大和総研コーポレートIT部の城石賢蔵です。
大和総研ではMicrosoft Azure(以下、Azure) 、AWS、Google Cloud、Oracle Cloud Infrastructureなどのパブリッククラウドを用途に応じて使い分け、さまざまなサービスを提供しています。
今回、「コーポレートデータプラットフォーム(自社で保有するデータを適切に蓄積・加工・分析できるようにするためのデータ活用基盤)」と「DIR ChatGPT(当社独自の社員向けChatGPT環境)」という2つの社内サービスをAzureで構築しました。コーポレートデータプラットフォームの構築においては、Azureで構築したサービスを自社のプライベートネットワークに組み込むことで高いセキュリティレベルを確保しています。一方、「DIR ChatGPT」においては、短期間での迅速なリリースが必要であったため、リリース速度とセキュリティリスクを勘案した実装としています。これらの経験をもとに、「Azureを活用したシステムのセキュリティ対策のポイント」を解説します。
Azureの社内導入を検討されているシステム担当のみなさんのご参考となれば幸いです。
なお大和総研ではAzureをはじめ、AWS、Google Cloud、Oracle Cloud Infrastructureなどのパブリッククラウドの導入に関するご相談を承っております。ぜひご用命ください。
- はじめに
- コーポレートデータプラットフォームの概要とセキュリティ上の特長
- プライベートネットワーク化のメリット
- コーポレートデータプラットフォームのセキュリティ対策 – プライベートネットワークの実現方法
- 当社独自の社員向けChatGPT環境の概要とセキュリティ上の課題
- DIR ChatGPTのこれからのセキュリティ対策
- おわりに
- 関連するソリューション
はじめに
Azureに代表されるパブリッククラウドは不特定多数の利用者が共用するシステム空間であり、企業が保有するデータを格納することにはリスクを伴います。また、企業内ネットワークからパブリッククラウドまでの通信経路や、パブリッククラウド内部の通信経路のどこかでデータが流出してしまうリスクも無視できません。
パブリッククラウドの特性を理解し、適切なセキュリティ対策を施すことが肝要です。
コーポレートデータプラットフォームの概要とセキュリティ上の特長
コーポレートデータプラットフォームは当社が保有する大量のデータをパブリッククラウドに保管し様々な用途に利用するためのものです。主にデータレイク、データ統合、そしてデータ分析の3つの機能を持ちます。
コーポレートデータプラットフォームの構築にあたり、データの中には機密情報も含まれるため、情報漏えいリスクへの対応は必須の要件でした。そこで当社は、企業内ネットワークからAzure内部ネットワークまでを包括するプライベートネットワークを構築し、公衆インターネットからのアクセスを原則禁止としています。
下図はコーポレートデータプラットフォームの全体像です。緑色の部分がプライベートネットワークに組み込んだ範囲です。
| 機能 | 目的 | 利用しているAzureサービス |
|---|---|---|
| データレイク | 各部門が個別に保有するデータを集積し一元管理する | Azure Data Lake Storage Azure Data Factory |
| データ統合 | データレイク上のデータを変換・統合し、分析のために最適化したデータフォーマット(データウェアハウス・データマート)を生成する | Azure Data Factory Azure Synapse Analytics Azure SQL Database |
| データ分析 | データウェアハウス・データマートを現状分析や新価値創出のために利活用する | Azure Synapse Analytics Power BI |
プライベートネットワーク化のメリット
プライベートネットワーク化には不正アクセス防止とデータ流出防止という2つのメリットがあります。
| メリット | 補足 |
|---|---|
| 不正アクセス防止 | 各サービスのグローバルIPアドレスを公開していないため、プライベートネットワークの外部からの不正なアクセスを防止できる |
| データ流出防止 | 通信がプライベートネットワーク内で完結するため、通信経路上でデータが外部に流出することが防止できる |
プライベートネットワークの実現方法を次節で具体的に紹介します。
コーポレートデータプラットフォームのセキュリティ対策 – プライベートネットワークの実現方法
ポイント① サービス提供スタイルに合わせたセキュリティ対策
コーポレートデータプラットフォームで利用しているサービスにはIaaS、PaaS、SaaSという3種類のサービス提供方式があり、それぞれに最適なセキュリティ対策を施してプライベートネットワークに組み込んでいます。サービス提供方式別にセキュリティ対策を解説します。
IaaS(Infrastructure as a Service)
Azure VM(仮想マシンサービス)が該当します。コーポレートデータプラットフォームではAzure VMにアプリケーションをインストールし、ゲートウェイサーバ(セルフホステッド統合ランタイム、オンプレミスデータゲートウェイ)として運用しています。
以下のサービスを利用してセキュアな接続を実現しています。
- Azure ExpressRoute Private Peering
- Azure Virtual Network
Azure ExpressRouteは企業内ネットワークとAzureを専用回線で接続するサービスです。
そしてAzure Virtual NetworkはAzureの共用ネットワーク内にプライベートネットワークを作成するサービスです。Azure Virtual NetworkにはAzure VMを仮想的に配置することができ、プライベートIPアドレスを付与してグローバルIPアドレスを非公開にすることができます。つまり企業内ネットワーク上のサーバやPCのように安全に運用できるようになります。
PaaS(Platform as a Service)
Azure Data Lake Storage、Azure Data Factory、Azure SQL Database、Azure Synapse Analyticsが該当します。これらPaaSはコーポレートデータプラットフォームの中核を成すサービスです。
以下のサービスを利用してセキュアな接続を実現しています。
- Azure ExpressRoute Private Peering
- Azure Virtual Network
- Azure Private Link
これらPaaSはAzureの共用ネットワーク上に配置されるマルチテナント型のサービスです。IaaSのようにAzure Virtual Networkに仮想的に配置することができません。そのため標準設定ではグローバルIPアドレスを通じて接続することになります。
企業内ネットワークとAzureをAzure ExpressRouteで接続しても、肝心のPaaSのグローバルIPアドレスを公開したままにすることはリスクがあると言えます。そこでAzure Private Linkを利用します。これはAzure Virtual Network上にPrivate Endpointを配置することで、各PaaSにプライベートIPアドレスを通じて接続できるようにするサービスです。グローバルIPアドレスの非公開化も合わせて実現できます。つまりクラウドサービスでありながら、企業内ネットワーク上のサーバからサービスを受けるように安全に利用できるようになります。
SaaS(Software as a Service)
Power BI、Azure DevOps Servicesが該当します。
以下のサービスを利用してセキュアな接続を実現しています。
- Azure ExpressRoute Microsoft Peering
IaaSの項でも紹介したAzure ExpressRouteは企業内ネットワークとAzure Virtual Networkとの接続だけでなく、SaaSとの接続にも対応しています。なお次節で紹介する注意点も合わせてご確認ください。
ポイント② 各セキュリティ対策の注意点
各対策の実施にあたり注意したいポイントを本節で紹介します。
Azure ExpressRoute - 接続プロバイダーの選定と回線種類の使い分け
Azure ExpressRouteの提供事業者(接続プロバイダー)は日本国内に複数存在し、データセンターの所在地もそれぞれ異なります。自社のデータセンターの地理的条件を鑑みて適切に選定することが必要です。
また、Azure ExpressRouteにはPrivate PeeringとMicrosoft Peeringという2種類の回線種別があります。
接続先サービスに基づいて適切に使い分ける仕組みを実装する必要があります。
大和総研では社内ネットワーク内に配置したプロキシサーバに、接続先IPアドレスに基づいて回線を振り分けるロジックを実装して対処しています。
| 回線種類 | 接続先サービス |
|---|---|
| private Peering | Azure Virtual Network |
| Microsoft Peering | Microsoft 365 Power Olatform(Power BI) Azure SaaS(Azure DevOps Services) |
出所:Microsoft(日本マイクロソフト社)の公開情報を基に大和総研作成
Azure Virtual Network – アクセス権限とデータの分離のために適切に分割する
Azure Virtual Networkにより作成するプライベートネットワークはセキュリティ境界としても利用できます。
コーポレートデータプラットフォームでは本番環境と検証環境の2つの環境を運用していますが、それぞれに異なるAzure Virtual Networkを割り当ててネットワークレベルで分離しています。
これによりアクセス権限の分離とデータの分離を実現しています。 Azure Virtual Networkを適切に分離すれば、異なる環境間でデータが混入・混在することを防ぐことができます。具体的には、ヒューマンエラーにより本番環境のデータを誤って開発環境に混入させてしまうことなどを未然に防止できます。
Azure Private Link – 接続先サービスのドメインごとにPrivate Endpointの配置が必要
Azure Private Endpointは接続先サービスが使用するドメインごとに配置する必要があります。
一例を挙げると、Azure Synapse Analyticsは複合的な機能を持つサービスであり、かつ機能ごとに異なるドメインを使用することからコーポレートデータプラットフォームでは複数のPrivate Endpointを配置しています。
10以上のPrivate Endpointを必要とするサービスもあります。1つのAzure Private Endpointに対して1つのプライベートIPアドレスを割り当てることになるため、あらかじめ必要十分な範囲のIPアドレス空間を確保してAzure Virtual Networkに割り当てておく必要があります。そうしなければAzure Private Linkが成立しません。またPrivate Endpointには維持費用も発生するため、多数配置する場合にはコスト面でも注意が必要です。
当社独自の社員向けChatGPT環境の概要とセキュリティ上の課題
当社ではChatGPTによる文章生成サービスを提供するAzure OpenAI Serviceと、ユーザインタフェースとなるWebアプリケーションから構成される大和総研独自のChatGPT環境(以下、DIR ChatGPT)を構築し、社内公開しています。社内ニーズに応えるために2ヶ月間(2023年5月~6月)で初期構築を完了させました。
初期構築段階では「サービスの迅速な提供開始」と「セキュリティ対策」の両立という思想のもとプライベートネットワーク化を省略し、主に以下2つの観点で必要なセキュリティ対策を行いサービスの正式開始としました。
- Azureサービスに接続元IPアドレスに基づくアクセス制限を施し、Azureサービスへの不正アクセスを防止する
- ログデータをコーポレートデータプラットフォームに伝送して保管し、ログデータへの不正アクセスを防止する
ただし、初期構築段階においては主に以下の2点についてセキュリティ面での課題を認識しています。
| 課題 | 背景 |
|---|---|
| プライベートネットワーク化が完了していない | サービス開始時点では「一般情報からの文章生成」機能のみを利用し、質問・応答メッセージの本文をログ記録しない方針としていた。そのため、大和総研固有の情報がAzureに残留することはないものと判断した |
| Azureサービスの一部が東日本リージョン以外に配置されており、リージョンをまたぐ通信が発生している | 初期構築時点ではAzure OpenAI Serviceが東日本・西日本リージョンに提供されておらず、関連するAzureサービスを米国東部リージョン上で運用せざるを得なかった |
DIR ChatGPTのこれからのセキュリティ対策
今後、DIR ChatGPTの社内での利用拡大を見据えて、前節で挙げたセキュリティ課題に対し、Azure OpenAI Serviceのプライベートネットワーク化や現在複数リージョンで運用しているサービスの集約などの必要なセキュリティ対策を進めていきます。
| 対策 | 目的 |
|---|---|
| プライベートネットワーク化 | Azure OpenAI Serviceをプライベートネットワークに組み込み、独自データ参照機能(on your data)やファインチューニング機能等に使用する大和総研固有のデータをセキュアに伝送し保管できるようにする |
| 東日本リージョンへのAzureサービス再配置 | Azureサービスを東日本リージョンに集約することで、複数リージョンにまたがる運用に起因するリスクを排除する (Azure OpenAI Serviceの東日本リージョンへの提供が2023年7月に開始されている) |
おわりに
大和総研はこれからもセキュリティ対策技術の調査、検証、導入のサイクルを継続していきます。
(本記事の内容は2023年10月時点のものです)
今回はAzureの事例紹介の第1弾としてセキュリティ対策のポイントをお届けしました。コーポレートデータプラットフォームとDIR ChatGPTについては第2弾、第3弾のブログで詳しく紹介します。どうぞご期待ください。
関連するソリューション
大和総研では、Azure等のパブリッククラウドを活用したChatGPT構築支援サービスを行っています。ITソリューションサービスサイトからお問い合わせください。
ChatGPT利用環境構築サービス|大和総研 (dir.co.jp)
※Microsoft 365、Power Platform、Azureは、米国 Microsoft Corporationの米国およびその他の国における登録商標または商標です。
