AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます

【第1回】セキュリティの抜け穴を防ぐ「Azure Security Center」とは?(前編)

クラウドサービスを「一部でも導入している」と回答した企業の割合をご存知でしょうか?

平成28年度の総務省情報通信白書によれば44.6%となりますが、「(およそ)2社に1社」という割合が多いか少ないかと言えば議論が分かれるところです。クラウド利用が進まない理由の1つが「セキュリティ」で、38.8%の企業が導入の障害として理由に挙げています。

クラウドを導入する際に、当然ながら多くの企業がさまざまなセキュリティに関する検討を行います。しかし、クラウドにおけるセキュリティは「最新のゼロデイ攻撃などに対するセキュリティ対策」や「運用や責任を分担するクラウドベンダーの信頼性・リスク診断」といったクラウド導入による新しい観点にばかり目が行きがち。オンプレミスと共通するセキュリティ対策、これまでよりも早い開発や導入サイクルに対応するための「運用の見直し」については十分に検討されているとは言えないのが現状です。

うっかりミスを防ぐために

日本マイクロソフト セキュリティレスポンスチーム セキュリティプログラムマネージャー ゆりか先生(村木 由梨香)

実際に、クラウド利用時のセキュリティ インシデントは、サービス側のセキュリティ不備ではなく、オンプレミス環境にも共通する「ユーザーの運用上の問題」に起因するケースが多く見られます。マイクロソフトが提供している「Microsoft Azure」の環境でも「管理者アカウントが二要素認証を利用せず、単純なパスワードのみで運用していたことによる不正ログイン」といった、従来のオンプレミスの環境でも発生しうる運用ミス、セキュリティ設定の不備が散見されています。

もちろん、クラウドサービスならではの問題もあります。クラウド活用の1つのメリットとして「需要に応じたリソースの増減」がありますが、増設したサーバーのセキュリティ設定が不適切だったことで、侵入の糸口になってしまったケースがあります。逆に、セキュリティ管理を必要以上に重視してしまうと、デプロイに制限をかけて展開スピードが遅くなるという「クラウドのメリットを失う」ケースもあるのです。

クラウド サービスの大きなメリットは、ユーザーのニーズやトレンドに応じて新機能・サービスが随時リリースされ、ユーザーは容易に利用を開始・停止することができることにあります。セキュリティ機能で言えば、攻撃に対する防御機能だけでなく、実際に発生しているセキュリティインシデントを分析し、より良いセキュリティ管理が可能になる機能もリリースしています。

例えば、2016年7月に正式リリースされた「Azure Security Center」は、「サブスクリプションにデプロイされているリソースの基本的なセキュリティ設定と状態の監視」ができるようになりました。例えば、Azure仮想マシンにおけるファイアウォールの不適切な受信許可や、更新プログラムの適用状況、マルウェア対策の稼働状況といった基本的なセキュリティポリシー基準に対する準拠の状況などを確認し、不適切な構成がある場合は警告とともに推奨設定をユーザーに提示します。

有償の機械学習を取り入れた高度な分析機能もありますが、基本的な機能は無償で利用できるため、前述した「リソースを増減させているサーバーのセキュリティ設定」の見落とし対策として活用できます。

Azure Security Centerの管理コンソール

セキュリティは、「システムを導入したら終わり」ではありません。これはクラウドに限らず言えることですが、継続的な見直しを図り、改善の導入、評価を繰り返すことで、最新の脅威に素早く対応していくことが可能です。オンプレミスでは展開・運用変更にかかる時間とコストが懸念されていましたが、クラウドではこれまでよりも早く、効率の良い運用・改善が可能です。

次回は、今回紹介した「Azure Security Center」の使いどころについて説明します。