クラウドサービスは、インターネットに接続できる環境さえあれば、時間や場所に縛られずサービスにアクセスできるのが特徴です。一方、悪意をもった第三者にもアクセスされてしまう危険性があり、「機密情報が外部に漏れるのではないか」と不安を感じる方も多いのではないでしょうか。

しかし、クラウドサービスには強固なセキュリティを確保するための仕組みが用意されており、むしろ従来のオンプレミス環境よりもセキュリティが強固だといえるケースもあります。

今回はクラウドサービスの代表格でもある「Azure」のセキュリティ対策に焦点をあて、必要なセキュリティ対策や、対策の核となる機能「Microsoft Defender for Cloud」について解説します。

Azureとは

Azure（アジュール）とは、マイクロソフトが提供するクラウドサービスのこと。AmazonのAWSやGoogleのGCPと並ぶ人気のクラウドサービスです。

Azureでは、IaaS（Infrastructure as a Service：インターネットを通じてサーバーやネットワークを提供するサービス）と、PaaS（Platform as a Service：インターネットを通じてシステム開発環境を提供するサービス）に該当するサービスが提供されています。

具体的には、ソフトウェアの開発・運用までトータルで支援するサービス「Azure DevOps」や、自社でサーバーを構築することなくプログラムが実行できる「Azure Functions」、機械学習用のデータ保存に適した「Blob Storage」などのサービスが挙げられます。

いずれのサービスも、事業やサービスにあわせたカタチで拡張・縮小できるスケーラビリティに優れており、無駄なコストを削減できるメリットもあることから、Azureを導入する企業は年々増加傾向にあります。

Azureのセキュリティ対策が万全な理由

Azureを導入する企業が増えているのは、コスト面だけを考慮しているわけではありません。その背景には、「マイクロソフトが施すセキュリティ対策が万全だから」という理由があるでしょう。

以下では、Azureの強固なセキュリティ対策を見ていきます。

理由1. セキュリティ対策の司令塔「Microsoft Sentinel」を搭載している

Azureのセキュリティ対策で司令塔のような役割を果たすのが、「Microsoft Sentinel」です。

Microsoft Sentinelの役割は、「スケーラブルでクラウドネイティブのセキュリティ情報イベント管理（SIEM）およびセキュリティオーケストレーション自動応答（SOAR）ソリューション」と定義されています。

・SIEM：Security Information and Event Managementの略称。「標的型攻撃」に対応することを指す。標的型攻撃とは、特定の企業や官公庁、個人に狙いを定めて持続的かつ長期間に渡って行われる組織的なサイバー攻撃のこと。セキュリティ製品の個別アラートを見るだけでは発見が困難で、攻撃者が一度検知されても執拗に攻撃を繰り返すことも特徴

・SOAR：Security Orchestration and Automation Responseの略称。セキュリティ管理者がSIEMの対応で行う分析や対処を自動化することを指す。SOARには、さまざまなテクノロジーの連携を円滑にサポートする役割もあるため、IT人材不足を補うソリューションとして近年注目されている

SIEMでは、セキュリティ機器やソフトウェアの「ログ」を収集・分析し、通信や挙動を一覧にしたうえで、危険なアクセスの検知から分析までサポートしてくれます。脅威に対する速やかな対応が可能です。

一方、SOARではセキュリティ管理を自動化でき、サイバー攻撃の検知から分析・対策までサポートしてくれます。

Microsoft Sentinelの対象範囲には、Azureだけでなく他ベンダーのクラウドやオンプレミスも含まれるため、オンプレミスやクラウドにまたがる企業全体のセキュリティデータを収集し、高度なセキュリティ分析によって脅威を検出できるはずです。

理由2. パスワード、証明書などを安全な形で一元管理する「Azure Key Vault」 を搭載している

「Azure Key Vault」とは、システムにおける機密情報の保管と安全なアクセスを実現するために提供されている、Azureのセキュリティサービスのひとつです。

「Key Vault」には「鍵の保管庫」という意味が込められており、トークンやパスワード、証明書、API キー、機密情報などを安全に一元管理したうえで、それらへのアクセスを厳密に制御できます。Azureを利用する際には欠かせないセキュリティサービスです。

Azure Key Vaultでは、外部からの不正アクセスを防ぐことはもちろんのこと、組織内部からのセキュリティリスクにも対応できます。

アプリケーション内に一切の機密情報を保存することなく開発が可能なので、外部の委託会社にアプリケーション開発を依頼するケースでも、委託会社に対してパスワードなどを伝えることなく開発を進められます。情報漏えい対策としての効果は極めて高いです。

理由3. データセンターのセキュリティが物理的に万全

マイクロソフトのデータセンターでは、ソフトウェアのセキュリティが万全に保たれていることはもちろん、物理的にも万全なセキュリティ体制を敷いていることが特徴です。

たとえば、データセンターの訪問者は、必ず指定されているアクセスポイントを通過しなければなりません。また当然ながら監視カメラも設置されています。

そしてAzureは、国際的なコンプライアンス標準や地域、業界固有のコンプライアンス標準を幅広く満たしているクラウドサービスでもあります。

これらは第三者の厳しい監査によって認められたもので、Azureが世界トップレベルのセキュリティ品質を誇ることが証明されているのです。

Azureセキュリティ対策の核「Microsoft Defender for Cloud」の強み

ここまでにもさまざまなAzureのセキュリティ対策を見てきましたが、さらに「Microsoft Defender for Cloud（旧 Security Center） 」機能を活用することで、セキュリティ対策をより強化できるでしょう。

1. セキュリティの現状が分かる

この機能は、セキュリティの現状を把握するのに適しています。監視・保護の対象にセキュリティチェックを行い、レポートをグラフで確認できます。

チェック後は、すべてのセキュリティチェックの結果がひとつの「セキュリティスコア」という指標にまとめられます。セキュリティスコアはパーセンテージ形式で表示されるため、セキュリティ対策が適切かどうかを一目で確認できるはずです。

また、実行しておきたいセキュリティ対策が推奨事項として表示されます。推奨事項は「セキュリティコントロール」という単位でグループ化されて一覧表示されるので、優先すべき対策から順に確認できます。

推奨されるセキュリティ対策は極力採用し、セキュリティスコアの向上を目指すことをおすすめします。

2. 複雑な脅威を防止する仕組みがある

セキュリティの現状が把握できれば、次は脅威を検知したときのために、セキュリティアラートのレベルをあげておきましょう。

セキュリティアラートの基準には、下記のようなものがあります。

・悪意あるIPからのログオンを検出した場合
・マルウェア対策アクションが失敗した場合
・不審なファイルを実行した場合

なお、このような脅威に対するセキュリティ対策で活用される手法に、「サイバーキルチェーン分析」というものがあります。

サイバーキルチェーン分析とは、複雑なサイバー攻撃を「偵察」や「武器化」など複数の段階に分けて構造化した分析手法のことを指します。

セキュリティアラートをもとに、それぞれの段階で攻撃者の行動パターンを見極めることで、攻撃の阻止や対応がスムーズになるでしょう。

3. 規制コンプライアンス機能が搭載されている

コンプライアンスといえば一般的に「法令遵守」と解釈されますが、必ずしも法律で定められたルールのみを指しているわけではなく、その業界で自主的に遵守される規則なども含まれます。

Azureは、公的機関や業界団体などが定めた「業界標準ルール（コンプライアンス標準）」を自身に当てはめ、かつ適合状況を可視化し、ルールに準拠するためのサポートを行ってくれます。これが「規制コンプライアンス」機能です。

選択できる「コンプライアンス標準」はいくつかありますが、Microsoftが定義した「Azure セキュリティベンチマーク」は無料で利用できます。

自分でやるべきAzureセキュリティ対策5選

「Microsoft Defender for Cloud」や「Azure Key Vault」といった機能は非常に効果的ですが、それ以外にも自分でやるべき最低限のセキュリティ対策は存在します。

ここでは、最低限対応すべきAzureのセキュリティ対策について解説します。

対策1. ネットワークアクセス制御設定

Azureでは、仮想マシンは「Azure Virtual Network」に接続されています。この部分に接続制限を設けたい場合は、「ネットワークアクセス制御」の設定を見直しましょう。設定によっては、仮想ネットワーク内の特定の仮想マシンとユーザー・デバイスとの間に接続制限を設けることができます。

この設定を行えば、設定済みのユーザー・デバイスに対してのみ仮想マシンとサービスへのアクセス許可を与えることができ、それ以外のユーザー・デバイスからの通信は完全にブロックされます。この設定でより安全性が高まるはずです。

対策2. 多要素認証設定

多要素認証とは、SNSやクラウドサービスなどのWebサービスにログインする際に、2つ以上の認証要素を使って本人確認を行う手法のことを指します。

不正アクセスの被害が増加し続けている昨今、パスワードのみでの認証には限界がきています。そのような背景もあり、多要素認証を採用する企業は増えてきている印象です。

Azureでも「Azure Active Directory」というツールの「Azure AD Multi-Factor Authentication」という機能を使えば、パスワード以外にスマホへのSMS送信やスマホアプリを用いた確認なども行う多要素認証を実現することができます。

なお、Azure Active Directoryには、ほかにもアクセス制御やシングルサインオンなど多くのアクセス関連の機能があります。こちらの設定も余裕があれば見直してみましょう。

対策3. WAF設定

AzureではWAFの設定を行うこともできます。

WAFとは、「Web Application Firewall」の略称で、Webサービスの保護機能に特化したファイアウォールのことを指します。Webサーバーにアクセスしてきた通信内容をスキャンすることで、悪意のある攻撃を検出し、防御する役割を担います。

Webサービスには、さまざまなユーザーから多くのアクセスがあります。そこで「通常のアクセス」と「不正なアクセス」を検出する必要がありますが、検出する基本的な仕組みとしては「シグネチャ」が用いられます。

シグネチャとは、不正な通信や攻撃パターンをまとめた定義ファイルであり、シグネチャにマッチングするものを不正な通信として検出します。つまり、シグネチャの精度こそがWAFにとって大切な要素となります。

その点、マイクロソフトは膨大な費用と人員を投じてセキュリティ対策を行っているため、シグネチャの精度も信頼できるでしょう。

対策4. ロール指定

Azureではリソースへのアクセス権限を「ロール」という形で管理します。このロールはユーザーが独自に設定することもでき、それを「カスタムロール」と呼びます。

カスタムロールが活用されるのは、たとえば特定のサーバーへのアクセス権を、社内の限られた人にしか付与したくないケースなどでしょう。そのような設定をAzureでも行うことができます。

逆に、普段はアクセス権限がないユーザーでも、ロールを作成すれば一時的に権限を付与することも可能です。

社内のアクセス制御は、内部的なセキュリティを高める手法として知られています。ロール指定は積極的に活用しましょう。

対策5. アラート設定

Azureのセキュリティ監視用ツールである「Azure Monitor」機能を利用する場合には、個別のアラート設定を行うことができます。

Azure Monitorのアラート機能とは、 Azure Monitorで監視しているデータの状態をユーザーに通知する機能のことを指します。

問題が発生する可能性がある箇所を即座に検出してくれるので、すぐに適切な対応ができるはずです。アラートのルールも柔軟に設定できるため、部署や業務の事情に合わせたセキュリティ体制を構築できる点も魅力です。

また、アラート設定はリソース（個別のサービス）ごとに設定することもできるため、グループで利用する場合などにはリソースごとに設定するのもおすすめ。その際には、あらかじめリソースごとに責任者を決めておくのも良いでしょう。

Azureのセキュリティ対策はGIGにお任せください

Azureはクラウドサービスのため、セキュリティ対策には万全を期す必要があります。

ただ、ここまで見てきたようにAzureのセキュリティ対策機能は複雑で、種類も今回解説しきれなかった分も含めると数十種類あります。

情報漏えいやウイルス感染などは絶対に起こしてはいけません。起こさないためにも予算や計画はしっかりと立て、セキュリティ対策はまんべんなく実施する必要がありますが、あれもこれもとサービスを付加すると、当然ですが毎月のコストは増加します。

しかし、「Azureに本当に必要で効果的なセキュリティ対策は何なのか」という判断は難しい部分でもあります。Azureのセキュリティ対策について少しでも疑問点がある場合には、ぜひGIGにお問い合わせください。

GIG BLOG編集部

株式会社GIGのメンバーによって構成される編集部。GIG社員のインタビューや、GIGで行われたイベントのレポート、その他GIGにかかわるさまざまな情報をお届けします。