SQL の脆弱性評価SQL Vulnerability Assessment

SQL の脆弱性評価では、データベースの潜在的な脆弱性を検出、追跡、修復できるサービスを簡単に構成できます。SQL Vulnerability Assessment is an easy to configure service that can discover, track, and help you remediate potential database vulnerabilities. このツールを使って、データベースのセキュリティを事前に強化できます。Use it to proactively improve your database security.

脆弱性評価は、高度な SQL セキュリティ機能の統合パッケージである SQL Advanced Threat Protection (ATP) の一部です。Vulnerability Assessment is part of the SQL Advanced Threat Protection (ATP) offering, which is a unified package for advanced SQL security capabilities. 脆弱性評価は、SQL ATP ポータルを使って一元的にアクセスおよび管理できます。Vulnerability Assessment can be accessed and managed via the central SQL ATP portal.

脆弱性評価とはWhat is Vulnerability Assessment?

SQL 脆弱性評価 (VA) は、セキュリティの状態を表示するサービスであり、セキュリティの問題を解決して、データベースのセキュリティを強化するために実行可能な手順が含まれます。SQL Vulnerability Assessment (VA) is a service that provides visibility into your security state, and includes actionable steps to resolve security issues, and enhance your database security. 以下のことに役立ちます。It can help you:

  • データベース スキャン レポートが必要なコンプライアンス要件を満たします。Meet compliance requirements that require database scan reports.
  • データのプライバシー基準を満たします。Meet data privacy standards.
  • 変更の追跡が困難な動的データベース環境を監視します。Monitor a dynamic database environment where changes are difficult to track.

VA は、Azure SQL Database サービスに組み込まれているスキャン サービスです。VA is a scanning service built into the Azure SQL Database service. このサービスでは、構成の不備、過剰な権限、保護されていない機密データなどセキュリティの脆弱性にフラグを設定し、ベスト プラクティスからの逸脱を明示する、ルールのナレッジ ベースが利用されます。The service employs a knowledge base of rules that flag security vulnerabilities and highlight deviations from best practices, such as misconfigurations, excessive permissions, and unprotected sensitive data. ルールは Microsoft のベスト プラクティスに基づき、データベースとその貴重なデータに最も大きなリスクとなるセキュリティの問題に注目します。The rules are based on Microsoft’s best practices and focus on the security issues that present the biggest risks to your database and its valuable data. これらのルールは、データベース レベルの問題だけでなく、サーバーのファイアウォール設定やサーバー レベルの権限など、サーバー レベルのセキュリティ問題もカバーしたものとなっています。They cover both database-level issues as well as server-level security issues, like server firewall settings and server-level permissions. また、これらの規則は、さまざまな規制機関によるコンプライアンス基準を満たすための多くの要件も表しています。These rules also represent many of the requirements from various regulatory bodies to meet their compliance standards.

スキャンの結果では、各問題を解決するために実行可能な手順が示され、該当する場合はカスタマイズされた修復スクリプトが提供されます。Results of the scan include actionable steps to resolve each issue and provide customized remediation scripts where applicable. アクセス許可の構成、機能の構成、データベースの設定の許容されるベースラインを設定することで、環境に合わせて評価レポートをカスタマイズできます。An assessment report can be customized for your environment by setting an acceptable baseline for permission configurations, feature configurations, and database settings.

VA を実装するImplementing VA

次の手順では、SQL Database に VA を実装します。The following steps implement VA on SQL Database.

1.スキャンを実行する1. Run a scan

まずは、[Azure SQL Database] ウィンドウの [セキュリティ] で、[Advanced Threat Protection] に移動します。Get started with VA by navigating to Advanced Threat Protection under the Security heading in your Azure SQL Database pane. クリックして Advanced Threat Protection を有効にし、[脆弱性評価] カードをクリックします (これにより、脆弱性評価設定カードが自動的に開きます)。Click to enable Advanced Threat Protection, and then click on the Vulnerability Assessment card, which automatically opens the Vulnerability Assessment settings card.

最初に、スキャン結果を格納するストレージ アカウントを構成します。Start by configuring a storage account where your scan results will be stored. ストレージ アカウントについて詳しくは、「Azure ストレージ アカウントについて」をご覧ください。For information about storage accounts, see About Azure storage accounts. ストレージを構成した後、[スキャン] をクリックしてデータベースの脆弱性をスキャンします。Once storage is configured, click Scan to scan your database for vulnerabilities.

データベースのスキャン

注意

スキャンは軽量であり安全です。The scan is lightweight and safe. 実行に要する時間は数秒で、完全に読み取りだけです。It takes a few seconds to run, and is entirely read-only. データベースを変更することはありません。It does not make any changes to your database.

2.レポートを表示する2. View the report

スキャンが完了すると、スキャン レポートが Azure Portal に自動的に表示されます。When your scan is complete, your scan report is automatically displayed in the Azure portal. レポートでは、セキュリティの状態の概要、発見された問題の数、それぞれの重大度が示されます。The report presents an overview of your security state: how many issues were found and their respective severities. 結果には、ベスト プラクティスからの逸脱に関する警告や、セキュリティ関連設定のスナップショット (データベース プリンシパルとロール、およびそれらに関連付けられている権限など) が含まれます。スキャン レポートにはまた、データベース内で検出された機密データのマップや、Data Discovery & Classification を使ったデータ分類に関する推奨事項も示されます。Results include warnings on deviations from best practices and a snapshot of your security-related settings, such as database principals and roles and their associated permissions.The scan report also provides a map of sensitive data discovered in your database, and includes recommendations to classify that data using Data Discovery & Classification.

レポートを表示する

手順 3.結果を分析して問題を解決する3. Analyze the results and resolve issues

結果を確認し、レポートで示されている結果のうち環境で実際にセキュリティの問題となるものを判断します。Review your results and determine the findings in the report that are true security issues in your environment. 問題となった各結果をドリルダウンして、問題の影響と、各セキュリティ チェックが不合格になった理由を理解します。Drill down to each failed result to understand the impact of the finding and why each security check failed. レポートで提供される実行可能な修復の情報を使って、問題を解決します。Use the actionable remediation information provided by the report to resolve the issue.

レポートを出力する

4.ベースラインを設定する4. Set your baseline

評価の結果を確認しながら、環境において許容されるベースラインとして特定の結果をマークできます。As you review your assessment results, you can mark specific results as being an acceptable Baseline in your environment. ベースラインは、本質的には、結果を報告する方法のカスタマイズです。The baseline is essentially a customization of how the results are reported. 以降のスキャンで、ベースラインと一致する結果は合格と見なされます。Results that match the baseline are considered as passing in subsequent scans. ベースラインとなるセキュリティ状態を確立した後、VA ではベースラインからの逸脱のみが報告され、ユーザーは関連する問題に集中することができます。Once you have established your baseline security state, VA only reports on deviations from the baseline and you can focus your attention on the relevant issues.

ベースラインを設定する

5.新しいスキャンを実行してカスタマイズした追跡レポートを確認する5. Run a new scan to see your customized tracking report

規則のベースラインの設定が済んだら、新しいスキャンを実行して、カスタマイズしたレポートを表示します。After you complete setting up your Rule Baselines, run a new scan to view the customized report. VA は、ユーザーが承認したベースライン状態から逸脱したセキュリティの問題のみを報告するようになります。VA now reports only the security issues that deviate from your approved baseline state.

カスタマイズしたレポートを表示する

VA を使って、データベースが常に高レベルのセキュリティを維持し、組織のポリシーが満たされていることを、監視できるようになりました。VA can now be used to monitor that your database maintains a high level of security at all times, and that your organizational policies are met. コンプライアンス レポートが必要な場合、VA レポートはコンプライアンス プロセスを容易にするのに役立ちます。If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

6.定期的な反復スキャンの設定6. Set up periodic recurring scans

脆弱性評価設定に移動して、[定期的な反復スキャン] を有効にします。Navigate to the Vulnerability Assessment settings to turn on Periodic recurring scans. これにより、データベースの脆弱性評価スキャンが毎週 1 回自動的に実行されるようになります。This configures Vulnerability Assessment to automatically run a scan on your database once per week. スキャン結果の概要は、指定した電子メール アドレスに送信されます。A scan result summary will be sent to the email address(es) you provide.

カスタマイズしたレポートを表示する

7. 評価レポートのエクスポート7. Export an assessment report

[スキャン結果のエクスポート] をクリックして、スキャン結果の Excel レポート (ダウンロード可能なファイル) を作成します。Click Export Scan Results to create a downloadable Excel report of your scan result. このレポートの概要タブには、評価の概要が表示されます (失敗したすべてのチェックなど)。This report contains a summary tab that displays a summary of the assessment, including all failed checks. また、[結果] タブには、詳細なスキャン結果がすべて表示されます (実行されたすべてのチェックや、各チェックの結果の詳細など)。It also includes a Results tab containing the full set of results from the scan, including all checks that were run and the result details for each.

8. スキャン履歴の表示8. View scan history

VA ウィンドウの [スキャンの履歴] をクリックして、このデータベースで以前に実行されたすべてのスキャンの履歴を表示します。Click Scan History in the VA pane to view a history of all scans previously run on this database. 一覧から特定のスキャンを選択すると、そのスキャンの詳しい結果が表示されます。Select a particular scan in the list to view the detailed results of that scan.

VA を使って、データベースが常に高レベルのセキュリティを維持し、組織のポリシーが満たされていることを、監視できるようになりました。VA can now be used to monitor that your database maintains a high level of security at all times, and that your organizational policies are met. コンプライアンス レポートが必要な場合、VA レポートはコンプライアンス プロセスを容易にするのに役立ちます。If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

次の手順Next steps