こちらの続きになります。
その1ではDefender for Cloudについてでした。
その2はフレームワークやインフラ、AI周りになります。
フレームワークに基づくAzure Seurity ベストプラクティス、関連サービス
CAF(Cloud Adoption Framework)
これはクラウド導入におけるフレームワークで、以下のフェーズで構成されています。
- 戦略 (Strategy) – ビジネス目標とクラウド導入の目的を明確する
- 計画 (Plan) – 移行対象のワークロードやスケジュールを策定する
- 準備 (Ready) – Azure 環境(ランディングゾーン)を整備する
- 導入 (Adopt) – 実際の移行やアプリのモダナイゼーションを実施する
- ガバナンス (Govern) – セキュリティやコンプライアンスのルールを整備する
- 運用管理 (Manage) – 運用体制や監視、改善の仕組みを構築する
どのように導入し、どのように運用するかについてはこちらを参照し、計画を立てるとよさそうです。
https://learn.microsoft.com/ja-jp/azure/cloud-adoption-framework/
MCRA(Microsoft Cybersecurity Reference Architectures)
ゼロトラスト原則に基づいたエンドツーエンドセキュリティ設計のための技術的なリファレンスアーキテクチャです。
MCRAのユースケースは以下になります。
- セキュリティアーキテクチャのテンプレート
企業が自社のサイバーセキュリティの理想状態を定義するために活用。オンプレミス、クラウド、モバイル、IoT/OT など多様な資産を網羅。 - セキュリティ機能の比較リファレンス
Microsoft 推奨構成と既存環境を比較するために使用。多くの組織が、保有している機能に気づいていないケースもある。 - Microsoft 機能の学習ツール
各機能の概要と詳細ドキュメントへのリンク付き。プレゼンテーション形式で閲覧可能。 - 統合投資の評価支援
技術チームが Microsoft の機能と既存環境を統合する際のガイド。 - サイバーセキュリティ学習支援
初心者などの学習用途にも利用される。
https://learn.microsoft.com/ja-jp/security/adoption/mcra#mcra-summary
WAF(Azure Well-Architected Framework)
信頼性が高く、安全で、パフォーマンスに優れ、コスト効率の良い Azure ワークロードを設計・運用するためのベストプラクティス集。5つの柱で構成されている。
- 信頼性(Reliability)
障害からの復旧力と高可用性の設計 - セキュリティ(Security)
アクセス制御、データ保護、脅威対策の徹底 - コスト最適化(Cost Optimization)
予算内での効率的なリソース活用と継続的な見直し - パフォーマンス効率(Performance Efficiency)
スケーラビリティとリソース最適化による性能維持 - 運用上の優秀性(Operational Excellence)
監視、自動化、継続的改善による運用の安定性
WAFはゼロトラストアプローチで構築する必要があり、設計原則は機密性保護になります。
最小権限もそうですが、PIMなどで利用時間を制限したり、誰がどのような作業をいつ行ったかなども監査ログに記録し、監視することも重要ですね。
SE:05 IDとアクセスの管理
それぞれのフレームワークを表形式でまとめました。
| 項目 | CAF(Cloud Adoption Framework) | MCRA(Microsoft Cybersecurity Reference Architectures) | WAF(Well-Architected Framework) |
|---|---|---|---|
| 主な目的 | クラウド導入・管理の全体指針 | ゼロトラストを軸としたエンドツーエンドなセキュリティ設計 | クラウドシステムの設計と運用のベストプラクティス集 |
| 対象領域 | 戦略・計画・技術準備・導入・運用・ガバナンス | ID、デバイス、アプリ、データ、ネットワーク、インフラ全体のセキュリティ | 運用・セキュリティ・信頼性・性能・コスト・持続可能性の6領域 |
| 構成/柱(Pillars) | 6つのフェーズに分けて進行 | Zero Trust セキュリティレイヤで構成 | 6つの柱(運用、セキュリティ、信頼性、パフォーマンス、コスト、持続可能性) |
| 主な特徴 | ビジネスと技術両面のクラウド移行指針を提供 | Microsoft 製品群とのマッピング、図解、セキュリティ機能の統合 | クラウド設計改善のセルフアセスメントやチェックツールがある |
| 利用シーン | クラウド導入計画・ガバナンス体制構築 | セキュリティ設計・既存機能との統合・セキュリティ学習 | アーキテクチャ設計のレビュー・最適化・学習 |
あと、管理グループは階層構造を作るようにすると、セキュリティポリシーを継承・分離しやすくなるので心掛けましょう。
ネットワークセキュリティソリューションによる Azure インフラの守り方
ネットワークセキュリティには多数分類化されているが、その中でも大きく2種に分類される
- セグメント化、およびセグメント境界の強化
- ネットワークからアプローチするアプリケーション保護
Azureにおいて主なネットワークサービスは以下のようなものがあります。
| サービス | 例 |
|---|---|
| 接続サービス | VNET、Virtual WANなど |
| アプリケーション保護サービス | NSG、Private Lins、Firewallなど |
| ネットワークの監視 | NW Watcher、Azure monitorなど |
| アプリケーション配信サービス | Front Doorなど |
-
セグメント化、およびセグメント境界の強化
・Virtual Network Manager
→多数のVNETのトポロジーを管理可能。通信フローも管理できる。
・NSG
→サブネット/NICにL4フィルタ
ステートフルに機能(発生方向だけ書けばOK)
・Azure FW
→L4FW、一部アプリケーションプロトコル。
DNS Proxyとしても動作。PremiumはIDPSやTLSインスペクションとしても動作 -
ネットワークからアプローチするアプリケーション保護
・DDoS Protection
→ボリューム型攻撃、プロトコル攻撃、リソース(アプリケーション)レイヤー攻撃
・WAF(Web Application Firewall)
→SQLインジェクションやクロスサイトスクリプティングなどからのWeb保護
OWASP top10の脆弱性を標準で保護
カスタムルールの構成も可能
VNET内からVNET外のPaaSへのアクセス方法について以下の3通りがある。
・SNAT
・Service Endpoint
・Private Endpoint
MSさん見解としては、3つともインターネットに行っていないとのこと。
なお、当方はデータセンターをhubとしてAzure~多数拠点を繋ぐ閉域NWを構築しましたが、Private Endpointで実現しました。(Storage Account、AVDなど)※一部エンドポイントに例外ありだがすべてコントロール可能
このあたりの閉域アーキテクチャはかなり需要も増えてきているし、今後個別にトピック用意します。
Microsoft Security プロダクトアップデート
やはりAIですね。
ここ2~3年で生成AIが急成長し、企業導入どうする?とか悩んでるうちにAIエージェント来ちゃいました。
AIで考えるべきは
・セキュリティのためのAIエージェント
・AIエージェントのためのセキュリティ
ということ。これは自分も本格的に対応していきたいと思っています。
セキュリティのためのAIエージェントは「ガバナンス」をきちんと効かせるということす。ガバナンスが効いてくるとセキュリティコストは下がってきます。
AIエージェントのためのセキュリティとは、AIモデルのセキュリティ保護、AIのアイデンティティ保護、データエージェントのアクセス権、エージェント活動のロギング、AIに対する脅威と保護を24時間365日監視、強固なガバナンスとポリシーの確立となります。
まとめ
Microsoft特にAzure周りのセキュリティについて、幅広く話が聞けて大変勉強になる半日でした。
Defenderは自分も使っていますが、やはり運用が大変ですね。
自分は主に構築の方を担当することが多いですが、製品やサービスのアップデートが目まぐるしいので、追従して実装する(その判断も)対応も非常に大変で、なかなか最適化していくことが大変だな。。。と思って日々過ごしています。
ただ、ユーザー目線では着実に利便性は上がっていて喜ばれることも多く聞くので、そんな声をやりがいに毎日勉強して検証して実装していかないといけないですね。まさにDevSecOpsです。
Qiitaも少し慣れてきましたが、有益な記事を頻繁にアウトプットしている人たちは本当にすごいですね。
大変だろうな。。とは思っていましたが、いざやってみると本当に大変なんだと思い知らされます。
記事を書くのも大変だし、中身も浅いのに時間がかかる・・・継続していけばきっと良くなってくる、と信じて引き続きアウトプットしていきたいと思います。
最後までご覧頂きありがとうございました。