日本マイクロソフト
セキュリティレスポンスチーム
セキュリティプログラムマネージャー
ゆりか先生(村木 由梨香)

これまでのオンプレミス環境では、アプリケーションが持つ異なる構造やインタフェースを理解したうえで、さまざまなログの集積と分析を行う必要があり、システムが複雑になるにつれて作業コストが肥大化し、IT部門を悩ませてきました。

特にセキュリティの管理面では、監視対象のサーバーやサービスから日々上がる多種多様なアラートを、セキュリティの専門知識をもとに素早く分析、対応することが求められます。そのため、必要となる費用や時間、人的リソースが追いついていない組織も少なくありません。

前回でその存在を紹介した「Azure Security Center」は、そうしたIT部門の悩みを解決すべく登場しました。

これまでIT管理者やセキュリティ管理者が行っていたセキュリティ監視・分析・対応といった基本的な動作の一部をAzure Security Centerが自動的に担うことで、管理作業の簡略化が実現できます。また、マイクロソフトやセキュリティ業界が連携して集積した知見を活かして取るべき対策を素早く提示。セキュリティに精通していない管理者であっても、より重要なイベントに対応できるよう、対策を促します。ここで、Azure Security Centerの代表的な機能を3つ、ご紹介します。

防止(Protect)

Azure Security Centerの管理ポータルでは、リソースのセキュリティ設定が正しい構成なのか監視しており、注意が必要なリソースを一目でわかりやすく特定できるようにしています。

初めに、組織全体か特定のリソースに対して、どの設定を監視対象にするかをセキュリティポリシーで定義します。基準となるルールは「Azure Security Center Common Configuration Identifiers and Baseline Rules」で公開されており、WindowsとLinuxにおける確認項目を一覧で確認できます。

これらの項目は、システム設定上のセキュリティ問題を業界で定めた「共通セキュリティ設定一覧CCE(Common Configuration Enumeration)」に従っているため、異なるベンダーや管理者の間であっても、共通の項目として確認可能です。例えば、「マルウェア対策ソフトが稼働していない」「不要なポートが開いている」といった、セキュリティポリシーに準拠していないリソースが見つかった場合、重要度別に管理ポータル上に表示されます。

セキュリティポリシーで必要となる監視を設定する

検出&分析(Detection & Analytics)

Azure Security Centerでは、Azureリソースにおけるセキュリティ アラートを集積しつつ、世界中の脅威を集積したデータベースと照らし合わせて分析し、実際に発生している脅威を検出して表示します。クライアント端末で不審なアプリケーションが実行され、よくある攻撃パターンに合致する挙動だった場合、アラートとして表示されます。

管理ポータルでは視認性を高めていますが、Power BIなどの分析ツールはもちろん、他ベンダーのSIEMとも簡単に連携できるため、より詳細なイベント管理が可能となります。SIEM連携以外にも、さまざまな他ベンダー製品が上げるアラートも集約できるため、ITシステム全体の包括的な監視・検出を行えるのです。

これまでは、ITシステムで活用する製品が増えたびに、製品ごとの管理コンソールを使い分ける必要がありましたが、Azure Security Centerで、統合管理を行いつつ、詳細な確認が必要な項目のみ、それぞれのコンソールを活用する、といった使い分けで、作業簡略化が期待できます。

セキュリティアラートの例

対応 (Respond)

クラウドサービスのメリットとして「製品やサービスを使いたい時に素早く利用できる」という点が挙げられます。これまでのオンプレミスの管理では、上がってきたアラートに対して「どのような対策が必要か」「どのような製品やサービスが採用できるか」を分析してから、比較検討までに多大な時間・コストがかかっていました。そのため、セキュリティアラートが上がってから対策するまでに時間がかかり、検討最中にセキュリティ侵害を受けるというケースも少なくありません。

Azure Security Centerでは、上がってきたアラートの分析と共に検討作業が自動で行われ、追加ソリューションを提案してくれます。取るべき対応策のアドバイスをAzure Security Centerが担うため、管理者は最終的な判断と、必要な作業に集中でき、より少ないコストで、素早い対応が実現できます。

例えば、WebサーバーにWAFが用意されていない場合にAzure Security Centerが警告を表示して、F5 NetworksやBarracuda Networks、ImpervaなどのWAFソリューションを提案します。これらは、わずか数クリックで導入が可能となります。

WebアプリケーションでWAFが導入されていないことを検出

まとめ

セキュリティ管理のみならず、ITリソースを包括的に運用・管理するためには、SIEMを導入するか、独自でログ収集・分析の仕組み作りが必要となり、予算面、人材面の双方で多大なコストを必要とします。

また、ログは収集するのみならず、正しく分析して緊急度を判断する必要があり、具体的な対策の検討には専門知識が必要となります。特にセキュリティ面では、業界全体で専門人材の不足が取り沙汰されていますし、経営層の認識不足から、セキュリティに対する追加投資がすぐに行えないといった状況もあります。

Azure Security Centerは、そうした悩みの解決をサポートする手段です。人材不足や大規模なSIEM導入に障壁のある組織にとってはもちろんのこと、SIEM導入済みの組織にとっても、クラウド側の管理をAzure Security Centerに集約し、SIEMへフィードするように構成することで、効率の良い管理が可能となります。ぜひ、クラウド時代にあった新しいセキュリティ管理を取り入れてみてください。