こんにちは。コーポレート本部サイバーセキュリティ推進部セキュアシステムデザイングループの平岡です。
弊社のAzureクラウドSOC(以下Azure SOC)では、各プロジェクトのAzure環境のセキュリティ設定の可視化と改善、およびセキュリティインシデントの早期発見と調査支援を行っています。
私はAzure SOC運営メンバーとして主にMicrosoft Defender for Cloudを活用し、各プロジェクトのAzure環境のセキュリティ設定の監視を行っています。
1年以上経ってしまいましたが、前回書いたブログではAzure Lighthouseを利用して他テナント(サブスクリプション)の情報を権限委譲により集中管理する方法を紹介しました。
今回はAzure SOCで活躍しているMicrosoft Defender for Cloudのサービスや機能、Microsoft Defender for Cloudと連携することで更なるセキュリティの向上を見込めるAzureサービスについてご紹介したいと思います。
なお、AWS SOCサービスに関するブログは既に同じグループの耿さんがまとめているので、興味がある方はこちらも是非ご覧ください。
Azure SOCが提供しているサービス
Azure SOCは社内のプロジェクトに対し主に以下のサービスを提供しています。
- Azure環境のセキュリティ設定不備のチェック(主にMicrosoft Defender for CloudのCSPM機能を利用)
- Azure環境での脅威検知(主にMicrosoft Defender for CloudのCWP機能を利用)
使用しているAzureのサービスは構成図のとおりです。
Azure Lighthouseを用いてマルチテナント間のMicorosoft Defender for Cloudのセキュリティ情報を集中管理し、セキュリティ設定不備状況をグラフや表で一覧にして可視化するためにAzure Workbookを利用しています。
また、Microsoft Entra Privileged Identity Management (PIM) を活用し、プロジェクトのサブスクリプションに対する権限を最小限に抑えるようにアクセス制御を実施しています。
今回は主な構成要素である4つのAzureサービスを紹介したいと思います。
構成図
主な構成要素
1. Azure Lighthouse
2. Microsoft Defender for Cloud
3. Azure Workbooks
4. Microsoft Entra Privileged Identity Management (PIM)
1.Azure Lighthouse
Azure Lighthouse は、リソース間でのスケーラビリティ、自動化の向上、ガバナンスの強化など、マルチテナントの管理を実現します。
各プロジェクトが使用しているサブスクリプションから、Azure SOCのサブスクリプションへAzure Lighthouseを用いて権限の付与を行います。この権限付与により、各プロジェクトのサブスクリプションのセキュリティ設定やアラートを取得できます。ただし、Azure Lighthouseはポータルの画面操作だけではデプロイを完結することができず、委任元環境でARMテンプレートを使ってデプロイしてもらう必要があります。
(Azure Lighthouseの活用方法や詳細なデプロイ方法を詳しく知りたい場合は、前回のブログをご確認ください。)
2.Microsoft Defender for Cloud
Azure Lighthouseを使用することで、各プロジェクトのサブスクリプションのMicrosoft Defender for Cloudの情報を集中管理できるようになりました。次は、Azure SOCでよく利用しているMicrosoft Defender for Cloudの機能について紹介します。
2-1.推奨事項
推奨事項画面では、デフォルトで無償のFoundational CSPMプランが有効化されているため、クラウド環境のセキュリティを強化するための改善点や、対応すべき事柄が一覧化されています。
更に有償のDefender CSPMプランを有効化すると、表示されているMicrosoft Defender for Cloudによってモニターされる組み込みのポリシー(以下、組み込みポリシー) のリスクレベルが表示されます。Microsoftがリスクレベルを定めており、何から着手しようか迷った場合はリスクレベルに基づいて重要な組み込みポリシーから対処できます。
また、画面の上方に"Azureサブスクリプション 31"とありますが、これがAzure Ligthouseによって参照権限を与えられたサブスクリプションの数です。さらにその横には"AWSアカウント"、"GCPプロジェクト"とあるようにAzure以外のクラウドのセキュリティ情報を集中管理することもできます。
組み込みポリシーを選択すると詳細情報が表示され、具体的な説明や修復方法を確認できます。
組み込みポリシーの中にはクイック修正機能を利用できるものがあり、修正ボタンを押すだけでセキュアな設定に変更できます。クイック修正ができない組み込みポリシーもありますが、手動での修正手順も掲載されているので調査の手間を削減することができます。
似たような機能で規制コンプライアンスがありますが、この画面では推奨事項とは異なる観点で組み込みポリシーが整理されています。デフォルトのMicrosoft cloud security benchmarkイニシアティブ(組み込みポリシーをまとめたグループのようなもの)には、ネットワークセキュリティ、ID管理など関連する組み込みポリシーが分類されてまとめられているため、どのような組み込みポリシーがあったか確認するのに便利です。
イニシアティブは自分で作成することもできるため、特に注視したい組み込みポリシーをまとめたイニシアティブを作成するのも良いと思います。
2-2.セキュリティ警告
セキュリティ警告画面では、クラウドワークロード保護(CWP)を有効にすることで、クラウド環境内での脅威が検知されるようになります。エージェントベースもしくはエージェントレスの監視が可能で、クラウド環境で稼働する仮想マシンやコンテナイメージの脆弱性をスキャンしてくれます。表示されている各アラートの重要度はMicrosoftが定めており、複数アラートが出てしまった場合は重要度が高いアラートから対処できます。
有効にするプランによりカバー範囲が異なるため、環境設定画面でどのような機能を使いたいか事前に確認するといいと思います。
環境設定画面の上部に"すべてのプランを有効にします"というボタンがありますが、全てを有効化するとコストが多く掛かるため、必要なプランをよく検討することをおすすめします。
© 2024 Microsoft Corporation. Microsoft Microsoft Defender for Cloudの価格 のスクリーンショット(2024/12/19)
原典: https://azure.microsoft.com/ja-jp/pricing/details/defender-for-cloud/
2-3.ワークフローの自動化
ワークフローの自動化では、上述の組み込みポリシーやアラートを見逃さないために、これらが検出されたときの対応を自動化することができます。
例えば、監視しているサブスクリプション内でアラートが検出された際に、Logic Appと連携しておくことでSlackやMicrosoft Teamsなどにアラートの内容を即時に通知することができます。これにより、定期的にMicrosoft Defender for Cloud画面を見なくても、ワークフローの自動化を設定することでイベントの見落としを減らし、効率的で迅速な対応ができます。
また、ワークフローの自動化およびLogic Appの設定はノーコード・ローコードでできてしまうので、プログラミング経験がなくても簡単に設定できるのも良いところです。
3.Azure Workbooks
Microsoft Defender for Cloudの基本機能を上述しましたが、もっとMicrosoft Defender for Cloudを使い倒したいという方はAzure Workbookを利用することをおすすめします。
Azure Workbookでは、クラウド環境のセキュリティ情報を分析しやすいようにカスタマイズして可視化することができます。Microsoft Defender for CloudやAzure Monitorで収集したデータをグラフ、テーブル、チャートにして視覚的にわかりやすく表示できます。
とても便利な機能ではあるのですが、KQL(Kusto Query Language)の知識が全くない状態だとやりたいことが出来ない可能性があるので、KQLの勉強も兼ねてチャレンジしてみてください。
Kusto documentation:https://learn.microsoft.com/ja-jp/kusto/?view=azure-data-explorer
4.Microsoft Entra Privileged Identity Management (PIM)
最後にMicrosoft Entra Privileged Identity Management (PIM)について紹介します。
PIMは、Microsoft Entra ID の機能の一つで、組織内の重要なリソースへのアクセスを管理、制御、監視を行うことができます。
Azure SOCでは、プロジェクトのサブスクリプションから"セキュリティ閲覧者"や"セキュリティ管理者"のアクセス権限を付与してもらっているため、各サブスクリプションを監視することができていますが、基本的に"セキュリティ管理者"の権限はワークフローの自動化を設定する時しか使用しません。
そのためPIMを利用して権限制御を行い、"最低限必要な権限" を "最低限必要なユーザー" に "最低限の期間"付与するようにしています。
Azure SOCのリソース(Logic AppやAzure Workbook等)を編集する場合なども同様です。
日常的にこれらのリソースを編集する必要はないので、"所有者"権限はもちろんのこと、"ロジックアプリの共同作成者"や"ブック共同作成者"等の権限もPIMを用いた承認制で運用しています。
実際にPIMを使ってみると権限周りの運用が楽になり、権限解除を忘れてしまうこともなくなったので心の負担も軽くなったと思います。ただし、こちらのPIMも利用にあたりライセンス契約が必要となります。使用するユーザー全員分のEntra ID Premium P2 ライセンスが必要となり、現時点(2024年12月)では¥1,349 ユーザー/月の費用がかかります。
Microsoft Entra Privileged Identity Management とは:https://learn.microsoft.com/ja-jp/entra/id-governance/privileged-identity-management/pim-configure
PIMを利用せずにダブルチェック等を行って運用できればお金もかかりませんが、定期的なアクセス権限の棚卸を忘れてしまったり、所有者権限などの強い権限の解除を忘れてしまった…といったリスクが高まります。
アクセス制御と心の平和のためにも、個人的には是非一度利用を検討していただきたい一押しサービスです。
終わりに
今回はAzure SOCで活躍しているMicrosoft Defender for Cloudのサービスや機能、Microsoft Defender for Cloudと連携することで更なるセキュリティの向上を見込めるAzureサービスの一例をご紹介しました。
私たちは日々セキュリティに関する知見のキャッチアップを行っており、Azure SOCサービスもこれからどんどん改善していく予定です。
今後も検証してみて便利だと感じたAzureのサービスや機能について発信していきたいと思いますのでお楽しみに!
私たちは一緒に働いてくれる仲間を募集しています!
株式会社 電通総研 新卒採用サイト執筆:@hiraoka.eri2、レビュー:Ishizawa Kento (@kent)
(Shodoで執筆されました)