データベースは、新たなユース ケースに対処したり、インテリジェンスをさらに組み込んだり、より多くのデータを格納したりできるよう、常に進化し続けています。それにより、さまざまなニーズに対応する広範なデータベースの種類が開発者と組織にもたらされています。アーキテクチャ、機能、構成オプション、認証方法などの側面は、それぞれのデータベースの種類に固有であるため、セキュリティの脅威も同様で、データベース間で最も一般的な脅威に対処するためにカスタマイズされたセキュリティ対策と保護機能が必要になります。

Azure Cosmos DB は、最新の迅速かつ柔軟なアプリ開発に対応するフル マネージドの NoSQL データベースであり、10 ミリ秒未満の応答時間、自動化された即時のスケーラビリティ、さまざまな非リレーショナル データ モデルをサポートする複数の SDK と API が提供されます。

本日は、Microsoft のデータベース保護オファリングに新たに追加された Microsoft Defender for Azure Cosmos DB のプレビュー版についてお知らせいたします。

新しいクラウド ワークロード保護機能は、Azure ネイティブのセキュリティ レイヤーとして設計されていて、最も一般的な攻撃手法と既知の不正なアクターに基づいて、Azure Cosmos DB アカウントでのデータベース悪用の試みを検出します。これにより、セキュリティ チームは、Microsoft Defender for Cloud ツールセットを使用して、これらの脅威をより効果的に検出して対応することができます。

これらの検出は、Microsoft の脅威インテリジェンス、Microsoft Defender の SQL クエリ分析エンジン、Microsoft Defender の動作モデルに基づいて提供されます。 

Azure Cosmos DB をターゲットとした最も重大な脅威を検出する

Defender for Azure Cosmos DB は、Azure Cosmos DB アカウントを監視し、アプリケーション レイヤー、SQL インジェクション、疑わしいアクセス パターン、侵害を受けた ID、悪意のある内部関係者に起因する攻撃や、データベースに対する直接攻撃など、さまざまな攻撃ベクトルから保護します。Azure Cosmos DB に影響を及ぼす重要な脅威の手法の概要を以下に示します。これは、Microsoft Defender for Cloud でサポートされているアラートの種類でもあります。

• SQL インジェクション: 最も一般的な攻撃手法の 1 つである SQL インジェクションを Azure Cosmos DB のデータベースに対して実行できるということは、あまり知られていません。この手法を使用すると、攻撃者は、アプリケーションの資格情報と動作の陰に隠れることができるので、データベースを悪用するために独自の資格情報を取得せずに攻撃を実行できます。攻撃者は、SQL インジェクション手法を使用して、アプリケーションのアクセス制御を回避し、機密データを入手できます。Defender for Azure Cosmos DB によって、これらの試行を早期に検出できるだけでなく、推奨事項とポリシーでアプリケーションが強化されるので、最初の段階でこれらの悪用を防ぐことができるようになります。

• キーの入手: これは、侵害を受けた ID が組織の重要資産であるデータにアクセスする方法を探していることを示唆するパターンです。侵害を受けた ID や悪意のある内部関係者が Azure Cosmos DB データベースを悪用する最も一般的な方法は、アカウントに対するアクセス キーを入手することです。これらのキーを使用すると、Azure Cosmos DB アカウントのすべてのデータに全面的にアクセスできます。このような場合は、侵害を受けた ID が攻撃者によって掌握されているので、侵害を早期に検出し、Azure Cosmos DB アカウントのスキャンと重要なデータの入手をできないようにすることが重要です。Defender for Azure Cosmos DB では、これらの侵害を早期に検出し、不正なアクターをブロックして脅威を軽減するようにオートメーションを設定できます。
• 既知の悪意を示す指標: Microsoft Defender for Cloud では Microsoft のセキュリティ プラットフォームの広範な脅威インテリジェンスが使用されているため、セキュリティ チームは、データベースへのアクセスを試みる悪意のあるアクターをより効果的に検出して対応することができます。
• 疑わしい動作のパターン: Microsoft Defender for Cloud では、時間をかけて動作モデリングを使用して、侵害を受けた ID、漏洩したキー、または悪意のある内部関係者を示唆している可能性がある、Azure Cosmos DB アカウントに対する疑わしい動作を検出します。 

Defender for Azure Cosmos DB のアラートの完全な一覧については、Microsoft Defender for Azure Cosmos DB のアラートのリファレンス ガイドをご覧ください。

Microsoft Defender for Cloud ですべてのデータベースの種類に対する保護を簡単に有効にする

Azure Cosmos DB 向けの新しい脅威の防止オファリングが、新たに設計されたデータベース中心の有効化エクスペリエンスと一緒に、Microsoft Defender for Cloud で利用できるようになりました。

Microsoft では、クラウドとハイブリッド環境内のさまざまなデータベースの種類にわたってデータベースの保護を有効にするプロセスを簡略化するために、SQL データベース、MariaDB、Azure Cosmos DB にわたる中央管理エクスペリエンスを作成しました。それぞれのデータベースの種類には、カスタム セキュリティ コントロールと独自に最適化された脅威検出モデルを利用したカスタマイズされたアプローチが必要ですが、Microsoft Defender for Cloud のセキュリティ エクスペリエンスはそれら全体に対して標準化されています。

Azure Cosmos DB の保護をサブスクリプション レベルまたはリソース レベルで有効にすることもできますし、シンプルに 1 回のクリックですべてのデータベースの種類に対する保護を有効にすることもできます。詳細な手順については、Microsoft Defender for SQL の概要のドキュメントをご覧ください。

Azure Cosmos DB のサポートが追加された Microsoft Defender for Cloud では、クラウドベースのデータベースに対する最も包括的なワークロード保護オファリングの 1 つが提供されるようになりました。これにより、セキュリティ チームとデータベース所有者に、環境内のデータベースのセキュリティを管理する一元的なエクスペリエンスが提供されます。

Microsoft Defender for Cloud は、クラウド セキュリティ態勢管理 (CSPM) とクラウド ワークロード保護 (CWP) のソリューションであり、クラウドの構成全体で弱点を検出し、環境の全体的なセキュリティ態勢の強化を支援し、マルチクラウドとハイブリッド環境全体のワークロードを進化する脅威から保護することができます。

さらに学ぶ

• 無料試用版からお試しください。
• Microsoft Defender for Cloud の詳細については、Microsoft の Web サイトをご覧ください。
• Microsoft Defender for Azure Cosmos DB を使い始めるには、製品ドキュメントをご覧ください。
• Microsoft の YouTube シリーズにご登録になって、製品について深く掘り下げてください。
• @MSThreatProtect をフォローして、サイバーセキュリティの最新のニュースと更新情報をご確認ください。