SQL の脆弱性評価

SQL の脆弱性評価 (現在プレビュー中) は、データベースの潜在的な脆弱性を検出、追跡、修復できる、簡単な構成のツールです。 このツールを使って、データベースのセキュリティを事前に強化できます。

脆弱性評価の機能

SQL 脆弱性評価 (VA) は、セキュリティの状態を表示するサービスであり、セキュリティの問題を解決して、データベースのセキュリティを強化するために実行可能な手順が含まれます。 以下のことに役立ちます。

  • データベース スキャン レポートが必要なコンプライアンス要件を満たします。
  • データのプライバシー基準を満たします。
  • 変更の追跡が困難な動的データベース環境を監視します。

VA は、Azure SQL Database サービスに組み込まれているスキャン サービスです。 このサービスでは、構成の不備、過剰な権限、保護されていない機密データなどセキュリティの脆弱性にフラグを設定し、ベスト プラクティスからの逸脱を明示する、ルールのナレッジ ベースが利用されます。 ルールは Microsoft のベスト プラクティスに基づき、データベースとその貴重なデータに最も大きなリスクとなるセキュリティの問題に注目します。 また、これらの規則は、さまざまな規制機関によるコンプライアンス基準を満たすための多くの要件も表しています。

スキャンの結果では、各問題を解決するために実行可能な手順が示され、該当する場合はカスタマイズされた修復スクリプトが提供されます。 アクセス許可の構成、機能の構成、データベースの設定の許容されるベースラインを設定することで、環境に合わせて評価レポートをカスタマイズできます。

VA を実装する

次の手順では、SQL Database に VA を実装します。

1.スキャンを実行する

VA の使用を始めるには、Azure SQL Database ウィンドウの [脆弱性評価 (プレビュー)] の設定に移動します。 最初に、スキャン結果を格納するストレージ アカウントを構成します。 ストレージ アカウントについて詳しくは、「Azure ストレージ アカウントについて」をご覧ください。 ストレージを構成した後、[スキャン] をクリックしてデータベースの脆弱性をスキャンします。
データベースをスキャンする

注意

スキャンは軽量であり安全です。 実行に要する時間は数秒で、完全に読み取りだけです。 データベースを変更することはありません。

2.レポートを表示する

スキャンが完了すると、スキャン レポートが Azure Portal に自動的に表示されます。 レポートでは、セキュリティの状態の概要、発見された問題の数、それぞれの重大度が示されます。 結果には、ベスト プラクティスからの逸脱の警告だけでなく、データベース プリンシパルとロールおよびそれらに関連付けられた権限など、セキュリティ関連の設定のスナップショットが含まれます。 また、スキャン レポートでは、データベースで検出された機密データのマップと、それを保護するために使用できる組み込みの方法の推奨事項も提供されます。
レポートを表示する

3.結果を分析して問題を解決する

結果を確認し、レポートで示されている結果のうち環境で実際にセキュリティの問題となるものを判断します。 問題となった各結果をドリルダウンして、問題の影響と、各セキュリティ チェックが不合格になった理由を理解します。 レポートで提供される実行可能な修復の情報を使って、問題を解決します。
レポートを出力する

4.ベースラインを設定する

評価の結果を確認しながら、環境において許容されるベースラインとして特定の結果をマークできます。 ベースラインは、本質的には、結果を報告する方法のカスタマイズです。 以降のスキャンで、ベースラインと一致する結果は合格と見なされます。 ベースラインとなるセキュリティ状態を確立した後、VA ではベースラインからの逸脱のみが報告され、ユーザーは関連する問題に集中することができます。
ベースラインを設定する

5.新しいスキャンを実行してカスタマイズした追跡レポートを確認する

規則のベースラインの設定が済んだら、新しいスキャンを実行して、カスタマイズしたレポートを表示します。 VA は、ユーザーが承認したベースライン状態から逸脱したセキュリティの問題のみを報告するようになります。
カスタマイズしたレポートを表示する

VA を使って、データベースが常に高レベルのセキュリティを維持し、組織のポリシーが満たされていることを、監視できるようになりました。 コンプライアンス レポートが必要な場合、VA レポートはコンプライアンス プロセスを容易にするのに役立ちます。

次のステップ

SQL Database の監査の構成を検討します。