Azure Security Center の新機能のご紹介
執筆者: Sarah Fender (Principal Program Manager, Azure Cybersecurity)
このポストは、2 月 10 日に投稿された Preview the new enhancements to Azure Security Center の翻訳です。
クラウドが普及するにつれ、企業はさまざまなセキュリティの問題に直面するようになりました。マイクロソフトではこれらの問題を解消するための取り組みを行っており、数百万人もいるクラウド ユーザーの力を結集させることによって、巧妙さを増す膨大な数の攻撃に対しお客様それぞれがより効果的に防御策を講じられるようお手伝いしています。Azure Security Center では、その集結したインテリジェンスを基に開発された数々の新機能をリリースしています。これらの機能は、脅威を検出するためだけでなく、脅威をより効果的に回避するための手段としても活用できます。
高度なクラウド保護機能
これまで活用されてきたセキュリティ制御機能には、脅威からの保護という点で今も重要な役割を担っているものもありますが、構成や保守に多大なコストがかかるという難点があることも事実です。一方、Azure Security Center では、アプリケーションとネットワーク データに対して規範的な分析を実行し、単体のコンピューターや複数のコンピューターの挙動を学習し、そこから得られたインサイトと幅広いクラウドの評価を組み合わせることで、お客様が管理の手間なくこれらを制御できるというメリットがあります。
- アプリケーションのホワイトリストを作成 - 攻撃者は一般的に、攻撃を実施した後の攻撃目標に対する操作として、VM 上で不正なコードを実行します。未知の不審なアプリケーションの実行を予防するには、正規のアプリケーションのホワイトリストを作成することが効果的ですが、ホワイトリストを継続的に管理、保守することは案外難しいものです。Azure Security Center では、推奨されるホワイトリストのポリシーを特定のコンピューター群から自動的に検出し、組み込みの AppLocker 機能を使用して、その設定を Windows VM に適用できるようになりました。ポリシーが適用された後も、Azure Security Center がその構成を継続的に監視し、変更を提案します。これにより、アプリケーションのホワイトリストを存分に活用した強力なセキュリティ機能をこれまで以上に簡単に活用できるようになりました。
- VM へのネットワーク アクセスをジャストインタイム (JIT) に制限 - 攻撃者は、開かれているネットワーク ポート (RDP や SSH など) に対してブルート フォース攻撃を実施し、クラウドで実行されている VM のアクセス権限奪取を狙うことがあります。Azure Security Center では、これらのポートを開く時間を VM にリモート接続するときだけに限定することで攻撃範囲を大幅に縮小し、VM が攻撃を受けるリスクを減少させています。
初期プレビューへの参加をご希望の方は、Azure Advisors (英語) コミュニティに参加した後、Azure Security Center Advisors (英語) グループに参加してください。
高度な脅威検出機能
マイクロソフトのセキュリティ研究およびデータ サイエンス チームでは、定常的に脅威の状況を監視し、最新の検出アルゴリズムの追加や強化を行っています。アルゴリズムは継続的にリリース、検証、調整されるため、Azure Security Center のお客様はシグネチャを最新状態にするなどの手間をかけることなく、この最新技術を利用できます。以下は、最近実施された更新の一部です。
- 機械学習の効果を活用 - Azure Security Center ではクラウド ネットワークの挙動に関する膨大なデータにアクセスすることが可能で、そのデータを以下のような Azure デプロイメントを対象とした脅威の検出に利用しています。
- ブルート フォース攻撃の検出 - 機械学習を使用してリモート アクセスの試行の履歴パターンを作成し、SSH や RDP、SQL のポートに対するブルート フォース攻撃の検出に利用しています。この機能は数週間以内に、FTP、Telnet、SMTP、POP3、SQUID Proxy、MongoDB、Elastic Search、VNC を始めとする多数のアプリケーションやプロトコルを対象としたネットワークでのブルート フォース攻撃の試行の監視に拡張される予定です。
- アウトバウンド DDoS 攻撃とボットネットの検出 - クラウド リソースをターゲットに据えた攻撃の一般的な狙いは、リソースのコンピューティング能力を利用して他の攻撃を実施することです。Azure Security Center で一般提供が開始された新しい検出アルゴリズムでは、ネットワーク トラフィックのパターンに基づいて複数の仮想マシンをまとめ、教師あり分類の手法に基づいて DDoS 攻撃に加担させられているかどうかを判断します。現在プライベート プレビューとして提供されている新しい分析機能は、ボットネットに加担させられている仮想マシンの検出にも対応しています。この機能では、パッシブ DNS 情報を持つネットワーク データ (IPFIX) を併用して VM にアクセスしたドメインのリストを取得し、これを使用して不正なアクセス パターンを検出します。
- サーバーと VM の挙動分析機能の追加 - サーバーや仮想マシンが攻撃を受けると、攻撃者はさまざまな手法を駆使してシステムで不正なコードを実行し、同時に検出の回避、システム内への残留、セキュリティ コントロールの阻止を図ります。Azure Security Center では今回、高度な挙動分析機能の一般提供が開始されました。この機能は、レジストリへのプロセスの残留やシステム プロセスへの偽装、アプリケーションのホワイトリストの回避などの不審な挙動の検出に利用されます。この機能のほかにも、SAM や管理者アカウントの列挙に関する挙動など、Windows Server 2016 に特化された新しい分析機能のパブリック プレビューが開始されました。さらに、今後数週間のうちには、Linux VM でも Windows VM 用の多数の挙動分析の提供が開始される予定です。Operations Management Suite のセキュリティ ソリューションのお客様は、この新しい検出機能を Azure 以外のサーバーや VM でも利用できます。
- Azure SQL Database の脅威検出機能 - Azure SQL Database の脅威検出機能の一般提供が 2017 年 4 月に開始されることが発表されました。この機能では、悪意のある不自然なデータベース アクセスや攻撃と見られるデータベースの不審な挙動を検出します。SQL Database の脅威検出機能のアラートは Azure Security Center で確認できます。このアラートでは、脅威の詳細や調査方法と同様の脅威を今後防止するための対策が提示されます。
上記およびその他の高度な検出機能を使用するには、Security Center のセキュリティ ポリシーの [Pricing Tier] ブレードで Standard レベルを選択するか 90 日間の無料試用版をご利用ください。料金の詳細については、こちらのページをご覧ください。
統合パートナー
Azure Security Center を使用すると、信頼できるクラウド セキュリティ ベンダーをより簡単に選択していただけるようになります。最近新たに、以下のベンダーが追加されました。
- Fortinet NGFW と Cisco ASA - Checkpoint と Barracuda のソリューションに加えて、Fortinet と Cisco ASA の次世代ファイアウォールが新たに統合されました。Azure Security Center は、これらのソリューションを使用することが推奨されるデプロイメントを (設定されたポリシーに基づいて) 自動で検出し、デプロイメントの最適化と監視を行い、パートナーのソリューションからのセキュリティ アラートを統合します。このため、お客様のクラウドで信頼できるセキュリティ ソリューションをこれまでになく簡単にご利用いただけるようになりました。
Azure Security Center ではセットアップの必要がまったくありません。使用するには、Azure ポータルで Security Center を開くだけです。無料バージョンをご利用いただくか 90 日間の試用版にアップグレードして、ぜひこれらの高度な防御機能と脅威検出機能をお試しください。