はじめに
こんにちは、AZPower 株式会社 クラウドネイティブ推進チームの星山です。
この記事では、Microsoft Defender for Storage の概要、構成、主な機能、導入方法について解説します。
Microsoft Defender for Storage は ストレージアカウントの セキュリティを強化する強力なレイヤーです。Azure Blob、Azure Files、Data Lake Storage のテレメトリを分析し、さまざまな脅威からデータを保護します。
🔍Microsoft Defender for Storageとは?
Microsoft Defender for Storageは、ストレージアカウント(Blob、File、Data Lakeなど)に対する脅威検出とセキュリティ保護機能を提供するサービスです。
従来のネットワーク制御やアクセス制限に加えて、以下のような高度なセキュリティ機能を自動で提供します:
- 不審なアクセスや操作の検出(アクティビティ監視)
- マルウェアのリアルタイムスキャン
- 機密情報の露出を警告(例:個人情報や認証情報)
- SASトークンの濫用や異常な列挙攻撃の検知
Microsoft Defender for Cloud の一部として動作し、Azureポータルから簡単に有効化できます。
🧩なぜ必要か?
クラウドストレージは利便性が高い一方で、以下のようなリスクも潜んでいます
- 開発・検証用に作ったストレージアカウントがパブリックに公開されていた
- 社外委託先が誤って機密ファイルを共有
- SASトークンが長期間有効なまま放置され、漏えい
こうした事象は、アクセス制御やポリシー管理だけでは検出しきれないことが多く、Defender for Storage はアクティブな脅威検知を補完する形で活躍します。
📦 対象となるストレージサービス
Defender for Storage は、以下の Azure ストレージサービスに対応しています(一部機能は制限あり)
| ストレージ種別 | 対応状況 |
|---|---|
| Azure Blob Storage | ✅ フル対応(Standard/Premium) |
| Azure Files | ✅ 対応(アクティビティ監視、ハッシュ評判分析) |
| Azure Data Lake Gen2 | ✅ 対応(Blobベース) |
| Queue/Table | ❌ 非対応 |
主な機能
-
アクティビティ監視
アクセスパターンや異常な動作を分析し、未承認アクセスやデータ流出の試みなどの異常を検出します。 -
マルウェアスキャン
アップロードされたファイルをほぼリアルタイムでスキャンし、既知の脅威に対して検出・通知します。マルウェアスキャンは「Blob限定(GB課金)」でAzure Filesはスキャン対象外となります。 -
機密データの脅威検出
機密情報の漏えいや不正アクセスなどを検出。Microsoft Purview との連携で分類ラベルも利用可能です。 -
IDのないエンティティの検出
漏洩した可能性のある SAS トークンによるアクセスを検出し、不正アクセスのリスクを軽減します。 -
ハッシュ評判分析との併用
マルウェアスキャンとともに、既知のマルウェアハッシュとの比較によるハッシュ評判分析も併用可能です。
📦 料金について
-
ストレージアカウントごとの価格
料金は「保護するストレージアカウント数/¥1,453」に基づく予測しやすい価格設定となっています。サブスクリプション単位で有効化しつつ、特定のアカウントを除外することも可能です。
トランザクションが非常に多いアカウントでは、追加のトランザクション料金が発生する場合があります。 -
マルウェアスキャン
アップロード時スキャン/オンデマンドスキャンともに「スキャンしたデータ量(GB)」で課金されます。
月次のスキャン上限(GB)をストレージアカウントごと、またはサブスクリプション全体に設定することも可能です(既定はアカウントあたり 10,000 GB) -
試用の注意
30日間の無料トライアルでも、マルウェアスキャンは無料対象外で初日から課金されます。
注: 価格は地域・契約・為替で変動します。最新は公式価格を確認してください。
🚀 導入手順
-
Defender for Cloud を開く
・Azure ポータル →「Microsoft Defender for Cloud」→「環境設定」で対象サブスクリプションを選択します。
-
Defenderプラン(ストレージ)を有効化
・「Defender プラン」画面で「ストレージ」をオンに切り替え保存します。
-
設定項目の管理
・ストレージの「設定」というセクションからDefenderプランが正しく動作するために必要な構成状況を確認・設定を変更することができます。
-
導入後の初期確認と推奨事項対応
・ストレージアカウントが、Defender for storageによって保護対象として認識されているかインベントリ画面で確認します。
・表示されるセキュリティ推奨事項を確認し、修正や設定変更を実施します。
📈 まとめ
Microsoft Defender for Storage は、Azure ストレージ環境における 見えにくいセキュリティリスクに対する“強力な補強レイヤー” です。
-
導入が簡単(エージェントレス)
Azure ポータルから数クリックで有効化でき、既存構成に影響を与えず導入可能です。 -
リアルタイム保護
マルウェアスキャン、異常操作の検知、機密データの露出警告など、能動的なセキュリティ対策を提供します。 -
漏洩・誤設定に強い
ネットワーク制御やIAMだけではカバーしきれないパブリック公開やSASトークン濫用などを補完します。 -
Azureネイティブとの高い親和性
Microsoft Defender for Cloud や Purview などと連携し、アラートの統合管理や分類ラベルによる分析も可能です。 -
柔軟なスコープとコスト管理
対象ストレージの選定、スキャン対象データの制限、ワークスペース単位での課金管理など、費用対効果も高い運用が可能です。
📝 参考リンク
Defender for Storageとは?:https://learn.microsoft.com/azure/defender-for-cloud/defender-for-storage-introduction
機能一覧:https://learn.microsoft.com/azure/defender-for-cloud/defender-for-storage-introduction#defender-for-storage-features
価格: https://azure.microsoft.com/pricing/details/defender-for-cloud/
AZPower株式会社です。主にMicrosoft AzureおよびMicrosoft365に関する技術・サービス検証、最新の技術情報、Tips的なノウハウなどを不定期で更新していきます。
Discussion