セキュリティとガバナンス

Azureのセキュリティ対策 強固なセキュリティを実現するポイント

Microsoft Azureの大きな特長は、セキュリティに優れていることです。本記事では、200以上におよぶAzureのサービスの中から、セキュリティ機能をクローズアップしてご紹介します。それぞれの具体的な機能や、それを支える基本概念、Azure活用のベストプラクティスについても触れますので、ぜひ参考にしてください。

Azureのセキュリティ対策 強固なセキュリティを実現するポイント

Microsoft Azure製品カタログ

Azureのセキュリティ機能

優れたセキュリティ機能を活用できることが、Azureの大きなメリットです。まずは、主なビルトイン機能の概要を分野ごとにご紹介します。

操作

セキュリティ操作で番人(Sentinel)の役割を果たすのが、「Microsoft Sentinel」です。これはセキュリティ情報イベント管理(SIEM)および自動応答(SOAR)ソリューションで、オンプレミスやクラウドにまたがる企業全体のセキュリティデータを取集し、高度なセキュリティ分析で脅威を検出できます。またAIが脅威を調査し、インシデントに速やかに対応します。

強力な分析ツールが組み込まれた「Application Insights」は、Web開発者向けの拡張可能なアプリケーションパフォーマンス管理(APM)ツールです。実行中のアプリケーションを監視し、パフォーマンス状況や異常の検知、問題の診断などを一括で管理できます。稼働状況のデータを収集することで、サービスの応答時間やエラーの有無、どこからアクセスされているか、どのブラウザーを利用しているかなどをPowerBIのグラフで表示するほか、エラー発生時にはメール通知も行います。

なお、Application InsightsはAzureプラットフォーム以外のアプリケーションもサポート可能です。

アプリケーション

脆弱性を狙った悪意ある攻撃からWebアプリケーションを守るのが、Azure Application Gateway 上の「Web Application Firewall(WAF)」です。WAFは、悪質なサイトへ誘導(サイトをクロス)するスクリプトを仕掛けて訪問者の個人情報などを詐取するクロスサイトスクリプティング(XSS)や、データベースに不正なSQL文を送信(注入)するSQLインジェクションといったサイバー攻撃への対策として有効です。

また「App Service(Web Apps)」は、WebサーバーとWebアプリケーションのログ情報を診断できます。アプリに異常が発生した場合、App Service診断の対話型インターフェースで問題点が診断され、解決する手順へと速やかに誘導されます。

ストレージ

企業にとってクラウドリソースへのアクセス管理は、重要課題のひとつです。「Azure Role Based Access Control(Azure RBAC)」、つまりロールベースアクセス制御は、従来のような役職・部署ごとでなく、ロール(役割)ごとにストレージアカウントを保護します。具体的には、Azure の各種リソースにアクセス可能なユーザー、ユーザーがリソースに対して実行可能なこと、ユーザーがアクセス可能な領域の3要素にロールを割り当て、管理します。

また、データを保護するためには“Encryption”、つまり暗号化が欠かせません。「Storage Service Encryption(SSE)」は、ストレージサービスにデータが保存される際、自動的にAES 256ビット方式で暗号化します。よりセキュアな管理を求める場合は、IaaS仮想マシンに使用されるOSディスクとデータディスクを暗号化する「Azure Disk Encryption(ADE)」との併用も可能です。なおAzure Storageは、データの転送中にも暗号化し、保護します。

ネットワーク

「Azure Virtual Network」は、クラウド・オンプレミスサーバー・Azureクラウド内の各サービスを接続して、仮想ネットワークを構築します。仮想ネットワーク上では通信がフィルタリングされ、送信元IPやポート番号などを完全にコントロールできます。

外部の攻撃からMicrosoft Azureの仮想ネットワークを守るのが、クラウドベースのファイアウォールである「Azure Firewall」です。完全にステートフルで、制限なしのオートスケーリングによる高い可用性を備えたAzure Firewallは、悪意ある IP アドレスやドメイン間のトラフィックへの警告や拒否を通じて、さまざまなリスクを低減します。

[SMART_CONTENT]

Azureセキュリティをより強固にする方法

「Microsoft Azure Well-Architected Framework」では、Azureセキュリティの基本概念を提唱しています。そのひとつである「多層防御」は、不正アクセスを防ぐ基本的な概念で、レイヤー(層)を設定し、レイヤーごとにセキュリティ対策を講じるものです。Microsoft Azureの場合、以下7つのレイヤーを規定しています。

(1)ユーザーのデータ
(2)アプリケーション
(3)コンピューティング
(4)ネットワーク
(5)ネットワーク境界線
(6)IDとアクセス
(7)物理セキュリティ(施設や建物といった「物理的」部分に関係するセキュリティ)

(1)の「ユーザーのデータ」を最終的に守るべきものとして、これを中心に(2)~(7)までの防御レイヤーを構成し、各レイヤーでさまざまなセキュリティ関連サービスを提供しています。たとえば、物理セキュリティではデータセンターでの生体認証、IDとアクセスでは「Active Directory」や「AAD PIM」といった具合です。多層防御を構成していれば、攻撃者が仮に1つのレイヤーを突破したとしても、残りのレイヤーを突破しない限り、(1)のデータにはたどり着けないのです。

またAzureは、昨今におけるセキュリティの主流である「ゼロトラスト」の概念も採用しています。これは文字通り、「誰も信頼するな、すべて検証しろ」という意味です。従来のセキュリティ概念は境界型と呼ばれ、外部からの侵入口となる境界線にのみ対策を講じる方法でした。そのため、いったん突破されれば被害が拡大してしまう欠点があったのです。

しかし、Microsoft Azureではゼロトラストを前提とし、「データにアクセスするたびに厳格な認証を実施する」「外部からアクセスできないストレージでも、データは暗号化で保護する」など、複数の防御手段を積み重ねてリソースを保護します。

このほか、DevSecOpsを用いて自動化を推進し、人による操作を最小限に抑えること、シンプルであることなども原則として掲げています。

上記を含む計14の原則をMicrosoftは提唱していますが、すべてを認識しているユーザーは少ないかもしれません。しかもMicrosoft Azureでは、随時サービスのアップデートや追加が行われています。計画的に活用しないと、コスト面での負担も大きくなるでしょう。

Azure機能をより堅牢化するには、まず自社の理想とするセキュリティ対策を明確にしたうえで、Azureのセキュリティ機能がどの程度有効化されているかをチェックすることが大切です。そして、専門的なサポートを受けながら、自社に合ったより効果的なセキュリティ環境を構築していきましょう。

Azureセキュリティのベストプラクティス

最後に、Microsoftとユーザーの経験に基づいたAzureセキュリティの主なベストプラクティス(成功事例)をご紹介します。ベストプラクティスを活用することで、試行錯誤に費やす時間を短縮し、効果的な運用が期待できます。

1例目が、境界セキュリティに関するベストプラクティスです。アクセス時には「すべてを検証する」ゼロトラストが採用されています。Azure ADの条件付きアクセスを使用すれば、デバイス・ID・保証・ネットワークの場所などに基づいて、適切なアクセス制御が実装可能です。

2例目が、データベースのセキュリティ体制を管理するベストプラクティスです。データベースの脆弱性を検出・修正することで、セキュリティ強化します。SQL脆弱性評価(VA)を有効にして、データベースがセキュリティ基準を満たすかを毎週スキャン・修正するよう設定します。スキャンするたびにVAの概要を確認し、チェック後は基準値を更新します。

3例目が、ほぼすべてのPaaSに適用できる、ID境界管理のベストプラクティスです。攻撃者がネットワーク境界に不正侵入していることを仮定しているため、最新の防御対策はIDをベースとします。攻撃から守るためには、強力な認証と承認でIDベースのセキュリティ境界を確立する必要があります。データの暗号化に使う暗号キーをまとめて管理する「Azure Key Vault」で、キーと資格情報を保護し、PaaSデプロイを守ります。

まとめ

Microsoft Azureのセキュリティ対策が優れているのは、多層防御やゼロトラストを基本とし、さまざまな手段で重要なデータを保護しているからです。Microsoft Azureは多くのサービスを実装しているので、専門家のサポートを受けながら自社に合った環境を構築し、ビジネスシーンにご活用ください。

サイバーセキュリティ:境界防御は時代遅れ? ゼロトラストネットワークへの変革の現実解
  • fb-button
  • line-button
  • linkedin-button
RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP