セキュアなプラットフォーム Azure + SQL Serverのご紹介日本マイクロソフト株式会社テクニカルエバンジェリスト山本　美穂

Twitter: @mihochannelBlog: http://aka.ms/miyamam

本セッションのアジェンダ はじめに マイクロソフトのクラウド プラットフォームのセキュリティ SQL Server のセキュリティ

レ

はじめに

4,300 億超 Microsoft Azure AD の認証数は 4,300 億を突破

280% Microsoft Azure におけるデータベースの前年比増加率は 280% に到達

80%Fortune 500 企業の 80% が Microsoft Cloud を使用

$25,000運用コストはオンプレミスの 100,000 ドルに対してクラウドでは 25,000 ドル(Microsoft Azure BI Team, STMG Proof Points Central)

経済性規模

30,000 か

ら

250,000 へ

サイト訪問者が

あっという間に増加(Case Study: Autocosmos)

2 週間新規サービスを 2 週間で提供 ( 従来ソリューションでは 6-12 か月 )(Case Study: HarperCollins Publishers)

スピード

テクノロジートレンドは「クラウドの採用」

の CIO が 2016 年にクラウド ファースト戦略を採用する見通しである(IDC CIO Agenda webinar)

クラウドの動向 :70%メリット

Azure の採用

導入前の懸念

60%導入の障壁として、データ セキュリティに対する懸念を挙げている企業

45%クラウド導入によってデータを制御できなくなることを懸念している企業

得られたメリット

94%これまでの自社運用にはなかったセキュリティ上のメリットを実感している企業

62%クラウドへの移行によってプライバシー保護が強化されたと感じている企業

クラウドによるイノベーション : リスクとメリット

セキュリティ• 設計 / 運用• インフラストラク

チャ• ネットワーク• アイデンティ

ティ / アクセス• データ

プライバシー

コンプライアンス

透明性

6

誰もお客様が承認していない方法でお客様のデータを使用することはできない

お客様のデータの機密性、完全性、および可用性が保護されている

お客様は自分のデータがどのように処理され、使用されているかを「見える化」する能力 ( ビジビリティ ) が得られる

お客様のコンテンツは、関連する法令、規制、標準に準拠した形で保存および管理される

プライバシー &

コントロール

セキュリティ 透明性コンプライアンス

マイクロソフトクラウド

本セッションのアジェンダ はじめに マイクロソフトのクラウド プラットフォームのセキュリティ SQL Server のセキュリティ

レレ

マイクロソフトのクラウド

Happy 7th Anniversaryクラウドサービスを提供して7 年になります。

Platform Services

Infrastructure ServicesCompute Storage

Datacenter Infrastructure (38 Regions, 30 Online)

Application Platform

WebApps

MobileApps

API Apps

Notification Hubs

HybridCloud

Backup

StorSimple

Azure SiteRecovery

Import/Export

Networking

DataSQL Database DocumentDB

Redis Cache

AzureSearch

StorageTables

SQL DataWarehouse

Azure AD Health Monitoring

Virtual Network

ExpressRouteBlob Files DisksVirtual

Machines

AD PrivilegedIdentity Management

Traffic Manager

AppGateway

OperationalAnalytics

Compute Services

Cloud Services

Batch RemoteApp

ServiceFabric

Developer Services

Visual Studio

ApplicationInsights

VS Team Services

Containers

DNS VPN Gateway

Load Balancer

Domain Services

Analytics & IoTHDInsight Machine

Learning Stream Analytics

Data FactoryEvent

Hubs

Data LakeAnalytics Service

IoT Hub

Data Catalog

Security & Manageme

nt

Azure ActiveDirectory

Multi-FactorAuthentication

Automation

Portal

Key Vault

Store/Marketplace

VM Image Gallery& VM Depot

Azure ADB2C

Scheduler

Xamarin

HockeyAppPower BI Embedded

SQL Server Stretch Database

MobileEngagement

Functions

IntelligenceCognitive Services Bot Framework Cortana

Security Center

Container Service

Queues

VM Scale Sets

Data Lake Store

Dev/Test Lab

IntegrationBizTalkServices

Service BusLogic Apps

API Management

Media & CDNContent DeliveryNetwork

Media Services

Media Analytics

世界中にデータセンターがあります。32 regions worldwide, 6 more announced

100+ datacenters $15 billion investment Operational

Announced

Central US

Iowa

West USCalifornia

North EuropeIreland

East USVirginia

East US 2

Virginia

US GOVVirginia

North Central US

Illinois

US GOVIowa

South Central US

Texas

Brazil South

Sao Paulo

West Europe

Netherlands

China North *

BeijingChina

South *Shanghai

Japan EastSaitama

Japan WestOsaka

India South

Chennai

East AsiaHong KongSE Asia

Singapore

Australia South East

Victoria

Australia EastNew South

Wales

* Operated by 21Vianet

India CentralPune

Canada EastQuebec City

Canada CentralToronto

India West

Mumbai

Germany East

Germany West

UK WestUK East

Operated by Deutsche Telekom

West US2California

West Central US

Korea CentralSeoul

Korea SouthTBA

US East DoD

US GOVTexas

FranceCentral France

South

US GOVArizona

US Central

DOD

Applications

Clients

Infrastructure

Management

Databases &Middleware

App Frameworks& Tools

DevOps

PaaS &DevOps

Azure はオープンなクラウド Public Cloud

オンプレミス

ストレージ

サーバー

ネットワーク

OS

ミドルウエア

仮想化

データ

アプリケーション

ランタイム

インフラストラクチャー(IaaS)

ストレージ

サーバー

ネットワーク

OS

ミドルウエア

仮想化

データ

アプリケーション

ランタイムユー

ザー

管理

プラットフォーム(PaaS)

ストレージ

サーバー

ネットワーク

OS

ミドルウエア

仮想化

アプリケーション

ランタイム

データ

ソフトウエア(SaaS)

ベン

ダー

管理

ストレージ

サーバー

ネットワーク

OS

ミドルウエア

仮想化

アプリケーション

ランタイム

データ

Microsoft Azure 仮想マシンWindows Server Hyper-VWindows Server Microsoft Azure

App ServicesOffice 365

Dynamics CRMベ

ンダ

ー管

理

ベン

ダー

管理

ユー

ザー

管理

ユー

ザー

管理

クラウドサービスの違い

本セッションのアジェンダ はじめに マイクロソフトのクラウド プラットフォームのセキュリティ SQL Server のセキュリティ

レレレ

プラットフォームのセキュリティ

Microsoft Boydton DC

広い！（車が小さい！）

データセンターのセキュリティ

境界

コンピューター

ルーム

建物

耐震補強ブレース

セキュリティ オペレーショ

ン センター (SOC)

24 時間常駐の

警備員

数日分の予備電源

監視カメラ 警報装置2 要素アクセス制御 : 生体認証情報リーダー

& カード リーダー

防壁 フェンス

Azure の基盤のひみつ

電源 ネットワーク回線

均一化されたサーバー

オンプレミスで実現不可能な要件

電源確保が絶対条件

液体燃料が確保できること

道路の選定もデータセンター設置の条件

どの道路に面しているかが重要

Azure の基盤のひみつ

電源 ネットワーク回線

均一化されたサーバー

オンプレミスで実現不可能な要件

日本の地下ネットワーク網は世界最強

[Image credit: US Pacific Fleet, Flickr]

海底ケーブルへも大型投資を実施

Azure の基盤のひみつ

電源 ネットワーク回線

均一化されたサーバー

オンプレミスで実現不可能な要件

+

Open Compute Project への参加

サーバーの内部設計はすべて公開

Azure のコンプライアンスhttps://www.microsoft.com/ja-jp/TrustCenter/Compliance/default.aspx　

データ

重要なデータはどこにある？

ファ

イア

ウォ

ー

ル IPS/IDS

PC/サー

バー

アプ

リケ

ーシ

ョ

ン

ネットワーク

攻撃者

入口対策

出口対策 アンチウイルス

データ

典型的な攻撃

ファ

イア

ウォ

ー

ル IPS/IDS

PC/サー

バー

アプ

リケ

ーシ

ョ

ン

ネットワーク

DDoS

アンチウイルス

Microsoft Cyber Crime Center 外部機関

Machine Learning on Cloud

Zero Day 回避

パスワードリスト

クロスサイトスクリプティング

SQL インジェクション

既知の攻撃は弾く

オンプレミスよりも堅牢

本セッションのアジェンダ はじめに マイクロソフトのクラウド プラットフォームのセキュリティ SQL Server のセキュリティ

レレレレ

SQL Server のセキュリティ

SQL Server の多層防御とは？ネットワーク

OS

SQL Server

ログイン

Windowsアカウント Enhanced

ADO.NET Library

アプリケーションデータ ユーザー

監査

監査

監査

透過的データ暗号化

Always Encrypted

Windows ファイアウォール

サーバー認証

動的データマスク行レベル

セキュリティ

Always Encrypted

Always Encrypted通信経路も含め、常に暗号化した状態でデータを操作できる

クライアント ドライバーは SQL Server から CEK を取得 CEK は、 CMK の秘密キーで暗号化されている クライアント ドライバーは 復号した CEK を使用して

データを暗号化し、 SQL Server に送信する

列マスター キー (CMK)

列暗号化キー (CEK)

SQL Server 2016

クライアントドライバー

CustName CreditCard#User1 1x7fg65se2eUser2 0x7ff65se7eUser3 0y789fjae8dUser4 1x34gja4u8d

CreditCard テーブル

INSERT CreditCardVALUES (User5,'0x4i852fjk23j')

暗号化された列データ

User5

INSERT CreditCardVALUES (User5,'38520000023237')

SQL Server の多層防御とは？ネットワーク

OS

SQL Server

ログイン

Windowsアカウント Enhanced

ADO.NET Library

アプリケーションデータ ユーザー

監査

監査

監査

透過的データ暗号化

Always Encrypted

Windows ファイアウォール

サーバー認証

動的データマスク行レベル

セキュリティ

Always Encrypted

透過的データマスク インメモリ OLTP オブジェクトを格納したデータベースも暗号化の設定が可能

に アプリケーション コードを変更することなく、データベース全体のデータを暗号化 master システム データベースに配置された証明書を使用してデータベース全体を暗号化

暗号化されたデータベース

master データベース

データベース暗号化キー(DEK)

データベース マスター キー(DMK)

証明書オブジェクト

暗号化暗号化 暗号化暗号化

ログ ファイルデータ ファイル

データベース ブート レコードに格納

動的データマスク 指定されたマスク フィールド条件で、機微なデータをマスキングする機能

マスク関数 default() → 対象列が完全にマスクされる email() → メール アドレス用のマスク partial(1,“XXXXXXX”,0) → 最初の文字以外はマスクされる random(1,5) → ランダムな数値に置き換えられる

適用シナリオ 機微なデータの情報漏えいからの保護 特権ユーザーからのアクセス保護

CustName CreditCard#User1 4012888888881881User2 5105105105105100User3 3566002020360505User4 371449635398431

マスク関数が設定された CreditCard テーブル

Admin CustomerName

CreditCard#

User1 XXXXXXXXXXXX881

SELECT * FROM CreditCardWHERE CustName = 'User1'

SQL Server 2016

動的データ マスク

行レベルセキュリティユーザーの ID 、ロール、実行コンテキストを基にした行レベルの

アクセス制限

適用シナリオ 社員の地域やロールに基づく、財務データへのアクセス制限 データ分析者の職位やロールに基づく、データ サブセットの抽出とレポート作成

CustName EmailAddress SalesPersonUser1 User1@aaa.com SalesPerson1User2 User2@ppp.com SalesPerson3User3 User3@eee.com SalesPerson1User8 User8@aaa.com SalesPerson3User9 User9@ggg.com SalesPerson2

Customer テーブル

SalesPerson1CustName EmailAddressUser1 User1@aaa.comUser3 User3@eee.com

SELECT CustName, mailAddress FROM Customer RLS

SQL Server 2016

行レベル セキュリティ結果セット

まとめ マイクロソフトのクラウド = Azure は

セキュアで堅牢性の高いクラウド SQL Server もセキュアで可用性の高い

データープラットフォーム