【ベストプラクティス】BastionとEntra Privileged Identity ManagementでAzure VMへのアクセスをゼロトラストベースに!
この記事の内容
- Azure VMへのアクセスにおける「常時許可」モデルのリスクを解説します
- Azure Bastion を使ってVMをパブリックIPなしで安全に接続する方法を紹介します
- Microsoft Entra PIM(Privileged Identity Management) によるJust-In-Timeアクセス管理の仕組みを解説します
- 具体的なユースケースを通じて、権限のアクティブ化から監査までの一連のフローを説明します
- BastionとPIMを組み合わせたゼロトラストアクセスのベストプラクティスをまとめます
はじめに:「許可されたユーザーはいつでもアクセスできる」は安全か?
Azure上の仮想マシン(VM)は多くの組織で利用されていますが、そのアクセス管理はセキュリティ上の重要な課題です。
従来の「許可されたユーザーはいつでもアクセスできる」という考え方は、一見すると問題ないように思えます。IPアドレス制限などでアクセス元を限定していれば安全だと考えがちですが、その考え方自体にリスクが潜んでいます。
今回は、許可されたユーザーであっても常時アクセスできる状態を防ぐ「ゼロトラスト」に基づいたアプローチを紹介します。そのリスクを排除し、よりセキュアなアクセスを実現する方法を3つのステップで解説します。
解決策① Azure Bastionによるセキュアな接続
最初のステップは、Azure Bastion を活用することです。
BastionはVMにパブリックIPアドレスを割り当てることなく、Azure Portal経由で安全にアクセスするための踏み台(ジャンプボックス)として機能するPaaSサービスです。
ユーザーはAzure Portal上でBastionのサービスに接続し、そこからプライベートIPアドレスを持つVMを操作します。これにより、VMが直接インターネットに公開されることがなくなり、外部からの攻撃対象領域を大幅に削減できます。
ユーザーは通常通りVMを操作しているように見えますが、実際にはBastionが中継する画面ストリームを見ているだけで、直接的なネットワーク接続は発生しません。
解決策② Microsoft Entra IDによる認証強化
次に、VMへのログインにはローカルアカウントではなく Microsoft Entra ID を利用します。
Entra IDによる認証を必須とすることで、以下のような高度なセキュリティ機能を適用できます。
- 多要素認証(MFA):パスワードだけでなく、複数の要素で本人確認を強制できます
- 条件付きアクセス:ユーザーのリスクレベルや場所、デバイスの状態に応じてアクセスを制御し、異常なアクセスをブロックします
これにより、認証プロセスが大幅に強化され、不正ログインのリスクを低減できます。
解決策③ Entra PIMによるJust-In-Timeアクセス管理
さらにセキュリティを強化するため、Microsoft Entra Privileged Identity Management(PIM) を導入します。
PIMは、特権アクセスを必要な時に必要な期間だけ有効化する「Just-In-Timeアクセス」を実現するための管理ツールです。
PIMを利用すると、ユーザーはVMへアクセスするための権限を「資格のある(Eligible)」状態で保有しますが、通常時はその権限は有効化されていません。VMへのアクセスが必要になった際に、ユーザーは以下の手順で権限の有効化を申請します。
- PIMで権限の有効化を申請する
- MFAによる本人確認を行う
- 利用目的や理由を記入する
申請は自動承認されるよう設定することも可能ですが、より厳格な管理が求められる場合は、管理者が承認するステップを追加できます。承認されると、あらかじめ設定された時間(例:2時間)だけアクセスが許可され、時間が経過すると自動的に権限が失効します。
具体的なユースケース:Contoso社のアクセス管理フロー
具体的な例として、Contoso社のケースを見てみましょう。
| 登場人物 | 役割 |
|---|---|
| アダム | VMの管理担当者。毎月のパッチ適用作業を行う |
| ジェーン | アダムの上司であり、サブスクリプション管理者。VMへのアクセス要求を承認・拒否する権限を持つ |
通常時の状態
通常時、システムは以下の状態に保たれています。
- PIMの設定:ジェーンは、アダムを含むVMへのアクセスが必要な全ユーザーに対し、PIMで「資格のある(Eligible)」権限を割り当てています。ユーザーは権限を保有していますが、即座にアクセスすることはできません
- ネットワーク制御:ネットワークセキュリティグループ(NSG)により、VMへのインバウンドトラフィックはすべてブロックされており、唯一の例外としてAzure Bastionからの通信のみが許可されています
- アダムの権限状態:アダムはネットワークやNIC(ネットワークインターフェース)を閲覧する権限は常に有効(Active)ですが、VM本体を操作する権限は「資格のある(Eligible)」状態のため、通常時はAzure Portal上でVMリソースを閲覧することすらできません
PIMによる権限のアクティブ化プロセス
アダムがパッチ適用のためにVMへのアクセス権を必要とする場合、PIMを通じて権限を有効化する必要があります。
- Azure PortalでPIMの「自分のロール」にアクセスします
- 「資格のある割り当て(Eligible assignments)」の一覧から、アクティブ化したいVMアクセス用のロールを選択し、「アクティブ化」ボタンをクリックします
- 申請が上司のジェーンに通知され、ジェーンが承認すると、アダムは設定された時間だけVMにアクセスできるようになります
このフローにより、アクセスの必要性・本人確認・上長承認という3つの関門をクリアしなければVMにアクセスできない仕組みが実現します。
Azure Bastion経由での安全なVM操作と監査
権限が有効化された後、アダムはAzure Bastion経由でのみVMにアクセスします。BastionはアダムとVM間のセキュアなゲートウェイとして機能し、VMはパブリックIPを持つ必要がありません。
さらに、Bastionではセッションのレコーディング機能を有効にできます。これにより、アダムがVM上で行ったすべての操作が録画され、監査証跡として完全に記録されます。この記録はいつでもレビュー可能です。
そして、Just-In-Timeアクセスで許可された時間が経過すると、アダムのアクセス権は自動的に失効し、VMは再び誰もアクセスできない安全な状態に戻ります。
まとめ
Azure BastionとMicrosoft Entra PIMを組み合わせることで、Azure VMへのアクセスをゼロトラストモデルに基づいて構築できます。
| コンポーネント | 役割 |
|---|---|
| Azure Bastion | VMのパブリックIPを不要にし、安全なRDP/SSH接続を実現 |
| Microsoft Entra ID | MFAや条件付きアクセスによる強固な認証を実現 |
| Microsoft Entra PIM | 時間制・承認制のJust-In-Timeアクセスを有効化 |
このアプローチにより、「常時アクセス」を廃止し、必要な時・必要な人だけが、承認と監査の下でVMにアクセスできる非常に安全な環境を構築できます。
セキュリティの原則は「信頼しない、常に検証する(Never Trust, Always Verify)」です。BastionとPIMの組み合わせは、この原則をAzure VM管理の現場に実践的に落とし込む、有効なベストプラクティスといえます。