組織が Azure Storage などのクラウド ストレージ ソリューションにデータを移行すると、データ セキュリティが最優先事項になります。 このドキュメントでは、正しく構成されていない設定に起因する一般的なセキュリティの脅威とリスクについて説明します。 Microsoft Defender for Storage が提供している潜在的なセキュリティ リスクを検出してそれに対応するためのセキュリティ アラートについても説明します。
クラウドベースのストレージ サービスにおけるセキュリティの脅威
Azure Storage は広く使用されているクラウド ストレージ ソリューションであり、すべてのクラウドベース サービスと同様に、さまざまなセキュリティ上の脅威にさらされています。 Azure Storage の一般的なセキュリティ上の脅威には次が含まれます。
- アクセス トークンの不正使用と漏洩
- 侵害されたワークロードからの侵入拡大
- 特権アクセス許可を持つ侵害されたサードパーティ パートナー
- 資格情報の盗難
- 検索エンジンによる偵察
- BLOB ハンティングによるデータ収集
- 既存のアクセス許可を持つ内部関係者による脅威
これらの脅威により、マルウェアのアップロード、データの破損、機密データ流出が発生し、重大なリスクをもたらす可能性があります。
セキュリティ上の脅威に加えて、構成エラーによって機密性の高いリソースが誤って公開される場合があります。 一般的な正しくない構成の問題には次が含まれます。
- アクセスの制御とネットワーク規則が不十分なため、インターネットで意図しないデータ露出が発生する
- 不十分な認証メカニズム
- 転送中のデータと保存中のデータの両方のデータ暗号化プロトコルの欠如
セキュリティ侵害や構成エラーのリスクを最小限に抑えるために、セキュリティ チームは態勢管理ツールとワークロード保護ツールを組み合わせて使用します。 これらのツールは、侵害の初期の兆候を可視化することで、Azure Storage を安全な状態に保ちます。 これらは、攻撃を防ぎ、安全な構成を維持することを支援します。
Microsoft のセキュリティ研究者によって、ストレージ サービスの攻撃面の分析が行われました。 潜在的なセキュリティ リスクについては、「クラウドベースのストレージ サービスの脅威マトリックス」の中で、サイバー攻撃で使用される戦術と手法のナレッジ ベースである MITRE ATT&CK® フレームワークに基づいた説明を読むことができます。
マルウェア スキャンとハッシュ レピュテーション分析の比較については、「これらの方法の違いの理解」を参照してください。
Microsoft Defender for Storage で提供されるセキュリティ アラートの種類
ヒント
すべての Defender for Storage アラートの包括的な一覧については、アラート リファレンス ガイド ページを参照してください。 これは、検出可能な脅威を知りたいワークロード所有者に役立ち、SOC チームが検出対象を調査する前に理解しておくために役立ちます。 Defender for Cloud のセキュリティ アラートとその対応方法の詳細を確認してください。
セキュリティ アラートは、次のシナリオでトリガーされます。
| シナリオ | 説明 |
|---|---|
| 悪意のあるコンテンツのアップロード | マルウェア スキャンは、ストレージ アカウントにアップロードされたすべての BLOB をスキャンします。 これにより、ランサムウェア、ウイルス、スパイウェア、およびストレージ アカウントにアップロードされたその他のマルウェアが検出されるので、それが組織に侵入して拡散することを防ぐのに役立ちます。 従来のマルウェア ハッシュ分析アラートの動作は、マルウェア スキャンとは異なります。 それはマルウェアについてファイル コンテンツを分析するのではなく、アップロードされた BLOB またはファイル ハッシュを、既知の悪意のあるハッシュ署名の一覧と比較します。 |
| 機密データの露出イベント | インターネットからの機密データを含む BLOB コンテナーへの非認証パブリック アクセスを許可するアクセス レベルの変更の検出 |
| 機密データを含むリソースに対する疑わしいアクティビティ | 機密データを含む BLOB コンテナーで発生する疑わしいアクティビティの検出 |
| 侵害されている、正しく構成されていない、通常とは異なる認証トークン | データ プレーンの認証と操作に使用される侵害された SAS トークンの検出と、悪意のあるアクターによって生成される可能性がある通常と異なる SAS トークンの検出 |
| データとアクセス許可の検査 | データの異常な探索とアクセス許可の検査の検出 |
| データ窃盗 | ストレージ アカウントからの通常と異なるデータの抽出の検出 |
| データの削除 | ストレージ アカウントでの通常と異なる削除の検出 |
| BLOB ハンティングの試行 | 公開されているストレージ リソースに対するリソースのスキャンと列挙による収集試行の検出。 BLOB ハンティングの検出、調査、防止の方法に関する詳細を確認してください。 |
| 通常とは異なるアクセス パターン | 通常とは異なる場所、アプリケーションから、および通常とは異なる認証によるストレージ アカウントへの通常とは異なるアクセスの検出 |
| 疑わしいアクセス署名 | Microsoft 脅威インテリジェンス、既知の Tor 出口ノード、既知の疑わしいアプリケーションによる既知の疑わしい IP アドレスの検出 |
| フィッシング キャンペーン | ストレージ アカウントでホストされ、Microsoft 365 ユーザーに影響を与えるフィッシング攻撃の一部として識別されるフィッシング コンテンツの検出 |
セキュリティ アラートには、疑わしいアクティビティの詳細、関連する調査手順、修復アクション、およびセキュリティに関する推奨事項が含まれます。 アラートは、Microsoft Sentinel または他のサードパーティ製 SIEM または XDR ツールにエクスポートできます。 SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーミングする方法に関する詳細を確認してください。