パブリッククラウド上でIT部門が把握していない社内システムが作られ利用されている。そんな話を聞くことが増えてきた。いわゆるシャドーITの問題である。

 他のクラウドと同様に、Azureでは数分で仮想マシンを起動できる。App Service Web AppsのようなPaaSを使えば、利用部門の担当者でもWebサーバーを立ち上げられる。

 ただし、そのWebサーバーは安全だろうか。

 シャドーITではないが、IT部門内でも部内の手続きを経ずクラウド上に開発環境を構築することがある。その環境は安全だろうか。

 多くの場合、どちらも答えはノー。安全ではない。

 Azureをはじめクラウド上に構築した仮想マシンは、基本的にインターネット上にさらされる。何の対策も講じていなければ、サーバーをインターネットに直接接続しているのと同じ状態だ。

 クラウドでは、セキュリティ対策が不可欠である。開発環境であろうが、Azure上にリソースを構築したら、対策を行うことが求められる。さらに適宜、自社のリソース一つひとつについて対策の状況を確認する必要がある。

 手間が掛かって面倒だと思うかもしれない。こうしたセキュリティ対策を支援するのが、「Azure Security Center」だ。Azure上の自社リソース全てについてセキュリティ対策の状況を可視化。さらに、仮想マシンやストレージといったリソースの種類ごとに、標準的なセキュリティ対策を提示し、画面上で実行できる。

 操作が容易なので、セキュリティ管理者にとどまらず、Azureの全ユーザーにとって、利用価値の高いセキュリティサービスといえる。今回は、Security Centerの概要と機能を紹介し、具体的なシナリオに沿って使い勝手を検証する。

対策の状況を一覧表示

 Security Centerの役割は大きく二つある(図1)。セキュリティに関するリソースの状態監視・管理、トラフィックの管理と脅威の検出だ。

図1 Azure Security Centerの概略
図1 Azure Security Centerの概略
[画像のクリックで拡大表示]

 このうち基本になるのが、前者のリソースの状態監視・管理。ユーザーがサブスクリプション(Azureの契約単位)の下で利用する全てのリソースを対象に、セキュリティ対策の状況を収集して表示し、推奨対策を提示する。

 図2にSecurity Centerのトップ画面を示した。Azureポータル(新ポータル)に統合されており、「セキュリティ センター」というメニューをクリックすると表示される。

図2 Security Centerの画面
対象リソースのセキュリティの状況を一覧できる
図2 Security Centerの画面
[画像のクリックで拡大表示]

 図2右中段の「防止」を見てほしい。仮想マシン、ネットワーク、ストレージなどの対象リソースが、ユーザーが定義したセキュリティポリシー(防止ポリシー)に合致しているかどうか。その違反の件数が、「Compute」「ネットワーク」「SQL&データ」「アプリケーション」という四つのカテゴリーごとに表示されている。

 Security Centerを使うと、このようにセキュリティ対策の状況を容易に把握できる。リソース一つひとつを調べる必要はない。