Azure Managed Service Column ＜Azure運用コラム＞Azure ADを利用してセキュリティ強化を実現する方法

アカウント管理のセキュリティレベルを高めるAzure ADの機能とは？

近年、テレワークの普及やオンプレミスからクラウド環境へ基幹システムを移行する企業が増え、外部から社内のアプリケーションやクラウドサービスを利用するケースが増加しています。重要なデータへアクセスできるIDやパスワードが不正利用されると、情報漏洩や標的型攻撃による被害に留まらず企業の信用を失うリスクがあるため、適切なID管理やアクセス制御が重要です。

Azure ではビジネスで重要な ID やデータを保護するための認証基盤として Azure Active Directory （ Azure AD ）を提供しています。

本記事では、クラウド上で安全に ID 保護するための Azure AD の機能について紹介し、生産性や利便性を維持しつつ、セキュリティリスクや脅威から情報資産を守るポイントを紹介します。

1.Azure ADのセキュリティ対策とは

近年、クラウドサービスの利用拡大を背景に、社内のオンプレ AD やプライベートクラウドと Azure などを組合せて、ハイブリッドクラウドを構築する動きが加速し、社内の IT インフラ構成が複雑化しています。また、パスワードのセキュリティ侵害に関するニュースが増えており、自社の要員だけで強固なセキュリティを維持していくのは困難となりつつあります。

Azure AD では、多層防御やゼロトラストの考え方に基づき、ユーザーがアプリケーションやリソースにアクセスする際のアカウント（ ID ）管理や、重要なデータへのアクセス制御、デバイス管理などに強固なセキュリティを構築するため、様々なセキュリティ機能を提供しています。

Azure AD の詳細については以下の記事をご参照ください。

Azure AD を利用して、企業のアカウント管理のセキュリティレベルを高める機能を次章以降で紹介していきます。

2.Azure ADのグループとは

自社のセキュリティポリシーに従い、グループを使用してアカウント管理ができる Azure AD のグループについて解説します。

なぜグループを作るのか、グループでできること

企業は、部署や役職ごとにアクセスできるファイルやデータを制限し、閲覧や削除・コピーなどの規制を行う必要があります。

一般的に、ある程度の規模になると、ユーザーの権限管理とアクセス管理はグループを作成して構成することが多いです。グループの作成は、内部の不正アクセスや誤ってファイルやデータを削除する人的ミスの対策として有効となります。

また、 Azure AD ではユーザーをグループ化して、同一の部署や役割でユーザーとデバイスを紐付けて管理することにより、グループメンバーが利用できるアプリケーションのアクセス管理を一元化できます。個々のユーザーでなくグループで管理することで、管理の簡素化とセキュリティ対策の漏れを解消できます。

グループの種類

グループは、主に共有リソースに対して、ユーザーの権限管理とアクセス管理をするために使用されます。

例えば管理者は、特定のユーザーグループに対して「 Share Point サイトへのアクセス権を付与する」などを定め、そのグループのメンバーがドメインやスコープ内で実行できる操作を決定します。

グループを作成するときの考え方、留意点

グループ戦略を決定する

最初に社内のリソースに対してアクセスを制御しセキュリティを保護するためのグループ戦略を策定します。自社のグループ戦略の定義については、以下のポイントで検討することを推奨します。

• グループの作成者は誰か
• ユーザーをグループへ追加するのは誰か
• グループに含めるメンバーの範囲
• どのリソースに対してアクセスを許可するのか

ユーザーのグループ分けを行う

グループに割り当てるユーザーは、ユーザー属性や社内の基準に従い、決定します。例えば以下の属性に基づいてグループ分けを実施します。

• 特定の役職または部署
• ユーザーの種類（所有者、メンバーまたはゲスト）
• 特定のプロジェクトへの参加

その際、複数の目的でグループを作成しているとユーザーの割り当てが適切にでないため、単一の目的に従いグループを作成することが重要となります。

グループの上限

グループ数の上限はないため、複数のグループを作成し、リソースへのアクセスを効率的に割り当てることができます。

動的グループでできること

動的グループを設定すると、自社のグループ分けのルールに従い、自動的にユーザー及びデバイスを追加・削除してくれます。ユーザの属性情報などを基準にグループ要件に含まれるか含まれないかを自動で決定し、グループメンバーに割り当てられているユーザー権限を継承できるため、管理者の手間の削減や迅速なアクセス制御を可能とします。

具体的には、人事異動や組織編成に伴い従業員を追加・異動させた場合、動的グループを設定しておくと、キーとなっている属性を更新するだけで、グループの更新が可能となり、業務に必要な権限を速やかに付与できます。

また、動的グループ内にグループを所属させ階層化することも可能です。
次の図は、 Security-Group-X と Security-Group-Y のメンバーからなる Dynamic-Group-A を作成する方法を示しています。大規模な部門の中に複数のグループが存在し、それぞれにチームがある場合、グループをネストし階層化することで、複数のグループに所属ができ、より細かな条件設定が可能となります。

＜動的グループの入れ子＞

図版出典：Microsoft 公式サイト

3.条件付きアクセスによるセキュリティ強化とは

条件付きアクセスは、ユーザーがアプリケーションやデータなどにアクセスする際、特定の条件を満たしていなければブロックまたは制限する機能です。条件付きアクセスではユーザまたはグループ・デバイスのプラットフォームなどのシグナル情報をもとに、アクセス権の認証を行います。

社内外からのアクセスに対して条件を満たしてなければアクセスをブロックできるため、重要なリソースへの不正なアクセスを防ぎ、強固なアクセス制御を実現できます。

＜条件付きアクセスの仕組み＞

図版出典：Microsoft 公式サイト

条件付きアクセスの詳細については以下の記事をご参照ください。

4.多要素認証によるセキュリティ強化とは

多要素認証（ MFA 認証）は、パスワードだけでなくユーザーに別の形式の ID （携帯電話に示されるコードや指紋スキャンなど）を求めるプロセスを指します。万が一パスワードが脆弱な場合でも、複数の異なる認証要件を要求することで、攻撃者は容易に取得・複製ができないため、セキュリティ強度が高くなります。

多要素認証の詳細については以下の記事をご参照ください。

5.Azure ADの監査ログとは

セキュリティやコンプライアンス遵守の監視に用いられる監査ログについて解説します。

監査ログとは？

監査ログは、 Azure AD 内のユーザーやグループ、アプリケーションなどに対して、何らかの操作が加えられた際に記録されるログ情報です。

例えば、 Azure AD に登録されたユーザー情報に追加・更新・削除などが行われた場合、ログ情報として履歴が保存されます。監査ログを使用すると、誰がいつどのアプロケーションにアクセスし、変更したのかなどを参照できるため、不正アクセスの検出や法令に基づいた証跡の保持が可能となります。

監査ログを確認する方法

Azure AD のログを確認する方法はいくつか存在します。一般的には、 Azure portal 経由、 Microsoft Graph API 経由が多く利用されます。

Azure portal を使う場合は、 Azure portal にログイン後、 Azure Active Directory の監視から、出力されたログを容易に参照することができます。

フィルター機能では、開始者（誰が）、日付や時間（いつ）、サービス名（どの）、状態（監査操作の状態）で検索でき、必要なログ情報に迅速にアクセスできるため、監査ログを参照する場合は利用をお勧めします。

6.まとめ

近年クラウドサービスの利用が増えるとともに、不正アクセスや情報漏えいなどのセキュリティ被害が増加しています。管理負担の削減や効率化を進めながら、アカウント管理のセキュリティ向上を図るためには、 Azure AD のセキュリティ機能を活用することが推奨されます。セキュリティ被害を避けるためにも正しい知識を身に着け、適切なセキュリティ対策を講じてみてはいかかでしょうか。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

• 

  Azure AD（Azure Active Directory）を活用してシングルサインオンを実現するアプリケーション管理

• 

  コンテナサービスをもっと手軽に利用できる！Azure Container Appsとは？