ランサムウェア攻撃の保護、検出、対応に役立つ Azure の機能とリソース
Microsoftは、日常的な大量攻撃や巧妙な標的型攻撃で見られるランサムウェアの攻撃手法を撃退するために、組織が活用できる Azure のネイティブなセキュリティ機能に投資しています。
主な機能は次のとおりです。
- ネイティブ脅威検出: Microsoft Defender for Cloud は、Extended Detection and Response(XDR) とも呼ばれる高品質な脅威検知と対応の機能を提供します。 これは、次の場合に役立ちます。
- 生のアクティビティログを使用してカスタム アラートを構築するために、貴重なセキュリティリ ソースの時間と才能を無駄にしないようにします。
- 効果的なセキュリティ監視を確保し、多くの場合、セキュリティ チームが Azure サービスの使用を迅速に承認できるようにします。
- パスワードレスおよび多要素認証: Microsoft Entra 多要素認証、Microsoft Entra Authenticator アプリ、Windows Hello には、これらの機能が用意されています。 これで、よく見られるパスワード攻撃 (Microsoft Entra ID で見られる ID 攻撃の 99.9% を占める) からアカウントを保護することができます。 完璧なセキュリティはありませんが、パスワードのみの攻撃ベクトルを排除することで、Azure リソースへのランサムウェア攻撃リスクを劇的に低減できます。
- ネイティ ブファイアウォールとネットワーク セキュリティ: Microsoft は、ネイティブ DDoS攻撃の緩和、ファイアウォール、Web アプリケーション ファイアウォール、その他多くの制御を Azure に構築しました。 これらの 「サービスとしてのセキュリティ」 は、セキュリティ制御の構成と実装を簡略化するのに役立ちます。 これにより、組織は、Azure のセキュリティを簡素化するために、ネイティブ サービスや、使い慣れたベンダーの機能の仮想アプライアンス バージョンを使用することができます。
Microsoft Defender for Cloud
Microsoft Defender for Cloud は、Azure、オンプレミス、その他のクラウドで稼働するワークロードに脅威保護を提供する組み込みツールです。 ハイブリッド データ、クラウド ネイティブ サービス、サーバーをランサムウェアなどの脅威から保護します。 また、SIEM ソリューションなどの既存のセキュリティ ワークフローや Microsoft の膨大な脅威インテリジェンスと統合し、脅威の軽減を効率化します。
Microsoft Defender for Cloud は、Azureエクスペリエンス内から直接すべてのリソースを保護し、Azure Arc を使用してオンプレミスおよびマルチクラウドの仮想マシンや SQL Databaseにも保護を拡張します。
- Azure のサービスの保護
- ハイブリッド ワークロードの保護
- AI と自動化でセキュリティを効率化
- あらゆるクラウド上の Linux/Windows サーバーを対象に、高度なマルウェアや脅威を検知してブロックします。
- クラウド ネイティブサービスを脅威から守る
- ランサムウェアの攻撃からデータ サービスを保護する
- 継続的な資産の発見、脆弱性管理、脅威の監視により、管理対象および非管理対象の IoT および OT デバイスを保護します
Microsoft Defender for Cloud は、ランサムウェア、高度なマルウェア、リソースの脅威を検出しブロックするためのツールを提供します。
リソースの安全を保つことは、お客様のクラウド プロバイダー、Azure、そしてお客様が共同で取り組む作業です。 クラウドに移行する場合、ワークロードを確実にセキュリティで保護する必要があります。それと同時に、IaaS (サービスとしてのインフラストラクチャ) に移行する場合は、PaaS (サービスとしてのプラットフォーム) と SaaS (サービスとしてのソフトウェア) だったときよりもお客様の責任が大きくなります。 Microsoft Defender for Cloud には、ネットワークを強化し、サービスをセキュリティで保護し、お客様がセキュリティ体制を把握するために必要なツールが用意されています。
Microsoft Defender for Cloud は、データ センターのセキュリティ体制を強化する統合インフラストラクチャ セキュリティ管理システムです。Azure 内かどうかにかかわらずクラウド内とオンプレミス上のハイブリッド ワークロード全体を保護する高度な脅威防止機能があります。
Defender for Cloud の脅威の防止機能により、Azure 内のサービスとしてのプラットフォーム (PaaS) だけでなく、サービスとしてのインフラストラクチャ (IaaS) レイヤー、Azure 以外のサーバーの脅威も検出して防止することができます。
Defender for Cloud の脅威の防止機能には、サイバー キルチェーン分析に基づいて環境内のアラートを自動的に相関させるフュージョン キルチェーン分析が含まれており、攻撃キャンペーンの詳細 (開始点、リソースに対する影響の種類) を詳細に把握することができます。
主な機能
- 継続的なセキュリティ評価 セキュリティアップデートが適用されていない、または安全でない OS 設定や脆弱な Azure 設定のある Windows および Linux マシンを特定します。 オプションのウォッチリストや監視したいイベントを追加します。
- 実行可能な推奨事項: 優先順位付けされた実行可能なセキュリティ推奨事項により、セキュリティ脆弱性を迅速に修復します。
- 一元化されたポリシー管理: すべてのハイブリッド クラウド ワークロードのセキュリティ ポリシーを一元的に管理することで、会社や規制のセキュリティ要件に確実に準拠できます。
- 業界で最も広範囲に及ぶ脅威インテリジェンス: Microsoft サービスや世界中のシステムからの膨大な数の信号を使用して新しい脅威や進化する脅威を特定する、Microsoft インテリジェント セキュリティ グラフを活用できます。
- 高度な分析と機械学習: 組み込みの行動分析と機械学習を使用して、既知の攻撃パターンと侵害後のアクティビティを特定します。
- アダプティブ アプリケーション制御 - 特定のワークロードに適応し、機械学習を活用した許可リストの推奨事項を適用することで、マルウェアや他の望ましくないアプリケーションをブロックします。
- 優先度の高いアラートと攻撃のタイムライン: 1 つの攻撃キャンペーンに割り当てられた優先度の高いアラートとインシデントを最初に使用して、最も重要な脅威に焦点を当てます。
- 調査の効率化 視覚的、対話型体験により、攻撃の範囲と影響を迅速に調査します。 アドホック クエリを使用して、セキュリティ データをさらに詳しく調べことができます。
- 自動化とオーケストレーション: Azure Logic App sとの統合により、一般的なセキュリティワークフローを自動化し、脅威に迅速に対応します。 セキュリティ プレイブックを作成し、既存のチケット システムにアラートをルーティングしたり、インシデント対応アクションをトリガーできます。
Microsoft Sentinel
Microsoft Sentinel は、キル チェーンの完全なビューを作成するのに役立ちます
Sentinel では、内蔵のコネクタと業界標準を使用してあらゆるセキュリティソースに接続し、人工知能を活用して複数のソースにまたがる低忠実度の信号を相関させ、ランサムウェアキルチェーンの全体像と優先的なアラートを作成して、防御者が敵を撃退する時間を短縮できるようにすることが可能です。
Microsoft Sentinel を使用すると、ますます巧妙化する攻撃、増加するアラート、解決までに長い期間がかかることに伴うストレスを軽減し、企業全体を俯瞰的に見ることができます。
クラウドの規模でデータを収集します。オンプレミスと複数のクラウド内の両方ですべてのユーザー、デバイス、アプリケーション、インフラストラクチャにわたって収集します。
これまでに検出されなかった脅威を検出し、Microsoft の分析と無類の脅威インテリジェンスを使用して誤検知を最小限に抑えます。
人工知能を使用して脅威を調査します。Microsoft の長年にわたるサイバー セキュリティ業務を活用しながら、大規模に疑わしいアクティビティを捜索します。
インシデントに迅速に対応します。一般的なタスクの組み込みのオーケストレーションとオートメーションを使用します。
Microsoft Defender for Cloud を使用したネイティブな脅威の防止
Microsoft Defender for Cloud は、Azure サブスクリプション全体の仮想マシンをスキャンし、既存のソリューションが検出されない場合は、エンドポイント保護の導入を推奨します。 この推奨事項には、[推奨事項] セクションからアクセスできます。
Microsoft Defender for Cloud では、仮想マシン、SQL データベース、コンテナー、Web アプリケーション、ネットワークなどのセキュリティ アラートと高度な脅威の防止を実現します。 Microsoft Defender for Cloud によって環境のいずれかの領域で脅威が検出されると、セキュリティ アラートが生成されます。 これらのアラートでは、影響を受けるリソースや推奨される修復手順の詳細と、場合によっては、ロジック アプリを応答でトリガーするオプションが示されます。
このアラートは、検出された Petya ランサムウェア アラートの例です。
Azure ネイティブ バックアップ ソリューションでデータを保護する
ランサムウェアの攻撃による損失を防ぐために、組織ができる重要な方法の一つは、他の防御方法が失敗した場合に備えて、ビジネス クリティカルな情報をバックアップしておくことです。 ランサムウェア攻撃者はバックアップ アプリケーションやボリューム シャドウ コピーのようなオペレーティング システム機能の無力化に多大な投資を行っているため、悪意のある攻撃者からアクセスできないバックアップを作成することが極めて重要です。 柔軟な事業継続とディザスター リカバリー ソリューション、業界をリードするデータ保護とセキュリティツールにより、Azure クラウドはおデータを保護するための安全なサービスを提供します。
- Azure Backup: Azure Backup サービスは、Azure VM をバックアップするためのシンプルで安全、かつ費用効率の高いソリューションを提供します。 現在、Azure Backup は、Azure 仮想マシン用のバックアップ ソリューションを使用する VM 内のすべてのディスク (OS ディスクとデータ ディスク) のバックアップをサポートしています。
- Azure ディザスター リカバリー: オンプレミスからクラウドへ、またはクラウドから別のクラウドへのディザスターリカバリーにより、ダウンタイムを回避し、アプリケーションを稼働させ続けることができます。
- Azure の組み込みのセキュリティと管理: クラウド時代に成功するには、企業は、問題を効率的に特定し、最適化とスケーリングを効果的に行う一方で、セキュリティ、コンプライアンス、ポリシーが確実にベロシティを確保するように、すべてのコンポーネントの可視性/メトリックと制御を備える必要があります。
データへのアクセスの保証と保護
Azure には、継続的な評価と改善の下にある Microsoft の 150 億ドルのインフラストラクチャ投資によって支えられているグローバル データ センターの管理に長い期間の経験があります。もちろん、継続的な投資と改善も行っています。
主な機能
- Azure には、ローカル冗長 Storage (LRS) が付属しています。データはローカルに格納され、geo 冗長 Storage (GRS) は 2 番目のリージョンに格納されます
- Azure に格納されているデータはすべて高度な暗号化プロセスによって保護され、すべての Microsoft のデータ センターには、2 層認証、プロキシ カード アクセス リーダー、生体認証スキャナーがあります
- Azure には、ISO 27001、HIPAA、FedRAMP、SOC 1、SOC 2、および多くの国際仕様など、市場の他のパブリック クラウド プロバイダーよりも多くの認定を取得しています
その他の資料
- Azure 向けの Microsoft クラウド導入フレームワーク
- Microsoft Azure Well-Architected Framework を使用して優れたソリューションを構築する
- Azure のセキュリティに関する上位のベスト プラクティス
- セキュリティ ベースライン
- Microsoft Azure Resource Center
- Azure 移行ガイド
- セキュリティ コンプライアンス管理
- Azure セキュリティ コントロール – インシデント対応
- ゼロ トラスト ガイダンス センター
- Azure Web アプリケーション ファイアウォール
- Azure VPN Gateway
- Microsoft Entra 多要素認証 (MFA)
- Microsoft Entra ID Protection
- Microsoft Entra 条件付きアクセス
- Microsoft Defender for Cloud のドキュメント
まとめ
Microsoft は、クラウドのセキュリティと、クラウドワークロードを保護するために必要なセキュリティ制御の両方に重点を置いています。 サイバーセキュリティのリーダーとして、私たちは世界をより安全な場所にするための責任を受け入れています。 これは、当社のセキュリティフレームワーク、設計、製品、法的取り組み、業界パートナーシップ、サービスにおいて、ランサムウェアの予防と検知に対する包括的なアプローチに反映されています。
ランサムウェアの保護、検出、防止に包括的な方法で対処するために、お客様との提携をお待ちしております。
お問合せ:
Microsoft がクラウドをセキュリティで保護する方法の詳細については、service trust portal を参照してください。
次の内容
「ランサムウェア攻撃に対する Azure の防御 ホワイト ペーパー」をご覧ください。
このシリーズの他の記事: