クラウドの力を生かしてデジタルトランスフォーメーション(DX)を推進したいと考える企業が具体的にどこからどのように進めるべきか、その指針となるのが「Microsoft Cloud Adoption Framework for Azure」と、「Microsoft Azure Well-Architected Framework」です。Microsoft Cloud Adoption Framework for Azureがテクノロジ以外の領域も包含した包括的な企業戦略のガイダンスとなっているのに対し、Microsoft Azure Well-Architected Frameworkでは、Azure上の具体的な設計原則に落とし込んだ具体的な指針が示されています。
この記事では、「コスト最適化」「オペレーショナルエクセレンス」「パフォーマンス効率」「信頼性」「セキュリティ」というMicrosoft Azure Well-Architected Frameworkを構成する5つの柱のうち、最後の柱であるセキュリティについて説明します。
変わる法規制、変わるシステムに合わせてセキュリティ要件のアップデートも
DevOpsのアプローチに基づいて、ビジネス要件で求められるパフォーマンスや信頼性を満たしたアプリケーションを最適なコストで実現できたとしても、セキュリティに問題があり、不正アクセスを受けてしまえば元も子もありません。そこで5つ目の柱であるセキュリティは、さまざまな脅威からアプリケーションとデータを保護するための考え方や設計原則について、「原則」「デザイン」「モニター」という3つのトピックに分けて解説しています。
セキュリティの設計原則では、「優先順位を付ける」「サプライチェーンやライフサイクル全体を見渡した、バランスの良いセキュリティ戦略を立てる」など、14の項目が挙げられています。
セキュリティは「余計なコスト」と捉えられがちです。しかしマイクロソフトの第一アーキテクト本部 本部長、内藤稔氏は「大事なことは、こういった設計原則が適用されているかどうかを考え、アーキテクチャのセキュリティレベルを高めていくことです。セキュリティに投資することによって、将来にわたるさまざまなリスクを回避することができます」と述べ、原則を理解してきちんと実装していくことが重要だと強調しました。
2つ目のトピックであるデザインですが、「セキュリティ要件の収集」「主要なセキュリティ戦略」「ガバナンスと管理」「規制に対するコンプライアンス」「管理」「IDおよびアクセス管理」「ネットワーク」「記憶域」「アプリケーションとサービス」と、多岐にわたる領域にまたがっています。
当たり前ですが、アーキテクチャのデザインに当たっては、まず会社として、また業界としてどんなセキュリティ要件が求められているかという情報を収集し、それに基づいて、どのようにセキュリティリスクを軽減していくかという戦略を立てることになります。
「この中で大事なポイントは、業界基準や規制への準拠です。実はこうしたセキュリティ標準は、けっこう頻繁に更新されます。ですので、変更にきちんと追従できるよう考えておく必要があります」(内藤氏)
また、ガバナンスと管理の部分では、システムのライフサイクルに合わせて組織のセキュリティ標準を管理していくことが重要なポイントになります。「たとえばAzure Security Centerを使ってセキュリティスコアを可視化、点数化し、それを改善していくプロセスを組み込んでおくといいでしょう」(内藤氏)
ほかにもこの項では、仮想マシンに対するセキュリティ更新プログラムの適用や強力なパスワードの利用といった具体的なアドバイスも記されているため、ぜひ参照してください。同様に、管理の項目にも「管理者用のアカウントを分離する」「重大な影響がある管理者全員に、パスワードレス認証または多要素認証(MFA)の使用を義務付ける」といった具体的な原則が記されています。
デザインの項目では多くの事柄が紹介されていますが、「IDとアクセス管理は非常に重要なポイントです。適切な認証と適切な認可を組み合わせて、正しい人が正しい行いをできるようにする仕組みをシステムとして実装することが非常に重要なポイントになります」と内藤氏は強調しました。
そして、具体的な手段として、Azure Active Directoryのように適切な認証とID管理が行えるIDプロバイダーを使っているかどうか、アプリケーションごとに正しいユーザーに正しい権限を割り振れるかといった事柄が重要になるとしました。
ネットワークでは、適切なセグメンテーションやポートフィルタリングなどのネットワーク制御、ルーティング動作の制御の実装が求められますし、ストレージに関しても、アクセス制御や暗号化などが不可欠です。「たとえば、Azureの仮想ディスクには暗号化機能が用意されており、これをオンにするだけで暗号化ができます。こうした実装をぜひ活用してほしいと思います」(内藤氏)
ただ、サイバー攻撃者は日々新たな手法を生み出し、半ば「ビジネス」として攻撃を行ってきます。そこで大事になるのがモニターです。
「そうした攻撃を検知したり、異常を検出して即座に対応し、何かあったときには復旧するという運用を回すための設計やプロセスを考えておく必要があります」(内藤氏)。たとえば、ログ解析を支援するSIEMであるAzure Sentinelをはじめ、クラウドの機能を活用しつつ、インシデント発生時の対応を自動的に回していくことが重要です。
Azureを活用したよりよいビジネス実現のヒントがMicrosoft Azure Well-Architected Frameworkに
Microsoft Azure Well-Architected Frameworkではこのように、コスト最適化、オペレーショナルエクセレンス、パフォーマンス効率、信頼性、セキュリティという5つの柱ごとに、「ここはどのように考えればいいのだろう、どうすればいいんだろう」というポイントについて、具体的に、クラウドならではの良さを生かしながら解決するヒントを紹介しています。Web形式のチェックリストも用意されていますので、よりよいシステムの実現、よりよいビジネスの実現の参考に、ぜひ活用してみてください。
「マイクロソフトのミッションは、地球上のすべての人とすべての組織が、より多くのことを達成できるようにすることです。Azureを使って、皆さんのシステムでより多くのことができるようになり、ビジネスをよりよくする支援をしていきたいと思っています」と内藤氏は述べています。Azureをより使いこなすための指針がまとめられているMicrosoft Azure Well-Architected Frameworkは、その大きな力となってくれるでしょう。
文:高橋睦美