Azureストレージアカウントのテナント間レプリケーションを無効化する設定
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、Azure CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、「テナント間レプリケーション」が有効になっているリスクと対策を解説します。
ポリシーの説明
Azure のクロステナントレプリケーション(Cross-Tenant Replication)は、異なるMicrosoft Entraテナント(旧Azure AD)間でBLOBデータをレプリケートすることを可能にする機能です。この機能はオブジェクトレプリケーション機能の一部として提供され、データ共有と災害復旧において有益ですが、適切に管理されていない場合、深刻なセキュリティリスクを引き起こす可能性があります。
修復方法
前提条件
- ストレージアカウントに対する「所有者」または「ストレージアカウント共同作成者」ロールが必要です
- 既存のクロステナントレプリケーションポリシーがある場合は、先にそれらを削除する必要があります
コンソールでの修復手順
Azure ポータルを使用して、テナント間レプリケーションを無効化します。
既存のストレージアカウントの場合:
- Azure ポータル(https://portal.azure.com)にサインインします
- 「ストレージ アカウント」を検索し、対象のストレージアカウントを選択します
- 左側のメニューから「データ管理」セクションの「オブジェクト レプリケーション」を選択します
- 既存のレプリケーションポリシーがある場合:
- 各ポリシーの右側にある「…」(省略記号)メニューから「削除」を選択します
- すべてのクロステナントポリシーを削除します(ソースとデスティネーションのテナントIDが異なるものが対象)
- 注意: 同一テナント内のレプリケーションポリシーは削除する必要はありません
- 「詳細設定」を選択します
- 「BLOB ストレージ」セクションまでスクロールし、「テナント間レプリケーションを許可する」のチェックボックスを見つけます
- このチェックボックスのチェックを外します(無効化)
- ページ上部の「保存」ボタンをクリックして変更を適用します
重要な注意事項:
- チェックボックスがグレーアウトしている場合は、既存のクロステナントレプリケーションポリシーが存在します。手順4を再度確認し、すべてのポリシーを削除してください
- 変更の反映には数分かかる場合があります
新規ストレージアカウント作成時:
- Azure ポータルで「ストレージ アカウント」→「+ 作成」を選択します
- 「基本」タブで必要な情報を入力します:
- サブスクリプション
- リソースグループ
- ストレージアカウント名
- リージョン
- パフォーマンス
- 冗長性
- 「詳細設定」タブに移動します
- 「BLOB ストレージ」セクションで以下を確認・設定します:
- 「テナント間レプリケーションを許可する」のチェックボックスがオフになっていることを確認
- 推奨: 「BLOB の匿名アクセスを許可する」もオフに設定
- その他のタブ(ネットワーク、データ保護、暗号化、タグ)で必要な設定を行います
- 「確認および作成」をクリックし、設定内容を確認後「作成」をクリックします
最後に
この記事では、Azureストレージアカウントの「テナント間レプリケーション」を無効化する重要性と実装方法について解説しました。この設定により、データの不正な外部流出を防ぎ、コンプライアンス要件を満たし、データガバナンスを強化することができます。
特に、以前に作成されたストレージアカウントをご利用の場合は、早急にこの設定を確認し、必要に応じて無効化することを強く推奨します。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。