はじめに
こんにちは。NRIでAzureの導入支援を行っている小泉です。
生成AIの流行に伴い、OpenAIのモデルを利用するためにMicrosoft Azure(以下、Azure)を利用する人が増えてきたのではないかと思います。
「突然Azureを使うことになったけど、セキュリティ対策どうすればいいの・・・?」という方に向けて、今回はAzureでセキュリティ対策をするために知っておくべきことやサービスなどをご紹介したいと思います。
クラウドセキュリティの考え方
クラウドセキュリティを考える上で重要なキーワードは「ガードレール」です。
車両が誤った方向に侵入しないように設置されている白いガードレールを思い浮かべる方が多いと思いますが、クラウドでも誤ってセキュリティリスクのある設定をしないよう事前にガードレールを敷いておくことが大事です。
ガードレールは以下の2種類に分類されます。
・予防的ガードレール
リスクのある設定・してはいけない操作を予め禁止する仕組み
・発見的ガードレール
リスクのある設定を検知する仕組み
これだけ見ると全て予防的ガードレールで禁止すればいいのでは?と思うかもしれません。しかし予防的ガードレールばかりでは、開発者の自由を奪ってしまうことになりかねません。そのため、環境の用途や検知する設定値によってガードレールを使い分けることが大切です。
Azure Policy
Azure Policyとは
Azureでセキュリティガードレールを敷く場合は、Azure Policyを利用します。
Azure Policyでは、Azureリソースの設定値を確認して、ルールに違反しているリソースを検知したりそもそも作成できなくしたりすることが可能です。つまり予防的ガードレール、発見的ガードレールの両方を、このサービスで実現可能です。
どんなルールに違反したらどうする、ということをJSON形式で記載したものをポリシーと呼びます。ポリシーは自分で記載することも可能ですが、基本的にはMicrosoftが用意してくれている組み込みポリシーで事足りることが多いです。
ポリシーに違反したらどうするかは、「効果」というパラメータで決めることができます。効果の種類はいくつかありますが、以下が代表的な2つとなります。
・deny
ポリシーに違反したリソースを作成できない(予防的ガードレール)
・audit
ポリシーに違反した場合、ログに出力する(発見的ガードレール)
Azure Policyの使い方
一例として、Azure OpenAI Service(以下、AOAI)を例に、Azure Policyの使い方を説明します。
AOAIでセキュリティに関わる設定値というと、まずはファイアウォールを思い浮かべる方が多いと思います。用途にもよりますが、ファイアウォールをかけずどこからでもアクセス可能な状態にしてしまうと危険です。
この状態を検知できる組み込みポリシーとして「Cognitive Servicesアカウントでネットワークアクセスを制限する必要がある」というポリシーが用意されています。ちょっとややこしいですが、Cognitive Services(現Azure AI Services)はAOAI登場以前から存在するAzureのAIサービスの総称で、AOAIもCognitive Servicesの一種です。
このポリシーを有効化すると、このように先ほどのAOAIリソースがポリシーに準拠していない状態として表示されます。
今回は効果をauditにしているため、リソースの作成は可能ですが、ポリシーに準拠していないことがログ出力されます。
危険な状態であることが検知できましたので、次のアクションとして設定値を修正する、つまりファイアウォールをかけます。
その後もう一度ポリシーを確認すると、このAOAIリソースがちゃんとポリシーに準拠している状態になっていることが確認できます。
※この環境にいくつか準拠していないリソースがあるため、全体としては準拠していないという表示がされていますが、当該リソースについては準拠している状態になっています
実運用ではポリシーに準拠していないリソースが作成されたらメール通知するような仕組みが必要になることが多いですが、その仕組みは作りこみが必要なため、今回は割愛します。
Microsoft Defender for Cloud
では実際にAzure Policyを使ってみようとなっても、組み込みポリシーの数も多いため、どのポリシーを適用すればいいのか迷ってしまいます。
そのような時はMicrosoft Defender for Cloudの「推奨事項」を確認することをおすすめします。推奨事項ではMicrosoftクラウドセキュリティベンチマークに基づいた組み込みポリシーの一覧が表示され、各ポリシーについて準拠しているかどうかを一目で確認することが可能です。
推奨事項を活用しつつ、社内ルールに沿ってその他必要なポリシーは個別に有効化して確認するのがよいと思います。
※推奨事項は発見的ガードレールの役割となりますので、予防的ガードレールを敷く場合は効果をdenyにしたポリシーを自分で有効化する必要があります
おわりに
今回はAzureでセキュリティを守るために重要なサービスを紹介しました。
NRIが提供するパブリッククラウド運営サービス「QUMOA」では、Azureを活用される際に、Azure Policy等を活用してルールに違反しているリソースを検知し、どのリソースに対してどの設定値を修正すればよいか、ということを日本語で分かりやすくメール通知するサービスを展開しています。
少しでもご興味がありましたら、ぜひ以下のお問合せ先までお気軽にご相談ください。
お問い合わせ
atlax では、ソリューション・サービス全般に関するご相談やお問い合わせを承っております。
関連リンク・トピックス
・atlax / クラウドの取り組み / Microsoft Azure
・2023/10/31 Microsoft MVP を中心としたコミュニティメンバーで社内Azure勉強会を開催!
・2023/12/18 戸締り確認をして年末年始をくつろいで過ごそう!~ Azure課金の確認ポイント(初心者向け) ~
-
採用情報
NRIの IT基盤サービスでは、キャリア採用を実施しています。様々な職種で募集しておりますので、ご興味を持たれた方は キャリア採用ページも ぜひご覧ください。
※ 記載された会社名 および ロゴ、製品名などは、該当する各社の登録商標または商標です。
※ アマゾン ウェブ サービス、Amazon Web Services、AWS および ロゴは、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
※ Microsoft、Azure は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
※ Google Cloud、Looker、BigQuery および Chromebook は、Google LLC の商標です。
※ Oracle、Java、MySQL および NetSuite は、Oracle Corporation、その子会社および関連会社の米国およびその他の国における登録商標です。NetSuite は、クラウド・コンピューティングの新時代を切り開いたクラウド・カンパニーです。