日本マイクロソフト
セキュリティレスポンスチーム
セキュリティプログラムマネージャー
ゆりか先生(村木 由梨香)

クラウドサービスでは、技術的に利用しているサービスやリソースの管理アカウントだけでなく、クラウドベンダーとの契約・課金を管理するアカウントなどがアカウントを利用します。特に、管理権限をもつアカウントは、インターネット越しにクラウドサービスとの契約を更新したり、サービス全体の管理に変更を行うことができるなど、非常に強力な権限を持っています。

そのため、適切な管理を怠ることで、たちまち攻撃者によって不正ログオンの被害に遭う可能性も出てきます。実際にMicrosoft Azure環境へ不正な侵入を許した例として「アカウントの管理が適切に行われていない」ことが原因となっているケースが散見されています。

Microsoft の管理アカウント

Azureには大きく分けて、契約や課金を管理するためのアカウント「アカウント管理者」と、実際のMicrosoft Azureのリソースを技術的に管理するための3つのアカウント「サービス管理者」「共同管理者」「所有者」があります。

「アカウント管理者」は、オンライン請求書や契約管理など、マイクロソフトと利用者との間の金銭や契約に関わる作業を行います。「アカウント ポータル」を利用して、サポートの購入や請求書の発行、ダウンロード、支払方法の変更、サービス管理者の指定・変更が行えます。

一方の「サービス管理者」は、実際にMicrosoft Azureの各種リソースを技術的に管理するためのアカウントです。サービス管理者はAzure管理ポータルを利用し、Azure環境の構築と技術的な管理を行います。サービス管理者はサブスクリプション1契約につき1アカウントの指定しか行なえませんが、同様の権限をもつ「共同管理者」を最大200名まで登録できます。

また、各リソースをまとめて管理する「リソースグループ」をAzureでは定義可能で、「所有者」はリソースグループ全体を管理できます。リソースごとにもそれぞれ所有者があり、当該リソースのすべてを管理可能です。Azureにおけるリソースへのアクセスは、基本的に役割ベースのアクセス権限管理方式 (RBAC : Role-based Access Control) となっており、特定の作業だけアクセスする権限の付与ができます。なお、Azureのエンタープライズ向けライセンスの場合は、さらに、法人契約全体を管理するアカウント「エンタープライズ管理者」と、専用管理ポータル「エンタープライズ ポータル」が追加で提供されます。

ここで、Azure利用者がアカウントを管理する際の”あるある”をいくつかピックアップして紐解いてみましょう。

あるあるケース1 : どの部門が何をどれだけ利用しているのかわからない

1つのアカウントを複数の部門が利用することで、契約・課金管理が複雑になってしまうケースが見られます。

この問題解決策としては、事業部門ごとに契約や課金を管理するためのアカウント「アカウント管理者」を分けましょう。その上で、システムやプロジェクト、運用環境、テスト環境ごとにサブスクリプションを分けることで、組織のビジネス構造と合致した管理が可能となり、アカウント管理をよりシンプルにできるはずです。

あるあるケース2 : 作成者不明のサーバーが増えた?

「サービス管理者」は、サブスクリプション内のリソースすべてを管理できる”強力な権限”です。ネットワークの構成変更や仮想マシンの作成・削除、新たなデータベース作成といったさまざまな作業を自由に行えることがこのアカウントのメリットですが、その性質から1つのサービス管理者を複数の担当者が共同で使いまわすといったケースが見られます。そうした利用方法では、作成者が不明の仮想マシンが増えたり、誰がどのリソースでどのような作業を行っているのかがわからず、セキュリティインシデントに繋がりかねません。

すべてを1つのアカウントで済ましたい気持ちはわかりますが、サービス管理者は1人の責任者を指定し、共同管理者には副責任者を、それ以外は、操作する必要があるリソースだけを管理者に指定するといったように、役割に応じたアカウントの使い分けが必要です。もし、協力会社がAzureのリソースを利用する必要がある場合は、「共同管理者」を割り当てるか、作業が必要なリソースへの所有者を割り当てることで、柔軟かつ安全な管理を行うことができます。

あるあるケース3 : アカウントがいきなり無効に?

契約や課金を管理するアカウント管理者には、メンテナンス情報などの重要な通知がメールで届きます。特に、Azureアカウントやリソースが乗っ取られていることをマイクロソフト側が検知するといった「深刻なセキュリティ問題」が発生している場合は、すぐにでも情報を確認する必要があるでしょう。

しかし、アカウント管理者として登録したMicrosoftアカウントが失効した場合、Azureサブスクリプション全体が無効化されてしまいます。それだけでなく、管理者アカウントが「実際の運用担当者ではない重役に指定した」「退職した社員のアカウントだった」「メールアドレスが変更されたにも関わらず、連絡先を更新していなかった」という場合は、重要な通知に気付くことなく、突然アカウントが利用不能になる可能性があります。

管理アカウントは、「実際の運用担当者の指定」「常に通知を受け取れる連絡先を登録」することが重要です。

まとめ

これまでのオンプレミスの環境とは異なり、クラウドでは課金管理アカウントといった新たな管理アカウントの整理・管理が必要になります。セキュリティの基本はアカウント管理から。Azureの管理アカウントを整理して組織の体制に沿った割り当てを行うことで、柔軟かつ安全な管理を心がけてください。