Azure Managed Service Column <Azure運用コラム>

Azureを安全に利用するために必要なセキュリティ対策とは?

Category: 入門編

2022.01.17

〜Microsoftが提唱する概念と基本的なセキュリティ対策のご紹介〜

近年、オンプレミス環境からクラウド環境へ移行する企業や、クラウドサービスを活用する企業が増え、業務で取り扱う様々なデータがクラウド上でやりとりされるようになりました。またテレワークも普及し、時間、場所、デバイスを問わずクラウド上のデータにアクセスできるようになりました。

その反面、個人情報、顧客情報、営業情報、技術情報などの重要情報がクラウド上のデータに含まれるようになり、これらの情報が常に脅威にさらされるようにもなりました。

昨今では不正アクセスによるサービス停止、情報漏洩、ウィルス感染による身代金被害、標的型攻撃による多額の詐欺被害など、セキュリティ事故は年々増加し後を絶ちません。

このようなセキュリティ事故の被害は金銭的なダメージのみならず、企業の信用にもダメージを与えるためセキュリティ対策は企業における重要な課題の一つです。

本記事ではAzureのセキュリティ対策として基本的な考え方を解説し、展開されるリソース保護、ID管理、クラウド上のデータ保護の観点から、Azureが提供するセキュリティ機能、サービスを紹介します。安全な情報資産運用の一助となれば幸いです。

1. Azureセキュリティ対策の基本的な概念

Azureは200種類以上のクラウドサービスを展開しています。オンプレミス環境、複数のクラウド環境、ハイブリッド環境、エッジ環境において、あらゆるソリューションを実現する事ができます。まずはMicrosoftが大前提として提唱するAzureセキュリティの基本概念を紹介します。

多層防御

Azureでは保管されたデータへ対するセキュリティ対策として、レイヤー(層)毎にセキュリティ対策を講じる「多層防御」という概念で設計されています。サイバー攻撃によって一つのレイヤーが突破されても、別のレイヤーで防御します。Azureでは以下の7つのレイヤーを定義分類しています。

1. 物理セキュリティ層

データセンター内のコンピューティングシステムも含め空調、電気などといった設備全般を保護するレイヤーです。例えば建物への入館認証などです。近年、静脈、指紋、虹彩などバイオメトリックなどワンタイム制で登録するなど厳重な警備が敷かれています。

2. ID とアクセス層

Azure ADやIAM(Identity and Access Management:アクセス管理)でユーザIDやIDに付与される権限などを細かく検査するレイヤーです。

3. ネットワーク境界層

DDoS(Distributed Denial of Service attack:分散型サービス拒否)のようにサービスを妨害する高負荷な通信を検査し、ユーザの正常なアクセスの支障となる前にフィルター処理を行うレイヤーです。

4. ネットワーク層

ネットワークの基本設計に伴いセグメント間の通信に対し、一般的なファイアウォールアプライアンスのようなアクセス制御機能で通信内容を検査するレイヤーです。

5. コンピューティング層

仮想マシンのOSに対し、定期的アップデートを実施することで脆弱性となりうるセキュリティホールを改修することで適切なデータ運用を行うレイヤーです。

6. アプリケーション層

アプリケーションに対しSSL(Secure Sockets Layer)やTLS(Transport Layer Security)などといった、セキュアプロトコルに対応したモジュールを実装し、ライブラリからセキュアなパッチを定期的に当てる事で、脆弱性を確実に排除しアプリケーションを動作させるレイヤーです。

7. データ層

データベース、仮想マシン内のディスク、Microsoft365などのサービスとしてのソフトウェア (SaaS) アプリケーション、クラウドストレージなど、クラウド上のそれぞれの環境に格納されているデータに対する保護機能を動作させるレイヤーです。

※1 参考:マイクロソフトドキュメント多層防御

ゼロトラスト

従来のセキュリティアーキテクチャは社外(インターネットのような外部公衆ネットワーク)から社内(オフィス内ネットワーク)への侵入口となる出入り口にセキュリティ対策を講じる境界型アーキテクチャでした。

これに対し、「全てのアクセスを信頼しない」ことをコンセプトとしたセキュリティ概念をゼロトラストと呼びます。社内、社外、といったネットワークの境界にとらわれず、データにアクセスするたびに厳密な認証を実施する概念です。

共同責任モデル

Azureのようなパブリッククラウドを利用する上で責任分界点モデルの考え方です。これはユーザとクラウドプロバイダーであるMicrosoftとの間で、セキュリティ対策の責任分担を定めたものです。

一般的にインフラ環境を提供するIaaS(Infrastructure as a Service:イアース)、OSを含めたプラットフォームを提供するPaaS(Platform as a Service:パース)、ソフトウェアを提供するSaaS(Software as a Service:サース)というサービスタイプの層ごとに設定されています。どこまでがユーザの責任になるかを把握しておく必要があります。

※2 参考:マイクロソフトドキュメントクラウドにおける共同責任

これらAzureセキュリティの基本概念を踏まえ、基本的なセキュリティ対策方法をAzureでよく利用されるレイヤー毎に紹介します。

2. Azureネットワーク層のセキュリティ対策

Azureのサービス群におけるネットワーク層はクラウドサービスの中でも一般的なIaaSサービスが該当します。Azure Virtual Machineのリソースを保護するための基本的なセキュリティ対策を紹介します。

NSG(Azure Network Security Group)

Azure内で展開された仮想ネットワークに対し、トラフィックのフィルタリング機能を提供します。Azureに実装された簡易的なファイアウォールです。IPアドレスやサービスポートでルールを作成します。推奨設定としては外部からのRDP(リモートデスクトップ)やSSH(セキュアセルアクセス)といったリスクの高いサービスポートへのアクセスを拒否する設定です。

Azure Firewall

Azureが提供する有償ファイアウォールサービスです。NSGのようにフィルタリング機能に加え、セキュリティ対策機能が実装されStandardとPremiumの2つのプランがあります。

Standard は、NSGではIPアドレス、サービスポートレベルでの制御にとどまりますが、アプリケーション等で識別できる上位レイヤーのフィルタリング機能や、脅威インテリジェンスのフィルタリング機能が利用可能です。Premiumは、Standardの機能に加え、IDS/IPS(Intrusion Detection System:侵入検知/ Intrusion Prevention System:侵入防御)のような高度な検出機能が備わっています。価格については公式サイトでご確認ください。

※3 参考:Azure Firewall

Azureパートナーが提供するセキュリティアプライアンス

Azure Market PlaceからAzureパートナー企業から提供される仮想型セキュリティアプライアンスを購入して展開することができます。ファイアウォール機能に加え、独自のセキュリティ機能や、脆弱性の管理、アプリケーションの制御、ネットワークベースの異常検出、Webフィルタリング、ウィルス対策、ボットネットからの保護など、Azureで動作する様々な製品を選定することが可能です。また価格も様々でAzureの従量課金に含まれるものBYOL型(Bring Your Own License:ライセンス持ち込み)のものなどがあります。

※4 参考:Azure Market Place

3. IDとアクセス層のセキュリティ対策

AzureのIDとアクセス層のセキュリティ対策は、Azure ADを中心に行います。Microsoft365や他アプリケーションとの認証連携においても重要な役割を担う層です。ここでは主要なAzure ADのサービス(機能)を紹介します。

SSO(Single Sign On:シングルサインオン)

シングルサインオンは、利用開始のユーザ認証を1度行うことで、以後その認証情報を紐づけ、複数のシステムやアプリケーションを認証なしで利用できる仕組みです。

管理対象のIDが複数あると、複数のパスワードを管理する必要があり、多くのアプリケーションを利用する昨今においてはユーザにとって大きな負担となります。

Azure ADでSSO機能を有効にすることで多くのアプリケーションと SaaS アプリケーションにアクセスすることができます。複数のパスワード管理から解放される反面、一つのアカウントとパスワードを知られてしまった場合、不正アクセスの被害は大きくなります。そこで、組みあわせて利用する必要があるのが多要素認証です。

多要素認証

パスワード以外に別の認証要素を組み合わせることを多要素認証と呼びます。MFA(Multi-Factor Authentication)とも呼ばれます。ソフトウェアトークン、メールアドレス、モバイルへのショートメッセージなどで認証コードを生成する形式が一般的です。なりすましの防止に効果的です。

SSO+MFAは必要最低限のセキュリティ対策と言えます。さらに有償の機能ですが、条件付きアクセスという機能で、より強力なセキュリティ対策を行う事ができます。

条件付きアクセス

場所やデバイスを問わずどこからでもクラウド上のデータにアクセスができます。これらのアクセスがセキュリティとコンプライアンスの標準を満たしているかどうかを確認し、基準に応じてセキュリティのリクエストを使い分ける事ができます。

例えばユーザのIPアドレス、デバイス、OS、どのアプリケーションにログインしようとしているのか、ログイン試行回数など様々な条件を指定し、コンプライアンスを満たす条件に合致しないものに多要素認証を求める、制限された権限を付与する、といった使い分けが可能です。

Azure ADの認証機能は無料のエディションで利用可能です。条件付きアクセス管理のような厳格な認証機能は有償プランで提供されます。価格については公式サイトでご確認ください。

※5 参考:Azure AD価格プラン

4. データ層のセキュリティ対策

Azureのデータ層は、共同責任モデルの観点からユーザが対策を行うレイヤーでもあります。データ保護の観点から対象となるデータ、保管場所ごとにAzureサービス(機能)を紹介します。

Azure Key Vault

各アプリケーションや各クラウドサービスを対象にデータの暗号化に使う暗号鍵を、まとめて管理するサービスです。トークン、パスワード、証明書、API キー、その他のシークレットの情報を安全に格納し、それらへのアクセスを厳密に制御できます。

Azure Key Vault にはソフトウェアキーを使用して暗号化する Standardプランと、ハードウェアセキュリティモジュールで保護されたキーも含め管理するPremiumプランです。 価格については公式サイトでご確認ください。

※6 参考:Azure Key Vault価格プラン

Azure Disk Encryption

仮想マシンで展開されたOSのシステムディスクとデータディスクのボリューム全体を対象に、内蔵の暗号化機能を使用して保護します。Azure Disk Encryption を使用してのディスクを暗号化に料金は発生しませんが、Azure Key Vault の使用に関連する料金が発生します。

Azure Storage Service Encryption

Azureのストレージサービスに保存されるデータを対象に、Azure Storage Service EncryptionによってAES 256ビット方式で暗号化されます。データは全て保存時に自動で暗号化され、読み出し時には自動で復号されます。

Azure Information Protection

機密度に基づいたラベルを使用して、OfficeやMicrosoft365などのアプリケーションで作成される電子メールやデータを対象に保護します。データの編集やコピー、印刷、転送、使用できる期間などを指定し、機密情報をマスクすることも可能です。情報漏洩のリスクを軽減できるソリューションです。

5. まとめ

本記事ではここまで、ネットワーク層、IDとアクセス層、データ層というレイヤーに応じたセキュリティ対策を紹介してきました。多層防御の概念では7つのレイヤーを紹介しましたが、Azureサービスにおける重要なレイヤーとして今回はこの3つのレイヤーを紹介させていただきました。

セキュリティ対策を何から始めるべきかを考えた時、多層防御、ゼロトラスト、責任モデルを考慮し、状況に応じてできる事から始めてみる事を推奨します。特にAzureではゼロトラストモデルの関連サービスが充実しているので、IDの保護に対するセキュリティ対策を検討してみては如何でしょうか。Azure ADはゼロトラストの要となる有効的な認証機能を提供しています。

多層防御は必要な概念ですが、計画的な対策を講じなければコストが増加してしまう傾向もあります。またデータ層のセキュリティのように保存されるデータが自動的に暗号化されるなど、ストレージの機能として実装されているものも存在します。是非、専門家にご相談の上、効果的なセキュリティ対策をご検討ください。

Azure設計・構築を任せたい

Azure構築サービス

Azure構築サービス

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Tag: Azure Disk Encryption Azure Firewall Azure Information Protection Azure Key Vault Azure Network Security Group Azure Storage Service Encryption SSO セキュリティ ネットワークセキュリティグループ 多層防御 多要素認証 条件付きアクセス

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php