SQL の脆弱性評価SQL Vulnerability Assessment

SQL の脆弱性評価 (現在プレビュー中) は、データベースの潜在的な脆弱性を検出、追跡、修復できる、簡単な構成のツールです。SQL Vulnerability Assessment (currently in preview) is an easy to configure tool that can discover, track, and remediate potential database vulnerabilities. このツールを使って、データベースのセキュリティを事前に強化できます。Use it to proactively improve your database security.

脆弱性評価の機能Vulnerability Assessment features

SQL 脆弱性評価 (VA) は、セキュリティの状態を表示するサービスであり、セキュリティの問題を解決して、データベースのセキュリティを強化するために実行可能な手順が含まれます。SQL Vulnerability Assessment (VA) is a service that provides visibility into your security state, and includes actionable steps to resolve security issues, and enhance your database security. 以下のことに役立ちます。It can help you:

  • データベース スキャン レポートが必要なコンプライアンス要件を満たします。Meet compliance requirements that require database scan reports.
  • データのプライバシー基準を満たします。Meet data privacy standards.
  • 変更の追跡が困難な動的データベース環境を監視します。Monitor a dynamic database environment where changes are difficult to track.

VA は、Azure SQL Database サービスに組み込まれているスキャン サービスです。VA is a scanning service built into the Azure SQL Database service. このサービスでは、構成の不備、過剰な権限、保護されていない機密データなどセキュリティの脆弱性にフラグを設定し、ベスト プラクティスからの逸脱を明示する、ルールのナレッジ ベースが利用されます。The service employs a knowledge base of rules that flag security vulnerabilities and highlight deviations from best practices, such as misconfigurations, excessive permissions, and unprotected sensitive data. ルールは Microsoft のベスト プラクティスに基づき、データベースとその貴重なデータに最も大きなリスクとなるセキュリティの問題に注目します。The rules are based on Microsoft’s best practices, and focus on the security issues that present the biggest risks to your database and its valuable data. また、これらの規則は、さまざまな規制機関によるコンプライアンス基準を満たすための多くの要件も表しています。These rules also represent many of the requirements from various regulatory bodies to meet their compliance standards.

スキャンの結果では、各問題を解決するために実行可能な手順が示され、該当する場合はカスタマイズされた修復スクリプトが提供されます。Results of the scan include actionable steps to resolve each issue and provide customized remediation scripts where applicable. アクセス許可の構成、機能の構成、データベースの設定の許容されるベースラインを設定することで、環境に合わせて評価レポートをカスタマイズできます。An assessment report can be customized for your environment, by setting an acceptable baseline for permission configurations, feature configurations, and database settings.

VA を実装するImplementing VA

次の手順では、SQL Database に VA を実装します。The following steps implement VA on SQL Database.

1.スキャンを実行する1. Run a scan

VA の使用を始めるには、Azure SQL Database ウィンドウの [脆弱性評価 (プレビュー)] の設定に移動します。Get started with VA by navigating to Vulnerability Assessment (Preview) setting in your Azure SQL Database pane. 最初に、スキャン結果を格納するストレージ アカウントを構成します。Start by configuring a storage account where your scan results will be stored. ストレージ アカウントについて詳しくは、「Azure ストレージ アカウントについて」をご覧ください。For information about storage accounts, see About Azure storage accounts. ストレージを構成した後、[スキャン] をクリックしてデータベースの脆弱性をスキャンします。Once storage is configured, click Scan to scan your database for vulnerabilities.
データベースをスキャンするScan a database


スキャンは軽量であり安全です。The scan is lightweight and safe. 実行に要する時間は数秒で、完全に読み取りだけです。It takes a few seconds to run, and is entirely read-only. データベースを変更することはありません。It does not make any changes to your database.

手順 2.レポートを表示する2. View the report

スキャンが完了すると、スキャン レポートが Azure Portal に自動的に表示されます。When your scan is complete, your scan report is automatically displayed in the Azure portal. レポートでは、セキュリティの状態の概要、発見された問題の数、それぞれの重大度が示されます。The report presents an overview of your security state; how many issues were found, and their respective severities. 結果には、ベスト プラクティスからの逸脱の警告だけでなく、データベース プリンシパルとロールおよびそれらに関連付けられた権限など、セキュリティ関連の設定のスナップショットが含まれます。Results include warnings on deviations from best practices, as well as a snapshot of your security-related settings, such as database principals and roles and their associated permissions. また、スキャン レポートでは、データベースで検出された機密データのマップと、それを保護するために使用できる組み込みの方法の推奨事項も提供されます。The scan report also provides a map of sensitive data discovered in your database, and includes recommendations of the built-in methods available to protect it.

手順 3.結果を分析して問題を解決する3. Analyze the results and resolve issues

結果を確認し、レポートで示されている結果のうち環境で実際にセキュリティの問題となるものを判断します。Review your results, and determine which findings in the report are true security issues in your environment. 問題となった各結果をドリルダウンして、問題の影響と、各セキュリティ チェックが不合格になった理由を理解します。Drill down to each failed result to understand the impact of the finding, and why each security check failed. レポートで提供される実行可能な修復の情報を使って、問題を解決します。Use the actionable remediation information provided by the report to resolve the issue.

4.ベースラインを設定する4. Set your baseline

評価の結果を確認しながら、環境において許容されるベースラインとして特定の結果をマークできます。As you review your assessment results, you can mark specific results as being an acceptable Baseline in your environment. ベースラインは、本質的には、結果を報告する方法のカスタマイズです。The baseline is essentially a customization of how the results are reported. 以降のスキャンで、ベースラインと一致する結果は合格と見なされます。Results that match the baseline are considered as passing in subsequent scans. ベースラインとなるセキュリティ状態を確立した後、VA ではベースラインからの逸脱のみが報告され、ユーザーは関連する問題に集中することができます。 Once you have established your baseline security state, VA only reports on deviations from the baseline, and you can focus your attention on the relevant issues.

5.新しいスキャンを実行してカスタマイズした追跡レポートを確認する5. Run a new scan to see your customized tracking report

規則のベースラインの設定が済んだら、新しいスキャンを実行して、カスタマイズしたレポートを表示します。After you complete setting up your Rule Baselines, run a new scan to view the customized report. VA は、ユーザーが承認したベースライン状態から逸脱したセキュリティの問題のみを報告するようになります。VA now reports only the security issues that deviate from your approved baseline state.

VA を使って、データベースが常に高レベルのセキュリティを維持し、組織のポリシーが満たされていることを、監視できるようになりました。VA can now be used to monitor that your database maintains a high level of security at all times, and that your organizational policies are met. コンプライアンス レポートが必要な場合、VA レポートはコンプライアンス プロセスを容易にするのに役立ちます。If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

次のステップNext steps

SQL Database の監査の構成を検討します。Consider configuring SQL Database auditing.