すぐに始められるパブリッククラウドのセキュリティ対策~マルチクラウド・オンプレミスにも対応~
必要な時に即座に利用を開始でき、使用量に応じて料金を支払うクラウドサービスは、現代のビジネスにおいて非常に便利かつ不可欠な存在です。しかし、セキュリティ対策が不十分だと、セキュリティ事故を招きビジネス上の大きなリスクとなることもあります。そこで今回は、クラウドを安全に利用するための方法についてわかりやすく説明します。
クラウドの責任分界点
多くのクラウドサービスは「責任共有モデル」という考え方に基づいて運用されています。責任共有モデルではコンポーネント毎にクラウド事業者と顧客(利用する企業)のどちらが責任を持つかが明確に分担されています。利用する際にはMicrosoftなどのクラウド事業者が責任を負う範囲と、ユーザーが自身で責任を負う範囲を理解し、対処することが大切です。
参考:クラウド運用における責任共有(共同責任)モデルとは?Microsoft Azureを例に解説
特にオンプレミスサーバーやIaaSといったリソースがある場合は顧客の責任が大きくなっています。では具体的に何をどう管理すれば良いのでしょう?
パブリッククラウドのセキュリティ脅威
クラウドサービスのセキュリティインシデントの原因の多くは単なる設定ミスです。Cloud Security Allianceが公開している「Top Threats to Cloud Computing ‒ Pandemic Eleven」(2022年公開の最新版)によると、クラウド事業者に起因した脅威はランキングが下がり続けており、ユーザーに起因したものが増加しています。3位の「設定ミスと不適切な変更管理」はもちろん、それ以外も設定ミスが関係しているものがいくつもあり、設定ミスを回避するだけでもかなりの脅威に対処できることがわかります。
クラウドセキュリティの11大脅威
| ランク | 脅威名 |
|---|---|
| 1 | 不⼗分なアイデンティティ、クレデンシャルおよびアクセスと鍵 の管理、ならびに特権アカウント |
| 2 | セキュアでないインターフェースや API |
| 3 | 設定ミスと不適切な変更管理 |
| 4 | クラウドセキュリティのアーキテクチャと戦略の⽋如 |
| 5 | セキュアでないソフトウェア開発 |
| 6 | セキュアではないサードパーティーのリソース |
| 7 | システムの脆弱性 |
| 8 | 予想外のクラウドデータ公開 |
| 9 | サーバレスやコンテナワークロードの構成ミスやエクスプロイト |
| 10 | 組織的な犯罪、ハッカーと APT |
| 11 | クラウドストレージデータ流出 |
訳: 日本クラウドセキュリティアライアンス「クラウドコンピューティングの重大脅威 パンデミックイレブン」
Microsoft Defender for Cloudとは
こうした設定ミスをはじめとするクラウドセキュリティの脅威からサーバーを保護するサービスとしてMicrosoft AzureにはMicrosoft Defender for Cloudがあります。Defender for CloudはかつてAzure Security CenterとAzure Defenderという2つのサービスだったものが統合したサービスです。設定ミスを防止するCSPM (Cloud Security Posture Management)とクラウドの各リソースを一元的に監視・保護するCWPP (Cloud Workload Protection Platform)で構成されています。
Defender for Cloudの構成
Defender for Cloud は以下の機能を提供しています。
- マルチクラウド環境においてコードレベルでセキュリティ管理を統合する開発セキュリティ運用(DevSecOps)ソリューション。現在は下記のCSPMと統合されています。
- クラウドのAPIを使用して設定や構成の不備や脆弱性を検知するセキュリティ態勢管理(CSPM)ソリューション。以下の機能があります。
- Foundational CSPM : 無料で使用できる基本的なCSPM機能です。
- Defender CSPM : 有料のより高度なCSPM機能です。
- クラウド上のインスタンスや仮想マシンといったワークロードに対しセキュリティ監視を行うクラウド ワークロード保護プラットフォーム(CWPP)ソリューション。以下の機能があります。
- Defender for Servers : 仮想マシンを保護します。AWSやGoogle Cloudにも対応しています。エントリーレベルのプラン1とすべての機能が含まれるプラン2があります。
- Defender for App Service : Azure App Serviceを保護します。
- Defender for Databases : Azure SQL Database、仮想マシン、オンプレミス、AWS、Google CloudのRDBMSを保護します。
- Defender for Storage : Azureのストレージサービス (Azure Blob Storage、Azure Files、Azure Data Lake Storage) を保護します。
- Defender for Containers : 各クラウドやオンプレミスのKubernetesコンテナを保護します。
- Defender for Key Vault : Azure Key VaultのKey Vaultアカウントを保護します。
- Defender for Resource Manager : Azure Resource Managerを保護し、リソースの作成や更新等を監視します。
- Defender for APIs : Azure API Managementで公開されているAPIを保護します。
Microsoft Defender for Cloud がおすすめの方
Defender for Cloudは以下のような方におすすめです。
- クラウドを導入し、とりあえず仮想マシンを立ててみた
- クラウドに興味があるがセキュリティ面が怖くて手が出せない
- クラウドを導入してそれなりに運用をしているがセキュリティに不安がある
- クラウド利用における昨今の脅威に対して、新たなセキュリティ対策を検討したい
TD SYNNEXでは事前相談会やアセスメント支援を無償提供しておりますので、少しでも気になりましたら弊社にお気軽にお問い合わせください。
メリット&デメリット
メリット
Defender for Cloudは以下のようなメリットがあります。
- マルチクラウド、オンプレミスにも対応している
- 最初の30日は試用期間となり無料で使用することができる
- クラウドやセキュリティについて詳しいエンジニアが組織にいなくても設定の不備や脆弱な状態に対処することができる
AzureだけでなくGoogle CloudやAWSにも対応し、オンプレミスサーバーの管理もできる点に注目しがちですが、最大のメリットはあまり多くの専門知識を持たずとも一定レベルのセキュリティを確保することができる点にあると言えます。
デメリット
一方、デメリットは以下が挙げられます。
- 機能が細かく分かれており目的や監視対象、適用する規制コンプライアンス、コストを確認・決定した上で導入する必要がある
- アセスメント結果の一部が英語で表示される
上述の通り、機能が細かく分かれており、それぞれにDefender for 〇〇という名称がついています。これら一つ一つの機能をある程度理解し、使用するものだけをONにする必要があります。また、現在もDefender for Cloudは進化を続けているため、一部が英語で表示されたりします。TD SYNNEXには多くのクラウドSEやサーバーSEが在籍しておりますのでお気軽にご連絡ください。
(New!) エージェントレススキャンに全面移行しより便利に
Defender for Cloudの仮想マシン向けCWPP機能の多くは仮想マシンにエージェントをインストールすることなく使用できるエージェントレススキャンを採用していますが、まだ、一部の機能はエージェントを必要としています。ですが、近日中にエージェントレススキャンへ全面移行する予定です。
Log Analytics エージェントの廃止の準備 – Microsoft Defender for Cloud | Microsoft Learn
最後に
無料でDefender for Cloud PoC + アセスメント支援を実施中 !事前相談会も無償展開中!
TD SYNNEXで Defender for Cloud の無料試用版をアクティベーション、設定を行い、2週間経過後~にお客様環境のセキュリティ分析、レポートをご提出します。また、事前相談会も随時無償で実施しています。お気軽に弊社Azureクラウド相談デスクまでお問い合わせください。
また、TD SYNNEXでは、セキュリティだけでなく、Azureの監視・運用・管理を包括的に行うマネージドサービスも提供しています。
これからAzureの利用を新たに検討される、あるいはすでにAzureをご利用されているお客様で、以下のようなお悩みがあるお客様にご活用いただけます。
- Azureを導入したいが知見が少なく、エラーや障害の対応含め、自社での運用に不安がある
- 自社によるAzure運用管理における負荷や課題を感じている
- Azure運用管理のための人員を割けない
- Azureの利用に照らし合わせて、継続的なアドバイザリーサービスを受けたい
Azure Managed Service の料金・プラン紹介 | TD SYNNEX株式会社
[著者プロフィール]
TD SYNNEX 株式会社 | 吉川 洋太郎
アドバンスドソリューション部門 ソリューションビジネス開発本部 ハイブリッドマルチクラウドSE部
技術者としてサポートエンジニア、プリセールス、プログラマー、プロジェクトマネージャー、事業企画、マーケティングなど多岐にわたる役割を経験し、ビジネス領域にも貢献。これらの豊富な経験を活かし、クラウドを中心とした幅広い提案を行うためにTD SYNNEXへ入社。現在はGoogleおよびMicrosoftのクラウド製品を担当しつつ、新規取り扱い製品の市場開拓にも取り組んでいる。
