こんにちは、デジタルテクノロジーのK.Aです。

 

目的


本記事は、読者にMicrosoft Operations Management Suit (OMS) の4大機能の一つである「Security and Compliance(以下、Azure Security Center)」によるエンドポイント対策について、設定・検知から対応までの手順を理解してもらうことを目的とします。

 

エンドポイント対策の重要性


エンドポイント対策とは、サーバやユーザが使用するパソコンのほか、スマートフォンやタブレットなどのモバイル端末自体やその中に保存されている情報を守るためのセキュリティです。今回はクラウド上に構築したサーバに対するエンドポイント対策について見ていこうと思います。

従来の対策では、外部から組織内のネットワークに侵入させないことに重点を置き、境界防御の対策(入口対策)を重視してきましたが、標的型攻撃などの巧妙な攻撃の増加に伴い、「侵入させないこと」には限界があり、「侵入されたことを想定した対策」に目が向けられるようになってきました。「侵入されたことを想定した対策」には様々ありますが、ネットワーク内部に侵入されてしまった場合にもサーバやユーザ端末を守るための対策こそがエンドポイント対策です。そのエンドポイント対策の中でも最も代表的なものがアンチウイルスソフトウェアになります。

 

Azure Security Centerエンドポイント対策の有効化手順


Azure Security Centerで設定可能なセキュリティポリシの中で今回はNo3“Endpoint Protection”を有効にし、アンチウィルスソフトウェアによるエンドポイント対策がされていない仮想マシンを検知するところまでのフローを見ていきたいと考えてます。

No セキュリティポリシ 内容
1 システムの更新プログラム OSごとに更新情報を収集し、最新状態維持を推奨
2 OS の脆弱性 WindowsServerのOS脆弱性を分析し変更方法を推奨
3 Endpoint Protection アンチウィルスソフトウェアインストール状況を監視
4 ディスクの暗号化 ディスクの暗号化有無を監視
5 ネットワーク セキュリティ グループ トラフィック制御の有無を監視
6 Web アプリケーション ファイアウォール パブリックIPに対し80/443ポート使用しているか確認し、WAF導入を推奨
7 次世代のファイアウォール セキュリティグループで保護できない場合の対応を推奨
8 脆弱性評価 脆弱性評価導入を監視
9 ストレージの暗号化 ストレージアカウントレベルでの暗号化を推奨
10 SQL 監査と脅威検出 SQL DatabaseのAzure監査機能の使用を推奨
11 SQL 暗号化 SQL DatabaseのTDEの使用を推奨

 

<前提条件>

今回対象とするのは、マシン名”ProdVM”と”ProdVM2″の2台となります。「ProdVMは対策なし」、「ProdVM2はエンドポイント対策済み」であることを前提とします。

 

1.セキュリティポリシー設定画面へ移動

[セキュリティセンター]-> [セキュリティポリシー]> [防御ポリシー]を選択します。

2.Endpoint Protectionの設定有効化

[Endpoint Protection]を”オン”に変更し、[保存]ボタンを押下します。

 

3.検出確認

エンドポイント対策がされていない仮想マシンが検出されることを確認します。

[セキュリティセンター]-> [計算]-> [VMおよびコンピュータ]-を選択します。仮想マシンのエンドポイント対策状況としては、「ProdVMは対策なし」、「ProdVM2はエンドポイント対策済み」であることから、”ProdVM”のみセキュリティアラート出力がされていることを確認します。次に[ProdVM]を選択します。

画面遷移後に防止の状態が、「重要度レベル高」となっており、対策が必要であることを確認します。

 

 

 

セキュリティアラートへの対応手順


エンドポイント対策なしの仮想マシンが「重要度レベル高」で検出された場合、Azure Security Centerからセキュリティ対応が可能となります。ここでは、エンドポイント対策として、Azure Security CenterからMicrosoft Antimalwareをインストールする対応手順を紹介します。

※Microsoft Antimalwareの説明とPowerShellによる導入手順はココで纏めております。

 

1.Azure Security Center起点で作業開始

[セキュリティセンター]-> [計算]-> [VMおよびコンピュータ]->[ProdVM]を選択し、検出画面に遷移します。次に[Endpoint Protectionをインストールします]を選択します。

 

2.Microsoft Antimalwareインストール

[ProdVM]のチェックボックスにチェックを入れ、[VMインストール]->[Microsoftマルウェア対策]を選択します。サードパーティ製を選択した場合、有償となるので要件に合わせてアンチウィルスソフトウェアを選択してください。

次に[ProdVM]ボタンを押下します。Microsoft Antimalwareの設定としてリアルタイムスキャンとスケジュールスキャン(毎週土曜日2:00)を有効にします。最後に[OK]ボタンを押下します。

 

3.仮想マシンのセキュリティ状態確認

“ProdVM”のENDPOINT PROTECTIONのステータスが緑色に変更になったことを確認します。

 

エンジニア’s EYE

今回はAzure Security Centerを使い、エンドポイント対策に焦点をあててセキュリティアラート検出から対応までを想定した手順を紹介しました。Azure上の仮想マシンへ個別でMicrosoft Antimalwareを導入する場合、ココで紹介しているように、通常のアンチウィルスソフトウェアを導入するのと同等の作業が発生します。しかしAzure Security Centerを使えば、直感的な操作で誰でも導入と設定が可能です。運用者のスキルレベルが低ければ低いほど、Azure Security Centerを導入する効果はあると感じました。

 

次回は、新しく機能として追加された”Just In Time VM アクセス”について紹介します。