この記事では、データセンターで検出されたインフラストラクチャとソフトウェア インベントリのセキュリティ評価を提供する、Azure Migrateの Insights (プレビュー) 機能について説明します。
Insights の主な利点: ユーザーが得るもの
- 移行計画中にデータセンターのセキュリティ リスクを早期に確認します。
- セキュリティの問題を修正し、移行をAzureスムーズで安全なものにするための軽減策を計画します。
- サポート オペレーティング システムの終了、サポート ソフトウェアの終了、保留中の更新プログラムを使用して、Windowsおよび Linux サーバーのアップグレードを特定して計画します。
- サーバー、データベース、Web アプリ、検出されたソフトウェアの脆弱性を検出し、リスクを修復するためのアクションを実行します。
- セキュリティまたはパッチ管理ソフトウェアのないサーバーを特定し、Microsoft Defender for Cloud および Azure Update Manager の構成を計画します。
- サポート 終了のデータベース プラットフォームと Web アプリで実行されているデータベースのアップグレードを、サポート ランタイムの終了時に確認して計画します。
Security Insights データ
Azure Migrate現在、セキュリティ リスク領域のコア セットに焦点を当てています。 各領域は、特定のセキュリティ分析情報に対応します。 次の表は、使用可能な分析情報データをまとめたものです。
| Resource | Security Insight | 詳細 |
|---|---|---|
| Servers | セキュリティ リスクあり | サーバーには、サポート終了オペレーティング システム、サポート終了ソフトウェア、既知の脆弱性 (CVE)、セキュリティまたはパッチ管理ソフトウェアの不足、重要な更新プログラムまたはセキュリティ更新プログラムの保留中のいずれかのセキュリティ リスクが少なくとも 1 つ存在する場合にフラグが設定されます。 |
| OS のサポート終了 | サポート終了オペレーティング システムを備えたサーバー。 | |
| ソフトウェアのサポート終了 | サポート終了ソフトウェアがAzure Migrateで検出されたサーバー。 | |
| 脆弱性あり | OS および検出されたソフトウェアの既知の脆弱性 (CVE) を持つサーバー。 | |
| 不足しているセキュリティ ソフトウェア | セキュリティ ソフトウェア カテゴリに属するソフトウェアが検出されていないサーバー。 | |
| 不足しているパッチ管理ソフトウェア | パッチ管理ソフトウェアが検出されていないサーバー。 | |
| 保留中の更新 | 保留中の更新プログラムまたは修正プログラムを含むサーバー。 | |
| ソフトウェア | セキュリティ リスクあり | 少なくとも 1 つのセキュリティ リスク (サポート終了、脆弱性) を含むソフトウェア。 |
| サポート終了 | ベンダーによってサポート終了が宣言されたソフトウェア。 | |
| 脆弱性あり | 既知の脆弱性 (CVE) を持つソフトウェア。 | |
| データベース | セキュリティ リスクあり | データベース プラットフォームのセキュリティ リスクの少なくとも 1 つを持つデータベース - サポート終了、脆弱性。 |
| サポート終了 | サポートが終了したデータベースプラットフォームを使用しているデータベース。 | |
| 脆弱性あり | データベース プラットフォームの既知の脆弱性 (CVE) を持つデータベース。 | |
| Web アプリ | セキュリティ リスクあり | フレームワーク/ランタイムのセキュリティ リスクの少なくとも 1 つを持つ Web アプリ - サポート終了、脆弱性。 |
| サポート終了 | サポート フレームワーク/ランタイムが終了した Web アプリ。 | |
| 脆弱性あり | フレームワーク/ランタイムの既知の脆弱性 (CVE) を持つ Web アプリ。 |
Insights の派生方法
Azure Migrateは、Azure Migrate アプライアンス検出プロセスを通じて収集されたソフトウェア インベントリ データを使用して、データセンター内の潜在的なセキュリティ リスクを特定します。 オンプレミス環境の検出を実行するときは、通常、Windowsおよび Linux サーバーのゲスト資格情報を指定します。 これにより、ツールは、インストールされているソフトウェア、オペレーティング システムの構成、保留中の更新プログラムに関する情報を収集できます。 Azure Migrateは、追加の資格情報やアクセス許可を必要とせずに、このデータを処理して主要なセキュリティ分析情報を生成します。
注
Azure Migrateは、追加のエージェントをインストールしたり、環境の詳細スキャンを実行したりすることはありません。 セキュリティの分析情報は、Azure Migrate アプライアンスのクイック検出によって検出されたソフトウェアとオペレーティング システムのデータに限定されます。 収集されたソフトウェア インベントリ データを分析し、公開されている脆弱性と相互参照し、ライフサイクル データベースをサポートして、データセンターのセキュリティ リスクを強調します。
セキュリティ リスクは、次の一連の分析によって導き出されます。
サポート期間: Azure Migrateは、検出されたオペレーティング システム、ソフトウェア、データベース プラットフォーム、Web アプリ ランタイムのバージョンを、一般公開されている endoflife.date リポジトリと照合します。 すべての有効期間データは 7 日ごとに更新されます。 ソフトウェアがサポート終了であることが判明した場合 (つまり、ベンダーがセキュリティ更新プログラムを提供しなくなった場合)、セキュリティ リスクとしてフラグが設定されます。 同様に、データベース プラットフォームがサポート終了の場合、データベース インスタンスにはセキュリティ リスクのフラグが設定されます。 同様に、Web アプリは、サポートされなくなったフレームワーク/ランタイム上に構築されると、セキュリティ リスクでマークされます。 サポートされていないリソースを早期に特定すると、クラウド移行の一環としてアップグレードまたは軽減策を計画するのに役立ちます。
Vulnerabilities: Azure Migrateは、各サーバーにインストールされているソフトウェアとオペレーティング システム (OS) を識別します。 検出されたソフトウェア、OS、データベース プラットフォーム、Web アプリ ランタイムを AI モデルを使用して CPE 命名法 (Common Platform Enumeration) にマップします。これは、バージョンごとに一意の識別を提供します。 Azure Migrateには、ソフトウェア メタデータ (名前、発行元、バージョン) のみが格納され、組織固有の情報はキャプチャされません。 CPE 名と既知の CVE ID (一般的な脆弱性と露出) を関連付けます。 CVE ID は、公開されているサイバーセキュリティの脆弱性に割り当てられた一意の識別子であり、組織が標準的な方法で脆弱性を特定して追跡するのに役立ちます。 詳細については 、CVE を参照してください。 CVE ID と関連ソフトウェアに関する情報は、NIST によって管理されている一般に公開されている National Vulnerability Database (NVD) から取得されています。 これにより、ソフトウェア、オペレーティング システム、データベース インスタンス、Web アプリの脆弱性を特定できます。 各脆弱性は、NVD によって提供される CVSS スコアに基づいてリスク レベル (重大、高、中、低) ごとに分類されます。 この機能は NVD API を使用しますが、NVD によって承認または認定されていません。 NVD のすべての CVE データは、7 日ごとに更新されます。
サーバーの更新待ち: Azure Migrateは、Windows Update メタデータに基づいて、Windows サーバー用の Linux パッケージ マネージャー メタデータに基づいて、完全に修正プログラムが適用または更新されていないマシンを識別します。 また、これらの更新プログラム (重大、セキュリティ、その他の更新プログラム) の分類を取得し、さらに考慮するためにそれらを表示します。 Azure Migrateでは、Windows 更新プログラムと Linux パッケージ マネージャーからのデータが 24 時間ごとに更新されます。 この分析情報は、保留中のセキュリティと重要な更新プログラムを持つサーバーとして表示され、サーバーに完全な修正プログラムが適用されておらず、更新する必要があることを示します。
セキュリティおよびパッチ管理ソフトウェアの欠落: Azure Migrateは、名前と発行元を定義済みのカテゴリとサブカテゴリに処理することで、ソフトウェアを分類します。 詳細については、こちらを参照してください。 これは、ソフトウェア インベントリを通じて識別される セキュリティおよびコンプライアンス ソフトウェアがない保護されていないサーバーを識別します。 たとえば、ソフトウェア インベントリに、ウイルス対策、脅威検出、SIEM、IAM、パッチ管理などのカテゴリのソフトウェアがないサーバーが示されている場合、Azure Migrateは潜在的なセキュリティ リスクとしてサーバーにフラグを設定します。
Azure Migrateは、検出されたソフトウェア インベントリ データを更新するたびにセキュリティ分析情報を更新します。 プラットフォームは、新しい検出を実行するとき、またはAzure Migrate アプライアンスがインベントリの更新を送信するときに、分析情報を更新します。 通常は、プロジェクトの開始時に完全な検出を実行し、評価を完了する前に定期的な再スキャンを実行できます。 新しいパッチやソフトウェアなど、システムの変更が終了した場合は、更新されたセキュリティの分析情報に反映されます。
セキュリティ リスクの数を計算する
次の数式を使用して、サーバーのセキュリティ リスクの数を計算します。
OS のサポート終了フラグ + ソフトウェアのサポート終了フラグ + 脆弱性の数 + 保留中の重大およびセキュリティ更新プログラムの数 + セキュリティ ソフトウェア フラグ + パッチ管理ソフトウェア フラグ
- サーバー オペレーティング システムがサポート終了の場合、OS のサポート終了フラグ = 1。それ以外の場合は 0。
- ソフトウェアがサポート終了の場合、ソフトウェアのサポート終了フラグ = 1。それ以外の場合は 0。
- 脆弱性の数 = サーバーで識別された CVE の数。
- 重大更新プログラムとセキュリティ更新プログラムの数 = 重大またはセキュリティとして分類されているWindowsおよび Linux サーバーの保留中の更新。
- セキュリティ カテゴリ に属するソフトウェアがサーバーで検出されなかった場合、セキュリティ ソフトウェア フラグ = 1。それ以外の場合は 0。
- パッチ管理サブ カテゴリに属するソフトウェアがサーバー上で検出されなかった場合、パッチ管理ソフトウェア フラグ = 1。それ以外の場合は 0。
同様の行では、データベース インスタンスのセキュリティ リスクの数は、データベース プラットフォームのサポート終了フラグ + 脆弱性の数として計算されます。
- データベース プラットフォームがサポート終了の場合、データベース プラットフォームの サポート終了フラグ = 1。それ以外の場合は 0。
- 脆弱性の数 = データベース プラットフォームで識別された CVE の数。
同様に、Web アプリのセキュリティ リスクの数は、ランタイムのサポート終了フラグ + 脆弱性の数として計算されます。
- Web アプリのランタイム バージョンがサポート終了の場合、ランタイムのサポート終了フラグ = 1。それ以外の場合は 0。
- 脆弱性の数 = ランタイム バージョンで識別された CVE の数。
注
Azure Migrateのセキュリティに関する分析情報は、データセンター内の潜在的なセキュリティ リスクのガイドと強調表示に役立ちます。 これらは、特殊なセキュリティ ツールと比較するためのものではありません。 ハイブリッド環境を包括的に保護するために、Microsoft Defender for Cloud、Azure Update Manager などのAzure サービスを採用することをお勧めします。
Insights を確認するための前提条件
完全な Insights を生成するために、次の前提条件が満たされていることを確認します。
- Azure Migrateでapplianceベースの検出を使用して、分析情報を確認します。 Insights の生成には、検出後最大 24 時間かかる場合があります。インポートベースの検出 はサポートされていません。
- 既存のプロジェクトを使用するか、Azure Migrateでサポートされている任意のパブリック リージョンでポータル を使用して
Azure Migrate プロジェクトを作成します。 この機能は現在、Government クラウドではサポートされていません。 - アプライアンスでゲスト検出機能が有効になっていることを確認します。
- ソフトウェア検出の問題がないことを確認します。 Azure Migrate プロジェクトの Action Center に移動して、ソフトウェア インベントリの問題をフィルター処理します。
- ソフトウェア インベントリが、過去 30 日間に少なくとも 1 回、すべてのサーバーに対してアクティブに収集されていることを確認します。
分析情報を確認する
Azure Migrateで分析情報を確認するには:
Azure Migrate ポータルに移動します。
[すべてのプロジェクト] からプロジェクトを選択します。
左側のメニューで、[ インベントリの探索>Insights (プレビュー) を選択して、選択したプロジェクトのセキュリティ分析情報を確認します。 このページでは、検出されたサーバーとソフトウェア全体のセキュリティ リスクの概要を示します。
詳細情報を確認するには、任意の分析情報を選択します。 概要カードでは、すぐに注意が必要なデータセンターの重要なセキュリティ リスクが強調表示されます。 次の項目が識別されます。
- 移行後にMicrosoft Defender for Cloudを有効にすることでメリットを得られる重大な脆弱性を持つサーバー。
- サポート終了オペレーティング システムを実行しているサーバー。移行中にアップグレードを推奨します。
- 重要な更新プログラムとセキュリティ更新プログラムが保留中のサーバーの数。移行後にAzure Update Managerを使用した修復が推奨されます。 サーバーに重大なリスクをタグ付けして、Azureへのモダン化中に効果的な計画と軽減をサポートできます。
サーバー のリスク評価を確認する
[ サーバー] カード には、セキュリティ リスクのある検出されたすべてのサーバーの概要が表示されます。 サーバーに次の問題が少なくとも 1 つ存在する場合、そのサーバーは危険と見なされます。
サポート終了オペレーティング システム
サポート終了ソフトウェア
インストールされているソフトウェアまたは OS の既知の脆弱性 (CVE)
セキュリティまたはパッチ管理ソフトウェアが見つからない
保留中の重要な更新プログラムまたはセキュリティ更新プログラム
ソフトウェア リスク評価を確認する
ソフトウェア カードには、検出されたすべてのソフトウェアとセキュリティ リスクの概要が表示されます。 ソフトウェアがサポート終了であるか、既知の脆弱性 (CVE) を持っている場合、ソフトウェアにリスクのフラグが設定されます。 このカードには、脆弱性を持つサポート終了ソフトウェアとソフトウェアの数が、セキュリティ リスクのあるソフトウェア全体の割合として表示されます。
データベース リスク評価の確認
[データベース インスタンス] カードには、セキュリティ リスクのあるすべてのデータベース インスタンスの概要が表示されます。 データベース インスタンスは、データベース プラットフォームがサポート終了であるか、既知の脆弱性 (CVE) を持っている場合、危険にさらされるフラグが設定されます。 このカードには、サポート終了プラットフォーム上のデータベース インスタンスの数と、脆弱性を持つデータベース インスタンスの数が、セキュリティ リスクのあるデータベース インスタンスの合計数の割合として表示されます。
Web アプリのリスク評価を確認する
Web アプリ カードには、セキュリティ リスクを伴うすべての Web アプリの概要が表示されます。 Web アプリのランタイムがサポート終了であるか、既知の脆弱性 (CVE) を持っている場合、Web アプリは危険にさらされるフラグが設定されます。 このカードには、サポート終了ランタイムを含む Web アプリと脆弱性を持つ Web アプリの数が、セキュリティ リスクのある Web アプリ全体の割合として表示されます。
Security Insights の詳細を確認する
サーバー、ソフトウェア、データベース インスタンス、Web アプリの詳細なセキュリティ リスクを確認するには、次の操作を実行します。
セキュリティ 上のリスクがあるサーバーを確認する
サーバーの詳細なセキュリティ リスクを確認するには、次の手順に従います。
Insights (プレビュー) ウィンドウに移動します。
[ サーバー] カードで、セキュリティ リスクのあるサーバーの数を示すリンクを選択します。
検出されたサーバーの詳細な一覧を表示したり、タグを適用して移行計画をサポートしたり、サーバー データを .csv ファイルとしてエクスポートしたりできます。
セキュリティ リスク別にサーバーを表示する
特定のセキュリティ リスクを持つサーバーを表示するには、 Insights (プレビュー) ウィンドウに移動します。 [ サーバー] カードに、次の問題の影響を受けるサーバーの詳細な一覧が表示され、選択されます。
- サポート終了オペレーティング システム
- サポート終了ソフトウェア
- インストールされているソフトウェアまたはオペレーティング システムの既知の脆弱性 (CVE)
- 不足しているセキュリティまたはパッチ管理ツール
または、[インベントリの探索>][すべてのインベントリ][インベントリの探索>][インフラストラクチャ] ウィンドウから、セキュリティ リスクのあるサーバーをフィルター処理することもできます。
セキュリティ リスクのあるソフトウェアを確認する
特定されたセキュリティ リスクを持つソフトウェアを確認するには、次の手順に従います。
Insights (プレビュー) ウィンドウに移動します。
ソフトウェア カードで、セキュリティ リスクのあるソフトウェア項目の数を示すリンクを選択します。
検出されたソフトウェアの詳細な一覧を表示したり、関連するメタデータを調べたり、データを .csv ファイルとしてエクスポートすることができます。
特定のセキュリティ リスクを持つソフトウェアを表示するには、 Insights (プレビュー) ウィンドウに移動します。 ここでは、次の問題が原因で影響を受けるソフトウェアの詳細な一覧が表示されます。
- サポート終了の状態
- 既知の脆弱性 (CVE)
または、 インベントリの探索>Software ペインから、既知の脆弱性を持つサポート終了ソフトウェアとソフトウェアをフィルター処理することもできます。
サーバーの詳細な Security Insights を確認する
特定のサーバーの詳細なセキュリティ分析情報を表示するには:
左側のメニューから [インフラストラクチャ ] ウィンドウに移動し、確認するサーバーを選択します。
[ Insights (プレビュー)] タブを選択します。タブには、選択したサーバーのセキュリティに関する分析情報が表示されます。次の情報が表示されます。
- オペレーティング システムのサポート状態
- セキュリティおよびパッチ管理ソフトウェアの存在
- 保留中の重要な更新プログラムとセキュリティ更新プログラム
- サポート終了ソフトウェア
- 既知の脆弱性を持つソフトウェア (CVE)
- 修復の優先順位付けに役立つ、保留中の更新プログラムの上位 5 件と上位 5 件の脆弱性の概要が示されています。
セキュリティ リスクのあるデータベース インスタンスを確認する
セキュリティ リスクが特定されたデータベース インスタンスを確認するには、次の手順に従います。
Insights (プレビュー) ウィンドウに移動します。
[データベース インスタンス] カードで、セキュリティ リスクがあるデータベース インスタンスの数を示すリンクを選択します。
データベース インスタンスの詳細な一覧の表示、関連するメタデータの確認、データの .csv ファイルとしてのエクスポートを行うことができます。
特定のセキュリティ リスクを持つデータベース インスタンスを表示するには、 Insights (プレビュー) ウィンドウに移動します。 ここでは、次の問題が原因で影響を受けるデータベース インスタンスの詳細な一覧を確認できます。
- サポート終了データベース プラットフォーム
- データベース プラットフォームの既知の脆弱性 (CVE)
データベース インスタンスの詳細な Security Insights を確認する
特定のデータベース インスタンスの詳細なセキュリティ分析情報を表示するには:
- 左側のメニューから [ データベース ] ペインに移動し、確認するデータベース インスタンスを選択します。
- [ Insights (プレビュー)] タブを選択します。タブには、選択したデータベース インスタンスのセキュリティに関する分析情報が表示されます。これには次のものが含まれます。
- データベース プラットフォームのサポート状態
- データベース プラットフォームの既知の脆弱性 (CVE)
セキュリティ リスクのある Web アプリを確認する
セキュリティ リスクが特定された Web アプリを確認するには、次の手順に従います。
Insights (プレビュー) ウィンドウに移動します。
Web アプリ カードで、セキュリティ リスクのある Web アプリの数を示すリンクを選択します。
Web アプリの詳細な一覧を表示したり、関連するメタデータを調べたり、データを .csv ファイルとしてエクスポートしたりできます。
特定のセキュリティ リスクを持つ Web アプリを表示するには、 Insights (プレビュー) ウィンドウに移動します。 ここでは、次の問題が原因で影響を受ける Web アプリの詳細な一覧を確認できます。
- サポート終了ランタイム/フレームワーク
- ランタイム/フレームワークの既知の脆弱性 (CVE)
Web アプリの詳細な Security Insights を確認する
特定の Web アプリの詳細なセキュリティ分析情報を表示するには:
- 左側のメニューから [Web アプリ ] ウィンドウに移動し、確認する Web アプリを選択します。
- [ Insights (プレビュー)] タブを選択します。タブには、選択した Web アプリのセキュリティに関する分析情報が表示されます。次の情報が表示されます。
- ランタイム サポートの状態
- 実行時の既知の脆弱性 (CVE)
Security Insights のアクセス許可を管理する
セキュリティ分析情報は、すべてのユーザーに対して既定で有効になっています。 アクセスを管理するには、 カスタム ロール を作成し、次のアクセス許可を削除します。
| Resource | Permissions | Description |
|---|---|---|
| 保留中の更新 | Microsoft.OffAzure/hypervSites/machines/inventoryinsights/pendingupdates/* |
Hyper-V サイトの保留中の更新プログラムを読み取ります |
Microsoft.OffAzure/serverSites/machines/inventoryinsights/pendingupdates/* |
物理サーバー サイトの保留中の更新プログラムを読み取ります | |
Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/pendingupdates/* |
VMware マシンの保留中の更新プログラムを読み取ります | |
| 脆弱性 | Microsoft.OffAzure/hypervSites/machines/inventoryinsights/vulnerabilities/* |
Hyper-V サイトの脆弱性を読み取る |
Microsoft.OffAzure/serverSites/machines/inventoryinsights/vulnerabilities/* |
物理サーバー サイトの脆弱性の読み取り | |
Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/vulnerabilities/* |
VMware マシンの脆弱性を読み取る |
また、Azure Migrateの組み込みロールを実装して、Insights を表示するためのアクセスを管理することもできます。 詳細情報
次のエラー メッセージは、ユーザーが Insights を表示するアクセス許可を持っていない場合に表示されます。
注
オペレーティング システムとソフトウェアのサポート状態は、コンピューター レベルのプロパティです。 この情報へのユーザー アクセスは、マシン レベルで割り当てられたアクセス許可によって決まります。
Azure サービスを調べてセキュリティ リスクを軽減する
Azureは、セキュリティ リスクを特定して軽減し、クラウド セキュリティ体制を強化するための統合ソリューションを提供します。
- Microsoft Defender for Cloud は、統合されたセキュリティ管理と高度な脅威保護を提供します。 構成ミスや脆弱性のリソースを継続的に評価し、インフラストラクチャを強化するための実用的な推奨事項を提供します。 業界標準に準拠することで、リソースのセキュリティとコンプライアンスを維持できます。
- Azure Update Managerは、追加のインフラストラクチャなしでオペレーティング システムの修正プログラムの適用を合理化します。 更新スケジュールを自動化して、パッチが適用されていないシステムからのセキュリティ リスクを最小限に抑え、詳細なコンプライアンス レポートを提供します。 デプロイをきめ細かく制御することで、進化する脅威に対するシステムの整合性と回復性を維持するのに役立ちます。
次のステップ
- Azure Migrate の権限の詳細を確認します。
- ビジネス ケースのセキュリティ コストの詳細を確認します。
- 評価についてさらに詳しく知る。