Azure SQL Database の脅威検出機能の一般提供を 2017 年 4 月に開始

Article
02/16/2017

執筆者: Ron Matchoro (Senior Program Manager, Azure SQL Database)

このポストは、2 月 10 日に投稿された Announcing Azure SQL Database Threat Detection general availability coming in April 2017 の翻訳です。

このたび、Azure SQL Database の脅威検出機能の一般提供が 2017 年 4 月に開始されることが発表されました。プレビュー期間中 (英語) にはサービスの最適化が行われ、SQL の脅威に関するアラートについては、お客様からのフィードバックの 90% で「とても役に立つ」と高い評価をいただいています。一般提供開始後の料金は、サーバー 1 台あたり月額 15 ドルです。60 日間は無料で試用版をご利用いただけます。

Azure SQL Database の脅威検出機能の概要

Azure SQL Database の脅威検出機能は、Azure SQL Database サービスに組み込まれたセキュリティインテリジェンスをさらに強化するものです。この機能を使用すると、データベースセキュリティのエキスパートの支援を受けることなく、数分程度でデータベースの安全を確保できます。この機能は、データベースに対する不自然なアクセスや疑わしいアクセス、または攻撃と見なされる不審なデータベース操作に対し 24 時間体制で、学習、プロファイリング、検出を行います。

SQL Database の脅威検出機能の使用方法

有効化するだけ – SQL Database の脅威検出機能は簡単に有効化できます。Azure ポータルの [Auditing & Threat detection] 構成ブレードで機能を有効化し、Azure ストレージアカウント (SQL 監査ログの保存対象アカウント) を選択し、アラートを受信するメールアドレスを少なくとも 1 つ指定するだけです。
リアルタイムのすぐに対応可能なアラート – SQL Database の脅威検出機能では、潜在的な脆弱性や SQL インジェクション攻撃、不審なデータベースアクセスのパターン (不自然な場所や知らないユーザーによるアクセスなど) を検出するアルゴリズムを複数実行します。データベースで脅威が検出されると、セキュリティ担当者やその他の指定された管理者にメール通知が配信されます。各通知には、不審な操作の詳細と、脅威をさらに調査し影響を軽減するための推奨事項が記載されています。
SQL のセキュリティに関するライブタイル – SQL Database の脅威検出機能のアラートは、Azure Security Center と統合されています。Azure ポータルのデータベースブレード内に表示される SQL のセキュリティに関するライブタイルでは、活動中のアクティブな脅威の状況が追跡されます。そのライブタイルをクリックすると、Azure Security Center のアラートブレードが起動し、データベースで検出された活動中の脅威の概要が表示されます。この中から特定のアラートをクリックすると、その詳細に加えて脅威を調査したり、その後類似した脅威を防御したりするための対策が表示されます。
SQL の脅威の調査 – SQL Database の脅威検出機能の通知メールや Azure Security Center のアラートには、SQL 監査ログへの直接のリンクが含まれています。このリンクをクリックすると Azure ポータルが起動し、イベント前後の SQL 監査記録が表示されます。この監査記録から、実行された SQL ステートメントの特定 (アクセスしたユーザー、実行内容、実行時刻)、イベントが正当なものか不審なものかの判断 (アプリケーションの脆弱性を悪用して SQL インジェクションが実施された、機密データが漏えいした、など) が容易に行えます。

SQL Database の脅威検出機能を実際に使用したお客様の声

プレビュー期間中、数多くのお客様にこの高度なセキュリティ機能をご活用いただきました。

事例 1: 新規ネットワークから運用環境データベースへの変則的なアクセス

Justin Windhorst 氏 (Archroma、北米地域 IT 責任者)

「Archroma では独自に構築した ERP/E コマースソリューションを実行しています。これは、Azure SQL Database を中心とした 20 以上の Web サーバーと 20 のデータベースから成る多層アーキテクチャで構成されています。組み込みの機能にはたいへん満足しており、SQL Database の脅威検出機能とジオレプリケーションによって、それぞれセキュリティと可用性がエンタープライズレベルにまで引き上げられています。たとえば、わずか数回のクリックで SQL の監査および脅威検出機能を適切に有効化でき、データベース内で発生するすべての活動を継続的に監視できるようになりました。機能を有効化した数週間後、『何者かがいつもとは異なる場所から SQL サーバーにログインしました』というアラートがメールで届きました。このアラートは、テストの目的で新規ネットワークから運用環境データベースにアクセスするという通常とは違う操作によって発行されたものでした。このようにして、マイクロソフト製品が自動的に変則的な操作に目を光らせていることが確認されました。安心してシステムを運用できるため、サービスの品質向上に専念できます」。

事例 2: SQL インジェクション攻撃の防御

Fernando Sola 氏 (HSI、クラウドテクノロジコンサルタント)

「Azure SQL Database の脅威検出機能のおかげで、SQL インジェクション攻撃の検出とその脆弱性の修正、当社データベースの潜在的な脅威に対する防御が可能になりました。Azure ポータルでこんなに簡単に脅威検出機能を有効化できるとは驚きです。機能を有効化してからしばらくして、『アプリケーションがデータベースで不正な SQL ステートメントを生成しました。アプリケーションの脆弱性を悪用して SQL インジェクションが行われた可能性があります』というメール通知が届きました。その通知には、不審な動作の詳細と、SQL 監査ログを使用してアプリケーションコード内の不正な SQL ステートメントを確認して修正するための推奨されるアクションが記載されていました。ほかにも、SQL インジェクション攻撃に対して脆弱なアプリケーションコードを修正する方法が記載されているマイクロソフトのドキュメントへのリンクもありました。SQL Database の脅威検出機能と監査機能なら、Azure SQL Database のセキュリティ構成は 1 分足らずで完了します。しかも、データベースやセキュリティのエキスパートに頼る必要もありません」。

まとめ

パブリックプレビュー期間中にフィードバックをお寄せくださった皆様やエクスペリエンスを共有してくださった皆様に心から感謝申し上げます。お客様の積極的なご協力により検証された SQL Database の脅威検出機能は、Azure SQL Database サービスに組み込まれているセキュリティ機能の中でも重要な役割を担い、データベースセキュリティのエキスパートを必要とせずにデータベースの安全を守ります。

詳細情報については、下記のリンクをご覧ください。