"このブログ記事は、Azure Security Center の Ron Matchoro (プリンシパル プログラム マネージャー)、Ronit Reger (シニア プログラム マネージャー)、Miri Landau (シニア プログラム マネージャー)、Devendra Tiwari (プリンシパル PM マネージャー) の共同執筆によるものです。"

ビジネスをクラウドに移行することによってイノベーションをより迅速に実現する組織が増えてくるにつれて、あらゆる業界にとってセキュリティの強化が決定的に重要になっています。Azure には、データ、アプリケーション、コンピューティング、ネットワーク、ID、脅威からの保護、およびセキュリティ管理の全体にわたって組み込みのセキュリティ制御が用意されているため、保護をカスタマイズしたりパートナーのソリューションを統合したりできます。 

Microsoft は継続してセキュリティに投資しており、今週の Hannover Messe 2019 において素晴らしいニュースを発表できることを嬉しく思います。Dedicated Hardware Security Module (HSM) サービス (英国、カナダ、オーストラリア) および仮想マシン スケール セット (VMSS) 向け Azure Disk Encryption のサポートが一般提供されたことをお知らせします。Advanced Threat Protection for Azure Storage、規制へのコンプライアンス ダッシュボード、および仮想マシン セットのサポートが、Azure Security Center の一部として一般提供されたことをお知らせします。

Advanced Threat Protection for Azure Storage の一般提供

Advanced Threat Protection for Azure Storage は、お客様がストレージ アカウントでの潜在的な脅威の発生を検出して対応する際に役立ちます。この保護レイヤーにより、セキュリティの専門家でなくてもセキュリティを保護し、懸念事項に対応することができます。有効化は素早く簡単に行うことができます。いったん有効にすると、不審なアクティビティが発生したときにセキュリティ アラートがトリガーされます。これらは Azure Security Center で確認できます。セキュリティ アラートでは、検出された不審なアクティビティの詳細と、潜在的な脅威を調査したり軽減したりするための推奨アクションが提供されます。

Advanced Threat Protection for Azure Storage の利点は次のとおりです。

• 通常とは異なるアクセスおよびデータ窃盗アクティビティの検出。
• 実行可能な調査および修復の手順が記載された電子メール アラート。
• Azure Security Center を使用した、Azure テナント全体の一元的なアラート表示。
• Azure portal、Azure Policy、または標準の Azure API を使用した、多数のストレージ アカウントに対する容易な有効化。

詳細については、ドキュメント「Advanced Threat Protection for Azure Storage」、またはAzure Security Center の価格ページを参照してください。

Azure Security Center の規制コンプライアンス ダッシュボードの一般提供

Azure Security Center の規制コンプライアンス ダッシュボードが一般提供されたことをお知らせします。このダッシュボードを使用すると、サポートされている一連の基準と規制についてコンプライアンス体制に関する分析情報が提供されるため、Security Center のお客様はコンプライアンスのプロセスを合理化できます。

このコンプライアンス ダッシュボードには、Azure 環境とハイブリッド環境の継続的な監視に基づき、特定のコンプライアンス要件に沿ったセキュリティ評価と推奨事項が提示されます。また、このダッシュボードでは、推奨事項を処理し、お使いの環境のリスク要因を削減してコンプライアンス体制全般を改善する方法に関する実行可能な情報も提供されます。

規制コンプライアンス ダッシュボードで提供される情報は、サポートされている基準に対するコンプライアンス状態に関して社内および社外の監査人に証拠を提供する場合にも非常に役立ちます。これをさらに容易にするために、コンプライアンス レポートをコンプライアンス ダッシュボードから直に生成してダウンロードできるようにまりました。このレポートは、サポートされている特定のコンプライアンス基準について生成され、この基準に関する現在のコンプライアンス状態の概要を示します。さらに、コンプライアンスのプロセスを自動化し、プログラムの API を使用してこれらを大規模に管理できます。

Azure Security Center の規制コンプライアンスの詳細については、「チュートリアル:規制に対するコンプライアンスの向上」を参照してください。

Azure Security Center での仮想マシン スケール セットのサポートの開始

Security Center で仮想マシン スケール セットを保護できるようになりました。Security Center の高度な脅威検出機能を使用すると、セキュリティ全般を向上し、脆弱性を削減し、脅威を検出する目的で、セキュリティに関する推奨事項の提案を受け、VM スケール セットのセキュリティ体制を容易に監視できます。

Security Center では VM スケール セットが自動的に検出されて、より適切なセキュリティ評価を取得し、イベントベースの脅威検出を有効にするために、監視エージェントをインストールするよう推奨するメッセージが表示されます。

各 VM スケール セットのセキュリティ正常性と推奨事項を確認できます:

すべての VM スケール セット インスタンスごとに、次のような推奨事項の一覧からメリットを得ることができます。

• 監視エージェントをインストールする 
• セキュリティ構成の脆弱性を修復する 
• エンドポイント保護の正常性エラーを修復する 
• 仮想マシン スケール セットにエンドポイント保護ソリューションをインストールする
• システムの更新プログラムをインストールする 
• 仮想マシン スケール セットで診断ログを有効にする

Security Center の Standard レベルで保護されているすべての VM の VM スケール セット インスタンスで、脅威検出アラートを利用することもできます。VM スケール セットのサポートに関するセクションをご覧ください。

注: VM スケール セット インスタンスの価格は、VM と同じです。詳細については、価格に関するページを参照してください。

英国、カナダ、およびオーストラリア リージョンでの Azure Dedicated HSM サービスの提供を発表

Azure Dedicated Hardware Security Module (HSM) サービスでは、Azure で暗号化キー ストレージを提供しており、お客様の最も厳しいセキュリティおよびコンプライアンス要件にも対応します。このサービスは、FIPS 140-2 レベル 3 認定デバイスと、HSM アプライアンスの排他的かつ完全な制御を必要とするお客様に最適なソリューションです。Dedicated HSM サービスでは、Gemalto 社の SafeNet Luna Network HSM 7 デバイスを使用します。このデバイスは、最高レベルのパフォーマンスと暗号化を統合するオプションを提供しており、HSM で保護されたアプリケーションを簡単に Azure へ移行することができます。Azure Dedicated HSM はシングル テナント ベースでリースされます。

Azure Dedicated HSM サービスは、元々 2018 年 11 月 28 日に 8 つの Azure パブリック リージョンで発表されましたが、今回、このサービスが英国、カナダ、オーストラリアに拡大されたことをお知らせします。この新しい発表により、Dedicated HSM サービスは、14 のリージョン、つまり、米国東部、米国西部、米国中南部、米国東部 2、東南アジア、東アジア、西ヨーロッパ、北ヨーロッパ、英国南部、英国西部、カナダ中部、カナダ東部、オーストラリア東部、およびオーストラリア南西部の各リージョンで利用できるようになりました。今後、他の Azure リージョンにもこのサービスを継続的に展開する予定です。

• Dedicated HSM サービスの提供状況の発表については、ブログ記事「Azure Dedicated HSM 提供の発表」を参照してください。
• Azure Dedicated HSM サービスについて詳しくは、サービス ドキュメントをご覧ください。
• お客様のアプリケーションに対するこのサービスの価格と適合性については、お客様の Microsoft 担当者にお問い合わせください。

仮想マシン スケール セット向け Azure Disk Encryption の一般公開の発表

このたび、仮想マシン スケール セット (VMSS) 向け Azure Disk Encryption (ADE) の一般提供を開始しました。今回の発表により、Azure パブリック リージョンにおいて Windows および Linux の仮想マシン スケール セットで Azure Disk Encryption を有効にすることができます。これにより、お客様は業界標準の暗号化テクノロジを使用して、仮想マシン スケール セットの保存データを保護および防御できます。

Azure Disk Encryption は、Windows と Linux の IaaS 仮想マシン スケール セット ディスクを暗号化する際に役立つ機能です。Disk Encryption では、業界標準となっている Windows の BitLocker 機能と Linux の DM-Crypt 機能を利用して、ディスクのボリューム暗号化が提供されます。このソリューションは、ディスクの暗号化キーとシークレットを制御および管理できるように、Azure Key Vault と統合されています。また、このソリューションでは、VM ディスク上のすべてのデータが、Azure Storage での保存時に暗号化されます。

このソリューションは、すべての Azure パブリック リージョンに展開されます。サポートされる/されないシナリオ、インターフェイス、およびディスク暗号化テクノロジを使用して仮想マシン スケール セットを暗号化し、シナリオを検証する方法の詳細について、以下で説明します。

サポートされるシナリオ

1. 仮想マシン スケール セットの暗号化はマネージド ディスクで作成されたスケール セットの場合にのみサポートされます。ネイティブ (またはアンマネージド) ディスク スケール セットの場合はサポートされません。
2. Windows 仮想マシン スケール セットの OS とデータ ボリュームでは、仮想マシン スケール セットの暗号化がサポートされています。
3. Windows 仮想マシン スケール セットの OS とデータ ボリュームでは、暗号化の無効化がサポートされています。
4. Linux 仮想マシン スケール セットのデータ ボリュームでは、仮想マシン スケール セットの暗号化がサポートされています。Linux 仮想マシン スケール セットのデータ ボリュームでは、暗号化の無効化がサポートされています。
5. 仮想マシン スケール セットの再イメージ化操作とアップグレード操作がサポートされています。
6. 暗号化を保護するためのキー コンテナーは、仮想マシン スケール セットと同じサブスクリプションかつ同じリージョン内で、適切なアクセス ポリシーを使用してプロビジョニングする必要があります。

サポートされないシナリオ

1. 仮想マシン スケール セットの暗号化は、ネイティブ (またはアンマネージド) ディスクで作成されたスケール セットの場合はサポートされません。
2. 仮想マシン スケール セットの暗号化は、Linux 仮想マシン スケール セットの OS ボリュームではサポートされません。

仮想マシン スケール セットに対する Azure Disk Encryption のサポートの詳細については、以下の ADE のドキュメントを参照してください。

• Azure Disk Encryption の前提条件
• Windows 仮想マシン スケール セットの暗号化
• Linux 仮想マシン スケール セットの暗号化

Microsoft による Azure セキュリティへの継続的な投資により、Microsoft が管理するきわめて安全なクラウド基盤を使用して、コストと複雑さをどちらも軽減できます。多層型の組み込みセキュリティ コントロールと、Azure 以外では得られない脅威インテリジェンスが、日々進化を続ける脅威の特定と、脅威からの保護の実現に貢献します。Azure セキュリティの詳細については、Azure セキュリティのホーム ページをご覧ください。Azure Security Center の新機能をお試しになる場合は、是非 Azure Security Center のホーム ページをご覧ください。フィードバックと詳細情報については、チーム (SecurityCenter@microsoft.com) までお問い合わせください。

Microsoft パートナーが築く持続可能な未来について、Hannover Messe 2019 でご確認ください。