Azureのセキュリティについて
1、Microsoft Azureについて
AzureはMicrosoft社が企業向けに提供しているクラウドサービスです。2010年にリリースされ、2013年には仮想マシンや仮想ネットワークなどのIaaSが提供されるようになりました。Azureが提供するサービスの特徴は大きくIaaS (Infrastructure as a Service)とPaaS (Platform as a Service)に分類されます。AzureはMicrosoftによって運用・管理されているデータセンター内で実行されます。データセンターは地理的に分散しており、セキュリティ及び信頼性のための主要なコンプライアンス認証を受けています。Microsoft社はセキュリティ関連R&Dへの10億米ドルを超える投資を行っています。
2、データセンターのセキュリティ
Microsoft Azureのデータセンターは日本国内では東日本と西日本の2か所にデータセンターを設置しており、全世界でも160位上のデータセンター60箇所以上のリージョンを備え140の国と地域で利用することが出来ます。リージョン同士は相互接続された一連のデータセンターで、その数は他のクラウドサービスと比較しても随一です。データセンターを物理的に分散させ、より利用者の近隣に配置することで待機時間軽減だけでなく、地理的冗長化・ディザスターリカバリー構成を可能にしています。
<マイクロソフトデータセンターにおける多層物理的セキュリティ例>
・データセンター到着前に期間制限付きでのアクセス申請・承認
・施設周辺には常時監視カメラ、1インチごとのフェンス、アクセスポイントが存在
・建物の入口には厳格な研修と経歴チェックを受けたプロのセキュリティ担当者が常駐
・データセンター内部では移動するごとに生体認証による2段階認証
・各階ごとの入退出時には詳細なセキュリティスキャンが実施される
3、コンプライアンス
Azureの利用にあたっては会社が定める企画・基準が満たされているかが課題となります。マイクロソフトは90以上のコンプライアンス認証を満たしています。その中にはグローバルなものだけでなく各国固有の認証も50以上含まれています。また、コンプライアンス実務担当者向けの監査レポートなども公開しています。
<グローバル認証の一例>
・CISベンチマーク:サーバー防衛機能
・ISO20000-1-2011:サービスマネジメント
・ISO27001:セキュリティ管理基準
・ISO27701:プライバシー情報管理システム
・ISO-IEC 27018:クラウドプライバシー
<日本固有の認証>
・クラウドセキュリティマーク(CSマーク)
・マイナンバー法
・金融情報システムセンター(FISC)
4、障害耐性と可用性
Microsoft Azureはオンプレミスを含めた災害復旧対策を強みとしています。
Azureリージョン内にある物理的に離れたデータセンターを「可用性ゾーン」と呼びます。1つのリージョンに可用性ゾーンは3つ以上存在し、可用性ゾーンひとつにつき独立した電源、冷却手段、ネットワークを備えたデータセンターがひとつ以上存在します。ある可用性ゾーンに障害が発生した場合でも他のゾーンが機能するため冗長化・ディザスターリカバリー構成を可能にしてます。
<災害復旧対策サービス>
・Azure backup
マイクロソフトクラウドのデータバックアップと復元サービス、オンプレミスのアプリケーションAzure IaaS上の仮想マシンを保護でき、クラウドはプライベート・ハイブリッドにも対応します。
・Azure Site Recovery
オンプレスの仮想マシン・物理サーバーをレプリケートし、すみやかな障害復旧のためのディザスターリカバリーサービスです。
5、インテリジェントセキュリティグラフ
Microsoft社が提供するセキュリティ対策の最大の強みであるインテリジェントセキュリティグラフは、地球規模での脅威情報を迅速に把握するデータベースである。Microsoft Defender SmartScreen とMicrosoft Defenderのウイルス対策機能を使用して、アプリケーションを分類し既知の問題または未知の評価として分類します。インテリジェントセキュリティグラフを利用するMicrosoft製品およびサービスは、セキュリティインテリジェンス、機械学習、行動分析からの分析情報に基づき、迅速な脅威の検出および対策を実現しています。Microsoftが自社の製品やサービスを通じて継続的に得られる膨大なデータ(世界中に存在する12億のWindowsデバイス、月6300億の認証、月4700億のメール分析、月50億の脅威をブロック、月180億以上のBingページをスキャンなど)とサードパーティから得られる情報を合わせ脅威の兆候を日々人工知能や行動分析を活用して分析し、リアルタイムなセキュリティ脅威の把握と長年のセキュリティ経験から得たクラウドにおける大規模なインテリジェンスを利用した最新の保護を行い、その範囲はハイブリッド環境にまで拡大することが可能です。
6、セキュリティ・コンプライアンス関連製品およびサービス
・Security Center
データセンターのセキュリティ体制を強化する統合インフラストラクチャセキュリティ管理システムですSecurity Centerは、Azure内かどうかにかかわらずクラウドとオンプレミス上で使用しているVM(仮想マシン)、ネットワーク、アプリケーション、データなど、ハイブリッドワークロード全体のセキュリティ体制の管理と評価を行い保護する脅威防止機能(ワークロードを保護するためのレコメンデーションと脅威アラートの提供)があり、全体のセキュリティを統一されたビューで評価することが可能です。ビッグデータと機械学習でのブレークスルーにより、異常なデータベースアクセスクエリパターン・SQLインジェクション攻撃・その他の脅威を検出し分析エンジンによりデータが分析され、機械学習が合成した詳細な分析情報が提供されるので、保護された状態を継続的に維持することができます。
<Security Centerに用意されているツール>
・セキュリティ体制強化:リソースの状態や保護されているかなど自身の環境評価が行われる
・脅威からの保護:ワークロード評価により脅威防止策・セキュリティアラートが作成される
・迅速なセキュリティ保護:クラウドと同様の速度でAzureサービスを自動的にプロビジョニングし保護します。
・Azure Sentinel
クラウドネイティブなセキュリティ情報イベント管理(SIEM)とセキュリティオーケストレーション自動応答(SOAR)サービス。Azure Sentinelは既存のサービスを基に構築されAIによる調査・検出を強化しています。高度なセキュリティ分析と脅威インテリジェンスを実現し、アラートの検出、脅威の可視性、予防的な捜索、および脅威への対応を行い安全でスケーラブルな高可用性Webフロントエンドを構築します。クラウド規模でのデータ収集、脅威に対する誤判定を検出、人工知能による脅威調査、迅速な対応・保護など
・Azure Active Directory
クラウドベースのID/アクセス管理サービスです。内部/外部リソースへのサインインとアクセスを支援します。オンプレミスのディレクトリを同期してシングルサインオンも実現可能です。
・Azure DDoS Protection
アプリケーションを DDoS攻撃から保護します。DDOS攻撃とは「Distributed Denial of Service attack(分散型サービス拒否)」の略で、複数のIPから同時に集中してアクセスを行うことでサーバーに大きな負荷をかけるサイバー攻撃です。
・Key Vault
APIキー、証明書、パスワードなどシークレットの機密情報を保管する保管庫(「キーコンテナー」と呼ばれる仮想コンテナー)とその保管庫に安全にアクセスする仕組みを備えたサービスです。key Vaultを利用することでアプリケーション内に機密情報を持つことなくシステム構築が可能になります。
・Azure Information Protection
ドキュメント・電子メールにラベル付けをして分類し、ラベルごとに閲覧編集制限や印刷・コピーの保護を設定することで、意図しない再利用などの情報漏洩対策を行うサービス
