チュートリアル:単一データベースまたはプールされたデータベースをセキュリティで保護するTutorial: Secure a single or pooled database

Azure SQL Database では、次の操作を行うことで、単一データベースまたはプールされたデータベース内のデータをセキュリティで保護できます。Azure SQL Database secures data in a single or pooled database by allowing you to:

  • ファイアウォール規則を使用したアクセス制限Limit access using firewall rules
  • ID の入力を求める認証メカニズムの使用Use authentication mechanisms that require identity
  • ロールベースのメンバーシップとアクセス許可による認可の使用Use authorization with role-based memberships and permissions
  • セキュリティ機能の有効化Enable security features

注意

マネージド インスタンス上の Azure SQL データベースは、Azure SQL Database Managed Instance接続アーキテクチャに関するページに記載されているように、ネットワーク セキュリティ規則とプライベート エンドポイントを使用してセキュリティで保護されます。An Azure SQL database on a managed instance is secured using network security rules and private endpoints as described in Azure SQL database managed instance and connectivity architecture.

いくつかの簡単な手順だけで、データベースのセキュリティを向上させることができます。You can improve your database security with just a few simple steps. このチュートリアルで学習する内容は次のとおりです。In this tutorial you learn how to:

  • サーバーレベルとデータベースレベルのファイアウォール規則を作成するCreate server-level and database-level firewall rules
  • Azure Active Directory (AD) 管理者を構成するConfigure an Azure Active Directory (AD) administrator
  • SQL 認証、Azure AD 認証、セキュリティで保護された接続文字列を使用して、ユーザー アクセスを管理するManage user access with SQL authentication, Azure AD authentication, and secure connection strings
  • Advanced Data Security、監査、データ マスク、暗号化などのセキュリティ機能を有効にするEnable security features, such as advanced data security, auditing, data masking, and encryption

詳細については、Azure SQL Database のセキュリティの概要機能に関する記事を参照してください。To learn more, see the Azure SQL Database security overview and capabilities articles.

前提条件Prerequisites

このチュートリアルを完了するには、前提条件として次のものが必要です。To complete the tutorial, make sure you have the following prerequisites:

Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。If you don't have an Azure subscription, create a free account before you begin.

Azure ポータルにサインインします。Sign in to the Azure portal

このチュートリアルのすべての手順は、Azure portal にサインインして行いますFor all steps in the tutorial, sign in to Azure portal

ファイアウォール規則を作成するCreate firewall rules

SQL データベースは、Azure 内のファイアウォールによって保護されます。SQL databases are protected by firewalls in Azure. 既定では、サーバーとデータベースに対する接続は、他の Azure サービスからの接続を除き、すべて拒否されます。By default, all connections to the server and database are rejected, except for connections from other Azure services. 詳細については、Azure SQL Database のサーバーレベルとデータベースレベルのファイアウォール規則に関するページを参照してください。To learn more, see Azure SQL Database server-level and database-level firewall rules.

最も安全な構成は、[Azure サービスへのアクセスを許可][オフ] にしておくことです。Set Allow access to Azure services to OFF for the most secure configuration. 次に、Azure VM やクラウド サービスなど、接続する必要があるリソース用に予約済み IP (クラシック デプロイ) を作成し、その IP アドレスだけにファイアウォール経由のアクセスを許可します。Then, create a reserved IP (classic deployment) for the resource that needs to connect, such as an Azure VM or cloud service, and only allow that IP address access through the firewall. Resource Manager デプロイ モデルを使用している場合は、リソースごとに専用のパブリック IP アドレスが必要です。If you're using the resource manager deployment model, a dedicated public IP address is required for each resource.

注意

SQL Database の通信は、ポート 1433 上で行われます。SQL Database communicates over port 1433. 企業ネットワーク内から接続しようとしても、ポート 1433 での送信トラフィックがネットワークのファイアウォールで禁止されている場合があります。If you're trying to connect from within a corporate network, outbound traffic over port 1433 may not be allowed by your network's firewall. その場合、管理者によってポート 1433 が開放されない限り、Azure SQL Database サーバーに接続することはできません。If so, you can't connect to the Azure SQL Database server unless your administrator opens port 1433.

SQL Database サーバーのファイアウォール規則を設定するSet up SQL Database server firewall rules

サーバーレベルの IP ファイアウォール規則は、同じ SQL Database サーバー内のすべてのデータベースに適用されます。Server-level IP firewall rules apply to all databases within the same SQL Database server.

サーバーレベルのファイアウォール規則を設定する手順は次のとおりです。To set up a server-level firewall rule:

  1. Azure portal で、左側のメニューから [SQL データベース] を選択し、[SQL データベース] ページで目的のデータベースをクリックします。In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

    サーバーのファイアウォール規則

    注意

    チュートリアルの後の手順で使用するために、完全修飾サーバー名 (yourserver.database.windows.net など) をコピーしておいてください。Be sure to copy your fully qualified server name (such as yourserver.database.windows.net) for use later in the tutorial.

  2. [概要] ページで、[サーバー ファイアウォールの設定] を選択します。On the Overview page, select Set server firewall. データベース サーバーの [ファイアウォール設定] ページが開きます。The Firewall settings page for the database server opens.

    1. ツール バーの [クライアント IP の追加] を選択し、現在の IP アドレスを新しいファイアウォール規則に追加します。Select Add client IP on the toolbar to add your current IP address to a new firewall rule. この規則は、単一の IP アドレスまたは一定範囲の IP アドレスに対して、ポート 1433 を開くことができます。The rule can open port 1433 for a single IP address or a range of IP addresses. [保存] を選択します。Select Save.

    サーバーのファイアウォール規則の設定

    1. [OK] を選択し、[ファイアウォール設定] ページを閉じます。Select OK and close the Firewall settings page.

これで、指定した IP アドレスまたは IP アドレスの範囲を使用して、サーバー内の任意のデータベースに接続できるようになりました。You can now connect to any database in the server with the specified IP address or IP address range.

重要

既定では、[Azure サービスへのアクセスを許可] により、すべての Azure サービスで SQL Database ファイアウォール経由のアクセスが有効になります。By default, access through the SQL Database firewall is enabled for all Azure services, under Allow access to Azure services. すべての Azure サービスに対してアクセスを無効にするには、[オフ] を選択します。Choose OFF to disable access for all Azure services.

データベースのファイアウォール規則の設定Setup database firewall rules

データベースレベルのファイアウォール規則は、個々のデータベースのみに適用されます。Database-level firewall rules only apply to individual databases. これらの規則は移植可能で、サーバーのフェールオーバー中はデータベースに従います。These rules are portable and will follow the database during a server failover. データベースレベルのファイアウォール規則は、サーバーレベルのファイアウォール規則を構成した後にのみ、Transact-SQL (T-SQL) ステートメントを使用して構成することができます。Database-level firewall rules can only be configured using Transact-SQL (T-SQL) statements, and only after you've configured a server-level firewall rule.

データベースレベルのファイアウォール規則を設定する手順は次のとおりです。To setup a database-level firewall rule:

  1. SQL Server Management Studio などを使用して、データベースに接続します。Connect to the database, for example using SQL Server Management Studio.

  2. オブジェクト エクスプローラーでデータベースを右クリックし、[新しいクエリ] を選択します。In Object Explorer, right-click the database and select New Query.

  3. クエリ ウィンドウで次のステートメントを追加し、その IP アドレスをお使いのパブリック IP アドレスに変更します。In the query window, add this statement and modify the IP address to your public IP address:

    EXECUTE sp_set_database_firewall_rule N'Example DB Rule','0.0.0.4','0.0.0.4';
    
  4. ツール バー上で [実行] を選択して、ファイアウォール規則を作成します。On the toolbar, select Execute to create the firewall rule.

注意

sp_set_firewall_rule コマンドを使用して、SSMS でサーバーレベルのファイアウォール規則を作成することもできます。ただし、master データベースに接続する必要があります。You can also create a server-level firewall rule in SSMS by using the sp_set_firewall_rule command, though you must be connected to the master database.

Azure AD 管理者を作成するCreate an Azure AD admin

適切な Azure Active Directory (AD) マネージド ドメインを使用していることを確認します。Make sure you're using the appropriate Azure Active Directory (AD) managed domain. AD ドメインを選択するには、Azure portal の右上隅を使用します。To select the AD domain, use the upper-right corner of the Azure portal. このプロセスでは、Azure SQL データベースまたはデータ ウェアハウスをホストしている SQL サーバーと Azure AD の両方に同じサブスクリプションが使用されていることを確認します。This process confirms the same subscription is used for both Azure AD and the SQL Server hosting your Azure SQL database or data warehouse.

choose-ad

Azure AD 管理者を設定する手順は次のとおりです。To set the Azure AD administrator:

  1. Azure portal の [SQL Server] ページで、[Active Directory 管理者] を選択します。次に、[管理者の設定] を選択します。In Azure portal, on the SQL server page, select Active Directory admin. Next select Set admin.

    Active Directory を選択する

    重要

    このタスクは、"会社の管理者" または "全体管理者" として実行する必要があります。You need to be either a "Company Administrator" or "Global Administrator" to perform this task.

  2. [管理者の追加] ページで、AD ユーザーまたはグループを探して、[選択] を選択します。On the Add admin page, search and select the AD user or group and choose Select. Active Directory のすべてのメンバーとグループが一覧表示されます。グレー表示されているエントリは、Azure AD 管理者としてサポートされていません。All members and groups of your Active Directory are listed, and entries grayed out are not supported as Azure AD administrators. Azure AD の機能と制限事項」を参照してください。See Azure AD features and limitations.

    管理者の選択

    重要

    ロールベースのアクセス制御 (RBAC) はポータルにのみ適用され、SQL Server には反映されません。Role-based access control (RBAC) only applies to the portal and isn't propagated to SQL Server.

  3. [Active Directory 管理者] ページの上部にある [保存] を選択します。At the top of the Active Directory admin page, select Save.

    管理者を変更する処理には数分かかる場合があります。The process of changing an administrator may take several minutes. 新しい管理者が [Active Directory 管理者] ボックスに表示されます。The new administrator will appear in the Active Directory admin box.

注意

Azure AD 管理者を設定する場合、新しい管理者名 (ユーザーまたはグループ) が SQL Server 認証ユーザーとして master データベースに存在していてはなりません。When setting an Azure AD admin, the new admin name (user or group) cannot exist as a SQL Server authentication user in the master database. 存在していると、セットアップが失敗して変更がロールバックされ、その管理者名が既に存在していることが示されます。If present, the setup will fail and roll back changes, indicating that such an admin name already exists. SQL Server 認証ユーザーは Azure AD に属していないため、Azure AD 認証を使用してこのユーザーに接続しようとしても失敗します。Since the SQL Server authentication user is not part of Azure AD, any effort to connect the user using Azure AD authentication fails.

Azure AD の構成の詳細については、次のページを参照してください。For information about configuring Azure AD, see:

データベース アクセスを管理するManage database access

データベースにユーザーを追加するか、セキュリティで保護された接続文字列でのユーザー アクセスを許可することにより、データベース アクセスを管理します。Manage database access by adding users to the database, or allowing user access with secure connection strings. 接続文字列は、外部アプリケーションの場合に便利です。Connection strings are useful for external applications. 詳細については、Azure SQL のアクセスの制御AD 認証に関するページを参照してください。To learn more, see Azure SQL access control and AD authentication.

ユーザーを追加するには、データベース認証の種類を選択します。To add users, choose the database authentication type:

  • SQL 認証: ログインにユーザー名とパスワードを使用します。サーバー内の特定のデータベースのコンテキストでのみ有効です。SQL authentication, use a username and password for logins and are only valid in the context of a specific database within the server

  • Azure AD 認証: Azure AD によって管理される ID を使用します。Azure AD authentication, use identities managed by Azure AD

SQL 認証SQL authentication

SQL 認証を使用するユーザーを追加する手順は次のとおりです。To add a user with SQL authentication:

  1. SQL Server Management Studio などを使用して、データベースに接続します。Connect to the database, for example using SQL Server Management Studio.

  2. オブジェクト エクスプローラーでデータベースを右クリックし、[新しいクエリ] を選択します。In Object Explorer, right-click the database and choose New Query.

  3. クエリ ウィンドウで、次のコマンドを入力します。In the query window, enter the following command:

    CREATE USER ApplicationUser WITH PASSWORD = 'YourStrongPassword1';
    
  4. ツール バーの [実行] を選択して、ユーザーを作成します。On the toolbar, select Execute to create the user.

  5. 既定では、ユーザーはデータベースに接続できますが、データを読み取ったり書き込んだりするアクセス許可は付与されていません。By default, the user can connect to the database, but has no permissions to read or write data. これらのアクセス許可を付与するには、新しいクエリ ウィンドウで次のコマンドを実行します。To grant these permissions, execute the following commands in a new query window:

    ALTER ROLE db_datareader ADD MEMBER ApplicationUser;
    ALTER ROLE db_datawriter ADD MEMBER ApplicationUser;
    

注意

新規ユーザーの作成などの管理者タスクを実行する必要がない場合は、データベース レベルで非管理者アカウントを作成します。Create non-administrator accounts at the database level, unless they need to execute administrator tasks like creating new users.

Azure AD 認証Azure AD authentication

Azure Active Directory 認証では、データベース ユーザーを包含データベース ユーザーとして作成する必要があります。Azure Active Directory authentication requires that database users are created as contained. 包含データベース ユーザーは、データベースに関連付けられている Azure AD ディレクトリの ID にマップされていて、master データベース内にログイン情報がありません。A contained database user maps to an identity in the Azure AD directory associated with the database and has no login in the master database. Azure AD の ID は、個々のユーザーまたはグループに対応しています。The Azure AD identity can either be for an individual user or a group. 詳細については、「包含データベース ユーザー - データベースの可搬性を確保する」と、Azure AD を使用して認証する方法に関する Azure AD チュートリアルを参照してください。For more information, see Contained database users, make your database portable and review the Azure AD tutorial on how to authenticate using Azure AD.

注意

Azure portal を使用してデータベース ユーザー (管理者を除く) を作成することはできません。Database users (excluding administrators) cannot be created using the Azure portal. Azure RBAC ロールは、SQL サーバー、データベース、データ ウェアハウスには反映されません。Azure RBAC roles do not propagate to SQL servers, databases, or data warehouses. これらは Azure リソースの管理のみに使用され、データベースのアクセス許可には適用されません。They are only used to manage Azure resources and do not apply to database permissions.

たとえば、"SQL Server 共同作成者" ロールでは、データベースやデータ ウェアハウスに接続するためのアクセス権は付与されません。For example, the SQL Server Contributor role does not grant access to connect to a database or data warehouse. このアクセス許可は、T-SQL ステートメントを使用して、データベース内で付与する必要があります。This permission must be granted within the database using T-SQL statements.

重要

コロン : やアンパサンド & などの特殊文字は、T-SQL の CREATE LOGIN ステートメントと CREATE USER ステートメントのユーザー名ではサポートされていません。Special characters like colon : or ampersand & are not supported in user names in the T-SQL CREATE LOGIN and CREATE USER statements.

Azure AD 認証でユーザーを追加する手順は次のとおりです。To add a user with Azure AD authentication:

  1. 少なくとも ALTER ANY USER アクセス許可を持つ Azure AD アカウントを使用して、目的の Azure SQL サーバーに接続します。Connect to your Azure SQL server using an Azure AD account with at least the ALTER ANY USER permission.

  2. オブジェクト エクスプローラーでデータベースを右クリックし、[新しいクエリ] を選択します。In Object Explorer, right-click the database and select New Query.

  3. クエリ ウィンドウで、次のコマンドを入力し、<Azure_AD_principal_name> を Azure AD ユーザーのプリンシパル名または Azure AD グループの表示名に変更します。In the query window, enter the following command and modify <Azure_AD_principal_name> to the principal name of the Azure AD user or the display name of the Azure AD group:

    CREATE USER <Azure_AD_principal_name> FROM EXTERNAL PROVIDER;
    

注意

データベースのメタデータでは、Azure AD ユーザーはタイプ E (EXTERNAL_USER)、Azure AD グループはタイプ X (EXTERNAL_GROUPS) でマークされます。Azure AD users are marked in the database metadata with type E (EXTERNAL_USER) and type X (EXTERNAL_GROUPS) for groups. 詳細については、「sys.database_principals」を参照してください。For more information, see sys.database_principals.

セキュリティで保護された接続文字列Secure connection strings

クライアント アプリケーションと SQL データベースの間に暗号化された安全な接続を確立するには、接続文字列を次のように構成する必要があります。To ensure a secure, encrypted connection between the client application and SQL database, a connection string must be configured to:

  • 暗号化接続を要求するRequest an encrypted connection
  • サーバー証明書を信頼しないNot trust the server certificate

トランスポート層セキュリティ (TLS) を使用して接続が確立され、中間者攻撃のリスクが軽減されます。The connection is established using Transport Layer Security (TLS) and reduces the risk of a man-in-the-middle attack. 接続文字列はデータベースごとに利用可能で、ADO.NET、JDBC、ODBC、PHP などのクライアント ドライバーをサポートするように事前構成されます。Connection strings are available per database and are pre-configured to support client drivers such as ADO.NET, JDBC, ODBC, and PHP. TLS と接続の詳細については、TLS に関する考慮事項に関するセクションを参照してください。For information about TLS and connectivity, see TLS considerations.

セキュリティで保護された接続文字列をコピーする手順は次のとおりです。To copy a secure connection string:

  1. Azure portal で、左側のメニューから [SQL データベース] を選択し、[SQL データベース] ページで目的のデータベースをクリックします。In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. [概要] ページで、[データベース接続文字列の表示] を選択します。On the Overview page, select Show database connection strings.

  3. [ドライバー] タブを選択し、完全な接続文字列をコピーします。Select a driver tab and copy the complete connection string.

    ADO.NET の接続文字列

セキュリティ機能の有効化Enable security features

Azure SQL Database は、Azure portal を使用してアクセスされるセキュリティ機能を提供します。Azure SQL Database provides security features that are accessed using the Azure portal. これらの機能は、データベースとサーバーの両方で利用可能です。ただし、データ マスクは例外で、データベースのみで利用可能です。These features are available for both the database and server, except for data masking, which is only available on the database. 詳細については、Advanced Data Security監査動的データ マスク透過的なデータ暗号化に関するページを参照してください。To learn more, see Advanced data security, Auditing, Dynamic data masking, and Transparent data encryption.

Advanced Data SecurityAdvanced data security

Advanced Data Security 機能は、潜在的な脅威の発生を検出し、異常なアクティビティがあればセキュリティのアラートを送信します。The advanced data security feature detects potential threats as they occur and provides security alerts on anomalous activities. ユーザーは、監査機能を使用して、こうした疑わしいイベントを調査し、そのイベントがデータベース内のデータへのアクセス、侵害、悪用かどうかを判断できます。Users can explore these suspicious events using the auditing feature, and determine if the event was to access, breach, or exploit data in the database. また、脆弱性評価を含めたセキュリティ概要や、データの検出と分類ツールも提供されます。Users are also provided a security overview that includes a vulnerability assessment and the data discovery and classification tool.

注意

脅威の一例として SQL インジェクションがあります。これは、攻撃者がアプリケーションの入力に悪意のある SQL を挿入するプロセスです。An example threat is SQL injection, a process where attackers inject malicious SQL into application inputs. これにより、アプリケーションが知らないうちに悪意のある SQL を実行し、攻撃者がデータベース内のデータにアクセスして侵害や変更を行えるようになります。An application can then unknowingly execute the malicious SQL and allow attackers access to breach or modify data in the database.

Advanced Data Security を有効にするには:To enable advanced data security:

  1. Azure portal で、左側のメニューから [SQL データベース] を選択し、[SQL データベース] ページで目的のデータベースをクリックします。In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. [概要] ページで、[サーバー名] リンクを選択します。On the Overview page, select the Server name link. データベース サーバーのページが開きます。The database server page will open.

  3. [SQL サーバー] ページで [セキュリティ] セクションを探し、[Advanced Data Security] を選択します。On the SQL server page, find the Security section and select Advanced Data Security.

    1. [Advanced Data Security][オン] を選択して、この機能を有効にします。Select ON under Advanced Data Security to enable the feature. 脆弱性評価の結果を保存するためのストレージ アカウントを選択します。Choose a storage account for saving vulnerability assessment results. 次に、[保存] を選択します。Then select Save.

    ナビゲーション ウィンドウ

    電子メールを構成して、セキュリティのアラート、ストレージの詳細、脅威検出の種類を受信することもできます。You can also configure emails to receive security alerts, storage details, and threat detection types.

  4. 目的のデータベースの [SQL データベース] ページに戻り、[セキュリティ] セクションの [Advanced Data Security] を選択します。Return to the SQL databases page of your database and select Advanced Data Security under the Security section. ここには、データベースのさまざまなセキュリティ インジケーターがあります。Here you'll find various security indicators available for the database.

    脅威の状態

異常なアクティビティが検出されると、そのイベントの情報が電子メールで届きます。If anomalous activities are detected, you receive an email with information on the event. これには、アクティビティの性質、データベース、サーバー、イベントの発生時点、考えられる原因、推奨アクションが含まれていて、潜在的な脅威を調査してその影響を軽減することができます。This includes the nature of the activity, database, server, event time, possible causes, and recommended actions to investigate and mitigate the potential threat. このような電子メールを受信したら、[Azure SQL Auditing Log](Azure SQL 監査ログ) リンクを選択して Azure portal を起動し、そのイベントの時点に関連する監査レコードを確認します。If such an email is received, select the Azure SQL Auditing Log link to launch the Azure portal and show relevant auditing records for the time of the event.

脅威の検出の電子メール

監査Auditing

監査機能は、データベース イベントを追跡し、Azure ストレージまたは Log Analytics の監査ログか、イベント ハブのいずれかにイベントを書き込みます。The auditing feature tracks database events and writes events to an audit log in either Azure storage, log analytics, or to an event hub. 監査により、規制に対するコンプライアンスの維持、データベース アクティビティの把握、セキュリティ侵害の可能性がある差異や異常に対する分析が容易になります。Auditing helps maintain regulatory compliance, understand database activity, and gain insight into discrepancies and anomalies that could indicate potential security violations.

監査を有効にする手順は次のとおりです。To enable auditing:

  1. Azure portal で、左側のメニューから [SQL データベース] を選択し、[SQL データベース] ページで目的のデータベースをクリックします。In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. [セキュリティ] セクションで、[監査] を選択します。In the Security section, select Auditing.

  3. [監査] の設定で、次の値を設定します。Under Auditing settings, set the following values:

    1. [監査][オン] に設定します。Set Auditing to ON.

    2. [監査ログの保存先] として、次のいずれかを選択します。Select Audit log destination as any of the following:

      • [ストレージ]: イベント ログが保存され、.xel ファイルとしてダウンロードできる Azure ストレージ アカウント。Storage, an Azure storage account where event logs are saved and can be downloaded as .xel files

        ヒント

        監査レポートのテンプレートを最大限活用するには、すべての監査済みデータベースに同じストレージ アカウントを使用してください。Use the same storage account for all audited databases to get the most from auditing report templates.

      • [Log Analytics]: クエリや詳細な分析のために、イベントが自動的に保存されます。Log Analytics, which automatically stores events for query or further analysis

        注意

        分析、カスタムのアラート ルール、Excel や Power BI のエクスポートなどの高度な機能をサポートするには、Log analytics ワークスペースが必要です。A Log analytics workspace is required to support advanced features such as analytics, custom alert rules, and Excel or Power BI exports. ワークスペースがない場合は、クエリ エディターのみを使用できます。Without a workspace, only the query editor is available.

      • [イベント ハブ]: イベントをルーティングして、他のアプリケーションで使用できるようにします。Event Hub, which allows events to be routed for use in other applications

    3. [保存] を選択します。Select Save.

    監査設定

  4. これで、[監査ログの表示] を選択してデータベース イベントのデータを表示できるようになりました。Now you can select View audit logs to view database events data.

    監査レコード

重要

PowerShell や REST API を使用して監査イベントをさらにカスタマイズする方法については、SQL Database の監査に関するページを参照してください。See SQL database auditing on how to further customize audit events using PowerShell or REST API.

動的データ マスクDynamic data masking

データ マスク機能は、データベース内の機密データを自動的に隠します。The data masking feature will automatically hide sensitive data in your database.

データ マスクを有効にする手順は次のとおりです。To enable data masking:

  1. Azure portal で、左側のメニューから [SQL データベース] を選択し、[SQL データベース] ページで目的のデータベースをクリックします。In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. [セキュリティ] セクションで、[動的データ マスク] を選択します。In the Security section, select Dynamic Data Masking.

  3. [動的データ マスク] の設定で、[マスクの追加] を選択してマスクの規則を追加します。Under Dynamic data masking settings, select Add mask to add a masking rule. 使用可能なデータベース スキーマ、テーブル、選択元の列は自動的に設定されます。Azure will automatically populate available database schemas, tables, and columns to choose from.

    マスクの設定

  4. [保存] を選択します。Select Save. これで、選択した情報はプライバシー保護のためマスクされます。The selected information is now masked for privacy.

    マスクの例

透過的なデータ暗号化Transparent data encryption

暗号化機能では、保存データが自動的に暗号化されます。暗号化されたデータベースにアクセスするアプリケーションの変更は必要ありません。The encryption feature automatically encrypts your data at rest, and requires no changes to applications accessing the encrypted database. 新しいデータベースの場合、暗号化は既定で有効になっています。For new databases, encryption is on by default. SSMS と Always Encrypted 機能を使用してデータを暗号化することもできます。You can also encrypt data using SSMS and the Always encrypted feature.

暗号化を有効化または確認する手順は次のとおりです。To enable or verify encryption:

  1. Azure portal で、左側のメニューから [SQL データベース] を選択し、[SQL データベース] ページで目的のデータベースをクリックします。In Azure portal, select SQL databases from the left-hand menu, and select your database on the SQL databases page.

  2. [セキュリティ] セクションで、[透過的なデータ暗号化] を選択します。In the Security section, select Transparent data encryption.

  3. 必要に応じて、[データの暗号化][オン] に設定します。If necessary, set Data encryption to ON. [保存] を選択します。Select Save.

    Transparent Data Encryption

注意

暗号化の状態を確認するには、SSMS を使用してデータベースに接続し、sys.dm_database_encryption_keys ビューの encryption_state 列にクエリを実行します。To view encryption status, connect to the database using SSMS and query the encryption_state column of the sys.dm_database_encryption_keys view. 状態 3 は、データベースが暗号化されていることを示します。A state of 3 indicates the database is encrypted.

次の手順Next steps

このチュートリアルでは、いくつかの簡単な手順を使ってデータベースのセキュリティを向上させる方法について説明しました。In this tutorial, you've learned to improve the security of your database with just a few simple steps. 以下の方法について学習しました。You learned how to:

  • サーバーレベルとデータベースレベルのファイアウォール規則を作成するCreate server-level and database-level firewall rules
  • Azure Active Directory (AD) 管理者を構成するConfigure an Azure Active Directory (AD) administrator
  • SQL 認証、Azure AD 認証、セキュリティで保護された接続文字列を使用して、ユーザー アクセスを管理するManage user access with SQL authentication, Azure AD authentication, and secure connection strings
  • Advanced Data Security、監査、データ マスク、暗号化などのセキュリティ機能を有効にするEnable security features, such as advanced data security, auditing, data masking, and encryption

次のチュートリアルに進み、地理的分散の実装方法を学習してください。Advance to the next tutorial to learn how to implement geo-distribution.