Azure Blob Storageを業務で使っている組織にとって、見逃せないアップデートが正式リリース(GA)された。Microsoft Defender for Storageの「自動マルウェア修復(Automated Malware Remediation)」機能だ。悪意あるファイルを検出した瞬間に自動でソフト削除し、手動対応なしにストレージを清潔に保てる。

何が起きたのか

Defender for Storageのマルウェアスキャンは以前から存在していたが、「検出はする、対応は人間」という構図だった。今回GAになった自動修復機能では、アップロード時スキャン(On-Upload)とオンデマンドスキャンの両方で悪意あるBlobが検出されると、即座にソフト削除(Soft Delete)が実行される。

ソフト削除はAzure Blob Storage標準の機能で、削除したデータを一定期間(デフォルト7日、最大365日)保持する。つまり「アクセス遮断」と「証拠保全」が同時に達成できる。

主な仕様

  • 有効化単位: サブスクリプション全体またはストレージアカウント単位で選択可能
  • Soft Delete未設定の場合: 機能有効化時にDefenderが自動でSoft Deleteを有効にする
  • Blobインデックスタグ: 悪意ありと判定されたBlobには自動でタグが付与され、復元後も追跡可能
  • コスト: ソフト削除期間中のストレージコストはアクティブデータと同等

なぜこれが重要か

日本のエンタープライズでAzure Storageを使うシーンは多岐にわたる。社内ポータルへのファイルアップロード、Power Automateによる自動処理のステージングエリア、バックアップ先、そして生成AIのRAGデータソース。これらのシナリオではユーザーや外部システムからのBlobアップロードが常時発生し、マルウェア混入のリスクがある。

これまでは「Defenderがアラートを出す→SOCが確認する→削除する」というフローが必要だった。深夜・休日に悪意あるファイルがアップロードされても、翌朝まで誰も動けないというケースは珍しくない。自動修復はその窓を閉じる。

実務への活用ポイント

1. 既存のStorage Account設定を確認する

Soft Deleteの保持期間はデフォルト7日だが、コンプライアンス要件やインシデント調査の実績を踏まえて変更を検討する。マルウェアの証跡を30日保持したいなら、Storage AccountのSoft Delete設定で変更しておく。

2. Blob Versioning との組み合わせに注意

Blobバージョン管理を有効にしているStorageアカウントでは、ソフト削除の復元手順が通常と異なる。公式ドキュメント「Manage and restore soft delete for blobs」を事前に確認しておくことを推奨する。

3. サブスクリプション全体 vs アカウント単位

組織内に開発・テスト・本番の複数環境がある場合、テスト環境で誤検知が発生すると全環境で無効化したくなる衝動に駆られる。アカウント単位で有効化できるため、本番環境を優先して適用し、テスト環境は段階的に展開する運用が現実的だ。

4. ログ・アラートパイプラインの見直し

自動修復が動いた場合でも、Defender for Cloudセキュリティアラート・Event Grid・Blobインデックスタグという3つのシグナルが残る。SIEMやAzure Monitor Alertsと連携させることで、「自動で処理されたが、何があったかは把握している」状態を維持できる。

筆者の見解

これは地味だが、実務的な価値が高いアップデートだと評価している。

セキュリティの理想は「人間が関与しなくても安全な状態が維持される仕組み」だ。検出と対応の間に人間のアクションが必要な設計は、その隙間がそのままリスクになる。今回の自動修復は「Non-Human Identityの管理」と同じ文脈で捉えられる——人間のボトルネックを取り除き、システムが自律的に安全を守る方向への一歩だ。

特に評価したいのは、ソフト削除という「後で見直せる」設計にしたことだ。自動的に完全削除してしまうと、誤検知のダメージが大きく、組織が機能を無効化してしまうリスクがある。隔離しつつ復元可能にするアプローチは、セキュリティと運用のバランスとして正しい。

Azure Storageを基盤として使っているのであれば、有効化を検討する理由はほぼない。コスト面でも「Soft Delete期間中のストレージ料金のみ」と明快だ。設定に10分かけるだけで、深夜の悪意あるアップロードに対する自動防衛線が張れる。これがプラットフォームとしてのAzureの強みだと思う。

出典: この記事は Automated Malware Remediation in Microsoft Defender for Storage Now Generally Available の内容をもとに、筆者の見解を加えて独自に執筆したものです。