クラウドのセキュリティの進化により Microsoft Azure への移行の不安を解消

このポストは、11 月 4 日に投稿された Innovation in Cloud Security Enables Customers to Move to Microsoft Azure with Confidence の翻訳です。

現在、医療や銀行などの規制が厳しい業界でクラウドの導入が加速し、各企業は特にミッション クリティカルなアプリケーションや機密性の高いデータをクラウドに移行しつつあります。このため、クラウドのセキュリティはこれまでにないほど重要性が増しています。こうした中、お客様は「データの保護に関してマイクロソフトのサービスは信頼できるのか」、「Microsoft Azure は我が社のコンプライアンス要件を満たしているのか」、「どのようにすれば仮想ネットワークの安全性を維持できるのか」というような疑問をお持ちです。

Azure では次々と新しいクラウド サービスのリリースを続けていますが、それと同時にデータの保護、脅威からの防御、ネットワーク セキュリティ、ID やアクセスの管理についても技術革新を進めています。Antimalware、Network Security Groups、Roles Based Access Control など、マイクロソフトは今年に入ってから既に数十個の新機能をリリースしており、お客様のセキュリティ要件やコンプライアンス上の課題に対応しています。これらの機能と法務およびコンプライアンスに関する取り組みを併せて、マイクロソフトは、お客様が安心してクラウドへ移行していただけるように、信頼性の高い基盤を提供しています。

データ保護

マイクロソフトはクラス最高レベルの暗号化機能のサポートに取り組んでいます。Azure では、お客様と Azure サービスとの間でインターネットを経由してやり取りされるコンテンツを暗号化する際に、最近強化された TLS/SSL 暗号化スイートや Perfect Forward Secrecy などの業界最先端の機能を既定で使用しています。今年は暗号化機能を拡張し、格納中のデータのセキュリティを保護するためのさまざまなオプションを提供しています。これにより、BitLocker によるデータ ボリュームの暗号化や、Cloud Link (英語) および Trend Micro (英語) が作成したサード パーティ製のソリューションによる高度な暗号化が可能になりました。Azure のデータ保護の詳細については、こちらのホワイトペーパーをご覧ください。

脅威からの防御

オンプレミスの環境でもクラウドの環境でも、最新の脅威に対応し続けることは難しい課題です。マイクロソフトでは侵入を検知および防止するシステム、DoS 攻撃の阻止、定期的な侵入テストの実施、データ解析および機械学習用のツールの採用により、Azure プラットフォームへの脅威の特定と影響の軽減を支援しています。先日、ユーザーの皆様からは見えないかたちではありましたが、DoS 攻撃に対するシステムがアップグレードされました。これにより、すべてのお客様の保護機能が大幅に強化されました。また、お客様に対して適切な保護機能を確実に適用するために、Symantec、Trend Micro、McAfee の各社のソリューションと共に、Virtual Machines および Cloud Services で Microsoft Antimalware の一般提供が開始されました。セキュリティ イベントのログは Virtual Machines で収集されるため、さらに詳細な解析を行うことができ、AlertLogic (英語) などのパートナーから提供されている統合型ログ管理サービスを利用することも可能です。

ネットワーク セキュリティ

Virtual Network では、ユーザーがクラウド内でプライベート ネットワークを作成し、オンプレミスのデータ センターと Azure を安全に接続することができます。TechEd North America 2014 では、ネットワーク セキュリティの強化に関する発表がありました。その 1 つとして、Virtual Network で複数の site-to-site VPN 接続がサポートされ、複数のオンプレミス サイトを安全に接続できるようになりました。新しい VNET 間接続では、複数の VNET 間で相互に直接かつ安全にリンクを確立することが可能です。さらに、ExpressRoute の一般提供が開始され、Azure のデータ センターへのプライベート接続を確立することで、インターネットを経由せずに通信できるようになりました。TechEd Europe 2014 では、このような機能強化を基礎として構築された、Network Security Groups のリリースを発表しました。この機能では、多層型トポロジでサブネットを容易に分割することができます。また、site-to-site Forced Tunneling のサポート開始により、ネットワーク トラフィックをオンプレミスに送り返してポリシーを検証することが可能になりました。このほかには、複数の NIC の使用がサポートされ、IT 担当者がきめ細かくネットワークを制御できるようになり、Citrix や Riverbed などのパートナーのネットワーク セキュリティ アプライアンスをホストできるようになりました。Azure のネットワーク セキュリティ機能の詳細については、こちらのホワイトペーパー (英語) をお読みください。

ID およびアクセス

アクセスを許可するユーザーやクラウド リソースを管理することは、非常に重要です。Azure Active Directory を使用すると、ユーザー ID をフェデレーションすることができ、また管理者は Multi-Factor Authentication を使用できるようになります。新たに導入された Role Based Access Control (RBAC) では、特定のクラウド リソースに対するアクセスや権限を制限することができます。Azure Active Directory には、不審なアクセスを検出しやすいように、不明なデバイスからユーザーがログインするなどの変則的な利用があった場合に警告を行うレポート機能が備えられています。さらに、操作ログの記録および警告機能により、何者かが Websites を停止させた場合や Virtual Machines が削除された場合には、お客様に通知が行われます。

企業がクラウドを十分に活用し、スピードや拡張性、経済性といったクラウドのメリットをすべて享受するには、リスクが深刻化する中でもインフラストラクチャ、アプリケーション、データの安全性が保証されている必要があります。エンタープライズ クラスのソフトウェアの開発と世界最大規模のクラウド サービスの運用で 20 年以上の経験を持つマイクロソフトは、この経験を活用してクラウドのセキュリティをさらに進化させ、オンプレミスまたは自社データ センターに対して多くの企業が行っている保護のレベルよりもさらに高い安全性をクラウドで実現させることに取り組んでいます。セキュリティ機能およびベスト プラクティスに関する最新情報をご希望のお客様は、Microsoft Azure のトラスト センターのサイトをご覧ください。