Azure中国リージョンのセキュリティ対策:Defender for Cloudと等級保護認証制度(MLPS)
你好! ニーハオ!
クララで中国領域のIT支援を担当しているクロスボーダービジネスチームです!
クラウド環境のセキュリティ対策は、企業のIT運用において欠かせない要素ですよね。特に中国リージョン(※)においては、インターネット規制や各種法規制の影響もあり、Azure環境のセキュリティ対策には特有の課題が伴います。
今回は、Microsoftのクラウドセキュリティ管理ツール「Defender for Cloud」の中国リージョンでの活用について解説し、さらに中国の等級保護認証制度(MLPS:Multi-Level Protection Scheme)への対応の必要性についても触れます。
※ 中国はインターネットに関する法律、規制・制限が数多く存在することから、世界各国の中でも特殊な環境にあります。
この記事の目次
Defender for Cloudとは
Defender for Cloudは、クラウド環境のセキュリティ管理を一元化するMicrosoftのセキュリティソリューションです。CNAPP(Cloud-Native Application Protection Platform)の一環として、CSPM(Cloud Security Posture Management)とCWPP(Cloud Workload Protection Platforms)の2つの主要な機能を提供します。
- CSPM (Cloud Security Posture Management): クラウド環境のセキュリティ設定が適切かを監査し、セキュリティベンチマークに基づいた評価・推奨事項を提供。
- CWPP (Cloud Workload Protection Platforms): 仮想マシンやコンテナなどのワークロードの保護機能を提供し、マルウェア対策や脆弱性スキャンを実施。
Azure中国リージョンにおけるDefender for Cloud
Azure中国リージョンは、Azure Globalとは異なる運用環境となっており、一部機能が制限されているため、Defender for Cloudの利用に際しては注意が必要です。以下に、Azure GlobalとAzure中国の主な違いをまとめます。
CSPM機能の比較
| 機能/プラン | Azure Global | Azure 中国 |
| 基本的 CSPM 機能(無料) | ○ | ○ |
| 資産インベントリ | ○ | ○ |
| Microsoft Cloud Security Benchmark に基づくセキュリティ推奨事項 | ○ | ○ |
| 推奨事項の免除 | △(プレビュー) | × |
| セキュリティ スコア | ○ | ○ |
| Defender CSPM | ○ | × |
| データ セキュリティ ダッシュボード | ○ | × |
| 攻撃パス分析 | ○ | × |
| AI セキュリティ態勢管理 | ○ | × |
CWPP機能の比較
| 機能/プラン | Azure Global | Azure 中国 |
| Defender for Servers | ○ | ○ |
| Defender for App Service | ○ | ○ |
| Defender for Containers | ○ | ○ |
| Defender for DNS | ○ | ○ |
| Defender for Resource Manager | ○ | ○ |
| Defender for Key Vault | ○ | × |
| Defender for Storage | ○ | × |
| Defender for SQL Servers on Machines | ○ | × |
| Defender for Azure Cosmos DB | ○ | × |
Azure中国リージョンでのDefender for Cloud活用ポイント
1. CSPM機能を活用し、セキュリティ監査を実施
Azure中国リージョンでも基本的なCSPM機能を利用できるため、Microsoft Cloud Security Benchmarkを活用しながらセキュリティリスクの監査・評価を実施しましょう。ただし、Defender CSPMやAIセキュリティ態勢管理などの高度な機能は利用できないため、代替手段を検討する必要があります。
2. ワークロードの保護を徹底
Azure中国リージョンでもDefender for ServersやDefender for Containersなどの基本的なCWPP機能は利用可能です。サーバやコンテナ環境のマルウェア対策・脆弱性スキャンを有効化し、セキュリティインシデントを未然に防ぎましょう。
3. 利用できない機能の代替手段を検討
Defender for Key VaultやDefender for Storageなど、一部のセキュリティ機能はAzure中国リージョンで利用できません。これらの代替手段として、Azureのセキュリティポリシーを強化し、ネットワークセキュリティグループ(NSG)やAzure Firewallを活用することを推奨します。
4. セキュリティアラートの設定を最適化
Defender for Cloudは、セキュリティアラートを発行する機能を備えていますが、Azure中国リージョンでは一部の通知機能が制限されている場合があります。
Logic Appsを活用し、カスタムアラートの設定を行うことで、セキュリティインシデントに迅速に対応できる体制を構築しましょう。
Azure中国リージョンのセキュリティ対策と等級保護認証制度(MLPS)
中国でクラウド/システムを利用する企業にとって、等級保護認証制度(MLPS 2.0)は避けて通れない規制の一つです。これは、情報システムの重要度に応じてセキュリティ要件を定める中国政府の制度であり、企業のIT利用に直接影響を及ぼします。
MLPSの概要
- 等級1~5に分類され、等級2以上のシステムは公安部門への届出が必要。
- 等級2以上では、定期的なセキュリティ監査や技術的なセキュリティ対策が求められる。
- クラウドを利用する企業は、クラウドプロバイダーのMLPS対応状況を確認する必要がある。
Azure中国リージョンとMLPS対応
Microsoft Azure中国リージョンは、MLPS 2.0の要件に対応するためのソリューションを提供しています。ただし、企業ごとに追加の対策が求められることも多いため、以下のポイントを考慮する必要があります。
- MLPS対応のクラウドプロバイダーを選定
- Azure中国リージョンはMLPS 2.0対応を進めているが、各サービスごとの対応状況確認やサードパーティー制のセキュリティプロダクトの調査が必要
- Defender for Cloudを活用したセキュリティ対策
- MLPS 2.0の要件に沿った監査・ログ管理を実施。
- 追加のセキュリティ対策の実施
- アクセス制御の強化(MFA、IP制限)
- 暗号化の適用(データ保護)
- 定期的なセキュリティ監査の実施
まとめ
Azure中国リージョンでのDefender for Cloudの活用は、基本的なセキュリティ対策として有効ですが、一部の機能制限があるため、適切な代替策を講じる必要があります。
また、中国でシステムやWebサービスを運用する企業は、等級保護認証制度(MLPS 2.0)の要件を満たすことが求められるため、Defender for Cloudを活用しつつ、追加のセキュリティ対策を検討することが重要です。
クララ株式会社では、中国リージョン向けのクラウドセキュリティ対策やMLPS対応支援を提供しております。Azure中国リージョンの導入・運用についてご相談がある方は、お気軽にお問い合わせください。
