Azure Security Center での仮想マシンの保護Protecting your virtual machines in Azure Security Center

Azure セキュリティ センターは、Azure リソースのセキュリティの状態を分析します。Azure Security Center analyzes the security state of your Azure resources. 潜在的なセキュリティの脆弱性を識別すると、Security Center は、必要な管理を構成するプロセスを説明する推奨事項を作成します。When Security Center identifies potential security vulnerabilities, it creates recommendations that guide you through the process of configuring the needed controls. 推奨事項は、仮想マシン (VM)、ネットワーク、SQL、およびアプリケーションといった、Azure のリソースの種類に適用されます。Recommendations apply to Azure resource types: virtual machines (VMs), networking, SQL, and applications.

この記事では、VM に適用される推奨事項について説明します。This article addresses recommendations that apply to VMs. VM に関する推奨事項は、データの収集、システム更新プログラムの適用、マルウェア対策のプロビジョニング、VM ディスクの暗号化などが中心です。VM recommendations center around data collection, applying system updates, provisioning antimalware, encrypting your VM disks, and more. 次の表を参考にすると、VM に関する利用可能な推奨事項と、それぞれを適用した場合の結果を理解しやすくなります。Use the table below as a reference to help you understand the available VM recommendations and what each one will do if you apply it.

VM に関する利用可能な推奨事項Available VM recommendations

推奨Recommendation [説明]Description
サブスクリプションのデータ収集の有効化Enable data collection for subscriptions 各サブスクリプションおよびサブスクリプションのすべての仮想マシン (VM) に対して、セキュリティ ポリシーでデータ収集を有効にすることをお勧めします。Recommends that you turn on data collection in the security policy for each of your subscriptions and all virtual machines (VMs) in your subscriptions.
Azure Storage アカウント暗号化の有効化Enable encryption for Azure Storage Account Azure Storage Service Encryption for Data at Rest を有効化することを推奨します。Recommends that you enable Azure Storage Service Encryption for data at rest. Storage Service Encryption (SSE) は、データが Azure ストレージに書き込まれたときに暗号化し、取得される前に復号化します。Storage Service Encryption (SSE) works by encrypting the data when it is written to Azure storage and decrypts before retrieval. 現在、SSE は Azure Blob service のみに対応し、ブロック BLOB、ページ BLOB、追加 BLOB で使用できます。SSE is currently available only for the Azure Blob service and can be used for block blobs, page blobs, and append blobs. 詳細については、「Storage Service Encryption for Data at Rest」を参照してください。To learn more, see Storage Service Encryption for data at rest.
SSE は Resource Manager ストレージ アカウントでのみサポートされます。SSE is only supported on Resource Manager storage accounts. 現在、クラシック ストレージ アカウントはサポートされていません。Classic storage accounts are currently not supported. クラシック デプロイ モデルと Resource Manager デプロイ モデルについて理解するには、Azure デプロイ モデルに関する記事を参照してください。To understand the classic and Resource Manager deployment models, see Azure deployment models.
セキュリティ構成の修復Remediate security configurations OS 構成を推奨されるセキュリティ構成規則 (パスワードの保存を許可しないなど) に合わせることをお勧めします。Recommends that you align your OS configurations with the recommended security configuration rules, e.g. do not allow passwords to be saved.
システムの更新の適用Apply system updates システムの不足しているセキュリティ更新プログラムおよび重要な更新プログラムを VM にデプロイすることをお勧めします。Recommends that you deploy missing system security and critical updates to VMs.
Just-In-Time ネットワーク アクセス制御の適用Apply a Just-In-Time network access control ジャスト イン タイム VM アクセスを適用することをお勧めします。Recommends that you apply just in time VM access. ジャスト イン タイム機能はプレビュー段階であり、Security Center の Standard レベルで利用できます。The just in time feature is in preview and available on the Standard tier of Security Center. Security Center の価格レベルの詳細については、価格に関するページを参照してください。See Pricing to learn more about Security Center's pricing tiers.
システムの更新後に再起動するReboot after system updates VM を再起動してシステムの更新プログラムの適用プロセスを完了するよう推奨します。Recommends that you reboot a VM to complete the process of applying system updates.
Endpoint Protection をインストールしますInstall Endpoint Protection マルウェア対策プログラムを VM (Windows VM のみ) にプロビジョニングすることをお勧めします。Recommends that you provision antimalware programs to VMs (Windows VMs only).
VM エージェントの有効化Enable VM Agent VM エージェントを必要とする VM を確認できます。Enables you to see which VMs require the VM Agent. パッチのスキャン、基準のスキャン、およびマルウェア対策プログラムをプロビジョニングするには、VM 上に VM エージェントをインストールする必要があります。The VM Agent must be installed on VMs in order to provision patch scanning, baseline scanning, and antimalware programs. 既定では、Azure Marketplace からデプロイされた VM に VM エージェントがインストールされます。The VM Agent is installed by default for VMs that are deployed from the Azure Marketplace. VM エージェントと拡張機能 – パート 2 」の記事には、VM エージェントのインストール方法が記載されています。The article VM Agent and Extensions – Part 2 provides information on how to install the VM Agent.
ディスク暗号化の適用Apply disk encryption Azure Disk Encryption を使用して VM ディスクを暗号化することをお勧めします (Windows VM および Linux VM)。Recommends that you encrypt your VM disks using Azure Disk Encryption (Windows and Linux VMs). VM 上の OS とデータ ボリュームの両方を暗号化することをお勧めします。Encryption is recommended for both the OS and data volumes on your VM.
OS バージョンの更新Update OS version クラウド サービスのオペレーティング システム (OS) のバージョンを、ご利用の OS ファミリで利用できる最新のバージョンに更新するようお勧めします。Recommends that you update the operating system (OS) version for your Cloud Service to the most recent version available for your OS family. Cloud Services の詳細については、 Cloud Services の概要に関するページをご覧ください。To learn more about Cloud Services, see the Cloud Services overview.
脆弱性評価がインストールされていませんVulnerability assessment not installed VM に脆弱性評価ソリューションをインストールすることをお勧めします。Recommends that you install a vulnerability assessment solution on your VM.
脆弱性の修復Remediate vulnerabilities VM にインストールされている脆弱性評価ソリューションによって検出された、システムとアプリケーションの脆弱性を確認できます。Enables you to see system and application vulnerabilities detected by the vulnerability assessment solution installed on your VM.

関連項目See also

その他の Azure リソースの種類に適用される推奨事項の詳細については、次をご覧ください。To learn more about recommendations that apply to other Azure resource types, see the following:

セキュリティ センターの詳細については、次を参照してください。To learn more about Security Center, see the following: