SQL 脆弱性評価SQL Vulnerability Assessment

適用対象: ○SQL Server ○Azure SQL Database XAzure SQL Data Warehouse XParallel Data WarehouseAPPLIES TO: yesSQL Server yesAzure SQL Database noAzure SQL Data Warehouse noParallel Data Warehouse

SQL 脆弱性評価は使いやすいツールで、データベースに潜在する脆弱性を検出、追跡、修復するのに役立ちます。SQL Vulnerability Assessment is an easy to use tool that can help you discover, track, and remediate potential database vulnerabilities. これを使用すると、事前の対策としてデータベースのセキュリティを向上させることができます。Use it to proactively improve your database security.

脆弱性評価は SQL Server 2012 以降でサポートされており、Azure SQL Database 上で実行することもできます。Vulnerability Assessment is supported for SQL Server 2012 and later, and can also be run on Azure SQL Database.

脆弱性評価の機能Vulnerability Assessment features

SQL 脆弱性評価 (VA) は自分のセキュリティ保護状態を把握できるサービスです。セキュリティ上の問題を解決するために実践できる手順が含まれており、データベースのセキュリティを強化できます。SQL Vulnerability Assessment (VA) is a service that provides visibility into your security state, and includes actionable steps to resolve security issues and enhance your database security. 以下のことに役立ちます。It can help you:

  • データベース スキャン レポートが必要なコンプライアンス要件を満たす。Meet compliance requirements that require database scan reports.
  • データのプライバシー基準を満たす。Meet data privacy standards.
  • 変更の追跡が困難である動的データベース環境を監視する。Monitor a dynamic database environment where changes are difficult to track.

VA サービスは、お使いのデータベース上で直接スキャンを実行します。The VA service runs a scan directly on your database. このサービスでは、セキュリティの脆弱性にフラグを付けベスト プラクティスからの逸脱 (構成の不備、過剰な権限、保護されていない機密データなど) に焦点を当てたルールのナレッジ ベースを採用しています。The service employs a knowledge base of rules that flag security vulnerabilities and highlight deviations from best practices, such as misconfigurations, excessive permissions, and unprotected sensitive data. このルールは Microsoft が推奨するベスト プラクティスに基づいており、お使いのデータベースとその貴重なデータにとって大きなリスクとなるセキュリティの問題に焦点を当てています。The rules are based on Microsoft's recommended best practices, and focus on the security issues that present the biggest risks to your database and its valuable data. これらのルールでは、さまざまな規制機関の数多くのコンプライアンス基準を満たすための要件も示しています。These rules also represent many of the requirements from various regulatory bodies to meet their compliance standards.

スキャンの結果には、各々の問題を解決するために実践できる手順が含まれ、カスタマイズした修復スクリプトが適宜提供されます。Results of the scan include actionable steps to resolve each issue and provide customized remediation scripts where applicable. 評価レポートは、アクセス許可の構成、機能の構成、およびデータベース設定についての許容可能なベースラインを設定することで、お使いの環境用にカスタマイズできます。An assessment report can be customized for your environment, by setting an acceptable baseline for permission configurations, feature configurations and database settings.

PrerequisitesPrerequisites

この機能は、SQL Server Management Studio (SSMS) バージョン 17.4 以降でのみ使用できます。This feature is only available on SQL Server Management Studio (SSMS) v17.4 or later. 最新バージョンを使用していることを確認してください。Please make sure you are using the latest version. 最新バージョンはこちらで入手できます。You can find the latest version here.

作業の開始Getting started

お使いのデータベースで脆弱性評価の実行を開始するには、以下の手順に従います。To get started with running a Vulnerability Assessment on your database, follow these steps:

  1. SQL Server Management Studio を開きます。Open SQL Server Management Studio.

  2. SQL Server Database Engine または localhost のインスタンスに接続します。Connect to an instance of the SQL Server Database Engine or localhost.

  3. [データベース] を展開してデータベースを右クリックし、[タスク] をポイントして [脆弱性評価] を選択してから、[脆弱性のスキャン...] をクリックします。Expand Databases, right-click a database, point to Tasks, select Vulnerability Assessment, and click on Scan for Vulnerabilities...

  4. システム データベースの 1 つをスキャンすることで、サーバー レベルの問題をチェックするスキャンを実行できます。You can run a scan that checks for server-level issues by scanning one of the system databases. [システム データベース] を展開してマスター データベースを右クリックし、[タスク] をポイントして [脆弱性評価] を選択してから、[脆弱性のスキャン...] をクリックします。Expand System Databases, right-click the master database, point to Tasks, select Vulnerability Assessment, and click on Scan for Vulnerabilities...

get-started

チュートリアルTutorial

お使いのデータベースで脆弱性評価の実行と管理を行うには、次の手順に従います。Use the following steps to run and manage vulnerability assessments on your databases.

1.スキャンを実行する1. Run a scan

[脆弱性のスキャン] ダイアログ ボックスでは、スキャンを保存する場所を指定することができます。The Scan For Vulnerabilities dialog allows you to specify the location where scans will be saved. 既定の場所のままにすることも、[参照...] をクリックしてスキャン結果を別の場所に保存することもできます。You can leave the default location or click Browse... to save the scan results to a different location.

スキャンの準備ができたら、[OK] をクリックしてデータベースの脆弱性をスキャンします。When you are ready to scan, click OK to scan your database for vulnerabilities.

注意

このスキャンは軽量で安全です。The scan is lightweight and safe. 実行にかかるのは数秒で、完全に読み取り専用です。It takes a few seconds to run, and is entirely read-only. データベースが変更されることはありません。It does not make any changes to your database.

スキャン ファイルの保存

2.レポートを表示する2. View the report

スキャンが完了したら、スキャン レポートが SSMS の主ウィンドウに自動的に表示されます。When your scan is complete, your scan report is automatically displayed in the primary SSMS pane. レポートは、セキュリティ状態の概要 (見つかった問題の数とそれぞれの重大度) を示します。The report presents an overview of your security state; how many issues were found, and their respective severities. 結果には、データベース プリンシパルおよびロールとその関連付けられた権限といったセキュリティ関連の設定のスナップショットだけでなく、ベスト プラクティスからの逸脱に関する警告が含まれます。Results include warnings on deviations from best practices, as well as a snapshot of your security-related settings, such as database principals and roles and their associated permissions. スキャン レポートにはさらに、データベースで検出された機密データのマップがあり、保護に使用できる組み込みメソッドの推奨が含まれています。The scan report also provides a map of sensitive data discovered in your database, and includes recommendations of the built-in methods available to protect it.

スキャン結果

3.結果を分析し問題を解決する3. Analyze the results and resolve issues

結果をレビューして、自分の環境にとってレポートのどの項目がセキュリティ上の真の問題かを判断します。Review your results and determine which findings in the report are true security issues in your environment. 失敗した結果の各々を掘り下げ、その影響と、セキュリティ チェックが失敗した理由を理解します。Drill-down to each failed result to understand the impact of the finding, and why each security check failed. レポートが提供する実践可能な修復情報を使用し、問題を解決します。Use the actionable remediation information provided by the report to resolve the issue.

結果の詳細

4.ベースラインを設定する4. Set your Baseline

評価の結果をレビューしていくと、特定の結果を自分の環境では許容可能なベースラインとしてマークできます。As you review your assessment results, you can mark specific results as being an acceptable Baseline in your environment. このベースラインは本来、結果のレポート方法をカスタマイズするものです。The baseline is essentially a customization of how the results are reported. ベースラインに一致する結果は、それ以降のスキャンで合格と見なされます。Results that match the baseline are considered as passing in subsequent scans.

自分のベースラインとなるセキュリティ状態を確立すると、VA はベースラインから逸脱したものだけをレポートするため、関連する問題に注意を集中することができます。Once you have established your baseline security state, VA only reports on deviations from the baseline, and you can focus your attention on the relevant issues.

ベースラインの設定

5.新しいスキャンを実行してカスタマイズした追跡レポートを表示する5. Run a new scan to see your customized tracking report

[Rule Baselines](ルールのベースライン) の設定を完了したら、新しいスキャンを実行してカスタマイズしたレポートを表示します。After you complete setting up your Rule Baselines, run a new scan to view the customized report. VA は、承認したベースラインの状態から逸脱した、不合格となるセキュリティ上の問題のみをレポートするようになります。VA now reports only failing security issues that deviate from your approved baseline state.

ベースライン単位で合格

6.以前実行したスキャンを開く6. Open a previously run scan

既存のスキャンを開くと、以前実行した脆弱性評価の結果をいつでも表示できます。You can view the results of previously run Vulnerability Assessments at any time by opening an existing scan. これを行うには、データベースを右クリックし [タスク] をポイントして、[脆弱性評価] を選択し [既存のスキャンを開く...] をクリックします。表示するスキャン結果ファイルを選択し、[開く] をクリックします。Do so by right-clicking a database, pointing to Tasks, selecting Vulnerability Assessment, and clicking on Open Existing Scan... Select the scan results file you would like to view and click Open.

既存のスキャン結果は、[ファイル]->[開く] メニューから開くこともできます。You can also open an existing scan result via the File->Open menu. [脆弱性評価...] を選択して scans ディレクトリを開き、表示するスキャン結果を検索します。Select Vulnerability Assessment... and open the scans directory to find the scan result you wish to view.

既存のスキャンを開く

これで、VA を使用して、お使いのデータベースが常に高いセキュリティ保護を維持し、組織のポリシーに適合することを監視できるようになりました。VA can now be used to monitor that your databases maintain a high level of security at all times, and that your organizational policies are met. コンプライアンスのレポートが必要な場合、VA レポートはコンプライアンス プロセスを促進するのに役立ちます。If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

PowerShell を使用して脆弱性評価を管理するManage Vulnerability Assessments using PowerShell

PowerShell コマンドレットを使用して、SQL Server の脆弱性評価をプログラムで管理できます。You can use PowerShell cmdlets to programmatically manage Vulnerability Assessments for your SQL Servers. これらのコマンドレットは、プログラムによる評価の実行、結果のエクスポート、およびベースラインの管理に使用できます。The cmdlets can be used to run assessments programmatically, export the results and manage baselines. 最初に、PowerShell ギャラリー サイトから最新の SqlServer PowerShell モジュールをダウンロードします。To get started, download the latest SqlServer PowerShell module from the PowerShell Gallery site. 詳細については、ここを参照してください。You can learn more here.

次の手順Next steps

次のリソースを使用して、SQL 脆弱性評価の詳細を学びます。Learn more about SQL Vulnerability Assessment using the following resources: