AzureストレージアカウントのHTTPS必須化設定
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、AWS CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、Azureストレージアカウントの安全な転送(HTTPS)必須化設定について、リスクと対策を解説します。
ポリシーの説明
Azureストレージアカウントでは、データ転送時にHTTPS(HTTP over TLS/SSL)とHTTPの両方の通信プロトコルを使用できます。しかし、HTTP通信は暗号化されていないため、重大なセキュリティリスクをもたらします。
「安全な転送が必要」(Secure transfer required)設定を有効にすることで、すべてのAPI要求がHTTPS経由で行われることを強制し、転送中のデータの機密性と完全性を保護できます。この設定は、Blob、File、Queue、Tableすべてのストレージサービスに適用されます。
修復方法
コンソールでの修復手順 Azure コンソールを使用して、ストレージアカウントの安全な転送(HTTPS)を必須化します。
- Azureポータルにログイン
- Azure Portalにアクセスし、適切な権限を持つアカウントでログインします
- ストレージアカウントの選択
- 左側のナビゲーションメニューから「ストレージアカウント」を選択
- HTTPS化が必要なストレージアカウント名をクリックして開きます
- 構成設定へ移動
- ストレージアカウントの管理画面で、左側メニューの「設定」セクションから「構成」を選択します
- または「設定」→「構成」→「セキュリティ」タブを選択します
- 安全な転送の有効化
- 「安全な転送が必要」(Secure transfer required)の設定を見つけます
- トグルスイッチを「無効」から「有効」に変更します
- この設定により、以下のプロトコルのみが許可されます:
- HTTPS(ポート443)
- SMB 3.0以降(暗号化付き)
- Azure Files REST API(HTTPS経由)
- 以下は自動的にブロックされます:
- HTTP(ポート80)
- SMB 2.1以前(暗号化なし)
- 設定の保存
- 画面上部の「保存」ボタンをクリックします
- 変更が適用されるまで数秒待ちます
- 保存が完了すると、成功メッセージが表示されます
- 設定の確認
- 設定が正しく適用されたことを確認するため、ストレージアカウントの概要ページに戻ります
- 「プロパティ」セクションで「安全な転送が必要」が「有効」になっていることを確認します
- 「エンドポイント」セクションでHTTPSエンドポイントのみが表示されることを確認します
- 接続テストの実施
- HTTP接続が拒否されることを確認:
# HTTPでの接続テスト(失敗するはず) curl http://<storage-account>.blob.core.windows.net/ # エラー: "The account being accessed does not support http."
- HTTP接続が拒否されることを確認:
最後に
この記事では、Azureストレージアカウントの安全な転送(HTTPS)必須化設定について、実装手順、トラブルシューティング、ベストプラクティスを詳細に解説しました。
HTTPSの必須化により得られるメリット:
- 転送中データの完全な暗号化による機密性の確保
- 中間者攻撃(MITM)からの保護
- データ完全性の保証
- 規制要件(PCI-DSS、HIPAA、GDPR等)への準拠
- 組織のセキュリティポスチャーの向上
HTTPSの必須化は、クラウドセキュリティの基本中の基本であり、すべての組織で例外なく実施すべき設定です。設定変更は簡単ですが、既存システムへの影響を慎重に評価し、段階的に導入することが成功の鍵となります。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。