Azure SQL Database ベースラインの作成
Azure SQL Database は、Microsoft SQL Server と同じ機能の多くをサポートするクラウドベースのリレーショナル データベース製品群です。 Azure SQL Database により、オンプレミスのデータベースから組み込みの診断、冗長性、セキュリティ、スケーラビリティを備えたクラウドベースのデータベースへの移行が簡単になります。
Azure SQL Database セキュリティに関する推奨事項
以降のセクションでは、CIS Microsoft Azure Foundations セキュリティ ベンチマーク v. 1.3.0 に含まれる Azure SQL Database の推奨事項について説明します。 各推奨事項には、Azure portal で実行するための基本的な手順が含まれています。 これらの手順は、独自のサブスクリプションに対して実行し、独自のリソースを使用して各セキュリティに関する推奨事項を検証する必要があります。
監査を有効にする - レベル 1
Azure SQL Database および Azure Synapse Analytics の監査では、データベース イベントが追跡され、Azure ストレージ アカウント、Azure Log Analytics ワークスペース、または Azure Event Hubs の監査ログに書き込まれます。 また、監査によって以下を行うことができます。
- 規制コンプライアンスを維持し、データベース アクティビティを理解し、ビジネスに関する懸念やセキュリティ違反の疑いを警告している可能性がある不一致や異常に関する分析情報を得るときに役立ちます。
- コンプライアンスを保証するものではありませんが、標準へのコンプライアンスを強化します。
監査を有効にするには、Azure サブスクリプション内のデータベースごとに、次の手順を実行します。
Azure portal にサインインします。 SQL データベースを検索して選択します。
左側のメニューの [セキュリティ] で、[監査] を選択します。
[監査] ペインで、[Azure SQL の監査を有効にする] を有効にし、少なくとも 1 つの監査ログの記録先を選択します。
設定を変更する場合は、メニュー バーで [保存] を選択します。
監査の詳細については、「Azure SQL Database および Azure Synapse Analytics の監査」を参照してください。
Microsoft Defender for Cloud での SQL 保護を有効にする - レベル 1
Microsoft Defender for Cloud では、データベースにアクセスしたり悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す、異常なアクティビティが検出します。 Defender for Cloud では、次のものを識別できます。
- SQL インジェクションの可能性。
- 通常とは異なる場所またはデータ センターからのアクセス。
- 見慣れないプリンシパルまたは有害な可能性のあるアプリケーションからのアクセス
- SQL 資格情報に対するブルート フォース攻撃。
Defender for Cloud メニューで、SQL 脅威にアクセスして管理できます。
Azure portal にサインインします。 「Microsoft Defender for Cloud」を検索して選択します。
左側のメニューの [管理] で、[環境設定] を選択します。
[Defender プラン] ペインの [Microsoft Defender for] で、[Azure SQLデータベース] を [オン] に設定します。
![[Azure SQL Databases] プランが [オン] に設定された [Defender プラン] ペインを示すスクリーンショット。](media/azure-sql-database/defender-for-cloud-plans-azure-sql-database.png)
Azure のホームに戻ります。 SQL データベースを検索して選択します。
データベース インスタンスごとに、左側のメニューの [セキュリティ] で、[Microsoft Defender for Cloud] を選択します。 SQL Database インスタンスのセキュリティに関する推奨事項、アラート、脆弱性評価の結果を表示します。
![[Azure SQL Databases] プランが [オン] に設定された [Defender プラン] ペインを示すスクリーンショット。](media/azure-sql-database/defender-for-cloud-plans-azure-sql-database.png#lightbox)
監査のリテンション期間を 91 日以上に構成する - レベル 1
監査ログは、セキュリティや検出のため、また法律および規制上のコンプライアンス要件を満たすために、保存する必要があります。 Azure サブスクリプション内の各 Azure SQL Database インスタンスについて、次の手順を実行します。
Azure portal にサインインします。 SQL データベースを検索して選択します。
左側のメニューの [セキュリティ] で、[監査] を選択します。
監査ログの保存先を選択し、[詳細プロパティ] を展開します。
[リテンション期間 (日数)] が "90 日を超えている" ことを確認します。
設定を変更する場合は、メニュー バーで [保存] を選択します。
