Defender for Cloud でのシークレットの保護
Microsoft Defender for Cloud は、攻撃者がセキュリティ シークレットを悪用するリスクをセキュリティ チームが最小限に抑えるのに役立ちます。
攻撃者は、最初のアクセスを取得した後、ネットワーク全体を横方向に移動し、リソースにアクセスして脆弱性を悪用し、重要な情報システムに損害を与えようとします。横方向の移動には、多くの場合、漏えいした資格情報やシークレット (パスワード、キー、トークン、接続文字列など) のような機密データを悪用してその他の資産にアクセスする、という資格情報の脅威を伴います。
シークレットは、マルチクラウド デプロイ全体のファイル内、VM ディスク上、またはコンテナー上で見つかることがよくあります。 シークレットの露出は、さまざまな理由で発生します。
- 認識の欠如: 組織は、シークレットの露出によるリスクと影響を認識していない可能性があります。
- ポリシーの欠如: コードと構成ファイル内のシークレットの処理と保護に関する明確な社内ポリシーがない可能性があります。
- 検出ツールの欠如: シークレットのリークを検出して修復するためのツールが用意されていない可能性があります。
- 複雑さと速度: 複数のクラウド プラットフォーム、オープンソース ソフトウェア、サードパーティ コードが含まれる可能性がある複雑な環境。 開発者は、シークレットを使用してリソースとサービスにアクセスして統合し、利便性と再利用のためにソース コード リポジトリにシークレットを格納する場合があります。 これにより、パブリック リポジトリまたはプライベート リポジトリ内、もしくはデータ転送または処理中にシークレットが誤って公開される可能性があります。
- セキュリティと使いやすさ間のトレードオフ: 組織は、保存データおよび転送中のデータの暗号化と暗号化解除の複雑さと待機時間を回避するために、クラウド環境でシークレットを公開したままにして使いやすさを確保する場合があります。 これにより、データと資格情報のセキュリティとプライバシーが損なわれる恐れがあります。
スキャンの種類とプラン
Defender for Cloud には、さまざまなシークレット スキャン機能があります。
| スキャンの種類 | 詳細 | プランでのサポート |
|---|---|---|
| マシンのスキャン | マルチクラウド VM 上のエージェントレス シークレット スキャン。 | Defender for Cloud Security Posture Management (CSPM) プラン、または Defender for Servers プラン 2。 |
| クラウド デプロイ リソースのスキャン | マルチクラウドのコードとしてのインフラストラクチャ デプロイ リソース全体でのエージェントレス シークレット スキャン。 | Defender CSPM プラン。 |
| コード リポジトリのスキャン | Azure DevOps で露出されたシークレットを検出するためのスキャン。 | Defender CSPM プラン。 |
スキャンのアクセス許可
シークレット スキャンを使用するには、次のアクセス許可が必要です。
セキュリティ閲覧者
セキュリティ管理者
Reader
Contributor
- 所有者
シークレットの検出結果の確認
シークレットの問題を特定して軽減するために使用できる方法は多数あります。 一部のメソッドは、すべてのシークレットではサポートされません。
- 資産インベントリのシークレットを確認する: インベントリには、Defender for Cloud に接続されているリソースのセキュリティ状態が表示されます。 インベントリでは、特定のマシンで検出されたシークレットを表示できます。
- シークレットの推奨事項を確認する: 資産でシークレットが見つかると、Defender for Cloud の [推奨事項] ページで、[脆弱性の修復] セキュリティ コントロールに推奨事項がトリガーされます。 レコメンデーションは次のようにトリガーされます。
- クラウド セキュリティ エクスプローラーでシークレットを確認します。 クラウド セキュリティ エクスプローラーを使用して、クラウド セキュリティ グラフのシークレット分析情報を照会します。 独自のクエリを作成することも、組み込みのテンプレートのいずれかを使用して、環境全体で VM シークレットのクエリを実行することもできます。
- 攻撃パスの確認: 攻撃パス分析は、クラウド セキュリティ グラフをスキャンして、攻撃が環境を侵害し、影響の大きいアセットに到達するために使用する可能性のある悪用可能なパスを示します。 VM シークレットのスキャンでは、さまざまな攻撃パス シナリオがサポートされています。
シークレットのサポート
Defender for Cloud では、表にまとめられたシークレットの種類の検出がサポートされています。 「確認に使用するもの」列には、シークレットの推奨事項を調査して修復するために使用できる方法が示されます。
| シークレットの種類 | VM シークレットの検出 | クラウド デプロイ シークレットの検出 | 確認に使用するもの |
|---|---|---|---|
| セキュリティで保護されていない SSH 秘密キー PuTTy ファイルの RSA アルゴリズムをサポートします。 PKCS#8 および PKCS#1 標準 OpenSSH 標準 |
はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure SQL 接続文字列、SQL PAAS をサポート。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure Database for PostgreSQL。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure Database for MySQL。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure Database for MariaDB。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| PostgreSQL、MySQL、MariaDB を含むプレーンテキストの Azure Cosmos DB。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの AWS RDS 接続文字列、SQL PAAS をサポート: Postgres と MySQL のフレーバーを使用しているプレーンテキストの Amazon Aurora。 Oracle と SQL Server フレーバーを使用しているプレーンテキストの Amazon カスタム RDS。 |
はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure ストレージ アカウントの接続文字列 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure ストレージ アカウントの接続文字列。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Azure ストレージ アカウントの SAS トークン。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの AWS アクセス キー。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの AWS S3 で事前署名済みの URL。 | はい | はい | インベントリ、クラウド セキュリティ エクスプローラー、推奨事項、攻撃パス |
| プレーンテキストの Google ストレージの署名付き URL。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure AD クライアント シークレット。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure DevOps の個人用アクセス トークン。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの GitHub 個人用アクセス トークン。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure App Configuration アクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Cognitive Service キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure AD ユーザー資格情報。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Container Registry のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure App Service のデプロイ パスワード。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Databricks 個人用アクセス トークン。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure SignalR のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure API Management のサブスクリプション キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Bot Framework のシークレット キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Machine Learning Web サービスの API キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Communication Services のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Event Grid のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキスト Amazon Marketplace Web サービス (MWS) のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Maps のサブスクリプション キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Web PubSub のアクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの OpenAI API キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Batch 共有アクセス キー。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの NPM 作成者トークン。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure サブスクリプション管理証明書。 | はい | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの GCP API キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの AWS Redshift 資格情報。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの秘密キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの ODBC 接続文字列。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの一般的なパスワード。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストのユーザー ログイン資格情報。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Travis 個人用トークン。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Slack アクセス トークン。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの ASP.NET マシン キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの HTTP Authorization ヘッダー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Redis Cache パスワード。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure IoT 共有アクセス キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure DevOps アプリ シークレット。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Function API キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure 共有アクセス キー。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Logic App の Shared Access Signature。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Active Directory のアクセス トークン。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |
| プレーンテキストの Azure Service Bus の Shared Access Signature。 | いいえ | はい | インベントリー、クラウド セキュリティ エクスプローラー。 |