Microsoft Defender for Storage の概要
Microsoft Defender for Storage は、ストレージ アカウントに対する潜在的な脅威を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。
これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。
Note
この記事は、2023 年 3 月 28 日に開始された新しい Defender for Storage プランに関するものです。 これには、マルウェア スキャンや機密データの脅威検出などの新機能が含まれます。 このプランでは、対象範囲とコストをより適切に制御するための、より予測可能な価格構造も提供されます。 さらに、すべての新しい Defender 機能は、新しいプランにのみ追加されます。 新しいプランへの移行は簡単なプロセスです。クラシック プランから移行する方法については、こちらをお読みください。
Microsoft Defender for Storage は、Azure Blob Storage、Azure Files、Azure Data Lake Storage の各サービスによって生成されたデータ プレーンおよびコントロール プレーンのテレメトリを分析して、包括的なセキュリティを提供します。 Microsoft 脅威インテリジェンス、Microsoft Defender ウイルス対策、機密データの検出を利用した高度な脅威検出機能を使用して、潜在的な脅威の検出と軽減を支援します。
Defender for Storage には次のものが含まれます。
- [アクティビティ監視]
- 機密データの脅威検出 (プレビュー機能、新しいプランのみ)
- マルウェア スキャン (新しいプランのみ)
作業の開始
大規模な簡易エージェントレスセットアップにより、ポータルまたはプログラムを使用して、サブスクリプションまたはリソースのレベルで Defender for Storage を有効にすることができます。 サブスクリプション レベルで有効にすると、そのサブスクリプションの既存および新しく作成されたすべてのストレージ アカウントが自動的に保護されます。 保護されたサブスクリプションから特定のストレージ アカウントを除外することもできます。
Note
Defender for Storage (クラシック) が既に有効になっていて、新しいセキュリティ機能と価格を利用したい場合は、新しい価格プランに移行する必要があります。
可用性
| 側面 | 詳細 |
|---|---|
| リリース状態: | 一般提供 (GA) |
| 機能の利用可能状況: | - アクティビティの監視 (セキュリティ アラート) - 一般提供 (GA) - マルウェア スキャン - 一般提供 (GA) - 機密データの脅威検出 (機密データの検出) - プレビュー |
| 価格: | Microsoft Defender for Storage の価格は、商用クラウドに適用されます。 詳細については、価格とリージョンごとの可用性に関するページを参照してください。 |
サポートされているストレージの種類: |
Blob Storage (Standard または Premium StorageV2、Data Lake Gen2 を含む): アクティビティの監視、マルウェア スキャン、機密データの検出 Azure Files (REST API と SMB 経由): アクティビティの監視 |
| 必要なロールとアクセス許可: | サブスクリプションとストレージ アカウントのレベルでのマルウェア スキャンと機密データの脅威検出には、所有者ロール (サブスクリプション所有者/ストレージ アカウント所有者) または対応するデータ アクションを含む特定のロールが必要です。 アクティビティの監視を有効にするには、"セキュリティ管理者" アクセス許可が必要です。 必要なアクセス許可の詳細について確認してください。 |
| クラウド: |  商用クラウド* Azure Government (クラシック プランでのアクティビティ監視のサポートのみ)21Vianet によって運営される Microsoft Azure 接続されている AWS アカウント |
* Azure DNS ゾーンは、マルウェア スキャンと機密データの脅威検出ではサポートされていません。
Microsoft Defender for Storage の利点
Defender for Storage によって次のことができます。
マルウェアからの保護の強化: マルウェア スキャンは、アップロードされたすべての BLOB のアーカイブを含むすべてのファイルの種類をほぼリアルタイムでスキャンおよび検出を行い、高速で信頼性の高い結果を提供し、ストレージ アカウントが脅威のエントリおよび配布ポイントとして機能するのを防ぐのに役立ちます。 マルウェア スキャンの詳細について確認してください。
脅威の検出と機密データの保護の強化: 機密データの脅威検出機能を使用すると、セキュリティの専門家は、リスクにさらされる可能性があるデータの機密性を考慮して、セキュリティ アラートの優先順位付けと調査を効率的に行うことができ、潜在的な脅威に対する検出と保護が強化されます。 この機能は、最も重要なリスクの迅速な特定と対処により、データ侵害の可能性を低くし、機密データを含むリソースに対する露出イベントや疑わしいアクティビティを検出して機密データ保護を強化します。 機密データの脅威検出の詳細について確認してください。
ID のないエンティティの検出: Defender for Storage は、漏洩または侵害されたおそれのある誤って構成され、制限が緩すぎる Shared Access Signature (SAS トークン) を使用してデータにアクセスする、ID のないエンティティによって生成された疑わしいアクティビティを検出します。その結果、セキュリティの検疫が向上し、未承認のアクセスのリスクを軽減できます。 この機能は、アクティビティ監視のセキュリティ アラート スイートの拡張です。
クラウド ストレージに関する上位の脅威を網羅: Microsoft 脅威インテリジェンス、行動モデル、機械学習モデルを利用して、異常で疑わしいアクティビティを検出します。 Defender for Storage のセキュリティ アラートでは、機密データの流出、データの破損、悪意のあるファイルのアップロードなど、クラウド ストレージに関する上位の脅威が対象に含まれます。
ログを有効にしない包括的なセキュリティ: Microsoft Defender for Storage は、有効になっている場合、診断ログを有効にすることなく、Azure Blob Storage、Azure Files、Azure Data Lake Storage の各サービスによって生成されたデータ プレーンとコントロール プレーンの両方のテレメトリ ストリームを継続的に分析します。
大規模な摩擦なしの有効化: Microsoft Defender for Storage はエージェントレス ソリューションであり、デプロイが簡単で、ネイティブの Azure ソリューションを使用して大規模なセキュリティ保護を実現します。
サービスのしくみ
アクティビティの監視
Defender for Storage は、有効になっている場合、保護されたストレージ アカウントのデータおよびコントロール プレーンの各ログを継続的に分析します。 セキュリティ上の利点のためにリソース ログを有効にする必要はありません。 Microsoft 脅威インテリジェンスを使用して、悪意のある IP アドレス、Tor 出口ノード、潜在的に危険なアプリなどの疑わしいシグネチャを識別します。 また、データ モデルを構築し、統計的および機械学習の手法を使用して、悪意のある動作を示している可能性があるベースライン アクティビティの異常を見つけます。 ユーザーは不審なアクティビティに関するセキュリティ アラートを受け取りますが、Defender for Storage により、同様のアラートを過度に受け取らないようにできます。 アクティビティの監視は、パフォーマンス、インジェスト容量、データへのアクセスには影響しません。
マルウェア スキャン (Microsoft Defender ウイルス対策を利用)
Note
マルウェア スキャンの課金は、2023 年 9 月 3 日に開始されます。 経費を制限するには、Monthly capping 機能を使用して、ストレージ アカウントごとに 1 か月あたりにスキャンされる GB の量に上限を設定すると、コストの管理に役立ちます。
Defender for Storage のマルウェア スキャンは、アップロードされたコンテンツに対してほぼリアルタイムでマルウェアのフル スキャンを実行し、Microsoft Defender ウイルス対策の機能を適用して、悪意のあるコンテンツからストレージ アカウントを保護できます。 信頼されていないコンテンツを処理するためのセキュリティとコンプライアンスの要件を満たしやくなるように設計されています。 すべての種類のファイルがスキャンされ、すべてのファイルのスキャン結果が返されます。 マルウェア スキャン機能は、大規模な簡易セットアップができるエージェントレス SaaS ソリューションであり、メンテナンスが不要で、大規模な応答の自動化をサポートしています。 これは、新しい Defender for Storage プランの構成可能な機能であり、スキャンされた GB あたりの価格が設定されています。 マルウェア スキャンの詳細について確認してください。
機密データの脅威検出 (機密データの検出を利用)
"機密データの脅威検出" 機能を使用すると、セキュリティ チームが、リスクにさらされる可能性のあるデータの機密性を考慮して、セキュリティ アラートの優先順位付けと調査を効率的に行うことができ、データ侵害の検出と防止の強化につながります。 "機密データの脅威検出" は、スマート サンプリング方法を使用して機密データを含むリソースを検索するエージェントレス エンジンである "機密データの検出" エンジンを利用しています。 このサービスは、Microsoft Purview の機密情報の種類 (SIT) および分類ラベルと統合されているため、組織の秘密度設定をシームレスに継承できます。
これは、新しい Defender for Storage プランの構成可能な機能です。 これは追加コストなしで有効または無効にできます。 詳細については、「機密データの脅威検出」を参照してください。
価格とコストの管理
ストレージ アカウントごとの価格
新しい Microsoft Defender for Storage プランには、保護するストレージ アカウントの数に基づいて予測可能な価格が設定されています。 サブスクリプションまたはリソースのレベルで有効にし、保護されたサブスクリプションから特定のストレージ アカウントを除外するオプションにより、セキュリティの適用範囲を管理する柔軟性が向上しました。 この価格プランにより、コスト計算プロセスが簡略化され、ニーズの変化に応じて簡単にスケーリングできます。 大量のトランザクションがあるストレージ アカウントには、その他の料金が適用される場合があります。
マルウェア スキャン - GB あたりの課金、月単位の上限設定、構成
マルウェア スキャンは、スキャンされたデータに対してギガバイト単位で課金されます。 コストの予測可能性を確保するために、1 か月あたりの各ストレージ アカウントのスキャンされたデータ量に対し、月単位の上限を設定できます。 この上限は、サブスクリプション全体に設定する (サブスクリプション内のすべてのストレージ アカウントに影響を及ぼす) ことも、個々のストレージ アカウントに適用することもできます。 保護されたサブスクリプションでは、さまざまな制限を使用して特定のストレージ アカウントを構成できます。
既定では、ストレージ アカウントごとに 1 か月あたり 5,000 GB の制限が設定されています。 このしきい値を超えると、残りの BLOB のスキャンは 20 GB の信頼区間で停止します。 構成の詳細については、Defender for Storage の構成に関する記事を参照してください。
重要
Defender for Storage でのマルウェア スキャンは、最初の 30 日間の試用版には無料で含まれていません。また、Defender for Cloud の価格ページで利用可能な価格スキームに従って、最初の日から課金されます。 マルウェア スキャンを実行すると、他の Azure サービス (Azure Storage の読み取り操作、Azure Storage BLOB のインデックス作成、Azure Event Grid の通知) にも追加料金が発生します。
きめ細かい制御による大規模な有効化
Microsoft Defender for Storage を使用すると、きめ細かい制御で大規模にデータをセキュリティで保護できます。 サブスクリプション内のすべてのストレージ アカウントに一貫したセキュリティ ポリシーを適用することも、ビジネス ニーズに合わせて特定のアカウント向けにポリシーをカスタマイズすることもできます。 また、各リソースに必要な保護レベルを選んで、コストを管理することもできます。 開始するには、Defender for Storage の有効化に関する記事を参照してください。
マルウェア スキャンの上限の監視
コストを効果的に管理しながら保護が中断されないようにするために、マルウェア スキャンの上限の使用に関連する 2 つの情報セキュリティ アラートがあります。 最初のアラート Malware Scanning will stop soon: 75% of monthly gigabytes scan cap reached (Preview) は、使用が設定された月次上限の 75% に近づくとトリガーされ、必要に応じて上限を調整するための通知が提供されます。 2 つ目のアラート Malware Scanning stopped: monthly gigabytes scan cap reached (Preview) では、上限に達してその月のスキャンが一時停止され、新しいアップロードがスキャンされないままになる可能性があるときに通知します。 どちらのアラートにも、プロンプトと情報に基づくアクションを容易にするため、影響を受けるストレージ アカウントに関する詳細が含まれており、予期しない費用をかけずに目的のレベルのセキュリティを維持できるようにします。
マルウェア スキャンとハッシュ評価分析の違いについて
Defender for Storage には、マルウェア スキャン (新しいプランでのみ利用可能な有料アドオン機能) とハッシュ評価分析 (すべてのプランで利用可能) という、ストレージ アカウントにアップロードされた悪意のあるコンテンツを検出するための 2 つの機能が用意されています。
マルウェア スキャン (新しいプランでのみ利用可能な有料アドオン機能)
マルウェア スキャンでは、Microsoft Defender ウイルス対策 (MDAV) を使用して Blob Storage にアップロードされた BLOB をスキャンし、詳細ファイル スキャンとハッシュ評価分析を含む包括的な分析が提供されます。 この機能により、潜在的な脅威に対する検出レベルが強化されます。
ハッシュ評価分析 (すべてのプランで利用可能)
ハッシュ評価分析では、新しくアップロードされた BLOB/ファイルのハッシュ値を Microsoft 脅威インテリジェンスで既知のマルウェアのものと比較することで、Blob Storage と Azure Files 内の潜在的なマルウェアが検出されます。 この機能では、すべてのファイル プロトコルと操作の種類がサポートされているわけではないため、一部の操作では潜在的なマルウェアのアップロードは監視されません。 サポートされていないユース ケースには、SMB ファイル共有や、BLOB が Put Block と Put blocklist を使用して作成される場合などがあります。
要約すると、Blob Storage の新しいプランでのみ利用できるマルウェア スキャンでは、ファイルのコンテンツ全体を分析し、そのスキャン手法にハッシュ評価分析を組み込むことによって、マルウェア検出に対するより包括的なアプローチが提供されます。
次の手順
この記事では、Microsoft Defender for Storage について説明しました。
- Defender for Storage を有効にする
- Defender for Storage に関する一般的な質問をご確認ください。