Azure Virtual Desktop(旧 WVD)のセキュリティ強化を3ステップでご紹介

Azure Virtual Desktop  Windows Virtual Desktop  セキュリティ

先日、Azure Virtual Desktop を利用したリモートワークを行う際の、セキュリティ強化策をご紹介させていただきました。
>>AVD(旧WVD)だけじゃダメ?押さえておくべきセキュリティ強化策 5つ

今回は先日のブログの深堀り編という立ち位置で、「既存環境やMicrosoft365ライセンスを活用したい!」とお考えの方に向けて、AzureとMicrosoft365の機能だけでどのようなリスクをどのようにカバーできるのか、具体的な対応策をご紹介していきます。

1. AVD(旧WVD)のセキュリティをおさらい

まずは、セキュリティ面でのAVDの得意分野と、企業によってはAVD導入に追加して考えていきたい分野をおさらいしましょう。

AVDの得意分野

  • データ漏洩対策
    AVD(旧WVD)で対応できるセキュリティ対策は、画面転送というVDIの特性を活かした社外から社内への安全な接続や、デバイス接続の規制によるデータの持ち出し制限が可能になるという点です

AVD導入に追加して考えていきたい分野

  • 端末のウイルス感染/ランサムウェア感染
  • 機微なデータ損失
  • 危険なウェブサイトの閲覧
  • 不正アクセス
  • 許可していないアプリケーションの増加(インストール)

これらのセキュリティリスクに対処するためには「IDセキュリティ強化」、「データ漏えい対策」、「クライアント環境保護」、「ネットワーク保護」および「ログ管理によるセキュリティ運用」が必要となります。

これらを図にすると、下記のようになります。
AVD WVD セキュリティ
クライアント(Azure上のデスクトップ)環境、Azure基盤、オンプレミス環境のそれぞれに上記で上げたようなリスクが存在することがわかります。

これらのリスク対策には大きく3つの方向性があります。
① Azure上のセキュリティコンポーネントを取り入れる
② Microsoft 365 E5ライセンスのセキュリティ機能を活用する
③ サードパーティのセキュリティ製品を導入する

本稿では、管理を一括で行えることと機能の重複や漏れがないという2つの観点から、①および②を組み合わせた対策について述べていきます。

2. AVDでセキュリティを考慮する際には3つのステップで考える

AVDでさらに安全なリモートワークを実現するためには、最初からすべてのリスクに対応しようという考え方では無く、ステップに分けて徐々に環境を整えていくことを弊社では推奨しています。

具体的には、
Azure基盤の課題解決→クライアント環境の課題解決→利用データの課題解決
というステップです。

なお課題と対応策がすべてわかったとしても、すべての対応策を実現することは必ずしも得策ではありません。コストや管理負荷との兼ね合いや会社や業務のルールに合わせた対策の強弱付けが必要です。このことを踏まえながら、以下の説明を読んでいただければと思います。

2.1. Step1:Azure基盤の課題とその解決策

第1ステップは、Azure基盤の課題解決です。Azure基盤におけるセキュリティの課題は、以下の3つが代表的なものです。

①Azure AD(Active Directory)への不正侵入
②セッションホストから危険サイトへのアクセス
③Azure基盤の脆弱性攻撃による乗っ取り

Azure Azure AD セキュリティ

これらは、Microsoft 365 E5とAzureコンポーネントの組み合わせで対策することができます。

①については、Azure AD Identity Protectionで対策できます。
これは、端末とIDの組み合わせでの認証や2要素認証を可能とするツールで、異常を検出した場合はサインインを自動ブロックします。

②、③については、Azure Firewall、Azure Sentinel、Security Centerの組み合わせで対策できます。
またセキュリティ製品ではありませんが、Azure NetApp Filesの導入も対策として有効です

Azure Firewallは通常のファイアウォールと同様の機能の他に、Webフィルタやネットワーク侵入検知などの機能を持つ高度なファイアウォール製品です。

Azure Sentinelは、Azure、Microsoft 365、オンプレミスなどのログ収集し、統合管理する機能を持っています。せっかくログを採取していても分散しているため管理が難しいという問題を回避します。複数ログを用いた相関分析も可能で、危険度が高くすぐに対応すべきインシデントを知ることができ、またそれらに自動対応させることもできます。

<関連ブログ>
>>Azure Sentinel でログ収集・分析基盤を構築してみた① ~Windows セキュリティイベントの収集~
>>Azure Sentinel でログ収集・分析基盤を構築してみた② ~クエリによる脅威検知~

Security Centerは、自社が利用しているAzure環境全体のセキュリティを管理し、スコア付けするツールです。
設定したポリシーに準拠していないAzureコンポーネントを検知し、ポリシーを自動適応することも可能です。

また、ファイルサーバーをAzure NetApp Filesに置き換えることで、ファイルの最新状態を維持することができます。これはPaaSなのでAzure管理に統合することができ、結果としてセキュリティ管理レベルが向上します。

AzureADPremium AzureFirewall Sentinel SecurityCenter

2.2. Step2:クライアント環境の課題とその解決策

第2ステップは、クライアント環境の課題解決です。クライアント環境におけるセキュリティの課題は、以下の3つが代表的なものです。

①利用者端末および仮想マシンのウイルス感染
②アプリケーションの問題のある利用やコンプライアンス違反
③オンプレミスADへの不正侵入

AVD Windows Virtual Desktop  セキュリティ WVD

これらについては、Microsoft 365 E5ですべて対策可能です。

①については、IntuneとDefender for Endpointで対策できます。
Intuneは、セキュリティポリシーに準拠していない端末に自動的にポリシーを適用するツールで、脆弱性の高い端末の放置を防ぎます。Defender for Endpointは、攻撃を受けることを前提に、脅威の検知やその後の対応を迅速に実施するツールです。機械学習によって怪しい振る舞いを検知するため未知の脅威にも対応できます。端末のOSに関わらず適用できるのも大きな特長です。

②については、Cloud App Securityで対策できます。
これはクラウドアプリケーションの使用パターンを調査するツールで、法規制や業界標準などコンプライアンス要件を満足しているか評価します。準拠していないアプリケーションや不正の疑いのある活動を検知し、これらに対して機密性の高い文書やデータへのアクセスを制限します。

③については、Defender for Identifyで対策できます。
これはDefender for EndpointのAD版といえる製品で、AD上のログを収集・分析し、異常な行動や通信を検知し、管理者に通知します。ADの資格情報の侵害を早期に検知することで、ラテラルムーブメント(社内環境での感染拡大行動)を防ぎ、侵入されても被害を最小限に食い止めることが可能となります。

AVD WVD セキュリティ MCAS Intune Defender for Endpoint

2.3. Step3:利用データの課題とその解決策

第3ステップは、利用データの課題解決です。利用データにおけるセキュリティの課題は、以下の2つが代表的なものです。

①アプリケーション内の機密データの漏えい
②業務メールへのマルウェア攻撃

AVD WVD データ保護 マルウェア

これらについても、Microsoft 365 E5に含まれる機能が有効となります。

①については、Azure Information Protectionで対策可能です。
これは、Officeなどのアプリケーションで作成されたデータを保護するツールです。機密度に基づいたラベルを使用して、データの編集・コピー・印刷・転送・閲覧期間・閲覧権限・編集権限などをユーザー単位で制限します。

②についてはDefender for Officeで対策可能です。
これはフィッシングメールを判定するツールで、なりすまされる可能性のあるユーザーを保護します。たとえばfromアドレスと電子メールソースドメインの不一致によるなりすましメールを検知したり、悪意のアルメールや添付URLからユーザーを保護したりします。企業のポリシーによって保護レベルを変更できるなど柔軟な対応も可能になっています。

AVD WVD データ保護 Azure Information Protection Defender for Office

まとめ

今回は、AVD(旧WVD)を検討している、もしくはAVDを利用してリモートワークを行っていて「既存環境やMicrosoft365ライセンスを活用したい」とお考えの方に向けて、AzureとMicrosoft365の機能だけでどのようなリスクをカバーできるのか、具体的な対応策をご紹介しました。
今お使いのMicrosoftライセンスを活用することでハイレベルなセキュリティ強化を行えますので、

・ライセンスを持っているけれど使っていない機能がある…
・今のセキュリティに不安があるけれど、様々なサービスを使うことで管理しきれないことを懸念している
という方は、ぜひお試しいただければと思います。

とはいえ、自社のみでの判断や知識だけでは不安のある方もいらっしゃるかと思います。弊社には、セキュリティのスペシャリストが在籍しておりますので、まずはお電話やメールからぜひお気軽にご相談くださいませ。
下記のwebページのフォームからもお問い合わせお待ちしております。

\最大100万円支援/
AVDだけでは対応できないリスクもカバー

avd セキュリティAVD(旧WVD)
セキュリティ強化パック 内容を見る

この記事を書いた人

NE + Azure 編集部
こんにちは!日商エレクトロニクスでは、Microsoft Azureに関する有益な情報を皆様にお届けしていきます。クラウド移行に関するお困りごとや、Microsoft Azureに関する疑問点などお気軽にご相談ください。

ブログにしてほしいネタなどのリクエストもお待ちしております。