COLUMN

1.そもそもAzureとはどんなサービスか

Azure（アジュール）とは、Microsoft社が提供するクラウドサービスです。正式名称はMicrosoft Azureといい、2010年にサービスが開始されました。

クラウドサービスとは、インターネットを経由してユーザーにサービスを提供するシステムで、Azureのほかにも、AmazonのAmazon Web Services（AWS）やGoogleのGoogle Cloudなどがあります。いくつもあるクラウドサービスから自社にとって適切なサービスを利用するために、ユーザーはそれぞれのクラウドサービスの特徴やメリットを、しっかりと理解しておかなければなりません。

Azureはクラウドにあるネットワークやサーバーなどのコンピューティングリソースを提供するInfrastructure as a Service（IaaS）、またアプリケーション開発のためのプラットフォームを提供するPlafform as a Service（PaaS）に該当し、たとえば以下のサービスを提供しています。

• ソフトウェアの開発から運用までをトータルで支援する「Azure DevOps」
• 自社でサーバーを構築することなくプログラムが実行できる「Azure Functions」
• 機械学習用のデータ保存に適した「Azure Blob Storage」　など

Azureは2010年からサービスの提供を開始し、AWSやGoogle Cloudなどと比べると後発ではありますが、日本の大手企業も利用しているクラウドサービスです。同じMicrosoft社が提供するOffice365などとも連携がしやすい点や、Windows系のオンプレミスサーバーなどとの親和性が高いため、クラウドとオンプレミスのハイブリッド運用をしやすい点も、Azureの大きな特徴といえるでしょう。

Azureの詳しいメリットや、活用が向いているケースなどは、以下の記事で詳しく解説しています。事例や導入手順についても詳しく紹介しているため、気になる方はぜひ読んでみてください。

Azureを選択すべき企業とは？特徴、メリット・デメリット、事例

Azureのセキュリティ対策にお悩みの方はこちらからお問い合わせください。

2.Azureセキュリティの基本的な考え

Azureをはじめとしたクラウドサービスは、クラウド上でさまざまな機能を利用でき、高い利便性を誇ります。しかし昨今では個人や顧客の情報を盗もうと、不正アクセスやウイルス攻撃、詐欺などのセキュリティ攻撃が後を絶ちません。個人情報が流出してしまえば、金銭的ダメージだけではなく、顧客からの信頼も失ってしまう可能性があります。そのためクラウドサービスの導入を検討する際も、セキュリティには注意することが大切です。

ここからは、Azureのセキュリティの基本的な考えである、以下の3つを紹介します。

• ゼロトラストモデル
• 共同責任モデル
• 多層防御

順番に見ていきましょう。

2-1.ゼロトラストモデル

ゼロトラストモデルは、「トラスト＝信頼」をゼロにする意味の通り、すべてのアクセスやデバイスを信用しないことをコンセプトにしたセキュリティの考え方です。ゼロトラスト以前の従来のモデルは境界線防御モデルと呼ばれ、ある境界線を超えてしまえば、内側のアクセスは全面的に信頼する考え方が一般的でした。

たとえば社内ネットワークなどで、社内のWi-Fi環境にアクセスして認証を通過すれば、その後は追加認証なしでさまざまなデータにアクセスできたのです。しかしサイバー攻撃の手口の巧妙化や、テレワークの増加などの背景から、境界線の内側も決して安心できるものではなくなったため、すべてのアクセスを信頼しないゼロトラストモデルの考え方が生まれました。

境界にとらわれず、データにアクセスするたびに認証を実施する行動は、手間は増えるものの、さまざまな環境でもデータを守れるため有効といえるでしょう。具体的に、ゼロトラストモデル実現のために行うセキュリティチェックは以下の2点です。

• ユーザーおよびユーザー関連の情報を保持するIDは正しいか
• 対応するデバイス情報は正しいか

ゼロトラストの概念を実現するためには、ID認証やデバイス管理、驚異検出基盤が不可欠で、Microsoft社の場合、Azure ADやMicrosoft Intune、Azure Sentinelなどのサービスが該当します。Azure ADとAzure SentinelについてはAzureの主な情報セキュリティ対策で後述しますので、ぜひ読んでみてください。

2-2.共同責任モデル

共同責任モデルとは、サービスを提供するプロバイダのみがセキュリティの責任を負うのではなく、ユーザーも分担して責任を負う考え方です。AzureはIaasまたはPaaSに該当するサービスであると前述しましたが、どちらのサービスにおいても、サービス提供者であるMicrosoft側とユーザー側それぞれに、責任を負う範囲がしっかりと決められています。

• IaaS：ネットワークとハードウェアはサービス事業者、OSとミドルウェア、アプリケーションはユーザー側
• PaaS：ネットワークとハードウェア、OS、ミドルウェアをサービス事業者、アプリケーションはユーザー側

上記のように、利用者の設定によりシステムの挙動が変わる部分については、ユーザーの責任となっています。しかしクラウド化した時点で、すべての責任はサービス事業者にあると考えている企業も多いのが現状です。クラウド環境で安全なサービスを運用するためには、共同責任モデルを理解しておくことが重要といえるでしょう。

2-3.多層防御

多層防御とは、データへの不正なアクセスを防ぐために、複数の層ごとにセキュリティを施す考え方です。近年ウイルス攻撃などによるサイバー攻撃の手口は多様化しており、一つの防御で大切なデータを守るのが難しくなってきた背景から生まれた考え方で、以下の3つの対策を行う仕組みです。

• 侵入対策
• 拡大対策
• 漏えい対策

侵入対策では、外部からの攻撃をフィルタリングやファイアウォールにより防ぎます。拡大対策では、社内システムに不正アクセスをされた場合でも、ログの監視やシステム異常の察知、管理者への通知を行います。またネットワーク通信の制限や監視ファイルの暗号化により、情報を外部に漏らさないのが漏えい対策です。こうした多層防御を行えば、システムがウイルスに感染するリスクが減り、早期に不正アクセスを検知して、拡大、漏えいを防ぐことが可能です。

ゼロトラストモデルや共同責任モデル、多層防御と、Azureはユーザーのデータを守るために、芯のあるセキュリティの考え方を持っています。加えてAzureのサービスを提供するデータセンターにおいても、物理的なセキュリティが層となって組まれ、多層防御を実現しています。

ここからは、Azureデータセンターについて詳しく見ていきましょう。

3.セキュリティに強いAzureデータセンターの特徴

データセンターとは、インターネット用のサーバーやネットワーク機器を設置するために特別に作られた建物です。Azureも膨大な数のサーバーを設置したデータセンターが世界中に存在し、日々企業の重要な情報を守り、稼働しています。

• 世界中に大規模なデータセンターを持っている
• 物理的にも厳しいアクセス制限をしている
• 国際的基準での認定を受けている

上記の特徴を持つAzureデータセンターについて、順番に解説します。

3-1.世界中に大規模なデータセンターを持っている

Azureデータセンターの特徴としてまず挙げられるのは、世界中に大規模なデータセンターを持っている点です。リージョンと呼ばれるデータセンターが設置された独立エリアは世界各地に存在し、世界中に160ヶ所以上、日本でも東日本と西日本に2ヶ所設置されています。

日本でデータセンターが2ヶ所ある理由は、大規模災害に備えた高可用性を担保するためです。東日本と西日本、どちらかのデータセンターが災害によって被害を受けてしまった場合でも、もう一ヶ所のセンターにデータを送って同期すれば、早急な対処が可能です。

リージョン間で影響が出ない距離で、データセンターがペアとなり設置されている点も、Azureデータセンターの特徴といえるでしょう。

3-2.物理的にも厳しいアクセス制限をしている

多層防御の解説でも触れましたが、物理的に厳しいアクセス制限を行っている点も、Azureデータセンターの特徴といえます。全ては公開されていませんが、アクセス制限が行われている場所と制限は、以下の通りです。

• 施設周辺：高いフェンスと常時プロにより監視されているカメラ、警備員の巡回
• 建物の玄関：プロのセキュリティ担当者を常駐
• 建物内部：生体認証による二段階認証、承認された時間帯のみの滞在
• 各階：全身のセキュリティスキャンの実施やデバイスの制限、カメラでの監視

施設周辺から建物の玄関、内部、各階に移動する際にまで、物理的なアクセス制限を行うことで、大切な情報を外部に漏らすことのないよう、厳重に管理しています。全ては明かされないまでも、具体的なアクセス制限方法の公開により、情報を預ける企業はセキュリティを信頼できるでしょう。

3-3.国際的基準での認定を受けている

データセンターの運営に関する規格に関して、数多くの国際基準での認定を受けている点も、Azureデータセンターの特徴といえるでしょう。認定の数は90以上にものぼり、グローバルなものだけではなく、各国固有の認証も含まれています。

一例ではありますが、Azureが取得した認証は以下の通りです。

＜グローバル認証＞

• CISベンチマーク：ITシステム及びデータをサイバー攻撃から守るためのセキュリティ規格
• ISO20000-1-2011：サービスマネジメントシステムの確率や実施、維持、改善するための要求事項を規定した規格
• ISO27001：情報セキュリティマネジメントシステムに関する規格
• ISO27701：ISO27001をベースとしたプライバシー保護についての認証規格
• ISO-IEC 27018：パブリッククラウド上で管理する個人情報の保護に焦点を当てた規格

＜日本固有の認証＞

• CSマーク（クラウドセキュリティマーク）：内部監査が適切に実施されていることを示す認証規格
• マイナンバー法：マイナンバーデータの適切な管理措置を講じていることを示す認証規格
• 金融情報システムセンター（FISC）：金融情報システムの導入や運用に関する認証規格

認証は、政府が求めるセキュリティ要求を満たしているサービスに与えられる制度です。コンプライアンスの認証及び監査報告、証明は独立監査人によって査定され、評価されます。

数多くの認定を受けているAzureデータセンターは、さまざまな要求を満たす運営を行っているデータセンターといえるでしょう。

4.Azureの主なセキュリティ対策

Azureとはなにか、Azureデータセンターの特徴について見ていきましたが、ここからは実際にAzureを安全に利用するために知っておきたい、主なセキュリティ対策を8つ紹介します。

• Microsoft Sentinel
• Microsoft Defender for Cloud
• ネットワークセキュリティグループ（NSG）・Azure Firewall
• Express Route
• Webアプリケーションファイアウォール
• セキュリティ　アプライアンス
• Azure Key Vault
• Azure AD

順番に見ていきましょう。

4-1.Microsoft Sentinel

Microsoft Sentinel（マイクロソフトセンチネル）は、オンプレミスと複数のクラウド内の両方でデータを収集し、脅威の検出や調査、対応を行うソリューションです。Microsoft Sentinelの機能は、主に以下の2つによって構成されています。

• SIEM（シーム）
• SOAR（ソアー）

SIEMとは、「Security Information and Event Management」の略で、リアルタイムで脅威となりうるものを自動で検出し、可視化して通知するセキュリティ管理システムです。Azure以外のシステムからもソースの取得が可能であるため、高度なセキュリティ対策が実現できます。

SOARは「Security Orchestration Automation and Response」の略で、セキュリティ運用業務の効率化や、自動化を実現するためのシステムです。具体的にはSIEMの運用を行う上で発生する脅威情報の収集や分析、対処などを行います。

SIEMで脅威の検出を行い、SOARでインシデント発生時の対処が自動化できるため、セキュリティ担当者は負担が軽減されるだけでなく、より高度な知識が必要となるインシデントへの対応が可能です。日々巧妙化するサイバー攻撃に立ち向かうため、自動化できる部分は自動化し、経験や知識が必要となるインシデントに迅速に立ち向かえることは、大きなメリットといえるのではないでしょうか。

4-2.Microsoft Defender for Cloud

Microsoft Defender for Cloudは、クラウド環境における脅威の検知やセキュリティアラート、セキュリティ診断などが可能なソリューションです。旧名称は「Security Center」といい、Azureだけではなくオンプレミスの環境やAWS、Google Cloudなどの他クラウドサービスからもリソースが保護できる点も特徴といえるでしょう。

Microsoft Defende for Cloudの機能は、以下の2つを柱としています。

• CSPM
• CWP

CSPMは「Cloud Security Posture Management」の略で、クラウド環境における問題の評価や検出、ログの記憶、レポートを自動で行ってくれる機能です。セキュリティの問題についての評価をスコアで表示させることもできるため、現在のセキュリティ状況の把握や、効率的かつ効果的なセキュリティレベル向上に役立ちます。

一方でCWPは「Control Web Panel」の略で、クラウド環境のワークロードを構成するリソースを、自動的に保護する技術です。リソースの種類や場所は問わず、仮想マシンやコンテナやストレージ、データベース、アプリケーションなどが該当します。

Microsoft Defender for Cloudはクラウド環境へのセキュリティ対応を強く押し出しているサービスです。幅広いプラットフォームに対して、複雑な設定も必要なくASPMやCWPを展開できる点は、システムの運用担当者やセキュリティ担当者にとって強い味方となるでしょう。

4-3.ネットワークセキュリティグループ（NSG）・Azure Firewall

ネットワークセキュリティグループ（NSG）とは、Azure内で展開された仮想ネットワークに対して、データを認可、拒否するフィルタリング機能を提供するシステムです。セキュリティグループごとにアクセス範囲を管理できる、簡易的なファイアウォールをイメージするとよいでしょう。

Azure Firewallもまた、Azureのセキュリティを強化するサービスです。ネットワークセキュリティグループとAzure Firewallは、保護範囲や保護可能なレイヤーにおいて以下のように違いがあります。

• NSG：サブネットや仮想マシンのネットワークインターフェイス上で機能する
• Azure Firewall：インターネットと仮想ネットワークの境界で機能する

NSGはパーソナルファイアウォールであり、仮想マシンのNICやサブネット単位に割り当てられるシステムであるのに対して、Azure Firewallは、仮想ネットワーク単位に割り当てられます。

Azure Firewallのみの使用でもネットワーク内の制御を行うことは可能ですが、より適切な位置づけのシステムを利用しようとした場合、使い分けが大切です。仮想ネットワーク内及びサブネットで動作するセキュリティ機能がNSG、インターネットとの境界線で動作するセキュリティ機能がAzure Firewallという観点を知って組み合わせれば、より強固な多層防御セキュリティを作り上げられます。

4-4.Express Route

Express Routeとは、オンプレミスのネットワークとAzureを、限定したネットワーク上でプライベート接続できるサービスです。Express Routeを利用するメリットには、主に以下の3つがあります。

• 信頼性が高く、快適な通信が可能である
• セキュリティが非常に強固である
• IaaS以外にもPaaS、SaaSとの接続が可能

Azureへの接続方法にはインターネットや、IPSec VPNを経由する方法などがありますが、プライベート接続と比較して、ネットワークの帯域が保証されていません。そのため、通信遅延などのトラブルが発生することが問題点として挙げられます。

Express Routeを利用した通信に切り替えれば、非常に強固なセキュリティが適用されます。そのうえ通信経路上の影響を受けないため、通信の信頼性が高く、帯域幅も保証されていることから、安定かつ快適な通信が可能です。

またExpress Routeは、IaaSやPaaS、SaaSごとにさまざまなサービスを展開しています。IaaSはAzureプライベートピアリングを利用するのに対し、PaaSとSaaSへの接続はMicrosoftピアリングを使用するといった注意点はありますが、Express Routeを利用すれば、テレワークの推進やオンプレミスとクラウドのハイブリッド構成、BCP対策などの多くの場面で活用できるでしょう。

4-5.Webアプリケーションファイアウォール（WAF）

Webアプリケーションファイアウォール（WAF）とは、アプリケーションの脆弱性をついた攻撃を防ぐために開発されたセキュリティ対策です。WAFはWebアプリケーション内に直接実装するものではなく、Webアプリケーションの全面やネットワークに配置して、脆弱性を悪用した攻撃を検出し、低減します。

複数のWebアプリケーションに対する攻撃をまとめて防御することも可能です。そのため、直接管理や改修ができないWebアプリケーションに対策を施したい場合や、Webアプリケーションの脆弱性の修正が難しい場合、修正は可能であるが時間がかかって早急な対策が難しい場合などの場面においては、WAFの配置が有効です。

WAFには大きく分けて、以下の5つの機能があります。

• 通信監視及びアクセス制限
• シグネチャの自動更新
• Cookieの保護
• 特定URLの除外やIPアドレスの拒否
• ログ収集およびレポート出力

Webアプリケーションの仕組みは年々複雑化しており、さまざまなアプリケーションやシステムとの連携により、思わぬ部分で脆弱性が見つかる場合があります。加えて本記事でも繰り返し触れているとおり、サイバー攻撃の手口も増加し、複雑化している背景を考えた際に、未知の攻撃に備える必要性も高まっているといえるでしょう。

Webサイトの安全性を確保するために、ネットワーク層を利用した攻撃に有効なファイアウォールや、不正アクセス攻撃に有効なIPS/IDSなど、他の方法では代替できないWebアプリケーションに特化したセキュリティが必要となっていくのではないでしょうか。

4-6.セキュリティ アプライアンス

セキュリティ アプライアンスとは、セキュリティ機能に特化した機械を指します。マルウェアなどの悪意あるサーバー攻撃などから情報を守るため、Azureのパートナー企業から提供されたセキュリティ アプライアンスを購入することで、セキュリティ機能の拡張が可能です。

セキュリティ アプライアンスの代表的な機能には、以下のものがあります。

• ファイアウォール機能
• 独自のセキュリティ機能
• 脆弱性の管理
• アプリケーションの制御
• ネットワークベースの異常検出
• Webフィルタリング
• ウイルス対策
• ポットネットからの保護　など

セキュリティ アプライアンスの種類は数多く、特定の機能や用途に制限されているため、セキュリティ アプライアンスを導入する際は、自社にとって必要なセキュリティは何かを把握することが大切です。Azureのセキュリティ アプライアンスについては、Azure Marketplaceにアクセスし、securityまたはnetworl securityと検索すると見つかります。必要なアプライアンスを比較し、検討してみてください。

4-7.Azure Key Vault

Azure Key Vaultとは、システムにおける機密情報の保管と、安全なアクセスを実現するために提供されている、Azureのセキュリティサービスの一つです。Key Vaultが金庫を意味していることから、システム内部に重要情報を収納してくれる仮想の金庫があると想像すれば、分かりやすいのではないでしょうか。

Azure Key Valutで保管できる機密情報は、以下の通りです。

• トークン
• パスワード
• 証明書
• APIキー
• 機密情報　など

Azure Key Valutは従来の重要な情報をアプリケーション内に含めておくのではなく、情報を仮想の金庫に収納し、必要な時にAzure Active Directoryによって認証を行います。不正アクセスや情報漏えいの対策として有効であるため、Azureを利用する際には欠かせないセキュリティサービスといえるのではないでしょうか。

4-8.Azure AD（Azure Active Directory）

Azure AD（Azure Active Directory）とは、クラウドベースでIDおよびアクセス管理を行うサービスです。ADでは社内ネットワークなどのクローズドな環境において、ユーザーの認証と許可管理を一括で行うことができます。利用者はAzure ADを経由すれば、一度の認証で登録したすべてのクラウドサービスへのアクセスが可能です。

Azure ADが提供する機能は、以下の通りです。

• クラウドサービスのアカウント管理
• SSO（シングルサインオン）.
• 多要素認証（MFA）
• アクセス制限機能
• Active Directoryとのユーザー同期

管理者であればアカウント管理やアクセス制御機能、従業員であればSSOなど、Azure ADを活用すれば作業が滞ることはありません。Azure ADはセキュリティの高い環境で手間のないアカウント管理が実現できるため、ぜひ取り入れていただきたい対策です。

Azureのセキュリティ対策にお悩みの方はこちらからお問い合わせください。

5.Azureのセキュリティをさらに高めるための対策方法

Azureの主な情報セキュリティ対策のほか、さらにセキュリティを高めるための方法として、以下の3つがあります。

• ロール指定を行う
• アラートを設定する
• 外部のセキュリティサービスを導入する

順番に見ていきましょう。

5-1.ロール指定を行う

Azureのセキュリティをさらに高める対策として、ロール指定を行う方法があります。ロールとは「役割」という意味を持っており、ユーザーに割り当てる権限を設定する機能です。

ロールはたとえば、特定のサーバーへのアクセス権を社内の限られた人にしか付与したくないなどの場面で活用できます。管理者権限を付与したくない人に、一時的に付与する場合などは、ロールの作成を行うことで限定した権限付与が可能です。

ロール指定は、Azureで構築したWebアプリやシステムなどを一元管理できる「Azure portal」を使用して行います。IAM設定を開き、ロールを選択して簡単に設定できるため、内部セキュリティを高める手法として積極的に活用するとよいでしょう。

5-2.アラートを設定する

Azureのセキュリティを高める方法として、アラート設定も挙げられます。特定のリソースで負荷がかかった場合にメールでアラートを出すようにできる設定で、Azureのセキュリティ監視ツールである「Azure Monitor」機能を利用する場合、個別のAzureサービスごとの設定も可能です。

Azureでアラートを設定するためには、ロールの付与や制限と同じく、Azure portalから監視するリソースを選択してルールを作成し、設定します。リソースごとに個別のアラート設定も行えるため、グループで設定する場合は、それぞれの責任者を決めておくのもよいでしょう。

5-3.外部のセキュリティサービスを導入する

強固なセキュリティ基盤のあるAzureですが、複数のクラウドサービスを利用している企業の場合、外部のセキュリティサービス導入を検討することも、セキュリティを高める方法として有効です。クラウドサービスはそれぞれ異なった特徴を持つため、複数導入している場合、ログイン情報の管理が煩雑になってしまう場合があります。

管理に煩わしさを感じてIDやパスワードを同じ、または似通ったものにしてしまった場合、情報漏えいが起こった際などに、他のクラウドサービスのログイン情報も盗まれてしまう事態になりかねません。そこでおすすめなのが、ログイン情報を一括管理してくれて、まとめて保護してくれるセキュリティサービスの導入です。

たとえばシングルサインオン機能を搭載したセキュリティサービスであれば、複数のパスワード管理をする必要がなくなり、業務負担が軽減されます。リモートワークが増えてきた中でアクセス制御をすることも可能です。

外部のセキュリティサービスを導入する際は、自社で扱っているクラウドサービスを把握したうえで、対応可能であるかなどを確認し、最適なセキュリティサービスを選択してください。

Azureのセキュリティ対策にお悩みの方はこちらからお問い合わせください。

6.Azureの導入をご検討ならぜひNTT東日本にご相談ください

Azureは、セキュリティの基本的な考えから物理的セキュリティに優れているデータセンターの運営、実際に行っているセキュリティ対策などから、企業の情報を守り運用する点で、高いセキュリティを誇るといってよいでしょう。しかし実際にAzureを導入してクラウド化をめざそうとしても、時間が足りなかったり疑問点が多かったりして、踏み切れない企業も多いのではないでしょうか。

NTT東日本は、Azureの設計から導入、運用までをワンストップで支援し、スピーディーなクラウド利用をサポートします。ストレスや手間を可能な限り軽減し、見えにくいコストまでしっかりと可視化して業務効率の改善を提案します。またAzureのプロにより企画から構築、運用までをトータルで支援し、中立的な視点でのアドバイスが可能です。

150社以上の導入実績を持つNTT東日本のクラウド導入サービスについては、以下のページで詳しく解説していますので、ぜひご覧ください。

クラウド導入・運用サービス

Azureのセキュリティについてまとめ

Azureは多くの企業が取り入れているクラウドサービスです。セキュリティについてもゼロトラストモデルや共同責任モデル、多層防御の考え方を持ち、Microsoft SentinelやMicrosoft Defender for Cloudを筆頭に、さまざまなセキュリティ対策があります。

利便性が高くセキュリティ面でも安心できるAzureですが、実際に導入を検討しても、さまざまな理由で踏み切れない企業も少なくありません。そのようなときに役に立つのが、クラウド導入・運用サービスです。

NTT東日本では、クラウドサービスのプロがAzureの設計から導入、運用までをワンストップでサポートします。数多くの実績を持つクラウド導入サービスを、ぜひお試しください 。

クラウドに関するご相談・お問い合わせ