データ脅威検出用のストレージ用 Microsoft Defender の構成

データ脅威検出用のストレージ用 Microsoft Defender の構成

2025/08/01

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Defender for Storage を構成および最適化できるようガイドすることを目的としています。クラウド内のデータ ストレージが運用に不可欠なシナリオでは、このデータをサイバー脅威から保護することが最も重要です。 Defender for Storage は、Azure ネイティブのセキュリティ レイヤーを提供し、ストレージ アカウント内の異常なアクティビティと潜在的なマルウェアを検出し、データの整合性と機密性を確保します [1]。

はじめに

Azure ストレージ アカウント (Blob Storage、File Storage、Data Lake Storage など) は、バックアップやログ ファイルからアプリケーション データや機密情報に至るまで、幅広いデータを保管するための重要なリポジトリです。侵害は経済的損失、風評被害、コンプライアンス問題につながる可能性があるため、これらの資産を保護することは非常に重要です。ストレージ アカウントに対する一般的な攻撃には、マルウェアのアップロード、不正アクセス、データの引き出し、データ操作が含まれます [2]。

Microsoft Defender for Storage は、Microsoft Defender for Cloud の一部であり、Azure ストレージ アカウントにインテリジェントでコンテキストに応じた脅威検出を提供するクラウドベースのセキュリティ ソリューションです。ストレージ アカウント全体のアクティビティを継続的に監視し、異常な場所からのアクセス、データ引き出しの試み、マルウェアのアップロード、クリプトマイニング アクティビティなどの不審な動作を特定します。さらに、BLOB のリアルタイム マルウェア スキャンや機密データの脅威検出などの高度な機能も提供します [3]。

このハウツー ガイドでは、サブスクリプションおよびストレージ アカウント レベルでの Defender for Storage の有効化、セキュリティ アラートの構成、マルウェア スキャンの有効化、機密データに対する脅威の検出について説明します。読者がこれらの機能を実装、テスト、検証できるように、段階的な手順、実践的な例、および簡潔な説明が提供されます。さらに、自律的、専門的、信頼性の高い方法でストレージ アカウントを最新の脅威から確実に保護するための、セキュリティのヒント、コンプライアンス チェック、ベスト プラクティスについても説明します。

Microsoft Defender for Storage が重要なのはなぜですか?

  • 包括的な脅威の検出: マルウェア、不審なアクセス、データの引き出し、クリプトマイニング活動など、幅広い脅威を特定します。
  • リアルタイム マルウェア スキャン: Microsoft 脅威インテリジェンスを使用して、アップロードされた BLOB をリアルタイムでスキャンし、悪意のあるファイルが損傷を引き起こす前に検出してブロックします。
  • 機密データの脅威の検出: データ分類メカニズムを使用して、不正アクセスや異常な移動など、保存された機密データに関する不審なアクティビティを特定します。
  • 実用的なセキュリティ アラート: Microsoft Defender for Cloud で詳細なセキュリティ アラートを生成し、コンテキストと修復に関する推奨事項を提供します。
  • Azure とのネイティブ統合: Azure エコシステムとシームレスに統合し、監視と分析に Azure Monitor と Log Analytics を活用します。
  • コンプライアンス: 保存されたデータの保護と監視を必要とする法規制へのコンプライアンス要件を満たすのに役立ちます。

前提条件

Microsoft Defender for Storage を構成するには、次のものが必要です。

  1. アクティブな Azure サブスクリプション: リソースを作成および管理するための Azure サブスクリプション。
  2. 管理アクセス: ストレージ アカウントが配置されているサブスクリプションまたはリソース グループに対する、「所有者」、「共同作成者」、または「セキュリティ管理者」のロールを持つアカウント。
  3. 既存の Azure ストレージ アカウント: 保護するストレージ アカウント (Blob、ファイル、Data Lake Gen2)。

ステップバイステップ: ストレージ用に Microsoft Defender を構成する

Defender for Storage を有効にして、その機能を構成しましょう。

1. サブスクリプション レベルでのストレージの Defender の有効化

ベスト プラクティスは、サブスクリプション レベルで Defender for Storage を有効にして、既存および将来のすべてのストレージ アカウントを自動的に保護することです。

  1. ブラウザーを開き、Azure portal: https://portal.azure.com に移動します。
  2. 次のコマンドを使用してログインします。必要な権限を持つアカウント。
  3. 上部の検索フィールドに「Microsoft Defender for Cloud」と入力し、結果からそれを選択します。
  4. Defender for Cloud の左側のナビゲーション ウィンドウで、環境設定 を選択します。
  5. Defender for Storage を有効にする サブスクリプション を選択します。

  6. Defender プラン ページで、「ストレージ」を見つけてステータスを「有効」に切り替えます。

  7. ストレージ プランの [設定] をクリックして、詳細オプションを確認します。

    • アップロード時のマルウェア スキャン: このオプションが「オン」になっていることを確認してください。これにより、アップロードされた BLOB に対してほぼリアルタイムのマルウェア スキャンが可能になります。
    • 機密データの脅威検出: このオプションが「オン」になっていることを確認してください。これにより、機密データに関する不審なアクティビティの検出が可能になります。
    • Azure Storage のセキュリティ イベント: このオプションが「オン」になっていることを確認してください。これにより、アクセスとネットワークアクティビティを監視できます。

  8. [保存] をクリックします。

    • 説明: サブスクリプション レベルで Defender for Storage を有効にすると、そのサブスクリプション内のすべてのストレージ アカウント (既存および新規) が確実に保護されます。デフォルト設定には、アップロード内のマルウェアのスキャンと機密データに対する脅威の検出が含まれます。

2. Defender で特定のアカウントのストレージ ステータスを確認する

サブスクリプションで有効になっていますが、個々のアカウントでステータスを確認することをお勧めします。

  1. Azure portal で、ストレージ アカウントの 1 つに移動します。
  2. ストレージ アカウントの左側のナビゲーション ウィンドウの [セキュリティ + ネットワーク] で、Microsoft Defender for Cloud を選択します。
  3. 「Microsoft Defender for Storage」の状態が「有効」になっていることがわかります。

3. セキュリティのアラートと通知の構成

アラートは、検出された脅威についてセキュリティ チームに通知するために不可欠です。

  1. Defender for Cloud の左側のナビゲーション ウィンドウで、セキュリティ アラート を選択します。

  2. ここでは、Defender for Storage およびその他の Defender for Cloud ソリューションによって生成されたすべてのアラートを表示できます。

  3. アラートの電子メール通知を構成するには、Defender for Cloud の左側のナビゲーション ウィンドウで、環境設定 を選択します。

  4. サブスクリプションを選択します。
  5. 左側のナビゲーション ペインで、電子メール通知 を選択します。
  6. アラートを受信するセキュリティ管理者の電子メール アドレスを追加します。
  7. 通知を受け取りたいアラートの重大度レベルを設定します (例: 「高」、「中」)。
  8. [保存] をクリックします。

4. マルウェア スキャン (アップロード時のマルウェア スキャン) と機密データの脅威検出の構成

これらの機能は、サブスクリプションで Defender for Storage を有効にすると既定で有効になりますが、必要に応じてストレージ アカウントごとに調整できます。

  1. Azure portal で特定のストレージ アカウントに移動します。
  2. 左側のナビゲーション ウィンドウの [セキュリティ + ネットワーク] で、Microsoft Defender for Cloud を選択します。
  3. 「設定」をクリックします。
  4. 「アップロード内のマルウェアをスキャン」および「機密データの脅威を検出」のオプションが表示されます。
  5. 別のサブスクリプション レベルの構成が必要な場合は、このストレージ アカウントに対して両方のオプションが "有効" になっていることを確認します。
  6. [保存] をクリックします。

検証とテスト

Defender for Storage の有効性をテストして、予想される脅威を検出して警告していることを確認することが重要です。

1. マルウェア検出のテスト (アップロード時スキャン)

  1. シナリオ: 無害なマルウェア テスト ファイル (ウイルス対策テスト パターンである EICAR ファイルなど) を、保護されたストレージ アカウントの BLOB コンテナーにアップロードします。
    • EICAR ファイルは「https://www.eicar.org/download-and-test/」から入手できます。
    • 次の内容のテキスト ファイルを作成し、eicar.com.txt として保存します。 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
  2. 期待されるアクション: Defender for Storage は EICAR ファイルをマルウェアとして検出し、セキュリティ アラートを生成する必要があります。
  3. 検証:
    • Azure portal で、Microsoft Defender for Cloud > セキュリティ アラート に移動します。
    • 「コンテナ内でマルウェアが検出されました」というタイトルのアラートを探しますストレージ システムなど。アラートでは、ファイル、コンテナー、ストレージ アカウントに関する詳細を提供する必要があります。

2. 不審なアクティビティの検出のテスト (データ抽出)

データ抽出のシミュレーションはより複雑で、隔離されたテスト環境で実行する必要があります。ただし、アラートを生成する可能性のある異常なアクセスをシミュレートすることはできます。

  1. シナリオ:組織で通常使用されていない IP アドレスまたは地理的な場所からストレージ アカウントにアクセスします。たとえば、VPN を使用して、別の国からのアクセスをシミュレートします。
  2. 予想されるアクション: Defender for Storage は、「ストレージ アカウントへの異常なアクセス」または「不審なアクセス アクティビティ」に関するアラートを生成する場合があります。
  3. 検証:
    • Azure portal で、Microsoft Defender for Cloud > セキュリティ アラート に移動します。
    • 異常なアクセス アクティビティに関連するアラートを探します。

3. 機密データの脅威検出のテスト

機密データの検出をテストするには、ストレージ アカウント内で機密として分類されたデータが必要で、Defender for Storage がそのデータに対して不審であると判断するアクティビティを実行します。たとえば、クレジット カード情報を含む大量のドキュメントのダウンロードなどです。

  1. シナリオ: 機密データ パターン (架空のクレジット カード番号、架空の社会保障番号など) を含むテキスト ファイルを BLOB コンテナーにアップロードします。次に、これらのファイルの一括アクセスまたはダウンロードをシミュレートします。
  2. 予想されるアクション: Defender for Storage は、「機密データへの異常なアクセス」または「機密データの漏洩の可能性」などのアラートを生成する場合があります。
  3. 検証:
    • Azure portal で、Microsoft Defender for Cloud > セキュリティ アラート に移動します。
    • 機密データに関連するアラートを探します。

セキュリティのヒントとベスト プラクティス

  • サブスクリプション レベルで有効にする: 可能な限り、サブスクリプション レベルで Defender for Storage を有効にして、すべてのストレージ アカウントを完全に自動的にカバーできるようにします。
  • アラートの確認と調整: Defender for Storage によって生成されたアラートを監視します。通知設定を調整し、誤検知を調査して検出を調整します。
  • SIEM/SOAR 統合: Defender for Cloud アラート (Defender for Storage アラートを含む) を SIEM (Microsoft Sentinel など) および SOAR と統合して、セキュリティとインシデント対応の自動化を一元的に表示します。
  • 最小特権の原則: 必要なエンティティ (ユーザー、アプリケーション) のみが可能な限り最小限の特権でストレージ アカウントにアクセスできるようにします。
  • 保存時および転送中の暗号化: Defender for Storage は脅威から保護しますが、データが保存時 (既定では Azure Storage) および転送中 (HTTPS を使用) に常に暗号化されていることを確認してください。
  • ネットワーク アクセス制御: ストレージ ファイアウォール、サービス エンドポイント、またはプライベート エンドポイントを使用して、ストレージ アカウントへのネットワーク アクセスを制限します。
  • ユーザー教育: 悪意のあるファイルをアップロードするリスクと、不審なアクティビティを報告する重要性をユーザーに認識させます。

一般的なトラブルシューティング

  • Defender for Storage が有効になっていません:
    • サブスクリプション レベルと、個別に構成されている場合はストレージ アカウント レベルの両方で、Microsoft Defender for Cloud の「ストレージ」プランが「有効」になっていることを確認します。
    • サブスクリプションに適切なライセンスがあることを確認します (多くの場合、Security Center Standard に含まれています)。
  • アラートは生成されていません:
    • セキュリティ センターで電子メール通知設定が正しいことを確認します。
    • ストレージ アカウントの診断ログが Log Analytics に送信されていることを確認します (使用している場合)。 Defender for Storage は診断ログに直接依存してアラートを生成しませんが、調査には役立ちます。
    • テストしているアクティビティが実際に Defender for Storage 検出ルールをトリガーしていることを確認してください。状況によっては、一部のアクティビティが正常であるとみなされる場合があります。
  • 誤検知 (正当なアクティビティに対する警告):
    • ポータルでアラートを調査するDefender for Cloud はアラートの理由を理解します。
    • 正当なアクティビティの場合は、アラートを抑制する (慎重に) か、ストレージ アカウント/アプリケーションの設定を調整して、アクティビティに不審なフラグが立てられないようにすることができます。
    • 脅威インテリジェンスの向上に役立てるため、誤検知に関するフィードバックを Microsoft に提供します。
  • マルウェア スキャンが機能しない:
    • 関連するアカウントの Defender for Storage 設定で [マルウェア スキャンのアップロード] が [有効] になっていることを確認します。
    • アップロードしているファイルが、マルウェア (特に BLOB) のスキャンでサポートされているファイル タイプであることを確認してください。 ※ファイルアップロード後のアラート生成に若干の遅れが生じる場合がございます。

結論

Microsoft Defender for Storage は、進化し続ける脅威の状況から Azure に保存されているデータを保護するために必須のソリューションです。マルウェア検出、アクティビティ監視、機密データ脅威検出機能を適切に有効にして構成することで、組織はクラウド セキュリティ体制を大幅に強化できます。不審なアクティビティをリアルタイムで特定して警告できるため、迅速なインシデント対応が可能になり、潜在的な侵害の影響を最小限に抑えることができます。この実用的なガイドを使用すると、セキュリティ専門家と IT 管理者は Microsoft Defender for Storage の構成、検証、管理を行うための十分な準備を整え、最も貴重なデータ資産の安全性と準拠性を確保できます。

参考文献:

[1] Microsoft Learn。 Microsoft Defender for Storage とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-introduction [2] Microsoft Learn。 Defender for Storage のセキュリティ脅威とアラート。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-threats-alerts [3] Microsoft Learn。 Microsoft Defender for Storage を展開します。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/tutorial-enable-storage-plan [4] Microsoft Learn。 Microsoft Defender for Storage アップロード マルウェア スキャン。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/on-upload-malware-scanning [5] Microsoft Learn。 Microsoft Defender for Storage でマルウェア スキャンを構成します。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-configure-malware-scan [6] Microsoft Learn。 Azure portal を使用して Microsoft Defender for Storage を有効にします。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-storage-azure-portal-enablement