はじめに

多分みなさんもこの業界にいれば嫌でも目に入ったであろう、KADOKAWA への大規模なサイバー攻撃問題。。

ニコニコ動画などのサービスが停止して、KADOKAWA は大打撃であると色々な記事で報道されていますよね。

まじめに調べた訳ではないですが、KADOKAWA のセキュリティー意識が低すぎた訳でもなさそうな気がしてます。

他人事だと考えず、明日は我が身としてセキュリティー意識を高く持って業務に入りたいと素直に思いました。

無理やり繋げましたが、今回は Azure Sentinel を紹介していこうかなと思います！ｗ

Sentinel 概要

Sentinel は Azure Monitor のサービス上に構築され、Log Analytics ワークスペースで収集されたデータを分析します。

なんのこっちゃって思われたかもしれないですが、単純にログの分析をしていると考えてもらって大丈夫です！

特徴として継続的な監視、機械学習によって高度な分析を可能にします。

昨今頻発している、マルウェア感染やサイバー攻撃の予防、そのダメージを最大限に留めるシステムとなり、巧妙化するサイバー攻撃へ対抗する位置づけになります。

ちなみに大手通信業社〇〇バンクさんも Sentinel を導入してましたね。(直近は不明です)

主な機能紹介

Sentinel の主要機能として「SIEM(シーム)」と「SOAR(ソアー)」の2つによって構成されます。

「SIEM」は Security Information and Event Management の略称であり、セキュリティー情報とイベントを管理を指します。

具体的な機能として2点あります。

・ネットワーク上のすべてのデバイスとサービスからのログデータ監視と収集

・分析による潜在的なセキュリティー問題の検出

「SOAR」は Security Orchestration and Response の略称であり、「脅威ハンティング」「インシデントレスポンス」「侵害検知」などの運用タスクを自動化するためのセキュリティープラットフォームです。

セキュリティーインシデント発生時の対処をメインにリソースを割くことができ、より戦略的なタスクや調査といった業務に集中できるようになります。

導入メリット

・リスク分析に要する時間や手間を大幅に削減できる

・セキュリティーインシデント発生時の際、対処をメインにリソースを割くことができる

・自動で端末のネットワーク隔離等を実施することが可能となり、セキュリティーを強化できる

デメリット

とにかくお金がかかる！！

Sentinel 導入にあたり、料金制度は従量課金と固定料金の2種類が用意されています。

ほとんどの企業は従量課金制を選ぶことになると思います。(理由っぽいことは後述します)

固定料金は1日あたり100GB 程度を使用することが最低基準になりますので、なかなか対象企業はいないかと思われます。

例えばですが一日6GB 程度ログを収集していた場合、月額いくら程なのかですが、、20万前後です。(なんで6GB で計算してんだよは察してください)

まぁ20万程で導入できるならやったほうがいいかもですが、他にも色んなことに費用が発生すると考えると、とてもじゃないが20万では運用できないのは明白ですよね。。

あと注意点ですが LogAnalytics ワークスペースで収集している情報だけしか Sentinel で取り込めません。

データコネクタを利用して Sentinel に接続するべし

下図を最初に見ていただければイメージしやすいかと思います。

例えば、Microsoft Defender for Cloud を接続させることが可能です。

他にも、Microsoft Defender XDR というコネクタがあるのですが、こちらを接続すると以下のセキュリティーソリューションのデータも取得することができます。

(Ofiice365,Microsoft Entra ID,Microsoft Defender for Identity,Microsoft Defender for Cloud)

具体例を出すと、Microsoft Entra ID を Sentinel で分析させた場合、下記のことが検知可能になり、メールなどで知らせてくれます。

・異常なSign in 試行回数をしているユーザ検知

・いるはずのない(ロシアやアフリカなどの)場所からの Sign in があった時の警報など

もちろん Microsoft 製品以外にも Sentinel に取り込み分析することが可能です。

よって、セキュリティーソリューションを Sentinel で一元管理することが実現されます。

どんな感じで使うかというと、例えば以下画像のように現環境で導入しているセキュリティーソリューションを選び、Sentinel へ取り込む感じです。

Sentinel は LogAnalytics ワークスペースで収集されたデータしか分析しないため、コネクタを通して取り組んだデータも LogAnalytics ワークスペースへ保管されるということです。

なので何も考えずコネクタを使いすぎると費用予測が困難になるので注意が必要です！(お金がかさむ)

簡易導入手順の紹介

①Azure ポータルにサインインする

②検索画面から Sentinel を検索して追加する

③Sentinel から使用するLogAnalyticsワークスペースを選択する

④コンテンツハブからソリューションをインストールする

⑤データコネクタを設定する

⑥アクティビティデータを生成する

⑦Sentinel にデータが取り組まれているかを確認する

おわりに

セキュリティーはどの現場でも話題になるテーマの一つなんじゃないかな～って勝手に思ってます！

短期的にみたら費用だけが掛かるし、最低限あればいいでしょ！！と思われがちなのもわかります。。

特に経営層から利益を生まないものとして認識されており、現場で通っても突っ返されることも経験しました。

ただ、、もし何かあったとき、あの数十万をケチってたせいで数億の損失や倒産に追い込まれてしまうかもしれないと考えると中長期的にはお金を出すべきかと思っています。(まぁ難しいでしょうけど)

どんな物事にも言えることですが、中長期的視点で物事を考える癖や思考を身につけたいですよね。。人間目先の利益にとらわれがち。。

まぁ何が言いたいかと言うと、とりあえず僕の個別株頑張ってほしいってことですｗ(まだまだ売らないぞ～ 損切なんかしないんだから)

7月の懇親会の時にブログの人と認識されてて嬉しかったです！

もう少し続けていきたいと思いますｗ

次は このまえ少しだけ詰まった Azure アラートについて共有できればと思います～