S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]

Microsoft Japan Digital Days
*本資料の内容 (添付文書、リンク先などを含む) は Microsoft Japan Digital Days における公開日時点のものであり、予告なく変更される場合があります。
#MSDD2021
Microsoft XDR による
セキュアなハイブリッドクラウド環境の
実現
日本マイクロソフト株式会社
クラウドセキュリティテクニカルスペシャリスト
山本貴之, CISSP, CEH, IPA RISS
LinkedIn | tayamam@microsoft.com
# S04

Agenda  最近のサイバー攻撃と被害状況
 Microsoft XDR
 Azure Security Center
 Azure Defender
 まとめ
 Call To Action

最近のサイバー攻撃と被害状況

セキュリティインシデント「不正アクセス」の実情
プレス発表「情報セキュリティ10大脅威 2021」を決定：IPA 独立行政法人情報処理推進機構
順位「組織」の 10 大脅威
1 ランサムウェアによる被害
2 標的型攻撃による機密情報の窃取
3
NEW
テレワーク等のニューノーマルな働き方を狙った攻撃
4 サプライチェーンの弱点を悪用した攻撃
5 ビジネスメール詐欺による金銭被害
6 内部不正による情報漏えい
7 予期せぬIT基盤の障害に伴う業務停止
8 インターネット上のサービスへの不正ログイン
9 不注意による情報漏えい等の被害
10 脆弱性対策情報の公開に伴う悪用増加
IPA プレス発表「情報セキュリティ 10 大脅威 2021」
三菱電機、不正アクセスで取引先の口座情報8000件流出: 日本経済新聞 (nikkei.com)
イオンでも不正アクセス、セールスフォース製品で: 日本経済新聞 (nikkei.com)
不正アクセス事案が急増・・・

その他にも、有名企業へのサイバー攻撃が後を絶たない状況が続いて
いる。
・建設A社：海外グループ会社への攻撃で契約関連データ等約130
万ファイルが流出した可能性
・製造B社：米子会社への攻撃で顧客情報等約300ギガバイトの
データが流出した可能性
・製造C社：ドイツ現地法人が攻撃を受け、関係者のパスポート情報
が流出
・製造D社：メールのアーカイブや社内文書などを取得したと犯行声
明で主張
・製造E社：欧州子会社で人事や営業活動等740ギガバイト以上の
データを取得したと犯行声明で主張
米最大の石油パイプライン停止サイバー攻撃で: 日本経済新聞 (nikkei.com)
米パイプライン会社、身代金5億円支払い現地報道: 日本経済新聞 (nikkei.com)
米パイプライン会社や国内大手企業でランサムウエア被害が相次ぐ理由 | 日経クロステック（xTECH） (nikkei.com)
アメリカ最大手の石油パイプライン会社がランサムウェア攻撃を受け、2021年5月7日から1週間にわたって燃料の供
給が停止された。このランサムウェア攻撃は、コロニアル・パイプライン社の情報ネットワークにあるレガシーVPNへのパス
ワードのみによる不正アクセスを機に成功しており、同社は問題を早く解決する方法として身代金440万ドル（約4
億8000万円）の支払いを行いました。
コロニアル・パイプライン社へのサイバー攻撃

本セッションの範囲
クラウドを利用する上でのセキュリティの考え方 - 責任共有モデル
■ハイブリッドクラウドの環境では「所有」から「利用」へシフトした方が本業に専念しやすい
自前で全ての対策を実装し運用することは極めて難しい。自前運用の割合を減らすことで、時間や人的リソースの確保がしやすくなる。
SLA
責任を移譲できない範囲
ユーザーの責任範囲だが Microsoft はビルトインソリューションを提供
責任範囲オンプレミス IaaS PaaS SaaS
データの分類と管理責任
アプリケーションレベルでの
制御
ネットワークの制御
ホストインフラストラクチャ
物理環境のセキュリティ
クライアント、エンドポイン
トの保護
ID とアクセス管理
クラウドにおける共同責任 - Microsoft Azure | Microsoft Docs

不正アクセスの主な原因は大きく２つに分類できる
不正アクセスの主な原因*
*ここでは代表例のみを記載
ハイブリッドクラウド環境のワークロードが
複数ありセキュリティ対策に抜け漏れ
実施したセキュリティ対策の継続的な効
果測定や検証が行われず(やや)放置
ハイブリッドクラウド環境の構成が複雑で
自社の設定に不備があるかわからない
VPNやフリーソフト等のソフトウェアの
脆弱性をつく攻撃
業界標準ルールやベストプラクティスに
沿った設定/アーキテクチャになっていない
1. ハイブリッドクラウド環境の
設定/構成の不備
2. 外部からのサイバー攻撃
マルチベンダー構成でセキュリティ製品を
利用しアラートを確認/対処しきれない
oauthによる不正な同意許可攻撃等、
クラウドサービスの仕組を悪用した攻撃
メールやWebを経由した不審なコード
(ペイロード)のデバイスへの侵入
BECやランサムウェア等の不審メール
オンプレミスやクラウドの
資格情報を狙った攻撃

不正アクセスの主な原因は大きく２つに分類できる
不正アクセスの主な原因*
ハイブリッドクラウド環境のワークロードが
複数ありセキュリティ対策に抜け漏れ
実施したセキュリティ対策の継続的な効
果測定や検証が行われず(やや)放置
ハイブリッドクラウド環境の構成が複雑で
自社の設定に不備があるかわからない
VPNやフリーソフト等のソフトウェアの
脆弱性をつく攻撃
業界標準ルールやベストプラクティスに
沿った設定/アーキテクチャになっていない
マルチベンダー構成でセキュリティ製品を
利用しアラートを確認/対処しきれない
oauthによる不正な同意許可攻撃等、
クラウドサービスの仕組を悪用した攻撃
メールやWebを経由した不審なコード
(ペイロード)のデバイスへの侵入
BECやランサムウェア等の不審メール
オンプレミスやクラウドの
資格情報の漏えい
Microsoft XDR
Microsoft Defender
Microsoft 365 Defender
Azure Sentinel
Azure Defender
Microsoft XDR により、現行のサイバー攻撃を防ぎつつ、侵入経路がないか常に検証してセキュアな環境を実現

Microsoft XDR

Microsoft XDR
Multi-cloud
Cloud native SIEM
Azure Sentinel
Email/docs Endpoints
Identities Apps
Azure Defender
SQL/Storage Server / VMs Containers
ARM/DNS/KV IoT Apps
Microsoft Defender
Microsoft XDR

Microsoft Azure の主なセキュリティサービス
ID を管理および保護する
包括的な ID 基盤
ハイブリッドクラウドワークロードの
セキュリティ状態の管理
企業全体のためのインテリジェン
トなセキュリティ分析
ハイブリッドクラウドワークロード向けビルトイン脅威対策
C2サーバー等、Azure リソースとの不審通信の検出
クラウドでの使用中のデータとコード
を保護する
暗号鍵やシークレットの保護
暗号鍵やシークレットの保護
クラウド上のハードウェアセキュリティ
モジュール (HSM)
Azure 仮想ネットワークを保護する
クラウドネイティブなファイアウォール
ネットワークセキュリティポリシーの
一元管理
一般的なウェブの脆弱性からウェブ、
モバイルアプリ、API を保護する
脅威対策を施した、高速で信頼性の
高いセキュアなクラウド CDN
DDoS 攻撃から守るための常時監視
フルマネージドな RDP および SSH アクセス
App Service 状のWebアプリケーションの保護
Blob, Files, Data Lake向けアクセスの脅威検出
AKSやオンプレ/マルチクラウド環境のクラスター保護
SQL, RDB向けの不正アクセス検出や脆弱性評価
オンプレミスや他社クラウドの既
存リソースを Azure Resource
Manager (ARM) で管理しガバ
ナンスアクションを適用
Container Registry 内のイメージの脆弱性スキャン
Key Vault アカウントへの不審アクセスの検出
Azure アクティビティログに基づいた管理操作の監視
IoT/OT デバイス向け脆弱性管理/脅威検知
本セッションの範囲
*Azure Security Center とは | Microsoft Docs
**Azure Defender の概要と使用可能なプラン | Microsoft Docs

Azure Security Center

Azure Security Center (ASC)
クラウドセキュリティの一元化
CWPP
(Cloud Workload Protection Platform)
脆弱性の
管理
高度な
クラウド防御
脅威検知
と対処
Azure Defender による
ハイブリッドクラウドの保護
Azure Defender
CSPM
(Cloud Security Posture Management)
セキュリティ
スコア
ポリシーと
コンプライアンス
自動化された
修復
Azure Security Center による
ハイブリッドクラウド環境の
設定/構成の不備を解消
Secure Score / Compliance / Assessments

Azure Security Center とは | Microsoft Docs

Azure Security Center ご利用のお客様からの評価
2021 年 2 月の Forrester 社のA FORRESTER TOTAL ECONOMIC IMPACT™ レポート
The Total Economic Impact™ Of Microsoft Azure Security Center
クラウドワークロードに対するセキュリティ侵害の
リスクを最大25%削減
クラウドの脅威緩和までの時間を50%短縮
セキュリティポリシーとコンプライアンス関連の
ワークロードを最大30%迅速化
サードパーティのセキュリティツールやサービスへ
の支出を年間20万ドル以上削減

• Azure Defender オフ (Free レベル) と Azure Defender オンの2種類*
Azure Security Center の種類
価格—Azure Defender | Microsoft Azure
Azure Defender オフ
Azure Defender ON
◼ 本番環境や開発環境
に対して利用を推奨
**
Azure Defender オン

セキュアスコアを用いた CSPM
 組織全体のセキュリティの状態を可視化し評価
する指標
 クラウドワークロードのセキュリティ状態を簡単に
把握できる
 現状の環境に対する推奨事項を表示し、
セキュリティの脆弱性に対処
 特定の規制やコンプライアンスに順守するために
必要な対応をすぐに把握し設定可能
 セキュリティポリシーを編集し、自社のルールに
合った形でのスコアリングも可能
Compute App
Network
Access SQL server
評価されたカテゴリー
セキュアスコアへの影響
+2% +2%
+3%
+7% +1%
Azure Security Center 内のセキュリティスコア | Microsoft Docs
Azure Security Center でセキュアスコアを追跡する | Microsoft Docs

規制コンプライアンス
・Azureの環境について、NIST SP 800-53 R5やISO 27001、Azure CIS等の業
界標準に基づいた継続的な評価がされ、推奨事項やその具体的な設定方法
についてダッシュボードに表示
・AWS、GCPやオンプレ等のそれ以外の環境についても、対象にすることが可能
・コンプライアンス標準に基づいてセキュリティ構成管理をする際に有効活用

 AWS の Security Hub や GCP の Security Command Center と接続し、AWS や GCP のプラットフォームの情報
を取得、Azure 以外のオンプレミス等のサーバー群は Azure Arc 経由で情報を取得可能
 CIS ベンチマーク等の客観的な規制の指標に基づき、現在のセキュリティの状況を可視化
AWS アカウント、GCP アカウント、オンプレミスとの接続
Azure Security
Center
Security Hub*
Security Command
Center**
*Azure Security Center への AWS アカウントの接続 | Microsoft Docs
**Azure Security Center への GCP アカウントの接続 | Microsoft Docs
***Azure 以外のマシンを Azure Security Center に接続する | Microsoft Docs
Azure Arc***
Microsoft Azure

Azure のネットワークのトポロジーを表示し、仮想ネットワーク/サブネット/ノードのセキュリティ状態を一元的に可視化
ネットワークマップ
Azure Security Center 上のネットワークリソースの保護 | Microsoft Docs

Demo：

Azure Defender

Azure Defender の役割
クラウドセキュリティの一元化
CSPM
セキュリティ
スコア
ポリシーと
コンプライアンス
自動化された
修復
Leveraging
Azure Arc
CWPP
(Cloud Workload Protection Platform)
脆弱性の
管理
高度な
クラウド防御
脅威検知
と対処
Azure Defender による
ハイブリッドクラウドの保護
Azure Defender
Azure Security Center による
ハイブリッドクラウド環境の
設定/構成の不備を解消

Azure Defender for servers - 利点と機能 | Microsoft Docs
Azure Security Center に含まれる Microsoft Defender for Endpoint ライセンスを使用する | Microsoft Docs
セキュリティの状況確認
高度なクラウド防御
脅威検知と対処
New! New!
On-prem
Azure Arc
New!
Compliance Network Map
EDR
(Endpoint Detection & Response)
脆弱性管理
(powered by Qualys)
適応型アプリケーション制御
(Adaptive Application Control)
Azure サービス上の
ネットワークのふるまい検
知 (ANH)
VM への JIT
(Just In Time) アクセス
ワークフローによる
一時対処の自動化
ファイル改ざん検知/整合性監視
(File Integrity Monitoring)

Azure Security Center にオンボードされた Windows Server （2008 R2, 2012 R2, 2016）には、
自動的に Microsoft Defender for Endpoint* がオンボードが可能**
Azure Defender for Servers の特徴
・Azure Defender for Servers には、Windows Server や
Linux OS への Microsoft Defender for Endpoint の利用権
が付随
・Azure Defender for Servers には Microsoft Defender
for Endpoint にはない、以下のセキュリティ機能も利用可能
・ファイル改ざん検知/整合性監視：
OSやソフトウェアのファイルやレジストリを調べ、攻撃の兆候となる変更を比較方
式で確認
・アプリケーションのホワイトリスト化：
既知の安全なアプリケーションの許可リストを定義
・仮想マシンへの JIT アクセス：
・必要な時だけアクセスできるようVMへの受信トラフィックをロックダウン
*Windows 10 Enterprise E5 やMicrosoft 365 E5 Security に含まれるライセンス
**Windows Server SAC (1803以降) や 2019 以降へは手動/GPO/MCCM等により展開
***エージェントが Microsoft Defender for Endpoint のセンサーとして機能
Log Analytics
エージェント***

https://docs.microsoft.com/en-us/azure/security-center/defender-for-app-service-
introduction

Azure Defender for Storage を構成する - Azure Storage | Microsoft Docs
Azure Storage (Blob, Files, Data Lake Storage) への攻撃検出例
（例）潜在的マルウェアファイル、フィッシングコンテンツのホスティング

Azure Defender for Azure SQL database servers
•Azure SQL データベース / Azure SQL Managed Instance
•Azure Synapse の専用 SQL プール
Azure Defender for SQL servers on machines
•仮想マシン上の SQL サーバー / オンプレミスの SQL サーバー
• Azure Arc が有効な SQL サーバー
• Azure Arc を使用しない Windows コンピューター上のSQL サーバー
提供される２つのプラン
https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-threat-detection
SQL インジェクション、ブルートフォース攻撃、特権の乱用などの脅威に
ついて SQL サーバーを継続的に監視する検出サービス。
不審なアクティビティの詳細、脅威を軽減する方法のガイダンス、および
Azure Sentinel で調査を続行するためのオプションを Azure Security
Center でアクション指向のセキュリティアラートを提供。
評価結果画面から対処方法
（実行すべきクエリーなど）までナビゲーション

Azure Defender for Kubernetes - 利点と機能 | Microsoft Docs

Qualys 社によるコンテナーイメージの脆弱性評価機能により、
プッシュされたイメージやレジストリにインポートされたすべてのイメージ、過去 30 日以内にプルされたすべて
のイメージをスキャンし、脆弱性の重大度の分類や推奨事項等を提示
Azure Defender for Container Registries
Azure Security Center と Azure Defender を使用したコンテナーのセキュリティ | Microsoft Docs

Azure リソースからのすべての DNS クエリを継続的に監視することにより、高度な
セキュリティ分析を実行して不審なアクティビティについてアラートを提供
抑制ルール機能にて同様のアラート出力を除外設定も可能
※潜在的な影響を考慮し長期的な監視を推奨
Azure Defender for DNS - 利点と機能 | Microsoft Docs
azure-docs.ja-jp/alerts-reference.md at master · MicrosoftDocs/azure-docs.ja-jp · GitHub

Azure Defender for IoT
ネットワーク
スイッチ
アラート
• NWマップやインベントリ
• 脆弱性
• 不審通信やアタック情報
Azure Defender for IoT
オンプレミス or
クラウドベースの
管理コンソール
OTに特化した振る舞い検知によ
るパケット解析 (DPI)
スパンポート or ミラー
ポート経由での分析
(パッシブモニタリング)
工場１
工場２
OTネットワーク
IT と OT をつなぐ
Azure Sentinel との
親和性
エージェントレスのため、
既存環境への影響は
ゼロ
管理されていない
IoT/OTデバイス、脆
弱性や脅威を検出
IoT/OTネットワーク
マップとインベントリの
作成
運用上の設定ミスや誤
作動の原因を特定
物理もしくは仮想アプ
ライアンスでの提供で即
日展開可能
エージェントレスソリューションアーキテクチャとは - Azure Defender for IoT | Microsoft Docs

まとめ

Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現
不正アクセス防止のススメ*
Azure Defender
Azure Arc
セキュアスコア
Microsoft Defender for Endpoint
Azure Defender for Servers
Azure Defender
規制コンプライアンス
Azure Sentinel
Microsoft Cloud App Security
Microsoft Defender for Endpoint
Microsoft Defender for O365 P2
Azure AD Premium P2
Microsoft Defender for Identity
Microsoft XDR
Microsoft Defender
Azure Sentinel
Azure Defender
Microsoft XDR により、現行のサイバー攻撃を防ぎつつ、侵入経路がないか常に検証してセキュアな環境を実現

Call To Action

Azure Defender 30日間無償試用プランの利用
１．Azure サブスクリプションのグローバル管理者ロールで Azure ポータルへアクセス
２．ページ上部の検索ボックスより「セキュリティ」と入力し「セキュリティセンター」へアクセス
３．[管理]-[価格と設定]-[対象のサブスクリプション]より、[すべて有効にする]をクリックして[保存]*
４．Azure Defender 有効化後、セキュリティセンターの以下の項目を確認
・[クラウドセキュリティ] - [規制コンプライアンス] より、参照したい規制を選択択し、貴社環境の推奨アクションを確認
Azure Security Center の統合ワークロード保護を有効にする | Microsoft Docs
チュートリアル:規制に対するコンプライアンスのチェック - Azure Security Center | Microsoft Docs
*Azure サブスクリプションとサブスクリプションに紐づくリソース全体にどの程度セキュリティリスクがあるかを診断するため、Azure Defender は、原則、サブスクリプション単位もしくはリソース単位で有効化する形になります。
もし、要求するセキュリティレベルが異なるワークロードを一つのサブスクリプションに紐づけてしまっている場合は、事前にサブスクリプションや各リソースの整理をしてから、Azure Defender の有効化を推奨します。
**2021 年 9 月時点では、規制コンプライアンスのテンプレートは11種類です。
規制コンプライアンス**
Azure Security
Benchmark
ISO27001
PCI DSS 3.2.1
SOC TSP
GCP CIS 1.1.0
AWS CIS 1.2.0
AWS PCI DSS 3.2.1
AWS Foundational
Security Best
Practices
ISO 27001:2013
CMMC Level 3
NIST SP800-53 R5

S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]

Similar to S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days] (20)

More from 日本マイクロソフト株式会社

More from 日本マイクロソフト株式会社 (20)

Recently uploaded

Recently uploaded (8)

S04_Microsoft XDR によるセキュアなハイブリッドクラウド環境の実現 [Microsoft Japan Digital Days]