Azure Managed Service Column <Azure運用コラム>

Azureを安全に利用するために必要なセキュリティ対策とは?

Category: 入門編

2022.08.12

Microsoftが提唱する概念と基本的なセキュリティ対策のご紹介

近年、オンプレミス環境からクラウド環境へ移行する企業や、クラウドサービスを活用する企業が増え、業務で取り扱う様々なデータがクラウド上でやりとりされるようになりました。またテレワークも普及し、時間、場所、デバイスを問わずクラウド上のデータにアクセスできるようになりました。

その反面、個人情報、顧客情報、営業情報、技術情報などの重要情報がクラウド上のデータに含まれるようになり、これらの情報が常に脅威にさらされるようにもなりました。

昨今では不正アクセスによるサービス停止、情報漏洩、ウィルス感染による身代金被害、標的型攻撃による多額の詐欺被害など、セキュリティ事故は年々増加し後を絶ちません。

このようなセキュリティ事故の被害は金銭的なダメージのみならず、企業の信用にもダメージを与えるためセキュリティ対策は企業における重要な課題の一つです。

本記事では Azure のセキュリティ対策として基本的な考え方を解説し、展開されるリソース保護、ID 管理、クラウド上のデータ保護の観点から、Azure が提供するセキュリティ機能、サービスを紹介します。安全な情報資産運用の一助となれば幸いです。

1. Azure セキュリティ対策の基本的な概念

Azure は 200 種類以上のクラウドサービスを展開しています。オンプレミス環境、複数のクラウド環境、ハイブリッド環境、エッジ環境において、あらゆるソリューションを実現する事ができます。まずは Microsoft が大前提として提唱する Azure セキュリティの基本概念を紹介します。

多層防御

Azure では保管されたデータへ対するセキュリティ対策として、レイヤー(層)毎にセキュリティ対策を講じる「多層防御」という概念で設計されています。サイバー攻撃によって一つのレイヤーが突破されても、別のレイヤーで防御します。Azure では以下の7つのレイヤーを定義分類しています。

1. 物理セキュリティ層

データセンター内のコンピューティングシステムも含め空調、電気などといった設備全般を保護するレイヤーです。例えば建物への入館認証などです。近年、静脈、指紋、虹彩などバイオメトリックなどワンタイム制で登録するなど厳重な警備が敷かれています。

2. ID とアクセス層

Azure AD や IAM(Identity and Access Management :アクセス管理)でユーザ ID や ID に付与される権限などを細かく検査するレイヤーです。

3. ネットワーク境界層

DDoS(Distributed Denial of Service attack:分散型サービス拒否)のようにサービスを妨害する高負荷な通信を検査し、ユーザの正常なアクセスの支障となる前にフィルター処理を行うレイヤーです。

4. ネットワーク層

ネットワークの基本設計に伴いセグメント間の通信に対し、一般的なファイアウォールアプライアンスのようなアクセス制御機能で通信内容を検査するレイヤーです。

5. コンピューティング層

仮想マシンの OS に対し、定期的アップデートを実施することで脆弱性となりうるセキュリティホールを改修することで適切なデータ運用を行うレイヤーです。

6. アプリケーション層

アプリケーションに対しSSL(Secure Sockets Layer)やTLS(Transport Layer Security)などといった、セキュアプロトコルに対応したモジュールを実装し、ライブラリからセキュアなパッチを定期的に当てる事で、脆弱性を確実に排除しアプリケーションを動作させるレイヤーです。

7. データ層

データベース、仮想マシン内のディスク、Microsoft 365 などのサービスとしてのソフトウェア(SaaS) アプリケーション、クラウドストレージなど、クラウド上のそれぞれの環境に格納されているデータに対する保護機能を動作させるレイヤーです。

ゼロトラスト

従来のセキュリティアーキテクチャは社外(インターネットのような外部公衆ネットワーク)から社内(オフィス内ネットワーク)への侵入口となる出入り口にセキュリティ対策を講じる境界型アーキテクチャでした。

これに対し、「全てのアクセスを信頼しない」ことをコンセプトとしたセキュリティ概念をゼロトラストと呼びます。社内、社外、といったネットワークの境界にとらわれず、データにアクセスするたびに厳密な認証を実施する概念です。

共同責任モデル

Azure のようなパブリッククラウドを利用する上で責任分界点モデルの考え方です。これはユーザとクラウドプロバイダーである Microsoft との間で、セキュリティ対策の責任分担を定めたものです。

一般的にインフラ環境を提供する IaaS(Infrastructure as a Service:イアース)、OS を含めたプラットフォームを提供する PaaS(Platform as a Service:パース)、ソフトウェアを提供する SaaS(Software as a Service:サース)というサービスタイプの層ごとに設定されています。どこまでがユーザの責任になるかを把握しておく必要があります。

これら Azure セキュリティの基本概念を踏まえ、基本的なセキュリティ対策方法を Azure でよく利用されるレイヤー毎に紹介します。

2. Azure ネットワーク層のセキュリティ対策

Azure のサービス群におけるネットワーク層はクラウドサービスの中でも一般的な IaaS サービスが該当します。Azure Virtual Machine のリソースを保護するための基本的なセキュリティ対策を紹介します。

NSG(Azure Network Security Group)

Azure 内で展開された仮想ネットワークに対し、トラフィックのフィルタリング機能を提供します。Azure に実装された簡易的なファイアウォールです。IP アドレスやサービスポートでルールを作成します。推奨設定としては外部からの RDP(リモートデスクトップ)や SSH(セキュアセルアクセス)といったリスクの高いサービスポートへのアクセスを拒否する設定です。

Azure Firewall

Azure が提供する有償ファイアウォールサービスです。NSG のようにフィルタリング機能に加え、セキュリティ対策機能が実装され Standard と Premium の2つのプランがあります。

Standard は、NSG では IP アドレス、サービスポートレベルでの制御にとどまりますが、アプリケーション等で識別できる上位レイヤーのフィルタリング機能や、脅威インテリジェンスのフィルタリング機能が利用可能です。Premium は、Standard の機能に加え、IDS/IPS(Intrusion Detection System :侵入検知 / Intrusion Prevention System :侵入防御)のような高度な検出機能が備わっています。価格については公式サイトでご確認ください。

Azure パートナーが提供するセキュリティアプライアンス

Azure Market Place から Azure パートナー企業から提供される仮想型セキュリティアプライアンスを購入して展開することができます。ファイアウォール機能に加え、独自のセキュリティ機能や、脆弱性の管理、アプリケーションの制御、ネットワークベースの異常検出、Web フィルタリング、ウィルス対策、ボットネットからの保護など、Azure で動作する様々な製品を選定することが可能です。また価格も様々で Azure の従量課金に含まれるもの BYOL 型(Bring Your Own License:ライセンス持ち込み)のものなどがあります。

3. ID とアクセス層のセキュリティ対策

Azure の ID とアクセス層のセキュリティ対策は、Azure AD を中心に行います。Microsoft 365 や他アプリケーションとの認証連携においても重要な役割を担う層です。ここでは主要な Azure AD のサービス(機能)を紹介します。

SSO(Single Sign On :シングルサインオン)

シングルサインオンは、利用開始のユーザ認証を1度行うことで、以後その認証情報を紐づけ、複数のシステムやアプリケーションを認証なしで利用できる仕組みです。

管理対象の ID が複数あると、複数のパスワードを管理する必要があり、多くのアプリケーションを利用する昨今においてはユーザにとって大きな負担となります。

Azure AD で SSO 機能を有効にすることで多くのアプリケーションと SaaS アプリケーションにアクセスすることができます。複数のパスワード管理から解放される反面、一つのアカウントとパスワードを知られてしまった場合、不正アクセスの被害は大きくなります。そこで、組みあわせて利用する必要があるのが多要素認証です。

多要素認証

パスワード以外に別の認証要素を組み合わせることを多要素認証と呼びます。MFA(Multi-Factor Authentication)とも呼ばれます。ソフトウェアトークン、メールアドレス、モバイルへのショートメッセージなどで認証コードを生成する形式が一般的です。なりすましの防止に効果的です。

SSO + MFA は必要最低限のセキュリティ対策と言えます。さらに有償の機能ですが、条件付きアクセスという機能で、より強力なセキュリティ対策を行う事ができます。

条件付きアクセス

場所やデバイスを問わずどこからでもクラウド上のデータにアクセスができます。これらのアクセスがセキュリティとコンプライアンスの標準を満たしているかどうかを確認し、基準に応じてセキュリティのリクエストを使い分ける事ができます。

例えばユーザの IP アドレス、デバイス、OS、どのアプリケーションにログインしようとしているのか、ログイン試行回数など様々な条件を指定し、コンプライアンスを満たす条件に合致しないものに多要素認証を求める、制限された権限を付与する、といった使い分けが可能です。

Azure AD の認証機能は無料のエディションで利用可能です。条件付きアクセス管理のような厳格な認証機能は有償プランで提供されます。価格については公式サイトでご確認ください。

4. データ層のセキュリティ対策

Azure のデータ層は、共同責任モデルの観点からユーザが対策を行うレイヤーでもあります。データ保護の観点から対象となるデータ、保管場所ごとに Azure サービス(機能)を紹介します。

Azure Key Vault

各アプリケーションや各クラウドサービスを対象にデータの暗号化に使う暗号鍵を、まとめて管理するサービスです。トークン、パスワード、証明書、API キー、その他のシークレットの情報を安全に格納し、それらへのアクセスを厳密に制御できます。

Azure Key Vault にはソフトウェアキーを使用して暗号化する Standard プランと、ハードウェアセキュリティモジュールで保護されたキーも含め管理する Premium プランです。 価格については公式サイトでご確認ください。

Azure Disk Encryption

仮想マシンで展開された OS のシステムディスクとデータディスクのボリューム全体を対象に、内蔵の暗号化機能を使用して保護します。Azure Disk Encryption を使用してのディスクを暗号化に料金は発生しませんが、Azure Key Vault の使用に関連する料金が発生します。

Azure Storage Service Encryption

Azure のストレージサービスに保存されるデータを対象に、Azure Storage Service Encryption によって AES 256 ビット方式で暗号化されます。データは全て保存時に自動で暗号化され、読み出し時には自動で復号されます。

Azure Information Protection

機密度に基づいたラベルを使用して、Office や Microsoft 365 などのアプリケーションで作成される電子メールやデータを対象に保護します。データの編集やコピー、印刷、転送、使用できる期間などを指定し、機密情報をマスクすることも可能です。情報漏洩のリスクを軽減できるソリューションです。

5. まとめ

本記事ではここまで、ネットワーク層、ID とアクセス層、データ層というレイヤーに応じたセキュリティ対策を紹介してきました。多層防御の概念では7つのレイヤーを紹介しましたが、Azure サービスにおける重要なレイヤーとして今回はこの 3 つのレイヤーを紹介させていただきました。

セキュリティ対策を何から始めるべきかを考えた時、多層防御、ゼロトラスト、責任モデルを考慮し、状況に応じてできる事から始めてみる事を推奨します。特に Azure ではゼロトラストモデルの関連サービスが充実しているので、ID の保護に対するセキュリティ対策を検討してみては如何でしょうか。Azure AD はゼロトラストの要となる有効的な認証機能を提供しています。

多層防御は必要な概念ですが、計画的な対策を講じなければコストが増加してしまう傾向もあります。またデータ層のセキュリティのように保存されるデータが自動的に暗号化されるなど、ストレージの機能として実装されているものも存在します。是非、専門家にご相談の上、効果的なセキュリティ対策をご検討ください。

Azureセキュリティに不安がある

Azureセキュリティアセスメントサービス

Azureセキュリティアセスメントサービス

お客様がすでにお持ちの Azure 環境に対して、Azure Security Center を利用したセキュリティ対策の評価と対策案をご提示します。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Azure導入個別相談会(無料)

Tag: Azure Disk Encryption Azure Firewall Azure Information Protection Azure Key Vault Azure Network Security Group Azure Storage Service Encryption Azureセキュリティ SSO ネットワークセキュリティグループ 多層防御 多要素認証 条件付きアクセス

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php