この記事では、法的要求に応じて有効な保管チェーンを示すデジタル証拠をチームが提供できるように設計されたインフラストラクチャとワークフロー のプロセスについて説明します。 この記事では、証拠の取得、保存、アクセスの各段階で有効な保管チェーンを維持する方法について説明します。
Note
この記事は、著者の理論的および実践的な知識に基づいています。 法的な目的で使用する前に、その適用性を法務部門と検証してください。
Architecture
アーキテクチャ設計は、Azure 向けクラウド導入フレームワークで Azure ランディング ゾーンの原則に従います。
このシナリオでは、次の図に示すハブアンドスポーク ネットワーク トポロジを使用します。
このアーキテクチャの Visio ファイルをダウンロードします。
ワークフロー
このアーキテクチャでは、運用環境仮想マシン (VM) はスポーク Azure 仮想ネットワークの一部です。 VM ディスクは Azure Disk Encryption で暗号化されます。 詳細については、「マネージド ディスク暗号化オプションの概要」を参照してください。 運用サブスクリプションでは、Azure Key Vault 、VM の BitLocker 暗号化キー (BEK) が格納されます。
Note
このシナリオでは、ディスクが暗号化されていない運用 VM もサポートされます。
セキュリティ オペレーション センター (SOC) チームは、個別の Azure SOC サブスクリプションを使用します。 このチームは、保護、不可侵、監視を維持する必要があるリソースを含むサブスクリプションに排他的にアクセスできます。 SOC サブスクリプションの Azure Storage アカウントは、変更できない BLOB ストレージ 内のディスク スナップショットコピーをホストします。 専用の キー コンテナー は、スナップショットのハッシュ値と VM からの BEK のコピーを格納します。
VM のデジタル証拠をキャプチャする要求に応じて、SOC チームのメンバーは Azure SOC サブスクリプションにサインインし、Azure Automation から VM Azure Hybrid Runbook worker を使用して、Copy-VmDigitalEvidence Runbook を実行します。
Automation ハイブリッド Runbook worker では、キャプチャに含まれるすべてのメカニズムを制御できます。
Copy-VmDigitalEvidence Runbook は、次のマクロ手順を実装します。
Automation アカウントの システム割り当てマネージド ID を使用して Azure にサインインします。 この ID は、ターゲット VM のリソースと、ソリューションに必要な他の Azure サービスへのアクセスを許可します。
VM のオペレーティング システム (OS) ディスクとデータ ディスクのディスク スナップショットを生成します。
SOC サブスクリプションの不変 BLOB ストレージと一時ファイル共有の両方にスナップショットを転送します。
ファイル共有に格納されているコピーを使用して、スナップショットのハッシュ値を計算します。
取得したハッシュ値と VM の BEK を SOC キー コンテナーに格納します。
変更できない BLOB ストレージ内のコピーを除き、スナップショットのすべてのコピーを削除します。
Note
運用 VM の暗号化ディスクでは、キー暗号化キー (KEK) を使用することもできます。
デプロイ シナリオで提供される Copy-VmDigitalEvidence Runbook では、このシナリオは扱われません。
コンポーネント
Azure Automation は、頻繁に発生し、時間がかかり、エラーが発生しやすいクラウド管理タスクを自動化します。 これは、証拠の整合性を確保するために、VM ディスク スナップショットのキャプチャと転送のプロセスを自動化するために使用されます。
Storage は、オブジェクト、ファイル、ディスク、キュー、テーブルのストレージを含むクラウド ストレージ ソリューションです。 不変 BLOB ストレージ内のディスク スナップショットをホストして、証拠を編集不可能な状態で保持します。
Azure Blob Storage には、大量の非構造化データを管理する最適化されたクラウド オブジェクト ストレージが用意されています。 ディスク スナップショットを不変 BLOB として格納するための最適化されたクラウド オブジェクト ストレージが提供されます。
Azure Files は、業界標準のサーバー メッセージ ブロック (SMB) プロトコル、ネットワーク ファイル システム (NFS) プロトコル、および Azure Files REST API を介してアクセスできる、クラウド内のフル マネージド ファイル共有を提供します。 Windows、Linux、macOS のクラウドまたはオンプレミスのデプロイを通じて、共有を同時にマウントできます。 また、Azure File Sync を使用して Windows Server 上のファイル共有をキャッシュし、データの使用場所の近くにすばやくアクセスすることもできます。 Azure Files は、ディスク スナップショットのハッシュ値を計算するための一時リポジトリとして使用されます。
Key Vault は、クラウド アプリやサービスが使用する暗号化キーやその他のシークレットを保護するのに役立ちます。 Key Vault を使用して、ディスク スナップショットの BEK とハッシュ値を格納して、セキュリティで保護されたアクセスとデータの整合性を確保できます。
Microsoft Entra ID は、Azure およびその他のクラウド アプリへのアクセスの制御に役立つクラウドベースの ID サービスです。 Azure リソースへのアクセスを制御するために使用され、セキュリティで保護された ID 管理を確保するのに役立ちます。
Azure Monitor は、リソースのパフォーマンスと可用性を最大化しながら、潜在的な問題を事前に特定できるようにすることで、大規模な運用をサポートします。 アクティビティ ログをアーカイブして、コンプライアンスと監視の目的で関連するすべてのイベントを監査します。
Automation
SOC チームは、Automation アカウントを使用して、Copy-VmDigitalEvidence Runbook を作成および管理します。 また、チームは Automation を使用して、Runbook を実装するハイブリッド Runbook worker を作成します。
Hybrid Runbook Worker
Hybrid Runbook worker VM は Automation アカウントに統合されます。 SOC チームは、この VM を排他的に使用して、Copy-VmDigitalEvidence Runbook を実行します。
ハイブリッド runbook worker VM は、ストレージ アカウントにアクセスできるサブネットに配置する必要があります。 ストレージ アカウントのファイアウォール許可リスト ルールに Hybrid Runbook Worker VM サブネットを追加して、ストレージ アカウントへのアクセスを構成します。
メンテナンス アクティビティのために、この VM へのアクセス権を SOC チーム メンバーにのみ付与します。
VM が使用する仮想ネットワークを分離するには、仮想ネットワークをハブに接続しないようにします。
Hybrid Runbook worker は、Automation のシステム割り当てマネージド ID を使用して、ターゲット VM のリソースと、ソリューションに必要な他の Azure サービスにアクセスします。
システム割り当てマネージド ID に必要な最小限のロールベースのアクセス制御 (RBAC) アクセス許可は、次の 2 つのカテゴリに分類されます。
- ソリューション コア コンポーネントを含む SOC Azure アーキテクチャへのアクセス許可
- ターゲット VM リソースを含むターゲット アーキテクチャへのアクセス許可
SOC Azure アーキテクチャへのアクセスには、次のロールが含まれます。
- SOC 不変ストレージ アカウントのストレージ アカウント共同作成者
- BEK 管理用の SOC キー コンテナーで Key Vault シークレットオフィサー を する
ターゲット アーキテクチャへのアクセスには、次のロールが含まれます。
VM ディスクのスナップショット権限を提供するターゲット VM のリソース グループの共同作成者
KEY Vault のアクセスを制御するために RBAC が使用されている場合にのみ、BEK の格納に使用されるターゲット VM のキー コンテナーに Key Vault シークレットオフィサーが
アクセス ポリシーを使用して Key Vault のアクセスを制御する場合にのみ、BEK の格納に使用されるターゲット VM のキー コンテナーでシークレットの取得 を するアクセス ポリシー
Note
BEK を読み取るには、ハイブリッド runbook worker VM からターゲット VM のキー コンテナーにアクセスできる必要があります。 キー コンテナーのファイアウォールが有効になっている場合は、Hybrid Runbook worker VM のパブリック IP アドレスがファイアウォール経由で許可されていることを確認します。
ストレージ アカウント
SOC サブスクリプションに ストレージ アカウントは、azure 不変 BLOB ストレージとして 訴訟ホールド ポリシーを使用して構成されたコンテナー内のディスク スナップショットをホストします。 不変 BLOB ストレージは、ビジネス クリティカルなデータ オブジェクトを書き込みで 1 回格納し、多くの (WORM) 状態を読み取ります。 WORM 状態では、ユーザーが指定した間隔でデータを非ラス化し、編集できなくなります。
セキュリティで保護された転送 を有効にし、ストレージ ファイアウォールの プロパティを してください。 ファイアウォールは SOC 仮想ネットワークからのアクセスのみを許可します。
ストレージ アカウントは、スナップショットのハッシュ値の計算に使用される一時リポジトリとして、Azure ファイル共有 もホストします。
Key Vault (キー・ボールト)
SOC サブスクリプションは Key Vault の独自のインスタンスを持っており、Azure Disk Encryption がターゲット VM を保護するために使う BEK のコピーをホストしています。 プライマリ コピーは、ターゲット VM が使用するキー コンテナーに格納されます。 このセットアップにより、ターゲット VM は中断することなく通常の操作を続行できます。
SOC キー コンテナーには、キャプチャ操作中にハイブリッド Runbook worker が計算するディスク スナップショットのハッシュ値も格納されます。
キー コンテナーで ファイアウォール が有効になっていることを確認します。 SOC 仮想ネットワークからのみアクセス権を付与する必要があります。
Log Analytics
Log Analytics ワークスペースには、SOC サブスクリプション上のすべての関連イベントを監査するために使われるアクティビティ ログが保存されます。 Log Analytics は Monitor の機能です。
シナリオの詳細
デジタル フォレンジクスは、犯罪調査や民事訴訟を支援するためにデジタル データの復旧と調査に取り組む科学です。 コンピューター フォレンジクスは、コンピューター、VM、デジタル ストレージ メディアからデータを取り込んで分析するデジタル フォレンジクスの 1 つの分野です。
企業は、法的要求に応じて提供するデジタル証拠が、証拠の取得、保存、アクセスの段階を通じて有効な保管チェーンを示していることを保証する必要があります。
考えられるユース ケース
企業の SOC チームは、この技術ソリューションを実装して、デジタル証拠の有効な保管チェーンをサポートできます。
調査担当者は、この手法を使用して取得したディスク コピーを、フォレンジック分析専用のコンピューターにアタッチできます。 元のソース VM の電源を入れたり、アクセスしたりすることなく、ディスク コピーをアタッチできます。
チェーンオブカストディ規制コンプライアンス
提案されたソリューションを規制コンプライアンス検証プロセスに提出する必要がある場合は、カストディ ソリューション検証プロセスのチェーン中に、の考慮事項 セクションの資料を検討してください。
Note
検証プロセスに法務部門を含める必要があります。
考慮事項
これらの考慮事項は、ワークロードの品質向上に使用できる一連の基本原則である Azure Well-Architected Framework の要素を組み込んでいます。 詳細については、「Well-Architected Framework」を参照してください。
このセクションでは、このソリューションを一連の親権として検証する原則について説明します。 有効な保管チェーンを確保するために、デジタル証拠ストレージは、適切なアクセス制御、データの保護と整合性、監視とアラート、ログ記録と監査を実証する必要があります。
セキュリティ標準と規制のコンプライアンス
一連のカストディ ソリューションを検証する場合、評価する要件の 1 つは、セキュリティ標準と規制への準拠です。
アーキテクチャ に含まれるすべてのコンポーネントは、信頼、セキュリティ、および コンプライアンスをサポートする基盤上に構築された Azure 標準サービスです。
Azure には、国や地域に合わせた認定、医療、政府、金融、教育などの主要な業界向けの認定など、さまざまなコンプライアンス認定があります。
このソリューションで使用されるサービスの標準準拠を詳細に示す更新された監査レポートの詳細については、「Service Trust Portal」を参照してください。
Cohasset の Azure Storage コンプライアンス評価 では、次の要件の詳細が提供されます。
17 CFR § 240.17a-4(f) の証券取引委員会 (SEC)。証券取引メンバー、ブローカー、ディーラーを規定しています。
金融取引業規制機構 (FINRA) 規則 4511(c)。SEC 規則 17a-4(f) の形式とメディア要件に従います。
規制 17 CFR § 1.31(c)-(d) の商品先物取引委員会 (CFTC)。商品先物取引を規制しています。
これは、Azure Storage が Blob Storage とポリシー ロック オプションの不変ストレージ機能を使用すると、時間ベースの BLOB (または レコード) を、非変更可能な形式で保持し、SEC 規則 17a-4(f)、FINRA 規則 4511(c)、および CFTC 規則 1.31(c)-(d) の原則ベースの要件に関連するストレージ要件を満たします。
最小特権
SOC チームのロールが割り当てられると、SOC チームのカストディアンと呼ばれるチーム内の 2 人の個人のみが、サブスクリプションとそのデータの構成 RBAC を変更する権限を持つ必要があります。 他のユーザーには、作業を実行するために必要なデータ サブセットへの最小限のアクセス権のみを付与します。
最小アクセス
SOCサブスクリプション内の仮想ネットワークのみが、SOC ストレージ アカウントと、証拠をアーカイブするキー コンテナーにアクセスできます。 承認された SOC チーム メンバーは、調査担当者に SOC ストレージ内の証拠への一時的なアクセスを許可できます。
証拠の獲得
Azure 監査ログでは、VM ディスク スナップショットを作成するアクションを記録することで、証拠の取得を文書化できます。 ログには、スナップショットの取得者やスナップショットの取得時期などの詳細が含まれます。
証拠の整合性
Automation を使用して、証拠を最終的なアーカイブ先に移動します。人間の介入は必要ありません。 このアプローチは、証拠成果物が変更されていないことを保証するのに役立ちます。
訴訟ホールド ポリシーを宛先ストレージに適用すると、証拠は書き込まれるとすぐに凍結されます。 訴訟ホールドは、管理チェーンが Azure 内で完全に維持されていることを示しています。 また、ディスク イメージがライブ VM 上にある時点から、証拠としてストレージ アカウントに格納された時点まで、証拠を改ざんする機会がないことを示します。
最後に、提供されたソリューションを整合性メカニズムとして使用して、ディスク イメージのハッシュ値を計算できます。 サポートされているハッシュ アルゴリズムは、MD5、SHA256、SKEIN、KECCAK (または SHA3) です。
証拠の運用
調査担当者は、分析を実行できるように証拠にアクセスする必要があります。 このアクセスは追跡され、明示的に承認されている必要があります。
調査担当者に、証拠にアクセスするための Shared Access Signature (SAS) uniform resource identifier (URI) ストレージ キーを提供します。 SAS URI は、作成時に関連するログ情報を生成できます。 SAS が使用されるたびに証拠のコピーを取得できます。
たとえば、法務チームが保存された仮想ハード ドライブを転送する必要がある場合、2 つの SOC チームカストディアンの 1 人が、8 時間後に期限切れになる読み取り専用の SAS URI キーを生成します。 SAS は、指定された期間内に調査担当者へのアクセスを制限します。
SOC チームは、ストレージ ファイアウォールの許可リストにアクセスする必要がある調査担当者の IP アドレスを明示的に配置する必要があります。
最後に、調査担当者が暗号化されたディスク コピーにアクセスするには、SOC キー コンテナーに保管されている BEK が必要です。 SOC のチーム メンバーは BEK を取り出し、セキュリティ チャネルを通じて調査担当者に提供する必要があります。
リージョンでの保存
コンプライアンスのために、一部の標準または規制では、証拠とサポート インフラストラクチャを同じ Azure リージョンで維持する必要があります。
証拠をアーカイブするストレージ アカウントを含むすべてのソリューション コンポーネントは、調査対象のシステムと同じ Azure リージョンでホストされます。
オペレーショナル エクセレンス
オペレーショナル エクセレンスは、アプリケーションをデプロイし、運用環境で実行し続ける運用プロセスを対象としています。 詳細については、「オペレーショナル エクセレンスのデザイン レビュー チェック一覧」を参照してください。
監視とアラート
Azure では、サブスクリプションとリソースに関連する異常を監視およびアラートするために、すべての顧客にサービスを提供します。 これらのサービスには、次のようなものがあります。
- Microsoft Sentinel。
- Microsoft Defender for Cloud。
- Microsoft Defender for Storage をします。
Note
この記事では、これらのサービスの構成については説明しません。
このシナリオのデプロイ
このシナリオをラボ環境に構築してデプロイするには、のカストディ ラボ展開 手順に従います。
ラボ環境は、この記事で説明するアーキテクチャの簡略化されたバージョンを表します。 同じサブスクリプション内に 2 つのリソース グループをデプロイします。 最初のリソース グループはデジタル証拠を収容する運用環境をシミュレートし、2 つ目のリソース グループは SOC 環境を保持します。
[Azure にデプロイ 選択して、運用環境に SOC リソース グループのみをデプロイします。
Note
ソリューションを運用環境にデプロイする場合は、Automation アカウントのシステム割り当てマネージド ID に次のアクセス許可があることを確認します。
- 処理する VM の運用リソース グループ内の共同作成者。 このロールはスナップショットを作成します。
- BEK を保持する運用キー コンテナー内の Key Vault シークレット ユーザー。 このロールは BEK を読み取ります。
キー コンテナーでファイアウォールが有効になっている場合は、Hybrid Runbook worker VM のパブリック IP アドレスがファイアウォール経由で許可されていることを確認します。
拡張構成
ハイブリッド runbook worker は、オンプレミスまたは異なるクラウド環境にデプロイできます。
このシナリオでは、Copy‑VmDigitalEvidence Runbook をカスタマイズして、さまざまなターゲット環境で証拠のキャプチャを有効にし、それらをストレージにアーカイブする必要があります。
Note
「このシナリオのデプロイ」セクションに記載されている Copy-VmDigitalEvidence Runbook、Azure でのみ開発およびテストされました。 他のプラットフォームにソリューションを拡張するには、それらのプラットフォームで機能するように Runbook をカスタマイズする必要があります。
共同作成者
Microsoft では、この記事を保持しています。 次の共同作成者がこの記事を書きました。
プリンシパルの作成者:
- Fabio Masciotra | 主席コンサルタント
- シモーネ サヴィ | シニア コンサルタント
公開されていない LinkedIn プロフィールを見るには、LinkedIn にサインインしてください。
次のステップ
Azure のデータ保護機能の詳細については、以下を参照してください。
Azure のログと監査の機能の詳細については、以下を参照してください。
- Azure セキュリティのログと監査
- Storage Analytics のログ記録
- Log Analytics ワークスペース、Event Hubs、または Storage に Azure リソース ログを送信する
Microsoft Azure コンプライアンスの詳細については、以下をご覧ください。