Azure Security Center でセキュリティ ポスチャと脅威に対する保護を強化

2018年9月26日 に投稿済み

Principal Group PM Manager, Azure Security Center

先日、お客様と話した際に、そのお客様が直面しているオンプレミスのセキュリティ課題をシェアしていただきました。具体的にどのような課題があるかというと、セキュリティ エキスパートをどのように雇用し維持するか、増え続ける脅威にどうすれば迅速に対処できるか、自社のコンプライアンス要件に合ったセキュリティ ポリシーを用意できるかなどです。

このような課題は、クラウドへ移行することで解決できます。Microsoft Azure は、インフラストラクチャやアプリケーションをホストするための安全な基盤を提供しています。また、組み込みのセキュリティ サービスや独自のインテリジェンスにより、ワークロードをすばやく保護したり、脅威を未然に防止したりできます。マイクロソフトのセキュリティ ツールは、ID、ネットワーク、データ、IoT など、幅広く脅威の対策やセキュリティ ポスチャの管理にお役立ていただけます。今回は、純正サービスとして統合されている Azure Security Center をご紹介します。

Security Center は Azure プラットフォームに組み込まれており、わずか数ステップの簡単な操作を行うだけで大規模なワークロードを保護できます。エージェント ベースのアプローチを採用しているため、Azure 以外のクラウドやオンプレミスも含めた環境全体のセキュリティ状態の継続的な監視や評価が可能です。Icertis (英語)Stanley Healthcare (英語) などのお客様は、セキュリティ監視の強化や簡素化にこのサービスを活用しています。Azure Security Center は、問題を迅速に分析して柔軟に対応できる、マイクロソフトやサードパーティ製の統合型ソリューションを提供します。わずか数クリックの操作でサービスを有効化すれば、複雑なセキュリティ管理から解放されます。

このたび、ハイブリッド環境全体でのセキュリティ ポスチャと脅威に対する保護を強化するための機能を複数発表しました。

セキュリティ ポスチャの強化

Secure Score でセキュリティを総合的に強化: Secure Score を活用することで企業のセキュリティ ポスチャを明確化することができます。この機能は、サブスクリプションや管理グループ全体のすべての推奨事項に優先順位を付け、まずどの脆弱性から対応するべきかを示します。影響の大きい問題を迅速に修正することで Secure Score が大きく上がり、セキュリティ ポスチャがどれくらい改善されたかを把握できます。

セキュリティ スコア

新しいネットワーク トポロジ マップとの連携: Security Center は、新しいネットワーク トポロジ マップを使用して仮想ネットワーク、サブネット、ノードのセキュリティ状態を明確に示すことができます。ネットワーク コンポーネントを確認する際に、表示される推奨事項に従ってネットワーク内で検出された問題に迅速に対応できます。また、Security Center でワークロードのネットワーク セキュリティ グループのルールを継続的に分析し、ワークロードでアクセス可能なすべての VM を含むグラフをネットワーク トポロジ マップ上に表示します。

ネットワーク マップ

組織レベルのセキュリティ ポリシー定義でコンプライアンス要件に準拠: セキュリティ ポリシーを企業レベルで設定し、すべてのサブスクリプションをコンプライアンス要件に準拠させることができます。さらに、企業内の管理グループでもセキュリティ ポリシーを設定できます。企業全体、各サブスクリプション、各管理グループのコンプライアンス スコアによってセキュリティ ポリシーが準拠しているかどうか簡単に確認できるため、問題点をすばやく把握して対応できます。

新しい規制コンプライアンス ダッシュボードを使用して規制コンプライアンスを監視およびレポート: Security Center の規制コンプライアンス ダッシュボードは、ご利用のクラウド環境のコンプライアンスを監視するために役立ちます。CIS、PCI、SOC、ISO などのコンプライアンス標準に準拠するための推奨事項を提示します。

規制コンプライアンス

ポリシーをカスタマイズして Azure のデータ リソースの情報を保護: 情報ポリシーをカスタマイズして、Azure データ リソース内の機密データの検出、分類、ラベル付け、保護などができるようになりました。このデータ保護機能は、コンプライアンス要件やプライバシー要件への準拠、および特に機密性が高い情報にアクセス可能なユーザーを制限する際に役立ちます。データ セキュリティの詳細については、こちらのドキュメント (英語) をご覧ください。

コンテナーと Docker ホストのセキュリティ評価: Linux 仮想マシンで実行されているコンテナーのセキュリティ状態を把握できます。ここでは、Docker で実行中の仮想マシンの分析結果や CIS 製の Docker 用ベンチマークに基づくセキュリティ評価が表示されます。

進化する脅威からの保護

Windows Defender Advanced Threat Protection サーバー (WDATP) との統合: Security Center はお客様のインフラストラクチャをターゲットにする幅広い脅威を検出できます。WDATP との統合により、Windows Server 用エンドポイント脅威検出機能 (Server EDR) を使用できるようになりました。マイクロソフトの膨大な脅威インテリジェンスを利用する WDATP によって攻撃者のツールや手口が特定、通知されるため、脅威について理解したうえで対応することができます。侵害についての詳細情報は、[Security Center] ブレードのインタラクティブな [Investigation path] で確認できます。WDATP は、Security Center に登録している Azure とオンプレミスの Windows サーバーに対して自動的に有効化されます。

Linux での脅威検出: さまざまな Linux ディストリビューションで、Security Center の高度な脅威検出機能を使用できます。ワークロードが実行されているオペレーティング システムや場所にかかわらず、脅威への対応に必要な情報をすばやく取得できます。この機能では、不審なプロセス、ログイン試行、カーネル モジュール改ざんなどを検出します。

適応型ネットワーク制御: パブリック クラウド上のワークロードに対する攻撃では、パブリック インターネットとの接続部分が特に狙われやすくなります。Security Center は、Azure ワークロードのネットワーク接続パターンを学習し、ネットワーク セキュリティ グループにおけるネットワーク アクセス ポリシーの構成に関するさまざまな推奨事項を提示して、攻撃の可能性を抑制します。マイクロソフトの膨大な脅威インテリジェンス レポートに基づき、過去に効果の低かった措置はこの推奨事項から除外されます。

Azure Storage Blob および Azure Postgre SQL の脅威検出:Security Center では、仮想マシンだけでなく、Azure Storage アカウントや Azure PostgreSQL サーバーのデータを狙う脅威も検出できます。異常なアクセス試行やデータ侵害にすばやく対応し、問題を調査します。

また、Azure App Service に対する脅威を検出し、アプリケーションを保護するための推奨事項も提示します。

Fileless Attack Detection: Security Center では、幅広い高度なメモリ フォレンジック手法を使用して、メモリ内のみに潜伏するために従来の手段では検出されなかったマルウェアを特定します。リッチなコンテキスト情報に基づいて、アラートのトリアージ、関連付け、分析、パターン抽出を行えます。

適応型アプリケーション制御: 不正なアプリケーションを監査し、仮想マシンでの実行をブロックできる機能です。アプリケーションでの不審な動作や設定ポリシーからの逸脱に対応できるように、Security Center がホワイトリストのポリシー違反に関するアラートを生成します。また、[Not recommend] カテゴリに分類された仮想マシンのグループでこの機能を有効化すると、Azure の Windows 仮想マシン上の全アプリケーションを確実にホワイトリストに適合させることができます。

Just-in-Time VM アクセス: Just-in-Time VM アクセスを使用することで、管理ポートをロックダウンし、限られた時間のみ開くようにして、ブルート フォース攻撃を受けるリスクを軽減します。ポートへの接続方法やユーザー アクセス可能な時間などのルールを設定できます。また、Just-in-Time VM Access で設定したルールが、ネットワーク セキュリティ グループの既存構成に相反しないようにします。

ファイルの整合性の監視 (FIM): オペレーティング システムやアプリケーション ソフトウェアを攻撃から守るために、Security Center は Windows のファイルとレジストリ、および Linux ファイルの動作を継続的に監視します。Windows ファイルの場合、再帰、ワイルドカード、環境変数 (英語)を使用して変更を検出できます。異常なファイル変更や悪意のある動作が検出された場合には、引き続きファイルを制御できるように、Security Center にアラートが表示されます。

Azure Security Center の新機能の利用開始

一般提供中の機能:企業レベルのセキュリティ ポリシー、適応型アプリケーション制御、特定のロールに対する Just-in-Time VM アクセス、Just-in-Time VM アクセスのネットワーク セキュリティ グループのルールの調整、ファイル整合性監視 (FIM)、Linux 向けの脅威検出、Azure App Service での脅威検出、Fileless Attack Detection、アラートの Confidence Score、Windows Defender Advanced Threat Protection (ATP) の統合。

パブリック プレビュー中の機能:コンテナーのセキュリティ状態、ネットワーク トポロジ マップ、Azure SQL の情報の保護、Azure Storage Blob および Azure Postgre SQL の脅威検出、Secure Score。

コンプライアンス ダッシュボード (英語)適応型ネットワーク制御 (英語) などの機能は限定プレビューとして提供中です。この初期プレビューへの参加をご希望の場合はマイクロソフトまでお問い合わせください。

Azure Security Center の関連情報

オーランドで開催される Ignite 2018 にご参加の方は、ぜひ Azure セキュリティ ブースにお立ち寄りください。9 月 26 日 (水) 午後 2 時 15 分~ 3 時 (米国東部夏時間) (9 月 27 日 (木) 午前 4 時 15 分~ 5 時 (日本時間)) に開催される Azure Security Center のセッションへのご参加もお待ちしております。会場でお会いできることを楽しみにしています。

これらの Security Center の機能を導入する際の詳細については、こちらのドキュメントをご覧ください。