目次
外部からの仮想マシンへのアクセスは危険?セキュリティ管理を一元化する方法を解説
クラウド利用の広まりやリモートワークの浸透により、自宅など社外の環境からシステム開発を行うことが可能となりましたが、同時に、不正アクセスなどのサイバー攻撃への対策は企業が取り組むべき優先課題となっています。リモートワークは快適な働き方ですが、快適さを残したまま、社外からシステムへ接続する際のセキュリティを確保する必要があります。
マイクロソフトのクラウド「 Microsoft Azure 」では、Azure Bastion という、社外からの接続を一元化するいわゆる「踏み台サーバー」「ジャンプサーバー」と呼ばれるサービスを提供しています。Azure Bastion を利用することで、仮想マシンに対するダイレクトなアクセスを回避し、通信を遮断してセキュアな状態を保つと共に、アクセス監査も可能となります。
本記事では、踏み台サーバーの必要性を踏まえ、Azure Bastion の概要、料金体系、機能について解説します。
- Azureセキュリティでよくあるお悩み:
- 導入した Azure 環境に、適切なセキュリティ対策が施されているかわからない
- セキュリティ対策は必要だがどこから手を付けてよいかわからない
- 自社のセキュリティポリシーに沿って、対策の優先度を決めたい このようなお悩みを解決するサービスはこちら。>> Azure セキュリティアセスメントサービス
1. 踏み台サーバー(ジャンプサーバー)とは
システムを開発する上で、「踏み台サーバー」「ジャンプサーバー」という言葉を聞いたことがあるかもしれません。踏み台サーバー(ジャンプサーバー)とはどのようなものでしょうか。まず、踏み台サーバー(ジャンプサーバー)の概要と必要性について解説します。
踏み台サーバー(ジャンプサーバー)とは
踏み台サーバー(ジャンプサーバー)とは、目的のサーバーにログインするための中継用サーバーのことを指します。多くの場合、外部からの直接アクセスを許可しないサーバーにアクセスすることを目的として設置されます。
目的のサーバーにログインするには、最初に踏み台サーバーにログインし、踏み台サーバーから、さらに RDP や SSH などで目的のサーバーにログインする、という手順を踏む必要があります。なお、踏み台サーバーはクラウド限定のものではなく、クラウド、オンプレミス環境に関係なく利用される一般的な用語です。
踏み台サーバー(ジャンプサーバー)が必要となった背景
踏み台サーバーは一見、作業負担がかかる無駄なサーバーに見えるかもしれません。踏み台サーバーのような仕組みが必要となった背景には、クラウドやリモートワークの普及・浸透により、自宅など社外のさまざまな環境からサーバーへアクセスする機会が増えたことが挙げられます。
オンプレミスでは、アクセス元となる場所や環境が比較的限定されていましたが、クラウド化により多くの場所からアクセス可能となったことで以前よりもクラウドのセキュリティの重要性が高まっています。クラウド上のサーバーに対しては、不審なアクセスを回避するためにダイレクトな通信を遮断することや、全てのアクセスを逃さず監視して記録を残すことも求められています。
踏み台サーバーを設置し、システム上にある多くのサーバーへの接続経路を一元化することで、クラウド上のサーバーに対する不正な接続を遮断し、漏れなくアクセス監査が可能となります。いつ、誰が、どこからアクセスしたかを定期的にチェックすることで不正アクセスのリスクを減らせるメリットがあります。
2. Azure Bastion とは
クラウドで踏み台サーバーを構築するにはどのような方法があるのでしょうか。Microsoft Azure が提供する、Azure Bastion の概要と料金体系について解説します。
Azure Bastion の概要
Azure Bastion は、Azure 仮想マシンへの安全な接続確立を実現するサービスで、いわゆる「踏み台サーバー」としての機能を持つサービスです。このサービスをデプロイすることによって、セキュリティを確保し、保守や運用、障害時の対応の煩雑さを解消することが可能となります。
「 Bastion 」は「要塞」の意味で、発音を日本語表記で書くと「バスチャン」となります。Azure Bastion を使用することで、Azure の仮想マシン上にパブリックな IP アドレスを設定せずに、ブラウザから Azure Portal 経由で Azure Bastion に接続し、そこから RDP や SSH を用いて仮想マシンにセキュアに接続することができるようになります。
Azure Bastion の料金体系
Azure Bastion の料金体系は、利用した分だけ課金される従量課金制となっています。Azure Bastion には、Basic と Standard の 2 種類の SKU が用意されており、Standard の方が利用できる機能が多いものとなっています。
両方とも、利用した時間と転送データ量に応じた料金が課金されることになりますが、利用時間については、Basic よりも Standard の方が高い料金が設定されています。
- 参考記事:
- Azure Bastionの価格
3. Azure Bastion の主な機能とメリット
Azure Bastion には、仮想マシンへのセキュアなアクセスを実現するための機能が備わっています。ここでは、Azure Bastion が持つ下記の機能とメリットについて解説します。
- Azure Portal を介した RDP と SSH 接続
- TLS を介した RDP/SSH の接続
- Azure 仮想マシンでパブリック IP が不要となりプライベート IP を使用可能
- ポートスキャンからの保護
- ゼロデイ攻撃からの保護
Azure Portal を介した RDP と SSH 接続
Azure Bastion は、ブラウザと Azure Portal を使用して仮想マシンに接続できるようにするサービスです。ユーザーは、Azure Portal から仮想マシンに安全かつシームレスに RDP/SSH 接続を行うことができます。Azure Portal を介することで、サインイン時に多要素( MFA )認証や条件付きアクセスと組み合わせて、さらにセキュリティを高められるというメリットもあります。
TLS を介した RDP/SSH の接続
Azure Bastionでは、ユーザーは Azure Portal 経由で RDP/SSH 接続を行いますが、その際に TLS により暗号化が行われます。RDP/SSH 通信を TLS により暗号化することで、複雑な設定のファイアウォールでも安全に通過することが可能となります。
Azure 仮想マシンでパブリック IP が不要となりプライベート IP を使用可能
Azure Bastion 経由で仮想マシンに接続する場合、仮想マシンのプライベート IP アドレスを使用して接続するため、パブリック IP アドレスは不要となります。
これまで、仮想マシンへ RDP 等で接続するには、パブリック IP アドレスを用いて外部公開とする必要があったため、セキュリティ上の脆弱性が存在しました。Azure Bastion により仮想マシンの RDP/SSH ポートを外部に公開しなくて済むため、セキュアに接続することが可能となります。
ポートスキャンからの保護
ポートスキャンとは、悪意のある攻撃者が、ネットワークに接続されているサーバー上で通信可能なポートをひとつひとつ順番に、外部から特定のデータを送信して調査を行うことを指します。仮想マシンが外部公開となっている場合、RDP/SSH 以外にも攻撃者の足掛かりとなる通信ポートが発見されるリスクがあります。
しかし、Azure Bastion を利用することで上述した通り、仮想マシンをインターネットに公開する必要がなくなるため、悪意のある攻撃者によるポートスキャンを避けることが可能です。
ゼロデイ攻撃からの保護
ゼロデイ攻撃とは、ソフトウェアなどのセキュリティホールが発見されてから、その対策が講じられる前に、そのセキュリティホールを狙う攻撃のことを指します。Azure Bastion により仮想マシンは外部公開することなく、また、Azure Bastion 自体も Azure によって常に最新の状態が維持されるため、ゼロデイ攻撃を避けることができます。
4. まとめ
社外からの接続を一元化するいわゆる「踏み台サーバー」により、仮想マシンに対するダイレクトなアクセスを回避し、通信を遮断してセキュアな状態を保つと共に、アクセス監査も可能となります。
Azure Bastion は Azure によるフルマネージドな踏み台サーバーです。常に最新の状態が維持されるため、安全に仮想マシンへのアクセスを行うことが可能です。
Azure セキュリティに不安がある



資料ダウンロード
課題解決に役立つ詳しいサービス資料はこちら

-
-
Azure導入支援・構築・運用サービス総合カタログ
Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。
-

よく読まれる記事
- 1 Microsoft Entra IDとは? オンプレAD、Azure ADとの違いや機能、エディション、移行方法をわかりやすく解説2024.04.05
- 2 Microsoft Purviewとは?概要や主な機能、導入するメリットを解説2023.09.11
- 3 Azure Bastionとは?踏み台による仮想マシンへのセキュアな接続方法について解説2022.05.12
- 4 Azureネットワークセキュリティグループ(NSG)とは?特徴や設定時の注意点を解説2021.04.28
- 5 VDIに必要なWindows VDAライセンスとは?費用感、ライセンスの考え方について解説します!2022.08.10
Category
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。