[Q]
App Service のウィルス対策について教えてください。
[A]
App Service では、そのインフラストラクチャを構成する仮想マシンやシステムファイルに対するアンチマルウェアスキャンが実行されています。
しかし、デプロイされているアプリケーションコンテンツやカスタムコンテナ―は対象外です。そのため、下記の参考情報にありますように、お客様にて事前にスキャンを実施いただく必要があります。
なお、プレビュー機能 (2022 年 10 月時点) となりますが、Premium 以上の App Service プランではデプロイされているアプリケーションコンテンツに対するスキャン及びスキャン ログの記録を行っており、このログが AppServiceAntivirusScanAuditLogs から参照できるようになっています。プレビューのため制限事項が設けられており、必ずしも十分なスキャンが実施されるものではありませんのでご注意ください。詳細につきましては下記参考情報をご参照ください。
[参考情報]
セキュリティ コントロール: マルウェアからの防御
8.2:非コンピューティング Azure リソースにアップロードするファイルを事前にスキャンする
https://learn.microsoft.com/ja-jp/security/benchmark/azure/security-control-malware-defense#82-pre-scan-files-to-be-uploaded-to-non-compute-azure-resources
<抜粋>
Microsoft Antimalware は、Azure のサービス (例: Azure App Service) をサポートする、基になっているホストに対して有効になっていますが、コンテンツに対しては実行されません。
App Service、Data Lake Storage、Blob Storage などの非コンピューティング Azure リソースにアップロードされようとしているファイルはすべて、事前にスキャンしてください。
Azure App Service でのアプリの診断ログの有効化
サポートされるログの種類
https://learn.microsoft.com/ja-jp/azure/app-service/troubleshoot-diagnostic-logs#supported-log-types
ログの種類 | Windows | Windows コンテナー | Linux | Linux コンテナー | 説明 |
AppServiceAntivirusScanAuditLogs [3] | はい | はい | はい | Yes | Microsoft Defender for Cloud を使用するウイルス対策のスキャン ログ。Premium レベルでのみ使用可能 |
[3] ログの種類の AppServiceAntivirusScanAuditLogs は、現在プレビューの段階です。
AppServiceAntivirusScanAuditLogs ログの詳細については、下記ブログをご参照ください。
New App Service Anti-virus Logs in Public Preview
https://azure.github.io/AppService/2020/12/09/AzMon-AppServiceAntivirusScanAuditLogs.html
<抜粋>
App Service has added support for anti-virus scans which can send logs to a Storage account, Log Analytics workspace, and Even Hubs for better application monitoring. The new log support, available in Diagnostic settings as “AppServiceAntivirusScanAuditLogs”, helps customers better monitor the site content of their web app. This logging feature is available for both Windows and Linux based web apps using our Premium App Service plans. This feature is currently in public preview and has certain feature limitations and known issues which will be covered in this blog and will be updated accordingly.
<ご参考 ※ 機械翻訳による日本語訳>
App Service は、ログをストレージ アカウント、Log Analytics ワークスペース、さらにはハブに送信してアプリケーションの監視を強化できるウイルス対策スキャンのサポートを追加しました。診断設定で「AppServiceAntivirusScanAuditLogs」として利用できる新しいログ サポートは、顧客が Web アプリのサイト コンテンツをより適切に監視するのに役立ちます。このログ機能は、Premium App Service プランを使用して、Windows ベースと Linux ベースの両方の Web アプリで利用できます。この機能は現在パブリック プレビュー段階にあり、特定の機能制限と既知の問題があり、このブログで取り上げられ、それに応じて更新されます。
[更新日]
Update:202210