Synapse Analytics ワークスペース用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Synapse Analytics ワークスペースに適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 その内容は、Azure セキュリティ ベンチマークと、Synapse Analytics ワークスペースに適用できる関連ガイダンスによって定義されるセキュリティ制御によってグループ化されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

セクションに関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Synapse Analytics ワークスペースに適用されないコントロール、およびグローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Synapse Analytics ワークスペースを Azure セキュリティ ベンチマークに完全にマップする方法については、完全な Synapse Analytics ワークスペースのセキュリティ ベースライン マッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス: Azure Synapse ワークスペースのリソースをデプロイする場合は、既存の仮想ネットワークを作成するか使用します。 すべての Azure 仮想ネットワークが、ビジネス リスクに合わせたエンタープライズ セグメント化の原則に従っていることを確認します。 組織のリスクが高くなる可能性があるシステムは、独自の仮想ネットワーク内に隔離し、ネットワーク セキュリティ グループ (NSG) または Azure Firewall で十分に保護する必要があります。

Azure Security Center のアダプティブ ネットワーク強化を使用して、外部ネットワーク トラフィック ルールへの参照に基づいてポートとソース IP を制限するネットワーク セキュリティ グループの構成を推奨します。

Azure Synapse Analytics は、マネージド仮想ネットワーク ワークスペースを提供します。 これは、Azure Synapse によって管理される仮想ネットワークに関連付けられた Synapse ワークスペースの SKU です。 マネージド プライベート エンドポイントは、マネージド ワークスペース仮想ネットワークが関連付けられているワークスペースにのみ作成できます。

アプリケーションとエンタープライズのセグメント化戦略に基づき、ネットワーク セキュリティ グループの規則に基づいて、内部リソース間のトラフィックを制限または許可します。 特定の適切に定義されたアプリケーション (3 層アプリなど) では、これが高度にセキュリティで保護された既定での拒否になります

マネージド仮想ネットワーク ワークスペースは、ユーザーの仮想ネットワーク上のインバウンド NSG ルールにより、Azure Synapse の管理トラフィックが独自の仮想ネットワークに入ることを許可します。 また、Spark クラスター用のサブネットをピーク負荷に基づいて自分で作成する必要がありません。

Azure Sentinel を使用して、不安がある従来のプロトコルである SSL/TLSv1、SMBv1、LM/NTLMv1、wDigest、署名なしの LDAP バインド、Kerberos の弱い暗号の使用を検出します。

Azure Synapse Analytics の Synapse SQL では、すべての TLS バージョンを使用した接続が許可されます。 Azure Synapse Analytics の Synapse SQL に対して最小 TLS バージョンを設定することはできません。 その他の Synapse 機能では、既定で TLS 1.2 が使用されます。

ネットワークおよびローカル コンピューターのファイアウォールで、Synapse Studio に対して TCP ポート 80、443、および 1443 での送信通信を許可するように設定してください。 また、Synapse Studio に対して UDP ポート 53 での送信通信を許可する必要があります。 SSMS や Power BI などのツールを使用して接続するには、TCP ポート1433での送信通信を許可する必要があります。

Azure Synapse Portal のファイアウォール設定により、すべてのパブリック ネットワーク接続をブロックすることができます。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 Audit、Deny、Disabled 1.1.0

NS-2: プライベート ネットワークをまとめて接続する

ガイダンス:Azure ExpressRoute または Azure 仮想プライベート ネットワーク (VPN) を使用して、コロケーション環境内で Azure のデータセンターとオンプレミスのインフラストラクチャ間のプライベート接続を作成できます。 ExpressRoute 接続はパブリック インターネットを経由しないので、一般的なインターネット接続と比べて信頼性が高く、高速で、待ち時間も短くなります。 ポイント対サイト VPN とサイト間 VPN では、これらの VPN オプションと Azure ExpressRoute の任意の組み合わせを使用して、オンプレミスのデバイスやネットワークを仮想ネットワークに接続できます。

Azure で 2 つ以上の仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure のバックボーン ネットワーク上に保持されます。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 Audit、Disabled 1.1.0

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス: Azure Synapse ワークスペースからマネージド プライベート エンドポイントを作成して、Azure サービス (Azure Storage や Azure Cosmos DB など)、および Azure でホストされる顧客またはパートナーのサービスにアクセスできます。

Azure Private Link を使用して、インターネットを経由しなくても仮想ネットワークから Azure Synapse ワークスペースにプライベート アクセスできるようにします。

プライベート アクセスは、Azure サービスによって提供される認証とトラフィック セキュリティに対する追加の多層防御手段です。

プライベート リンクを使用して Synapse Studio に接続するには、2 つの手順があります。 まず、プライベート リンク ハブ リソースを作成する必要があります。 次に、Azure 仮想ネットワークからこのプライベート リンク ハブにプライベート エンドポイントを作成する必要があります。 その後、プライベート エンドポイントを使用して、Synapse Studio と安全に通信できます。 プライベート エンドポイントは、オンプレミス ソリューションまたは Azure プライベート DNS のどちらかの DNS ソリューションと統合する必要があります。

Azure Virtual Network サービス エンドポイントを使用して、インターネットを経由せずに、Azure のバックボーン ネットワーク上の最適化されたルートを介した Azure Synapse ワークスペースへの安全なアクセスを提供します。

プライベート アクセスは、Azure サービスによって提供される認証とトラフィック セキュリティに対する追加の多層防御手段です。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 Audit、Disabled 1.1.0

NS-4: 外部ネットワーク攻撃からアプリケーションやサービスを保護する

ガイダンス: 分散型サービス拒否 (DDoS) 攻撃、アプリケーション固有の攻撃、未承諾で悪意の可能性があるインターネット トラフィックなど、外部ネットワークからの攻撃に対して Azure Synapse ワークスペース リソースを保護します。 Azure Firewall を使用して、インターネットや他の外部の場所からの、悪意がある可能性のあるトラフィックから、アプリケーションやサービスを保護します。 Azure 仮想ネットワークで DDoS 標準保護を有効にすることで、DDoS 攻撃から資産を保護します。 Azure Security Center を使用して、ネットワークに関するリソースの構成ミスのリスクを検出します。

Azure Synapse ワークスペースは Web アプリケーションを実行するためのものではなく、Web アプリケーションを対象とする外部ネットワーク攻撃からこれを保護するために追加で設定を構成したり、追加のネットワーク サービスをデプロイしたりする必要はありません。

責任: Customer

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: DNS セキュリティのベスト プラクティスに従って、ダングリング DNS、DNS アンプ攻撃、DNS のポイズニングとスプーフィングなどの一般的な攻撃を軽減します。

権限のある DNS サービスとして Azure DNS が使用されている場合は、Azure RBAC とリソース ロックを使用して、DNS ゾーンとレコードが偶発的または悪意のある変更から保護されていることを確認します。

責任: Customer

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Azure Synapse ワークスペースでは、Azure Active Directory (Azure AD) を既定の ID およびアクセス管理サービスとして使用します。 Azure AD を標準化して、次のリソースでの組織の ID とアクセス管理を統制する必要があります。

  • Azure portal、Azure Storage、Azure 仮想マシン (Linux と Windows)、Azure Key Vault、PaaS、SaaS アプリケーションなどの Microsoft Cloud リソース。
  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位を持つ必要があります。 Azure AD は ID セキュリティ スコアを提供して、Microsoft のベスト プラクティス推奨事項に関連した ID セキュリティ態勢をユーザーが評価できるようにします。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

注: Azure AD では、外部 ID がサポートされています。これにより、Microsoft アカウントを持たないユーザーが、外部 ID を使用してアプリケーションやリソースにサインインできるようになります。

リソース グループの Azure 所有者または共同作成者 (Azure RBAC) ロールを持つユーザーは、Synapse で専用 SQL プール、Spark プール、および統合ランタイムを管理できるようになります。 これに加えて、Synapse RBAC は Azure RBAC の機能を拡張し、コード アーティファクトの読み取りや公開、コードの実行、リンクされたサービスへのアクセス、ジョブ実行の監視やキャンセルを行うユーザーを制御します。

Azure AD 認証では、包含データベース ユーザーまたはプール レベル ユーザーを使用して、Azure Synapse Analytics の SQL プールについて、データベース レベルで ID を認証します。 また、Synapse では SQL プールに対して SQL 認証を行うこともできます。 この認証方法では、ユーザーはユーザー アカウント名と、関連付けられたパスワードを送信して接続を確立します。 このパスワードは、ログインにリンクされているユーザー アカウントのマスター データベースに格納されているか、ログインにリンクされて "いない" ユーザー アカウントが含まれるデータベースに格納されています。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.0.0

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス: Azure Synapse ワークスペースでは、Azure リソースのマネージド ID がサポートされています。 サービス プリンシパルを作成する代わりに、Azure Synapse ワークスペースと共にマネージド ID を使用してその他のリソースにアクセスします。 Azure Synapse ワークスペースでは、ソース コードまたは構成ファイルにハードコーディングされた資格情報を使用しなくても、事前に定義されたアクセス許可規則によって、Azure AD 認証をサポートしている Azure サービスまたはリソースに対してネイティブに認証することができます。

Azure Synapse Analytics では、マネージド ID を使用してパイプラインを統合します。

Azure Synapse ワークスペースでは、証明書の資格情報を使用してサービス プリンシパルを構成し、クライアント シークレットにフォールバックするため、Azure AD を利用してリソース レベルのアクセス許可が制限されたサービス プリンシパルを作成することが推奨されます。 どちらの場合も、Azure Key Vault を Azure マネージド ID と組み合わせて使用し、ランタイム環境 (Azure 関数など) でキー コンテナーから資格情報を取得できるようにすることができます。

Azure Synapse Analytics では、顧客管理キー (CMK) を暗号化に使用することができます。 この暗号化は、Azure Key Vault で生成されたキーを使用します。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: Azure Synapse ワークスペースでは、Azure Active Directory を使用して、Azure リソース、クラウド アプリケーション、オンプレミスのアプリケーションに ID とアクセス管理を提供します。 これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。 これによってシングル サインオン (SSO) が可能となり、オンプレミスとクラウドにある組織のデータとリソースへのアクセスを管理し、セキュリティで保護することができます。 すべてのユーザー、アプリケーション、デバイスを Azure AD に接続することで、シームレスで安全なアクセスを実現し、可視性と制御性を高めることができます。

責任: Customer

IM-7:意図しない資格情報の公開を排除する

ガイダンス: Azure Synapse Analytics によって、ID やシークレットを持つ可能性のある以下のエンティティのデプロイまたは実行が顧客に許可される場合があります。

  • コード
  • 構成
  • 永続化されたデータ

それらのエンティティ内の資格情報を識別するための資格情報スキャナーを実装します。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。 GitHub の場合は、ネイティブのシークレット スキャン機能を使用します。 この機能は、コード内の資格情報や他の形式のシークレットを識別します。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス: Azure AD で最も重要な組み込みロールは、全体管理者と特権ロール管理者です。これは、これら 2 つのロールに割り当てられたユーザーが管理者の役割を委任できるためです。

  • 全体管理者または会社の管理者:このロールが割り当てられたユーザーは、Azure AD のすべての管理機能に加え、Azure AD ID を使用するサービスにもアクセスできます。
  • 特権ロール管理者:このロールが割り当てられたユーザーは、Azure AD と Azure AD Privileged Identity Management (PIM) 内でロールの割り当てを管理できます。 さらに、このロールは、PIM と管理単位のすべての側面を管理できます。

注: 特定の特権アクセス許可を割り当てられたカスタム役割を使用する場合は、管理する必要のある他の重要なロールがある場合があります。 また、重要なビジネス資産の管理者アカウントに同様のコントロールを適用することもできます。

高い特権を持つアカウントまたはロールの数を制限し、これらのアカウントを昇格されたレベルで保護してください。 これらの特権を持つユーザーは Azure 環境内のすべてのリソースを直接または間接に読み取り、変更できます。

Azure AD PIM を使用して、Azure リソースと Azure AD への Just-In-Time (JIT) の特権アクセスを有効にすることができます。 ユーザーが必要とする場合にのみ特権タスクを実行するための一時的なアクセス許可は、JIT によって付与されます。 PIM を使用すると、Azure AD 組織に不審なアクティビティや安全でないアクティビティがある場合に、セキュリティ アラートを生成することもできます。

Azure Synapse ワークスペースには、次の高い特権を持つアカウントがあります。

  • リソース グループでの Azure 所有者
  • リソース グループでの Azure 共同作成者
  • Synapse に関連付けられた ADLS g2 ストレージ コンテナーでのストレージ BLOB データ共同作成者
  • Synapse 管理者
  • Synapse SQL 管理者
  • Apache Spark 管理者

専用管理者アカウントの使用に関する標準的な操作手順を作成します。

Azure Synapse ワークスペースを最初に作成する際、Synapse ワークスペース内の SQL プールに対して管理者ログインとパスワードを指定することができます。 この管理者アカウントは、サーバー管理者と呼ばれます。Synapse のサーバー管理者アカウントを確認するには、Azure portal を開き、Synapse ワークスペースの概要タブに移動します。 また、完全な管理アクセス許可を持つ Azure AD 管理者アカウントを構成することもできます。これは、Azure Active Directory 認証を有効にする場合に必要です。

責任: Customer

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: Azure Synapse ワークスペースでは、Azure Active Directory (Azure AD) アカウントを使用してそのリソースを管理し、ユーザー アカウントとアクセス割り当てを定期的にレビューして、アカウントとそのアクセスが有効であることを確認します。 Azure AD とアクセスのレビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てをレビューすることができます。 Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。 また、Azure AD Privileged Identity Management (PIM) を使用してアクセス レビュー レポート ワークフローを作成し、レビュー プロセスを支援することもできます。

さらに、Azure AD PIM を構成して、過剰な数の管理者アカウントが作成されたらアラートを生成し、古くなったり不適切に構成されている管理者アカウントを識別することもできます。

注:一部の Azure サービスでは、Azure AD で管理されていないローカル ユーザーとロールがサポートされています。 これらのユーザーは個別に管理する必要があります。

Azure Synapse ワークスペースで専用 SQL プール、Spark プール、および統合ランタイムの管理を制御するには、リソース グループでの Azure 所有者または Azure 共同作成者ロールを持つユーザが必要です。 これに加えて、ユーザーとワークスペースのシステム ID には、Synapse ワークスペースに関連付けられた ADLS Gen2 ストレージ コンテナーへのストレージ BLOB データ共同作成者アクセス許可が付与されている必要があります。 SQL 認証の使用時は、SQL プール内に包含データベース ユーザーを作成します。 1 人以上のデータベース ユーザーを、そのユーザー グループにとって適切な特定のアクセス許可を持つカスタム データベース ロールに必ず配置します。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス: セキュリティで保護された分離したワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高い役割のセキュリティには非常に重要です。 管理タスクに高度にセキュリティ保護されたユーザー ワークステーションや Azure Bastion を使用します。 Azure Active Directory (Azure AD)、Microsoft Defender Advanced Threat Protection (ATP)、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションをデプロイします。 セキュリティで保護されたワークステーションを一元管理して、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を実施できます。

責任: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス: Azure Synapse ワークスペースでは、Azure ロールベースのアクセス制御 (Azure RBAC) との統合により、そのリソースを管理します。 Azure RBAC を使用すると、ロールの割り当てによって Azure リソースへのアクセスを管理できます。 これらのロールを、ユーザー、グループ サービス プリンシパル、およびマネージド ID に割り当てることができます。 特定のリソースに対して定義済みの組み込みロールがあります。これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたは照会できます。 Azure RBAC を使用してリソースに割り当てる特権は、常に、ロールで必要なものに制限する必要があります。 これは、Azure AD Privileged Identity Management (PIM) の Just-in-Time (JIT) アプローチを補完するものであり、定期的に見直す必要があります。

組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。

Azure Synapse Analytics で専用 SQL プール、Spark プール、および統合ランタイムの管理を制御するには、リソース グループでの Azure 所有者または Azure 共同作成者ロールを持つユーザが必要です。 これに加えて、ユーザーとワークスペースのシステム ID には、Synapse ワークスペースに関連付けられた ADLS Gen2 ストレージ コンテナーへのストレージ BLOB データ共同作成者アクセス許可が付与されている必要があります。

Azure Synapse ワークスペースを最初に作成する際、Synapse ワークスペース内の SQL プールに対して管理者ログインとパスワードを指定することができます。 この管理者アカウントは、サーバー管理者と呼ばれます。Synapse のサーバー管理者アカウントを確認するには、Azure portal を開き、Synapse ワークスペースの概要タブに移動します。 また、完全な管理アクセス許可を持つ Azure AD 管理者アカウントを構成することもできます。これは、Azure Active Directory 認証を有効にする場合に必要です。

責任: Customer

PA-8: Microsoft サポートの承認プロセスを選択する

ガイダンス: Microsoft が顧客データにアクセスする必要があるサポート シナリオでは、顧客データへのアクセス要求を確認し、承認または拒否するためのインターフェイスを提供するために、Azure Synapse ワークスペースによってカスタマー ロックボックスがサポートされています。

Microsoft が専用 SQL プール内の SQL Database に関連するデータにアクセスする必要があるサポート シナリオで、Azure カスタマー ロックボックスのインターフェイスを使用して、データへのアクセス要求を確認し、承認または拒否することができます。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

ガイダンス: データの検出と分類は Azure SQL に組み込まれており、次の機能をサポートしています: 検出および推奨事項 - 分類エンジンはデータベースをスキャンし、機密データが含まれる可能性のある列を識別します。 その後、Azure portal を使って、推奨される分類を確認して適用するための簡単な方法を提供します。

ラベル付け - SQL Server データベース エンジンに追加された新しいメタデータ属性を使用して、機密度の分類ラベルを列に永続的に適用できます。 このメタデータは、機密度に基づく監査と保護のシナリオに利用できます。

クエリ結果セットの機密度 - 監査のため、クエリ結果セットの機密度がリアルタイムで計算されます。

可視性 - データベースの分類状態は、Azure portal の詳細ダッシュボードで見ることができます。 また、コンプライアンスと監査の目的や他のニーズのために使用される Excel 形式のレポートをダウンロードできます。

お使いの機密データを検出、分類、ラベル付けすると、組織の技術システムで機密情報が安全に保存、処理、および転送されるコントロールを適切に設計できます。

Azure、オンプレミス、Microsoft 365 などの場所にある Office ドキュメントの機密情報には、Azure Information Protection (およびこれに付随するスキャン ツール) を使用します。

Azure SQL Database に格納されている情報の分類とラベル付けには、Azure SQL Information Protection を使用します。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL データベースの機密データを分類する必要がある Microsoft Defender for Cloud は、SQL データベースのデータ検出と分類スキャンの結果を監視し、監視とセキュリティの向上のためにデータベース内の機密データを分類するように推奨します AuditIfNotExists、Disabled 3.0.0-preview

DP-2:機密データを保護する

ガイダンス: 機密データを保護するには、Azure ロールベースのアクセス制御 (Azure RBAC)、ネットワーク ベースのアクセス制御、Azure サービスの特定の制御 (暗号化など) を使用してアクセスを制限します。

一貫したアクセス制御を確保するには、自分の企業のセグメント化戦略にすべての種類のアクセス制御を合わせる必要があります。 企業のセグメント化戦略では、機密またはビジネスに重要なデータやシステムの場所からも通知される必要があります。

(Microsoft によって管理される) 基になるプラットフォームの場合、Microsoft では顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護します。 Microsoft では、Azure 内の顧客データが確実にセキュリティで保護されるように、データ保護コントロールおよび機能をいくつか実装しています。

Azure Synapse Analytics では、SQL プール、Spark プール、Azure Data Factory 統合ランタイム、パイプライン、およびデータセット内のデータについて、カスタマー マネージド キーを使用した二重暗号化を提供しています。

Azure Synapse SQL のデータの検出と分類機能を使用します。 また、Azure portal で動的データ マスク (DDM) ポリシーを設定することもできます。 DDM の推奨エンジンでは、データベースの特定のフィールドに「機密データの可能性あり」の注意が付けられます。この注意を参考にマスク候補を選択できます。

Transparent Data Encryption (TDE) を使用すると、保存データを暗号化することにより、悪意のあるオフライン アクティビティの脅威から Synapse 専用 SQL プールのデータを保護できます。 アプリケーションに変更を加えることなく、データベース、関連付けられているバックアップ、保存されているトランザクション ログ ファイルがリアルタイムに暗号化および暗号化解除されます。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
保護されていない SQL マネージド インスタンスに対して Microsoft Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
Transparent Data Encryption を SQL データベース上で有効にする必要がある 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります AuditIfNotExists、Disabled 2.0.0

DP-3:機密データの不正転送を監視する

ガイダンス: Azure Synapse ワークスペースでは顧客データの転送を行うことができますが、機密データの不正な転送の監視については、ネイティブではサポートしていません。

Azure Storage Advanced Threat Protection (ATP) と Azure SQL ATP によって、機密情報の不正転送を示唆する、異常な情報転送のアラートを送信できます。

データ損失対策 (DLP) に準拠する必要がある場合、ホスト ベースの DLP ソリューションを使用して、検出および予防コントロールを適用してデータ流出を回避できます。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
保護されていない SQL マネージド インスタンスに対して Microsoft Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2

DP-4:転送中の機密情報を暗号化する

ガイダンス: 転送中のデータが攻撃者に簡単に読み取られたり変更されたりしないよう、暗号化を使用して "帯域外" 攻撃 (トラフィックのキャプチャなど) から保護し、アクセス制御を補完する必要があります。

Azure Synapse ワークスペースは、TLS v1.2 以上で転送中のデータの暗号化をサポートしています。

これはプライベート ネットワーク上のトラフィックでは省略できますが、外部ネットワークとパブリック ネットワーク上のトラフィックには重要です。 ご自分の Azure リソースに接続するすべてのクライアントの HTTP トラフィックのネゴシエートには、確実に TLS v1.2 以上を使用してください。 リモート管理には、暗号化されていないプロトコルではなく、(Linux の場合) SSH または (Windows の場合) RDP/TLS を使用します。 SSL、TLS、SSH の古いバージョンとプロトコル、および弱い暗号は無効にする必要があります。

既定では Azure によって、Azure のデータ センター間の転送データが暗号化されます。

責任: Customer

DP-5:保存データを暗号化する

ガイダンス: アクセス制御を補完するため、Azure Synapse ワークスペースは保存データを暗号化して、"帯域外" 攻撃 (基になるストレージへのアクセスなど) から保護します。 これにより、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。

既定では Azure によって保存データが暗号化されます。 機密性の高いデータには、保存されている利用可能なすべての Azure リソースに、オプションで暗号化を追加できます。 既定では Azure によってお使いの暗号化キーが管理されますが、特定の Azure サービスが規制要件を満たすことができるように、お使いの独自のキー (カスタマー マネージド キー) を管理するオプションが Azure により提供されています。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 AuditIfNotExists、Disabled 1.0.2
SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 AuditIfNotExists、Disabled 2.0.1
Transparent Data Encryption を SQL データベース上で有効にする必要がある 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります AuditIfNotExists、Disabled 2.0.0

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス:セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Azure Security Center を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ リスクの監視は、セキュリティ チームの責任の構造に応じて、中央のセキュリティ チームまたはローカル チームの責任になります。 ただし、セキュリティ分析情報とリスクは、常に組織内で一元的に集計する必要があります。

セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。

注:ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。

責任: Customer

AM-2:セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス:セキュリティ チームが、Azure Synapse ワークスペースなどの Azure 上の資産の継続的に更新されるインベントリに確実にアクセスできるようにします。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、および継続的なセキュリティ改善への入力として、このインベントリを必要とすることがよくあります。 Azure Active Directory (Azure AD) グループを作成して、社内の承認されたセキュリティ チームをそのグループに含め、すべての Azure Synapse ワークスペース リソースに対する読み取りアクセス権を割り当てます。これは、サブスクリプション内の 1 つに高レベルのロールを割り当てることで簡略化できます。

Azure リソース、リソース グループ、サブスクリプションにタグを適用して、それらを論理的に分類できます。 各タグは、名前と値のペアで構成されます。 たとえば、運用環境のすべてのリソースには名前 "環境" と値 "運用" を適用できます。

Azure 仮想マシンのインベントリを使用して、Virtual Machines 上のソフトウェアに関する情報の収集を自動化します。 ソフトウェアの名前、バージョン、発行元、および更新時刻は、Azure portal から入手できます。 インストール日やその他の情報にアクセスするには、ゲストレベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースに取り込みます。

Azure Synapse ワークスペースのリソースでは、アプリケーションを実行することも、ソフトウェアをインストールすることもできません。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス:Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。

責任: 共有

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス: Azure Security Center の組み込みの脅威検出機能を使用して、Azure Synapse ワークスペース リソースに対して Azure Defender (旧称: Azure Advanced Threat Protection) を有効にします。 Azure Defender for Azure Synapse ワークスペースでは、Azure Synapse ワークスペース リソースに対して通常と異なる潜在的に有害なアクセスまたは悪用が試行されたことを検出するセキュリティ インテリジェンスの追加レイヤーを提供します。

Azure Synapse から Azure Sentinel に、カスタム脅威検出を設定するために使用できるログを転送します。 潜在的な脅威や異常を検出するために、さまざまな種類の Azure 資産を監視していることを確認してください。 アナリストが選別しやすいように、質の高いアラートを取得して誤検知を減らすことに専念します。 アラートは、ログ データ、エージェント、その他のデータを元に生成できます。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
保護されていない SQL マネージド インスタンスに対して Microsoft Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にする

ガイダンス: Azure Active Directory (Azure AD) では、次のユーザー ログが記録され、これは Azure AD レポートで確認できます。また、より高度な監視と分析のユース ケースの場合は、Azure Monitor、Azure Sentinel、または他の SIEM/監視ツールと統合できます。

  • サインイン - サインイン レポートでは、マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報が得られます。
  • 監査ログ - Azure AD 内のさまざまな機能によって行われたすべての変更についてログによる追跡可能性を提供します。 監査ログの例として、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Azure AD 内のあらゆるリソースに加えられた変更があります。
  • リスクの高いサインイン - リスクの高いサインインは、ユーザー アカウントの正当な所有者ではない人によって行われた可能性があるサインイン試行の指標です。
  • リスクのフラグ付きユーザー - リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。

Azure Security Center で、認証試行の失敗回数が多すぎるなど、サブスクリプションにおける特定の不審なアクティビティや、非推奨のアカウントに対してアラートを生成することもできます。 Azure Security Center の脅威保護モジュールでは、基本的なセキュリティ検疫監視に加えて、個々の Azure コンピューティング リソース (仮想マシン、コンテナー、アプリ サービス)、データ リソース (SQL DB、ストレージ)、Azure サービス レイヤーから、さらに詳細なセキュリティ アラートを収集することもできます。 この機能を使用することにより、個々のリソース内でアカウントの異常を確認できます。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
保護されていない SQL マネージド インスタンスに対して Microsoft Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス:セキュリティ分析で、インシデント調査、脅威ハンティング、セキュリティ アラートの生成をサポートするために、ネットワーク セキュリティ グループ (NSG) のリソース ログ、NSG フロー ログ、Azure Firewall ログ、Web アプリケーション ファイアウォール (WAF) ログを有効にして収集します。 Azure Monitor Log Analytics ワークスペースにフロー ログを送信し、Traffic Analytics を使用して分析情報を提供できます。

Azure Synapse ワークスペースにおいて、お客様のアクセスのために処理するすべてのネットワーク トラフィックはログに記録されます。 デプロイされているオファリング リソース内でネットワーク フロー機能を有効にします。

専用 SQL プールに接続するとき、ネットワーク セキュリティ グループ (NSG) フロー ログを有効にしてある場合は、トラフィックの監査のために Azure ストレージ アカウントにログが送信されます。

また、NSG フロー ログを Log Analytics ワークスペースに送信し、Traffic Analytics を使用して Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。 Traffic Analytics のいくつかの利点として、ネットワーク アクティビティを視覚化してホット スポットを特定したり、セキュリティの脅威を識別したり、トラフィック フロー パターンを把握したり、ネットワークの誤った構成の正確な場所を特定したりする機能が挙げられます。

他のネットワーク データの関連付けを支援するために、DNS クエリ ログを収集するようにしてください。 組織のニーズに応じて、DNS ログ記録用の Azure Marketplace のサード パーティ ソリューションを実装します。

責任: Customer

LT-4:Azure リソースのログ記録を有効にする

ガイダンス:自動的に利用できるアクティビティ ログには、読み取り操作 (GET) を除く、Azure Synapse ワークスペース リソースに対するすべての書き込み操作 (PUT、POST、DELETE) が含まれています。 アクティビティ ログを使用すると、トラブルシューティング時にエラーを見つけたり、組織内のユーザーがリソースをどのように変更したかを監視したりできます。

Azure Synapse ワークスペースに対し、Azure リソース ログを有効にします。 Azure Security Center と Azure Policy を使用して、リソース ログとログ データの収集を有効にできます。 これらのログは、セキュリティ インシデントを調査し、フォレンジック演習を実行するために重要な場合があります。

Azure Monitor では、ほとんどの Azure サービスに対して、基礎レベルのインフラストラクチャのメトリック、アラート、およびログを提供します。 Azure 診断ログはリソースによって出力され、そのリソースの操作に関する豊富な頻出データを提供します。 Azure Synapse Analytics を使用すると、Azure Monitor に診断ログを書き込むことができます。 特に、Synapse RABC 操作のログ記録です。

Azure Synapse ワークスペースでは、ローカル管理者アカウントに関するセキュリティ監査ログも生成されます。 これらのローカル管理者監査ログを有効にします

Azure SQL Azure Synapse Analytics の監査では、データベース イベントが追跡され、Azure ストレージ アカウント、Log Analytics ワークスペース、または Event Hubs の監査ログに書き込まれます。 これらの監査ログにより、規定遵守の維持、データベース活動の理解、およびビジネス上の懸念やセキュリティ違犯の疑いを示す差異や異常に対する分析情報を得ることが容易になります。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL Server の監査を有効にする必要があります サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 AuditIfNotExists、Disabled 2.0.0

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス:ログ記録のストレージと分析を一元化して、相関関係を有効にします。 ログ ソースごとに、データ所有者、アクセス ガイダンス、ストレージの場所、データの処理とアクセスに使用するツール、データ保持の要件を割り当てたことを確認します。

Azure アクティビティ ログを一元的なログ記録に統合していることを確認します。 Azure Monitor を介してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されたセキュリティ データを集計します。 Azure Monitor で Log Analytics ワークスペースを使用してクエリを発行し、分析を実行して、長期のアーカイブ ストレージには Azure Storage アカウントを使用します。

さらに、Azure Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードします。

多くの組織では、頻繁に使用される "ホット" データに対しては Azure Sentinel を、使用頻度の低い "コールド" データに対しては Azure Storage を使用することを選択しています。

Azure Synapse ワークスペースで実行される可能性があるアプリケーションの場合、すべてのセキュリティ関連ログが SIEM に転送され、一元的に管理されます。

Azure Synapse Analytics の監査では、データベース イベントが追跡され、Azure ストレージ アカウント、Log Analytics ワークスペース、または Event Hubs の監査ログに書き込まれます。 これらの監査ログにより、規定遵守の維持、データベース活動の理解、およびビジネス上の懸念やセキュリティ違犯の疑いを示す差異や異常に対する分析情報を得ることが容易になります。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス:Azure Synapse ワークスペース ログを格納するために使用されるすべてのストレージ アカウントまたは Log Analytics ワークスペースに、組織のコンプライアンス規則に従ったログの保有期間が設定されていることを確認します。

Azure Synapse Analytics の監査では、データベース イベントが追跡され、Azure ストレージ アカウント、Log Analytics ワークスペース、または Event Hubs の監査ログに書き込まれます。 これらの監査ログにより、規定遵守の維持、データベース活動の理解、およびビジネス上の懸念やセキュリティ違犯の疑いを示す差異や異常に対する分析情報を得ることが容易になります。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 AuditIfNotExists、Disabled 3.0.0

LT-7:承認された時刻同期ソースを使用する

ガイダンス: Microsoft は、ほとんどの Azure プラットフォームの PaaS および SaaS サービスのタイム ソースを保守しています。 特定の要件がない限り、仮想マシンでは、時刻の同期に Microsoft の既定のネットワーク タイム プロトコル (NTP) サーバーを使用してください。 独自の NTP サーバーを立ち上げる必要がある場合は、UDP サービス ポート 123 をセキュリティで保護してください。

Azure 内のリソースによって生成されるすべてのログでは、既定で指定されたタイム ゾーンを使用してタイム スタンプが付けられます。

責任: Microsoft

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: Azure Blueprints を使用すると、1 つのブループリント定義で、Azure Resource Manager テンプレート、Azure RBAC コントロール、ポリシーなど、サービスとアプリケーション環境のデプロイと構成を自動化することができます。

SQL Server は仮想ネットワーク サービス エンドポイントを使用する必要があります。

Azure Blueprints を使用すると、1 つのブループリント定義で、Azure Resource Manager テンプレート、Azure RBAC コントロール、ポリシーなど、サービスとアプリケーション環境のデプロイと構成を自動化することができます。

Azure Security Center ベースのコントロールに加え、Synapse Analytics に起因する多くのオファリング固有のセキュリティ ポリシーがあります。 たとえば、Azure SQL Server を Private Link 経由で仮想ネットワークに接続したり、NSG フロー ログと Traffic Analytics を使用して仮想ネットワーク、サブネット、ネットワーク インターフェイスの構成とトラフィックを監視してログを取ったり、Advanced Threat Protection (ATP) を使用して悪意のある既知の IP アドレスとの通信を拒否したりすることができます。

責任: Customer

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Azure Security Center を使用して、構成基準を監視し、Azure Policy の [deny] および [deploy if not exist] を使用して、VM やコンテナーなどの Azure コンピューティング リソース全体にセキュリティで保護された構成を適用します。

特定のデータベースの SQL 監査ポリシーを定義します。 または、それを (専用 SQL プールをホストする) Azure の既定のサーバー ポリシーとして定義します。 既定の監査ポリシーには、すべてのアクションと一連のアクション グループが含まれます。 アクションとアクション グループは次の監査を行います。

責任: Customer

PV-3: コンピューティング リソースにセキュリティで保護された構成を確立する

ガイダンス:Azure Security Center と Azure Policy を使用して、VM、コンテナーなど、すべてのコンピューティング リソースにセキュリティで保護された構成を確立します。

責任: Customer

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Microsoft では、Azure Synapse ワークスペースをサポートしている基礎となるシステムで脆弱性の管理を行います。

責任: Microsoft

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.Sql:

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL データベースでは脆弱性の検出結果を解決する必要がある 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 AuditIfNotExists、Disabled 4.0.0
SQL Managed Instance で脆弱性評価を有効にする必要がある 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 AuditIfNotExists、Disabled 1.0.1
脆弱性評価を SQL サーバー上で有効にする必要がある 定期的な脆弱性評価スキャンが有効になっていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 AuditIfNotExists、Disabled 2.0.0

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: サードパーティ製ソフトウェアの場合は、サードパーティのパッチ管理ソリューションを使用します。 または、Configuration Manager 用の System Center Updates Publisher を使用します。 Azure Synapse Analytics では、サードパーティ製ソフトウェアを使用せず、要求もしません。

責任: Microsoft

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス:必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。

お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: Customer

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-2:一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: Azure Synapse ワークスペース、またはそのリソースを、一元管理された最新のマルウェア対策ソフトウェアで保護します。

  • リアルタイムおよび定期的なスキャンを行える、一元管理されたエンドポイントのマルウェア対策ソリューションを使用します。

  • Azure Security Center では、お使いの仮想マシン (VM) に複数の一般的なマルウェア対策ソリューションが使用されていることを自動的に特定し、エンドポイント保護の実行状態を報告したり、推奨事項を提供したりできます。

  • Azure Cloud Services 向けの Microsoft Antimalware は、Windows VM の既定のマルウェア対策です。 Linux VM の場合は、サード パーティのマルウェア対策ソリューションを使用します。 データ サービス向けの Azure Security Center の脅威検出を使用して、Azure Storage アカウントにアップロードされたマルウェアを検出することもできます。

  • Cloud Services と Virtual Machines に対して Microsoft Antimalware を構成する方法

  • サポートされているエンドポイント保護ソリューション

責任: Customer

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス: 適用できません。Azure Synapse ワークスペースは、エンドポイントでの検出と対応 (EDR) 保護が必要な仮想マシンやコンテナーでは構成されていません。

責任: Microsoft

バックアップと回復

詳細については、Azure セキュリティ ベンチマークの「バックアップと回復」を参照してください。

BR-1:定期的な自動バックアップを保証する

ガイダンス: Synapse 専用 SQL プールのスナップショットは 1 日を通して自動的に取得され、7 日間利用できる復元ポイントが作成されます。 この保持期間は変更できません。 専用 SQL プールでは、8 時間の RPO (回復ポイントの目標) がサポートされています。 プライマリ リージョンの SQL プールを、過去 7 日間に作成されたいずれかのスナップショットから復元することができます。 必要に応じて、手動でスナップショットをトリガーできることに注意してください。 カスタマー マネージド キーを使用してデータベース暗号化キーを暗号化している場合は、キーがバックアップされていることを確認します。

責任: 共有

BR-2:バックアップ データを暗号化する

ガイダンス: Synapse 専用 SQL プールのスナップショットは 1 日を通して自動的に取得され、7 日間利用できる復元ポイントが作成されます。 この保持期間は変更できません。 専用 SQL プールでは、8 時間の RPO (回復ポイントの目標) がサポートされています。 プライマリ リージョンの SQL プールを、過去 7 日間に作成されたいずれかのスナップショットから復元することができます。 必要に応じて、手動でスナップショットをトリガーできることに注意してください。 カスタマー マネージド キーを使用してデータベース暗号化キーを暗号化している場合は、キーがバックアップされていることを確認します。

責任: Customer

BR-3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス:専用 SQL プールのスナップショットは 1 日を通して自動的に取得され、7 日間利用できる復元ポイントが作成されます。 この保持期間は変更できません。 専用 SQL プールでは、8 時間の RPO (回復ポイントの目標) がサポートされています。 プライマリ リージョンのデータ ウェアハウスを、過去 7 日間に作成されたいずれかのスナップショットから復元することができます。 必要に応じて、手動でスナップショットをトリガーできることに注意してください。

バックアップされたカスタマー マネージド キーを復元できることを定期的に確認します。

Synapse では、カスタマー マネージド キー (CMK) を暗号化に使用することができます。 この暗号化は、Azure Key Vault で生成されたキーを使用します。

責任: 共有

BR-4:キー紛失のリスクを軽減する

ガイダンス: キーの紛失を回避および復旧する手段を設けておきます。 Azure Key Vault で論理的な削除と消去保護を有効にして、キーが偶発的または悪意から削除されないようにします。

責任: 共有

次のステップ