Transcript

1. スタートアップで取り組んでいる AzureとMicrosoft 365のセキュリティ対策 大島 悠司 第50回 Tokyo Jazug Night

2. 自己紹介 ◼ 大島 悠司 (Yuji Oshima) • NRI / NRIセキュア

   / ニューリジェンセキュリティ • SREグループマネージャー • 10大脅威選考会 • 情報処理技術者試験委員会・情報処理安全確保支援士試験委員会 ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • サービス開発、基盤構築運用、研究開発 ◼ 最近Azure全冠（18資格）達成！ • SC全てとPL-300も併せて24資格 yuj1osm 2

3. なぜセキュリティが重要か？ ◼ スタートアップ特有の課題: • リソースが限られている • 開発スピード重視でセキュリティが後回しになりがち • ルールがない中でどんどんプロダクトが増加 ◼

   クラウドサービス活用における脅威の例: • 不正アクセス • 設定ミスや脆弱性による侵害 • 不注意による情報漏洩 3 いずれセキュリティ対策に時間をかける必要性は出てくる 初期段階で最低限セキュリティ対策をしておくだけでも救われる

4. 認証認可の強化 – 条件付きアクセス ◼ 条件付きアクセスの活用 • ユーザに MFA を求める •

   2024/10 以降 MFA 利用が必須に • デバイスが Entra ID に参加していない 場合はブロック 4

5. 認証認可の強化 – SSPR、運用者アカウント、PIM ◼ セルフサービスパスワードリセット（SSPR） • ユーザが自身でパスワードリセット可に • 運用者の負担削減 ◼

   運用者別アカウント • 影響の少ない操作や検証用に 別途運用者アカウントを用意 ◼ Privileged Identity Management (PIM) • 影響の大きい操作は PIM を利用 5

6. ロギングとアラート設定 ◼ ログを Log Analytics へ蓄積 • 後に分析できるように診断設定でログを蓄積しておく ◼ アラート設定

   • ポリシーやネットワークの変更に対してアラートを設定 • CIS Benchmark が参考になる 6

7. （参考）Zscalerのロギングとアラート設定 7 User Zscaler Internet Access インターネット Nanolog NSS Web

   NSS FW Connector Log Analytics Sentinel Azure HTTPS (443) Syslog (514) HTTPS (443) ログ収集プロセスが止まることがあるので 停止に気付けるようにアラートを仕込むことを推奨 （例）

8. 脅威検出と対応 ◼ Microsoft Defender • Defender の通知を受け取れるようにしておく • 毎月脆弱性チェックを実施し、本人へのヒアリングや アップデートの促しを行う

   8

9. データとデバイスの保護 ◼ Purview の秘密度ラベル • 既定で暗号化されるポリシーを設定 • 外部公開時は手動で解除 ◼ Intune

   によるデバイス保護 • 外部記憶装置やプリンタの接続をブロック • ISMS でも最近はプリンタ接続可否も 問うことが多いよう 9

10. コストのアラートと分析 ◼ Budgets によるコストアラート • 想定外の課金に気付けるようにする ◼ Cost Analytics による定期的な分析

    • 毎月分析結果をチャットで全体周知 • 要員や対策を提示し、個別に調整しつつ コスト抑制を推進 10

11. まとめ ◼ スタートアップほどセキュリティは後回しにされがち ◼ 最低限出来る対策はたくさんある • 不正アクセス → 条件付きアクセスで認証認可を強化 •

    脆弱性や不要な設定による侵害 → Defender による監視と、ロギングとアラートの設定 • 不注意による情報漏洩 → Purview や Intune で資産を管理 ◼ コスト分析で気づけることもある 11