クラウドエンジニアブログ

Azure Security Center を活用してみる(Azure Security Benchmark)

human05

古林

みなさまこんにちは。クラウドアーキテクトの卵です。

お家時間を最大限満喫するために、断捨離を実施中です。
特に、リモートワークを快適にするため、いろいろ捨てて、リモートワークに最低限必要なものを買って…という感じで、部屋を改造しています。
捨てたものの方が圧倒的に多かったので、部屋がスッキリしました。
現状、この状態を維持することができるかが一番の課題になっています。


<目次>
  1. はじめに
  2. Azure Security Benchmark とは
  3. どんなチェックを実施してくれる?
  4. Azure CIS 1.1.0 (New) との違いは?
  5. おわりに



1. はじめに

前回のブログで、『特に、「Azure CIS 1.1.0 (New)」は、規定で表示されている「Azure CIS 1.1.0」よりも多くのポリシーに準拠しているため、導入をお勧めします。』と記載したのですが、Azure Security Center で、Azure Security Benchmark の遵守を追跡および監視できるようになったとアナウンスがありました。

【参考:Azure ワークロードの Azure セキュリティ ベンチマークの遵守の監視】
https://azure.microsoft.com/ja-jp/blog/monitor-your-azure-workload-compliance-with-azure-security-benchmark/

※ちょうど前回のブログを書いたのが 2020年 4月末だったので、ちょっと遅かったなぁと反省。。。

『 Azure Security Benchmark ってどんな内容をチェックしているんだろう?』
『「 Azure CIS 1.1.0 (New) 」と何が違うんだろう?』

データ系だけでなく、クラウド (特に Azure) におけるセキュリティを追う身としては見過ごすことができない内容でしたので、本ブログでは上記を調査した結果をまとめてみました。


2. Azure Security Benchmark とは

概要

Azure Security Benchmark について、Microsoft の Docs には以下のように記載されています。

Azure セキュリティ ベンチマークには、Azure で使用するほとんどのサービスをセキュリティで保護するために使用できる、影響力の高いセキュリティに関する推奨事項のコレクションが含まれています。 これらの推奨事項は、ほとんどの Azure サービスに適用できるため、"一般的" または "組織的" と考えることができます。 Azure セキュリティ ベンチマークの推奨事項は Azure サービスごとにカスタマイズされ、このカスタマイズされたガイダンスがサービスの推奨事項に関する記事に含まれています。


【参考:Azure セキュリティ ベンチマークの概要】
https://docs.microsoft.com/ja-jp/azure/security/benchmarks/introduction

また、Azure Security Benchmark の説明部分に、以下のように記載があります。

概要



このイニシアティブには、Azure セキュリティ ベンチマークの推奨事項のサブセットに対応する監査および仮想マシン拡張機能デプロイのポリシーが含まれています。追加のポリシーは今後のリリースに追加されます。詳細については、https://aka.ms/azsecbm をご覧ください。


この文章を見ると、Azure Security Benchmark は CIS ベンチマーク (「Azure CIS 1.1.0 (New)」) に仮想マシン拡張機能デプロイのポリシーが追加されたもの、と読み取れますね。
似て異なるもの、という感じもしますので、いよいよ CIS ベンチマーク (「Azure CIS 1.1.0 (New)」) との違いが気になります。


価格

Azure Security Benchmark の利用自体には、料金はかかりません。Azure Security Benchmark のチェック内容に沿って診断&診断結果を表示する Azure Security Center の サービス レベルに従って価格が変わります (無償 or 有償)。
Azure Security Center の価格については、前回のブログを参照してください。


セットアップ

まずは Azure Security Center を有効にする必要があります。有効化はボタン一つで実行できます。
詳細については、以下のリンクを参照してください。

【参考:クイックスタート: Azure サブスクリプションでの Security Center Standard の利用開始】
https://docs.microsoft.com/ja-jp/azure/security-center/security-center-get-started

次に、Azure Security Benchmark を「動的コンプライアンス パッケージ」として Azure Security Center のダッシュボードに追加します。
追加の手順については、以下のリンクを参照してください。

【参考:規制コンプライアンス ダッシュボードでの動的コンプライアンス パッケージへの更新】
https://docs.microsoft.com/ja-jp/azure/security-center/update-regulatory-compliance-packages


3. どんなチェックを実施してくれる?

Azure Security Benchmark でどのようなチェックを実施しているのかを調査した結果がこちらになります。
(項目数が多いので、PDF にしています。)

<Azure Security Benchmark でのチェック内容 (抜粋)>
3.	どんなチェックを実施してくれる?

PDF では、2020年 6月 4日時点に調査した内容と、2020年 6月 22日時点に調査した内容とを比較しています。

<凡例>
  1. 黄色の網掛け:いずれか一方にしか無いチェック。
  2. オレンジの網掛け:文言が異なるチェック (チェック内容は同じ)。

2020年 6月 4日時点に調査した内容から 1ヵ月も経っていないにも関わらず、かなり変更があることがお分かりいただけると思います。(クラウドの良い点ですね!その逆もあったりしますが。。。)
現在、Azure Security Benchmark はプレビュー段階となっていますが、積極的な追加・改善が実施されているようです。


4. Azure CIS 1.1.0 (New) との違いは?

Azure Security Benchmark と Azure CIS 1.1.0 (New) において、チェック内容の差異を調査した結果がこちらになります。
(こちらも項目数が多いので、PDF にしています。)

<Azure Security Benchmark と Azure CIS 1.1.0 (New) におけるチェック内容の差異 (抜粋)>
4.	Azure CIS 1.1.0 (New) との違いは?

PDF では、それぞれ 2020年 6月 22日時点に調査した内容を比較しています。

<凡例>
  1. 黄色の網掛け:いずれか一方にしか無いチェック。

Azure Security Benchmark と Azure CIS 1.1.0 (New) では、チェック内容が同じものもありながら、黄色の網掛けが目立つ点より、チェック内容の差分が見られることがお分かりいただけると思います。
実際のところ、2020年 6月 22日時点では、チェック個数としては Azure Security Benchmark の方が多かったです。

<チェック個数 (2020年 6月 22日時点 )>
  1. Azure Security Benchmark : 155個
  2. Azure CIS 1.1.0 (New) : 99個

チェック内容についても、Azure Security Benchmark の方がより多くのリソースをカバーしていました。例えば、Service Bus や IoT Hub、Cosmos DB、Azure Data Lake Store は Azure Security Benchmark のみのチェック内容となります。

Azure Security Benchmark の説明部分には、以下のように記載がありましたが、「監査および仮想マシン拡張機能デプロイのポリシー」だけではなく、幅広いセキュリティチェックを実施していることが分かります。

このイニシアティブには、Azure セキュリティ ベンチマークの推奨事項のサブセットに対応する監査および仮想マシン拡張機能デプロイのポリシーが含まれています。追加のポリシーは今後のリリースに追加されます。詳細については、https://aka.ms/azsecbm をご覧ください。


では、Azure CIS 1.1.0 (New) は必要ないのでしょうか。
CIS ベンチマークの位置づけについて、Microsoft の Docs には、以下のように記載されています。

CIS ベンチマーク設定に準拠することにより、アプリケーションのセキュリティは確保されますか ?
CIS ベンチマークは、対象となる Microsoft 製品およびサービスを採用しているすべてのユーザーに基礎レベルのセキュリティを確立します。ただし、これらはすべての考えうるセキュリティ構成およびアーキテクチャを網羅したリストとしてではなく、出発点として見なされなければなりません。 各組織は、特定の状況、ワークロード、コンプライアンス要件を引き続き評価し、それに応じて環境を調整する必要があります。


上記によると、CIS ベンチマーク (Azure CIS 1.1.0 (New)) はあくまで「出発点」と記載されていることより、ベースラインであると考えられます。

【参考:Center for Internet Security (CIS) ベンチマーク - よく寄せられる質問】
https://docs.microsoft.com/ja-jp/microsoft-365/compliance/offering-cis-benchmark?view=o365-worldwide#frequently-asked-questions

ここからが私見なのですが、CIS ベンチマーク (Azure CIS 1.1.0 (New)) をベースにして、より具体的なチェックについては Azure Security Benchmark でカバーする、といったすみ分けになるのではと思っています。


5. おわりに

今回は Azure Security Benchmark について調査してみました。
Azure CIS 1.1.0 (New) が Azure を使う上で基礎レベルのセキュリティチェックを提供している一方で、Azure Security Benchmark はより多くのリソースに対して具体的、かつ、最新のチェックを提供しているという印象を持ちました。

特に、各種 PaaS サービスをふんだんに使っている環境に対しては、Azure Security Benchmark でのチェックを実施することをお勧めしたいです。



関連ページ

Azure Security Center のススメ

【総合】お問い合わせ

ソリューションに関する全般的なお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録