今や140ヵ国でサービスを提供し、世界全体で60リージョンにデータセンターを設置しているクラウドプラットフォーム「Microsoft Azure」。機能の豊富さや拡張の容易さに定評がありますが、セキュリティ面でも非常に優れています。今回は、Azureのセキュリティ対策やその仕組みについて解説します。
そもそもAzureとは
「Azure(アジュール)」は、マイクロソフト社のクラウドプラットフォームです。
Azureは、IaaS(Infrastructure as a Service)またはPaaS(Platform as a Service)に該当するさまざまなクラウドサービスを提供しています。例えば、ソフトウェアの開発・運用までトータルで支援する「Azure DevOps」や、自社でサーバを構築することなくC#・JavaScript・Java・Pythonなどのプログラムを実行できる「Azure Functions」、機械学習用データの保存に適した「Blobストレージ」などのサービスがあります。
いずれのサービスも、事業やサービスの拡大・縮小に合わせて拡張・縮小できるなどスケーラビリティに優れており、無駄なシステム構築コストをかけてしまうリスクがないため、Azureを導入する企業が増えています。
Azureのセキュリティ対策について
「Azure」が提供するサービスや機能は次々と追加され、利便性がさらに高まっています。一方で、セキュリティ面では、Azureはどのような強みを持つサービスなのでしょうか。
データセンターそのもののセキュリティがしっかりしている
Azureは90種類以上のコンプライアンス認証を持つクラウドプラットフォームです。
国際的な規格やガイドラインでは、情報セキュリティに関する規格である「ISO 27001(ISMS認証)」や、システムを安全に構成するためのベストプラクティスを提供する「Center for Internet Security(CIS)ベンチマーク」などに準拠しています。
また、国別の規格やガイドラインでも、米国の「NIST CSF(Cybersecurity Framework)」や日本の「クラウド セキュリティ ゴールド マーク (CS ゴールド マーク)」などに準拠しています。
これだけ多くのセキュリティ基準に準拠したシステムを構築するのは、一企業では極めて難しいですが、Azure上で自社のサービスを構築することで、コンプライアンス認証を取得済みのサービスとして運用することができます。
関連記事: セキュリティ対策ツールを一覧で紹介
数多くのコンプライアンス認証取得以外にも、人工知能(AI)と機械学習を組み合わせた脅威の検出機能など、Azureにはセキュリティに関するさまざまな仕組みや機能が組み込まれています。
データを格納するAzureのデータセンターは世界全体で60リージョンあり、自社のリソースを格納するリージョンが指定できます。
セキュリティ対策が万全なAzureのデータセンター上で自社のサービスを運用することで、自社のサービスにもAzureのセキュリティレベルが適用されることは、各企業にとっては大きなメリットです。
Azure Key Vaultでパスワード、証明書を管理
「Azure Key Vault」はトークン・パスワード・証明書・APIキーを格納し、一元管理する仕組みです。例えば、アプリケーションの開発において、Key Vaultのようなセキュリティ情報の格納場所がない場合、アプリケーション内にパスワードなどの情報を埋め込まざるを得ません。
Key Vaultを活用すれば、開発中のコードとは別の場所にパスワードなどの重要情報が保存されているため、コードに情報を埋め込まずに済みます。
Key Vaultは、セキュリティ管理上重要な情報を一元管理することで利便性を高めると同時に、情報の保護にも有効です。
Security Center 機能でサーバを保護
「Azure Security Center」では、不正なアクセスや不審な動きがないかを常に監視・診断して、運用中のサービスやリソースに対する防御を提供する仕組みです。万が一、サービスが攻撃を受けた場合は、脅威を検出して保護します。
「Azure Security Center」は、Azure上のすべてのリソースに対する保護を提供します。FreeサービスレベルとStandardサービスレベルとがあり、Standardレベルは30日間無料です。30日を超えると自動的に課金されます。料金は、保護する対象リソースにより異なり、例えば、「SQL Database」だと1時間2.302円/サーバ、「Virtual Machine」だと1時間2.24円/サーバです。
そのほかAzureを安全に使う方法
Azureのセキュリティ機能には定評がありますが、特に社外からAzure上のリソースにアクセスする場合に備えて、さらなるセキュリティ対策を追加したい場合もあります。Azureのセキュリティを高める方法について紹介します。
Azureのネットワークアクセス制御を利用する
Azureでは、仮想マシンは「Azure Virtual Network」に接続しています。「ネットワークアクセス制御」を利用すると、仮想ネットワーク内の特定の仮想マシン(またはサブネット)とユーザ・デバイスとの間に接続制限を設けることができます。承認済みのユーザ・デバイスのみに、その仮想マシンとサービスへのアクセス許可を与える機能です。
ネットワークアクセス制御により、認証ユーザ・デバイス以外からの通信はブロックされるため、安全性が高まります。
Azure Firewallを使う
「Azure Firewall」は、Azure Virtual Network上のリソースを保護するクラウドベースのファイアウォールです。IPアドレス・ポート・プロトコルから、FQDN(Fully Qualified Domain Name)のフィルタリングを含むポリシーを作成し、トラフィックを監視します。
また、「Azure Firewall」は、クラウドベースのサービスであるため、サービスの成長やサービスへのアクセス集中に応じて、自動的にスケーリングされるため、ピーク使用時の容量を予測してあらかじめ確保しておく必要がありません。
ほかのセキュリティサービスを使う
強固なセキュリティ基盤であるAzureですが、実際にはAzureを導入している企業でも、多くの場合、複数のクラウドサービスを併用しています。このような企業におすすめしたいのが、オンラインサービスのログインを一元管理し、まとめて防御するクラウド型のセキュリティサービスです。
このようなセキュリティサービスの1つが「HENNGE One」で、Azureのほか、Kintone・Google G Suiteといった主要サービスのユーザー認証を代行します。
「HENNGE One」では、各クラウドサービスの、シングルサインオン(SSO)・ユーザーアカウント管理・パスワードポリシー設定・アクセス状況監視を、1つの管理画面からコントロールできます。また、SAML2.0などにも対応しており、高機能なセキュリティサービスとして定評があります。特に「HENNGE One」は、認証サービスの「Azure AD」との連携に強みがあります。「HENNGE One」の詳細については、開発元にお問い合わせください。
まとめ
強固なセキュリティ基盤を持つ「Azure」は、信頼されているクラウドプラットフォームのひとつです。ネットワークアクセス制御などの個別機能を追加し、二重三重のセキュリティ対策を実現できます。さらに「HENNGE One」など、クラウドサービスのセキュリティ対策に特化した仕組みを導入することで、より安全に使用できるでしょう。
