10
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

Microsoft SecurityAdvent Calendar 2023

Day 19

Defender for Storage を用いたクラウドストレージ保護

Last updated at Posted at 2023-12-18

この度、Advent Calender 2023 19日目に参加させていただくことになりました!
今回は、Azure を利用してくださっている方々にぴったりな ”Defender for Storage” を用いたクラウドストレージ保護について取り扱います。
セキュリティ初学者 & Qiita 初心者ですが、読んでいただけると嬉しいです!

はじめに

昨今、様々なリソースがオンプレミス環境からクラウド環境に移行されている中で、クラウドデータリソースが攻撃の標的となるケースが増加しています。
そして、データ漏洩の主な原因は、リソースに対しての人的な構成ミスです。
また、データ漏洩によるコストは年々増加しているため、クラウドストレージにおけるセキュリティは非常に重要です。

Defener for Storage の最大の利点

これだけは伝えたいので冒頭に・・・
Defender for Storage はビルトインなので、組み込みで提供が可能です!
ボタン 1 つで ON にできるのでぜひ使ってみてください。

  • Microsoft Defender for Cloud の環境設定で保護したいサブスクリプションを選択する
  • 設定 | Defedner プランでストレージを ON にする

DFS最大の利点.PNG

なぜクラウドストレージが狙われる?

ではなぜ、クラウドストレージが狙われてしまうのでしょうか・・・?
それは、下記の流れでクラウド環境全体のデータに影響を及ぼすことができるからです。
1. マルウェアのアップロード
組織におけるエントリーポイントかつ配布ポイントになります。
2. データの流出
深い可視性がなければ、悪意のある流出イベントを検出されない可能性があります。
3. データの改ざん
悪意のあるアクターが、ツールを使用してストレージ内のデータを改ざんすることができてしまい、様々な影響が伴います。

ユースケースに基づいて考えてみる

皆さんの組織では、ユーザーがクラウド上にファイルをアップロードする場合に、次の3つの観点を把握することはできていますか?

  • マルウェア等の含まれたファイルが気づかない間にアップロードされていないか。
  • 正規のユーザーが、企業が認めた安全な環境からアクセスしているか。
  • どのストレージに機密情報が含まれているのかを把握できているか。

Defender for Storage を使用すれば、簡単に 3 つの課題を解決することができます!

Defener for Storage で実現できること

Defender for Storage の 3 つの機能をご紹介します。

  1. マルウェアスキャン(新機能!)
  2. アクティビティモニタリング
  3. 機密データや流出イベントの検知(プレビュー機能、新プランのみ)

マルウェアスキャン

エージェントレスのセットアップで、簡単にマルウェアが含まれていないことを確認することができます。

マルウェア2.png

コンテンツをストレージアカウントにアップロードすると、マルウェアスキャンが自動的に開始されます。マルウェアが検出された場合は、Defender for Cloud のセキュリティアラートが上がります。
アラートの一覧からは、”重要度” や "影響を受けるリソース"、"攻撃の段階" などを確認することが可能です。

アンチマルウェア2.png

さらに、アラートのより詳細な情報や、脅威を軽減するためのアクションを参照したり、アラートを任意のメールで受け取れるように設定できるなど、アラートに対する細やかな対処をすることができます。

アクティビティモニタリング

アクティビティモニタニタリングを使用すると、外からの攻撃にも内からの攻撃にも対応できます。

アクティビティモニタリング.PNG

外部からストレージにアクセスする際、Entra ID 側で認証が行われます。
そのため、いつもと違う IP アドレスからのアクセスなどの機械的な怪しいふるまいを検知することができます。
内部からの攻撃に関しては、Azure のユーザーアクティビティから、大量ダウンロードなどの正規のユーザーの怪しいふるまいを検知することができます。

機密データや流出イベントの検知

ストレージリソースの優先順位づけを容易にし、機密データの流出や露出を検出することが可能です。

  • 機密データの可視化
    どのストレージアカウントに何の機密情報が存在するかや、不審なアクティビティがあったのかを検出できます。
  • アラート調査の効率化
    データの機密性を考慮に入れてセキュリティアラートの優先順位付けと調査を効率的に行うことが可能です。
  • 機密データ保護のシンプル化
    機密データの検出と保護が、確立済みのポリシーや手順に確実に沿ったものになります。

様々な機密情報の含まれるリソースを絞りこむことができますが・・・
例としてクレジットカード番号で絞り込むと、番号を含んでいるストレージを一元的に把握することができます。

機密データや流出イベントの検知.PNG

さいごに

クラウド環境のリソースが増加するにつれ、攻撃者の標的も変化しつつあります。
この記事を読んで、ご自身の環境は大丈夫かなと感じた皆様・・・
是非一度、セキュアなクラウド環境の実現と、クラウドリソースの保護・可視化を行うために、Defender for Storage を使ってみてはいかがでしょうか?
最後まで読んでいただき本当にありがとうございました!

※この記事は 2023 年 12 月現在の情報になります。

参考リンク

私がお話している 5 分で分かる Defender for Storage もぜひご覧ください (^^)
こちらでは、本記事よりもたくさん実際の画面をご紹介しております!

10
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
10
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?