Azure Managed Service Column ＜Azure運用コラム＞Azure Bastionとは？踏み台による仮想マシンへのセキュアな接続方法について解説

外部からの仮想マシンへのアクセスは危険？セキュリティ管理を一元化する方法を解説

クラウド利用の広まりやリモートワークの浸透により、自宅など社外の環境からシステム開発を行うことが可能となりましたが、同時に、不正アクセスなどのサイバー攻撃への対策は企業が取り組むべき優先課題となっています。リモートワークは快適な働き方ですが、快適さを残したまま、社外からシステムへ接続する際のセキュリティを確保する必要があります。

マイクロソフトのクラウド「 Microsoft Azure 」では、Azure Bastion という、社外からの接続を一元化するいわゆる「踏み台サーバー」「ジャンプサーバー」と呼ばれるサービスを提供しています。Azure Bastion を利用することで、仮想マシンに対するダイレクトなアクセスを回避し、通信を遮断してセキュアな状態を保つと共に、アクセス監査も可能となります。

本記事では、踏み台サーバーの必要性を踏まえ、Azure Bastion の概要、料金体系、機能について解説します。

1. 踏み台サーバー（ジャンプサーバー）とは

システムを開発する上で、「踏み台サーバー」「ジャンプサーバー」という言葉を聞いたことがあるかもしれません。踏み台サーバー（ジャンプサーバー）とはどのようなものでしょうか。まず、踏み台サーバー（ジャンプサーバー）の概要と必要性について解説します。

踏み台サーバー（ジャンプサーバー）とは

踏み台サーバー（ジャンプサーバー）とは、目的のサーバーにログインするための中継用サーバーのことを指します。多くの場合、外部からの直接アクセスを許可しないサーバーにアクセスすることを目的として設置されます。

目的のサーバーにログインするには、最初に踏み台サーバーにログインし、踏み台サーバーから、さらに RDP や SSH などで目的のサーバーにログインする、という手順を踏む必要があります。なお、踏み台サーバーはクラウド限定のものではなく、クラウド、オンプレミス環境に関係なく利用される一般的な用語です。

踏み台サーバー（ジャンプサーバー）が必要となった背景

踏み台サーバーは一見、作業負担がかかる無駄なサーバーに見えるかもしれません。踏み台サーバーのような仕組みが必要となった背景には、クラウドやリモートワークの普及・浸透により、自宅など社外のさまざまな環境からサーバーへアクセスする機会が増えたことが挙げられます。

オンプレミスでは、アクセス元となる場所や環境が比較的限定されていましたが、クラウド化により多くの場所からアクセス可能となったことで以前よりもクラウドのセキュリティの重要性が高まっています。クラウド上のサーバーに対しては、不審なアクセスを回避するためにダイレクトな通信を遮断することや、全てのアクセスを逃さず監視して記録を残すことも求められています。

踏み台サーバーを設置し、システム上にある多くのサーバーへの接続経路を一元化することで、クラウド上のサーバーに対する不正な接続を遮断し、漏れなくアクセス監査が可能となります。いつ、誰が、どこからアクセスしたかを定期的にチェックすることで不正アクセスのリスクを減らせるメリットがあります。

2. Azure Bastion とは

クラウドで踏み台サーバーを構築するにはどのような方法があるのでしょうか。Microsoft Azure が提供する、Azure Bastion の概要と料金体系について解説します。

Azure Bastion の概要

Azure Bastion は、Azure 仮想マシンへの安全な接続確立を実現するサービスで、いわゆる「踏み台サーバー」としての機能を持つサービスです。このサービスをデプロイすることによって、セキュリティを確保し、保守や運用、障害時の対応の煩雑さを解消することが可能となります。

「 Bastion 」は「要塞」の意味で、発音を日本語表記で書くと「バスチャン」となります。Azure Bastion を使用することで、Azure の仮想マシン上にパブリックな IP アドレスを設定せずに、ブラウザから Azure Portal 経由で Azure Bastion に接続し、そこから RDP や SSH を用いて仮想マシンにセキュアに接続することができるようになります。

Azure Bastion の料金体系

Azure Bastion の料金体系は、利用した分だけ課金される従量課金制となっています。Azure Bastion には、Basic と Standard の 2 種類の SKU が用意されており、Standard の方が利用できる機能が多いものとなっています。

両方とも、利用した時間と転送データ量に応じた料金が課金されることになりますが、利用時間については、Basic よりも Standard の方が高い料金が設定されています。

3. Azure Bastion の主な機能とメリット

Azure Bastion には、仮想マシンへのセキュアなアクセスを実現するための機能が備わっています。ここでは、Azure Bastion が持つ下記の機能とメリットについて解説します。

• Azure Portal を介した RDP と SSH 接続
• TLS を介した RDP/SSH の接続
• Azure 仮想マシンでパブリック IP が不要となりプライベート IP を使用可能
• ポートスキャンからの保護
• ゼロデイ攻撃からの保護

Azure Portal を介した RDP と SSH 接続

Azure Bastion は、ブラウザと Azure Portal を使用して仮想マシンに接続できるようにするサービスです。ユーザーは、Azure Portal から仮想マシンに安全かつシームレスに RDP/SSH 接続を行うことができます。Azure Portal を介することで、サインイン時に多要素（ MFA ）認証や条件付きアクセスと組み合わせて、さらにセキュリティを高められるというメリットもあります。

TLS を介した RDP/SSH の接続

Azure Bastionでは、ユーザーは Azure Portal 経由で RDP/SSH 接続を行いますが、その際に TLS により暗号化が行われます。RDP/SSH 通信を TLS により暗号化することで、複雑な設定のファイアウォールでも安全に通過することが可能となります。

Azure 仮想マシンでパブリック IP が不要となりプライベート IP を使用可能

Azure Bastion 経由で仮想マシンに接続する場合、仮想マシンのプライベート IP アドレスを使用して接続するため、パブリック IP アドレスは不要となります。

これまで、仮想マシンへ RDP 等で接続するには、パブリック IP アドレスを用いて外部公開とする必要があったため、セキュリティ上の脆弱性が存在しました。Azure Bastion により仮想マシンの RDP/SSH ポートを外部に公開しなくて済むため、セキュアに接続することが可能となります。

ポートスキャンからの保護

ポートスキャンとは、悪意のある攻撃者が、ネットワークに接続されているサーバー上で通信可能なポートをひとつひとつ順番に、外部から特定のデータを送信して調査を行うことを指します。仮想マシンが外部公開となっている場合、RDP/SSH 以外にも攻撃者の足掛かりとなる通信ポートが発見されるリスクがあります。

しかし、Azure Bastion を利用することで上述した通り、仮想マシンをインターネットに公開する必要がなくなるため、悪意のある攻撃者によるポートスキャンを避けることが可能です。

ゼロデイ攻撃からの保護

ゼロデイ攻撃とは、ソフトウェアなどのセキュリティホールが発見されてから、その対策が講じられる前に、そのセキュリティホールを狙う攻撃のことを指します。Azure Bastion により仮想マシンは外部公開することなく、また、Azure Bastion 自体も Azure によって常に最新の状態が維持されるため、ゼロデイ攻撃を避けることができます。

4. まとめ

社外からの接続を一元化するいわゆる「踏み台サーバー」により、仮想マシンに対するダイレクトなアクセスを回避し、通信を遮断してセキュアな状態を保つと共に、アクセス監査も可能となります。

Azure Bastion は Azure によるフルマネージドな踏み台サーバーです。常に最新の状態が維持されるため、安全に仮想マシンへのアクセスを行うことが可能です。

Tag： Azure Bastion Azureセキュリティ Azureネットワーク

• 

  Azure Arcとは？Azureでハイブリッドクラウド・マルチクラウド環境を実現する方法を解説

• 

  大量のデータを重要な価値に変える？！ Azure Cognitive Searchとは？