クラウドの設定ミスや脆弱性――対策の優先順位付けを支える「Defender for Cloud」の使い方：「何をすればいいか分からない」を解決

クラウドの設定ミスや脆弱（ぜいじゃく）性を突くサイバー攻撃が後を絶たない中で、優先度が高い対策から着手するにはどうすればいいのか。ITリソースの保護やリスクのスコア化など総合的な対策ができる「Defender for Cloud」の使い方を解説する。

[PR／ITmedia]

　クラウドリフト＆シフトの波に乗って、中堅・中小企業もIaaSやPaaSなどのクラウド活用に乗り出し始めた。しかし大企業ほどの資金や人材、知見などがない中、クラウドのセキュリティリスクに適切に対処するのが難しい場合がある。こうした実態を受けて、日本マイクロソフトは2025年度の事業戦略における注力領域の中でも「セキュリティ」を最優先項目に掲げた。

　同社は、上記のセキュリティ課題を解決すべくパートナー企業との連携を強化。セキュリティプラットフォーム「Microsoft Defender for Cloud」（以下、Defender for Cloud）を使って“限られたリソースでも安心して利用できるクラウド”の実現を目指している。本稿は、日本マイクロソフトのパートナーとして「Microsoft Azure」（以下、Azure）の導入検討から設計、構築、サポートまで一気通貫で支援するAZPowerの取り組みを紹介する。

クラウド活用はいっそう手軽に　一方でその弊害も生まれている

　クラウドが登場した当初は「クラウドはセキュリティが不安だ」「危なくて使えない」という意見が主流だった。今や、懐疑的だった業界も含めて多くの企業がクラウドへのリフト＆シフトを進めている。

AZPowerの加藤実哉氏（クラウドインテグレーション技術本部　シニアクラウドコンサルタント）

　AZPowerの加藤実哉氏（クラウドインテグレーション技術本部　シニアクラウドコンサルタント）は「『皆が使っているから大丈夫だ』という具合に、クラウド導入のハードルが大きく下がったと感じます」と語る。

　背景にはクラウド事業者の努力がある。以前は、デフォルト設定のまま利用すると部外者もデータにアクセスできてしまう状態になり、情報漏えいにつながるケースもあった。現在は基本的なセキュリティ対策が施されていて、デフォルト設定でもITリソースを安全に利用できる。

　クラウドを手軽かつ簡単に導入できるようになった一方で「クラウド事業者にセキュリティも任せられると思い込み、自分たちでセキュリティ対策をしようという意識をなかなか持てない企業があるのも事実です」と加藤氏は話す。

　クラウドのセキュリティは事業者だけが責任を負うものではなく、利用者も適切な設定や運用をする必要がある。だが加藤氏によると、気軽に利用できるが故にクラウドならではのセキュリティ対策を講じる必要性が認識されにくいという。

　「オンプレミスの感覚でクラウドを運用してしまい、思わぬところから情報が漏えいする事件が起きています。クラウドにあるデータは、インターネットからアクセスできるということを前提にセキュリティ対策を考えることが大切です」

デフォルトで強化されても、その後の設定変更や運用不備が招く事故

　クラウドにはそれに適したセキュリティ対策が必要だといっても、現実的に難しいこともある。

　企業がクラウドを利用するのは、業務を効率化したり迅速にサービスを展開したりするためだ。セキュリティが強固だと自由度が下がるとして、意図的に設定を緩めてしまって事故につながることがある。

　「関係者がインターネット経由でデータにアクセスできるようにと、IPアドレスやIDで制限せずに公開して『見えるようになったからいいだろう』で済ませてしまうケースもあるようです。そういったときに事故が起こりやすいように思います」（加藤氏）

　情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2024」の組織編で「不注意による情報漏えい等の被害」は6位に挙がっており、前年の9位から順位が上がっている。情報漏えいにとどまらず、ランサムウェア攻撃や標的型攻撃などの他のサイバー攻撃の要因にもなりえる。

　IaaSやPaaSの仮想サーバに存在する脆弱（ぜいじゃく）性の対応も難しい点だ。クラウド事業者が対応してくれるわけではなく、ユーザー自身で行わなければならない。

　「OSやミドルウェアにはさまざまな脆弱性が存在します。パッチ適用などの対策を講じれば、その影響でシステムが止まってしまう懸念もあります。担当者としてそうした事態を何より避けたいでしょう」。障害を避けるために念を入れて検証するには多くの手間と時間がかかる。そうこうしているうちに対策が遅れて、脆弱性を攻撃者に突かれてしまうケースもある。

　コストも問題の一つだ。一般的に「クラウドはオンプレミスよりも安い」といわれがちだが、セキュリティ対策を講じた結果、オンプレミスよりも総コストが高くなったケースがある。「システムが動く必要最低限の投資だけしてクラウドセキュリティの費用をカットする企業もあります」

　セキュリティ対策の必要性は理解していても、何をどうすべきか分からないという声もある。エンドポイントやインターネットからの入り口対策だけにとどまり、クラウドセキュリティはなかなか進んでいないのが実情だ。後回しが続けば、いつセキュリティインシデントが起きてもおかしくはないだろう。

「自社はどうなっているか」を可視化し、対策を支援するDefender for Cloud

　こうした状態を防ぐセキュリティ対策の一つが、Microsoftが提供するセキュリティプラットフォームのDefender for Cloudだ。Azureをはじめとするクラウドの仮想マシンやストレージサービス、APIなどを保護でき、保護する対象に応じて複数の機能がある。

Defender for Cloudの概要（出典：日本マイクロソフト提供資料）

　「Microsoft Defender for Servers」は、Azureの仮想マシンを未知の脅威から保護する。クラウド運用の課題である脆弱性対応を支援する機能も備える。Microsoftが新たな脆弱性情報を常にウォッチして導入企業のクラウド環境と照らし合わせることで、見逃している脆弱性を探して適切な対応をサポートする。

　「OSやミドルウェアの種類、バージョンに合わせて脆弱性をチェックする必要があります。Defender for Serversは1つの画面でどのシステムがどの脆弱性の影響を受けるかを把握できます」

　「リスクは小さい」と判断したり何らかの回避策によって対処していたりするのであれば「対応しない」という判断もあり得る。その場合も、脆弱性情報が自動で更新、リストアップされるので、放置してしまうリスクを下げられる。

　クラウドセキュリティポスチャー管理（CSPM）機能も提供している。Defender for Serversには、仮想マシンの設定内容を検査し、リスクの高い設定があるとアラートを上げる機能がある。

　「Microsoft Defender for Storage」を使えば、「Azure Blob Storage」「Azure Files」といったクラウドストレージサービスの設定項目をチェックし、意図せずインターネットに公開された状態になっていないか確認可能だ。見つかった不適切な設定は、深刻度に応じて幾つかの段階に分けてリストアップして管理画面に一覧表示する。

　こうしたチェックによって「自社はどのような対策ができていて、何ができていないか」を把握できる。「全てのセキュリティを満遍なく強化するのが理想ですが、対策を実施しても新たな脅威はどんどん生まれてきます。それらに対応するには優先順位付けが必要です。Defender for Cloudは脅威をスコア化し、優先的に対応すべきことを示してくれます」と加藤氏は説明する。

　一連の機能は、Microsoftが定めたセキュリティ基準である「マイクロソフトクラウドセキュリティベンチマーク」に加え、「PCI DSS」をはじめとする国内外のセキュリティ標準に準拠しているので企業や業界の各種コンプライアンスに対応しやすい。

　「担当者がPCI DSSのリストを見て、自社の設定項目と見比べるのが通常の手順です。Defender for Cloudを利用すればPCI DSSに準じたチェックが済んでいるので、できていないところを管理画面でチェックし、対策を有効にするだけで対応できます」（加藤氏）。これにより、担当者の手間を大幅に削減できる。

　Defender for Cloudに「Azure Arc」を組み合わせれば、オンプレミスで運用しているサーバの管理やセキュリティ監視も可能だ。「Amazon Web Services」（AWS）や「Google Cloud」などの各種サービスも管理できる。つまりハイブリッドクラウド、マルチクラウドに対応していることも特徴だ。「オンプレミスやマルチクラウドなどの環境をDefender for Cloudで保護できます」

　AWSを利用していた企業が、Azureと横断でセキュリティ対策を強化するためにDefender for Cloudの導入を決め、AZPowerが支援したケースがある。背景を掘り下げてみると、根本的な目的はPCI DSS対応であり、Defender for Cloudでカバーできない領域は「Azure Policy」を組み合わせてカスタムポリシーを作成することで要望に応えたという。

戦略的な観点で提案し、顧客がクラウド運用を自走できるように支援

　AZPowerは、Microsoft製品を使ったITシステム全般の提案、構築を長年提供している。ITインフラやAIと機械学習に関するMicrosoftのパートナー認証「スペシャライゼーション」も取得していて、加藤氏は確かな技術力に自信を見せる。そのノウハウを生かし、クラウドシフトに取り組む顧客のDefender for Cloud導入を支援し始めた。

　「Microsoftのセキュリティは、ID管理から始まってステップアップする構成です。Microsoft 365も含めて全てをMicrosoftのソリューションにまとめることで管理を一元化できるので、あれこれと製品をつまみ食いするよりも費用対効果が大きくなります」

　AZPowerはクラウド化自体を目的とするのではなく、顧客のビジネスニーズを丁寧にヒアリングした上で戦略的なクラウド導入、移行を支援している。「セキュリティ、高可用性、スケーラビリティ、ガバナンスなど、ITシステムに必要な要素を統合的に管理し、ビジネスの成長に貢献する全体最適を重視した戦略的なアプローチを提案しています。これによってコスト効率を最大化し、信頼性の高いクラウド環境を構築できます」

　こうした哲学に基づき、管理性と拡張性の高いハブ＆スポーク型でネットワーク構成を提案するなど、今後の拡張や運用を見据えて支援している。セキュリティも同様に、Defender for Cloudをはじめから提案に組み入れて「機密性」「完全性」「可用性」を意識したセキュアなクラウド環境を提案している。

　AZPowerの大きな特徴は、構築後の運用を丸ごと肩代わりするのではなく、顧客と伴走する形式にしていずれ自走できるようにすることだ。そのためのサポートサービスや管理者向けのトレーニングを提供して「自分たちで管理できるクラウド」の実現を支援している。

　「本来は自分たちで簡単に対処できるトラブルでも、外部に依頼するとその都度費用が発生し、スピード感も損なわれます。クラウド本来のメリットを享受するには、管理画面でできる作業は自分たちでできるようになることが一番です」

　今後は、クラウド利用時のコスト最適化を支援する「コスト見直しサービス」も提供する予定だ。Azureは長期契約で料金の割引が効くなど、コストを節約できるメニューが用意されているのに認知度は低い。AZPowerは顧客の利用状況を踏まえて、リザーブドインスタンスなどを利用することで費用をどれだけ下げられるのか試算して、コスト最適化を支援する。

　構築から運用、セキュリティからコストまで包括的な視点で最適化を推し進め、顧客がクラウドのメリットをフルに享受し、自走できるように支援すると加藤氏は意気込む。確かな技術力と顧客の“真のクラウド活用”を支えるAZPowerは、クラウドリフト＆シフトにおける心強い味方になるだろう。

AZPowerの加藤氏