なぜWindowsとAzureのセキュリティ?
普段、AWSやGCPをメインに開発している皆さんは、『なぜ今さらMSの話なの?』と思うかもしれません。
実は、日本国内においてAzureはグローバル以上に高いシェアを持っており、政府のガバメントクラウドにも採用されています。
ですが、皆さんに今日この話を聞いていただきたい本当の理由は、ビジネス的な数字の話ではありません。
『私たちの開発環境の足元は、MS製品で固められているから』です。
理由は3つあります。
- IDの共通化: バックエンドがAWSでも、私たちがログインに使うのはEntra ID(旧Azure AD)であることがほとんどです。
- 端末の保護: 私たちが今使っているWindows PCや、客先の貸与端末を守っているのはDefender(MDE)です。
- 情報の出口: 設計書やソースコードの持ち出し制限にはPurviewが使われています。
つまり、インフラがどこであれ、エンジニアの入り口と出口はMSが守っているのが日本の現場のリアルです。
本日はAWSやGCPにはない『MSのズルさ(統合が強い)』『ここは気をつけないといけない』というポイントを、SC-900という、MSの資格知識ベースでお話しします。
※もちろん、現場によっては複数の製品を組み合わせているところもありますが、同じ目的の元に構築されます。MSの製品ではこのようにセキュリティを実現している、という観点でご覧ください。
セキュリティの土台となる考え方
みなさんはAzure・AWS・GCPなどのクラウドサービスを利用したことはあるでしょうか。
画面から操作をするだけで、簡単にサーバー・OS・ミドル・アプリを構築することができます。
とても便利なものですが、クラウドで作ったサーバの管理責任は誰にあると思いますか?
IaaS、PaaS、SaaSどれを使うかに寄りますが、ユーザーが責任を持つ部分と、MSが責任を持つ部分に分かれています。
クラウドを提供している事業者がすべての責任を持つわけではありません。
ユーザの不注意でログインIDが漏洩したり、設定ミスでファイアウォールを無効化してしまったり、はたまた接続しているPCがウイルス感染してAzureを勝手に操作された場合、それはMSの責任なのでしょうか?
セキュリティは誰かに丸投げにしていいものではありません。
普段貸与されているPCへのログイン情報、開発中のシステムのログイン情報、自社のM365ログイン情報…すべて、外部に漏洩しないように自分で責任をもって管理する必要があります。
ゼロトラストの考え方
明示的に確認する
現場の貸与PCで作業をするとき、追加の認証が求められることはありませんか?
MS Authenticatorなどの認証アプリで数字を入力するあの操作。
実はあれこそがゼロトラストの第一原則、「明示的に確認する」の実践です。
みなさんが普段使っているGoogleアカウントでも、新しいスマホやブラウザから入ると「あなたですか?」と確認が来ますよね。
あれと同じで、一度ログインしたからずっと安全とは考えず、アクセスの度に正規の利用者かを確認する。
これが現代の鉄則です。
最小権限の法則
linuxでsudoコマンドを使ったことはあるでしょうか?
ずっとroot権限で作業するのは危ないので、必要なときだけ一時的に管理者になる。
AzureのPIM:最小特権アクセスはまさにこのsudoをクラウド全体に適用したものです。
必要なときに、必要な時間だけ、最小限の権限で作業する。
これが第二原則です。
侵害を想定する
そして最も重要なのが第三原則、「侵害を想定する」です。
100%安全なシステムは存在しません。
どんなに高い城壁を作っても、どこからか侵入されることはあります。
だからこそ、最初の門(MFA)が突破されてしまったとしても、次の部屋の扉は開かないようにする。
マルウェアの動きを検知してすぐに切り離す。
一つの防御が破られても、次の防衛線で食い止める。
この多層防御の考え方がセットになります。
AIによるサイバー攻撃が猛威を振るう今の時代は、いつ攻撃されてもおかしくはない状況です。
攻撃される前提で、どうシステムを構築するのかがプロの仕事と言えます。
昔は、「ファイアウォールの内側なら安全」という城壁モデルが通用しました。
すべてのデバイス、人が社内にいたから成り立ったモデルと言えます。
しかし、今は皆さんもリモートワークをするように、機材も人も世界中に分散しています。
城壁が意味をなさない時代だからこそ、「すべてのアクセスを信頼しない」「常に疑って確認する」というゼロトラストが私たちの新しい盾になるわけです。
認証の裏側~なぜ何度も確認されるのか~
客先で作業しているとき、なぜ認証が求められるのか、なんで認証用のアプリをわざわざ携帯にインストールしないといけないのか、疑問に思ったことはあるでしょうか?
IDとパスワードはあらゆるシステムにおいて基本のセキュリティとなりますが、IDやパスワードは漏洩する可能性がとても高いです。
例えば、メールアドレスが「名前.苗字@example.com」のようなルールになっていたとします。
このメールアドレスのルールを持つM365に不正にログインしようと思うと、社員の名前とメールアドレスのルールを知っていればログインIDが簡単に推測できてしまうわけです。
パスワードも、世の中には膨大なデータベースがあり、総当たり攻撃で簡単に突破されてしまいます。
今の時代は、IDとパスワードだけでは十分なセキュリティとは言えません。
多要素認証(MFA)
ここで登場するのが、多要素認証、MFAです。
IDとパスワードは知っていて当然のものとして扱い、追加でデバイス認証を行います。
電話、SMS、認証アプリのワンタイムパスワードなど、正規の利用者本人が持っているデバイスでしかわからない情報をログイン条件として加えることで不正ログインの99.9%を防ぐ事ができます。
みなさんは、銀行のWEBサイトや株式やNISAなどの証券会社のサイトにログインするとき、MFAは有効にしているでしょうか?
少し前の話ですが、MFAを有効にしていなかったが故に、2025年における被害額の合計は7393億円にもなったと、金融庁の発表がありました。
もし、MFA認証を有効にしていないのなら、被害を防ぐために今すぐ有効化しましょう。
条件付きアクセス
MFAの認証は、1回やればそれでOKではありません。
近頃はセッションハイジャックという攻撃が流行しており、MFAで認証した後の鍵、厳密にはトークン情報が奪われ、不正アクセスされるという事件が起きています。
そこで、条件付きアクセスの出番です。
ゼロトラストの考え方に基づき、一定時間ごと、あるいは場所が変わったタイミングなどで都度MFAを要求する設定にすることで、もし鍵が奪われても攻撃を食い止めることができます。
管理者は、この間に異常を察知してIDを無効化するなどの対策が取れるわけです。
条件付きアクセスは、単にMFAを増やすだけではなく、逆に会社の信頼できる端末ならMFAを免除するといった柔軟な設定をすることもできます。つまり、セキュリティと利便性のバランスを自動でとってくれる司令官のような機能ともいえます。
ただし、この機能は1歩間違えると管理者自身がログインできなくなったり、全社員が接続不能になって業務ができなくなってしまうという重大な事故のリスクもあります。
もし、あなたが「条件付きアクセス」を設定することになったら、必ず「レポート専用モード」を使って事前にシミュレーションをしましょう。
この機能を使うと、実際にはブロックはしないけど、設定を適用してたらどんな結果になったか?をログに残す事ができます。
実際の業務を止めずに設定内容を確かめられるので、とても有効な対策です!
Entra ID Protection
また、Entra ID Protectionという機能を使うと、MSのAIが危険な予兆を感知して自動的に制御することもできます。
例えば、1分前に東京からログインしているのに、直後にアメリカからログインがあったとしたら、これはどうでしょうか。
物理的に移動ができない距離を移動していることになるので、不正アクセスの可能性が高いです。
他にも、匿名プロキシを経由したりTorを使った匿名アクセス。これも、攻撃者が身元を隠すためによく使う手法です。
みなさんはダークウェブというのを聞いたことがあるでしょうか?
過去に盗み出されたIDやパスワードが公開・売買されている、犯罪者が使う違法サイトです。
Entra ID Protectionではダークウェブの情報も監視し、漏洩されているIDであれば即座にログイン拒否するといった制御ができます。
このような背景があり、MFA認証が求められるわけです。
端末とメールを守る盾(MDE/MDO)
なぜ、現場で貸与される端末はWindowsが多いのでしょうか?
MacやLinuxでももちろん開発はできるのですが、WindowsはOSの深い部分、カーネルに保護と管理をするための仕組みが最初から組み込まれています。
追加のソフトを入れなくても、MDEを契約して「オンボーディング」という有効化作業をするだけでフル機能が使えるようになる。
この統合の強さが、企業にとっての大きなメリットあり、MSのずるいところです。
OSレベルの統合は、AWSやGCPには真似のできない領域です。
(ちなみにMacやLinux、iOS、AndroidもMSのセキュリティ製品は対応していますが、追加のソフトのインストールが必要だったり、できることが制限されてしまいます)
MS Defenderというと、Windows標準のセキュリティ機能として組み込まれているものでは?と思った方もいるのではないでしょうか。
標準機能として提供されているのはEPP(Endpoint Protection Platform)、単なるウイルス対策としての機能だけです。
MS Defender for Endpoint(MDE)
MDEはそこからさらに一歩進んだセキュリティ、EDRとしての機能を提供します。
クラウドと連携することで、管理者がデバイスの状態を把握したり、不審な操作を検知したり、問題が起きた時に自動修復したりできるようになります。
特に追加のソフトを入れる事なく、MDEを契約して有効化することでフル機能が使えるようになるところが、Windowsのメリットです。
MS Defender for Office365(MDO)
実は、MS Defenderという製品はアンチウイルスだけではなく、色んな製品があります。
不審な挙動を検知しておいかけるMDE、オンプレのサーバーを守るMDI、SaaSアプリ用のMDA…他にもたくさんあるのですが、
この中で、皆さんの業務にかかわりが深いのがMDOです。
メールのURLが変な文字列に置き換えられているのを見たことはありませんか?
あれはMDOの安全なリンク、Safe Linksという機能です。
URLをクリックした瞬間に、リンク先が今この瞬間に汚染されていないかをMSがチェックし、安全を確認してからブラウザで開いています。
また、添付ファイルも安全な添付ファイル(Safe Attachments)という機能により、仮想環境で一度開いても、おかしな動きをしないか確認してから皆さんの手元に届けています。
他にも、最近流行っている、社長や役員になりすまして送金させるフィッシング詐欺も、MDOの機能で制御できます。
先ほどのMDEと協力して、もし端末内で怪しい動きがあれば自動的にネットワークから隔離して被害を防ぐ、といった連携プレイも行われます。
こうした多層的な防御システムが、皆さんの日々の業務を裏側で支えているわけです。
データの流出を防ぐ~MS Purview~
ここまではデバイス上でのセキュリティの話をしてきましたが、MSにはさらに一歩進んで、データそのものを保護する強力な機能があります。
それがMS Purviewです。
機密情報を誤ってメールやTeamsで送信してしまったり、ハッキングされて情報流出する事件は、セキュリティ事故のあるあるとして聞いたことがあるのではないでしょうか。
秘密度ラベル
秘密度ラベルの機能を使うと、もし社外にファイルが流出してしまっても、第三者が中身を読み取る事ができなくなります。
ファイル自体が暗号化され、権限を持つユーザしか開けない。
つまり、データ自体が常にガードマンを連れて歩いている状態を作れます。
データ損失防止(DLP)
データ損失防止機能を使えば、クレジットカードやマイナンバーなどの機密情報が含まれるファイルを外部に送信しようとした瞬間にブロックする事もできます。
ライフライクル
企業においては、法律で定められたデータの保持義務があります。
例えば、確定申告においては申請に使ったデータは7年間の保持が必要ですが、人間の操作ミスでデータを消してしまうリスクは常にありますよね。
ここで役立つのがライフサイクル管理の機能です。
必要な期間は削除できないように保護し、期限が過ぎたら自動で削除する。
これにより、人間がデータの保持期間をいちいち意識しなくて済むようになります。
その他、詳細なログを取る機能や、「内部リスク管理」という機能もあります。
例えば、退職予定の人が大量のデータをUSBにコピーするようなリスクの高い行動をAIが検知します。
貸与されているPCでの行動は、こうしたガバナンスの仕組みでしっかり管理されています。
仕事と関係ないWEBサイトを見にいったり、こっそりSNSやブログを更新するような行動は、個人のリスクだけではなく、組織全体のセキュリティリスクとしてばっちり記録されます。
プロのエンジニアとして、またチームの一員として、正しいルールの中で安全に作業を行っていきましょう。
もし、同僚や他社の人がこれをしていたのなら、現場のリーダーや自社の上司に相談してくださいね。
まとめ:セキュリティは全員で取り組むもの
ここまで、Windowsとクラウドの連携が生み出す「現代の守り」についてお話ししてきました。
今日お話ししたのは、広大なセキュリティの世界のほんの一部ですが、
最小特権や条件付きアクセスといった知識がいかに私たちの身近で重要な概念であるかが伝わっていれば幸いです。
皆さんの多くは、開発や保守がメインだと思います。
私もそうです。
しかし、いつかゼロから環境を構築したり、お客様にアーキテクチャを提案したりする機会が必ず訪れます。
その時に仕組みを知っている事、どんな価値を提供できるのか知っていることは、エンジニアとしてのゆるぎない強みになります。
最近は攻撃側もAIを駆使するようになり、人間業では追いつけないリアルタイムの防御が必須の時代です。
だからこそ、今日紹介したようなクラウドのパワーを使った自動防御を使いこなす知識が求められています。
お客様から、どう守ればいいだろうか?と相談されたとき、自信をもって答えられるエンジニアがチームに増えれば、それは組織としての大きな武器になります。
SC-900はこうした知識を広く、かつ効率的に学べる入口です。
自分自身のスキルアップのため、そしてチームのレベルアップのためにぜひ挑戦してみてください。