みなさまこんにちは。クラウドアーキテクトの卵です。
今までチューハイ派だったのですが、最近はハイボール派になりました。
(チューハイは今でも好きです)
とある案件でお客様との親睦会があり、一見気難しそうな担当の方に「ハイボール缶の美味さについて」を喜々とプレゼンされて以来、気になって飲むようになりました。
担当の方に教えていただいた、昔からある、金色っぽいレトロなハイボール缶がお気に入りです。
最近は家飲みが多く、家で居酒屋ごっこをしながら飲むのが楽しみです。
最近、クラウドのセキュリティについて問い合わせを受けることが多くなりました。
私は主に Azure の案件に関わっているので、Azure に関してお客様から以下のような声を聞くことが増えたように感じています。
「既存の Azure 環境のセキュリティに不安がある。」
「現在 Azure でシステムを構築しているのだが、セキュリティについて不安なので見てほしい。」
「セキュリティアセスメント (※) を実施してほしい。」
このような依頼があった際、我々はお客様にヒアリングをし、どのように進めていくかを調整するのですが、その際にいくつか質問をさせていただいています。
その中の 1 つが、「 Azure Security Center は有効にされていますか。」という質問です。
今までの私の経験上、残念ながらあまり活用されていなかった Azure Security Center ですが、Azure 上のセキュリティを担保する上でかなり網羅的、かつ、必要な事項を検出してくれます。
我々も、既存の Azure 環境では、まず Azure Security Center の内容を踏まえてアセスメントを実施しています。
今回は、Azure Security Center の簡単な活用方法についてまとめます。
(※)セキュリティアセスメント
当社では、お客様の状況や環境に合わせ、それぞれ成果物を拝見し、セキュリティについての懸念点とその解消事項・推奨事項を「セキュリティアセスメント」として実施しております。
<お客様の状況や環境の例>
既存の Azure 環境がある場合 : 主に Azure 環境や規定類、運用体制等がアセスメント対象になります。
Azure 上にシステム構築を実施中の場合 : 主に要件定義書や基本設計書、運用設計書といった開発ドキュメントが対象になります。アドバイザリーとして、開発者からの QA にも回答することがあります。
Azure Security Center は、文字通りセキュリティの強化を目的とした、Azure 上のサービスです。セキュリティの診断や保護、脅威の検出を、サブスクリプション単位で実施します。
SQL Database や Storage といった PaaS サービスはもちろん、Azure 上に立てられた仮想マシン (IaaS) や、オンプレミス環境にあるサーバーや仮想マシンにおいても、Microsoft Monitoring Agent をインストールすることで監視、保護することが可能です。
【参考:Azure Security Center とは 】
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-intro
Azure Security Center には、Free サービス レベル (無償) と Standard サービス レベル (有償) があります。Standard サービス レベルにアップグレードすることで、Azure Security Center の全ての機能を使用することができます。Standard サービス レベルには無料試用版があるので、まずは試してみてはいかがでしょうか。
それぞれのサービスレベルの詳細については、以下のリンクを参照してください。
【参考:Security Center の価格 】
https://azure.microsoft.com/ja-jp/pricing/details/security-center/
Azure Security Center を使い始めるには、Azure Portal より Azure Security Center を有効にする必要があります。有効化はボタン一つで実行できます。
詳細については、以下のリンクを参照してください。
【参考:クイックスタート: Azure サブスクリプションでの Security Center Standard の利用開始 】
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-get-started
ここから、実際に Azure Security Center を使用してみましょう。
まずは「アセスメントと言っても、何から手を付けて良いのか分からない!」という場合、「推奨事項」から見ることをお勧めします。
Azure Portal より、[ セキュリティセンター ]を選択し、[ 概要 ]を確認してください。以下のような画面が表示されます。
上の赤枠部分に注目してください。
ここでは、Azure Security Center で監視、保護されているリソース (PaaS、IaaS、オンプレミス環境のサーバー) に対して検疫 (セキュリティチェック) を行った結果がグラフ化されています。
重要度レベルによって色分けされているので、「重要度レベル高」を表す赤い部分を優先的に修正していくことをお勧めします。
「重要度レベル高」を表す赤い部分の項目が知りたい場合、とにかく修正したい場合は、[ リソース セキュリティの検疫 ]カテゴリ (赤枠部分①) を確認してください。
右端にある「重要度」が赤い項目から修正していくのが良いです。
重要度によってソートも可能です。(赤枠部分②)
Azure Security Center では、主要なセキュリティ規格 (規制コンプライアンス) についても、適合状況を分析してくれます。
2020年 4月現在、Azure Security Center において、規定で有効になっているセキュリティ規格 (規制コンプライアンス) は以下になります。
<Azure Security Center でサポートされているセキュリティ規格>
左右にスクロールしてご覧ください。
| セキュリティ規格 | 概要 | 参考 |
|---|---|---|
| Azure CIS 1.1.0 | 正式名称 : CIS Microsoft Azure Foundations Benchmark version 1.1.0 IT システムおよびデータをサイバー攻撃から守るためのセキュリティ規格として国際的に認められている。何千もの企業で採用され、安全なベースライン構成を確立するための規範的なガイダンスを提供している。 |
https://docs.microsoft.com/ja-jp/microsoft-365/compliance/offering-cis-benchmark?view=o365-worldwide |
| PCI DSS 3.2.1 | 正式名称 : Payment Card Industry Data Security Standard 加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準。 国際カードブランド5社 (American Express、Discover、JCB、MasterCard、VISA) が共同で設立したPCI SSC (Payment Card Industry Security Standards Council) によって運用、管理されている。 |
https://www.pcisecuritystandards.org /documents/PCI_DSS_v3_2_1_JA-JP.pdf https://www.jcdsc.org/pci_dss.php |
| ISO 27001 | 情報セキュリティマネジメントシステム (ISMS) に関する国際規格。 情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示している。 Azure セキュリティセンターでは、「ISO/IEC 27001附属書A」に沿っている。 |
https://www.jqa.jp/service_list /management/service/iso27001/ https://www.armsr.co.jp/iso/iso27001 /iso27001-demand.html https://www.iso-mi.com/image/ISMSnaibukansa_ Checklist_FuzokusyoA_Sample.pdf |
| SOC TSP | 米国公認会計士協会 (American Institute of Certified Public Accountants: AICPA) が策定した、クラウドで保存および処理される情報の機密性とプライバシーを保護する制御基準である Service Organization Controls (SOC) フレームワーク。 | https://docs.microsoft.com/ja-jp/microsoft-365/compliance/offering-soc?view=o365-worldwide |
Azure を利用するためのベストプラクティスであるという理由から、少なくとも「Azure CIS 1.1.0」は確認することをお勧めします。
上記以外のセキュリティ規格 (規制コンプライアンス) は、「動的コンプライアンス パッケージ」として追加することができます。
特に、「Azure CIS 1.1.0 (New)」は、規定で表示されている「Azure CIS 1.1.0」よりも多くのポリシーに準拠しているため、導入をお勧めします。
追加の手順については、以下のリンクを参照してください。
【参考:規制コンプライアンス ダッシュボードでの動的コンプライアンス パッケージへの更新】
https://docs.microsoft.com/ja-jp/azure/security-center/update-regulatory-compliance-packages
※注意事項※
Azure Security Center では、主要なセキュリティ規格 (規制コンプライアンス) 内のチェック項目全てを評価することはできません。セキュリティ規格 (規制コンプライアンス) 内のチェック項目には、プロセスを問うものも多く含まれているからです。
(例:PCI DSS 3.2.1 「4.3 カード会員データの伝送を暗号化するためのセキュリティポリシーと操作手順が文書化されて使用されており、影響を受ける関係者全員に知られていることを、確実にする。」)
Azure Security Center で評価できない項目については、下図のように項目がグレーとなっています。
また、Azure Security Center の評価は都度アップデートされておりますので、以前はできなかったチェックができるようになっていた、ということもあります。(クラウドの良い点ですね!その逆もあったりしますが。。。)
そのため、定期的にウォッチしておくことをお勧めします。
Azure Security Center は通信や ID 管理といったインフラ、プラットフォーム側で実現できるセキュリティ対策についてチェックし、修正可能な推奨事項を挙げてくれます。
他にも便利な機能が多く、使いこなすとかなり強力なセキュリティ対策になると思いますが、まずはお試しとして Free 版を有効にして、今の Azure 環境をアセスメントしてみてはいかがでしょうか。それだけでも、業界標準のセキュリティや、Azure 環境に必要なセキュリティ対策を実施、担保することができます。
なお、システム固有の状況がある場合や、アプリケーションのセキュリティ対策、インシデントを防止するための仕組み作りについては、別途検討する必要があります。
上記も含めて、クラウドのセキュリティを考えたい場合は、下記の「【総合】お問い合わせ」から当社までご連絡ください。
セキュリティコンサルタント、クラウドアーキテクトがタッグを組んで、アセスメントを実施の上、対策を検討いたします。
(宣伝でした!)
関連ページ |
