『Azure App Service: セキュリティの脅威への対策ガイド』のススメ
AzureのGiithubには「Azure App Service: セキュリティの脅威への対策ガイド」というものが置かれています。
自社の社員がこのガイド作成に協力していまして、社内で紹介されたのを受けて読んでみたというのが今回の内容です。
Azureのセキュリティに関する資料には以前私の記事の中で最高のビュー数となった元ネタとなるAzure標準化ガイドラインというものがありまして、そこでもセキュリティについて色々と触れられていました。
ただし、この標準ガイドラインはAzureそのものの情報量の多さゆえに、それぞれの項目についてはあくまで概略レベルに留まります。
今回とりあげているセキュリティ脅威への対策ガイドはそこから更に掘り下げた内容となっております。
対象者としてはAzureに関する技術・知識が無くても、といいますか、むしろそういったプログラマー、エンジニア以外の方々、ユーザー会社の方々に向けたガイドとなっています。
タイトルとしては「App Services」とありますが、それと関連するサービス( Azure Storage / Azure Front Door )に関しても触れられており、そして、何よりもセキュリティ脅威に対する手段として用意された「Microsoft Defender」というものがどういったサービスであるかを説明しています。
ここ最近、DXの加速によるものか、セキュリティに対する一般(非エンジニア)の方々の意識が高くなってきたためかはわかりませんが、セキュリティに関する事故・問題というのを一般のニュースでも目にする機会が増えてきたような気がします。
以下のようなセキュリティに関するニュースのまとめサイトでも数多くの問題が発生していることがわかります。
今回のガイドを見てほしい方々としては、私のようなエンジニアの方々はもちろんなのですが、
・過去にネット攻撃にあった経験があり、対策について検討している
・何らかの対策はしたいという漠然とした不安を抱いている
・そもそもどういった攻撃があり、どういった対策ができるのかを知りたい
といった(Azureを利用する)方々には是非読んでいただきたい内容となります。
実際、私が携わっている案件でも特定のURLに対して短時間で明らかに攻撃と思われるアクセスが発生したことがあります。
例えばC#で書かれたサイトに対して~index.phpといったように明らかに想定外のアクセスが来ることがあります。
そういった場合はガイドでも紹介されていますが、幸いにもAzure Front Doorを用意してあるのでそのWAFの機能を用いてブロックします。
その方法はまたこのブログでも紹介できればと思いますが、Azureポータルで非エンジニアの方でも非常に簡単に行えます。
そして更なる防御方法としてこのガイドで紹介されているMicrosoft Defender、正確には「Microsoft Defender for Cloud」。
以下のURLでも紹介はされていますが、エンジニア、もしくはAzureについてある程度知識がある方向けの内容ですので、いまひとつピンとこないかもしれません。
そういった方々は是非このガイドを読んでもらえれば、具体的にどういった形で脅威が検知、表示されるのかがわかります。
更には単純に検知するだけに留まらず、それに対してどういったアクションを実施すればいいのかまで教えてくれます。
WebサーバーとなるApp Servicesに対してはWAF等である程度セキュリティを担保している方はいらっしゃるかと思いますが、Microsoft DefenderはAzure Storageに対しても保護してくれます。
例えばストレージにマルウェアファイルがアップされた場合等、実際のテストに利用できるテスト用マルウェアファイルも用意されてますので気軽に試すことができます。
値段もMySQLやPosgreSQLに対してはやや高めになりますが、それ以外の純粋なMicrosoftの製品・サービスについてはかなり安く利用できます。
例えばAppSerivesであれば、「¥2.726/App Service/時間」、つまり、App Serives1つにつき、1か月であれば24時間×31日×2.276円= 約1,693円/月と非常にお手頃です。
(テレビショッピングのようなノリになってしまいますが。。)私が携わっている案件でも是非導入を勧めてみたいと思っています。
ITベンダー、SIerの方々にとっても営業・提案レベルから役立つ資料となりますので是非一読を。