Important
Microsoft Defender for Cloud のすべての機能は、2026 年 8 月 18 日に中国の Azure リージョンで正式に廃止されます。 この今後の提供終了により、中国の Azure のお客様は、サービスに新しいサブスクリプションをオンボードできなくなります。 新しいサブスクリプションは、廃止発表日の 2025 年 8 月 18 日より前に Microsoft Defender for Cloud サービスにまだオンボードされていないサブスクリプションです。 提供終了の詳細については、「 21Vianet Announcement によって運用される Microsoft Azure での Microsoft Defender for Cloud Deprecation」を参照してください。
お客様は、21Vianet が運営する Microsoft Azure のアカウント担当者と協力して、この提供終了が自身の業務に与える影響を評価する必要があります。
SQL 脆弱性評価は、データベースの潜在的な脆弱性を検出、追跡、修復するのに役立つ、構成が容易なサービスです。 次のデータベースのセキュリティを事前に強化するために使用する。
Azure SQL データベース
Azure SQL Managed Instance
Azure Synapse Analytics
脆弱性評価は、高度な SQL セキュリティ機能の統合パッケージである、Microsoft Defender for Azure SQL の一部です。 脆弱性評価は、Azure portal 内において、各 SQL データベース リソースからアクセスして管理できます。
Note
脆弱性評価は、Azure SQL Database、Azure SQL Managed Instance、Azure Synapse Analytics でサポートされています。 この記事では、Azure SQL Database、Azure SQL Managed Instance、Azure Synapse Analytics のデータベースをまとめてデータベースと呼称します。 サーバーとは、Azure SQL Database と Azure Synapse のデータベースをホストするサーバーのことを指します。
SQL 脆弱性評価とは
SQL の脆弱性評価により、データベースのセキュリティ状態が可視化されます。 これには、セキュリティの問題を解決し、SQL のセキュリティ体制を強化するための実用的な手順が含まれています。
脆弱性評価は、Azure SQL に組み込まれているスキャン サービスです。 セキュリティの脆弱性にフラグを付け、構成ミス、過剰なアクセス許可、保護されていない機密データなどのベスト プラクティスからの逸脱にフラグを設定するルールのナレッジ ベースを使用します。
規則は Microsoft のベスト プラクティスに基づき、データベースとその貴重なデータにとって最も大きなリスクとなるセキュリティの問題に注目します。 データベース レベルの問題と、サーバーのファイアウォール設定やサーバー レベルの権限などのサーバー レベルのセキュリティ問題がカバーされます。
スキャンの結果には、各問題を解決するために実践できる手順と、適用可能な場合には、カスタマイズした修復スクリプトが含まれています。 以下に対し許容されるベースラインを設定することにより、ご利用環境に合わせて評価レポートをカスタマイズできます。
- アクセス許可の構成。
- 機能の構成。
- データベースの設定。
構成モデル
SQL 脆弱性評価では、次の 2 つの構成モデルがサポートされています。
高速構成
高速構成では、Microsoft Defender for Cloud が脆弱性評価スキャン結果のストレージを管理します。 カスタマー マネージド ストレージ アカウントは必要ありません。
スキャン結果は、論理 SQL サーバーと同じ Azure リージョンに格納されます。
Permissions
| Task | 必要な役割 |
|---|---|
| Microsoft Defender for Cloud の推奨事項で SQL 脆弱性評価の結果を表示する | セキュリティ管理者またはセキュリティ閲覧者 |
| SQL 脆弱性評価の設定を変更する | SQLセキュリティマネージャー |
| リソース レベルのスキャン結果または自動メール リンクにアクセスする | SQLセキュリティマネージャー |
データの保存場所
スキャン結果は、論理 SQL サーバーと同じ Azure リージョンに格納されます。 データは、SQL 脆弱性評価が有効になっている場合にのみ収集され、格納されます。
クラシック構成
クラシック構成では、スキャン結果は、構成したカスタマー マネージド Azure Storage アカウントに格納されます。 ストレージ アカウントの場所、アクセス モデル、回復性を制御します。
Permissions
| Task | 必要な役割 |
|---|---|
| Microsoft Defender for Cloud の推奨事項で SQL 脆弱性評価の結果を表示する | セキュリティ管理者またはセキュリティ閲覧者 |
| SQL 脆弱性評価の設定を変更する | SQL Security Manager とストレージ BLOB データ閲覧者と所有者 (ストレージ アカウント内) |
| リソース レベルのスキャン結果または自動メール リンクにアクセスする | SQL Security Manager とストレージ BLOB データ閲覧者 |
データの保存場所
スキャン結果は、構成した Azure Storage アカウントに格納されます。 ストレージ アカウントの場所によって、データの保存場所が決まります。
構成モデルの比較
次の表は、高速構成とクラシック構成の機能と動作の違いを比較したものです。
| パラメーター | 高速構成 | クラシック構成 |
|---|---|---|
| サポートされている SQL フレーバー | • Azure SQL Database • Azure Synapse 専用 SQL プール (旧称 Azure SQL Data Warehouse) |
• Azure SQL Database • Azure SQL Managed Instance • Azure Synapse Analytics |
| サポートされているポリシー スコープ | • サブスクリプション • サーバー |
• サブスクリプション • サーバー • データベース |
| 依存関係 | なし | Azure ストレージ アカウント |
| 定期的なスキャン | • 常にアクティブ • スキャン スケジューリングは内部的であり構成不可 |
• 構成可能なオン/オフ • スキャン スケジューリングは内部的であり構成不可 |
| システム データベースのスキャン | • スケジュールされたスキャン • 手動スキャン |
• ユーザー データベースが 1 つ以上ある場合にのみスキャンをスケジュール • ユーザー データベースがスキャンされるたびに手動でスキャン |
| サポートされているルール | サポートされているリソースの種類のすべての脆弱性評価規則 | サポートされているリソースの種類のすべての脆弱性評価規則 |
| ベースラインの設定 | •バッチ - 1 つのコマンド内のいくつかのルール • 最新のスキャン結果で設定される • 単一ルール |
• 単一ルール |
| ベースラインの適用 | データベースを再スキャン せずに 有効になります | データベースを再スキャン した後にのみ 有効になります |
| 単一ルール スキャンの結果サイズ | 最大 1 MB | 無制限 |
| メール通知 | • Logic Apps | • 内部スケジューラ • Logic Apps |
| スキャン エクスポート | Azure Resource Graph | Excel 形式、Azure Resource Graph |
| サポートされているクラウド |
商用クラウド
Azure Government(アジュールガバメント)
21Vianet によって運営される Microsoft Azure |
商用クラウド
Azure Government(アジュールガバメント)
21Vianet によって運営される Azure |
関連コンテンツ
- SQL 脆弱性評価を有効にする
- 高速構成に関する一般的な質問とトラブルシューティング.
- Microsoft Defender for Azure SQL の詳細を確認してください。
- データの検出と分類についてさらに詳しく学習します。
- 「ファイアウォールと VNet の内側のアクセス可能なストレージ アカウントに脆弱性評価スキャンの結果を格納する方法」の詳細を確認してください。
- SQL 脆弱性評価の結果を見つけて修復する