (ケープタウン)、アジア太平洋 (香港特別行政区)、アジア太平洋 (ハイデラバード)、アジア太平洋 (メルボルン)、アジア太平洋 (ムンバイ)、アジア太平洋 (大阪)、アジア太平洋 (ソウル)、アジア太平洋 (シンガポール)、アジア太平洋 (シドニー)、アジア太平洋 (東京)、カナダ (中部)、ヨーロッパ (フランクフルト)、ヨーロッパ (アイルランド)、ヨーロッパ (ロンドン)、ヨーロッパ (パリ)、ヨーロッパ (ストックホルム)、ヨーロッパ (チューリッヒ)、中東 (UAE)、南アメリカ (サンパウロ)、米国東部 (オハイオ)、米国東部 (北バージニア)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)。

検出は、リージョン内でローカルに実行されます。
どの GCP リージョンがサポートされていますか? europe-west1、us-east1、us-west1、us-central1、us-east4、asia-south1、northamerica-northeast1
エージェントをインストールする必要があるか いいえ、検出にはエージェントのインストールは必要ありません。
どのようなコストがあるか この機能は Defender CSPM プランと Defender for Storage プランに含まれており、それぞれのプランのコスト以外の追加コストは発生しません。
データ秘密度設定を表示または編集するためにどのアクセス許可が必要か 以下のいずれかの Microsoft Entra ロールが必要です。
  • コンプライアンス データ管理者、コンプライアンス管理者、またはそれ以上
  • セキュリティ オペレーター、セキュリティ管理者、またはそれ以上
    		•
    オンボードを実行するには、どのアクセス許可が必要ですか? これらの Azure ロールベースのアクセス制御 (Azure RBAC) ロールのいずれかが必要です: セキュリティ管理者、共同作成者、サブスクリプション レベルの所有者 (GCP プロジェクトが存在する場所)。 セキュリティの発見事項を使用する場合: (GCP プロジェクトのある) サブスクリプション レベルでセキュリティ閲覧者、セキュリティ管理者、共同作成者、所有者。

    データ秘密度設定の構成

    データ秘密度設定を構成するための主な手順には、以下が含まれます。

    Microsoft Purview での秘密度ラベルの詳細を確認してください。

    検出

    Defender for Cloud では、プランを有効にした直後、または既に実行中のプランで機能を有効にした後に、データの検出を開始します。

    オブジェクト ストレージの場合:

    • 最初の検出の結果を確認するには、最大 24 時間かかります。
    • 検出されたリソースでファイルが更新された後、データは 8 日以内に更新されます。
    • 既に検出されたサブスクリプションに新しい Azure ストレージ アカウントが追加されると、24 時間以内に検出されます。
    • 既に検出されている AWS アカウントまたは Google アカウントに新しい AWS S3 バケットまたは GCP ストレージ バケットが追加されると、そのバケットは 48 時間以内に検出されます。
    • ストレージの機密データ検出は、リージョン内でローカルに実行されます。 これにより、データがリージョンから離れないようにします。 ファイル、BLOB、バケット名、検出された秘密度ラベル、識別された機密情報の種類 (SIT) の名前などのリソース メタデータのみが Defender for Cloud に転送されます。

    データベースの場合 :

    • データベースは毎週スキャンされます。
    • 新しく有効になったサブスクリプションの場合、結果は 24 時間以内に表示されます。

    Azure ストレージ アカウントの検出とスキャン

    Azure ストレージ アカウントをスキャンするために、Microsoft Defender for Cloud は新しい storageDataScanner リソースを作成し、Storage Blob Data Reader ロールを割り当てます。 このロールには、次の権限が許可されます。

    • リスト
    • 読み込み

    プライベート ネットワークの背後にあるストレージ アカウントの場合、ストレージ アカウントのネットワーク ルール構成で許可されているリソース インスタンスの一覧に StorageDataScanner が含まれています。

    AWS S3 バケットの検出とスキャン

    Defender for Cloud で AWS リソースを保護するために、AWS アカウントをオンボードするための CloudFormation テンプレートを使用して AWS コネクタを設定します。

    • AWS データ リソースを検出するために、Defender for Cloud によって CloudFormation テンプレートが更新されます。
    • CloudFormation テンプレートにより、Defender for Cloud スキャナーが S3 バケット内のデータにアクセスするためのアクセスを許可するために、AWS IAM 内に新しいロールが作成されます。
    • AWS アカウントを接続するには、そのアカウントに対する管理者アクセス許可が必要です。
    • このロールでは、S3 読み取り専用、KMS 復号化のアクセスが許可されます。

    AWS RDS インスタンスの検出とスキャン

    Defender for Cloud で AWS リソースを保護するために、AWS アカウントをオンボードするための CloudFormation テンプレートを使用して AWS コネクタを設定します。

    • AWS RDS インスタンスを検出するために、Defender for Cloud によって CloudFormation テンプレートが更新されます。
    • CloudFormation テンプレートは、AWS IAM に新しいロールを作成し、Defender for Cloud スキャナーがインスタンスの最後に使用可能な自動スナップショットを取得し、同じ AWS リージョン内の分離されたスキャン環境でオンラインにするためのアクセス権限が許可されます。
    • AWS アカウントを接続するには、そのアカウントに対する管理者アクセス許可が必要です。
    • 関連する RDS インスタンス/クラスターで自動スナップショットを有効にする必要があります。
    • このロールでは、次のアクセス権限が許可されます (正確な定義については、CloudFormation テンプレートを確認してください):
      • すべての RDS DB/クラスターを一覧表示する
      • すべての DB/クラスター スナップショットをコピーする
      • プレフィックス defenderfordatabases を使用して DB/クラスター スナップショットを削除/更新する
      • すべての KMS キーを一覧表示する
      • ソース アカウントの RDS に対してのみすべての KMS キーを使用する
      • タグ プレフィックス DefenderForDatabases を持つすべての KMS キーの作成とフル コントロール
      • KMS キーのエイリアスを作成する
    • KMS キーは、RDS インスタンスを含むリージョンごとに 1 回作成されます。 KMS キーを作成すると、AWS KMS の価格に従って、最小限の追加コストが発生する場合があります。

    GCP ストレージ バケットの検出とスキャン

    Defender for Cloud で GCP リソースを保護するために、GCP アカウントをオンボードするためのスクリプト テンプレートを使用して Google コネクタを設定できます。

    • GCP ストレージ バケットを検出するため、Defender for Cloud によってスクリプト テンプレートが更新されます。
    • Defender for Cloud スキャナーが GCP ストレージ バケット内のデータにアクセスすることを許可するために、スクリプト テンプレートにより Google アカウント内に新しいロールが作成されます。
    • Google アカウントを接続するには、そのアカウントに対する管理者アクセス許可が必要です。

    インターネットに公開済み/パブリック アクセスを許可

    Defender CSPM 攻撃パスとクラウド セキュリティ グラフの分析情報には、インターネットに公開され、パブリック アクセスを許可するストレージ リソースに関する情報が含まれます。 次の表で詳細に説明します。

    State Azure ストレージ アカウント AWS S3 バケット GCP ストレージ バケット
    インターネットに公開済み 次のいずれかの設定が有効になっている場合、Azure ストレージ アカウントはインターネットに公開済みと見なされます。

    [Storage_account_name]>[ネットワーク]>[パブリック ネットワーク アクセス]>[すべてのネットワークから有効]

    または

    [Storage_account_name]>[ネットワーク]>[パブリック ネットワーク アクセス]>[選択した仮想ネットワークと IP アドレスから有効]    		 AWS アカウント/AWS S3 バケット ポリシーに IP アドレスの条件が設定されていない場合、AWS S3 バケットはインターネットに公開済みと見なされます。 既定では、すべての GCP ストレージ バケットがインターネットに公開されます。
    パブリック アクセスを許可 Azure ストレージ アカウント コンテナーは、ストレージ アカウントでこれらの設定が有効になっている場合、パブリック アクセスを許可と見なされます。

    Storage_account_name >[構成]>[BLOB への匿名アクセスを許可]>[有効化]

    さらに次のいずれかの設定:

    [Storage_account_name]>[コンテナー]>[container_name]>[パブリック アクセス レベル][BLOB (BLOB 専用の匿名読み取りアクセス)] に設定されている。

    または、[Storage_account_name]>[コンテナー]>[container_name]>[パブリック アクセス レベル][コンテナー (コンテナーと BLOB の匿名読み取りアクセス)] に設定されている。    		 AWS アカウントと AWS S3 バケットの両方で [すべてのパブリック アクセスをブロックする][オフ] に設定されていて、次のいずれかが設定されている場合、AWS S3 バケットはパブリック アクセスを許可と見なされます。

    ポリシーで、RestrictPublicBuckets は有効ではなく、[プリンシパル] 設定が [*] に設定され、[効果][許可] に設定されている。

    または、アクセス制御リストで IgnorePublicAcl が有効ではなく、[すべてのユーザー] または [認証済みユーザー] に対してアクセス許可が許可されている。    		 次の条件を満たす IAM (Identity and Access Management) ロールがある場合、GCP ストレージ バケットはパブリック アクセスを許可すると見なされます:

    プリンシパルの allUsers または allAuthenticatedUsersにロールが付与されます。

    ロールには、storage.buckets.create または storage.buckets.list "以外" のストレージ アクセス許可が少なくとも 1 つあります。 GCP のパブリック アクセスは Public to internet と呼ばれています。

    データベース リソースはパブリック アクセスを許可していませんが、インターネットに公開される可能性はあります。

    インターネット公開の分析情報は、次のリソースで利用できます:

    Azure:

    • Azure SQL サーバー
    • Azure Cosmos DB
    • Azure SQL Managed Instance
    • Azure MySQL 単一サーバー
    • Azure MySQL フレキシブル サーバー
    • Azure PostgreSQL 単一サーバー
    • Azure PostgreSQL フレキシブル サーバー
    • Azure MariaDB 単一サーバー
    • Synapse ワークスペース

    AWS:

    • RDS インスタンス

    Note

    • 0.0.0.0/0 を含む露出ルールは、「過度に公開されている」と見なされ、任意のパブリック IP からアクセスできることを意味します。
    • 公開ルール「0.0.0.0」を持つ Azure リソースには、(テナントまたはサブスクリプションに関係なく) Azure 内の任意のリソースからアクセスできます。

    次のステップ

    データ セキュリティ態勢管理を有効にします