昨今、リモートで業務を継続できるようにクラウド上のサービスを活用したり、新たにクラウドアプリをデプロイしたりする企業/組織が見受けられます。リモートでの業務形態やクラウドサービスの活用方法には多様なシナリオがありますが、今回は、クラウドアプリを利用する際のセキュリティを検討するにあたり、参考となるMicrosoft Azureの主なセキュリティ機能/コントロールについて紹介します。

ID管理と保護

クラウドサービスを利用する場合、まず大切なのは正しく利用ユーザーの認証を行い、不正なアクセスを防ぐことです。マイクロソフトが提供するIDプロバイダー (IdP) である「Azure Active Directory (Azure AD) 」は、さまざまなセキュリティコントロールを提供しています(Office 365 を利用している場合も、既定では背後でAzure ADがID管理基盤としてして利用されています)。

  • 多要素認証を有効にする
    Azure AD で認証を行う場合は、通常ユーザー名とパスワードの組み合わせで認証します。パスワードによる認証は利便性が高い一方で、安易に推察が可能なパスワードなどによる不正ログインのリスクも高く、多要素認証(MFA:Multi-Factor Authentication)で追加の認証が必要となっています。Azure ADでは、スマートフォンなどで利用できる認証アプリ(Microsoft Authenticator)、電話の音声による認証、SMSによる認証が利用可能です。

    多要素認証は、Azure Active Directory (Azure AD) の無料プランでも利用可能です(ただし、無料プランの場合は機能制限があります)。 最低限、Azure ADを管理する管理者など、特権アカウントを持つユーザーは多要素認証を有効にすることをお薦めします。また、多要素認証を常時有効にすると利便性に懸念が生じる管理者以外のユーザーについても、Azure AD条件付きアクセスを併用してリスクが高い場合には多要素を有効にするように構成することをお勧めします。

  • レガシー認証をブロックする
    Azure ADでは、基本認証を使用するPOP、IMAP、SMTPなどのレガシー認証を含め幅広い認証プロトコルをサポートしています。ただし、レガシー認証では多要素認証が利用できないため、不正ログオンに対して脆弱です。レガシー認証の利用を廃止しても問題ない場合は、レガシー認証をブロックし、セキュリティを向上させることを推奨します。

  • Azure ADセキュリティの既定値を有効にする
    セキュリティの既定値」には一般的な攻撃から防御するためのセキュリティ設定が事前に設定されています。2019年10月22日以降に作成されたテナントでは、「セキュリティの既定値」の設定がデフォルトで有効にされており、既存のテナントはワンクリックで機能を有効にすることが可能です。

  • Active Directoryレポートで監視する
    Active Directoryレポートでは、既に侵害されている可能性のあるユーザーアカウントや不正なサインインが行われている可能性など、組織で管理しているIDの状況を把握することができます。アクティビティレポートの項目では、自テナント内で実行されたタスクの履歴を把握し、監査に役立てることもできます。

  • Azure AD Identity ProtectionでIDの保護と監視をする
    Azure AD Identity Protectionでは、組織で利用しているIDがどのような状態であるのか、各IDのリスクを監視し、メールでの通知を行ったり、問題を自動的に修正することができます。

  • Azure AD Privileged Identity Managementで特権アカウントの保護をする
    組織の管理を行う重要な役割を担っている特権アカウントに対する保護は特に重要です。Azure AD Privileged Identity Managementでは、特権アカウントへのアクセスを管理、制御、および監視し、例えば「特権アクセスに変更があった場合にメールを受け取る」といった監視設定が可能です。

クラウドリソースへのアクセス制御

次に大切なのは、ユーザーが認可されたサービスを正しく利用しているかどうかの確認、すなわちリソースへのアクセス制御を行うことです。

  • Azure AD条件付きアクセスを利用して、アクセス制御を行う
    IDとパスワードによる第一段階の認証を得たユーザーが、その後、各リソースにアクセスする際、ユーザーやユーザーが利用しているデバイスの状況に応じて、リソースへのアクセスを許可/ブロックしたり、追加のアクションを求めたりといったリソースへのアクセス制御を行う機能です。例えば、次のような制御を実現できます。   
    • 管理者グループに所属するユーザーの場合は、多要素認証を要求する
    • Azureの管理作業を実施する場合には、多要素認証を要求する
    • 組織が利用するIPアドレス範囲以外からユーザーがサインインした場合、二要素認証を要求する
    • 会社のデバイスとして登録・管理されているデバイス以外を利用したサインインの場合はアクセスを拒否する
    • 特定の場所からのアクセスをブロックまたは許可する
    • 特定のアプリケーションに対して、組織のマネージドデバイスを必要とする
    さらに、Azure AD 条件付きアクセスをAzure AD Identity Protectionと組み合わせて利用することで、ユーザーのリスクを動的に判断し、動的に計算されたリスクレベルに応じて、リソースの利用をブロックしたり、追加の認証を求めたりするようにできます。

  • ロールベースのアクセス制御 (RBAC) で役割に応じたアクセス制御をする
    RBACを利用することで、全てのユーザーに Azureサブスクリプションまたはリソースで無制限のアクセス許可を一律付与するのではなく、特定の範囲に絞って、特定の操作のみを許可することができます。各ユーザーが必要なリソースだけを使って作業を実行できる「最低限の権限」を持つことで、特権を分離し、万が一ユーザーのアカウントが不正利用された場合でも被害の範囲を最小化させることができます。

上記では、アクセス制御のなかでも重要な一部の機能を抜粋してご紹介しています。その他の機能については、「Azure のID管理とアクセス制御のセキュリティに関するベストプラクティス」を参照してください。

安全なアプリケーションの接続

リモート環境で業務を実施する場合、個人所有のデバイスからクラウドアプリを利用したり、新たなアプリを自組織のAzureに接続して利用したりする場合があります。Azureでは、安全にアプリを接続するために役立つさまざまなセキュリティコントロールが用意されています。

  • シングルサインオンを利用する
    Cisco WebexSlack、 Workplace from Facebook、Zoomといったオンライン会議アプリを利用する必要がある場合、Azure ADのシングルサインオンを利用することで、統合されたId管理環境で、ユーザーが必要とするアプリを迅速にデプロイすることができます。

  • Azure AD 条件付きアクセスでアクセスを制御する
    Azure AD 条件付きアクセスでは、必要なユーザーが必要なアプリへアクセスを行うよう制御することが可能です。「アプリへアクセスする場合に多要素認証を求める」「一定レベルの要件を満たしたデバイスを利用している場合のみアクセスを許可する」といった制御が可能です。もし、すでに条件付きアクセスを利用している場合は、設定しているポリシーを見直し、「組織のネットワーク以外からのアクセスを禁止する」などの項目を見直し、必要に応じてリモート環境への対応をすることをお薦めします。

  • Azure ADセキュリティの既定値を有効にする
    Azure AD 条件付きアクセスを利用できない場合は、「セキュリティの既定値」を利用することで、ユーザーが利用するアプリを利用した場合の挙動をコントロール可能です。

  • Azure AD Application Proxyでオンプレ環境のアプリを管理する
    多くの組織では、ビジネス上重要なアプリがオンプレミス環境にあり、組織のネットワーク以外からはアクセスできない状況にあります。Azure AD Application Proxyを利用することで、オンプレミス Web アプリへの接続を安全に構成することが可能です。Azure ADを利用した認証、Azure AD 条件付きアクセスを併用することで、より高度なセキュリティポリシーを設定し、アクセスを制御することが可能です。

    そのほかにも、マイクロソフトは、Akamai Enterprise Application Access (EAA), Citrix Application Delivery Controller (ADC)、F5 BIG-IP Access Policy Manager (APM) 、またはZscaler Private Accessといったサードパーティ製品と連携しているので、これらの製品を利用している場合でも、保護されたハイブリッドアクセスで安全にオンプレ環境のアプリをAzureに接続することが可能です。

エンドポイントの脅威の監視と迅速な対応

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)」 はエンドポイントの監視と対策を行います。各デバイスでのマルウェア対策 (Windows Defender AV) の管理だけではなく、インシデントレスポンスに必要な機能の一つである「Endpoint Detection and Response(EDR)」の機能を統合的に管理し運用することが可能です。

また、組織内の脆弱性を管理する Threat &Vulnerability Management、Attack Surface Reduction、そして自動的な調査と対応 (Auto-IR) など、幅広い機能を利用することもできます。Windows Defender ATPは、MDMで会社が管理する端末の場合、簡単に導入でき、MacOSや、VDIを利用している環境にも対応しています。 

ベストプラクティスを参考に

Azure AD やその他のAzureのリソースを利用している場合、今回ご紹介した機能以外にもさまざまなセキュリティに関する設定が用意されています。それらのなかでも、特に重要な設定や構成については、ベストプラクティスとしてまとめらています。

また、セキュリティ スコア機能を利用すると、推奨されているベストプラクティスに、自テナントがどの程度適合しているかを評価することが可能です。セキュリティ構成を客観的に測定し、見落としていた構成や設定を発見したり、今後のセキュリティ強化の指標にしたりすることができるので、ぜひ活用してください。

なお、全てのセキュリティ機能や組織のセキュリティ状況の確認は、「Microsoft 365セキュリティ センター」で一元管理することが可能です。どこから始めたらよいかわからない場合などは、まず、Microsoft 365セキュリティ センターを確認することをお薦めします。