Azure securitycenter の紹介です

1. Azure Security Center って
知ってる？
きしま まさかず （MICROSOFT MVP -CLOUD AND DATACENTER MANAGEMENT）

2. アジェンダ
• 最近のよもやま
• Azure Security Center の正体

3. こんな話をご存知？

4. 今年も1年がんばるぞい
• 2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から
選ばれる「情報セキュリティ10大脅威 2018」でも新しい脅威が続々と出ています
昨年順位 個人の10大脅威 順位 組織の10大脅威 昨年順位
1位 インター年とバンキングやクレジットカード情報
の不正利用
1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗中傷 3位 ビジネスメール詐欺 ランク外
3位 スマフォやアプリを狙った攻撃の可能性 4位 脆弱性対策情報の公開に伴い公知となる
脆弱性の悪用増加
ランク外
4位 ウェブサービスへの不正ログイン 5位 セキュリティ人材の付属 ランク外
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏洩 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
ランク外 偽警告 10位 犯罪のビジネス化 2位

5. 守るべきは何か？
• よくわからないことやってませんか？？
日本におけるインシデント発覚ルートは「分からない」が半数を超える
気づいた時には時すでに遅し。。。
アンチウイルス入れてるから
大丈夫
（流出なんてありえない）
厳格な情報セキュリティルールを
定めただけ
（流出なんてありえない）
都合の悪いことは
起こるはずがない
（流出なんてありえない）
先の大戦では、旧日本軍の希望的観測、こうあってほしいという願望により、国民に
三百万人もの犠牲者が出ました。油断は禁物です

6. GDPRというものがありまして
• EUデータ保護指令が各国の法規制整備を求める指令(Directive)であったの
に対し、GDPRは規則(Regulation)へ変わったことから、全てのEU加盟国に
直接適用されます。また、個人情報の取り扱いや情報主体である個人の権利
の明確化、さらには高額な制裁金など、要求事項がより厳格化されています。
域外適用
EU域内だけでなく、域外からEU居住者にサービスを提供又はモ
ニタリングをしている海外企業にも適用。
第三国へのデータ移転制限
十分性認定を受けていない第三国への個人データ移転を禁止。
移転に際しては一定の対応が必要。
個人の権利保護強化
個人情報の収集、利用に際しての、情報主体(個人)による明
確な同意取得。「忘れられる権利」も明記。
権利侵害時の公開義務
個人情報の侵害が発生した場合、72時間以内に監督当局に
報告。情報主体にも遅滞なく通知。
外部委託先にも適用
個人データを管理するデータ管理者だけでなく、処理(収集、保
管等)の委託先となるデータ処理者にも適用。
データ保護影響分析
新技術の利用によって個人の権利に対するリスクが高い場合、
データ保護影響分析を実施。
DPO（データ保護責任者）の設置
データ保護に関する知識、専門性を有するDPOを任命し、当局
に通知。
高額な制裁金
重大な違反企業には、全世界の年間売上の4%又は2,000
万ユーロの制裁金。

7. GDPRは何を要求しているのか？
• GDPR（一般データ保護規則）を構成する要素としては、透明性・適合性・
罰則、の三つの大きな柱があります。GDPRを遵守するためには、EU域内で取
得した個人情報の扱いに際して、貴社個人情報管理業務の流れと責任を明
確にし、データ主体の権利を保護することができる管理体制とすることが必要と
なります。
透明性
• 説明責任と業務の文書化
• 個人情報を扱う目的の明確化
• 同意取得方法と取得した同意の
扱いの明確化
• アクセス権管理の強化と付与時
間の短縮化
• 漏洩事案の公開等、インシデント
対応手順の明確化
罰則
• 監督機関に与えられる権力の強
化
• 重大な違反に対する罰則金の強
化
• 精神的苦痛が補償される権利
• 集団訴訟を起こす権利
• データ処理者にも課せられる責任
適合性
• “Data Protection By
Design”の導入
• プライバシー影響評価の導入
• データポータビリティへの対応
• “忘れられる権利”行使への対応

8. 日本は関係ないと思ってません？
• Case 1: EU域内に向けたサービスを提供している
• EU域内各国の顧客が、サービスサイトやサポートサイトから、IDやメールアドレス、等を登録
• サイトで登録された個人データを、EU域外の情報管理系システムに蓄積・処理
EU域内の顧客がサービスサイトにアクセスし、問い合わせフォーム等に個人情報を登録する。
サービスサイト
メール
情報管理
システム
IDやメールアドレス、等を登録
蓄積・処理
以下のケースも該当
• EU域内に住む顧客に対するサ
ポートセンターを、EU圏外の国
（アジアなど）に開設し、個人
情報を含むサービス履歴を蓄
積している
EU域内
アカウントID

9. 日本は関係ないと思ってません？
• Case 2: 個人データを活用している
EU域内データセンタ
顧客データ管理
システム
活動情報を集約 アクセス・分析し販売/開発戦略立案
• 海外子会社を通じて収集した、顧客の活動情報や課金傾向等を含む個人情報をEU域内で収集し、保管
• 日本国内からアクセスして分析し、販売/開発戦略立案に活用
以下のケースも該当
• ログインアカウントやIPアド
レスなど顧客の個人情報が
出力されている可能性があ
るCookieやログファイルを、
日本国内に収集している
• EU域内の拠点と日本本社
との間のメールで、従業員の
人事評価などの個人情報を
送受信している
EU域内に設定してある子会社が収集した顧客の個人情報に、日本の本社からアクセスして端末に個人情報を
表示する

10. どのような対応が必要なのか
• EU域内の個人データを取り扱う企業においては、GDPRの遵守に向けた全社
的な対応が求められます。以下に、各部門に求められる取り組みの一例を示し
ます。
GDPR対応
経営企画
内部統制
情報システム部門
情報セキュリティ
部門
法務部門
事業部門 人事部門
 データプライバシーオフィサーの任命
 データプロテクションバイデザインの推
進
 プライバシーインパクト分析(PIA)の
実施
 域外移転に必要な仕組みを
整備
 契約プロセスやモデル条項の
管理
 データポータビリティの実現
 アクセス権付与・承認の管理
 開発ライフサイクルの確認
 データプロテクションバイデザインの
導入
 同意の取得方法や履歴の管理
 データライフサイクルを通したセキュ
リティ要求の整理
 データセキュリティの強化
 匿名処理の標準化と文書化
 違反検知機能の強化
 違反検知時の対応
 従業員個人情報の管理
 従業員の教育
【GDPR対応例】

11. [検知] 72時間以内にインシデント内容を報告できるのか？
• 未知のマルウェアの脅威を完全に防御することは困難である前提に立つと、僅か
な攻撃の兆候を確実に把握したり、プロアクティブにサイバー攻撃の予兆を検知
し未然に対応を行ったりする態勢や仕組みが求められる
検知 分析 報告 封込 除去 回復
SIEM（ログ相関分析）などにより、僅かな不正アクセスの兆候からも重大な異常を発見
あらかじめ決められたルールやプロセスで、インシデントに早期対応
今後求められるプロアクティブ
な態勢
• 顧客や外部機関からの申告より前に、自社で僅かな不正アクセスの兆候
から重大な異常を発見する高度検知能力
• 脅威モデル(Kill Chain)をベースにした検知ポイントの絞り込み
• 膨大なログから重大な異常を発見するナレッジ
セキュリティ関連ログ
プロアクティブな
態勢のメリット
• インシデントの検知が早ければ早いほど、ビジネスへの影響を最小化できる

12. クラウドファースト時代の対策課題
• クラウド利用が進む中でいろんな脅威が発生してます
クラウド上のユーザアカウントに対する攻撃
は増加している
対前年300%
高度化・多様化する攻撃
悪意あるIPからの攻撃も増加
対前年44%

13. クラウドのセキュリティ対策範囲（例えばIaaS）
• 多くのセキュリティ課題はオンプレミスとIaaSで共通となるため、共通項目をどの
ように保護するのかを考える必要があります
• ID/パスワード漏洩
• OS/アプリの脆弱性
• SQLインジェクション
• マルウェア/ランサムウェア
などはこの領域の問題。

14. Azure Security Center の話

15. 2017年9月に新しくなりました
• OMS Security & compliance の機能を取り込み Log Analyticsと統合
され、 ハイブリッド・マルチクラウド対応をはたしました
旧 Azure Securty Center
OMS
Azure Secutiry Center

16. Log Analytics との統合
• 仮想マシン専用からオンプレやAzure 以外のクラウドの仮想マシンも対象になっ
てます
Azure
Monitoring
Agent
Microsoft
Monitoring
Agent
Azure Log
Analytics
• これまで
• Now Microsoft Monitoring Agent がログをLog Analyticsワークスペースに送信
• オンプレミスやAzure以外のクラウドでも Azure Security Center を利用可能！
Azure Secutiry Center
Azure Secutiry Center

17. 何ができるのか
• サポートされているのはこんな感じ
• プロアクティブな対応（攻撃を受けないために何が必要か）になります
セキュリティポリシーチェック、アセスメント、推奨設定の勧告 防止機能 脅威検出
システム
更新
OSの脆弱性
エンドポイント
保護
ディスク
暗号化**
NSG
Web アプリ
ケーション
F/W
Network
Firewalls
JIT VM
Access
Adaptive
App
Controls
Network VM
Azure
Compute
Windows
VMs*
X X X X X X X X X X X
Linux
VMs*
X X Roadmap X X X X X Roadmap X Preview
Cloud
Services
X X
Web Apps
in ASE
X
Other
Compute
Windows* X X X Roadmap X X
Linux* X X Roadmap Roadmap X X
監査 暗号化 脅威検出
Azure SQL Database X X X
Azure Storage X
FAQ

18. お高いんでしょう？
• 無料とStandard の2種類があります
• Standard は1,680 /ノード /月です
• Standard は 60日は無償で使えます
• アプライアンスと比べたら、安い？
機能 FREE (AZURE リソースのみ) STANDARD (ハイブリッドと
AZURE リソース)
セキュリティ ポリシー、評価、および推奨事
項
X X
接続されたパートナー ソリューション X X
セキュリティ イベントの収集と検索 X
Just In Time VM アクセス X
アダプティブ アプリケーション制御 X
ネットワーク、VM やサーバー、および
Azure サービスに対する高度な脅威検出
X
組み込みアラートとカスタム アラート X
脅威インテリジェンス X
付属データ量 500MB/日

19. ノードって何？？
• OSが稼働している「サーバー」と考えてください。Azureであれ、オンプレ仮想マ
シンであれ、物理サーバーであれ、すべて1ノードです。
• また、PaaSであるAzure SQL Databaseなども1ノードとしてカウントされます。

20. 仮想マシンのセキュリティ正常性
• Azureとオンプレミス両方のセキュリティ状況を一覧表示できます
• 無料

21. Endpoint Protection issues
• ウイルス対策ソフトのインストール漏れやマルウェア検知を通知します
• 無償のMicrosoft Antimalwareの状況もここで集中監視できます
• 無料

22. セキュリティベストプラクティスによる勧告
• Microsoftの知見に基づくセキュリティ改善のための指摘が表示されます
• 無料

23. Identity & Access
• Windows/Linuxへのログオン成功/失敗の記録を確認できます
• 無料

24. 検出 – セキュリティ警告
• ログ分析とAIを組み合わせた高度なセキュリティ検知が可能です

25. 検出 – セキュリティ警告（詳細）1/2
• 不正アクセスやOS上での不正なふるまいを、ログやクラッシュダンプ解析の結果
とAIおよびMicrosoftの知見を組み合わせて検知して表示します
ダンプファイル解析から不正
ファイルを検知
通常と比べて異常に多い
RDP接続
通常と異なる場所からのログ
イン

26. 検出 – セキュリティ警告（詳細）2/2
• 無数のアラートから一連の攻撃に属するものを自動抽出して表示します
1. RDPブルートフォース成功
2. 不正プロセスの実行
3. 複数ドメインアカウントへのアクセ
ス

27. 検出 – セキュリティ警告
• 関連するアラートを直感的に調査できるダッシュボードが用意されています

28. 検出 – 脅威インテリジェンス
• サイバー犯罪者が使う悪意あるIPアドレスとの通信を検知して表示します

29. アダプティブ アプリケーション制御 (プレビュー)
• 事前に許可されたアプリケーション以外の実行を制御します
• 実行を完全に禁止するだけでなく、実行時にログを取得する設定も可能です
• 実行許可アプリケーション一覧の作成を機械学習が支援します
• 現時点ではAzure上のWindowsのみが対象です

30. Just In Time VM アクセス (プレビュー)
• 事前定義したユーザー/IPアドレス・ポート/時間に限って、Azure仮想マシンへ
のアクセスを許可する機能です
• 自動的にNSGの設定を変更し、RDP/sshへのアクセスを制御します
• Azure仮想マシンのみが対象。オンプレミスは対象外です

31. システム更新はどうした？
• 機能はありますが、”Update Management” のほうがお勧めみたい
• Azure仮想マシンもオンプレミスも無償で利用可能です
• WindowsとLinuxの両方に対応してます
• 更新プログラムの適用状況確認はもちろん、更新プログラム適用のスケジュール実行もでき
ます

32. ちなみに
• 情報セキュリティに対する重大事故は、会社の信用問題にかかわる時代です
• ノーガード戦法はただの経営リスクです
• うちのデータなんて盗まれたって大したことはない、というのは誤りです
• 流出規模、内容によっては経営危機におちいる場合もあり得ます
• 思い当たる事件はありませんか？
• うちは大丈夫っておもってません？？

33. というわけで
• 興味があったらつかってみてください
• Security Center で集めたデータを Power BI で分析することもできます
• https://powerbi.microsoft.com/ja-jp/blog/analyze-your-azure-security-
center-data-with-power-bi/