【ベストプラクティス】BastionとEntra Priviledged Identity ManagementでAzure VMへのアクセスをゼロトラストベースに!
【ベストプラクティス】BastionとEntra Privileged Identity ManagementでAzure VMへのアクセスをゼロトラストベースに! この記事の内容 Azure VMへのアクセスにおける「常時許可」モデルのリスクを解説します Azure Bastion を使ってVMをパブリックIPなしで安全に接続する方法を紹介します Microsoft Entra PIM(Privileged Identity Management) によるJust-In-Timeアクセス管理の仕組みを解説します 具体的なユースケースを通じて、権限のアクティブ化から監査までの一連のフローを説明します BastionとPIMを組み合わせたゼロトラストアクセスのベストプラクティスをまとめます はじめに:「許可されたユーザーはいつでもアクセスできる」は安全か? Azure上の仮想マシン(VM)は多くの組織で利用されていますが、そのアクセス管理はセキュリティ上の重要な課題です。 従来の「許可されたユーザーはいつでもアクセスできる」という考え方は、一見すると問題ないように思えます。IPアドレス制限などでアクセス元を限定していれば安全だと考えがちですが、その考え方自体にリスクが潜んでいます。 今回は、許可されたユーザーであっても常時アクセスできる状態を防ぐ「ゼロトラスト」に基づいたアプローチを紹介します。そのリスクを排除し、よりセキュアなアクセスを実現する方法を3つのステップで解説します。 解決策① Azure Bastionによるセキュアな接続 最初のステップは、Azure Bastion を活用することです。 BastionはVMにパブリックIPアドレスを割り当てることなく、Azure Portal経由で安全にアクセスするための踏み台(ジャンプボックス)として機能するPaaSサービスです。 ユーザーはAzure Portal上でBastionのサービスに接続し、そこからプライベートIPアドレスを持つVMを操作します。これにより、VMが直接インターネットに公開されることがなくなり、外部からの攻撃対象領域を大幅に削減できます。 ユーザーは通常通りVMを操作しているように見えますが、実際にはBastionが中継する画面ストリームを見ているだけで、直接的なネットワーク接続は発生しません。 解決策② Microsoft Entra IDによる認証強化 次に、VMへのログインにはローカルアカウントではなく Microsoft Entra ID を利用します。 Entra IDによる認証を必須とすることで、以下のような高度なセキュリティ機能を適用できます。 多要素認証(MFA):パスワードだけでなく、複数の要素で本人確認を強制できます 条件付きアクセス:ユーザーのリスクレベルや場所、デバイスの状態に応じてアクセスを制御し、異常なアクセスをブロックします これにより、認証プロセスが大幅に強化され、不正ログインのリスクを低減できます。 解決策③ Entra PIMによるJust-In-Timeアクセス管理 さらにセキュリティを強化するため、Microsoft Entra Privileged Identity Management(PIM) を導入します。 PIMは、特権アクセスを必要な時に必要な期間だけ有効化する「Just-In-Timeアクセス」を実現するための管理ツールです。 PIMを利用すると、ユーザーはVMへアクセスするための権限を「資格のある(Eligible)」状態で保有しますが、通常時はその権限は有効化されていません。VMへのアクセスが必要になった際に、ユーザーは以下の手順で権限の有効化を申請します。 PIMで権限の有効化を申請する MFAによる本人確認を行う 利用目的や理由を記入する 申請は自動承認されるよう設定することも可能ですが、より厳格な管理が求められる場合は、管理者が承認するステップを追加できます。承認されると、あらかじめ設定された時間(例:2時間)だけアクセスが許可され、時間が経過すると自動的に権限が失効します。 具体的なユースケース:Contoso社のアクセス管理フロー 具体的な例として、Contoso社のケースを見てみましょう。 登場人物 役割 アダム VMの管理担当者。毎月のパッチ適用作業を行う ジェーン アダムの上司であり、サブスクリプション管理者。VMへのアクセス要求を承認・拒否する権限を持つ 通常時の状態 通常時、システムは以下の状態に保たれています。 ...