Azure Security Center初めて使うときに知っておくべきこと

2 min read読了の目安(約2300字

はじめに

最近、「Azure Security Center」って使うべきなの?どうやって使えばいいの?みたいな話を聞かれるのですが、そんな人たちに喋る内容を何回かに分けてまとめます。
今回は、Security Centerを使いだすにあたって、最初に知っておくべき前提知識について書いていきます。

Security Centerってナニモノなの

こういう時はまず公式ドキュメントにあたります。
Azure Security Center とは
この中から先頭を抜粋すると…

Azure Security Center は、データ センターのセキュリティ体制を強化する統合インフラストラクチャ セキュリティ管理システムです。Azure 内かどうかにかかわらずクラウド内とオンプレミス上のハイブリッド ワークロード全体を保護する高度な脅威防止機能があります。

「なるほど、さっぱりわからん。」だと思うので、私の理解で概要を掻い摘んで書くと、「CSPMおよびCWPPのマネージドサービス(ついでに付随する機能もあるよ)」となります。

CSPM・CWPPって何が違うの?

CSPMとは

Cloud Security Posture Managementの頭文字で、クラウドサービスのセキュリティ設定が正しくなされているかどうか? を診断してくれる機能です。
分かりやすい例をあげると「S3がパブリック公開設定になってないか」などの、情報漏洩が起きがちなよくある設定ミスに気付いてくれる、といったチェック機能を指します。

CWPPとは

CLoud Workload Protection Platformの頭文字で、クラウドサービスで動くワークロードの保護を行う機能です。
基本的なところでいえば、古くはアンチウィルスから始まり、ふるまい検知やIDS、IPS、脆弱性チェック、などなど…の機能の組み合わせだと言えば、CSPMとのイメージの違いが沸くと思います。
Azureでは「Azure Defender for XXXX」の形でサービス別に出ています。もともとは「Advanced Data Security(SQLDatabase)」などサービス固有の名称で呼ばれていましたが、2020/9のIgniteのころに改称されて統一された。…と、思います。気づいたら変わってたので。

今回の一連の記事では、CSPMの機能にまず着目して記載して、CWPPな機能に関しては、深堀しない予定。

Security CenterとAzure Defenderってどう呼び分けてるの?

基本的には、Security Centerに統合されたCWPP機能のことをAzure Defenderと呼ぶ、という理解で良いと思いますが、価格表[1]をを見ると理解が深まります。

こうしてみると、明確にCSPM≒SecurityCenter=Freeで、CWPP≒Azure Defender=有償…という呼び分けになっています。
ただしCSPM部分も、細かい設定を行うとすると有償版で利用する必要が出てきます。無償で使える範囲は最小限です。

Security CenterのCSPM機能

セキュリティはAzureもとても力を入れている領域の様で、その筆頭サービスであるSecurity Centerはとても多くのアップデートがあります。直近のアップデートで、無償の範囲のCSPMだけでもかなり使い勝手がよくなっています。

CSPM機能(≒Azureポリシー)

具体的な機能の説明の前に、もう少し用語の解説です。
Security Centerの「CSPM」は、「Azureポリシーの機能を使って、サブスクリプションのセキュリティ順守状況をチェックし、その採点結果を表示してくれている」機能です。

Azureポリシーって…

どんどん横道にそれる感じですが、でもコレ理解してないとSecurityCenter分からないので…
Azureポリシーは、サービス別にリソースの設定状態の良し悪しを事前に定義し、違反した場合に警告、あるいは違反ができないように禁止してくれるサービスです。
普通の権限が「ユーザー"tomot@xxxxx.onmicrosoft.com"」は「ストレージアカウントを作ってよい/ダメ」とか「SQL Databaseを起動してよい/ダメ」といったことを制御するのに対して、Azureポリシーはリソース側の状態を制御するのが特徴です。
よく例にあがるのは「Storage Accountは特定のリージョンにのみ、作ってよい」だとか「SQL Databaseでは透過的暗号化(TDE)が有効でなければならない」だとか。リソースはこうあるべきだ/こうなってはいけない、を定義して監視します。

一旦ここまで

次の記事では、Security CenterのCSPM機能をどのように使っていくのか、実際の画面と共に深堀していきます。

脚注
  1. https://azure.microsoft.com/ja-jp/pricing/details/security-center/ ↩︎