Azure のセキュリティの新しいイノベーションでマルチクラウドのワークロードを保護する

2020年9月22日 に投稿済み

Vice President, Cloud Security

この 6 か月間で、COVID-19 によって、業務とセキュリティに対する取り組み方に関するほとんどすべてのことが変わりました。今では、リモートの従業員のニーズに対応し、急速に進化するビジネスの要件をサポートし、次の常態が何を伴うのかが実際にはわからない場合でも、組織をその常態に導く必要があります。それと同時に、悪意のある人物によって不安や弱みに付け込む機会が利用されるため、サイバーセキュリティがかつてないほど重要になっています。

表面上は、これらのすべてが脅威となっているように思えます。しかし、このような劇的な変化によって、進化する機会も訪れます。今では "新しい日常" によって、アジャイルなまま、コストを削減しながら、かつてないほど多くのセキュリティに関する作業にすべて対処しなければならないことを Microsoft は認識しています。どのようにすればよいでしょうか? 重要なことにしっかりと焦点を合わせましょう。そのために、最大の脅威と最も重要な優先事項に意識を集中させるのに役立つ組み込みの AI と共に、悪意のある人物に対する防御のために必要な対象範囲の広いクラウドネイティブ ツールが提供される Microsoft Azure があります。

このたび、マルチクラウドと Azure のワークロードを保護するのに役立つ、以下のような一連の幅広いイノベーションが発表されました。

  • Azure Defender の新しいブランド エクスペリエンス、追加の保護、CyberX の統合。
  • Azure Sentinel のユーザー/エンティティ行動分析と脅威インテリジェンス。
  • Azure Security Center のマルチクラウド セキュリティ体制の管理。
  • Azure Key Vault のマネージド ハードウェア セキュリティ モジュール。
  • Azure セキュリティ ベンチマーク v2 を使用したセキュリティ コントロールの評価の拡張。
  • Azure 用カスタマー ロックボックスのサポート対象サービスの追加。
  • 保存中および転送中のデータの二重暗号化。

Azure を保護する場合でも、Azure のセキュリティ ツールで会社全体を保護する場合でも、これらの機能強化は、簡略化に役立ち、重要なことに集中できるようにするために構築されています。

Azure Defender の新しいブランド エクスペリエンス、追加の保護、CyberX の統合

今日では、多くの異なる攻撃対象領域全体で脅威を検出する必要があります。XDR は、エンドポイント、アプリケーション、ネットワーク、クラウドに及ぶ一連の脅威防止テクノロジを表す業界の新たなカテゴリです。一部のベンダーは XDR を提供していますが、SIEM を提供しているベンダーもあります。Microsoft では、SIEM の包括的な特質と XDR でのシグナルの優先順位付けの両方が有益だと考えています。Microsoft では、Microsoft Defender Advanced Threat Protection (ATP)、Azure ATP、Office 365 ATP などのユーザー環境保護テクノロジに加え、Azure Security Center Standard エディション、Azure Security Center for IoT、Advanced Threat Protection for SQL などのインフラストラクチャ保護テクノロジによって、市場で最も包括的な XDR 機能の 1 つを提供しています。

このたび、これらのテクノロジのブランドを Microsoft Defender の統合ブランドによって簡略化および統合いたします。Microsoft Defender には、ユーザー環境を保護する Microsoft 365 Defender と、ハイブリッド環境のクラウド ワークロード保護のための Azure Defender が含まれています。

Azure Defender サービスには、以前は Azure Security Center というブランドだった脅威防止テクノロジのすべてが含まれています。たとえば、Advanced Threat Protection for Azure Storage は Azure Defender for Storage になりました。ブランドの変更以外にも、Azure portal に新しい Azure Defender ダッシュボードが表示されるようになり、Azure Defender による保護が追加されています。多くの場合、お客様は仮想マシンなどのリソースの一部のみを保護していると考えられますが、そのことにより、SQL やストレージ アカウントなどの他のリソースが攻撃に対して脆弱なままになります。新しい統合ダッシュボードには、保護されているリソースが表示されるので、保護する必要があるリソースを簡単に確認できます。Azure Defender の脅威防止機能は引き続き拡張されます。保護が新たに追加されたのは、Azure Key Vault (一般提供開始)、Azure Kubernetes (一般提供開始)、オンプレミスの SQL Server (プレビュー段階)、IoT (プレビュー段階、下記で説明) です。

Azure Security Center for IoT は、Azure Defender for IoT としてブランドが変更されました。7 月には、工業用 IoT、運用テクノロジ (OT)、ビル管理システム (BMS) 環境の保護を支援するために、CyberX の買収が発表されました。

このたび、CyberX のエージェントレス機能が Azure Defender for IoT に統合されました。これにより、管理されているデバイスと共に、管理されていないレガシ IoT/OT デバイス全体で資産、脆弱性、脅威を継続的に特定できます。Azure Defender for IoT では引き続きオンプレミスでエアギャップ環境がサポートされ、徐々に Azure の接続されたシナリオがさらに追加されます。これらの新機能は、10 月に始まるプレビュー期間中は無料で利用できます。

Azure Sentinel のユーザー/エンティティ行動分析と脅威インテリジェンス

Azure Sentinel に、企業全体で脅威を突き止めるのに役立つ新機能が導入されます。このたび、ユーザー/エンティティ行動分析のプレビューが追加されました。これにより、SecOps で未知の脅威、セキュリティ侵害を受けたユーザーによる異常な行動、内部関係者による脅威を検出できるようになります。機械学習と Microsoft のセキュリティに関する研究を活用するユーザーおよびエンティティの行動プロファイルによって、新しい分析情報を得られるようになります。

Microsoft の脅威インテリジェンスは、毎日何兆件もの多様なシグナルを分析することによって構築されています。脅威の指標を検索、追加、追跡する機能、脅威インテリジェンスの参照の実行、エンリッチメントを含む脅威インテリジェンスの管理のしやすさの向上だけでなく、脅威のハンティングを目的としたウォッチリストの作成など、機能強化のプレビューも発表されました。これにより、より多くの脅威をより迅速に把握できます。共通のスキーマや、Microsoft Teams などを対象とした追加のコネクタを含む、他の多数の機能強化が Azure Sentinel に関するブログで取り上げられています

Microsoft 365 E5 のお客様がより短時間で最新化を行えるように、一般的な 3,500 シートのデプロイで毎月 $1500 の節約になるキャンペーン価格が 2020 年 11 月から提供されます。詳細については、アカウント担当者にお問い合わせください。

Azure Security Center のマルチクラウド セキュリティ体制の管理

Microsoft では、かつてないほど広範な攻撃対象領域を保護する任務がお客様に課せられている現状を認識しています。これを効果的に行うことは、Azure だけでなく、クラウド環境のすべてにおける脆弱性を理解することを意味します。Google Cloud のセキュリティが正しく構成されているかどうかを知りたいと思ったことはありますか? AWS についてはどうでしょうか? Azure Security Center で、Google Cloud と AWS のセキュリティ アラートを含む、統合されたマルチクラウド ビューのプレビューが利用できるようになったので、セキュリティ体制の管理がシンプルになります。

Azure Key Vault のマネージド ハードウェア セキュリティ モジュール

フル マネージドで、可用性が高く、FIPS 140-2 レベル 3 で検証されたシングルテナント ハードウェア セキュリティ モジュール (HSM) インスタンスを提供する、Azure Key Vault の新しいオプションが追加されています。Azure Key Vault Managed HSM は現在プレビュー段階で、Key Vault と同じ API が備わっています。Key Vault Managed HSM は、カスタマー マネージド キーを使用する 100 を超えるサービスに対する Key Vault の既存のサポートに徐々に対応する予定です。

Azure セキュリティ ベンチマーク v2 を使用したセキュリティ コントロールの評価の拡張

クラウドの導入に関する取り組みにおける組織にとっての重要なステップは、セキュリティ コントロール フレームワークに対するクラウド サービスの評価を行うことです。このたび、CIS コントロール フレームワーク v7.1 に対する既存のサポートに加えて、NIST SP 800-53 コントロールが含まれる、Azure セキュリティ ベンチマーク v2 が発表されました。Azure セキュリティ ベンチマーク v2 は、Azure Security Center の規制コンプライアンス ダッシュボード内で使用できるようになりました。

Azure 用カスタマー ロックボックスのサポート対象サービスの追加

従業員がリモートにいて分散している現状では特に、真のセキュリティを維持することは、あらゆるシナリオに対応することを意味します。カスタマー ロックボックスには、Microsoft のエンジニアによる顧客データへのアクセス要求をお客様が確認し、承認または拒否するためのインターフェイスが用意されています。Azure Kubernetes Service、HDInsight、Azure Data Box、Azure App Service が新たにサポートされたカスタマー ロックボックスは、20 を超えるサービスで利用できるようになりました。カスタマー ロックボックスは、Azure Government クラウドでもプレビューになりました。

保存中および転送中のデータの二重暗号化

Azure のお客様は、多層防御のために保存中と転送中に 2 つの暗号化レイヤーを利用できるようになりました。これにより、機密性の高いお客様向けに追加のセキュリティ コントロールが提供されます。Azure のサービスで二重暗号化を有効にする方法の手順については、各サービスのドキュメントをご覧ください。

継続的な支援

Azure では、リモートで作業をしながら進化する脅威を回避すると同時に、セキュリティを維持するために必要なツールをお客様に提供することを第一の目標としています。Microsoft では、Azure が信頼できるクラウドとなり、クラウドベースのセキュリティツールで、お客様が Azure 環境だけでなく組織全体を保護できるようにすることを目指しています。ぜひフィードバックをお寄せください。

 


 

Azure。目的を持って創造する。