新しい Azure Security Center と Azure プラットフォーム セキュリティの機能

2019年11月6日 に投稿済み

Principal Group PM Manager, Azure Security Center

Microsoft Ignite では、Microsoft のチームが作成した、Azure Security Center および Azure Platform を使用してセキュリティを強化するための多くの新しい機能をご紹介しました。多くの新しいイノベーションがありますが、このブログでは Microsoft の全般的な方向性と、いくつかの優れた新しい機能についての概要を説明します。詳細については、Azure Security Center Community の投稿をお読みください。

Azure Security Center で必要な保護を有効化する

Azure Security Center には統合インフラストラクチャ セキュリティ管理が備わっており、セキュリティ体制を強化し、Azure、オンプレミス、その他のクラウドで実行されているワークロード全体に対し、高度な脅威の防止を提供します。これにより、セキュリティ体制を継続的に評価し、Microsoft の幅広い脅威インテリジェンスを使用してサイバー攻撃から守り、統合されたコントロールを使用してすばやくセキュリティを実装することができます。

Azure Security Center 概要タブのスクリーンショット。

Security Center では、数百もの組み込みのセキュリティ評価を使用するか、独自の評価を中央のダッシュボードに作成して、マシン、ネットワーク、Azure サービスのセキュリティを監視することができます。

コミュニティおよびパートナー向けのプラットフォームで Azure Security Center の対象範囲を広げる

脅威の状況は常に進化を続けており、保護、クラウド セキュリティ体制、企業向けスケールでのデプロイ、自動化に対する新しいアプローチが必要です。Microsoft Intelligent Security Association のメンバーと連携することで、Microsoft は幅広い知識槽を活用して増え続けるサイバーセキュリティの脅威に対して防御することができます。

すべての Security Center の機能を、組み込みおよびパートナーの推奨事項に対して活用できます。Azure Security Center のシンプルなオンボード フローにより、既存のソリューション (Check Point CloudGuard、CyberArk、Tenable など) が接続され、セキュリティ体制に関するすべての推奨事項を 1 か所で確認することができます。統合レポートを実行して、接続されたパートナー製品に対する Security Center の推奨事項をエクスポートすることができます。

Security Center で使用するポリシーや構成の改善に役立つ内容を投稿していただけるよう、ユーザーの皆さまを招待しています。Azure Security Center コミュニティ メニューから、その他のスクリプト、コンテンツ、コミュニティ リソースをご覧いただけます。

Azure Security Center Community ページのスクリーンショット。

クラウド リソースに対する脅威の防止の強化

脅威の防止は、Azure 内のサービスとしてのインフラストラクチャ (IaaS) レイヤーからサービスとしてのプラットフォーム (PaaS) リソース (Azure IoT や Azure App Service、およびオンプレミスの仮想マシン) まで、さまざまな種類のサービス全体で攻撃を検出し、防ぎます。

脅威の検出事項を Azure Sentinel にストリーミングし、調査、脅威ハンティング、他のセキュリティ ソリューションからのシグナルとの相関関係の把握、セキュリティ オペレーション センター (SOC) のレベル管理を行うことができます。

最新の脅威の防止機能には、次のようなものが含まれます。

  • Azure Virtual Machine 上にホストされた SQL Server に対する脅威の防止と脆弱性評価のサポート。
  • VM の脆弱性の評価機能が、仮想マシン保護オファリングで追加コストなしでご利用いただけるようになりました (Qualys を利用)。Security Center は脆弱性を収集し、それをセキュア スコアの一部として表示します。
  • Azure Kubernetes Service (AKS) に焦点を当てたコンテナー向け脅威の防止スイート製品には、脆弱性に対するコンテナー イメージのスキャン、AKS クラスターの安全な構成、Kubernetes ランタイム アクティビティにおける脅威の検出などが含まれます。
  • Azure Key Vault 向け脅威の防止のプレビューが、北米リージョンで開始されました。これは、通常とは異なり有害な可能性のあるアクセスや、Azure Key Vault 内の暗号化キー、証明書、シークレットの悪用を検出する、追加のセキュリティ インテリジェンス レイヤーを提供します。
  • Azure Storage の脅威の防止は、Microsoft 脅威インテリジェンスの機能を利用した新しい検出機能を提供し、ハッシュ レピュテーション分析を使用して Azure Storage へのマルウェアのアップロードを検出したり、アクティブな Tor 出口ノード (匿名プロキシ) からの不審なアクセスを検出したりすることができます。 Azure Security Center を使用して、ストレージ アカウント全体で検出されたマルウェアを表示できるようになりました。

クラウドのセキュリティ体制の管理の強化

構成ミスは、クラウド ワークロードの最も一般的なセキュリティ侵害の原因です。Security Center を使用すると、Azure 環境全体のセキュリティ体制の概観を表示することができ、Azure セキュア スコアを使用してセキュリティ体制を継続的に監視および改善できます。Security Center を使用すると、セキュリティ ポリシーを管理して適用し、さまざまなリソースでの構成ミスを特定して修正することができ、またコンプライアンスを維持することができます。

新機能:

  • セキュア スコアがシンプルに: 最新のパーセント ベースのセキュア スコアを使用して、セキュア スコア コントロールをより視覚的に確認し、スコアの計算についてさらに信頼性のある方法を提供することができます。
  • 新しいクイック修正機能により、構成ミスにすばやく対応。
  • Azure Policy で作成されたカスタムの評価をセキュア スコアに追加して、そのコンプライアンスの状態を Security Center で監視。
  • 新しい規制標準セットに対してコンプライアンスの状態を自動的に評価。NIST SP 800-53 R4、SWIFT CSP CSCF v2020、Canada Federal PBMM、UK Official together with UK NHS が対象。

構成ミスは攻撃の主な原因です。そして、セキュア スコアの改善が、セキュリティ体制全体の大幅な改善につながります。

Azure Security Center を使用してセキュリティをすばやく実装する

大規模な組織が Security Center での発見をエンタープライズスケールで活用できるようにするため、Azure Security Center では引き続き、わかりやすい API、自動化、管理機能を提供します。これによりお客様は、Security Center を組織全体で使用されているワークフロー、プロセス、ツールに結び付けることができます。

Security Center の新しい機能により、推奨事項やアラートに基づいた Azure Logic やポリシーのトリガーを使用して、機能豊富なワークフローを作成することができます。幅広い Logic App コネクタのコミュニティでサポートされているカスタム アクションを実行するためのロジック アプリを構成したり、提供されているテンプレート (メールの送信やサービス チケットのオープン) を使用したりすることができます。

徹底的なセキュリティ

Azure Security Center の更新プログラムに加え、いくつかの Azure プラットフォーム セキュリティも強化されました。お客様がさらに多くを行うことができるように、Microsoft は継続的にプラットフォーム サービスを強化し、既存のオファリングの改善やお客様からのフィードバックへの対応を行っています。

ここでは、プラットフォームで予定されているいくつかのすばらしい更新情報をお知らせします。 

Microsoft Azure 用カスタマー ロックボックスが仮想マシンを越えて拡大

カスタマー ロックボックスは、顧客データが含まれるワークロードへの Azure サポート エンジニアによるアクセスを顧客が制御する機能を提供します。この拡張サポートにより、顧客は Azure オファリングの大規模なセットに対し、自分のデータに対するアクセスを制御することができます。

プレビューでサポートされる新しいサービスとシナリオ:

  • Azure Storage
  • Azure SQL Database
  • Azure Data Explorer
  • Azure Virtual Machines 用メモリ ダンプとマネージド ディスク
  • Azure サブスクリプションの譲渡

Microsoft Secure Code Analysis ツールキットのリリース、セキュアなコード作成を支援

Microsoft Security Code Analysis 拡張機能を使用すると、Credential Scanner や BinSkim などのセキュリティ分析ツールを Azure DevOps の継続的インテグレーションと継続的配信 (CI/CD) パイプラインで利用することができます。簡単に構成できるビルド タスクを通じ、開発者の生産性を向上し、セキュリティを簡素化することができます。これにより、分析ツールで複雑な作業 (インストール、更新、メンテナンス、実行) を行う必要がなくなり、また、それらに対する制御も失われません。 

この製品は統合サポートから入手できます。お客様は、既存のクレジットを使用するかサービスの料金を支払うことでサインアップすることができます。詳細については、Microsoft Secure Code Analysis ドキュメントのページをご覧ください。

Azure Disk Encryption をさらに多くの場所で使用でき、さらに多くのサービス オファリングでカスタマー マネージド キーを利用可能に

Azure Disk Encryption を使用すると、Azure Key Vault で保護されたキーを使用して Azure Virtual Machine ディスクを暗号化することができます。この機能は以前、PowerShell と CLI から利用することができました。この機能が Azure Portal に追加され、非常に簡単に使用できるようになりました。さらに、Azure 上で最新バージョンの一般的な Linux ディストリビューションがサポートされるようになりました。これには Red Hat Enterprise Linux 7.6、7.7 および CentOS Linux 7.6、7.7 が含まれます。

Windows 向けクイックスタートまたは Linux 向けクイックスタートを使用して、今すぐお試しください。

次のサービスのプレビューが最近発表され、カスタマー マネージド キーを使用した保存中の暗号化が可能になりました。

  • Azure Event Hubs
  • Azure Managed Disks
  • Power BI

カスタマー マネージド キーを使用したサービス オファリングの暗号化の完全なリストについては、Azure Data Encryption-at-Rest ドキュメントのページをご覧ください。

組織全体の証明書を管理する新しい Azure ポリシーのプレビューが開始されました

大規模な組織には、数千のアプリケーションやサブスクリプションにまたがった、数千もの証明書がキー コンテナーに存在します。組織全体のセキュリティとコンプライアンスを担当しているユーザーには、これらすべての証明書全体にルールを設定し、そのルールに従っていることを証明し、違反に対してフラグを設定するためのシンプルな方法が必要です。Azure ポリシーがそのお手伝いをいたします。Azure Key Vault 内の証明書に対し、新しいポリシー (プレビュー) が追加されました。

  • 発行者ポリシー: 特定の発行者が発効したものである (または発効したものではない) 証明書にフラグを設定します。
  • キーの種類ポリシー: RSA または ECC キー ペアで保護されている (または保護されていない) 証明書にフラグを設定します。
  • キーのサイズ ポリシー: 特定のサイズのキーで保護されている (または保護されていない) 証明書にフラグを設定します。
  • 有効期限ポリシー: 有効期限まで "X" 日以内に更新された (または更新されていない) 証明書にフラグを設定します。
  • 有効期間ポリシー: "X" 年より少ない、大きい、または同じである有効期間を持つ (または持たない) 証明書にフラグを設定します。

詳細については、Azure Key Vault ガバナンス ポリシーのドキュメントをご覧ください。

Azure Key Vault 仮想マシン拡張機能の一般提供開始

Azure Key Vault 仮想マシン拡張機能を使用すると、仮想マシン上で実行されているアプリがキー コンテナーからの証明書を簡単に使用することができます。これは、一般的なタスクやベスト プラクティス (認証、一般的なネットワーク エラーの管理、キャッシュ、キー コンテナーからの証明書の定期的な更新、トランスポート層セキュリティ (TLS) 用証明書のバインド) を取得することで実現します。

この拡張機能は、WindowsLinux で一般提供が開始されました。

Azure 上のドメインに対する無料の Azure マネージド証明書

TLS をお使いの Azure アプリケーションで使用しない理由はどこにもありません。Azure では、以下のサービス上でホストされているカスタム ドメインに対し、TLS 証明書を無料で提供するようになりました。Azure はこれらの証明書を自動的に更新します。

  • Azure CDN マネージド証明書 (一般提供)。
  • Azure Front Door マネージド証明書 (一般提供)。
  • Web アプリおよび機能向け Azure App Service マネージド証明書 (現在プレビュー中)。

これを今後、その他の Azure PaaS サービスに拡張する予定です。

これはオプションの 1 つにすぎません。別の証明書機関 (CA) からの証明書を使用する必要がある場合は、キー コンテナー内で管理する証明書を使用するよう、これらの Azure サービスを構成することができます。

詳細情報

これらの機能追加により、Azure は引き続き安全な基盤を提供し、組み込みのセキュリティ ツールとインテリジェントな分析情報をお客様に提供して、クラウドのセキュリティ体制をすばやく改善できるよう支援します。Azure Security Center は、ハイブリッド クラウド向けの統合されたセキュリティ管理と高度な脅威の防止で、その役割を強化します。

Azure アプリ開発者:

  • Microsoft Secure Code Analysis ツールキットを使用して、コードのセキュリティ上の問題を検査します。
  • お使いの Azure CDNFront DoorApp Service (Web アプリおよび機能) リソース用の TLS を有効化できます。
  • Azure Key Vault 向けの新しい Azure Virtual Machine 拡張機能を評価して、お使いのアプリでの Azure Key Vault からの証明書の使用を簡素化することができます (Windows および Linux 向け)。

組織全体のセキュリティを担当するユーザー:

  • 新しい Key Vault ポリシーなどの Azure Policy を評価して、組織の開発者が、設定されたセキュリティとコンプライアンス セットのルールに従っていることを確認します。

セキュリティは待ってくれません。今すぐ Azure Security Center の使用を開始して、Azure Security Center Tech Community にアクセスしましょう。あなたと同じようなセキュリティの考えを持つ人とつながることができます。


Azure。目的を持って創造する。