NEXTSCAPE blog

株式会社ネクストスケープの社員による会社公式ブログです。ネスケラボでは、社員が日頃どのようなことに興味をもっているのか、仕事を通してどのような面白いことに取り組んでいるのかなど、会社や技術に関する情報をマイペースに紹介しています。

MENU

「Azure App Service: セキュリティの脅威への対策ガイド」のススメ

Azure


はじめに

株式会社ネクストスケープ、ソリューションビジネス部に所属している小野塚です。

当社はMicrosoft様からのご依頼の元、クラウドプラットフォーム Microsoft Azure (以下 Azure)において、Azure App Service に関連する Azure Storage や Azure Front Door  などのサービスで起こりうるセキュリティ上の脅威と対策についてのホワイトペーパーを今月初めに執筆しました。 

github.com

手前味噌になってしまいますが、今回の記事ではこのホワイトペーパーの内容を紹介させていただければと思っております。

 

「セキュリティ脅威への対策ガイド」とは

Azureのセキュリティに関する資料にはこれもつい先日リリースされたものとしまして、Azure標準化ガイドラインというものがあり、そこでもセキュリティについて色々と触れられています(これも必見の資料です)。

github.com


ただし、この標準ガイドラインはAzureそのものの情報量の多さゆえに、セキュリティや設計等の各項目についてはあくまで概要レベルに留まります。
今回とりあげているセキュリティ脅威への対策ガイドはそこから更にセキュリティについて掘り下げた内容となっております。

しかしながら、技術的に寄りすぎているわけでもなく、プログラマー、エンジニア以外の方々にもわかりやすく、興味深い内容となっていると思います。


タイトルには「App Services」と付いていますが、単にApp Servicesに留まらず、それと関連するサービス( Azure Storage / Azure Front Door )に関しても触れられており、そして、何よりもセキュリティ脅威に対する手段として用意された「Microsoft Defender」というものがどういったサービスであるかを説明しています。

 

このホワイトペーパーを読んで欲しい方々

ここ最近、DXの加速によるものか、セキュリティに対する皆さんの意識が高くなってきたためかはわかりませんが、セキュリティに関する事故・問題というのを一般のニュースでも目にする機会が増えてきたような気がします。
以下のようなIPAの情報セキュリティに関するページを見るだけでも数多くの問題が発生していることがわかります。

www.ipa.go.jp

今回紹介しているこのホワイトペーパーを見てほしい方々としては、私のようなAzureに携わるエンジニアの方々はもちろんなのですが、
・過去にネット攻撃にあった経験があり、対策について検討している
・ネットの攻撃に対して何らかの対策はしたいという漠然とした不安を抱いている
・そもそもどういった攻撃があり、どういった対策ができるのかを知りたい
といった方々に是非読んでいただきたい内容となります。

実際、私が携わっていた案件でも特定のURLに対して明らかに攻撃と思われるアクセスが発生したことがありまして、例えばC#で書かれたサイトに対して~index.phpといったように明らかに攻撃と思われる想定外のアクセスが来ることがあります。
その案件では、このホワイトペーパーでも紹介されていますが、Azure Front Doorを用意していましたのでFront DoorのWAFの機能を用いてブロックしました。

そういった事例から、サイトに対する攻撃は起きうるものであり、そしてその対策もAzureの機能を使えば簡単に行えます。

Microsoft Defender

WAF以外の更なる防御方法として、このホワイトペーパーで紹介されているMicrosoft Defender、正確には「Microsoft Defender for Cloud」というものがあります。
以下のURLでも紹介はされていますが、エンジニア、もしくはAzureについてある程度知識がある方向けの内容ですので、いまひとつピンとこない方もいらっしゃるかもしれません。

docs.microsoft.com


そういった方々は是非このホワイトペーパーを読んでもらえれば、具体的にどういった形で脅威が検知、表示されるのかがわかります。
このMicrosoft Defenderは単純に検知するだけに留まらず、それに対してどういったアクションを実施すればいいのかまで教えてくれます。

WebサーバーとなるApp Servicesに対してはWAF等によってある程度セキュリティを担保している方がいらっしゃるかと思いますが、Microsoft Defenderはオンラインストレージ、Azure Storageに対しても保護してくれます。
例えばストレージにマルウェアファイルがアップされた場合等、実際のテストに利用できるテスト用マルウェアファイルも用意されてますので、実際にどういった形で検知できるのかを試すことができます。

値段もMySQLやPosgreSQLに対する防御についてはやや高めになりますが、それ以外の純粋なMicrosoftの製品・サービスについてはかなり安く利用できます。
例えばApp Serivesであれば、「¥2.726/App Service/時間」、つまり、App Serives1つにつき、1か月であれば24時間×31日×2.276円= 約1,693円/月と非常にお手頃です。

azure.microsoft.com

 

最後に

今回のホワイトペーパーについては繰り返しになりますが、非エンジニアの方にもわかりやすく、かつ非常に有益な内容となっております。

「備えあれば患いなし」ということで是非ご一読いただき、Azureのセキュリティに関するサービスの導入をご検討ください。