Azure Cloud Workload Protection Platform (CWPP) とは？"

クラウド移行により業務効率が向上した企業が増加し、中小企業もクラウドソリューションの導入に踏み切るようになりました。クラウドを利用する企業が増えるにつれ、クラウド上の資産を保護するセキュリティ対策の必要性が高まっています。クラウドワークロード保護プラットフォーム（CWPP）は、あらゆる環境におけるワークロード保護を支援するセキュリティ機能を提供します。このクラウド環境には、仮想マシン（VM）、コンテナ、サーバーレス関数が含まれます。

クラウドは高度なサイバー脅威の温床となりやすく、組織のセキュリティとコンプライアンス要件の質を維持するためには、CWPPの導入がこれまで以上に必要とされています。Microsoft Azure CWPPは多様な性質を持ち、これが採用の主な理由の一つとなっています。現在、Azureの市場シェアは24%で、毎年成長を続けています。

このブログ記事では、Azure CWPPのアーキテクチャと、組織に提供する機能・メリットを理解する手助けをします。また、ネットワークとデータ保護におけるAzure CWPPの役割についても議論します。Azure CWPPを最大限に活用するために、従うべきベストプラクティスについても議論します。

Azure CWPPに関する一般的な懸念事項とは？

Azure CWPPの理解を深める前に、組織がその環境での導入時に直面する可能性のある課題について検討することが重要です。

1. 複雑性:Azure CWPPは本質的に複雑であり、これまでAzureやクラウドセキュリティを扱ったことがない組織にとっては導入が困難です。CWPPには複数のコンポーネントが関与しており、クラウド導入初期段階では理解がかなり困難な場合があります。
2. 構成管理:セキュリティ侵害は非常に一般的であり、頻繁に耳にするかもしれません。現在、セキュリティ侵害の主な原因の一つは、セキュリティシステムの誤設定です。この問題を防止するためには、クラウドを扱う管理者への教育を提供すべきです。
3. コストの考慮事項：クラウドワークロード保護プラットフォーム（CWPP）は多くのセキュリティ機能を提供しますが、組織はツールのコストを考慮する必要があります。予算内でセキュリティ要件を満たす適切なソリューションを見つけることが重要です。
4. データプライバシーとコンプライアンス：CWPPは処理にデータを活用します。ワークロードデータを収集・監視します。データはあらゆる組織において最も重要かつ機密性の高い部分です。したがって、CWPPソリューションを利用する前に、データ保護法に違反することなくデータを転送・分析できることを確認する必要があります。
5. 統合の課題：組織はインフラ内で異なるセキュリティツールを使用しているため、CWPPソリューションを既存ツールと統合することは困難かつ高コストとなります。
6. クラウド進化への対応:クラウドネイティブセキュリティツールの導入に必要なスキルとインフラは、組織側による徹底的な準備を要します。

Azure CWPPのコアアーキテクチャ

Azure CWPPはそのアーキテクチャと機能に基づき、組織に包括的なセキュリティを提供します。その先進的なアーキテクチャの主要コンポーネントについて解説します。

主要コンポーネントの概要

Azure CWPPはクラウドワークロードの保護を支援する複数のコンポーネントを備えています。Azure Sentinelは組織にSIEMおよびSOARシステムを提供し、機械学習を活用したセキュリティ分析を実現します。

ネットワーク保護は重要です。適切に構成されていない場合、インターネット経由でアクセスされる可能性があるためです。このシナリオでは、Azure Firewallが活用され、Azure Virtual Networkリソースの保護を支援します。Azure DDoS Protection Serviceは、サービスを一斉攻撃やプロトコル攻撃から保護します。これらすべてのサービスのアクセス管理には、Azure Key Vaultを使用して暗号鍵、シークレット、証明書を保存することもできます。

統合ポイントとデータフロー

Azure CWPPは、複数のAzureサービスやサードパーティ製セキュリティソリューションとシームレスに連携します。組織では、Azure CWPP導入前からインフラストラクチャにセキュリティツールを統合している場合があります。したがって、運用を円滑に進めるため、Azure CWPPはAzureサービスおよびサードパーティ製セキュリティソリューションとのシームレスな統合を提供します。セキュリティ関連情報はすべて、Azureリソース、オンプレミスシステム、その他のクラウドプラットフォームから収集されます。

収集された情報は処理され正規化され、Azure Security CenterおよびAzure Sentinelが利用可能な形式に変換されます。脅威が検出されると、Microsoftのグローバル脅威インテリジェンスネットワークを経由します。Azure CWPPは、他のセキュリティツールや自動化システムとの統合のためのRestful APIを提供します。セキュリティ関連情報はすべてLog Analyticsに保存され、適切な保管と容易な検索が保証されます。

統合管理と監視

Azure CWPPは、一元化されたコンソールを提供することでリソースの管理と監視を支援します。Microsoft Defender for Cloudのダッシュボードでは、すべての環境に実装されたセキュリティ態勢を可視化できます。

Azure Policyとの統合によりポリシー管理も一元化され、コンプライアンス管理にも貢献します。アラート管理システムは集中管理ツールを提供し、セキュリティアラートの優先順位付けと調査を支援することで、より効果的なインシデント対応計画を実現します。

スケーラビリティとパフォーマンスに関する考慮事項

Azure CWPPは、そのスケーリング機能によりセキュリティチームに最大の利点を提供します。ビジネスの成長に合わせて拡張できるよう設計されています。Azure CWPPはアーキテクチャの性質上弾力性があり、ビジネスデータとワークロードに応じて自動スケーリングを実現します。

このプラットフォームは場所を選ばず、世界中のどこにでも展開可能です。これにより、各地域のデータ法に留意しつつ、データへの迅速なアクセスを確保できます。階層型ストレージを活用し、組織は予算や要件に応じて柔軟に選択できます。また、負荷分散を実装することで、ワークロードを異なるサーバーやノードに均等に分散させ、リソースのパフォーマンス向上を図れます。

SIEMおよびSOAR機能を備えたAzure Sentinel

Azure SentinelはCWPPのツールであり、主に2つの機能を提供します。1つはセキュリティ情報イベント管理（SIEM）であり、もう一つはセキュリティオーケストレーション、自動化、対応（SOAR）です。このツールはセキュリティ分析を支援し、セキュリティチームがインシデント対応と計画立案を行うのを助けます。

1. データ取り込みと正規化戦略

Sentinelが採用する2つの手法は、データの取り込みとその後におけるデータの正規化です。クラウドが処理に複数のデータソースを利用するため、これは重要です。本ツールにはデータコネクタが組み込まれており、Azureサービス、Microsoft 365、サードパーティ製セキュリティソリューション、カスタムアプリケーションなど、様々なサービスからのデータ収集を円滑に行います。

2. Kustoクエリ言語（KQL）を用いた脅威ハンティング

脅威ハンティングはKustoクエリ言語（KQL）を基盤としており、組織がログデータを分析するのを支援します。この分析プロセスにより、セキュリティ侵害を引き起こす可能性のある様々な種類の脆弱性を明らかにすることが可能です。

3. インシデント管理と調査

プラットフォームのハンティング機能は、Microsoftの脅威インテリジェンスプラットフォームとの統合によって補完されます。このプロセスは、テレメトリを比較してインシデントを生成するルールの相関関係によって駆動されます。

各インシデントには、攻撃のタイムラインと影響を受けたリソースに関する情報が含まれます。調査グラフは、特定のインシデントに関与するエンティティ間の関係を示します。このグラフを活用することで、セキュリティチームは脅威アクターが影響を受けたリソースにどのようにアクセスしたかを可視化できます。

4. プレイブックによる自動応答オーケストレーション

Azure Sentinelでは、インシデント対応時のアクションはプレイブックによって決定されます。プレイブックはAzure Logic Appsを基盤に開発されます。プレイブックは、アナリストによる手動開始、または特定の条件による自動トリガーが可能です。プレイブックには、メール送信やチケット作成といった単純なアクションから、影響を受けたユーザーのアカウント無効化やシステムを既知の正常な状態に完全復元する複雑なアクション連鎖までを含めることができます。

Azure CWPPにおけるネットワークとデータ保護

Azure CWPPは、通信インフラストラクチャと転送中のデータの両方に対して高度な保護を提供します。これらの機能は統合的に動作し、多種多様な脅威に対して非常に堅牢な防御壁を構築します。

ネットワークセキュリティ

ネットワークセキュリティAzure CWPPでは、クラウドワークロードを保護するために複数の先進技術を採用しています：

1. 動的マッピングと可視化： Azure CWPP にはリアルタイムのネットワーク可視化技術も組み込まれています。クラウドネットワークトポロジの詳細かつ直感的な概要を提供し、すべてのリソースを表示します。可視化マップは常に更新され、現在のクラウド環境に複製されたリソースのリアルタイム位置を示します。
2. ジャストインタイムVMアクセス実装: Azure CWPPによるJIT VMアクセス実装により、VMへのインバウンドトラフィックを制限し攻撃の可能性を最小限に抑えることで、攻撃対象領域が縮小されます。
3. 適応型ネットワーク強化技術: 適応型ネットワーク強化は、機械学習を活用してトラフィックパターンを分析します。分析レポートに基づき、Azure CWPPはネットワークセキュリティグループ（NSG）のルールを提案します。サービスやリソースへの入出トラフィックを監視し、使用パターンを形成することで機能します。これにより最小権限アクセスモデルが実装され、攻撃対象領域が縮小されます。
4. DDoS防御メカニズム: Azure CWPPはAzure DDoS保護サービスを提供することで、企業を分散型サービス拒否（DDoS）攻撃から企業を保護します。このサービスは、マイクロソフトのグローバルネットワークの規模と弾力性を活用してDDoS攻撃から防御します。

データ保護

Azure CWPPにおけるデータ保護では、保存時および転送中のデータを保護するため、以下の戦略を実装しています：

1. SQLインジェクションの検出と防止：Azure CWPPに含まれる別のセキュリティサービスであるAdvanced Threat Protectionには、SQLインジェクション攻撃などのWeb攻撃を検出・防止する機能を備えています。これは、機械学習を用いたデータベース活動のリアルタイム監視による異常検知と、自動化された脅威対応によって実現されます。
2. ストレージセキュリティのベストプラクティス： Azure CWPPは、ストレージセキュリティとセキュアなアクセス管理を実装するためのガイダンスとツールを提供します。ストレージのベストプラクティスに関する一般的な推奨事項には、定期的なセキュリティ評価、安全な転送オプション、セキュアなアクセス管理実装後の高度な暗号化、ネットワーク分離が含まれます。
3. 転送中および保存中のデータに対する暗号化戦略: Azure CWPPプラットフォームは、さまざまな暗号化オプションをサポートしています。保存データの暗号化は、Azure Storage、Azure SQL Database、Azure Virtual Machinesなどのクラウドベースのストレージへデータを転送する際、Azure CWPPが直接行う処理です。データ転送自体も、最新のTLSバージョンを使用して暗号化される必要があります(Transport Layer Security) を使用して暗号化する必要があります。
4. Azure Key Vault による安全なキー管理: 安全なキー管理は Azure CWPP の機能にとって重要な要件であり、Azure Key Vault によって維持されます。Azure Key Vault は、暗号キーやパスワード、証明書などの機密情報を安全に保管するためのサービスです。Key Vaultは、アクセスログの活用と鍵の自動ローテーションにより、効率化された鍵管理プロセスを実現します。

Azure CWPPにおけるコンテナとKubernetesの保護

コンテナ化とKubernetesの普及が進む中、Azure CWPPは、コンテナ化されたワークロードとKubernetes環境を確実に保護する強力なセキュリティサービスを提供します。

• Azure Container Registryにおけるイメージスキャン

Azure Container Registry (ACR) は Azure CWPP と統合されており、ユーザーはイメージスキャンサービスを利用できます。特に、イメージがリポジトリにプッシュされると、脆弱性に対するイメージスキャン機能が自動的に適用されます。このツールは、関連するオペレーティングシステムのパッケージやアプリケーションの依存関係において既知の脆弱性を検索します。

包括的なカバレッジを確保するため、複数の脆弱性データベースを活用しています。これらのデータベースを使用することで、脆弱性が検出された際に詳細なレポートを生成できます。レポートには、脆弱性の深刻度、影響を受けるコンポーネント、問題に対処するための推奨手順などの情報が含まれます。このイメージセキュリティアプローチにより、組織はコンテナ展開前に潜在的な問題を検出し解決できます。その結果、本番環境で侵害されたアプリケーションを実行するリスクが大幅に低減されます。

• コンテナ化アプリケーション向けランタイム保護

Azure CWPPのコンテナ化アプリケーション向けランタイム保護は、セキュリティ機能を稼働中のコンテナに拡張し、脅威からのリアルタイム保護を提供します。ランタイム保護を確保するため、以下の対策を提供します：

1. 行動監視：プラットフォームは稼働中のコンテナの動作を継続的に監視し、セキュリティ侵害や悪意のある活動を示す可能性のある異常や通常動作からの逸脱を検知します。
2. ネットワークセグメンテーション:システムは、組織がネットワークポリシーを適用し、不可能または望ましくない場合のコンテナ間通信を防止することで、攻撃対象領域を縮小します。
3. 特権管理:本プラットフォームの利用により、組織は稼働中のコンテナの特権を管理し、最小権限の原則が遵守されることを保証できます。
4. リアルタイム脅威対応:&
5. 脅威が検出された場合、プラットフォームは影響を受けたコンテナの隔離や組織のセキュリティチームへの通知など、即座に対応措置を講じることができます。

Kubernetes固有のセキュリティ強化機能

Azure CWPPにはKubernetes環境のセキュリティを強化する複数の機能があります：

1. Kubernetes脅威検知: 本システムには、不審なAPI呼び出しや機密性の高いネームスペース内でのポッド作成など、Kubernetes環境に特有の脅威を検知する機能が組み込まれています。
2. Kubernetesセキュリティ状態管理: プラットフォームは組織のKubernetes構成を定期的にスキャンし、ベストプラクティスやコンプライアンス基準に対するセキュリティ態勢を評価し、改善のための推奨事項を提供します。
3. アドミッションコントロール:アドミッションコントローラーの使用により、システムはKubernetes構成レベルでセキュリティポリシーを適用し、準拠していないリソースのデプロイを防止します。
4. Kubernetes対応ネットワークポリシー:システムは、ポッド間通信とポッドと外部間の通信の両方を制御するなど、Kubernetesに特化したネットワークポリシーの作成と適用を支援します。

Azureにおけるコンテナセキュリティのベストプラクティス

このセクションでは、Azure CWPPを活用したコンテナセキュリティのベストプラクティスについて解説します。具体的には、以下のトピックを取り上げます：what-is-container-security/" target="_blank" rel="noopener">コンテナセキュリティ に関するベストプラクティスをAzure CWPPで説明します。

1. 最小限のベースイメージの使用： 組織は、攻撃対象領域を縮小するため、最小限かつ公式のベースイメージの使用が推奨されます。
2. 最小権限の適用： 組織は、コンテナが機能を実行するために必要な最小限の権限でコンテナを実行する必要があります。
3. 定期的な更新とパッチ適用: 組織は、コンテナイメージおよびそれを実行するシステムが最新のパッチで定期的に更新されることを保証すべきです。
4. ネットワークセグメンテーション:最小権限の原則に従い、適切なネットワークセグメンテーションを確保して、潜在的な攻撃の影響範囲を制限することが推奨されます。
5. 継続的な監視: コンテナのアクティビティは継続的に監視し、ログを記録する必要があります。
6. シークレット管理: コンテナ化されたアプリケーションの実行に必要なシークレットは、Azure Key Vaultを使用して管理する必要があります。

Azure CWPPのベストプラクティス

Azure CWPPを最大限に活用するために企業が実施すべき一般的なベストプラクティスは以下の通りです：

#1. 初期設定と構成ガイドライン

Azure CWPPの初期設定と構成は、その導入を成功させる上で重要です。組織は、すべてのサブスクリプションとリソースで Azure Defender を有効にする必要があります。Azure CWPP は、必要なすべての Azure サービスおよび環境と統合されたサードパーティ製セキュリティツールからセキュリティ情報を収集するためのさまざまなツールを提供します。これらは Azure Security Center のデータコネクタと呼ばれます。

#2.効果的なアラート管理とトリアージ

脅威管理を改善するため、セキュリティチームはアラートメカニズムを設定する必要があります。これを実装するには、脅威の深刻度レベルと引き起こす可能性のある損害レベルに基づいて脅威にタグ付けする適切な計画を策定すべきです。さらに、アラートを活用して疑わしい活動を相関させるため、因果関係を特定する必要があります。&

#3. 継続的監視とセキュリティ態勢の改善

潜在的な脆弱性を発見するためには、セキュリティチームによる継続的な監視が必要です。企業はAzure Security Centerに表示されるセキュリティスコアを確認すべきです。このスコアは推奨事項を提供し、脅威の解決時に活用できます。

#4. インシデント対応計画と実行

インシデント対応計画は、セキュリティインシデントやデータ侵害が発生した場合に備え、セキュリティチームを準備させるのに役立ちます。インシデント対応計画には、セキュリティインシデント発生時の各関係者の役割と責任を明記する必要があります。

#5. パフォーマンス最適化手法

Azure CWPPの実装におけるパフォーマンス最適化は、組織のリソースを消耗させないために必要です。定期的なパフォーマンスレビューとCWPP設定の微調整により、包括的なセキュリティカバレッジを確保しつつ最適な効率を維持できます。

Conclusion

Azure CWPPはクラウドセキュリティの重要な構成要素です。Azure CWPPは、組織の資産保護を支援する複数のセキュリティツールで構成されています。Azure Security Center、Azure Sentinel、Azure Defenderなどのツールは、ネットワークやデータの保護に加え、コンテナセキュリティの強化にも貢献します。

Azure CWPPは、クラウド固有のソリューションで現代の脆弱性問題に対処するAzure提供のソリューションです。Azure環境およびハイブリッド環境全体にわたる包括的な可視性を提供します。CWPPは組織内のあらゆる時点で高度な脅威保護とコンプライアンス管理を実現します。

"