SQL の脆弱性評価サービスは、データベースの脆弱性を特定するのに役に立ちますSQL Vulnerability Assessment service helps you identify database vulnerabilities

SQL の脆弱性評価では、データベースの潜在的な脆弱性を検出、追跡、修復できるサービスを簡単に構成できます。SQL Vulnerability Assessment is an easy to configure service that can discover, track, and help you remediate potential database vulnerabilities. このツールを使って、データベースのセキュリティを事前に強化できます。Use it to proactively improve your database security.

脆弱性評価は、高度な SQL セキュリティ機能の統合パッケージである、Advanced Data Security (ADS) オファリングの一部です。Vulnerability Assessment is part of the advanced data security (ADS) offering, which is a unified package for advanced SQL security capabilities. 脆弱性評価は、SQL ADS ポータルを使って一元的にアクセスおよび管理できます。Vulnerability Assessment can be accessed and managed via the central SQL ADS portal.

注意

脆弱性評価は、Azure SQL Database、Azure SQL Managed Instance、Azure SQL Data Warehouse でサポートされています。Vulnerability Assessment is supported for Azure SQL Database, Azure SQL Managed Instance and Azure SQL Data Warehouse. わかりやすくするため、この記事では、マネージド データベース サービスを SQL Database と呼んでいます。For simplicity, SQL Database is used in this article when referring to any of these managed database services.

脆弱性評価サービスThe Vulnerability Assessment service

SQL 脆弱性評価 (VA) は、セキュリティの状態を表示するサービスであり、セキュリティの問題を解決して、データベースのセキュリティを強化するために実行可能な手順が含まれます。SQL Vulnerability Assessment (VA) is a service that provides visibility into your security state, and includes actionable steps to resolve security issues, and enhance your database security. 以下のことに役立ちます。It can help you:

  • データベース スキャン レポートが必要なコンプライアンス要件を満たします。Meet compliance requirements that require database scan reports.
  • データのプライバシー基準を満たします。Meet data privacy standards.
  • 変更の追跡が困難な動的データベース環境を監視します。Monitor a dynamic database environment where changes are difficult to track.

脆弱性評価は、Azure SQL Database サービスに組み込まれているスキャン サービスです。Vulnerability Assessment is a scanning service built into the Azure SQL Database service. このサービスでは、構成の不備、過剰な権限、保護されていない機密データなどセキュリティの脆弱性にフラグを設定し、ベスト プラクティスからの逸脱を明示する、ルールのナレッジ ベースが利用されます。The service employs a knowledge base of rules that flag security vulnerabilities and highlight deviations from best practices, such as misconfigurations, excessive permissions, and unprotected sensitive data. ルールは Microsoft のベスト プラクティスに基づき、データベースとその貴重なデータに最も大きなリスクとなるセキュリティの問題に注目します。The rules are based on Microsoft’s best practices and focus on the security issues that present the biggest risks to your database and its valuable data. これらのルールは、データベース レベルの問題だけでなく、サーバーのファイアウォール設定やサーバー レベルの権限など、サーバー レベルのセキュリティ問題もカバーしたものとなっています。They cover both database-level issues as well as server-level security issues, like server firewall settings and server-level permissions. また、これらの規則は、さまざまな規制機関によるコンプライアンス基準を満たすための多くの要件も表しています。These rules also represent many of the requirements from various regulatory bodies to meet their compliance standards.

スキャンの結果では、各問題を解決するために実行可能な手順が示され、該当する場合はカスタマイズされた修復スクリプトが提供されます。Results of the scan include actionable steps to resolve each issue and provide customized remediation scripts where applicable. アクセス許可の構成、機能の構成、データベースの設定の許容されるベースラインを設定することで、環境に合わせて評価レポートをカスタマイズできます。An assessment report can be customized for your environment by setting an acceptable baseline for permission configurations, feature configurations, and database settings.

脆弱性評価の実装Implementing Vulnerability Assessment

次の手順では、SQL Database に VA を実装します。The following steps implement VA on SQL Database.

1.スキャンを実行する1. Run a scan

まずは、[Azure SQL Database] ウィンドウの [セキュリティ] で、[Advanced Data Security] に移動します。Get started with VA by navigating to Advanced Data Security under the Security heading in your Azure SQL Database pane. クリックして Advanced Data Security を有効にし、[Select Storage](記憶域の選択) をクリックするか、[脆弱性評価] カードをクリックします (これにより、SQL サーバー全体の脆弱性評価設定カードが自動的に開きます)。Click to enable advanced data security, and then click on Select Storage or on the Vulnerability Assessment card, which automatically opens the Vulnerability Assessment settings card for the entire SQL server.

最初にストレージ アカウントを構成します。この場所に、サーバー上のすべてのデータベースに対するスキャン結果が格納されます。Start by configuring a storage account where your scan results for all databases on the server will be stored. ストレージ アカウントについて詳しくは、「Azure ストレージ アカウントについて」をご覧ください。For information about storage accounts, see About Azure storage accounts. ストレージを構成した後、[スキャン] をクリックしてデータベースの脆弱性をスキャンします。Once storage is configured, click Scan to scan your database for vulnerabilities.

データベースのスキャン

注意

スキャンは軽量であり安全です。The scan is lightweight and safe. 実行に要する時間は数秒で、完全に読み取りだけです。It takes a few seconds to run, and is entirely read-only. データベースを変更することはありません。It does not make any changes to your database.

2.レポートを表示する2. View the report

スキャンが完了すると、スキャン レポートが Azure Portal に自動的に表示されます。When your scan is complete, your scan report is automatically displayed in the Azure portal. レポートでは、セキュリティの状態の概要、発見された問題の数、それぞれの重大度が示されます。The report presents an overview of your security state: how many issues were found and their respective severities. 結果には、ベスト プラクティスからの逸脱に関する警告や、セキュリティ関連設定のスナップショット (データベース プリンシパルとロール、およびそれらに関連付けられている権限など) が含まれます。スキャン レポートにはまた、データベース内で検出された機密データのマップや、Data Discovery & Classification を使ったデータ分類に関する推奨事項も示されます。Results include warnings on deviations from best practices and a snapshot of your security-related settings, such as database principals and roles and their associated permissions.The scan report also provides a map of sensitive data discovered in your database, and includes recommendations to classify that data using data discovery & classification.

レポートを表示する

手順 3.結果を分析して問題を解決する3. Analyze the results and resolve issues

結果を確認し、レポートで示されている結果のうち環境で実際にセキュリティの問題となるものを判断します。Review your results and determine the findings in the report that are true security issues in your environment. 問題となった各結果をドリルダウンして、問題の影響と、各セキュリティ チェックが不合格になった理由を理解します。Drill down to each failed result to understand the impact of the finding and why each security check failed. レポートで提供される実行可能な修復の情報を使って、問題を解決します。Use the actionable remediation information provided by the report to resolve the issue.

レポートを出力する

4.ベースラインを設定する4. Set your baseline

評価の結果を確認しながら、環境において許容されるベースラインとして特定の結果をマークできます。As you review your assessment results, you can mark specific results as being an acceptable Baseline in your environment. ベースラインは、本質的には、結果を報告する方法のカスタマイズです。The baseline is essentially a customization of how the results are reported. 以降のスキャンで、ベースラインと一致する結果は合格と見なされます。Results that match the baseline are considered as passing in subsequent scans. ベースラインとなるセキュリティ状態を確立した後、VA ではベースラインからの逸脱のみが報告され、ユーザーは関連する問題に集中することができます。Once you have established your baseline security state, VA only reports on deviations from the baseline and you can focus your attention on the relevant issues.

ベースラインを設定する

5.新しいスキャンを実行してカスタマイズした追跡レポートを確認する5. Run a new scan to see your customized tracking report

規則のベースラインの設定が済んだら、新しいスキャンを実行して、カスタマイズしたレポートを表示します。After you complete setting up your Rule Baselines, run a new scan to view the customized report. VA は、ユーザーが承認したベースライン状態から逸脱したセキュリティの問題のみを報告するようになります。VA now reports only the security issues that deviate from your approved baseline state.

カスタマイズしたレポートを表示する

脆弱性評価を使って、データベースが常に高レベルのセキュリティを維持し、組織のポリシーが満たされていることを、監視できるようになりました。Vulnerability Assessment can now be used to monitor that your database maintains a high level of security at all times, and that your organizational policies are met. コンプライアンス レポートが必要な場合、VA レポートはコンプライアンス プロセスを容易にするのに役立ちます。If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

6.定期的な反復スキャンの設定6. Set up periodic recurring scans

脆弱性評価設定に移動して、[定期的な反復スキャン] を有効にします。Navigate to the Vulnerability Assessment settings to turn on Periodic recurring scans. これにより、データベースの脆弱性評価スキャンが毎週 1 回自動的に実行されるようになります。This configures Vulnerability Assessment to automatically run a scan on your database once per week. スキャン結果の概要は、指定した電子メール アドレスに送信されます。A scan result summary will be sent to the email address(es) you provide.

カスタマイズしたレポートを表示する

7.評価レポートのエクスポート7. Export an assessment report

[スキャン結果のエクスポート] をクリックして、スキャン結果の Excel レポート (ダウンロード可能なファイル) を作成します。Click Export Scan Results to create a downloadable Excel report of your scan result. このレポートの概要タブには、評価の概要が表示されます (失敗したすべてのチェックなど)。This report contains a summary tab that displays a summary of the assessment, including all failed checks. また、[結果] タブには、詳細なスキャン結果がすべて表示されます (実行されたすべてのチェックや、各チェックの結果の詳細など)。It also includes a Results tab containing the full set of results from the scan, including all checks that were run and the result details for each.

8.スキャン履歴の表示8. View scan history

VA ウィンドウの [スキャンの履歴] をクリックして、このデータベースで以前に実行されたすべてのスキャンの履歴を表示します。Click Scan History in the VA pane to view a history of all scans previously run on this database. 一覧から特定のスキャンを選択すると、そのスキャンの詳しい結果が表示されます。Select a particular scan in the list to view the detailed results of that scan.

脆弱性評価を使って、データベースが常に高レベルのセキュリティを維持し、組織のポリシーが満たされていることを、監視できるようになりました。Vulnerability Assessment can now be used to monitor that your database maintains a high level of security at all times, and that your organizational policies are met. コンプライアンス レポートが必要な場合、VA レポートはコンプライアンス プロセスを容易にするのに役立ちます。If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

Azure PowerShell を使用して脆弱性評価を管理するManage Vulnerability Assessments using Azure PowerShell

注意

この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. インストール手順については、Azure PowerShell のインストール を参照してください。For installation instructions, see Install Azure PowerShell.

重要

PowerShell Azure Resource Manager モジュールは Azure SQL Database で引き続きサポートされますが、今後の開発はすべて Az.Sql モジュールを対象に行われます。The PowerShell Azure Resource Manager module is still supported by Azure SQL Database, but all future development is for the Az.Sql module. これらのコマンドレットについては、「AzureRM.Sql」を参照してください。For these cmdlets, see AzureRM.Sql. Az モジュールと AzureRm モジュールのコマンドの引数は実質的に同じです。The arguments for the commands in the Az module and in the AzureRm modules are substantially identical.

Azure PowerShell コマンドレットを使用して、脆弱性評価をプログラムで管理できます。You can use Azure PowerShell cmdlets to programmatically manage your vulnerability assessments. サポートされているコマンドレットは次のとおりです。The supported cmdlets are:

スクリプトの例については、Azure SQL の脆弱性評価の PowerShell のサポートに関する記事を参照してください。For a script example, see Azure SQL Vulnerability Assessment PowerShell support.

次の手順Next steps