サイト内の現在位置

Azure Security Virtual Training Day参加記

NECセキュリティブログ

2020年6月26日

こんにちは。セキュリティ技術センターの杉本です。今回は6/17にオンラインで開催されたAzure Security Virtual Training Dayの内容をピックアップして、Azureのセキュリティ戦略と、実行中データの保護(秘密計算)を行なうAzure Confidential Computingをご紹介します。

Azure Security Virtual Training Dayとは

マイクロソフト米国本社のAzureセキュリティ専門家によるオンラインセミナーで、Azureのセキュリティ戦略や、Azureのセキュリティ機能とその使い方などを紹介しています。なお、音声は英語ですが日本語の字幕が付いています。
セミナーURL:
new windowhttps://info.microsoft.com/JA-AzureSec-WBNR-FY20-06Jun-16-AzureSecurityVirtualTrainingDay-SRDEM20578_LP02OnDemandRegistration-ForminBody.html

Microsoft Azureにおけるセキュリティ戦略

「Microsoft Azureにおけるセキュリティ戦略と10のセキュリティベストプラクティス」セッションでは、マイクロソフトが「Operations」「Technology」「Partnerships」という3つの柱を軸としたセキュリティ戦略でAzure環境を守っていることが紹介されていました。

Operations

Azureのインフラセキュリティを紹介していました。年間数十億ドルの投資と3500名以上のセキュリティ専門家を有し、DDoS対策やネットワーク分離、実際の攻撃を模した演習(レッドチーム演習)などが行われており、「みなさんが思いつく対策は全て行われています」とのことでした。

Technology

Azureでは顧客環境のセキュリティを高めるために、認証からアプリケーション、ネットワークやセキュリティ管理などが全て用意されています。しかし、これらを扱うのは顧客自身なので、顧客自身でセキュリティを考慮することが必要だということが強調されていました。 また、攻撃者を理解するために、実際に攻撃サービス提供サイトをチェックすることも方法の一つだと紹介されていました。

攻撃サービス提供サイトをチェックすると、ゼロデイ攻撃に比べてその他の攻撃は非常に安価で、ゼロデイ攻撃以外の手段が多く用いられるであろうことが分かります。そのため「既知の攻撃対策を最優先で行なうこと」が重要だと述べられていました。特に各種攻撃サービスへの対策として

  • 既知の脆弱性対策を施すこと
  • MFA(多要素認証)を導入すること
  • 境界防御(*1)の考え方は古いので、ゼロトラスト(*2)の考え方を導入すること
  • DDoS対策を施すこと

が推奨されていました。ただし、ゼロトラストに関しては「ゼロトラストだけを行なうのではなく境界防御と組み合わせることが必要」だと強調されていました。

  • *1…
    ネットワークの境界でセキュリティ対策を実施することで境界内部を守るという考え方
  • *2…
    内部含め全てのアクセスは信頼出来ないため、アクセスは常に検査するべきという考え方

Partnerships

Partnershipsでは、様々なセキュリティベンダーや政府と連携していることが話されていました。興味深いのは、セキュリティベンダーの製品がAzure上で使用可能というだけではなく、脅威情報などのインテリジェンス共有も行なっていること(セキュリティの向上に他企業の力を積極的に借りていること)が述べられていた点です。他のセッションでもパートナーとの連携に度々焦点が当たっており、マイクロソフトの「セキュリティはパートナー企業と共に向上させていく」という考えがセミナーを通して強く伝わってきました。

Azure Confidential Computing

従来、クラウド上でデータベース等に保存されているデータの暗号化や転送データの暗号化(HTTPSなど)は達成されていました。Azure Confidential Computingではそれに加え、実行中のデータやアルゴリズムを保護することが可能となりました。
また、Confidential Computingでは外部/内部不正者だけではなく、マイクロソフトの人間ですら暗号化データにしかアクセスすることが出来ません。これにより「クラウドベンダーの中に不正者がいた場合データが漏洩する可能性がある」「海外の法律により、現地のデータセンターにあるデータを引き渡されてしまう」といったパブリッククラウド導入でよく挙がる課題をクリアすることに成功しています。

実行中データを保護する仕組み

実行中のデータ保護にはIntel SGXというCPUの機能を活用します。メモリ上にエンクレーブと呼ばれる保護領域を生成し、特定のアプリケーションコードとデータを分離することでアルゴリズムやデータを保護するというハードウェアレベルの保護です。エンクレーブ内でコードが実行され、実行結果のみがアプリケーションへ返される仕組みのため、OSやハイパーバイザーなどからはデータへのアクセスが不可能となっています。

ユースケース

Confidential Computingのユースケースとして、医療業界の例が紹介されていました。従来はプライバシの観点から、医療データを病院間で共有して分析を行うことは不可能でした。しかしクラウド上のエンクレーブ内に医療データと分析コードを置くことで、医療データそのものへのアクセスは禁止したまま医療データを共有し、大規模なデータセットで分析を行うといったことが可能になりました。

最後に

今回は、Azure Security Virtual Trainingの一部をご紹介しました。私が紹介したセッション以外にもAzureセキュリティセンターやAzureセンチネルといったセキュリティ機能がメインのセッションもあるので気になった方は録画視聴をお勧めします。
今回紹介したAzure Confidential Computingにより、パブリッククラウド上で実行中のデータを保護するという、従来では雲を掴むように難しかった話に手が届くようになりました。実行中のメモリから機密データやアルゴリズムが漏洩するという危険性は確かに存在するので、需要は今後さらに高まると感じています。実際に私自身、社内から実行中のデータを保護できないかと相談を受けることもあります。なお、手法は異なりますがNECも秘密計算技術に取り組んでいます。
https://jpn.nec.com/rd/technologies/201805/index.html)。

参考資料

執筆者プロフィール

杉本元輝(すぎもと げんき)
セキュリティ技術センター セキュリティ実装技術チーム

セキュリティツールの検証や、社内SEへのセキュア開発推進・技術支援に従事。
堅牢化コンテスト「Hardening 2020 Business Objectives」グランプリ受賞。
趣味のキャンプは現在自粛中。