システムの運用において、自社内で問題解決や最適化の実績を積むことは大切です。培ったノウハウは、他社と差別化する競争力になります。しかし、知識やノウハウを社外に公開してシェアし合うことにより、競合関係を超えた技術の発展が期待できるでしょう。
オープン化してあらゆる企業に使えるようにした成功のプロセスや事例を「ベストプラクティス(best practice)」と呼びます。ベストプラクティスを活用すると、試行錯誤の時間を短縮し、失敗のリスクを回避して効果的な運用を実現します。
Azureでは、セキュリティ対策に関するMicrosoftと顧客の経験を、ベストプラクティスとしてまとめています。今回はベストプラクティスの背景にある考え方に触れるとともに、Azureのセキュリティに関するベストプラクティスの概要を取り上げます。
ベストプラクティスの根底にある考え方
ベストプラクティスという言葉はIT業界に限らず、ビジネス、医療、アカデミックなど、さまざまな場面で用いられています。シンプルにいえば英語の通り「最良の方法」です。産業全体の意義を踏まえて、IT業界における背景と意義を解説します。
産業全体で重視される「ベストプラクティス」
ベストプラクティスは「最良の方法」であると定義しましたが、最良とはどのようなことでしょうか。
医療の現場で最良の方法とは、究極の場合、命を取り留めるケースです。ビジネスでいえば、最悪のリスクを回避し、時間やコストを削減して効率化できることが考えられます。結果として売上や利益の拡大、新規顧客の獲得、リピーターの促進などにつながることがビジネス上の成功です。
ただし、ベストプラクティスは再現可能であることが求められます。偶然が重なって一度だけうまくできた状態は、ベストプラクティスとはいえません。効率化や成功する手法が構造化され、真似ができること、あらゆる企業で利用可能になることが条件です。この意味では、ベストプラクティスは「標準化」といえます。
さらに、技術の進歩や社会状況の変化にしたがって、ベストプラクティスも刷新されます。ベストプラクティスは概念や論理的なモデルではなく、あくまでも実践的な手法であることが重要です。
IT業界の文化であるオープンソースの思想
ところで、ベストプラクティスを発見しても、社内の機密にしておけばよいという考え方も存在します。しかし、そもそもIT業界には、成功する方法やトラブル回避のテクニックをシェアする文化があります。特徴的なものは、オープンソースソフトウェア(OSS)です。
シェアの文化の登場は、テクノロジーが社会に及ぼす影響が強大になったからといえるでしょう。かつてはシェアを奪い合う熾烈な競争があり、一部では現在でも続いていますが、アライアンスやパートナーシップを重視する動きが目立ちます。
Microsoftもまた、オープンソースと連携する取り組みに注力しています。よく知られているオープンソースはLinuxですが、Windows 10にはLinuxのカーネルが組み込まれています。GitHubを傘下に置いたことも注目を浴びました。.NETもオープンソースであり、クロスプラットフォームによる開発を推進しています。
一方で、アプリケーションの開発では、β版を公開して試用したユーザーから課題やプログラムのバグのフィードバックを受け、修正した後に正式版をリリースするという手法が用いられてきました。
AzureにおいてもMicrosoft、パートナー、ユーザーが一体になって品質を高める手法を採用しています。大規模な事例としては、MicrosoftとSAPがともに自社製品を利用し、互いにフィードバックしたノウハウをユーザー企業に提供している事例があります。
ライブラリ、テンプレートによる工程の短縮化
開発の現場レベルでは、プログラムのパーツを集めたライブラリ、一部分を書き換えるだけで利用できるテンプレートを共有して、開発工程の短縮化を実現します。AzureにはJavaScriptやPythonなど多様な言語のライブラリが用意され、Azure Resource Managerのテンプレートを利用して構築作業を効率化できます。
わざわざゼロからプログラムを書き起こすと大変な作業ですが、既に使われているライブラリやテンプレートを利用して開発することで、空いた時間を新たな開発や改良に費やす余裕が生まれます。
ベストプラクティスも同じように、試行錯誤から実践的に得られた最善の方法を共有し、効率化を行います。セキュリティ強化の際には、Azureのセキュリティに関するベストプラクティスを積極的に活用するとよいでしょう。
Azureのセキュリティに関するベストプラクティスとは
Azureのセキュリティに関するベストプラクティスは、Azureのセキュリティソリューションに関わる開発者、設計者、アーキテクトなどを対象としています。
Microsoftのドキュメントとして、以下のWebサイトにベストプラクティスが掲載されています。ホワイトペーパー(英語)のダウンロードが可能です。
参考:Azureのセキュリティのためのベストプラクティスとパターン
掲載順ではありませんが、カテゴリーに分けて、どのようなベストプラクティスがあるか列記します。ただし、ベストプラクティスはAzureのアップデートにしたがって更新される可能性があるので、注意が必要です。
IaaS関連
- 境界型セキュリティ
- ID管理とアクセス制御
- ネットワークセキュリティ
- Azure VMのセキュリティ
- 安全なハイブリッドネットワークアーキテクチャの実装
- IaaSワークロードのセキュリティ
PaaS関連
- データベースセキュリティ
- データセキュリティと暗号化
- 運用可能なセキュリティ
- PaaSデプロイの保護
- Azure Service Fabric のセキュリティ
- IoTのセキュリティ
- PaaSデータベースのセキュリティ保護
- Azure App Serviceによるセキュリティ保護
- Azure Storageを使ったPaaSのセキュリティ保護
ID一元管理のベストプラクティスをピックアップ
MicrosoftのWebサイトには、さまざまな切り口からセキュリティを保護するためのベストプラクティスが掲載されています。このうち、ID管理とアクセス制御に関するノウハウから、ID管理を一元化するときのベストプラクティスの例を紹介します。
ハイブリッドクラウドを利用している場合、オンプレミスとクラウドのディレクトリを統合すると、両方で利用できる共通のIDが提供されます。ID管理がスムーズになるとともに、ユーザーの生産性を向上させます。これが基本的なベストプラクティスです。
まず、Azure AD Connectを使ってオンプレミスのディレクトリとAzure ADを統合します。ただし、Azure AD Connectのパフォーマンスに影響を与える場合があるので注意しなければなりません。
既存のActive Directoryインスタンスの特別な権利を持つAzure AD には、アカウントを同期しないようにします。 Azure AD Connect には、特権を持つアカウントをフィルターで除外する規定の構成があります。しかし、この構成を変更すると、クラウドからオンプレミスへの攻撃リスクが高まり、重大なインシデントになる可能性があります。情報を保護するためには、パスワードハッシュ同期をオンにします。
新たなアプリケーション開発においては、Azure ADを認証に使用します。従業員にはAzure AD、ゲストや外部のパートナーに対しては Azure AD B2B、顧客がアプリケーションを使用するときにはサインアップとサインインというように、適切な認証を行うことが可能になります。
オンプレミスとクラウドのID を統合しないと、アカウント管理のとき、処理の負荷が生じることがあります。負荷がかかった状態では、人為的なミスが発生したり、セキュリティ違反が生じたり、セキュリティのリスクが高まるので注意が必要です。
このようなベストプラクティスが掲載されています。セキュリティの課題に合わせて参考にするとよいでしょう。
まとめ
Azureのセキュリティに関するベストプラクティスを利用すると、設定や対策の試行錯誤をなくし、セキュアな状態を効率的に整備できます。その際に認証部分の核となるAzure ADですが、プランによっては多要素認証をサポートしていないなど、一部追加対策が必要な部分があります。
サードパーティー製クラウドセキュリティサービスのHENNGE OneならAzure ADに対する多要素認証機能はもちろん国産ベンダーならではのサポートでベストプラクティスを凝縮した導入支援も無償で受けられます。ぜひ一度HENNGE Oneのようなセキュリティ対策も追加で検討してみてはいかがでしょうか。
