Microsoft Azureの大きな特長は、セキュリティに優れていることです。
本記事では、200以上におよぶAzureのサービスの中から、セキュリティにかかわるサービス・機能をクローズアップして紹介します。
分野ごとに、それぞれのサービスの概要までわかりやすく解説していきますので、ぜひ参考にしてください。
Azureの概要については、下記の記事でも詳しく解説しています。本記事と併せてご覧ください。
★詳しくはこちら:
Microsoft Azureとは|何ができる?入門内容からわかりやすく解説
Azureのセキュリティ機能
企業がクラウドサービスを利用する際、セキュリティ強化について考えることは最重要事項となります。そして、優れたセキュリティ機能を活用できることが、Azureの大きなメリットです。まずは、主なAzureのセキュリティ機能の概要を分野ごとにご紹介します。
脅威検出・分析
最初に紹介するのは脅威検出や異常検知、分析を行うサービスです。Webサイトやアプリケーション、企業のシステムに異常がないか確認することは非常に重要です。
主なサービスとして、Microsoft SentinelとApplication Insightsについて解説します。
Microsoft Sentinel
セキュリティ操作で番人(Sentinel)の役割を果たすのが、「Microsoft Sentinel」です。これはセキュリティ情報イベント管理(SIEM)および自動応答(SOAR)ソリューションで、オンプレミスやクラウドにまたがる企業全体のセキュリティデータを取集し、高度なセキュリティ分析で脅威を検出できます。またAIが脅威を調査し、インシデントに速やかに対応します。
Application Insights
強力な分析ツールが組み込まれた「Application Insights」は、Web開発者向けの拡張可能なアプリケーションパフォーマンス管理(APM)ツールです。実行中のアプリケーションを監視し、パフォーマンス状況や異常の検知、問題の診断などを一括で管理できます。稼働状況のデータを収集することで、サービスの応答時間やエラーの有無、どこからアクセスされているか、どのブラウザーを利用しているかなどをPowerBIのグラフで表示するほか、エラー発生時にはメール通知も行います。
なお、Application InsightsはAzureプラットフォーム以外のアプリケーションもサポート可能です。
アプリケーション
Azureには、App Serviceがあります。アプリに異常が発生した場合、App Service診断の対話型インターフェースで問題点が診断され、解決する手順へと速やかに誘導されます。またWebサーバーとWebアプリケーションのログ情報の確認が可能です。
App Serviceを含め、Azure基盤上で実行しているアプリケーションを守るためのセキュリティサービスがあります。
Web Application Firewall(WAF)
脆弱性を狙った悪意ある攻撃からWebアプリケーションを守るのが、Azure Application Gateway 上の「Web Application Firewall(WAF)」です。WAFは、悪質なサイトへ誘導(サイトをクロス)するスクリプトを仕掛けて訪問者の個人情報などを詐取するクロスサイトスクリプティング(XSS)や、データベースに不正なSQL文を送信(注入)するSQLインジェクションといったサイバー攻撃への対策として有効です。
DDoS Protection
Azureのアプリケーション層のセキュリティ対策として、DDoS Protectionの導入も有効です。
1台のパソコンからWebサーバーに向けて、悪意を持って大量の通信を行うことをDoS攻撃と呼びます。そして、DDoS攻撃は、多くのパソコンを使ってDoS攻撃を行うことです。DDoS Protectionを利用することで、Azure上に構築されたアプリケーションやアプリケーションを動かすためのリソースを狙った攻撃から守ることができます。
ストレージ
下記のように、さまざまなサービスでAzure Storageが利用されており、Azureを利用するうえで欠かせない存在です。
- 社内データベースを作成する
- AIによるデータ分析
- Web上のデータを保管する
- アプリケーション内のデータを保管する
ここからは、ストレージサービスのセキュリティを強化するためのサービスを紹介します。
Storage Service Encryption(SSE)
データを保護するためには“Encryption”、つまり暗号化が欠かせません。「Storage Service Encryption(SSE)」は、ストレージサービスにデータが保存される際、自動的にAES 256ビット方式で暗号化します。
Azure Disk Encryption(ADE)
データに対しよりセキュアな管理を求める場合は、IaaS仮想マシンに使用されるOSディスクとデータディスクを暗号化する「Azure Disk Encryption(ADE)」を利用可能です。なおAzure Storageは、データの転送中にも暗号化し、保護します。
ネットワーク
続いて、ネットワークのセキュリティ強化を行うサービスを紹介します。
ネットワークのセキュリティ対策ができていない場合は、以下のようなサイバー攻撃にさらされる可能性が高いです。
- 不正アクセス
- 盗聴
- データ改ざん
- 踏み台サーバーとして利用される
- マルウェア感染
各サービスの特徴を理解し、適切なセキュリティ対策を行いましょう。
Virtual Network
「Azure Virtual Network」は、クラウド・オンプレミスサーバー・Azureクラウド内の各サービスを接続して、仮想ネットワークを構築します。仮想ネットワーク上では通信がフィルタリングされ、送信元IPやポート番号などを完全にコントロールできます。
Azure Firewall
外部の攻撃からMicrosoft Azureの仮想ネットワークを守るのが、クラウドベースのファイアウォールである「Azure Firewall」です。完全にステートフルで、制限なしのオートスケーリングによる高い可用性を備えたAzure Firewallは、悪意ある IP アドレスやドメイン間のトラフィックへの警告や拒否を通じて、さまざまなリスクを低減します。
Express Route
Azureデータセンターと企業のオンプレミス環境を、プライベートネットワーク接続でつなぐためのサービスです。ExpressRouteは、定期的にデータ移行する場合、事業継続性を向上させたい場合、災害対策を行う場合に高いコストパフォーマンスを発揮します。
ExpressRoute接続は、インターネット経由ではなく専用の高速プライベート接続を使用するため、一般的なインターネットと比べて信頼性が高く、低遅延な通信が可能です。
NSG(Azure Network Security Group)
NSG(Azure Network Security Group)とは、仮想ネットワーク上で行われる通信のフィルタリングをするファイアウォールに似たサービスです。NSGは、サブネットもしくはNIC(ネットワークインターフェイスカード)に割り当て可能なセキュリティを強化します。Azureリソース間のデータ送受信に許可/拒否の規則を設定できます。
NSGは無料サービスであり、Azure Firewallが有料サービスである点が大きな違いとなります。
また、NSGは、ネットワーク層のフィルタリングのみですが、ファイアウォールは、アプリケーション層の保護も可能です。その他、Azure Firewallの方がさまざまなフィルター処理を行えます。
IDとアクセス層
Azureのセキュリティ対策はID管理とアクセス管理から始まるといっても過言ではありません。
企業や組織内の個人情報を、外部から保護するためにID管理とアクセス管理が重要です。保護するだけでなく、正規ユーザーがログインするときは問題なく利用できるように設定することも重要です。
ここでは、ID・アクセスを管理するサービスについて解説します。
Azure Role Based Access Control(Azure RBAC)
企業にとってクラウドリソースへのアクセス管理は、重要課題の1つです。「Azure Role Based Access Control(Azure RBAC)」、つまりロールベースアクセス制御は、従来のような役職・部署ごとでなく、ロール(役割)ごとにストレージアカウントを保護します。具体的には、Azure の各種リソースにアクセス可能なユーザー、ユーザーがリソースに対して実行可能なこと、ユーザーがアクセス可能な領域の3要素にロールを割り当て、管理します。
多要素認証
多要素認証とは、サービスを利用する際、IDとパスワードによる認証に加えて、別の認証を行うセキュリティ対策の考え方です。
Azureの多要素認証は、「Microsoft Authenticator」と呼ばれるアプリを使用した認証が一般的です。
Microsoft Authenticatorのアプリを端末にインストールすることで利用できます。設定や設定後の操作方法も簡単なため、容易にセキュリティ強化を行えます。
条件付きアクセス
条件付きアクセスは、Microsoft Entra ID(旧:AzureAD) の機能の1つです。
- 特定の端末からのサインインのみ許可する
- 開発部門の人以外はサインインできないようにする
- 社外ネットワークからのサインインは多要素認証によるサインインが必要
上記のように、Azureにサインインする際、特定の条件や制限をかけることができます。
条件付きアクセスは、条件を設定したポリシーをユーザー一人ひとりに割り当てることも可能です。また、グループに対してポリシーを割り当てることも可能です。
一般的によく利用されているポリシーは、誰でも利用できるようにテンプレート化されています。IDとアクセス管理は非常に重要となるため、適切な設定を行いましょう。
データセンターのセキュリティ
Microsoftには、Azureのセキュリティを強化するために物理的な施設の設計、建設、運営を一手に引き受けるチームが存在します。この専門チームが、情報セキュリティの3要素を満たしたAzureデータセンターの設計・構築を行っています。
情報セキュリティの3要素は、以下の3点です。
- 機密性:管理者、担当者のみがデータを使用できる状態にすること
- 完全性:管理者、担当者以外の人が、データの改ざんや変更しないように守ること
- 可用性:必要な特に必要な情報を使用できること
まずは、物理的なセキュリティ層に該当する「Azureデータセンター」がどのように、情報セキュリティの対策を行っているのかについて見ていきましょう。
物理的にも強固なアクセス制限
Azureデータセンターは、セキュリティ強化のために物理的なアクセス制限を設けています。
Azureデータセンターを訪問する前にアクセスの申請が必要です。申請時には、監査やコンプライアンスチェックのためといった業務上、妥当と思われる明確な目的を伝える必要があります。Microsoftの社員が、申請を確認し、許可/拒否の判断をします。許可が出れば、入館許可が付与されますが、入館許可証も必要な領域内で必要な期間だけ入れるように制限されています。
さらに、データセンター内にはカメラが設置され、ビデオカメラで監視しています。さらに、建物内部の各エリアを移動する際は、2段階認証による承認が必要です。
上記のように、物理的なアクセス制限とチェックにより、Azureデータセンターの機密性と完全性を満たしています。
運営規格は数多くの国際基準で認定済み
Azureデータセンターは、以下のコンプライアンス標準に準拠するように設計・管理されています。
- ISO27001
- HIPAA
- FedRAMP
- SOC 1
- SOC 2
Azure自体がセキュリティ強化のために、以下を含めて多くのコンプライアンス標準に準拠しています。
- 日本のCSゴールドマーク
- 日本のISMAP
- 日本のマイナンバー法
財務サービス関連では、日本のFISCにも準拠しています。
これらの標準には、データ保護、プライバシー、およびコンプライアンスに関する厳しい要件が含まれており、Azureはこれらを遵守することで、データセンターの完全性を保っています。
世界中に60カ所以上ものリージョンが存在
Azureデータセンターは世界中に60カ所以上の「リージョン」を持ち、それぞれが独立して運営されていることで、情報セキュリティの可用性を満たしています。
リージョンとは、Azureのデータセンターがある拠点を指します。日本では、東日本リージョンと西日本リージョンの2つのリージョンが存在します。そして、各リージョンには、可用性ゾーンが最低3つあります。可用性ゾーンとは、「データセンター」と「データセンターを動かし続けるための独立した電源・冷却手段・ネットワーク」があるゾーンのことです。
複数リージョンに、バックアップ対策としてサービスのレプリケーションを用意することで、リージョンレベルの自然災害時も事業を継続させることができます。
Azureセキュリティをより強固にする方法
「Microsoft Azure Well-Architected Framework」では、Azureセキュリティの基本概念を提唱しています。そのひとつである「多層防御」は、不正アクセスを防ぐ基本的な概念で、レイヤー(層)を設定し、レイヤーごとにセキュリティ対策を講じるものです。Microsoft Azureの場合、以下7つのレイヤーを規定しています。
- (1)ユーザーのデータ
- (2)アプリケーション
- (3)コンピューティング
- (4)ネットワーク
- (5)ネットワーク境界線
- (6)IDとアクセス
- (7)物理セキュリティ(施設や建物といった「物理的」部分に関係するセキュリティ)
(1)の「ユーザーのデータ」を最終的に守るべきものとして、これを中心に(2)~(7)までの防御レイヤーを構成し、各レイヤーでさまざまなセキュリティ関連サービスを提供しています。たとえば、物理セキュリティではデータセンターでの生体認証、IDとアクセスでは「Active Directory」や「AAD PIM」といった具合です。多層防御を構成していれば、攻撃者が仮に1つのレイヤーを突破したとしても、残りのレイヤーを突破しない限り、(1)のデータにはたどり着けないのです。
またAzureは、昨今におけるセキュリティの主流である「ゼロトラスト」の概念も採用しています。これは文字通り、「誰も信頼するな、すべて検証しろ」という意味です。従来のセキュリティ概念は境界型と呼ばれ、外部からの侵入口となる境界線にのみ対策を講じる方法でした。そのため、いったん突破されれば被害が拡大してしまう欠点があったのです。
しかし、Microsoft Azureではゼロトラストを前提とし、「データにアクセスするたびに厳格な認証を実施する」「外部からアクセスできないストレージでも、データは暗号化で保護する」など、複数の防御手段を積み重ねてリソースを保護します。
このほか、DevSecOpsを用いて自動化を推進し、人による操作を最小限に抑えること、シンプルであることなども原則として掲げています。
上記を含む計14の原則をMicrosoftは提唱していますが、すべてを認識しているユーザーは少ないかもしれません。しかもMicrosoft Azureでは、随時サービスのアップデートや追加が行われています。計画的に活用しないと、コスト面での負担も大きくなるでしょう。
Azure機能をより堅牢化するには、まず自社の理想とするセキュリティ対策を明確にしたうえで、Azureのセキュリティ機能がどの程度有効化されているかをチェックすることが大切です。そして、専門的なサポートを受けながら、自社に合ったより効果的なセキュリティ環境を構築していきましょう。
Azureのセキュリティ対策としては他のサービスを使うという手も
Azureのセキュリティを高めるために、外部ツール・サービスを利用することも有効です。
多くの企業や組織では、Azureの標準機能と併せて、サードパーティー製のセキュリティツールやサービスを導入しています。例えば、高度な脅威検知、エンドポイント保護、データ損失防止(DLP)などの機能を提供するサービスが考えられます。
サードパーティー製のセキュリティツールを選ぶ際は、Azureサービスとの互換性を考慮しましょう。
Azureセキュリティのベストプラクティス
最後に、Microsoftとユーザーの経験に基づいたAzureセキュリティの主なベストプラクティス(成功事例)をご紹介します。ベストプラクティスを活用することで、試行錯誤に費やす時間を短縮し、効果的な運用が期待できます。
1例目が、境界セキュリティに関するベストプラクティスです。アクセス時には「すべてを検証する」ゼロトラストが採用されています。Azure ADの条件付きアクセスを使用すれば、デバイス・ID・保証・ネットワークの場所などに基づいて、適切なアクセス制御が実装可能です。
2例目が、データベースのセキュリティ体制を管理するベストプラクティスです。データベースの脆弱性を検出・修正することで、セキュリティ強化します。SQL脆弱性評価(VA)を有効にして、データベースがセキュリティ基準を満たすかを毎週スキャン・修正するよう設定します。スキャンするたびにVAの概要を確認し、チェック後は基準値を更新します。
3例目が、ほぼすべてのPaaSに適用できる、ID境界管理のベストプラクティスです。攻撃者がネットワーク境界に不正侵入していることを仮定しているため、最新の防御対策はIDをベースとします。攻撃から守るためには、強力な認証と承認でIDベースのセキュリティ境界を確立する必要があります。データの暗号化に使う暗号キーをまとめて管理する「Azure Key Vault」で、キーと資格情報を保護し、PaaSデプロイを守ります。
まとめ
Microsoft Azureのセキュリティ対策が優れているのは、多層防御やゼロトラストを基本とし、さまざまな手段で重要なデータを保護しているからです。Microsoft Azureは多くのサービスを実装しているので、専門家のサポートを受けながら自社に合った環境を構築し、ビジネスシーンにご活用ください。