Microsoft Defender for Cloud で データ セキュリティ体制管理 を設定する前に、このページの要件を確認してください。
機密データ検出を有効にする
機密データの検出は、Defender Cloud Security Posture Management (CSPM)、Defender for Storage、Defender for Databases プランで利用できます。
- いずれかのプランを有効にすると、機密データ検出拡張機能がプランの一部として有効になります。
- 既存のプランが実行されている場合、拡張機能は使用できますが、既定ではオフになります。
- 1 つ以上の拡張機能がオンになっていない場合、既存のプランの状態は [完全] ではなく [部分] と表示されます。
- この機能は、サブスクリプション レベルでオンになります。
- 機密データの検出が有効になっているが、Defender CSPM が有効になっていない場合は、ストレージ リソースのみがスキャンされます。
- サブスクリプションで Defender CSPM を有効にし、Purview で同じリソースをスキャンすると、Purview のスキャン結果は無視されます。 既定では、サポートされているリソースの種類に対する Microsoft Defender for Cloud のスキャン結果が表示されます。
サポートされる操作
次の表では、機密データ検出の可用性とサポートされているシナリオをまとめています。
| サポート | 詳細 |
|---|---|
| どの Azure データ リソースを検出できるか |
オブジェクト ストレージ: Azure Storage v1/v2 のブロック BLOB ストレージ アカウント Azure Storage v1/v2 内の Azure ファイル。SMB プロトコルを使用する場合しかサポートされません Azure Data Lake Storage Gen2 プライベート ネットワークの背後にあるストレージ アカウントがサポートされます。 カスタマー マネージド サーバー側キーで暗号化されたストレージ アカウントがサポートされます。 ストレージ アカウント エンドポイントにカスタム ドメインがマップされている場合、アカウントはサポートされません。 前提条件と制限事項: - ファイル共有をスキャンするために、Defender for Cloud はロール Storage File Data Privileged Reader を StorageDataScanner に割り当てます。 データベース Azure SQL Databases Transparent Data Encryption を使用した Azure SQL Databaseの暗号化 |
| どの AWS データ リソースを検出できるか |
オブジェクト ストレージ: AWS S3 バケット Defender for Cloud では、KMS で暗号化されたデータを検出できますが、カスタマー マネージド キーで暗号化されたデータは検出できません。 データベース - Amazon Aurora - Amazon RDS for PostgreSQL - Amazon RDS for MySQL - Amazon RDS for MariaDB - Amazon RDS for SQL Server (非カスタム) - Amazon RDS for Oracle Database (非カスタム、SE2 エディションのみ) 前提条件と制限事項: - 自動バックアップを有効にする必要があります。 - スキャン目的で作成された IAM ロール (既定では DefenderForCloud-DataSecurityPostureDB) には、RDS インスタンスの暗号化に使用される KMS キーへのアクセス許可が必要です。 - オプション グループを永続的なオプションと合わせて使用する DB スナップショットを共有することはできません。ただし、タイムゾーンまたは OLS オプション (またはその両方) を持つ Oracle DB インスタンスは例外です。 詳細情報 |
| どの GCP データ リソースを検出できますか? | GCP ストレージ バケット Standard クラス Geo: リージョン、デュアル リージョン、マルチ リージョン |
| 検出のためにどのアクセス許可が必要か | ストレージ アカウント: サブスクリプション所有者 or Microsoft.Authorization/roleAssignments/* (読み取り、書き込み、削除) 、Microsoft.Security/pricings/* (読み取り、書き込み、削除) 、Microsoft.Security/pricings/SecurityOperators (読み取り、書き込み)Amazon S3 バケットおよび RDS インスタンス: Cloud Formation を実行するための AWS アカウントのアクセス許可 (ロールを作成するため)。 GCP ストレージ バケット: スクリプトを実行するための Google アカウントのアクセス許可 (ロールを作成するため)。 |
| 機密データの検出ではどのファイルの種類がサポートされているか | サポートされているファイルの種類 (サブセットは選択できません) - .doc、.docm、.docx、.dot、.gz、.odp、.ods、.odt、.pdf、.pot、.pps、.ppsx、.ppt、.pptm、.pptx、.xlc、.xls、.xlsb、.xlsm、.xlsx、.xlt、.csv、.json、.psv、.ssv、.tsv、.txt、.xml、.parquet、.avro、.orc。 |
| どの Azure リージョンがサポートされていますか。 | Azure ストレージ アカウントは、次で検出できます。 西ヨーロッパ (westeurope)、カナダ中部 (カナダ中部)、英国南部 (英国東部)、東日本 (japaneast)、米国東部 2 (eastus2)、オーストラリア東部 (オーストラリア東部)、カナダ東部 (カナダ東部)、米国東部 (東部)、米国中南部 (南中部)、北 米国中部 (北中部)、米国西部 2 (westus2)、東南アジア (東南アジア)、米国中部 (中央)、ブラジル南部 (ブラジル中部)、フランス中部 (フランス中部)、北ヨーロッパ (北ヨーロッパ)、西日本 (japanwest)、オーストラリア南東部 (australiasoutheast)、 米国西部 (westus)、米国東部 2 EUAP (eastus2euap)、Australia Central (australiacentral)、East Asia (eastasia)、UK West (ukwest)、Central India (centralindia)、ノルウェー東部 (ノルウェー東部)、南アフリカ北部 (南アフリカ北部)、スウェーデン中部 (スウェーデン) )、米国西部 3 (westus3)、米国中西部 (西中央)、インド南部 (南インド)、アラブ首長国連邦北部 (アラブ首長国連邦)、スイス北部 (スイス北)、ドイツ中西部 (ドイツ西部)、韓国中部 (韓国中部)、韓国南部 (韓国中部)、 Jio India West (jioindiawest)、イスラエル中部 (イスラエル中部)、スイス西部 (スイス西部)、ポーランド中部 (ポーランド中部)、ドイツ北部 (ドイツ北)、イタリア北部 (イタリア北)、ノルウェー西部 (ノルウェー西部)、オーストラリア中部 2 (オーストラリア中部)ral2)、南アフリカ西部 (南アフリカ西部)、メキシコ中部 (メキシコ中部)、アラブ首長国連邦中部 (アラブ首長国連邦中部)、フランス南部 (フランス南部)、ブラジル南東部 (ブラジル南部)、Jio India Central (jioindiacentral)、スウェーデン南部 (スウェーデン中部)、スペイン中部(スペイン中心)、ニュージーランド北部 (newzealandnorth) Azure SQL データベースは、Defender CSPM データベースと Azure SQL データベースがサポートされている任意のリージョンで検出できます。 |
| どの AWS リージョンがサポートされているか | S3: EU (ストックホルム)、EU (ロンドン)、EU (パリ)、アジア太平洋 (ムンバイ)、カナダ (中央)、南アメリカ (サンパウロ)、米国西部 (N. カリフォルニア)、米国西部 (オレゴン)、アジア太平洋 (東京)、アジア太平洋 (シンガポール)、アジア太平洋 (シドニー)、EU (アイルランド)、米国東部 (N. バージニア)、EU (フランクフルト)、米国東部 (オハイオ) RDS: アフリカ (ケープタウン)、アジア太平洋 (香港特別行政区)、アジア太平洋 (ハイデラバード)、アジア太平洋 (メルボルン)、アジア太平洋 (ムンバイ)、アジア太平洋 (大阪)、アジア太平洋 (ソウル)、アジア太平洋 (シンガポール)、アジア太平洋 (シドニー)、アジア太平洋 (東京)、カナダ (中部)、ヨーロッパ (フランクフルト)、ヨーロッパ (アイルランド)、ヨーロッパ (ロンドン)、ヨーロッパ (パリ)、ヨーロッパ (ストックホルム)、ヨーロッパ (チューリッヒ)、中東 (UAE)、南アメリカ (サンパウロ)、米国東部 (オハイオ)、米国東部 (北バージニア)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)。 検出は、リージョン内でローカルに実行されます。 |
| どの GCP リージョンがサポートされていますか? | Tel Aviv (me-west1)、Mumbai (asia-south1)、South Carolina (us-east1)、モントリオール (northamerica-northeast1)、アイオワ (us-central1)、オレゴン (us-west1)、ベルギー (ヨーロッパ西部1)、北バージニア (us-east4) |
| エージェントをインストールする必要があるか | いいえ、検出にはエージェントのインストールは必要ありません。 |
| どのようなコストがあるか | この機能は Defender CSPM プランと Defender for Storage プランに含まれており、それぞれのプランのコスト以外の追加コストは発生しません。 |
| その他のコスト | Azure Storage アカウントの機密データ検出は、他の Azure サービスに依存します。 この依存により、Azure Storage の読み取り操作など、追加のコストが発生する可能性があります。 |
| データ秘密度設定を表示または編集するためにどのアクセス許可が必要か | 以下のいずれかの Microsoft Entra ロールが必要です。 |
| オンボードを実行するには、どのアクセス許可が必要ですか? | これらの Azure ロールベースのアクセス制御 (Azure RBAC) ロールのいずれかが必要です: セキュリティ管理者、共同作成者、サブスクリプション レベルの所有者 (GCP プロジェクトが存在する場所)。 セキュリティの発見事項を使用する場合: (GCP プロジェクトのある) サブスクリプション レベルでセキュリティ閲覧者、セキュリティ管理者、共同作成者、所有者。 |
データの秘密度設定を構成する
データ秘密度設定を構成するための主な手順には、以下が含まれます。
Microsoft Purview での秘密度ラベルの詳細を確認してください。
検出
Defender for Cloud は、プランを有効にした直後、またはプラン機能を有効にした後に、データの検出を開始します。
オブジェクト ストレージの場合:
- 結果は、24 時間以内に初めて検出できます。
- 検出されたリソース内のファイルを更新すると、データは 8 日以内に更新されます。
- 既に検出されたサブスクリプションに追加された新しい Azure ストレージ アカウントは、24 時間以内に検出されます。
- 既に検出された AWS アカウントまたは Google アカウントに追加された新しい AWS S3 バケットまたは GCP ストレージ バケットは、48 時間以内に検出されます。
- ストレージの機密データ検出は、リージョン内でローカルに行われます。 これにより、データがリージョンから離れないようにします。 ファイル、BLOB、バケット名、検出された秘密度ラベル、識別された機密情報の種類 (SID) の名前などのリソース メタデータのみが、Defender for Cloud に転送されます。
データベースの場合 :
- 毎週スキャンされます。
- 新しく有効になったサブスクリプションの場合、結果は 24 時間以内に表示されます。
クラウド セキュリティ エクスプローラー
Azure ストレージ アカウント、AWS バケット、GCP バケットなど、関連する分析情報に関係なく、すべてのストレージの種類が表示されます。 BLOB コンテナーとファイル共有を含む Azure ストレージ アカウントの場合は、次の規則が適用されます。
BLOB コンテナーは、次のいずれかの条件を満たしている場合に表示されます。
機密データを含む分析情報があります。
パブリック アクセスの分析情報があります。
別の BLOB との間のレプリケーション規則を持っています。
ファイル共有は、"機密データを含む" 分析情報がある場合にのみ表示されます。
Azure ストレージ アカウントを検出してスキャンする
Azure ストレージ アカウントをスキャンするために、Microsoft Defender for Cloud は新しい storageDataScanner リソースを作成し、Storage Blob Data Reader ロールを割り当てます。 このロールには、次の権限が許可されます。
- リスト
- 既読
プライベート ネットワークの背後にあるストレージ アカウントの場合、ストレージ アカウントのネットワーク ルール構成で許可されているリソース インスタンスの一覧に StorageDataScanner が含まれています。
AWS S3 バケットを検出してスキャンする
Defender for Cloud で AWS リソースを保護するために、AWS アカウントをオンボードするための CloudFormation テンプレートを使用して AWS コネクタを設定します。
- AWS データ リソースを検出するために、Defender for Cloud によって CloudFormation テンプレートが更新されます。
- CloudFormation テンプレートは、AWS IAM に新しいロールを作成して、Defender for Cloud スキャナーが S3 バケット内のデータにアクセスするためのアクセス許可を許可します。
- AWS アカウントを接続するには、そのアカウントに対する管理者アクセス許可が必要です。
- このロールでは、S3 読み取り専用、KMS 復号化のアクセスが許可されます。
AWS RDS インスタンスを検出してスキャンする
Defender for Cloud で AWS リソースを保護するために、AWS アカウントをオンボードするための CloudFormation テンプレートを使用して AWS コネクタを設定します。
- AWS RDS インスタンスを検出するために、Defender for Cloud によって CloudFormation テンプレートが更新されます。
- CloudFormation テンプレートは、AWS IAM に新しいロールを作成して、Defender for Cloud スキャナーがインスタンスの最後に使用可能な自動スナップショットを取得し、同じ AWS リージョン内の分離されたスキャン環境でオンラインにするためのアクセス許可を許可します。
- AWS アカウントを接続するには、そのアカウントに対する管理者アクセス許可が必要です。
- 関連する RDS インスタンス/クラスターで自動スナップショットを有効にする必要があります。
- このロールでは、次のアクセス権限が許可されます (正確な定義については、CloudFormation テンプレートを確認してください):
- すべての RDS DB/クラスターを一覧表示する
- すべての DB/クラスター スナップショットをコピーする
- プレフィックス defenderfordatabases を使用して DB/クラスター スナップショットを削除/更新する
- すべての KMS キーを一覧表示する
- ソース アカウントの RDS に対してのみすべての KMS キーを使用する
- タグ プレフィックス DefenderForDatabases を持つすべての KMS キーの作成とフル コントロール
- KMS キーのエイリアスを作成する
- KMS キーは、RDS インスタンスを含むリージョンごとに 1 回作成されます。 KMS キーを作成すると、AWS KMS の価格に従って、最小限の追加コストが発生する場合があります。
GCP ストレージ バケットを検出してスキャンする
Defender for Cloud で GCP リソースを保護するには、スクリプト テンプレートを使用して Google コネクタを設定し、GCP アカウントをオンボードします。
- GCP ストレージ バケットを検出するため、Defender for Cloud によってスクリプト テンプレートが更新されます。
- Defender for Cloud スキャナーが GCP ストレージ バケット内のデータにアクセスすることを許可するために、スクリプト テンプレートにより Google アカウント内に新しいロールが作成されます。
- Google アカウントを接続するには、そのアカウントに対する管理者アクセス許可が必要です。
インターネットに公開済み/パブリック アクセスを許可
Defender CSPM 攻撃パスとクラウド セキュリティ グラフの分析情報には、インターネットに公開され、パブリック アクセスを許可するストレージ リソースに関する情報が含まれます。 次の表で詳細に説明します。
| State | Azure ストレージ アカウント | AWS S3 バケット | GCP ストレージ バケット |
|---|---|---|---|
| インターネットに公開済み | 次のいずれかの設定が有効になっている場合、Azure ストレージ アカウントはインターネットに公開済みと見なされます。 [Storage_account_name]>[ネットワーク]>[パブリック ネットワーク アクセス]>[すべてのネットワークから有効] または [Storage_account_name]>[ネットワーク]>[パブリック ネットワーク アクセス]>[選択した仮想ネットワークと IP アドレスから有効]。 |
AWS アカウント/AWS S3 バケット ポリシーに IP アドレスの条件が設定されていない場合、AWS S3 バケットはインターネットに公開済みと見なされます。 | 既定では、すべての GCP ストレージ バケットがインターネットに公開されます。 |
| パブリック アクセスを許可 | Azure ストレージ アカウント コンテナーは、ストレージ アカウントでこれらの設定が有効になっている場合、パブリック アクセスを許可と見なされます。 Storage_account_name >[構成]>[BLOB への匿名アクセスを許可]>[有効化]。 さらに次のいずれかの設定: [Storage_account_name]>[コンテナー]>[container_name]>[パブリック アクセス レベル] が [BLOB (BLOB 専用の匿名読み取りアクセス)] に設定されている。 または、[Storage_account_name]>[コンテナー]>[container_name]>[パブリック アクセス レベル] が [コンテナー (コンテナーと BLOB の匿名読み取りアクセス)] に設定されている。 |
AWS アカウントと AWS S3 バケットの両方で [すべてのパブリック アクセスをブロックする] が [オフ] に設定されていて、次のいずれかが設定されている場合、AWS S3 バケットはパブリック アクセスを許可と見なされます。 ポリシーで、RestrictPublicBuckets は有効ではなく、[プリンシパル] 設定が [*] に設定され、[効果] が [許可] に設定されている。 または、アクセス制御リストで IgnorePublicAcl が有効ではなく、[すべてのユーザー] または [認証済みユーザー] に対してアクセス許可が許可されている。 |
次の条件を満たす IAM (Identity and Access Management) ロールがある場合、GCP ストレージ バケットはパブリック アクセスを許可すると見なされます: プリンシパルの allUsers または allAuthenticatedUsersにロールが付与されます。 ロールには、storage.buckets.create または storage.buckets.list "以外" のストレージ アクセス許可が少なくとも 1 つあります。 GCP のパブリック アクセスは Public to internet と呼ばれています。 |
データベース リソースはパブリック アクセスを許可していませんが、インターネットに公開される可能性はあります。
インターネット公開の分析情報は、次のリソースで利用できます:
Azure:
- Azure SQL サーバー
- Azure Cosmos DB
- Azure SQL Managed Instance
- Azure MySQL 単一サーバー
- Azure MySQL フレキシブル サーバー
- Azure PostgreSQL 単一サーバー
- Azure PostgreSQL フレキシブル サーバー
- Azure MariaDB 単一サーバー
- Synapse ワークスペース
AWS:
- RDS インスタンス
Note
- 0.0.0.0/0 を含む露出ルールは、"過度に公開されている" と見なされます。つまり、パブリック IP からアクセスできます。
- 公開ルール "0.0.0.0" を持つ Azure リソースは、(テナントまたはサブスクリプションに関係なく) Azure 内の任意のリソースからアクセスできます。
関連するコンテンツ
データ セキュリティ態勢管理を有効にします。