データ対応セキュリティ態勢の概要

デジタル変革が加速するにつれて、組織はオブジェクト ストアやマネージド/ホステッド データベースなどの複数のデータ ストアを使用して、データを指数関数的な速度でクラウドに移動しています。 クラウドの動的で複雑な性質は、データの脅威の表面とリスクを増大させています。 このためセキュリティ チームには、データの可視性とクラウドのデータ資産保護に関連する課題がもたらされます。

Microsoft Defender for Cloud のデータ対応セキュリティは、データのリスクを軽減し、データ侵害に対応するのに役立ちます。 データ対応セキュリティ態勢を使用すると、以下のことができます。

• 複数のクラウドにわたって機密データ リソースを自動的に検出します。
• データ秘密度やデータ露出について評価し、組織全体でデータがどのように流れるかを評価します。
• データ侵害につながる可能性のあるリスクを予防的かつ継続的に明らかにします。
• 機密データ リソースに対する継続的な脅威を示している可能性がある疑わしいアクティビティを検出します。

自動検出

データ対応セキュリティ態勢では、複数のクラウドにわたり、さまざまな種類のオブジェクト ストアやデータベースなどのマネージド データ リソースとシャドウ データ リソースを、自動的かつ継続的に検出します。

• Defender Cloud Security Posture Management (CSPM) と Defender for Storage プランに含まれる機密データ検出拡張機能を使用して、機密データを検出できます。
• さらに、Cloud Security ExplorerとAttack Pathsでは、ホストされたデータベースとデータフローを検出することができます。 この機能は Defender for CSPM プランで使用することができ、機密データ検出拡張機能には依存していません。

スマートサンプリング

Defender for Cloud は、スマート サンプリングを使用して、クラウド データストア内の選択された数のアセットを検出します。 スマートサンプリングの結果、機密データ問題の証拠を検出し、検出コストと時間を節約することができます。

Defender CSPM でのデータ セキュリティ

Defender CSPM では、組織のセキュリティ態勢に対する可視性とコンテキスト分析情報を提供します。 データ対応セキュリティ態勢を Defender CSPM プランに追加することで、重要なデータ リスクを事前に特定して優先順位を付けて、それらをリスクの低い問題と区別することができます。

攻撃パス

攻撃パス分析は、直ちに脅威を引き起こし、環境内で悪用される可能性が最も高いセキュリティ問題に対処する助けとなります。 Defender for Cloud では、攻撃者が環境を侵害するために使用する可能性のある攻撃パスの一部になっているセキュリティ問題を分析します。 また、リスクを軽減するために解決する必要がある、セキュリティに関する推奨事項が明らかにされます。

インターネットに公開されていて機密データ ストアにアクセスできる VM の攻撃パスによって、データ侵害のリスクを検出できます。 ハッカーは、公開されている VM を悪用して企業全体を横断的に移動し、これらのストアにアクセスできます。

Cloud Security Explorer

クラウド セキュリティ エクスプローラーは、クラウド セキュリティ グラフ (Defender for Cloud のコンテキスト エンジン) でグラフ ベースのクエリを実行することで、クラウド環境内のセキュリティ リスクを特定することを支援します。 組織の特定のコンテキストと規則を考慮しながら、セキュリティ チームの懸念事項に優先順位を付けることができます。

クラウド セキュリティ エクスプローラーのクエリ テンプレートを使用するか、独自のクエリを作成し、マルチクラウド環境全体にわたり、パブリックにアクセスできて機密データが含まれる、正しく構成されていないデータ リソースに関する分析情報を見つけることができます。 クエリを実行してセキュリティの問題を調査し、資産インベントリ、インターネットへの露出、アクセス制御、データ フローなどに対する環境コンテキストを取得することができます。 クラウド グラフの分析情報について確認してください。

Defender for Storage でのデータ セキュリティ

Defender for Storage では、高度な脅威検出機能を使用して Azure ストレージ アカウントを監視します。 データへのアクセスやデータの悪用を試みる有害な試みを特定し、侵害につながる可能性のある疑わしい構成変更を特定することで、潜在的なデータ侵害を検出します。

初期の疑わしい兆候が検出されると、Defender for Storage によってセキュリティ アラートが生成されるので、セキュリティ チームは迅速に対応して緩和することができます。

秘密度情報の種類と Microsoft Purview 秘密度ラベルをストレージ リソースに適用すると、機密データに絞ったアラートと推奨事項に簡単に優先順位を付けられます。

Defender for Storage の機密データ検出の詳細については、こちらをご覧ください。

データ秘密度設定

データ秘密度設定では、組織内で何を機密データと見なすかを定義します。 Defender for Cloud でのデータ秘密度の値は、以下に基づいています。

• 定義済みの機密情報の種類: Defender for Cloud では、Microsoft Purview に組み込まれている機密情報の種類が使用されます。 これによって、サービスとワークロード間で一貫した分類が保証されます。 これらの種類の一部は、Defender for Cloud で既定で有効にされます。 これらの既定値は変更できます。 これらの組み込みの機密情報の種類のうち、機密データ検出でサポートされるサブセットがあります。 このサブセットの参照リストを表示できます。これには、既定でサポートされている情報の種類も一覧表示されます。
• カスタム情報の種類/ラベル: 必要に応じて、Microsoft Purview コンプライアンス ポータルで定義したカスタムの機密情報の種類とラベルをインポートできます。
• 機密データのしきい値: Defender for Cloud では、機密データ ラベルのしきい値を設定できます。 このしきい値により、Defender for Cloud でラベルが機密とマークされる最小信頼レベルが決まります。 しきい値を使用すると、機密データの探索が簡単になります。

データ秘密度についてリソースを検出する場合、結果はこれらの設定に基づきます。

Defender CSPM プランまたは Defender for Storage プランで、機密データ検出コンポーネントを使用してデータ対応セキュリティ機能を有効にすると、Defender for Cloud では、アルゴリズムを使用して、機密データを含んでいるように見えるデータ リソースが特定されます。 リソースには、データ秘密度設定に従ってラベルが付けられます。

感度設定の変更は、次にリソースが発見されたときに有効になります。

次の手順

• データ対応セキュリティ態勢管理の準備をして要件を確認してください。
• データ対応のセキュリティ態勢について | 現場の Defender for Cloud の動画。