BLOGAzureブログ

皆さまこんにちは、SB C&Sの八釼です。
前編に引き続き、今回は後編ということでAzure ADの役割や魅力にもう少し深く入り込んでいこうと思います。

具体的にはゼロトラスト・アーキテクチャ構築の基礎となる重要なセキュリティ基盤でもある所以をご紹介したいと思います。まだ前編をお読みでない場合にはまずは目を通してから本記事を読まれることをおすすめします。

主要な役割や機能についての深堀

前編でおおよそどのようなサービスか分かったと思いますが、ここからは主要な役割や機能についてもう少しだけ深堀しようと思います。

ID管理とSSO

もっとも基本となる役割で、前編でお伝えしたとおり様々なアプリに対してSSOできることで統合的な認証基盤となり全体としてID管理の手間が減ったりセキュアになったりするわけですが、このID管理サービス（Azure ADテナント）自体のID管理が増えるのがなんとなく少し嫌だなと思われる方もいるかもしれません。しかし、もし既にADDSを運用している組織であれば、性質の異なるディレクトリサービスのIDをそれぞれ管理・・・なんて面倒なことを考えなくて良いのです。

Azure AD Connectというツールを使うことでディレクトリ同期が可能です。つまり、オンプレミスADDSからAzure ADテナントにユーザーとグループを同期させることができます。さらにSSOを設定することで、既存ADの認証情報を使って例えばAzure portalにサインインすることができるのです。

認証機能

あるIDがアプリに対してアクセスしてきたときに、Azure ADが管理している（テナントに登録してある）IDと照合しその組織のユーザーかどうかを確認します。簡単に言えば本人確認ですね。
この方法としては単純なパスワードによる認証を含め以下の三種類が可能で、下に行くほど推奨度合いが強いです。ゼロトラストを前提にすると当然ですね。現在もっとも強く推奨されているのがパスワードレス認証です。

• パスワード認証
• 多要素認証（MFA）
• パスワードレス認証

権限管理

前編ではプリンシパルに対して「ロール」を割り当ててアクセス許可について管理することをお伝えしました。ここで注意が必要なことは、Azureリソースに対するロール（Azureリソースロール）とAzure ADテナントに対するロール（Azure ADロール）の二種類があるということです。これらは完全に異なるロールであり、それぞれに対して適切な権限（ロール）を割り当てないと意図した運用を行うことができません。つまり二種類のロールの管理が必要なのです。

例えば、Azure VMを作成することができるロールと、Azure ADテナントにユーザーを作成することができるロール、まったく次元の違う話に聞こえますよね。実際異なるわけです。なお、どちらのロールにもそれぞれ組み込みロールとカスタムロールは存在します。

セキュリティ基盤

前編でお伝えしたように、認証と認可は現代のセキュリティの基本であり根幹をなします。アクセス制御を適切に行うことはもちろんのこと、権限付与を適切に行ったり、状況をしっかり把握できることも重要です。そのため、主要な役割をもっと高度な形で再現できるように設計されています。

3つの重要なセキュリティ機能

組織においてセキュリティを担う担当者の方にはぜひとも活用を検討いただきたい機能を三つ紹介します。

1. Identity Protection ( ID Protection )

Azure ADテナントのID（アカウント）に対する脅威対策ソリューション（機能）です。マイクロソフト社のデータセンターに蓄積された膨大なデータを基に、リスクを検出しそれを自動修復することや必要に応じてレポートを使った調査を行うことができます。

検出されるリスクは、サインインに関連するリスクとユーザーに関連するリスクがあり、レポートにて確認できます。
サインインに関連するリスクは、テナントに対する普段と異なる怪しいサインインを検出します。例えば、パスワードスプレー攻撃や過去にアクセスしてきたことがない国からの認証要求などです。
ユーザーに関連するリスクは、アカウント侵害の疑いを検出します。例えば、アカウント情報の闇サイトへの漏洩や特定の攻撃パターンに一致するユーザーの行動などです。

ちなみに、より詳細に分析するために検出データをSIEMツールなどにエクスポートすることもできます。

検出された後については、Azure ADロールとしてセキュリティに関するロールが割り当てられているユーザーがID Protectionからのアラートを受け取り、リスク検出の結果を確認し対応のフェーズに移ります。もちろん一つ一つ手動で対処することもできますが、リスクが検出された場合、対処完了までの時間というのが重要になるためポリシーを使用して対応を自動化することができます。これによりそもそもアクセスをブロックすることや、許可するにしてもユーザーが自己修復した上でアクセスさせるといった制御を行うことができます。
ちなみに、このポリシーは既定では三つ存在し、さらにこの後紹介する条件付きアクセスと関連させるものもあります。

2. 条件付きアクセス

アプリケーションに対してきめ細かくアクセスを制御できる機能であり、ゼロトラストに関わるとても重要なセキュリティ対策となります。
まず第一段階として正当なユーザーかどうかの認証（判断）が完了した後に、事前に設定した特定の条件（条件付きアクセスポリシー）に基づいてアプリへのアクセスを許可するか否かを判別します。このポリシーは大きく分けて「割り当て」と「アクセス制御」という二つの項目で構成されており、ポリシーを実行するトリガーとなる情報とそれに対するアクションを定義します。

割り当てでは、「誰が何に対してアクセスしてきたとき」を必須項目として定義しオプションで「どのようにアクセスしてきたとき（条件）」も定義します。例えば、ユーザーAがAzure portalに対して日本からアクセスしてきたとき、といった具合です。条件についてはさまざまな要素を組み合わせて構成することができます。
ちなみに、この条件の部分で前述したID Protectionのリスク（ユーザー/サインイン）レベルを条件として設定することもできるというわけです。

アクセス制御では、割り当ての定義通りのアクセスであった場合に「ブロックする」もしくは「どのような要件であればアクセス権を付与する」を定義します。アクセス権を付与する場合には少なくとも一つの追加要件を指定しなければなりません。例えば、多要素認証を要求することや、Microsoft IntuneというMAM/MDMサービスで設定したポリシーに準拠するデバイスかどうかなどです。
ちなみにオプションとして、アクセス後のセッションを監視し続け、そのセッションの中でユーザーが怪しい行動を行うと自動検出して対応してくれる機能を設定することもできます。

いずれの項目についても言えることは、「どのように（な）」の部分を組織のセキュリティ要件に合うように適切に設定することが重要です。

3. Privileged Identity Management ( PIM )

いわゆる特権アクセス管理の機能です。権限の強いAzureリソースもしくはAzure ADロールを必要な時にだけユーザーに付与したり、申請/承認を経てから付与するといったことなどができます。強い権限を持つロールほど、誤用・濫用・本人以外による不正利用の際に被害が大きくなります。
ロール割り当ての権限を持つ管理者とコミュニケーションをとって割り当て/はく奪を手運用で都度行う、といったことももちろん可能ですがミスが発生するし何より大変ですよね。そこで有用なのがこの機能なのです。

対象となるロールを割り当てる際には、「アクティブ化」と「期間」に注意します。
まずアクティブ化についてですが、これはそのロールを使用できる状態にするということです。つまり、単純にロールを割り当てられただけだと使う資格はあるが実際に使えないということなのです。割り当ての際には即使用できる状態にするかアクティブ化の操作を経て使用できる状態にするか選択できます。なお、アクティブ化する際には、MFAを要求したり理由の記入や管理者などの承認を必須とすることなども設定できます。

期間についても適切に設定しましょう。これについては、ロールが割り当てられている期間とアクティブ化されている期間があります。前者は1カ月や1年といったある程度まとまった期間であり（最大は永続）、後者は24時間が最大（管理者が30分～24時間の間で任意の値を設定）です。例えば、2カ月間続くプロジェクトがあるのでその期間をアクティブ化可能な期間として設定し、その期間内でその（特権）ロールを使って作業を行う時間帯は都度アクティブ化して使用するといった感じです。

ちなみに、ロール割り当てを定期的にレビューして適切なユーザーのみがロールを持っていることを確認することができる、アクセスレビュー機能もあります。

最後に

Azure ADについて二回にわたってご紹介しましたが、いかがだったでしょうか？まだまだ奥が深くご紹介しきれていない部分もたくさんありますが、全体像としてはある程度イメージできたのではないでしょうか。

Azureを使い始める場合、単純にアーキテクチャ設計だけでなく、今回ご紹介したようなIDアクセス管理やセキュリティなどの設計も必要です。
これからAzureをはじめるのにさらにこんな奥の深いAzure ADについても学ぶ必要があるのか・・・設計が大変だ・・・と少々憂鬱になったかもしれませんが、そんなときにはまずは法人でのAzure導入前の相談窓口であるAzure相談センターまでぜひお気軽にお問い合わせください。さまざまなサポートメニューやソリューションでご支援させていただきます。