データセキュリティに関する推奨事項

[アーティクル]
08/07/2024

この記事では、Microsoft Defender for Cloud に表示されるすべてのデータセキュリティに関する推奨事項を示します。

環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。

これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud で推奨事項を修復するを参照してください。

ヒント

推奨事項の説明に 関連ポリシーがない、通常は、その推奨事項が別の推奨事項に依存しているためです。

説明: Microsoft Defender for SQL は、高度な SQL セキュリティ機能を提供する統合パッケージです。データベースの潜在的な脆弱性の検出と軽減、データベースへの脅威を示す可能性がある異常なアクティビティの検出、機密データの検出と分類を行う機能が含まれています。

このプランからの保護は、 Defender プランページに示されているように課金されます。このサブスクリプションに Azure SQL Database サーバーがない場合、課金されることはありません。後でこのサブスクリプションに Azure SQL Database サーバーを作成した場合は、自動的に保護され、課金が開始されます。詳細については、リージョン別の価格の詳細を参照してください。

詳細については、「Microsoft Defender for SQL の概要」を参照してください。 (関連ポリシー: Azure Defender for Azure SQL Database サーバーを有効にする必要があります)。

重大度: 高

Microsoft Defender for DNSを有効にする必要があります

説明: Microsoft Defender for DNS は、Azure リソースからのすべての DNS クエリを継続的に監視することで、クラウドリソースに対する保護の追加レイヤーを提供します。 Defender for DNS では、DNS 層での不審なアクティビティについて警告します。詳細については、「Microsoft Defender for DNS の概要」を参照してください。この Defender プランを有効にすると、料金が発生します。 Defender for Cloud の価格に関するページで、リージョンごとの価格の詳細について説明します:クラウド価格の Defender。 (関連ポリシーはありません)

重大度: 高

Microsoft Defender for open-source relational databases を有効にする必要がある

説明: Microsoft Defender for オープンソースリレーショナルデータベースは、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。詳細については、「Microsoft Defender for open-source relational databases の概要」を参照してください。

説明: 一般向け Web アプリケーションの前に Azure Web アプリケーションファイアウォール (WAF) をデプロイし、受信トラフィックの追加検査を行います。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイトスクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。また、カスタムルールを使用して、国/リージョン、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 (関連ポリシー: Application Gateway) に対して Web アプリケーションファイアウォール (WAF) を有効にする必要があります。

重大度: 低

Azure Front Door Service サービスに対して Web Application Firewall (WAF) を有効にする必要がある

説明: 一般向け Web アプリケーションの前に Azure Web アプリケーションファイアウォール (WAF) をデプロイし、受信トラフィックの追加検査を行います。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイトスクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。また、カスタムルールを使用して、国/リージョン、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 (関連ポリシー:Azure Front Door Service? サービスに対して Web Application Firewall (WAF) を有効にする必要がある)

S3 バケットでは、サーバー側暗号化を有効にする必要がある

説明: サーバー側の暗号化を有効にして、S3 バケット内のデータを保護します。データを暗号化すると、データが侵害された場合に、機密データにアクセスできなくなることがあります。

重大度: 中

自動ローテーションが構成されている Secrets Manager のシークレットは、正常にローテーションされる必要がある

説明: このコントロールは、ローテーションスケジュールに基づいて AWS Secrets Manager シークレットが正常にローテーションされたかどうかを確認します。このコントロールは、RotationOccurringAsScheduled が false の場合に失敗します。このコントロールでは、ローテーションが構成されていないシークレットを評価しません。 Secrets Manager は、組織のセキュリティ体制の改善に役立ちます。シークレットには、データベースの資格情報、パスワード、サードパーティの API キーが含まれます。 Secrets Manager を使用すると、シークレットを中心に格納したり、シークレットを自動的に暗号化したりすることに加え、シークレットへのアクセスを制御したり、シークレットを安全かつ自動的にローテーションしたりすることができます。 Secrets Manager では、シークレットのローテーションが可能です。ローテーションを使用すると、長期シークレットを短期シークレットに置き換えることができます。シークレットをローテーションすることで、侵害されたシークレットを未承認ユーザーが使用できる期間が制限されます。このような理由により、シークレットを頻繁にローテーションする必要があります。シークレットの自動ローテーションを構成するだけでなく、ローテーションスケジュールに基づいた、これらのシークレットの正常なローテーションを保証する必要があります。ローテーションの詳細については、AWS Secrets Manager ユーザーガイドの「Rotating your AWS Secrets Manager secrets」 (AWS Secrets Manager シークレットのローテーション) を参照してください。

重大度: 中

Secrets Manager シークレットは、指定した日数以内にローテーションする必要がある

説明: このコントロールは、シークレットが 90 日以内に少なくとも 1 回ローテーションされたかどうかを確認します。シークレットをローテーションすることで、AWS アカウントのシークレットが不正使用されるリスクを軽減できます。例として、データベースの資格情報、パスワード、サードパーティ API キー、さらには任意のテキストなどを挙げることができます。シークレットを長期間変更しない場合、シークレットが侵害される可能性が高くなります。より多くのユーザーがシークレットにアクセスできるようになると、ユーザーによる誤処理または未承認エンティティへの漏えいの可能性が高まります。シークレットは、ログやキャッシュデータで漏えいさせることができます。デバッグを目的に共有することができるうえに、デバッグが完了すれば、変更や呼び出しを行うことができません。これらのすべての理由から、シークレットのローテーションは頻繁に行う必要があります。 AWS Secrets Manager では、シークレットの自動ローテーションを構成することができます。自動ローテーションを使用すると、長期シークレットを短期シークレットに置き換えることができるため、侵害のリスクが大幅に軽減されます。 Security Hub では、Secrets Manager のシークレットに対して、ローテーションを有効にすることをお勧めしています。ローテーションの詳細については、AWS Secrets Manager ユーザーガイドの「Rotating your AWS Secrets Manager secrets」 (AWS Secrets Manager シークレットのローテーション) を参照してください。

重大度: 中

説明: このコントロールは、AWS KMS を使用して、保存時に SNS トピックが暗号化されているかどうかを確認します。保存データを暗号化すると、AWS で認証されていないユーザーがアクセスしているディスクにデータが格納されるリスクが軽減されます。また、アクセス制御が強化され、未承認ユーザーによるデータへのアクセスが制限されます。たとえば、データの暗号化を解除して読み取り可能にするには、API のアクセス許可が必要となります。セキュリティを強化するには、保存時にSNS トピックを暗号化する必要があります。詳細については、Amazon Simple Notification Service 開発者ガイドの「Encryption at rest」 (保管時の暗号化) を参照してください。

重大度: 中

VPC フローのログ記録は、すべての VPC で有効にする必要がある

説明: VPC フローログは、VPC を通過するネットワークトラフィックを可視化し、セキュリティイベント中に異常なトラフィックや分析情報を検出するために使用できます。

重大度: 中

GCP データに関する推奨事項

Cloud SQL SQL Server インスタンスの '3625 (トレースフラグ)' データベースフラグが 'off' に設定されていることを確認する

説明: Cloud SQL Server インスタンスの "3625 (トレースフラグ)" データベースフラグを "off" に設定することをお勧めします。トレースフラグは、パフォーマンスの問題を診断したり、ストアドプロシージャや複雑なコンピューターシステムをデバッグしたりするために頻繁に使用されますが、特定のワークロードに悪影響を与える動作に対処するためにMicrosoft サポートが推奨される場合もあります。ドキュメントに記載されているすべてのトレースフラグと Microsoft サポートがお勧めするトレースフラグは、指示どおりに使用した場合、運用環境で完全にサポートされます。 "3625(トレースログ)" は、"******" を使用して一部のエラーメッセージのパラメーターをマスクすることにより、sysadmin 固定サーバーロールのメンバーではないユーザーに返される情報の量を制限します。これは、機密情報の公開を防ぐために役立ちます。そのため、このフラグを無効にすることをお勧めします。この推奨事項は、SQL Server データベースインスタンスに適用されます。

重大度: 中

Cloud SQL SQL Server インスタンスの 'external scripts enabled' データベースフラグが 'off' に設定されていることを確認する

説明: Cloud SQL SQL Server インスタンスの "外部スクリプトが有効になっている" データベースフラグをオフに設定することをお勧めします。 "external scripts enabled" を使用すると、特定のリモート言語拡張機能でスクリプトを実行できます。このプロパティは既定で無効になっています。 Advanced Analytics Services をインストールするとき、必要に応じてセットアップでこのプロパティを true に設定できます。 "External Scripts Enabled" 機能を使用すると、R ライブラリ内のファイルなどの SQL 外部のスクリプトを実行できるため、システムのセキュリティに悪影響を及ぼす可能性があることから、これを無効にする必要があります。この推奨事項は、SQL Server データベースインスタンスに適用されます。

重大度: 高

Cloud SQL SQL Server インスタンスの 'remote access' データベースフラグが 'off' に設定されていることを確認する

説明: Cloud SQL SQL Server インスタンスの "リモートアクセス" データベースフラグを "off" に設定することをお勧めします。"リモートアクセス" オプションは、SQL Server のインスタンスが実行されているローカルサーバーまたはリモートサーバーからのストアドプロシージャの実行を制御します。このオプションの既定値は 1 です。この場合、リモートサーバーからローカルストアドプロシージャを実行する権限、またはローカルサーバーからリモートストアドプロシージャを実行する権限が許可されます。リモートサーバーからローカルストアドプロシージャを実行したり、ローカルサーバーからリモートストアドプロシージャを実行したりすることを防ぐには、これを無効にする必要があります。リモートアクセスオプションでは、リモートサーバー上のローカルストアドプロシージャまたはローカルサーバー上のリモートストアドプロシージャの実行を制御します。 "リモートアクセス" 機能が悪用され、ターゲットに対するクエリ処理をオフロードすることでリモートサーバーに対してサービス拒否 (DoS) 攻撃を開始する可能性があるため、これを無効にする必要があります。この推奨事項は、SQL Server データベースインスタンスに適用されます。

重大度: 高

Cloud SQL Mysql インスタンスの 'skip_show_database' データベースフラグが 'on' に設定されていることを確認する

説明: Cloud SQL Mysql インスタンスの "skip_show_database" データベースフラグを "on" に設定することをお勧めします。'skip_show_database' データベースフラグを指定すると、ユーザーが SHOW DATABASES 権限を持っていない場合に SHOW DATABASES ステートメントを使用できなくなります。これにより、ユーザーが他のユーザーに属するデータベースを見ることができるという懸念がある場合にセキュリティが向上します。その効果は SHOW DATABASES 特権によって異なります。変数値が ON の場合、SHOW DATABASES ステートメントは SHOW DATABASES 権限を持つユーザーにのみ許可され、ステートメントではすべてのデータベース名が表示されます。値が OFF の場合、SHOW DATABASES はすべてのユーザーに許可されますが、ユーザーが SHOW DATABASES またはその他の特権を持つデータベースの名前のみが表示されます。この推奨事項は、Mysql データベースインスタンスに適用されます。

重大度: 低

すべての BigQuery データセットに既定のカスタマーマネージド暗号化キー (CMEK) が指定されていることを確認する

説明: BigQuery は既定で、Google マネージド暗号化キーを使用して Envelope Encryption を使用してデータを保存として暗号化します。データはデータ暗号化キーを使用して暗号化され、データ暗号化キー自体はキー暗号化キーを使用してさらに暗号化されます。これはシームレスであり、ユーザーからの追加の入力は必要ありません。ただし、制御を強化する場合は、BigQuery データセットの暗号化キー管理ソリューションとしてカスタマーマネージド暗号化キー (CMEK) を使用できます。 BigQuery では既定で、Google マネージド暗号化キーを使用するエンベロープ暗号化を使用して、保存中のデータが暗号化されます。これはシームレスであり、ユーザーからの追加の入力は必要ありません。暗号化を強化する場合は、BigQuery データセットの暗号化キー管理ソリューションとしてカスタマーマネージド暗号化キー (CMEK) を使用できます。データセットに既定のカスタマーマネージド暗号化キー (CMEK) を設定すると、他の指定がない場合、将来作成されるすべてのテーブルで、指定された CMEK が使用されるようになります。

Google は、キーをサーバーに保存せず、キーを指定しない限り、保護されたデータにアクセスできません。

これはまた、キーを忘れた場合や紛失した場合、Googleがキーを回復したり、紛失したキーで暗号化されたデータを回復したりする方法がないことを意味します。

重大度: 中

すべての BigQuery テーブルがカスタマーマネージド暗号化キー (CMEK) で暗号化されていることを確認する

説明: BigQuery は既定で、Google マネージド暗号化キーを使用して Envelope Encryption を使用してデータを保存として暗号化します。データはデータ暗号化キーを使用して暗号化され、データ暗号化キー自体はキー暗号化キーを使用してさらに暗号化されます。これはシームレスであり、ユーザーからの追加の入力は必要ありません。ただし、制御を強化する場合は、BigQuery データセットの暗号化キー管理ソリューションとしてカスタマーマネージド暗号化キー (CMEK) を使用できます。 CMEK を使用する場合、Google で管理される暗号化キーを使用する代わりに、データ暗号化キーを暗号化するために CMEK が使用されます。 BigQuery では既定で、Google マネージド暗号化キーを使用するエンベロープ暗号化を使用して、保存中のデータが暗号化されます。これはシームレスであり、ユーザーからの追加の入力は必要ありません。暗号化を細かく制御する場合は、BigQuery テーブルの暗号化キー管理ソリューションとしてカスタマーマネージド暗号化キー (CMEK) を使用できます。 Google で管理される暗号化キーを使用する代わりに、データ暗号化キーを暗号化するために CMEK が使用されます。 BigQuery ではテーブルと CMEK の関連付けが格納され、暗号化/復号化が自動的に行われます。 BigQuery データセットに既定のカスタマーマネージドキーを適用すると、将来作成されるすべての新しいテーブルが CMEK を使用して暗号化されますが、既存のテーブルは、CMEK を使用するように個別に更新する必要があります。

説明: Cloud Storage バケットで均一なバケットレベルのアクセスを有効にすることをお勧めします。均一なバケットレベルのアクセスを使用して、Cloud Storage リソースへのアクセスを許可する方法を統一して簡素化することをお勧めします。 Cloud Storage には、バケットとオブジェクトにアクセスするためのアクセス許可をユーザーに付与するための 2 つのシステムが用意されています。クラウド ID およびアクセス管理 (Cloud IAM) とアクセス制御リスト (ACL)。
これらのシステムは並行して動作します。ユーザーが Cloud Storage リソースにアクセスするには、いずれかのシステムのみがユーザーにアクセス許可を付与する必要があります。 Cloud IAM は Google Cloud 全体で使用され、バケットレベルとプロジェクトレベルでさまざまなアクセス許可を付与できます。 ACL は Cloud Storage でのみ使用され、アクセス許可オプションは限られていますが、オブジェクトごとにアクセス許可を付与できます。

説明: SQL インスタンス構成の変更に対してメトリックフィルターとアラームを確立することをお勧めします。 SQL インスタンス構成の変更を監視すると、SQL サーバーで行われた構成の誤りを検出して修正するために必要な時間が短縮される可能性があります。 SQL インスタンスのセキュリティ体制に影響を与える可能性がある構成可能なオプションをいくつか次に示します。

自動バックアップと高可用性を有効にする: 構成ミスがビジネス継続性、ディザスターリカバリー、高可用性に悪影響を与える可能性がある
ネットワークを承認する: 構成の誤りにより、信頼されていないネットワークへの露出が増加する可能性がある

重大度: 低

各サービスアカウントに GCP 管理サービスアカウントキーのみが存在することを確認する

説明: ユーザーが管理するサービスアカウントには、ユーザーマネージドキーを含めることはできません。キーにアクセスできるユーザーは、サービスアカウントを介してリソースにアクセスできます。 GCP マネージドキーは、App Engine や Compute Engine などの Cloud Platform サービスによって使用されます。これらのキーはダウンロードできません。キーは Google で保持され、おおむね週単位で自動的にローテーションされます。ユーザーマネージドキーは、ユーザーによって作成、ダウンロード、および管理されます。これらは作成から 10 年で期限切れとなります。ユーザーが管理するキーの場合、ユーザーは次のようなキー管理アクティビティの所有権を取得する必要があります。

キー記憶域
キーの配布
キーの失効
キーの交換
承認されていないユーザーからのキー保護
キーの復旧

キー所有者の予防措置を使用しても、キーをソースコードにチェックインしたり、Downloads ディレクトリに残したり、誤ってサポートブログやチャネルに残したりするなど、最適な一般的な開発プラクティスよりも少ない方法で、キーが簡単に漏洩する可能性があります。ユーザーが管理するサービスアカウントキーを禁止することをお勧めします。

重大度: 低

Cloud SQL SQL Server インスタンスの 'user connections' データベースフラグが適切に設定されていることを確認する

説明: 組織で定義された値に従って、Cloud SQL SQL Server インスタンスの "ユーザー接続" データベースフラグを設定することをお勧めします。 "user connections" オプションは、SQL Server のインスタンスで許可される同時ユーザー接続の最大数を指定します。実際に許可されるユーザー接続の数は、使用している SQL Server のバージョンと、アプリケーションまたはアプリケーションとハードウェアの制限によっても異なります。 SQL Server は、最大 32,767 ユーザーの接続に対応しています。ユーザー接続は動的 (自己構成) オプションであるため、SQL Server では、必要に応じて、許容される最大値までユーザー接続の最大数が自動的に調整されます。たとえば、10 人のユーザーがログインしている場合、10 個のユーザー接続オブジェクトが割り当てられます。ほとんどの場合、このオプションの値を変更する必要はありません。既定は 0 で、最大数 (32,767) のユーザー接続を許可することを示します。この推奨事項は、SQL Server データベースインスタンスに適用されます。

重大度: 低

Cloud SQL SQL Server インスタンスの 'user options' データベースフラグが構成されていないことを確認する

説明: Cloud SQL SQL Server インスタンスの "ユーザーオプション" データベースフラグを構成しないことをお勧めします。 "user options" オプションは、すべてのユーザーに対するグローバルな既定値を指定します。ユーザーの作業セッション中に、一連の既定のクエリ処理オプションが設定されます。ユーザーオプション設定を使用すると、SET オプションの既定値を変更できます (サーバーの既定の設定が適切でない場合)。各ユーザーは、SET ステートメントを使用してこれらの既定値をオーバーライドできます。新しいログインについては user options を動的に構成できます。ユーザーオプションの設定を変更すると、新しいログインセッションで新しい設定が使用されます。現在のログインセッションは影響を受けません。この推奨事項は、SQL Server データベースインスタンスに適用されます。

重大度: 低

次の方法で共有

データ セキュリティに関する推奨事項

Azure データに関する推奨事項

AWS データに関する推奨事項

データセキュリティに関する推奨事項