Azure Security Center の機能強化

2020年4月20日 に投稿済み

Principal Group PM Manager, Azure Security Center

Microsoft Ignite 2019 では、15 を超える新機能のプレビューが発表されました。このブログでは、お客様への一般提供が開始された機能についての更新情報を提供しています。

世界が一丸となって COVID-19 と闘っている中、多くの企業にとってリモート ワーク機能が不可欠になっています。お客様のクラウド資産におけるセキュリティ体制を維持しながら、さらに多くのリモート ワーカーがアクセスできるようにすることが非常に重要です。

Azure Security Center を使用すると、セキュリティ体制を保護し、お客様のすべてのクラウド リソースに脅威保護を提供するために必要なアクションの優先順位を決定することができます。

Azure Security Center を使用したクラウド リソースの脅威保護の強化

Azure Security Center では引き続き、クラウド プラットフォームでの高度な脅威に対抗するための脅威保護機能が拡張されています。

脆弱性に対する Azure Container Registry のコンテナー イメージのスキャンの一般提供開始

Azure Security Center で、Azure Container Registry (ACR) のコンテナー イメージの脆弱性をスキャンできるようになりました。

イメージのスキャンは、コンテナー イメージ ファイルで定義されているパッケージまたはその他の依存関係を解析し、そのパッケージまたは依存関係に既知の脆弱性があるかどうかを確認することによって機能します (Qualys 脆弱性評価データベースを利用)。

スキャンは、新しいコンテナー イメージを Azure Container Registry にプッシュすると自動的にトリガーされます。検出された脆弱性は Security Center の推奨事項として表示され、それらに修正プログラムを適用して許容されている攻撃対象領域を削減する方法に関する情報と共にセキュア スコアに含められます。

プレビューを Ignite 2019 で発表して以降、登録済みサブスクリプションで 150 万を超えるコンテナー イメージ スキャンが開始されました。Microsoft はお客様からのフィードバックを注意深く分析し、この一般提供バージョンに導入しました。スキャンの進行状況 (未スキャン、スキャン中、スキャン エラー、完了) を反映するスキャン状態が追加され、お客様から寄せられたフィードバックに基づいてユーザー エクスペリエンスが強化されました。

Azure Container Registry 脆弱性評価の結果

Security Center での Azure Kubernetes Service サポートの脅威保護の一般提供開始

人気のあるオープンソース プラットフォームである Kubernetes は幅広く採用されており、今やコンテナー オーケストレーションの業界標準になりました。このように広く実装されているにもかかわらず、Kubernetes 環境をセキュリティで保護する方法についての理解はまだ進んでいません。コンテナー化されたアプリケーションの攻撃対象領域を防御するには、専門知識が必要です。インフラストラクチャが安全に構成されていることを確認し、潜在的な脅威を常に監視する必要があります。Security Center Azure Kubernetes Service (AKS) のサポートの一般提供が開始されました。
 
機能は次のとおりです。 

  1. 検出と可視性: Security Center の登録済みサブスクリプション内のマネージド AKS インスタンスの継続的な検出。
  2. セキュア スコアの推奨事項: "ロールベースのアクセス制御を使用して Kubernetes Service クラスターへのアクセスを制限する" など、お客様が AKS のセキュリティのベスト プラクティスに従うのに役立つ実用的な項目。
  3. 脅威の防止: "特権コンテナーが検出されました" などのホストおよびクラスターベースの分析。

一般提供リリースでは、新しいアラートが追加されました (完全な一覧については、アラート参照表の Azure Kubernetes Service クラスターのアラートコンテナーのアラート - ホスト レベル セクションをご覧ください)。またアラートの詳細は、誤検知を減らすために微調整されています。
  

Azure Kubernetes Service のアラートの例

クラウドのセキュリティ体制の管理の強化

構成ミスは、クラウド ワークロードの最も一般的なセキュリティ侵害の原因です。Azure Security Center を使用すると、ユーザーが使用している Azure 環境全体のセキュリティ体制を鳥瞰表示でき、Azure のセキュリティ スコアを使用してセキュリティ体制を継続的に監視および改善できます。Security Center を使用すると、セキュリティ ポリシーを管理して適用し、さまざまなリソースでの構成ミスを特定して修正することができ、またコンプライアンスを維持することができます。Microsoft では、セキュリティ体制の管理で利用できるリソース カバレッジと詳細な分析情報を継続的に拡張しています。

カスタム ポリシーのサポートの一般提供開始

お客様は、Azure Policy で作成したポリシーに基づく独自のセキュリティ評価によって、Security Center の現在のセキュリティ評価の対象範囲を拡張することを求めてきました。カスタム ポリシーのサポートにより、これが可能になりました。

また、Azure Security Center のカスタム ポリシーのサポートの一般提供が開始されたこともお知らせします。これらの新しいポリシーは、Azure Security Center の推奨事項エクスペリエンス、セキュリティ スコア、規制コンプライアンス標準ダッシュボードに含まれるようになります。カスタム ポリシーのサポートに伴い、Azure ポリシーでカスタム イニシアチブを作成し、簡単なクリックスルーのオンボード エクスペリエンスを通じてそれを Azure Security Center のポリシーとして追加し、推奨事項として視覚化できるようになりました。

このリリースでは、重要度、修復手順、脅威情報などを含むようにカスタム推奨メタデータを編集する機能が追加されました。

Assessment API の一般提供開始

Azure Security Center の推奨事項を取得し、評価が失敗した理由を提供する新しい API が導入されています。新しい API には、次の 2 つの API が含まれています。

既存の Tasks API を使用しているお客様は、レポート用に新しい Assessments API を使用することをお勧めします。

規制コンプライアンス動的コンプライアンス パッケージの一般提供開始  

規制コンプライアンスに、'組み込み' コンプライアンス パッケージの他に "動的コンプライアンス パッケージ" またはその他の標準を追加できるようになりました。

Azure Security Center の規制コンプライアンス ダッシュボードは、一連の業界標準、規制、ベンチマークに対するコンプライアンス対応状況についての分析情報を提供します。評価はリソースのセキュリティの状態を継続的に監視し、環境が特定のコンプライアンス制御の要件を満たしているかどうかを分析するために使用されます。これらの評価には、リソースの状態を修復する方法に関する実用的な推奨事項も含まれており、これによってコンプライアンスの状態が改善します。

当初、コンプライアンス ダッシュボードには、ダッシュボードに '組み込みの' ごく限られた標準セットのみが含まれており、Security Center に含まれている静的ルール セットに依存していました。動的コンプライアンス パッケージ機能を使用すると、お客様にとって重要な新しい標準やベンチマークをお使いのダッシュボードに追加できます。コンプライアンス パッケージは、基本的に Azure Policy で定義されたイニシアティブです。ASC Security Policy からサブスクリプションまたは管理グループにコンプライアンス パッケージを追加すると、基本的には、お客様が選択したスコープ (サブスクリプションまたは管理グループ) に規制イニシアチブが割り当てられます。コンプライアンス ダッシュボードには、評価としてマップされているすべての関連するコンプライアンス データが表示されます。

このようにすると、新たに公開された規制イニシアチブをお使いの Security Center の規制コンプライアンス ダッシュボードのコンプライアンス標準として追跡できます。さらに、Microsoft がイニシアチブの新しいコンテンツ (標準のより多くのコントロールにマップされる新しいポリシー) をリリースすると、お使いのダッシュボードに追加コンテンツが自動的に表示されます。また、ダッシュボードにオンボードされた標準のいずれかの概要レポートをダウンロードすることもできます。

サポートされている規制標準とベンチマークのいくつかをダッシュボードにオンボードできます。最新のものは、Azure セキュリティ ベンチマークです。これは、一般的なコンプライアンス フレームワークに基づいたセキュリティおよびコンプライアンスのベスト プラクティスに関し、Microsoft が作成した Azure 固有のガイドラインです。追加の標準は、ダッシュボードが使用可能になるとサポートされます。  

動的コンプライアンス パッケージの詳細については、こちらのドキュメントをご覧ください。

Azure Logic Apps のワークフロー オートメーションの一般提供開始 

セキュリティと IT 運用が一元管理されている組織では、環境で矛盾が見つかった場合に組織内で必要なアクションを実行する内部ワークフロー プロセスを実装しています。多くの場合、これらのワークフローは繰り返し可能なプロセスであるため、自動化によって組織内のオーバーヘッド合理化プロセスを大幅に削減できます。

現在一般提供が開始されている Azure Security Center のワークフロー自動化を使用すると、Azure Logic Apps を利用して自動化構成を作成し、ポリシーを作成することができます。これにより、推奨事項やアラートなどの Security Center の特定の結果に基づいて、ポリシーが自動的にトリガーされます。Azure Logic App は、Logic App コネクタの広範なコミュニティによってサポートされているカスタム アクションを実行するように構成することも、メールの送信や ServiceNow™ チケットのオープンなど、Security Center が提供するテンプレートのいずれかを使用することもできます。さらに、ユーザーは、推奨事項 ([クイック修正] オプションを使用)、または Azure Security Center のアラート ページから直接、個別のアラートや推奨事項で手動で Logic App をトリガーできます。

Security Center の推奨事項とアラートをエクスポートする、高度な統合の一般提供が開始

セキュリティ アラートと推奨事項のエクスポートをサポートする Azure Security Center の連続エクスポート機能の一般提供が、ポリシー経由でも開始されました。これを使用して Azure Event Hubs または Azure Log Analytics ワークスペースにエクスポートすることによって、Security Center 環境のセキュリティ データをお客様の組織で使用している監視ツールに簡単に接続できます。

この機能は、中でも次のような統合を通じて、エンタープライズ規模のシナリオをサポートします。

  • Azure Event Hubs にエクスポートすると、Azure Sentinel、サードパーティ製の SIEM、Azure Data Explorer、Azure Functions との統合が可能になります。
  • Azure Log Analytics ワークスペースにエクスポートすると、Microsoft Power BI、カスタム ダッシュボード、Azure Monitor との統合が可能になります。

詳細については、連続エクスポートに関する説明をご覧ください。

セキュリティで保護された基盤の構築

これらの機能追加により、Azure は引き続き安全な基盤を提供し、組み込みのネイティブなセキュリティ ツールとインテリジェントな分析情報をお客様に提供して、クラウドのセキュリティ体制をすばやく改善できるよう支援します。Azure Security Center は、ハイブリッド クラウド向けの統合されたセキュリティ管理と高度な脅威の防止で、その役割を強化します。

セキュリティは待ってくれません。今すぐ Azure Security Center の使用を開始して、Azure Security Center Tech Community にアクセスしましょう。あなたと同じようなセキュリティの考えを持つ人とつながることができます。