-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR
ラックの小林です。
いわゆる情シスで社内のセキュリティ強化を行っています。
少人数体制で業務を進めていると、日々の繰り返し作業が多く、業務がひっ迫してしまうことが少なくありません。こうした定型的な作業を自動化することで、限られたリソースでも効率的に業務を遂行できる環境を整えられます。Microsoftの製品では、Microsoft Power AutomateやAzure Logic Appsといった自動化ツールがよく知られていますが、より複雑な処理の自動化が求められる場面では、Azure Automationの活用が有効です。ただし、その際に誤った設定や運用が思わぬセキュリティリスクを招くこともあります。
本記事では、Azure Automationを安全に使いこなすために押さえておきたい、セキュリティ上のポイントについて解説します。
Azure Automationとは
Azure Automationは、IT運用の自動化を支援するMicrosoftのサービスです。主な機能であるプロセスオートメーションでは、手作業では時間がかかりエラーが発生しやすい定型的な作業を、自動化によって効率的に処理できます。
同様の機能を持つサービスとして、Microsoft Power AutomateやAzure Logic Appsがありますが、PowerShellのスクリプトを実行する場合には、Azure Automationと組み合わせて運用するのが便利です。具体的には、Microsoft Power AutomateやAzure Logic Appsを使用してAzure Automationの実行条件を制御し、実際の自動化処理をAzure Automationで行います。
管理者が通常実施するような作業を自動化する場合、Azure Automationに対して高い権限を付与する必要があります。これを実現するには、必要なタイミングで一時的に権限を付与するのではなく、必要な権限を常時付与することが多いです。そのため、権限の設定においては、必要最小限の権限を適切なリソースに付与することが重要です。
権限付与する際の注意点
自動化を実現するために権限を付与する際、よくある実装例として「ユーザ用のアカウントに対して権限を常時付与する」という方法があります。しかし、この方法は以下の理由から望ましくありません。
- ユーザの退職などによって、ユーザ用のアカウントが削除された場合、アカウントの切り替え作業が必要になってしまう。
- 本来はシステム用のアカウントとして利用するのにも関わらず、ユーザ用のアカウントを使用するとライセンス違反になる恐れがある。
- ユーザに対して業務で必要な権限に加えて、自動化のために必要な権限が常時割り当てられた状態になってしまう。
- 多要素認証を除外したアカウントを用意することになるのでセキュリティの低下につながる。
これらの理由から、Microsoftでは「マネージドID」と呼ばれるシステム用のアカウントに権限を付与することを推奨しています。Azure Automationでは、Automationアカウントに対してマネージドIDを有効化することが可能です。
より効果的な活用方法
Azure Automationを単体でスケジュール実行している場合、マネージドIDに対して権限を付与することで、セキュアな運用が可能です。さらに、より複雑な条件でAzure Automationを実行したい場合は、Azure Logic Appsを活用するのが望ましいです。Azure Logic AppsにもマネージドIDを有効化できるため、Azure AutomationとAzure Logic Appsを組み合わせて、マネージドIDのみで処理を完結できます。
この実装方法のメリットの1つは、アプリの登録におけるクライアントシークレット(パスワードの役割を果たすもの)を新たに作成する必要がない点です。一般的な実装例としてよく見られるのが、「アプリに権限を付与し、認証の際にクライアントシークレットを使用する」という方法です。しかし、クライアントシークレットには通常、有効期限を設定するのが望ましいとされており、有効期限が切れると再設定が必要になるという課題があります。
一方で、クライアントシークレットを使用せずにマネージドIDを利用することで、有効期限切れを気にすることなく運用でき、セキュリティと運用効率向上においてメリットがあります。
さいごに
今回は、Azure Automationを活用して業務を自動化する際に注意すべきセキュリティ上のポイントについて解説しました。業務効率化を目的とした自動化を進める際には、権限の設定や運用上の課題を十分に考慮しながら実装することが重要です。特に、マネージドIDを適切に利用することで、セキュアかつ汎用的にさまざまな業務を自動化することが可能になります。
セキュリティリスクが増大し続ける現代において、すべての組織にとって安全性を確保した実装が求められます。本記事が、自組織で業務自動化を検討・導入する際の参考情報となれば幸いです。
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR