概要 - データ セキュリティ態勢管理について
デジタル変革が加速するにつれて、組織はオブジェクト ストアやマネージド/ホステッド データベースなどの複数のデータ ストアを使用して、データを指数関数的な速度でクラウドに移動しています。 クラウドの動的で複雑な性質により、データの脅威の対象範囲とリスクが増大します。 セキュリティ チームは、データの可視性とクラウド データ資産の保護に関する課題に直面しています。
Microsoft Defender for Cloud のデータ セキュリティ態勢管理は、データ リスクを軽減し、データ侵害に対応するのに役立ちます。 データ セキュリティ態勢管理を使うと、次のことができます。
- 複数のクラウドにわたって機密データ リソースを自動的に検出します。
- データ秘密度やデータ露出について評価し、組織全体でデータがどのように流れるかを評価します。
- データ侵害につながる可能性のあるリスクを予防的かつ継続的に明らかにします。
- 機密データ リソースに対する継続的な脅威を示している可能性がある疑わしいアクティビティを検出します。
自動検出
データ セキュリティ態勢管理では、クラウド全体の管理対象とシャドウのデータ リソースが検出されます。 これには、さまざまな種類のオブジェクト ストアとデータベースが含まれます。
- Defender Cloud Security Posture Management (CSPM) と Defender for Storage プランに含まれる機密データ検出拡張機能を使用して、機密データを検出します。
- さらに、クラウド セキュリティ エクスプローラーと攻撃パスで、ホストされたデータベースとデータ フローを検出することができます。 この機能は Defender for CSPM プランで使用することができ、機密データ検出拡張機能には依存していません。
スマートサンプリング
Defender for Cloud は、スマート サンプリングを使用して、クラウド データストア内の選択された数のアセットを検出します。 スマート サンプリングでは、検出コストと時間を節約しながら、機密データの問題の証拠を検出します。
Defender CSPM でのデータ セキュリティ態勢管理
Defender CSPM では、組織のセキュリティ態勢に対する可視性とコンテキスト分析情報を提供します。 データ セキュリティ態勢管理を Defender CSPM プランに追加すると、重大なデータ リスクを事前に特定して優先させ、それらをリスクの低い問題と区別することができます。
攻撃パス
攻撃パス分析は、差し迫った脅威をもたらし、環境内で悪用される可能性が最も高いセキュリティの問題に対処するのに役立ちます。 Defender for Cloud では、攻撃者が環境を侵害するために使用する可能性のある攻撃パスの一部になっているセキュリティ問題を分析します。 また、リスクを軽減するために解決が必要なセキュリティに関する推奨事項も強調表示されます。
インターネットに公開されていて機密データ ストアにアクセスできる VM の攻撃パスによって、データ侵害のリスクを検出できます。 ハッカーは、公開されている VM を悪用して企業全体を横断的に移動し、これらのストアにアクセスできます。
Cloud Security Explorer
クラウド セキュリティ エクスプローラーは、Defender for Cloud のコンテキスト エンジンであるクラウド セキュリティ グラフでグラフベースのクエリを実行することで、クラウド環境内のセキュリティ リスクを特定するのに役立ちます。 組織の特定のコンテキストと規則を考慮しながら、セキュリティ チームの懸念事項に優先順位を付けることができます。
クラウド セキュリティ エクスプローラーのクエリ テンプレートを使用して、正しく構成されていないデータ リソースに関する分析情報を見つけます。 独自のクエリを作成することもできます。 これらのリソースはパブリックにアクセスでき、マルチクラウド環境全体の機密データが含まれています。 クエリを実行してセキュリティの問題を調査し、資産インベントリ、インターネットへの露出、アクセス制御、データ フローなどに対する環境コンテキストを取得することができます。 クラウド グラフの分析情報について確認してください。
Defender for Storage でのデータ セキュリティ態勢管理
Defender for Storage では、高度な脅威検出機能を使用して Azure ストレージ アカウントを監視します。 データにアクセスしたり、データを悪用する有害な試みや、侵害につながる可能性のある疑わしい構成変更を特定することで、潜在的なデータ侵害を検出します。
Defender for Storage では、初期の疑わしい兆候が検出されると、セキュリティ アラートが生成されるので、セキュリティ チームは迅速に対応して軽減することができます。
機密データに絞ったアラートと推奨事項に簡単に優先順位を付けるために、秘密度情報の種類と Microsoft Purview 秘密度ラベルをストレージ リソースに適用します。
Defender for Storage の機密データ検出の詳細については、こちらをご覧ください。
データ秘密度設定
データ秘密度設定では、組織内で何を機密データと見なすかを定義します。 Defender for Cloud では、以下に基づいてデータ秘密度の値が設定されます。
- 定義済みの機密情報の種類: Defender for Cloud では、Microsoft Purview に組み込まれている機密情報の種類が使用されます。 この方法により、サービスとワークロード間で一貫した分類が保証されます。 Defender for Cloud では、これらの種類の一部が既定で有効になります。 これらの既定値は変更できます。 これらの組み込みの機密情報の種類のうち、機密データ検出でサポートされるサブセットがあります。 このサブセットの参照リストを表示できます。これには、既定でサポートされている情報の種類も一覧表示されます。
- カスタム情報の種類/ラベル: 必要に応じて、Microsoft Purview コンプライアンス ポータルで定義したカスタムの機密情報の種類とラベルをインポートできます。
- 機密データのしきい値: Defender for Cloud では、機密データ ラベルのしきい値を設定できます。 このしきい値により、Defender for Cloud でラベルが機密とマークされる最小信頼レベルが決まります。 しきい値を使用すると、機密データの探索が簡単になります。
データ秘密度についてリソースを検出する場合、Defender for Cloud ではこれらの設定に基づいて結果が得られます。
Defender CSPM または Defender for Storage プランの機密データ検出コンポーネントを使用して、データ セキュリティ態勢管理を有効にします。 この機能により、Defender for Cloud では機密データを含むデータ リソースを特定できます。 Defender for Cloud では、データの秘密度設定に従ってリソースにラベルが付けられます。
秘密度設定の変更は、次回 Defender for Cloud でリソースが検出されたときに有効になります。
機密データ検出
機密データ検出では、機密性の高いリソースとその関連するリスクが特定され、それらのリスクの優先順位付けと修復に役立ちます。
Defender for Cloud では、リソースについて、機密情報の種類 (SIT) が検出され、その SIT を機密と見なすように構成している場合、機密性が高いと見なされます。 既定で機密性が高いと見なされる SIT の一覧を確認してください。
機密データ検出プロセスは、リソースのデータをサンプリングすることによって動作します。 リソース内のすべての資産を完全にスキャンすることはせず、サンプル データを使用して、機密性の高いリソースが高い信頼性で特定されます。
Microsoft Purview 分類エンジンによって、機密データ検出プロセスが実行されます。 種類やホスティング クラウド ベンダーに関係なく、すべてのデータストアに共通の SID とラベルのセットが使用されます。
機密データ検出では、クラウド ワークロード レベルで機密データが検出されます。 機密データ検出は、さまざまな種類の機密情報を特定することを目標としていますが、すべての種類が検出されるとは限りません。
クラウド リソースで使用可能なすべての SIT を含む完全なデータ カタログ スキャン結果を取得するには、Microsoft Purview のスキャン機能を使用します。
クラウド ストレージの場合
Defender for Cloud のスキャン アルゴリズムにより、機密情報が含まれる可能性があるコンテナーが選択され、コンテナー内でスキャンされるファイルごとに最大 20 MB がサンプリングされます。
クラウド データベースの場合
Defender for Cloud により、非ブロッキング クエリを使用して、300 から 1,024 行の特定のテーブルとサンプルが選択されます。
次のステップ
データ セキュリティ態勢管理の要件を準備して確認する。