Azure リソースロック設定について

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、AWS CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、ミッションクリティカルなAzureリソースにリソースロックが設定されていない場合のリスクと対策を解説します。

ポリシーの説明

リソースマネージャーロックは、管理者がAzureリソースをロックダウンして、リソースの削除や変更を防止する方法を提供します。これらのロックはロールベースのアクセス制御 (RBAC) 階層の外部にあり、適用されると、すべてのユーザーに対してリソースに制限をかけます。これらのロックは、ユーザーが誤って削除または変更すべきではないサブスクリプション内の重要なリソースがある場合に非常に役立ちます。リソースロックには「CanNotDelete（削除不可）」と「ReadOnly（読み取り専用）」の2種類があり、サブスクリプション、リソースグループ、個別リソースのレベルで適用できます。

修復方法

コンソールでの修復手順

Azure コンソールを使用して、ミッションクリティカルなリソースにリソースロックを設定します。

手順1: 保護対象リソースの特定

1. Azure Portalにサインイン
2. 「すべてのリソース」を選択
3. タグまたはリソースグループでフィルタリング
4. 以下の条件でミッションクリティカルリソースを特定：
   • 本番環境のタグが付いたリソース
   • データベース（SQL Database、Cosmos DB）
   • ストレージアカウント（特にバックアップ用）
   • Key Vault
   • Virtual Network、NSG
   • 本番環境のVM、App Service

手順2: リソースグループレベルのロック設定

1. 本番環境のリソースグループを選択
2. 左メニューから「設定」→「ロック」を選択
3. 「追加」をクリック
4. 以下を設定：
   • ロックの種類：「削除」（CanNotDelete）を選択
   • メモ：「本番環境リソースグループ – 削除禁止」
5. 「OK」をクリックして適用

手順3: 個別リソースへのロック設定（データベース）

1. Azure SQL Databaseリソースを選択
2. 左メニューから「設定」→「ロック」を選択
3. 「追加」をクリック
4. 以下を設定：
   • ロック名：「prod-db-critical-lock」
   • ロックの種類：「読み取り専用」（ReadOnly）を選択
   • メモ：「本番データベース – 設定変更禁止」
5. 「OK」をクリック

手順4: ストレージアカウントのロック設定

1. 重要なストレージアカウントを選択
2. 「設定」→「ロック」を選択
3. 「追加」をクリック
4. 以下を設定：
   • ロック名：「backup-storage-protection」
   • ロックの種類：「削除」（CanNotDelete）
   • メモ：「バックアップストレージ – 削除保護」
5. 「OK」をクリック

手順5: Key Vaultのロック設定

1. Key Vaultリソースを選択
2. 「設定」→「ロック」を選択
3. 「追加」をクリック
4. 以下を設定：
   • ロック名：「keyvault-security-lock」
   • ロックの種類：「削除」（CanNotDelete）
   • メモ：「セキュリティキー管理 – 削除禁止」
5. 「OK」をクリック

手順6: ロック設定の確認

1. 各リソースの「ロック」セクションでロックが表示されることを確認
2. リソースグループレベルのロックが配下リソースに継承されていることを確認
3. ロックのテスト（削除操作を試みてエラーが表示されることを確認）

手順7: 権限の確認と管理

1. 「アクセス制御 (IAM)」を確認
2. ロック管理権限を持つユーザーを最小限に制限
3. 「Owner」と「User Access Administrator」ロールの割り当てを慎重に管理

最後に

この記事では、ミッションクリティカルなAzureリソースにリソースロックが設定されていない場合のリスクと対策を解説しました。

リソースロックは、RBACと独立して動作する追加の保護層として、誤削除や不正な変更から重要なリソースを保護します。特に本番環境のデータベース、ストレージ、ネットワークリソースには必須の設定です。Terraformによる自動化と Azure Policy による継続的な監視により、組織全体でセキュアな運用を実現できます。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

CSPMについてはこちらで解説しております。併せてご覧ください。

参考情報

• Azure リソースロックの概要
• Azure Policy を使用したリソース保護
• Terraform azurerm_management_lock リソース