Azure Security Center と Azure Sentinel でハイブリッド クラウドを保護

6月 4, 2019 に投稿済み

Principal Group PM Manager, Azure Security Center

オンプレミス、クラウド、ハイブリッド、いずれの環境であっても、ワークロードを管理している企業にとって、インフラストラクチャのセキュリティは最優先事項です。そして重要となるのが、絶えず変化するセキュリティ環境を把握し続けることです。幸いなことに、パブリック クラウドのパワーと規模を活かした強力な新機能が登場しました。これにより、変わり続ける脅威の一歩先を行くことができます。マイクロソフトは、クラウド ベースの主要なセキュリティ関連テクノロジを多数開発してきました。それらのテクノロジは、お客様から収集した情報を基にさらに進化しています。そこで今回、Azure の重要なセキュリティ機能を分類しながら、それぞれの機能がどのように連携して多層的な保護を実現しているかをご説明したいと思います。

統合セキュリティ管理システムである Azure Security Center (英語) は、不適切な構成の検出と修正を支援し、脅威を可視化することで迅速な修復を可能にします。Security Center の利用率は急速に拡大しており、機能も増えて、セキュリティ情報イベント管理 (SIEM) に似た「調査」機能をはじめ、多くの新しいソリューションをパイロット展開しています。この調査機能は高い評価を得ていますが、お客様からはより多くの機能を求める声が寄せられています。同時に、Security Center の従来のビジネス モデルは、仮想マシン (VM) などのリソース単位で価格が設定されており、必ずしも SIEM に適してはいません。そこで、Security Center とは別の、連携が可能な洗練されたスタンドアロン SIEM ソリューションを必要としているお客様に向けて、Azure Sentinel を構築しました。以降では Azure Security Center と Azure Sentinel の機能、それぞれの関係性について説明します。

Security Center は、今後も主に次の 3 つの分野で開発を続けます。

  1. クラウド セキュリティ ポスチャの管理: Security Center は、Azure 環境全体のセキュリティ ポスチャの俯瞰図を提供し、Azure Secure Score を活用したセキュリティ ポスチャの継続的な監視と強化を可能にします。ユーザーは、セキュリティのベスト プラクティスとして推奨される強化タスクを見つけて実行し、マシン、データ サービス、アプリ全体に実装できます。たとえば、セキュリティ ポリシーの管理や適用、Azure Virtual Machines インスタンス、Azure 以外のサーバー、Azure PaaS サービスのコンプライアンス確保などです。新たに追加された IoT 機能により、Azure IoT ソリューションの攻撃対象領域を減らすと共に、攻撃を受ける前に問題を修復できるようになりました。セキュリティ ポスチャの管理については、引き続き、リソースの対応範囲拡大やインサイトの強化を進めてまいります。Security Center を使用すれば、環境内のセキュリティ ポスチャを完全に把握できるだけでなく、一般的な規制標準に対する Azure 環境のコンプライアンス状況も確認できます。
  2. クラウド ワークロードの保護: Security Center の脅威からの保護機能により、Azure IoT や Azure App Service などの PaaS (サービスとしてのプラットフォーム) リソースだけでなく、IaaS (サービスとしてのインフラストラクチャ) レイヤー、オンプレミスの仮想マシンでも脅威を検出して防止することができます。主な機能としては、構成の監視、サーバー エンドポイントでの検出と対応 (EDR)、アプリケーション制御、ネットワーク セグメンテーションなどがあり、コンテナーやサーバーレス ワークロードへの対応も進めています。
  3. データ セキュリティ: Security Center には、SQL データベース、データ ウェアハウス、ストレージ アカウントに対する侵害や異常なアクティビティを検出する機能があり、他のデータ サービスへの拡張も進んでいます。また、Azure SQL Database 内のデータを自動分類する機能もあります。

クラウド ワークロードの保護に関しては、使いやすい形で Security Center 内で情報を提示し、ユーザーが個々の脅威に対応できるようにすることを目標としています。Security Center は、高度なセキュリティ運用 (SecOps) での捜索シナリオや SIEM ツールとしての使用を意図したものではありません。

今後、SIEM や SOAR (セキュリティのオーケストレーションと自動化によるレスポンス) の機能は、Azure Sentinel で提供する予定です。Azure Sentinel は、インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に供給し、アラートの検出、脅威の視覚化、プロアクティブな捜索、脅威への対処が可能な単一のソリューションとなります。

Azure Sentinel は企業全体をカバーするセキュリティ オペレーション センター (SOC) としての役割を果たし、巧妙化する攻撃、増大するアラート、長期化する解決期間などに伴う負担を軽減します。次のような機能が提供されます。

  • クラウド規模でのデータ収集: オンプレミスとマルチクラウドの両方の環境で、すべてのユーザー、デバイス、アプリケーション、インフラストラクチャのデータを収集します。
  • キュレーションされたアラートの統合: Security Center、Microsoft Threat Protection などのマイクロソフトのセキュリティ製品や、サードパーティ製セキュリティ ソリューションからのアラートを整理して統合します。
  • 検出されたことのない脅威の検出: 世界中のマイクロソフトのサービスやシステムから収集された数兆個のシグナルを利用する Microsoft Intelligent Security Graph を用いて、新たに発生する脅威を検出すると共に、誤検出を最小限に抑えます。マイクロソフトが培ってきた長年のサイバー セキュリティの経験を活かして、人工知能による脅威の調査や、不審なアクティビティの大規模な捜索を行います。
  • インシデントへの迅速な対応: 組み込みのオーケストレーションと一般的なタスクの自動化により、速やかな対応を実現します。

通常 SIEM は、特定のワークロード用の脅威インテリジェンス アプリケーションなどのさまざまなアプリケーションと統合されますが、Azure Sentinel でもそれは同じです。SecOps では、AI モデル、さらにはユーザー独自のモデルも用いることで、生データへのクエリを最大限に活用できます。

Azure Security Center と Azure Sentinel の関係

Azure Sentinel は、脅威からの保護に関する情報を多数のデータ ソースから収集し、組織全体を把握できるようにします。Security Center はそのソースの 1 つです。Azure ユーザーの皆様には、VM、SQL データベース、ストレージ、IoT などのワークロードを脅威から保護するために Azure Security Center を使用することをお勧めします。Azure Security Center は、わずか数クリックで Azure Sentinel に接続できます。Azure Sentinel から Security Center のデータにアクセスできるようになったら、ファイアウォール、ユーザー、デバイスなどの他のソースと組み合わせて、高度なクエリや人工知能によるプロアクティブな捜索や脅威の軽減が可能になります。

Azure Sentinel と Azure Security Center のつながりを表した図

この戦略に伴う Security Center の変更

Security Center では、セキュリティ アラートの調査フロー、カスタム アラートという初期の SIEM に似た機能を 2 つ提供していましたが、ユーザーの混乱軽減とエクスペリエンスの簡素化を図るために、近日中にこの 2 つの機能を削除する予定です。それぞれのアラートは引き続き Security Center に残し、それぞれと同等の機能を Azure Sentinel で提供します。

マイクロソフトは、今後も Azure Security Center と Azure Sentinel への投資を継続してまいります。Azure Security Center は引き続き、統合インフラストラクチャ セキュリティ管理システムとして、クラウドのセキュリティ ポスチャの管理やクラウド ワークロード保護の役割を担っていきます。Azure Sentinel は、SIEM としての役割に焦点を当てていきます。

各サービスの詳細については、Azure SentinelAzure Security Center (英語) のページをご覧ください。