次の方法で共有


データ セキュリティ態勢管理について

デジタル変革が加速するにつれて、組織はオブジェクト ストアやマネージド/ホステッド データベースなどの複数のデータ ストアを使用して、データを指数関数的な速度でクラウドに移動しています。 クラウドの動的で複雑な性質により、データの脅威の対象範囲とリスクが増大します。 このためセキュリティ チームには、データの可視性とクラウドのデータ資産保護に関連する課題がもたらされます。

Microsoft Defender for Cloud のデータ セキュリティ態勢管理は、データへのリスクを軽減し、データ侵害に対応するのに役立ちます。 データ セキュリティ態勢管理を使うと、次のことができます。

  • 複数のクラウドにわたって機密データ リソースを自動的に検出します。
  • データ秘密度やデータ露出について評価し、組織全体でデータがどのように流れるかを評価します。
  • データ侵害につながる可能性のあるリスクを予防的かつ継続的に明らかにします。
  • 機密データ リソースに対する継続的な脅威を示している可能性がある疑わしいアクティビティを検出します。

自動検出

データ セキュリティ態勢管理では、複数のクラウドを対象に、異なる種類のオブジェクト ストアやデータベースなど、管理対象とシャドウのデータ リソースが、自動的かつ継続的に検出されます。

  • Defender Cloud Security Posture Management (CSPM) と Defender for Storage プランに含まれる機密データ検出拡張機能を使用して、機密データを検出できます。
  • さらに、Cloud Security ExplorerとAttack Pathsでは、ホストされたデータベースとデータフローを検出することができます。 この機能は Defender for CSPM プランで使用することができ、機密データ検出拡張機能には依存していません。

スマートサンプリング

Defender for Cloud は、スマート サンプリングを使用して、クラウド データストア内の選択された数のアセットを検出します。 スマートサンプリングの結果、機密データ問題の証拠を検出し、検出コストと時間を節約することができます。

Defender CSPM でのデータ セキュリティ態勢管理

Defender CSPM では、組織のセキュリティ態勢に対する可視性とコンテキスト分析情報を提供します。 データ セキュリティ態勢管理を Defender CSPM プランに追加すると、重大なデータ リスクを事前に特定して優先させ、それらをリスクの低い問題と区別することができます。

攻撃パス

攻撃パス分析は、直ちに脅威を引き起こし、環境内で悪用される可能性が最も高いセキュリティ問題に対処する助けとなります。 Defender for Cloud では、攻撃者が環境を侵害するために使用する可能性のある攻撃パスの一部になっているセキュリティ問題を分析します。 また、リスクを軽減するために解決する必要がある、セキュリティに関する推奨事項が明らかにされます。

インターネットに公開されていて機密データ ストアにアクセスできる VM の攻撃パスによって、データ侵害のリスクを検出できます。 ハッカーは、公開されている VM を悪用して企業全体を横断的に移動し、これらのストアにアクセスできます。

Cloud Security Explorer

クラウド セキュリティ エクスプローラーは、クラウド セキュリティ グラフ (Defender for Cloud のコンテキスト エンジン) でグラフ ベースのクエリを実行することで、クラウド環境内のセキュリティ リスクを特定することを支援します。 組織の特定のコンテキストと規則を考慮しながら、セキュリティ チームの懸念事項に優先順位を付けることができます。

クラウド セキュリティ エクスプローラーのクエリ テンプレートを使用するか、独自のクエリを作成し、マルチクラウド環境全体にわたり、パブリックにアクセスできて機密データが含まれる、正しく構成されていないデータ リソースに関する分析情報を見つけることができます。 クエリを実行してセキュリティの問題を調査し、資産インベントリ、インターネットへの露出、アクセス制御、データ フローなどに対する環境コンテキストを取得することができます。 クラウド グラフの分析情報について確認してください。

Defender for Storage でのデータ セキュリティ態勢管理

Defender for Storage では、高度な脅威検出機能を使用して Azure ストレージ アカウントを監視します。 データへのアクセスやデータの悪用を試みる有害な試みを特定し、侵害につながる可能性のある疑わしい構成変更を特定することで、潜在的なデータ侵害を検出します。

初期の疑わしい兆候が検出されると、Defender for Storage によってセキュリティ アラートが生成されるので、セキュリティ チームは迅速に対応して緩和することができます。

秘密度情報の種類と Microsoft Purview 秘密度ラベルをストレージ リソースに適用すると、機密データに絞ったアラートと推奨事項に簡単に優先順位を付けられます。

Defender for Storage の機密データ検出の詳細については、こちらをご覧ください。

データ秘密度設定

データ秘密度設定では、組織内で何を機密データと見なすかを定義します。 Defender for Cloud でのデータ秘密度の値は、以下に基づいています。

  • 定義済みの機密情報の種類: Defender for Cloud では、Microsoft Purview に組み込まれている機密情報の種類が使用されます。 これによって、サービスとワークロード間で一貫した分類が保証されます。 これらの種類の一部は、Defender for Cloud で既定で有効にされます。 これらの既定値は変更できます。 これらの組み込みの機密情報の種類のうち、機密データ検出でサポートされるサブセットがあります。 このサブセットの参照リストを表示できます。これには、既定でサポートされている情報の種類も一覧表示されます。
  • カスタム情報の種類/ラベル: 必要に応じて、Microsoft Purview コンプライアンス ポータルで定義したカスタムの機密情報の種類とラベルをインポートできます。
  • 機密データのしきい値: Defender for Cloud では、機密データ ラベルのしきい値を設定できます。 このしきい値により、Defender for Cloud でラベルが機密とマークされる最小信頼レベルが決まります。 しきい値を使用すると、機密データの探索が簡単になります。

データ秘密度についてリソースを検出する場合、結果はこれらの設定に基づきます。

Defender CSPM または Defender for Storage プランで、機密データ検出コンポーネントでのデータ セキュリティ態勢管理機能を有効にすると、Defender for Cloud はアルゴリズムを使って、機密データを含むように見えるデータ リソースを特定します。 リソースには、データ秘密度設定に従ってラベルが付けられます。

感度設定の変更は、次にリソースが発見されたときに有効になります。

機密データ検出

機密データ検出により、機密性の高いリソースとその関連するリスクが特定され、それらのリスクの優先順位付けと修復に役立ちます。

Defender for Cloud では、リソースについて、機密情報の種類 (SIT) が検出され、その SIT を機密情報と見なすように構成している場合、機密性が高いと見なされます。 既定で機密性が高いと見なされる SIT の一覧を確認してください。

機密データ検出プロセスは、リソースのデータのサンプルを取得することによって動作します。 次に、リソース内のすべての資産を完全にスキャンすることはせず、サンプル データを使用して、機密性の高いリソースが高い信頼性で特定されます。

機密データ検出プロセスは、種類やホスティング クラウド ベンダーを問わず、すべてのデータストアに共通の SIT とラベルのセットを使用する Microsoft Purview 分類エンジンによって実行されます。

機密データ検出により、機密データの存在がクラウド ワークロード レベルで検出されます。 機密データ検出は、さまざまな種類の機密情報を特定することを目標としていますが、すべての種類が検出されるとは限りません。

クラウド リソースで使用可能なすべての SIT を含む完全なデータ カタログ スキャン結果を取得するには、Microsoft Purview のスキャン機能を使用することをお勧めします。

クラウド ストレージの場合

Defender for Cloud のスキャン アルゴリズムにより、機密情報が含まれる可能性があるコンテナーが選択され、コンテナー内でスキャンされるファイルごとに最大 20 MB がサンプリングされます。

クラウド データベースの場合

Defender for Cloud により、非ブロッキング クエリを使用して、300 から 1,024 行の特定のテーブルとサンプルが選択されます。

次のステップ

データ セキュリティ態勢管理の要件を準備して確認する