保護、検出、対応を支援する Azure の機能とリソース

[アーティクル]
06/01/2023

Microsoftは、日常的な大量攻撃や巧妙な標的型攻撃で見られるランサムウェアの攻撃手法を撃退するために、組織が活用できる Azure のネイティブなセキュリティ機能に投資しています。

主な機能は次のとおりです。

ネイティブ脅威検出: Microsoft Defender for Cloud は、Extended Detection and Response（XDR）とも呼ばれる高品質な脅威検知と対応の機能を提供します。これは、次の場合に役立ちます。
- 生のアクティビティログを使用してカスタムアラートを構築するために、貴重なセキュリティリソースの時間と才能を無駄にしないようにします。
- 効果的なセキュリティ監視を確保し、多くの場合、セキュリティチームが Azure サービスの使用を迅速に承認できるようにします。
パスワードレスおよび多要素認証: Microsoft Entra 多要素認証、Microsoft Entra Authenticator アプリ、Windows Hello には、これらの機能が用意されています。これで、よく見られるパスワード攻撃 (Microsoft Entra ID で見られる ID 攻撃の 99.9% を占める) からアカウントを保護することができます。完璧なセキュリティはありませんが、パスワードのみの攻撃ベクトルを排除することで、Azure リソースへのランサムウェア攻撃リスクを劇的に低減できます。
ネイティブファイアウォールとネットワークセキュリティ: Microsoft は、ネイティブ DDoS攻撃の緩和、ファイアウォール、Web アプリケーションファイアウォール、その他多くの制御を Azure に構築しました。これらの「サービスとしてのセキュリティ」は、セキュリティ制御の構成と実装を簡略化するのに役立ちます。これにより、組織は、Azure のセキュリティを簡素化するために、ネイティブサービスや、使い慣れたベンダーの機能の仮想アプライアンスバージョンを使用することができます。

Microsoft Defender for Cloud

Microsoft Defender for Cloud は、Azure、オンプレミス、その他のクラウドで稼働するワークロードに脅威保護を提供する組み込みツールです。ハイブリッドデータ、クラウドネイティブサービス、サーバーをランサムウェアなどの脅威から保護します。また、SIEM ソリューションなどの既存のセキュリティワークフローや Microsoft の膨大な脅威インテリジェンスと統合し、脅威の軽減を効率化します。

Microsoft Defender for Cloud は、Azureエクスペリエンス内から直接すべてのリソースを保護し、Azure Arc を使用してオンプレミスおよびマルチクラウドの仮想マシンや SQL Databaseにも保護を拡張します。

Azure のサービスの保護
ハイブリッドワークロードの保護
AI と自動化でセキュリティを効率化
あらゆるクラウド上の Linux/Windows サーバーを対象に、高度なマルウェアや脅威を検知してブロックします。
クラウドネイティブサービスを脅威から守る
ランサムウェアの攻撃からデータサービスを保護する
継続的な資産の発見、脆弱性管理、脅威の監視により、管理対象および非管理対象の IoT および OT デバイスを保護します

Microsoft Defender for Cloud は、ランサムウェア、高度なマルウェア、リソースの脅威を検出しブロックするためのツールを提供します。

リソースの安全を保つことは、お客様のクラウドプロバイダー、Azure、そしてお客様が共同で取り組む作業です。クラウドに移行する場合、ワークロードを確実にセキュリティで保護する必要があります。それと同時に、IaaS (サービスとしてのインフラストラクチャ) に移行する場合は、PaaS (サービスとしてのプラットフォーム) と SaaS (サービスとしてのソフトウェア) だったときよりもお客様の責任が大きくなります。 Microsoft Defender for Cloud には、ネットワークを強化し、サービスをセキュリティで保護し、お客様がセキュリティ体制を把握するために必要なツールが用意されています。

Microsoft Defender for Cloud は、データセンターのセキュリティ体制を強化する統合インフラストラクチャセキュリティ管理システムです。Azure 内かどうかにかかわらずクラウド内とオンプレミス上のハイブリッドワークロード全体を保護する高度な脅威防止機能があります。

Defender for Cloud の脅威の防止機能により、Azure 内のサービスとしてのプラットフォーム (PaaS) だけでなく、サービスとしてのインフラストラクチャ (IaaS) レイヤー、Azure 以外のサーバーの脅威も検出して防止することができます。

Defender for Cloud の脅威の防止機能には、サイバーキルチェーン分析に基づいて環境内のアラートを自動的に相関させるフュージョンキルチェーン分析が含まれており、攻撃キャンペーンの詳細 (開始点、リソースに対する影響の種類) を詳細に把握することができます。

主な機能

継続的なセキュリティ評価セキュリティアップデートが適用されていない、または安全でない OS 設定や脆弱な Azure 設定のある Windows および Linux マシンを特定します。オプションのウォッチリストや監視したいイベントを追加します。
実行可能な推奨事項: 優先順位付けされた実行可能なセキュリティ推奨事項により、セキュリティ脆弱性を迅速に修復します。
一元化されたポリシー管理: すべてのハイブリッドクラウドワークロードのセキュリティポリシーを一元的に管理することで、会社や規制のセキュリティ要件に確実に準拠できます。
業界で最も広範囲に及ぶ脅威インテリジェンス: Microsoft サービスや世界中のシステムからの膨大な数の信号を使用して新しい脅威や進化する脅威を特定する、Microsoft インテリジェントセキュリティグラフを活用できます。
高度な分析と機械学習: 組み込みの行動分析と機械学習を使用して、既知の攻撃パターンと侵害後のアクティビティを特定します。
アダプティブアプリケーション制御 - 特定のワークロードに適応し、機械学習を活用した許可リストの推奨事項を適用することで、マルウェアや他の望ましくないアプリケーションをブロックします。
優先度の高いアラートと攻撃のタイムライン: 1 つの攻撃キャンペーンに割り当てられた優先度の高いアラートとインシデントを最初に使用して、最も重要な脅威に焦点を当てます。
調査の効率化視覚的、対話型体験により、攻撃の範囲と影響を迅速に調査します。アドホッククエリを使用して、セキュリティデータをさらに詳しく調べことができます。
自動化とオーケストレーション: Azure Logic App sとの統合により、一般的なセキュリティワークフローを自動化し、脅威に迅速に対応します。セキュリティプレイブックを作成し、既存のチケットシステムにアラートをルーティングしたり、インシデント対応アクションをトリガーできます。

Microsoft Sentinel

Microsoft Sentinel は、キルチェーンの完全なビューを作成するのに役立ちます

Sentinel では、内蔵のコネクタと業界標準を使用してあらゆるセキュリティソースに接続し、人工知能を活用して複数のソースにまたがる低忠実度の信号を相関させ、ランサムウェアキルチェーンの全体像と優先的なアラートを作成して、防御者が敵を撃退する時間を短縮できるようにすることが可能です。

Microsoft Sentinel を使用すると、ますます巧妙化する攻撃、増加するアラート、解決までに長い期間がかかることに伴うストレスを軽減し、企業全体を俯瞰的に見ることができます。

クラウドの規模でデータを収集します。オンプレミスと複数のクラウド内の両方ですべてのユーザー、デバイス、アプリケーション、インフラストラクチャにわたって収集します。

これまでに検出されなかった脅威を検出し、Microsoft の分析と無類の脅威インテリジェンスを使用して誤検知を最小限に抑えます。

人工知能を使用して脅威を調査します。Microsoft の長年にわたるサイバーセキュリティ業務を活用しながら、大規模に疑わしいアクティビティを捜索します。

インシデントに迅速に対応します。一般的なタスクの組み込みのオーケストレーションとオートメーションを使用します。

Microsoft Defender for Cloud を使用したネイティブな脅威の防止

Microsoft Defender for Cloud は、Azure サブスクリプション全体の仮想マシンをスキャンし、既存のソリューションが検出されない場合は、エンドポイント保護の導入を推奨します。この推奨事項には、[推奨事項] セクションからアクセスできます。

Screenshot of Microsoft Defender for Cloud overview

Microsoft Defender for Cloud では、仮想マシン、SQL データベース、コンテナー、Web アプリケーション、ネットワークなどのセキュリティアラートと高度な脅威の防止を実現します。 Microsoft Defender for Cloud によって環境のいずれかの領域で脅威が検出されると、セキュリティアラートが生成されます。これらのアラートでは、影響を受けるリソースや推奨される修復手順の詳細と、場合によっては、ロジックアプリを応答でトリガーするオプションが示されます。

このアラートは、検出された Petya ランサムウェアアラートの例です。

Example of a detected Petya ransomware alert

Azure ネイティブバックアップソリューションでデータを保護する

ランサムウェアの攻撃による損失を防ぐために、組織ができる重要な方法の一つは、他の防御方法が失敗した場合に備えて、ビジネスクリティカルな情報をバックアップしておくことです。ランサムウェア攻撃者はバックアップアプリケーションやボリュームシャドウコピーのようなオペレーティングシステム機能の無力化に多大な投資を行っているため、悪意のある攻撃者からアクセスできないバックアップを作成することが極めて重要です。柔軟な事業継続とディザスターリカバリーソリューション、業界をリードするデータ保護とセキュリティツールにより、Azure クラウドはおデータを保護するための安全なサービスを提供します。

Azure Backup: Azure Backup サービスは、Azure VM をバックアップするためのシンプルで安全、かつ費用効率の高いソリューションを提供します。現在、Azure Backup は、Azure Virtual Machine 用のバックアップソリューションを使用して、VM 内のすべてのディスク (OS ディスクとデータディスク) のバックアップをサポートしています。
Azure ディザスターリカバリー: オンプレミスからクラウドへ、またはクラウドから別のクラウドへのディザスターリカバリーにより、ダウンタイムを回避し、アプリケーションを稼働させ続けることができます。
Azure の組み込みのセキュリティと管理: クラウド時代に成功するには、企業は、問題を効率的に特定し、最適化とスケーリングを効果的に行う一方で、セキュリティ、コンプライアンス、ポリシーが確実にベロシティを確保するように、すべてのコンポーネントの可視性/メトリックと制御を備える必要があります。

データへのアクセスの保証と保護

Azure には、継続的な評価と改善の下にある Microsoft の 150 億ドルのインフラストラクチャ投資によって支えられているグローバルデータセンターの管理に長い期間の経験があります。もちろん、継続的な投資と改善も行っています。

主な機能

Azure には、ローカル冗長 Storage (LRS) が付属しています。データはローカルに格納され、geo 冗長 Storage (GRS) は 2 番目のリージョンに格納されます
Azure に格納されているデータはすべて高度な暗号化プロセスによって保護され、すべての Microsoft のデータセンターには、2 層認証、プロキシカードアクセスリーダー、生体認証スキャナーがあります
Azure には、ISO 27001、HIPAA、FedRAMP、SOC 1、SOC 2、および多くの国際仕様など、市場の他のパブリッククラウドプロバイダーよりも多くの認定を取得しています

その他の資料

まとめ

Microsoft は、クラウドのセキュリティと、クラウドワークロードを保護するために必要なセキュリティ制御の両方に重点を置いています。サイバーセキュリティのリーダーとして、私たちは世界をより安全な場所にするための責任を受け入れています。これは、当社のセキュリティフレームワーク、設計、製品、法的取り組み、業界パートナーシップ、サービスにおいて、ランサムウェアの予防と検知に対する包括的なアプローチに反映されています。

ランサムウェアの保護、検出、防止に包括的な方法で対処するために、お客様との提携をお待ちしております。

お問合せ:

Microsoft がクラウドをセキュリティで保護する方法の詳細については、service trust portal を参照してください。

次の内容

「ランサムウェア攻撃に対する Azure の防御ホワイトペーパー」をご覧ください。

このシリーズの他の記事: