Azureは世界中で7億人以上のアクティブユーザーをサポートしています。これほど膨大なユーザー基盤の信頼を維持するため、マイクロソフトはAzureのセキュリティインフラ強化に年間10億ドル以上を投資しています。しかし、クラウドセキュリティ攻撃が日々高度化する中、組織は警戒を怠ってはなりません。
この警戒をクラウドセキュリティプロバイダーと顧客間で分担するため、Azureは共有責任モデル(SRM)を採用しています。このモデルでは、Microsoft Azureが基盤となるクラウドインフラを保護する一方、顧客は自社のアプリケーション、データ、IDのセキュリティ確保に責任を負うという原則に基づいています。
こうした状況を踏まえ、本記事ではAzureセキュリティのベストプラクティスチェックリストを提供し、ユーザーが効果的に強固なセキュリティ態勢を維持する支援を行います。
まずは、AzureのSRMについてさらに詳しく見ていきましょう。
Azureの共有責任モデル(SRM)とは?
AzureのSRMモデルは、サービスタイプに基づき、クラウドプロバイダーが担うセキュリティ対策と顧客が担うセキュリティ対策の区分を決定します。この共有責任モデルはAzureセキュリティの基盤であり、クラウドプロバイダーと顧客間のセキュリティ責任分担を明確にします。責任を確実に果たすため、Singularity™ Cloud Workload Security などのソリューションがクラウドワークロードを保護し、高度な脅威から守ります。これにより、お客様は環境管理に集中できます。
サービスには3つのタイプがあります:
- Infrastructure as a Service (IaaS): 仮想マシンやストレージなどの基盤インフラはAzureが保護しますが、オペレーティングシステム、アプリケーション、データのセキュリティ管理はお客様が行う必要があります。&
- Platform as a Service (PaaS): ここでは、Azure はランタイムおよびミドルウェア層も保護します。
- サービスとしてのソフトウェア (SaaS): SaaS モデルでは、Azure はインフラストラクチャ層とアプリケーション層の両方を保護し、より多くの責任を担います。ただし、データセキュリティとアクセス制御の管理は引き続き顧客の責任となります。
Azureセキュリティの主要なベストプラクティス
最近の調査によると、企業の80%が過去1年間に少なくとも1件のクラウドセキュリティインシデントを経験しています。Azureクラウドへの移行が進む中、上記の統計は、以下のAzureクラウドセキュリティベストプラクティスを実装する緊急性を浮き彫りにしています:
#1 識別とアクセス管理(IAM)
Microsoft Azure Active Directory(AD)はクラウドベースのアイデンティティとアクセス管理サービスであり、従業員が OneDrive や Exchange Online などのデータやアプリケーションにアクセスできるようにします。
Azure AD のメリットを最大限に活用するには、組織は次の Azure IAM のベスト プラクティスを実装する必要があります:
- 多要素認証 (MFA): 多要素認証 は、アカウントに追加のセキュリティ層を追加するのに役立ちます。これは、以下の要素のうち2つ以上を組み合わせて機能します:知っているもの(パスワード)、持っているもの(デバイス)、そしてあなた自身であるもの(生体認証)。(生体認証)の2つ以上の要素を組み合わせて機能します。簡単に言えば、MFAは「所有物」(デバイス)、「知識」(パスワード)、「生体」(指紋や顔認証)を考慮します。パスワードを入力すると、デバイスへのログインやアカウントに登録された生体認証による本人確認が求められます。これにより、脅威アクターはあなたのデバイスや本人なしではアカウントを開くことができません。Azure AD MFAも同様の原理で動作します。ただしAzure ADでは、Microsoft Authenticatorアプリ、OATHハードウェアトークン、SMS、音声通話など、異なる検証方法から選択可能です。
- 条件付きアクセス:条件付きアクセスは、デバイスのコンプライアンス、ユーザーのコンテキスト、場所、セッションのリスク要因などのリアルタイム信号を使用して、Azureベースの組織リソースへのアクセスを許可、ブロック、制限するタイミングを決定します。また、追加の検証ステップを要求する場合もあります。
- Azure ロールベースのアクセス制御 (RBAC):& ロールベースのアクセス制御 (RBAC)は、ロールベースのセキュリティとも呼ばれます。これは、組織が権限のない人物へのアクセスを制限するのに役立つ仕組みです。RBACモデルでは、組織は権限のあるユーザーのみがアクセスできるようにする権限と特権を設定できます。
#2 ゼロトラストアーキテクチャ
ゼロトラストは、その名の通り、「決して信頼せず、常に検証せよ!」という原則に基づいて機能します。簡単に言えば、人、機械、アプリケーションを問わず、あらゆるエンティティは、ネットワークの内部・外部を問わず、デフォルトでは信頼されません。そして、ネットワーク上のリソースへのアクセスを望むすべての者に対して、検証は必須です。
- 明示的な検証: アクセスを認証、識別、認可することが極めて重要です。システム内の利用可能なデータポイントに基づいてこれを実行する必要があります。
- 最小権限アクセスを使用する: ユーザーを「必要な時に必要なだけのアクセス」(JIT/JEA)に制限します。
- 侵害を前提とする: 侵害が発生すると想定した考え方で作業する場合、ネットワークをセグメント化し、エンドツーエンド暗号化を使用して潜在的な侵害の攻撃対象領域を最小限に抑える必要があります。
#3 ネットワークセキュリティ
多層防御戦略に基づくAzureのネットワークセキュリティ基盤は、共有環境におけるデータ保護を実現します。論理的分離、アクセス制御、暗号化、およびSOC2、SOC1、ISO27001などの標準フレームワークへの準拠を通じてこれを達成します。
そしてこのデジタル時代において、クラウドインフラストラクチャ内のネットワークセキュリティは重要な役割を果たします。
Azure Firewallとネットワークセキュリティグループ(NSG)でAzureネットワークを保護しましょう。
- Azure Firewall: Azure仮想ネットワークリソースを保護する、マネージド型のクラウドベースネットワークセキュリティサービスです。高度な脅威対策を提供し、高可用性とスケーラビリティを備えたトラフィック制御を実現します。
- NSG: ネットワークセキュリティグループは、仮想ネットワーク内のさまざまな Azure リソースからの受信トラフィックを許可または拒否するセキュリティルールで構成されます。セキュリティルールを定義することでこれを実現できます。トラフィックはポート、IP アドレス、プロトコルの基準に基づいて制御されます。
#4 仮想ネットワーク (VNet)構成
Azure におけるプライベート ネットワークの主要な構成要素である仮想ネットワーク (VNet) は、Azure 仮想マシン (VM) などの多数の Azure リソースが、クラウド上およびオンプレミス ネットワーク上で相互に安全に通信できるようにします。
Windows Azure セキュリティのベスト プラクティスには、仮想ネットワーク(VNet)の構成、ネットワークのセグメンテーション、プライベート エンドポイント、NSG ルールに関するベスト プラクティスが含まれます。
- VPN ゲートウェイ: VPNゲートウェイを活用し、暗号化されたVPN接続を介してオンプレミスネットワークをAzureに安全に拡張します。これにより、両環境間で送信されるデータが不正アクセスから保護されます。
- ExpressRoute: ExpressRoute を実装し、オンプレミス インフラストラクチャと Azure 間のプライベート接続を確立することで、セキュリティと信頼性を強化します。パブリック インターネットを経由しないため、パフォーマンスとセキュリティが向上します。
- 転送中のデータ暗号化:インターネットプロトコルセキュリティ(IPsec)およびインターネットキー交換(IKE)プロトコルを使用してVPN接続を暗号化し、インターネット経由のデータ転送に安全なチャネルを提供することで、転送中のデータを保護します。
#5 保存時および転送時のデータ暗号化
効果的な暗号化手法は、保存時と転送時の両方で機密情報を保護し、コンプライアンスを確保するとともにデータの機密性を維持します。保存時および転送時のデータを保護する方法をご紹介します。
- Azure Key Vault: データ暗号化に使用される暗号鍵やシークレットを管理・保護するために Azure Key Vault を使用します。このサービスは機密情報の安全な保管とアクセス制御を提供し、不正アクセスのリスクを軽減します。
- Azure Update Management:Azure Update Management を使用して、パッチ適用とコンプライアンス評価を自動化します。さらに、予期せぬインシデントを回避するため、すべての Azure 仮想マシンとサービスを最新のセキュリティパッチで最新の状態に保つ必要があります。
- Azure Storage Service Encryption:Azure Storage Service Encryptionを利用し、保存中のデータを保護します。クラウドへの書き込み時にデータを自動的に暗号化し、保存中でも機密情報が安全に保たれることを保証します。
- トランスポート層セキュリティ (TLS): 転送中のデータに対して TLS 暗号化を実装し、送信中の傍受から保護します。TLS は強力な認証とメッセージの完全性を提供し、送信中のデータへの不正アクセスや改ざんを困難にします。
- Azure Backup と災害復旧: Azure Backup を使用してデータを定期的にバックアップします。さらに、強固な災害復旧計画を策定し、定期的なテストを実施して事業継続性を確保する必要があります。
#6 脅威の検出と監視
脅威の検出と監視は、堅牢なセキュリティアーキテクチャを実現するために組織が従うべきもう一つの Azure セキュリティのベストプラクティスです。
- Azure Security Center: 統合されたインフラストラクチャセキュリティ管理システムを提供するAzure Security Centerを活用します。Azureおよびハイブリッドワークロード全体で高度な脅威保護を提供することで、データセンターのセキュリティ態勢を強化します。
- Azure Sentinel: クラウドネイティブのセキュリティ情報イベント管理(SIEM)およびセキュリティオーケストレーション、自動化、対応(SOAR)ソリューションを活用します。これにより、企業全体でインテリジェントなセキュリティ分析と脅威インテリジェンスを提供し、セキュリティの可視性を全体的に強化します。
- 継続的な監視とアラート: Azure Security Center および Azure Sentinel でアラートを設定し、潜在的な脅威や不審な活動に関する通知を受け取ります。これにより、リスクを効果的に軽減するための迅速なリアルタイム対応が可能になります。&
- AI駆動型脅威検知: AzureのAI駆動型セキュリティツールを活用し、膨大なデータを分析して潜在的な脅威を示すパターンを特定します。これらのツールは機械学習と行動分析を利用し、従来の手法と比較してより正確な脅威検知を実現します。
#7 アプリケーションセキュリティ
以下の実践によりアプリケーションの安全性を確保します:
- セキュアコーディングの実践: セキュアコーディング基準を順守し、アプリケーションの脆弱性を最小限に抑えます。
- Webアプリケーションファイアウォール(WAF): WAFを使用してWebアプリケーションを保護し、HTTPトラフィックをフィルタリングおよび監視して潜在的な脅威を検知します。
- CI/CDパイプラインのセキュリティ: Azure DevOpsを使用してセキュリティスキャンツールをCI/CDパイプラインに統合し、開発プロセス中に脆弱性を検出・修正します。デプロイ前にコードの完全性を検証します。
- Azure Application Gateway: SSL終端、WAF、URLベースルーティングなどの機能でトラフィックを管理し、セキュリティを強化します。
#8 コンプライアンスとガバナンス
コンプライアンスとガバナンス要件への準拠はビジネスに不可欠です。Azureポリシーとコンプライアンス用ブループリントの活用方法をご紹介します。
- Azureポリシーとブループリント: Azureポリシーを使用して組織基準を適用し、コンプライアンスを評価します。コンプライアンス要件を満たすための展開を自動化し、反復可能なプロセスを実現するガバナンスツールを活用します。&
- 規制コンプライアンス: 定期的な監査を実施し、Azureのコンプライアンスツールを活用してGDPRやHIPAAなどの規制順守を確保します。Azure Monitorで適切な監査とロギングメカニズムを実装し、テレメトリデータを収集・活用します。
CNAPPマーケットガイドまとめ:Azure エコシステムのセキュリティ確保
サイバー攻撃の高度化とSHRMに内在する脆弱性により、Azureユーザーは新たなセキュリティ課題に直面します。AzureはAzure Security Center、Azure Firewall、Azure Key Vaultといった強力なセキュリティツール群を提供しています。
これに加え、組織は当社が推奨するAzureセキュリティのベストプラクティスを実装する必要があります。クラウドにおけるセキュリティ管理は一度きりの取り組みではないことを肝に銘じてください。Azureのセキュリティは共有責任モデルであるため、クラウドユーザーはアクセス権限と権限設定を適切に構成し、ネットワークトラフィックを監視・保護する責任を負います。これが継続的なプロセスであると言われる所以です。
SentinelOneのクラウドセキュリティプラットフォームは、幅広いクラウドネイティブMicrosoft Azureビルド、インフラストラクチャ、デプロイメント、ランタイムサービスにおいて、イメージ構築からデプロイメントまで一貫したポリシーと制御により、クラウドネイティブアプリケーションのライフサイクル全体と構成に対する包括的なセキュリティを提供します。デモを予約する で詳細をご確認ください。
Azure セキュリティに関するよくある質問
Azure セキュリティでは、Azure Firewall と Azure Key Vault が新たに更新されました。Azure Firewall は接続数に基づいて自動的にスケールするようになりました。また、Azure Key Vault の統合機能により、Azure VM 上の SQL Server が Azure Key Vault にアクセスできるようになりました。
組織は、ネットワークセキュリティグループ、Azure Key Vault、データ暗号化、IDとアクセス管理、脅威の検出、ネットワークアクセスの制御、リモートアクセスの無効化、Azureアラートの使用など、さまざまな方法でAzureのセキュリティを確保できます。
AzureにおけるDMZ(非武装地帯)とは、物理的または論理的なネットワークセグメントです。組織の内部ネットワークとインターネットやその他の外部ネットワークとの間に追加のセキュリティを提供する境界ネットワークとして機能します。DMZは『スクリーニングされたサブネットワーク』とも呼ばれます。
効果的なセキュリティ ルール ビューは Azure Network Watcher の機能です。この機能を使用すると、ネットワーク インターフェイスに適用されている集約された受信および送信ルールを表示できます。ネットワーク インターフェイスに適用されているセキュリティ ルールと管理ルールを可視化します。
Azureのセキュリティ原則とポリシーには、ネットワークセキュリティグループ (NSG)、Webアプリケーションファイアウォール、ネットワークセグメンテーション、IDとアクセス管理、Azure ADの多要素認証、クラウドセキュリティポスチャ管理 (CSPM)、運用セキュリティ、最小権限の原則が含まれます。