クラウドセキュリティの問題を発見して修正するAzure Access Graphのご紹介

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第51回目となる今回は、「クラウドセキュリティの問題を発見して修正するAzure Access Graphのご紹介」と題して、CIEMやデータ発見ツールを超えて、Azureのデータアクセス、エンタイトルメント、IDに対する全範囲の可視性を提供するAzure Access Graphを紹介する、Shawn Hays（Varonisのプロダクトマーケティングマネージャー）によるブログ記事をご紹介いたします。

組織はMicrosoft Azureへの投資を継続しており、Microsoftは2025年度第2四半期のサーバー製品とクラウドサービスの成長率は21%と報告しています。クラウド導入のトレンドには、AIを含め、複数の要因がありますが、クラウド侵害の大部分は依然として「IDリスク」という単一の要因に起因しています。

新しいAzureサブスクリプション、リソース、リソースグループが毎月、毎年追加される結果、多くの企業組織では、時間の経過とともに非常に複雑に絡み合った蜘蛛の巣が構築されています。また、この蜘蛛の巣の有機的な成長は、他の事業の買収と、その買収先のデータ資産が親会社に接ぎ木されていくことによって、更に悪化します。

多数の役割の組み合わせとスコープのエンタイトルメントを管理する主な方法の1つは、役割ベースのアクセス制御 (RBAC) です。しかし、AzureポータルでのRBACの管理は面倒で、規模を拡大することは不可能です。その結果、さまざまな組織が、時間の経過とともに、スコープ設定とアクセス権の割り当てが使用されなかったり、古くなったりし、埃や蜘蛛の巣が貯まっていっていると一貫して報告しています。

Azure Access Graphの紹介

Varonisは、業界をリードする Data Security Platform (DSP) にAzure Access Graphを追加することにより、Azureのアクセス権およびエンタイトルメント管理への投資を継続し、次のような機能を提供します。

・どのロール、グループ、スコープポリシー、リソースポリシーがアクセス権に影響を与えているかを理解し、実効アクセス権を分析
・機密性の高いデータを一般公開露出させているポリシーを特定し、データの露出を防止
・非アクティブ状態を特定し、悪用される可能性のある古い特権をクリーンアップ
・ある特定のIDがアクセスできるコンテナや各種リソースを可視化

Varonis for AWSと同様に、セキュリティ部門は、ユーザー、ロール、グループ、ポリシーがどのようにデータにマッピングされているかを簡単に理解できます。この情報によって、セキュリティ部門は、アクセス経路を遮断し、露出を減らす方法を知ることができます。

データへのアクセス権の効果的な可視化。

Entra Permissions Managementが廃止されることから、組織は、自組織のDSPにクラウドインフラストラクチャーエンタイトルメント管理 (CIEM) 機能を求め、Azureで使用されていないアクセス許可や過剰なアクセス許可を検出、監視、調整して、最小特権を実現しようとしています。VaronisのAzure Access Graphやプラットフォームに含まれる他の多くの機能により、これらの隙間を埋めることができます。

以下のスクリーンショットのように、Varonisのアクセスグラフ機能は、リソースにアクセスできるIDとサービスプリンシパルの簡素化されたビューを提供し、それらのアクセス許可のソースを調べる機能も提供しています。

Azureポータルで何十ものロール、ロールの割り当て、継承されたスコープをクリックしたり、PowerShellを使用しなくても、アクセスグラフ機能は調査プロセスを簡素化します。利用者は、接続されている各要素にズームインするだけで、アクセス経路の過剰な露出を見つけることができます。

アクセスグラフ機能は、環境の変化に適応して、セキュリティ部門とクラウド部門に最新の視点を提供します。特定のアカウントがアクセス権を持つすべてのリソースを簡単に確認できるため、これは、組織が侵害された可能性のあるユーザーを見つけ出したり、脅威が疑われる場合に非常に重要です。

セキュリティ態勢の改善。

組織は、絶えず変化し続ける特権とエンタイトルメントの管理に苦慮しています。過剰な特権や古い特権を見つけることが難しい場合があります。アクセスグラフ機能により、管理者はIDカードを開いて、直感的に、そのIDが非アクティブであったり古いものでないかなどの重要な詳細や、そのIDの他の場所での割り当てに関する詳細情報を収集できます。

アクセスグラフ機能から、ユーザーはVaronisプラットフォーム内の他のダッシュボードやリストを調べ、資産全体の態勢修正作業に優先順位付けすることもできます。データに基づく知見は、健全なクラウドガバナンスプログラムにおいて重要な属性の1つです。そのため、Varonisは継続的に脅威を調査して、プラットフォーム内でのデータリスクの表現方法を微調整するとともに、重要な問題を表面化させられるようにしています。

Varonis for Azureは、さらに、Azureストレージコンテナへのパブリックアクセスをブロックしたり、ストレージアカウントへのblob匿名アクセスを無効にしたり、古いAzureユーザーを無効化など、アカウントやリソースに対してデータに基づくアクションを実行できるようにします。

Varonisはあなたと貴社のクラウドの味方です。

マルチクラウドセキュリティ業界では、2025年に既にいくつかの買収が行われており、一部のサービスはサポート終了時期を迎えています。一方、VaronisはAzureやその他のマルチクラウドのお客様へのサポートを加速させています。このプラットフォームはAzure Databaseをカバーするように拡張されており、加えて、Varonisは最近、オンプレミス環境とクラウド上のデータソース全体でリアルタイム監視とジャストインタイム承認ポリシーを提供する革新的なデータベースアクセス監視 (DAM) 企業を買収しました。

この投資はMicrosoft Azureにとどまりません。Amazon Redshift、MongoDB、MySQL、PostgreSQL、Google Workspace、Google Cloud、Salesforce、Box、UNIX/LINUX、ServiceNowなどが、現在、Varonisが積極的にデータを保護しているクラウドソースのリストに含まれており、その数は増え続けています。どのクラウドであろうと、データの安全確保はVaronisの使命です。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/azure-access-graph

・Microsoft - Earnings Release FY25 Q2（英文）
https://www.microsoft.com/en-us/investor/earnings/fy-2025-q2/press-release-webcast

・プレスリリース記事「独立調査会社がVaronisをデータセキュリティのリーダーならびにカスタマーフェイバレットに選出」（2025年3月5日付け）
https://www.innovations-i.com/release/1597262.html

・当コラム第34回「クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介」
https://www.innovations-i.com/column/data-security/34.html

・Microsoft Entra Blog - Important change announcement: Microsoft Entra Permissions Management end of sale and retirement
https://techcommunity.microsoft.com/blog/microsoft-entra-blog/important-change-announcement-microsoft-entra-permissions-management-end-of-sale/4399382

・当コラム第47回「クラウドガバナンスを理解するための包括的なガイド」
https://www.innovations-i.com/column/data-security/47.html

・当コラム第50回「VaronisがCyralを買収、データベースアクティビティ監視を刷新」
https://www.innovations-i.com/column/data-security/50.html

ブログ著者について

Shawn Hays

Shawnは、Varonisのプロダクトマーケティングマネージャーであり、主にMicrosoftクラウドに注力しています。彼は、Microsoftエコシステムとサイバーセキュリティの分野で10年間の旅をしてきました。データセキュリティについて論じないとき、音楽フェスティバルやフリスビーを投げると彼を捕まえることができます。

（翻訳：跡部 靖夫）