今日のクラウド環境では、セキュリティが重要です。 サイバー脅威は絶えず進化し、データ、アプリケーション、インフラストラクチャを保護するには、包括的で多層的なアプローチが必要です。 セキュリティはクラウドのジョブ 1 であり、Azureセキュリティに関する正確でタイムリーな情報を見つけることが重要です。
この記事では、Azureで使用できるセキュリティについて包括的に説明します。 保護、検出、応答の機能別に編成されたAzureセキュリティのエンド ツー エンドビューについては、「Azure の
Azureの多層防御のセキュリティ アプローチ
Azureは多層防御戦略を採用し、物理データセンターからコンピューティング、ストレージ、ネットワーク、アプリケーション、ID まで、スタック全体で複数のセキュリティ保護レイヤーを提供します。 この多層アプローチにより、1 つのレイヤーが侵害された場合でも、追加のレイヤーが引き続きリソースを保護できます。
Azureのインフラストラクチャは、物理的な施設からアプリケーションまで、あらゆるものを含め、何百万もの顧客を同時に安全にホストするために、一から細心の注意を払って作られています。 この堅牢な基盤により、企業が確実にそのセキュリティ要件を満たすことができます。 Microsoft がAzure プラットフォーム自体をセキュリティで保護する方法については、「Azure インフラストラクチャのセキュリティを参照してください。 物理データセンターのセキュリティの詳細については、Azure物理セキュリティに関するページを参照してください。
Azureは、オペレーティング システム、プログラミング言語、フレームワーク、ツール、データベース、デバイスの幅広い選択をサポートするパブリック クラウド サービス プラットフォームです。 Docker 統合を使用して Linux コンテナーを実行できます。JavaScript、Python、.NET、PHP、Java、Node.jsを使用してアプリを構築し、iOS、Android、およびWindowsデバイス用のバックエンドを構築します。 パブリック クラウド サービスAzure、何百万人もの開発者と IT プロフェッショナルが既に信頼しているのと同じテクノロジをサポートしています。
組み込みのプラットフォーム セキュリティ
Azureは、デプロイされた時点からリソースを保護するのに役立つ、プラットフォームに組み込まれている既定のセキュリティ保護を提供します。 Azureのプラットフォーム セキュリティ機能に関する包括的な情報については、「Azure プラットフォームのセキュリティの概要を参照してください。
- Network Protection: Azure DDoS Protection は、分散型サービス拒否攻撃からリソースを自動的に保護します。
- Encryption by Default: Azure Storage、SQL Database、およびその他の多くのサービスでは、保存データの暗号化が既定で有効になっています。
- Identity Security: Microsoft Entra IDは、すべてのAzure サービスに対してセキュリティで保護された認証と承認を提供します。
- 脅威検出: 組み込みの脅威検出は、Azure リソース全体の疑わしいアクティビティを監視します。
- コンプライアンス: Azureは業界最大のコンプライアンス ポートフォリオを維持し、規制要件を満たすのに役立ちます。
これらの基本セキュリティ制御は、クラウド インフラストラクチャを保護するためにバックグラウンドで継続的に機能し、基本的な保護に追加の構成は必要ありません。
クラウドにおける共同責任
Azureは堅牢なプラットフォーム セキュリティを提供しますが、クラウドのセキュリティは Microsoft とお客様の間で共同で責任を負います。 責任の分割は、デプロイ モデル (IaaS、PaaS、または SaaS) によって異なります。
- Microsoft の責任: Azureは、物理データセンター、ハードウェア、ネットワーク インフラストラクチャ、ホスト オペレーティング システムなど、基になるインフラストラクチャをセキュリティで保護します。
- お客様の責任: データ、アプリケーション、ID、アクセス管理をセキュリティで保護する責任があります。
ワークロードとアプリケーションはそれぞれ異なり、業界の規制、データの機密性、ビジネス ニーズに基づく固有のセキュリティ要件があります。 ここで、Azureの高度なセキュリティ サービスが役割を果たします。 共有責任モデルの詳細については、「 クラウドでの共同責任」を参照してください。
Note
ここでは、アプリケーションやサービスをカスタマイズしてセキュリティを強化できる顧客向けの制御機能に重点を置いています。
すべてのワークロードの高度なセキュリティ サービス
独自のセキュリティ要件を満たすために、Azureは、特定のニーズに合わせて構成およびカスタマイズできる高度なセキュリティ サービスの包括的なスイートを提供します。 これらのサービスは、運用、アプリケーション、ストレージ、ネットワーク、コンピューティング、ID の 6 つの機能領域に分けられます。 セキュリティ サービスとテクノロジの包括的なカタログについては、「Azure セキュリティ サービスとテクノロジを参照してください。
さらに、Azureには、構成可能なさまざまなセキュリティ オプションと、それらを制御する機能が用意されており、組織の展開の固有の要件を満たすようにセキュリティをカスタマイズできます。 このドキュメントは、Azureセキュリティ機能がこれらの要件を満たすのにどのように役立つかを理解するのに役立ちます。
Azureセキュリティ制御とベースラインの構造化されたビューについては、Azure サービスの包括的なセキュリティ ガイダンスを提供する Microsoft クラウド セキュリティ ベンチマーク を参照してください。 Azureの技術的なセキュリティ機能の詳細については、「Azure セキュリティの技術的な機能を参照してください。
コンピューティング のセキュリティ
仮想マシンとコンピューティング リソースのセキュリティ保護は、Azureでワークロードを保護するための基礎となります。 Azureでは、ハードウェア ベースの保護からソフトウェア ベースの脅威検出まで、複数のコンピューティング セキュリティレイヤーが提供されます。 仮想マシンのセキュリティ情報の詳細については、「Azure Virtual Machines セキュリティの概要を参照してください。
トラステッド起動
Trusted launch は、新しく作成された第 2 世代Azure VM とVirtual Machine Scale Setsの既定値です。 トラステッド起動は、ブート キット、ルートキット、カーネル レベルのマルウェアなど、高度で永続的な攻撃手法から保護します。
信頼できる起動では、次の機能が提供されます。
- セキュア ブート: 署名されたオペレーティング システムとドライバーのみを起動できるようにすることで、マルウェアベースのルートキットとブート キットのインストールから保護します
- vTPM (仮想トラステッド プラットフォーム モジュール): キーと測定用の専用の保護されたコンテナーで、証明とブート整合性の検証を可能にする
- Boot Integrity Monitoring: Microsoft Defender for Cloudによる構成証明を使用して、ブート チェーンの整合性とエラーに関するアラートを確認します
既存の VM とVirtual Machine Scale Setsで信頼された起動を有効にすることができます。
Azure機密コンピューティング
Azureコンフィデンシャル コンピューティングは、データ保護パズルの最終的な欠落部分を提供します。 これにより、データを常に暗号化された状態に保つことができます。保存中、ネットワークを通過中、さらにはメモリに読み込まれて使用中のすべての状態でもデータは暗号化されたままです。 リモート構成証明を可能にすることで、データのロックを解除する前に、デプロイした VM が安全に起動され、正しく構成されていることを暗号で確認することもできます。
オプションの範囲は、既存のアプリケーションの "リフト アンド シフト" シナリオの有効化から、セキュリティ機能の完全な制御までです。 サービスとしてのインフラストラクチャ (IaaS) の場合は、次を使用できます。
- AMD SEV-SNP を搭載した機密仮想マシン: 最大 256 GB の暗号化メモリを備えたハードウェア ベースのメモリ暗号化
- Intel TDX を使用した機密 VM: 強化されたパフォーマンスとセキュリティを提供する Intel Trust Domain Extensions
- NVIDIA H100 GPU を使用した機密 VM: AI/ML ワークロード向けの GPU アクセラレータのコンフィデンシャル コンピューティング
- Intel SGX を使用した機密アプリケーション エンクレーブ: 機密コードとデータに対するアプリケーション レベルの分離
サービスとしてのプラットフォーム (PaaS) の場合、Azureでは、
マルウェア対策とウイルス対策
Azure IaaS を使用すると、Microsoft、Symantec、Trend Micro、McAfee、カスペルスキーなどのセキュリティ ベンダーのマルウェア対策ソフトウェアを使用して、悪意のあるファイル、アドウェア、その他の脅威から仮想マシンを保護できます。 Azure Virtual MachinesのMicrosoft マルウェア対策は、ウイルス、スパイウェア、その他の悪意のあるソフトウェアを特定して削除するのに役立つ保護機能です。 Microsoft マルウェア対策は、既知の悪意のあるソフトウェアまたは不要なソフトウェアが自身をインストールしようとしたり、Azure システムで実行しようとしたりしたときに、構成可能なアラートを提供します。 Microsoft Defender for Cloudを使用して Microsoft マルウェア対策を展開することもできます。
Note
最新の保護については、Microsoft Defender for Endpointとの統合を通じてエンドポイントの検出と応答 (EDR) を含む高度な脅威保護を提供するMicrosoft Defender for Serversを検討してください。
ハードウェア セキュリティ モジュール
キー自体が保護されていなければ、暗号化や認証を適用してもセキュリティは向上しません。 重要なシークレットとキーを Azure Key Vault に格納することで、管理とセキュリティを簡素化できます。 Key Vaultでは、FIPS 140-3 レベル 3 標準に認定されたハードウェア セキュリティ モジュール (HSM) にキーを格納するオプションが提供されます。 SQL Serverの暗号化キーをバックアップ用に格納したり、トランスペアレント データ暗号化に使用したりするために、アプリケーションのキーやシークレットと共にKey Vaultに格納できます。 Microsoft Entra ID は、これらの保護された項目へのアクセス許可とアクセスを管理します。
Azure Key Vault、Managed HSM、Payment HSM などの主要な管理オプションの包括的な情報については、「Azure での
仮想マシンのバックアップ
Azure Backup は、設備投資をゼロにし、運用コストを最小限に抑えながら、アプリケーション データを保護するソリューションです。 アプリケーション エラーによってデータが破損する可能性があり、人的エラーにより、セキュリティの問題につながる可能性のあるバグがアプリケーションに発生する可能性があります。 Azure Backupでは、Windowsと Linux を実行している仮想マシンが保護されます。
Azure Site Recovery
組織のビジネス継続性/ディザスター リカバリー (BCDR) 戦略において重要となるのは、計画済みおよび計画外の停止が発生した場合に企業のワークロードとアプリを継続して実行する方法を見極めることです。 Azure Site Recovery は、プライマリロケーションがダウンした場合にセカンダリロケーションから使用できるように、ワークロードとアプリのレプリケーション、フェールオーバー、復旧を調整するのに役立ちます。
SQL VM TDE
Transparent Data Encryption (TDE) と列レベルの暗号化 (CLE) が SQL Server の暗号化機能です。 この形式の暗号化では、暗号化に使用される暗号化キーを管理して格納する必要があります。
Azure Key Vault (AKV) サービスは、セキュリティで保護された高可用性の場所でこれらのキーのセキュリティと管理を改善するように設計されています。 SQL Server コネクタを使用すると、SQL ServerはAzure Key Vaultからこれらのキーを使用できます。
オンプレミスのマシンでSQL Serverを実行している場合は、手順に従って、オンプレミスのSQL Server インスタンスからAzure Key Vaultにアクセスできます。 Azure VM でSQL Serverする場合は、Azure Key Vault統合機能を使用して時間を節約できます。 いくつかのAzure PowerShellコマンドレットを使用してこの機能を有効にすると、SQL VM がキー コンテナーにアクセスするために必要な構成を自動化できます。
データベース セキュリティのベスト プラクティスの包括的な一覧については、「Azure データベース セキュリティチェックリストを参照してください。
VM ディスクの暗号化
Important
Azure Disk Encryptionは、2028 年 15 月 15 日 に提供終了する予定です。 その日まで、中断することなくAzure Disk Encryptionを引き続き使用できます。 2028 年 9 月 15 日に、ADE 対応ワークロードは引き続き実行されますが、暗号化されたディスクは VM の再起動後にロック解除に失敗し、サービスが中断されます。
新しい VM の ホストで暗号化 を使用します。 サービスの中断を回避するために、すべての ADE 対応 VM (バックアップを含む) を提供終了日より前にホストで暗号化に移行する必要があります。 詳細については、「Azure Disk Encryptionをホストでの暗号化に移行する」を参照してください。
最新の仮想マシン暗号化の場合、Azureは次の機能を提供します。
- ホストでの暗号化: 一時ディスクや OS/データ ディスク キャッシュなど、VM データのエンドツーエンドの暗号化を提供します。
- 機密ディスク暗号化: ハードウェア ベースの暗号化用の機密 VM で使用できます。
- カスタマー マネージド キーを使用したサーバー側の暗号化: Azure Key Vaultまたはマネージド HSM を使用して独自の暗号化キー Azure Key Vault管理します。
詳細については、「マネージド ディスク暗号化オプションの概要を参照してください。
仮想ネットワーク
仮想マシンには、ネットワーク接続が必要です。 この要件をサポートするには、Azure仮想マシンをAzure Virtual Networkに接続する必要があります。 Azure Virtual Networkは、物理Azure ネットワーク ファブリックの上に構築された論理コンストラクトです。 各論理Azure Virtual Networkは、他のすべてのAzure仮想ネットワークから分離されます。 この分離により、デプロイ内のネットワーク トラフィックに他のMicrosoft Azureユーザーがアクセスできないようにすることができます。
パッチ更新
パッチ更新プログラムは、潜在的な問題を見つけて修正するための基礎を提供し、ソフトウェア更新プログラムの管理プロセスを簡素化します。 これにより、企業に展開する必要があるソフトウェア更新プログラムの数が減り、コンプライアンスを監視する能力が向上します。
セキュリティ ポリシーの管理とレポート
Defender for Cloud は、脅威の防御、検出、対応に役立ちます。 Azure リソースのセキュリティの可視性と制御が向上します。 Azure サブスクリプション全体のセキュリティ監視とポリシー管理が統合されています。 Security Center は、見つけにくい脅威の検出を支援すると共に、さまざまなセキュリティ ソリューションをまとめた広範なエコシステムとして機能します。
アプリケーションのセキュリティ
アプリケーションのセキュリティは、開発からデプロイ、ランタイムまで、ライフサイクル全体にわたる脅威からアプリケーションを保護することに重点を置いています。 Azureは、アプリケーションの開発、テスト、保護をセキュリティで保護するための包括的なツールを提供します。 セキュリティで保護されたアプリケーション開発ガイダンスについては、 Azure 上のセキュリティで保護されたアプリケーションの開発に関するトピックを参照してください。 PaaS 固有のセキュリティのベスト プラクティスについては、 PaaS デプロイのセキュリティ保護に関するページを参照してください。 IaaS デプロイのセキュリティについては、 Azure での IaaS ワークロードのセキュリティに関するベスト プラクティスを参照してください。
侵入テスト
Microsoft では、アプリケーションの 侵入テスト は実行しませんが、ユーザーが望み、独自のアプリケーションでテストを実行する必要があることを理解しています。 ペン テスト アクティビティについて Microsoft に通知する必要はなくなりましたが、引き続き Microsoft クラウド侵入テストの契約規則に従う必要があります。
Web アプリケーション ファイアウォール
Azure App Serviceでの認証と承認
App Service の認証と承認は、アプリのバックエンドでコードを変更する必要がないように、アプリケーションでユーザーをサインインさせる方法を提供する機能です。 これにより、アプリケーションの保護が容易になり、またユーザーごとのデータにも対応できるようになります。
階層型セキュリティ アーキテクチャ
App Service EnvironmentはAzure Virtual Networkにデプロイされた分離されたランタイム環境を提供するため、開発者はアプリケーション層ごとに異なるレベルのネットワーク アクセスを提供する階層化されたセキュリティ アーキテクチャを作成できます。 API バックエンドはインターネットから一般にアクセスできないようにし、アップストリームの Web アプリにのみ API の呼び出しを許可するのが一般的です。 App Service Environment を含むAzure Virtual Networkサブネットで Network セキュリティ グループ (NSG) を使用して、API アプリケーションへのパブリック アクセスを制限できます。
App Service Web Apps には、Web サーバーと Web アプリケーションの両方からログを取得するための堅牢な診断機能が用意されています。 これらの診断は、Web サーバー診断とアプリケーション診断に分けられます。 Web サーバー診断には、サイトとアプリケーションの診断とトラブルシューティングを行うための大きな進歩が含まれています。
1 つ目の新機能は、アプリケーション プール、ワーカー プロセス、サイト、アプリケーション ドメイン、および実行中の要求に関するリアルタイムの状態情報です。 2 つ目の新機能は、要求と応答のプロセス全体で要求を追跡する詳細なトレース イベントです。
これらのトレース イベントの収集を有効にするには、特定の要求の XML 形式で包括的なトレース ログを自動的にキャプチャするように IIS 7 を構成できます。 経過時間またはエラー応答コードに基づいて収集を行うことができます。
ストレージのセキュリティ
ストレージ セキュリティは、保存データと転送中のデータを保護するために不可欠です。 Azureでは、データのセキュリティを確保するために、複数のレイヤーの暗号化、アクセス制御、監視機能が提供されます。 データ暗号化の詳細については、「Azure 暗号化の概要を参照してください。 主要な管理オプションについては、「Azure での
Azureロールベースのアクセス制御 (Azure RBAC)
Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、ストレージ アカウントをセキュリティで保護できます。 データ アクセスにセキュリティ ポリシーを適用するには、知 る必要性 と 最小限の特権 のセキュリティ原則に基づいてアクセスを制限します。 特定のスコープのグループとアプリケーションに適切なAzure ロールを割り当てることで、これらのアクセス権を付与します。 ストレージ アカウント共同作成者などのAzure組み込みロールを使用して、ユーザーに特権を割り当てます。 Azure RBAC を使用して Azure Resource Manager モデルを使用して、ストレージ アカウントのストレージ キーへのアクセスを制御できます。
共有アクセス署名
shared access signature (SAS) を使用すると、ストレージ アカウント内のリソースへの委任アクセスが可能になります。 SAS を使用すると、ストレージ アカウント内のオブジェクトに対する制限付きアクセス許可を、指定された一連のアクセス許可を使用して、クライアントに付与できます。 アカウント アクセス キーを共有することなく、これらの制限付きアクセス許可を付与します。
転送中の暗号化
転送中の暗号化は、ネットワーク間でデータを転送するときにデータを保護するメカニズムです。 Azure Storageを使用すると、次を使用してデータをセキュリティで保護できます。
Transport レベルの暗号化 (Azure Storageにデータを転送するときに HTTPS など)。
ワイヤー暗号化、たとえばAzure ファイル共有のためのSMB 3.0 暗号化など。
クライアント側の暗号化。データをストレージへの転送の前に暗号化したり、データをストレージからの転送の後に解読したりするため。
保存時の暗号化
多くの組織にとって、データ プライバシー、コンプライアンス、データ主権を確保する上で保存時のデータの暗号化は欠かせません。 3 つのAzureストレージ セキュリティ機能により、保存データの暗号化が提供されます。
Storage Service Encryption はAzure Storageに書き込むときにデータを自動的に暗号化します。
クライアント側の暗号化 では、保存時の暗号化機能も提供されます。
ストレージ分析
Azure Storage Analytics はログ記録を実行し、ストレージ アカウントのメトリック データを提供します。 このデータを使用して、要求のトレース、使用状況の傾向の分析、ストレージ アカウントに関する問題の診断を行うことができます。 Storage Analyticsは、ストレージ サービスに対する成功した要求と失敗した要求に関する詳細情報をログに記録します。 この情報を使用して、個々の要求を監視し、ストレージ サービスに関する問題を診断できます。 要求は、ベスト エフォートでログに記録されます。 次のタイプの認証済み要求が記録されます。
- 成功したリクエスト。
- 失敗した要求 (タイムアウト、帯域幅調整、ネットワーク、承認などに関する各種エラー)
- Shared Access Signature (SAS) を使用した要求 (失敗した要求と成功した要求を含む)
- データの分析要求
CORS を使用したブラウザー ベースのクライアントの有効化
クロスオリジン リソース共有 (CORS) は、ドメインが互いのリソースにアクセスするためのアクセス許可を互いに付与できるようにするメカニズムです。 ユーザー エージェントは、特定のドメインから読み込まれた JavaScript コードが別のドメインにあるリソースへのアクセスを許可されるように、追加のヘッダーを送信します。 次に、後者のドメインが元のドメイン リソースへのアクセスを許可または拒否する追加のヘッダーを使用して応答します。
Azureストレージ サービスで CORS がサポートされるようになりました。 サービスの CORS 規則を設定すると、別のドメインからサービスに対して行われた適切に認証された要求が評価され、指定した規則に従って許可されているかどうかを判断します。
ネットワークのセキュリティ
ネットワーク セキュリティは、Azure リソースとの間のトラフィックフローを制御します。 Azureは、基本的なファイアウォールから高度な脅威保護、グローバル負荷分散まで、包括的なネットワーク セキュリティ サービスのセットを提供します。 包括的なネットワーク セキュリティ情報については、「Azure ネットワーク セキュリティの概要を参照してください。 ネットワーク セキュリティのベスト プラクティスについては、「Azure ネットワーク セキュリティのベスト プラクティスを参照してください。
ネットワークレイヤーコントロール
ネットワーク アクセス制御は、特定のデバイスまたはサブネットとの間の接続を制限する機能で、ネットワーク セキュリティの中核をなすものです。 ネットワーク アクセス制御の目的は、承認したユーザーとデバイスのみが仮想マシンとサービスにアクセスできるようにすることです。
ネットワーク セキュリティ グループ
ネットワーク セキュリティ グループ (NSG) は、基本的なステートフル パケット フィルタリング ファイアウォールです。 これにより、5 タプルに基づいてアクセスを制御できます。 NSG はアプリケーション層における検査も、認証済みアクセス制御も提供しません。 これらを使用して、Azure Virtual Network内のサブネット間のトラフィックと、Azure Virtual Networkとインターネット間のトラフィックを制御できます。
Azure Firewall
Azure Firewall は、クラウドネイティブでインテリジェントなネットワーク ファイアウォール セキュリティ サービスであり、Azureで実行されているクラウド ワークロードに脅威を保護します。 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。 これは、東西と北南の両方のトラフィック検査を提供します。
Azure Firewallは、Basic、Standard、Premium の 3 つの SKU で提供されます。
- Azure Firewall Basic - 中小企業向けに設計されており、手頃な価格で不可欠な保護を提供します。
- Azure Firewall Standard - Microsoft Cyber Security からの L3-L7 フィルター処理、脅威インテリジェンス フィードを提供し、30 Gbps にスケーリングできます。
-
Azure Firewall Premium - 高度に機密性の高い規制された環境に対する高度な脅威の防止
- TLS 検査: 送信トラフィックを復号化し、脅威に対して処理した後、送信先に送信する前に再暗号化します。
- IDPS (侵入検出および防止システム): 50 を超えるカテゴリで 67,000 を超える署名を持つ署名ベースの IDPS。毎日 20 ~ 40 以上の新しいルールで更新されています。
- URL フィルタリング: FQDN フィルター処理を拡張して、URL パス全体を考慮します。
- 高度な Web カテゴリ: HTTP トラフィックと HTTPS トラフィックの両方の完全な URL に基づく拡張分類。
- パフォーマンスの向上: 10 Gbps の脂肪フローのサポートにより、最大 100 Gbps にスケールアップできます。
- PCI DSS コンプライアンス: 支払いカードの業界標準の要件を満たしています。
Azure Firewall Premium は、ランサムウェアが暗号化キーを取得するために使用する指揮・制御 (C&C) 接続を検出してブロックできるため、ランサムウェアから保護するために不可欠です。 Azure Firewall を使用したランサムウェア保護の詳細をご覧ください。
Azure DDoS Protection (Azure 分散型サービス妨害(DDoS)保護)
Azure DDoS Protection は、アプリケーション設計のベスト プラクティスと組み合わせて、DDoS 攻撃から防御するための強化された機能を提供します。 仮想ネットワーク内の特定のAzure リソースを保護するように自動的に調整されます。 新規または既存のすべての仮想ネットワークで保護を簡単に有効にでき、アプリケーションやリソースを変更する必要はありません。
Azure DDoS Protection には、DDoS ネットワーク保護と DDoS IP 保護の 2 つのレベルがあります。
DDoS ネットワーク保護 - 分散型サービス拒否 (DDoS) 攻撃から防御するための強化された機能を提供します。 ネットワーク レイヤー 3 と 4 で動作し、DDoS 迅速な応答サポート、コスト保護、Web Application Firewall (WAF) の割引などの高度な機能が含まれています。
DDoS IP 保護 - 保護ごとの支払い IP モデルに従います。 これには DDoS ネットワーク保護と同じコア エンジニアリング機能が含まれていますが、DDoS の迅速な対応サポート、コスト保護、WAF 割引などの追加サービスは提供されません。
ルート制御と強制トンネリング
Azure仮想ネットワークでのルーティング動作を制御する機能は、重要なネットワーク セキュリティとアクセス制御機能です。 たとえば、Azure Virtual Networkとの間のすべてのトラフィックがその仮想セキュリティ アプライアンスを通過することを確認する場合は、ルーティング動作を制御およびカスタマイズできる必要があります。 この制御とカスタマイズを行うには、Azureで User-Defined ルートを構成します。
User-Defined ルート を使用すると、可能な限り安全なルートを確保するために、個々の仮想マシンまたはサブネットとの間で送受信されるトラフィックの受信パスと送信パスをカスタマイズできます。 強制トンネリング は、サービスがインターネット上のデバイスへの接続を開始できないようにするために使用できるメカニズムです。
この制限は、受信接続を受け入れて応答できることとは異なります。 フロントエンド Web サーバーは、インターネット ホストからの要求に応答する必要があります。 そのため、インターネットソースのトラフィックは、これらの Web サーバーへの受信が許可され、Web サーバーは応答できます。
一般に、強制トンネリングを使用して、インターネットへの送信トラフィックを強制的にオンプレミスのセキュリティ プロキシとファイアウォールを通過させます。
仮想ネットワークのセキュリティ アプライアンス
ネットワーク セキュリティ グループ、User-Defined ルート、強制トンネリングにより、 OSI モデルのネットワーク層とトランスポート層のセキュリティ レベルが提供されますが、スタックの上位レベルでセキュリティを有効にしたい場合があります。 これらの強化されたネットワーク セキュリティ機能には、Azure パートナーのネットワーク セキュリティ アプライアンス ソリューションを使用してアクセスできます。 Azure Marketplaceにアクセスし、securityとnetwork securityを検索することで、最新のAzureパートナー ネットワーク セキュリティ ソリューションを見つけることができます。
Azure Virtual Network
Azure仮想ネットワーク (VNet) は、クラウド内の独自のネットワークを表したものです。 これは、サブスクリプション専用のAzure ネットワーク ファブリックの論理的な分離です。 このネットワークでは、IP アドレス ブロック、DNS 設定、セキュリティ ポリシー、およびルート テーブルを完全に制御できます。 VNet をサブネットにセグメント化し、Azure IaaS 仮想マシン (VM) Azure仮想ネットワークに配置できます。
さらに、Azureで使用可能な 接続オプションのいずれかを使用して、仮想ネットワークをオンプレミス ネットワークに接続できます。 基本的には、エンタープライズ 規模のAzureが提供する利点を利用して、IP アドレス ブロックを完全に制御することで、ネットワークをAzureに拡張できます。
Azure ネットワークは、セキュリティで保護されたさまざまなリモート アクセス シナリオをサポートします。 次のようなシナリオが含まれます。
個々のワークステーションを Azure Virtual Network
Azure Virtual Network Manager
Azure Virtual Network Manager は、大規模な仮想ネットワークを管理およびセキュリティで保護するための一元化されたソリューションを提供します。 セキュリティ管理者ルールを使用して、組織全体にセキュリティ ポリシーを一元的に定義して適用します。 セキュリティ管理者ルールは、ネットワーク セキュリティ グループ (NSG) 規則よりも優先され、仮想ネットワークに適用されます。 この優先順位により、組織はセキュリティ管理者ルールを使用してコア ポリシーを適用しながら、ダウンストリーム チームはサブネットと NIC レベルでの特定のニーズに応じて NSG を調整できます。
組織のニーズに応じて、[ 許可]、[ 拒否]、または [常に許可 ] ルールのアクションを使用して、セキュリティ ポリシーを適用します。
| ルール アクション | Description |
|---|---|
| 許可 | 指定されたトラフィックを既定で許可します。 ダウンストリーム NSG は引き続きこのトラフィックを受信します。拒否する可能性もあります。 |
| 常に許可 | 他のルールの優先順位が低いかや NSG があるかどうかに関係なく、指定されたトラフィックを常に許可します。 監視エージェント、ドメイン コントローラー、または管理トラフィックがブロックされないようにするには、この規則を使用します。 |
| 打ち消す | 指定されたトラフィックをブロックします。 ダウンストリーム NSG は、セキュリティ管理者ルールによって拒否された後にこのトラフィックを評価しないため、既存および新しい仮想ネットワークの危険度の高いポートが既定で保護されます。 |
Azure Virtual Network Managerでは、network グループを使用すると、セキュリティ ポリシーの一元管理と適用のために仮想ネットワークをグループ化できます。 ネットワーク グループは、トポロジとセキュリティの観点からのニーズに基づいた仮想ネットワークの論理的グループ化です。 ネットワーク グループの仮想ネットワーク メンバーシップを手動で更新するか
Azure Private Link
Azure Private Link を使用すると、Azure PaaS サービス (例えば、Azure Storage や SQL Database など) に専用のエンドポイントを介してアクセスし、仮想ネットワーク内でお客様所有のサービスまたはパートナーのサービスをプライベートに利用できます。 Azure Private Linkを使用したセットアップと使用は、Azure PaaS、顧客所有、共有パートナー サービス間で一貫しています。 仮想ネットワークからAzure サービスへのトラフィックは、常にMicrosoft Azureバックボーン ネットワークに残ります。
private エンドポイントを使用すると、重要なAzure サービス リソースを仮想ネットワークのみにセキュリティで保護できます。 Azureプライベート エンドポイントは、仮想ネットワークからのプライベート IP アドレスを使用して、Azure Private Linkを利用するサービスにプライベートかつ安全に接続し、サービスを仮想ネットワークに効果的に取り込みます。 Azureでサービスを使用するために、仮想ネットワークをパブリック インターネットに公開する必要がなくなりました。
仮想ネットワークに独自のプライベート リンク サービスを作成することもできます。 Azure Private Link service は、Azure Private Linkを利用する独自のサービスへの参照です。 Azure Standard Load Balancerの背後で実行されているサービスは、Private Linkアクセスを有効にして、サービスのコンシューマーが独自の仮想ネットワークからプライベートにアクセスできるようにすることができます。 顧客は、自分の仮想ネットワーク内にプライベート エンドポイントを作成し、それをこのサービスにマッピングすることができます。 Azureでサービスをレンダリングするために、サービスをパブリック インターネットに公開する必要がなくなりました。
VPNゲートウェイ
Azure Virtual Networkとオンプレミス サイトの間でネットワーク トラフィックを送信するには、Azure Virtual Networkの VPN ゲートウェイを作成する必要があります。 VPN ゲートウェイは、パブリック接続を介して暗号化されたトラフィックを送信する仮想ネットワーク ゲートウェイの一種です。 VPN ゲートウェイを使用して、Azure ネットワーク ファブリック経由でAzure仮想ネットワーク間でトラフィックを送信することもできます。
ExpressRoute
Microsoft Azure ExpressRoute は、接続プロバイダーによって容易になる専用のプライベート接続を介して、オンプレミス ネットワークを Microsoft クラウドに拡張できる専用 WAN リンクです。
ExpressRoute を使用すると、Microsoft AzureやMicrosoft 365などの Microsoft クラウド サービスへの接続を確立できます。 接続には、任意の環境間 (IP VPN) 接続、ポイントツーポイントのイーサネット接続、共有施設での接続プロバイダーによる仮想交差接続があります。
ExpressRoute 接続はパブリック インターネット経由ではなく、VPN ベースのソリューションよりも安全です。 この設計により、ExpressRoute 接続は、インターネット経由の一般的な接続よりも信頼性、高速、待機時間の短縮、および高いセキュリティを提供できます。
アプリケーションゲートウェイ
Microsoft Azure Application Gateway は、サービスとしての Application Delivery Controller (ADC) を提供し、アプリケーションのさまざまなレイヤー 7 負荷分散機能を提供します。
これにより、CPU を集中的に使用する TLS 終端を Application Gateway ( TLS オフロード または TLS ブリッジングとも呼ばれます) にオフロードすることで、Web ファームの生産性を最適化できます。 また、着信トラフィックのラウンド ロビン分散、Cookie ベースのセッション アフィニティ、URL パス ベースのルーティング、単一の Application Gateway の背後で複数の Web サイトをホストする機能など、その他のレイヤー 7 ルーティング機能も用意されています。 Azure Application Gatewayはレイヤー 7 ロード バランサーです。
クラウドでもオンプレミスでも、異なるサーバー間のフェールオーバーと HTTP 要求のパフォーマンス ルーティングを提供します。
アプリケーションには、HTTP 負荷分散、Cookie ベースのセッション アフィニティ、 TLS オフロード、カスタム正常性プローブ、マルチサイトのサポートなど、多くの Application Delivery Controller (ADC) 機能が用意されています。
Web アプリケーション ファイアウォール
Web Application Firewallは、標準の Application Delivery Control (ADC) 機能にアプリケーション ゲートウェイを使用する Web アプリケーションを保護する Azure Application Gateway の機能です。 Web アプリケーション ファイアウォールは、OWASP の上位 10 件の一般的な Web 脆弱性のほとんどから保護します。
SQL インジェクションからの保護
コマンド インジェクション、HTTP 要求の密輸、HTTP 応答の分割、リモート ファイルのインクルードなど、一般的な Web 攻撃に対する保護
HTTP プロトコル違反に対する保護
HTTP プロトコルの異常、例えば、ホストヘッダー、ユーザー エージェントヘッダー、および Accept ヘッダーの欠落に対する保護
ボット、クローラー、スキャナーの防止
一般的なアプリケーションの構成ミスの検出 (Apache、IIS など)
一元化された Web アプリケーション ファイアウォール (WAF) により、セキュリティ管理が簡素化され、Web 攻撃に対する保護が強化されます。 侵入の脅威に対する保証が向上し、個々の Web アプリケーションをセキュリティで保護するのではなく、既知の脆弱性に一元的にパッチを適用することで、セキュリティの脅威に迅速に対応できます。 既存のアプリケーション ゲートウェイを簡単にアップグレードして、Web アプリケーション ファイアウォールを含めることができます。
Azure Front Door
Azure Front Door は、Microsoft のグローバル エッジ ネットワークを使用して、高速でセキュリティで保護された、広くスケーラブルな Web アプリケーションを作成する、グローバルでスケーラブルなエントリ ポイントです。 Front Door には次の機能があります。
- グローバル負荷分散: 異なるリージョンの複数のバックエンドにトラフィックを分散する
- Integrated Web Application Firewall: 一般的な Web の脆弱性と攻撃から保護する
- DDoS 保護: 分散型サービス拒否攻撃に対する組み込みの保護
- SSL/TLS オフロード: 一元化された証明書管理とトラフィック暗号化
- URL ベースのルーティング: URL パターンに基づいて異なるバックエンドにトラフィックをルーティングする
Front Door は、コンテンツ配信、アプリケーション高速化、セキュリティを 1 つのサービスに統合します。
Traffic Manager
Microsoft Azure Traffic Manager を使用すると、異なるデータセンター内のサービス エンドポイントのユーザー トラフィックの分散を制御できます。 Traffic Manager がサポートするサービス エンドポイントには、AZURE VM、Web Apps、クラウド サービスが含まれます。 外部のAzure以外のエンドポイントで Traffic Manager を使用することもできます。
Traffic Manager では、ドメイン ネーム システム (DNS) を使用して、 トラフィック ルーティング方法 とエンドポイントの正常性に基づいて、クライアント要求を最も適切なエンドポイントに転送します。 Traffic Manager には、さまざまなアプリケーションニーズ、エンドポイントの正常性 監視、自動フェールオーバーに適したさまざまなトラフィック ルーティング方法が用意されています。 Traffic Manager は、Azure リージョン全体の障害など、障害に対する回復性があります。
Azure ロードバランサー
Azure Load Balancer は、高可用性とネットワーク パフォーマンスをアプリケーションに提供します。 これは、負荷分散セットで定義されているサービスの正常なインスタンス間で着信トラフィックを分散する、レイヤー 4 (TCP、UDP) ロード バランサーです。 Azure Load Balancerは次のように構成できます。
仮想マシンへの着信インターネット トラフィックを負荷分散します。 この構成は、パブリック負荷分散と呼ばれます。
仮想ネットワーク内の仮想マシン間、クラウド サービス内の仮想マシン間、クロスプレミスの仮想ネットワーク内のオンプレミスのコンピューターと仮想マシン間で、トラフィックを負荷分散します。 この構成は、 内部負荷分散と呼ばれます。
外部トラフィックを特定の仮想マシンに転送します。
内部 DNS
VNet で使用される DNS サーバーの一覧は、Azure ポータルまたはネットワーク構成ファイルで管理できます。 各 VNet に対して最大 12 台の DNS サーバーを追加できます。 DNS サーバーを指定する場合は、環境に合わせて正しい順序で DNS サーバーを一覧表示することを確認します。 DNS サーバーの一覧はラウンド ロビンに対応していません。 これらは、指定した順序で使用されます。 一覧の最初の DNS サーバーに到達できる場合、クライアントは DNS サーバーが正常に機能しているかどうかに関係なく、その DNS サーバーを使用します。 仮想ネットワークの DNS サーバーの順序を変更するには、一覧から DNS サーバーを削除し、必要な順序で再度追加します。 DNS では、セキュリティの 3 つの柱、"CIA" (機密性、整合性、可用性) の中の可用性がサポートされています。
Azure DNS
ドメイン ネーム システム (DNS) は、Web サイトまたはサービスの名前をその IP アドレスに変換する (または解決する) 役割を担います。 Azure DNS は DNS ドメインのホスティング サービスであり、Microsoft Azure インフラストラクチャを使用して名前解決を提供します。 Azureでドメインをホストすることで、他のAzure サービスと同じ資格情報、API、ツール、課金を使用して DNS レコードを管理できます。 DNS では、"CIA" セキュリティ トライアドの可用性の側面がサポートされています。
Azure Monitor が NSG をログに記録する
NSG に対して、以下の診断ログ カテゴリを有効にできます。
イベント: MAC アドレスに基づいた、VM とインスタンス ロールに適用される NSG ルールに関するエントリが含まれます。 これらのルールの状態は 60 秒ごとに収集されます。
ルール カウンター: トラフィックを許可または拒否するために各 NSG ルールが適用された回数に関するエントリが含まれます。
Microsoft Defender for Cloud
Microsoft Defender for Cloud は、ネットワーク セキュリティのベスト プラクティスのために、Azure リソースのセキュリティ状態を継続的に分析します。 Defender for Cloud は、潜在的なセキュリティの脆弱性を特定すると、リソースを強化および保護するために必要なコントロールを構成するプロセスをガイドする 推奨事項 を作成します。
アドバンスト コンテナー ネットワーク サービス (ACNS)
Advanced Container Networking Services (ACNS) は、Azure Kubernetes Service (AKS) クラスターの運用効率を高めるために設計された包括的なスイートです。 高度なセキュリティと監視機能が提供され、マイクロサービスのインフラストラクチャを大規模に管理する場合の複雑さに対処できます。
これらの機能は、次の 2 つの主要な柱に分かれています。
Security: Cilium を使用Azure CNI を使用するクラスターの場合、ネットワーク ポリシーには、構成の複雑さを解決するための完全修飾ドメイン名 (FQDN) フィルター処理が含まれます。
可観測性: Advanced Container Networking Services スイートのこの機能により、Hubble のコントロール プレーンの機能が Cilium と非 Cilium Linux の両方のデータ プレーンにもたらされ、ネットワークとパフォーマンスの可視性が向上します。
セキュリティの運用と管理
強力なセキュリティ体制を維持するには、Azure環境のセキュリティの管理と監視が不可欠です。 Azureには、セキュリティ運用、脅威検出、インシデント対応のための包括的なツールが用意されています。 セキュリティ管理と監視の詳細については、「Azureセキュリティ管理と監視の概要を参照してください。 運用セキュリティのベスト プラクティスについては、「Azure運用セキュリティのベスト プラクティスを参照してください。 包括的な運用セキュリティの概要については、「Azure運用セキュリティの概要を参照してください。
Microsoft Sentinel
Microsoft Sentinel は、スケーラブルなクラウドネイティブのセキュリティ情報およびイベント管理 (SIEM) およびセキュリティ オーケストレーション、自動化、応答 (SOAR) ソリューションです。 Microsoft Sentinelは、インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に提供し、攻撃検出、脅威の可視性、プロアクティブハンティング、脅威対応のための単一のソリューションを提供します。
Microsoft Sentinelは、すべての顧客のMicrosoft Defender ポータルで利用できるようになりました。これにより、ワークフローを合理化し、可視性を向上させる統一されたセキュリティ運用エクスペリエンスが提供されます。 Security Copilot との統合により、アナリストは自然言語を使用してMicrosoft Sentinel データを操作し、ハンティング クエリを生成し、調査を自動化して脅威への迅速な対応を実現できます。
Microsoft Defender for Cloud
Microsoft Defender for Cloud は、Azure リソースのセキュリティの可視性と制御を強化することで、脅威の防止、検出、対応に役立ちます。 Microsoft Defender for Cloudは、Azure サブスクリプション全体で統合されたセキュリティ監視とポリシー管理を提供し、気付かない可能性のある脅威を検出し、セキュリティ ソリューションの広範なエコシステムと連携するのに役立ちます。
Microsoft Defender for Cloudは、次のようなワークロード固有のプランで包括的な保護を提供します。
- Defender for Servers - Windows および Linux サーバーの高度な脅威保護
- Defender for Containers - コンテナー化されたアプリケーションと Kubernetes のセキュリティ
- Defender for Storage - マルウェア スキャンと機密データ検出による脅威検出
- Defender for Databases - Azure SQL、Azure Database for MySQL、PostgreSQL の保護
- Defender for Foundry Tools - 脱獄の試行、データの公開、疑わしいアクセス パターンに対する Foundry Tools のランタイム保護
- Defender CSPM - 攻撃パス分析、セキュリティ ガバナンス、AI セキュリティ体制管理を使用したクラウド セキュリティ体制管理
さらに、Defender for Cloud は、すぐに対処できるアラートと推奨事項を表示する 1 つのダッシュボードを提供することで、セキュリティ運用に役立ちます。 セキュリティ Copilot統合により、AI によって生成された概要、修復スクリプト、および委任機能が提供され、リスクの修復が高速化されます。
Azure全体にわたる包括的な脅威検出機能については、Azure脅威の防止を参照してください。
VM ディスクの暗号化
既定では、 ホストでの暗号化 は IaaS 仮想マシン ディスクの暗号化に役立ちます。 これは、FIPS 140-2 に準拠している AES 256 暗号化を使用して、VM ホスト レベルでサーバー側の暗号化を提供します。 この暗号化は、VM CPU リソースを消費することなく行われ、一時ディスク、OS/データ ディスク キャッシュ、およびAzure Storageへのデータ フローに対するエンドツーエンドの暗号化が提供されます。 既定では、プラットフォームマネージド キーが使用され、追加の構成は必要ありません。 必要に応じて、独自のディスク暗号化キーを制御および管理する必要がある場合に、Azure Key Vaultまたは Azure Key Vault Managed HSM に格納されたカスタマー マネージド キーを使用してソリューションを構成できます。 このソリューションにより、仮想マシン ディスク上のすべてのデータが、Azure ストレージ内の保存時に暗号化されます。 キー管理オプションの詳細については、「Azure での
Azure Resource Manager
Azure Resource Manager を使用すると、ソリューション内のリソースをグループとして操作できます。 ソリューションのこれらすべてのリソースを、1 回の連携した操作でデプロイ、更新、または削除できます。 デプロイには Azure Resource Manager テンプレート を使用します。そのテンプレートは、テスト、ステージング、運用などのさまざまな環境で機能します。 Resource Managerは、デプロイ後にリソースを管理するのに役立つセキュリティ、監査、タグ付けの機能を提供します。
Azure Resource Managerテンプレート ベースのデプロイは、標準のセキュリティ制御設定を標準化されたテンプレート ベースのデプロイに統合できるため、Azureにデプロイされたソリューションのセキュリティを向上するのに役立ちます。 テンプレートを使えば、手動によるデプロイ時に発生する可能性のあるセキュリティ構成エラーのリスクが減ります。
Application Insights
Application Insights は、Web 開発者向けに設計された柔軟な Application Performance Management (APM) サービスです。 これを使えば、ライブ Web アプリケーションを監視し、パフォーマンス上の問題を自動的に検出することができます。 強力な分析ツールを使用すると、問題を診断し、アプリとのユーザー操作に関する分析情報を得ることができます。 Application Insights は、開発からテスト、運用までアプリケーションを継続的に監視します。
Application Insights が生成する洞察に満ちたグラフや表を使えば、ユーザー アクティビティのピーク時、アプリの応答性、依存している外部サービスのパフォーマンスなどを明らかにできます。
クラッシュやエラー、パフォーマンス上の問題などが発生した場合は、データを詳しく調べて原因を診断できます。 アプリの可用性とパフォーマンスに変更がある場合は、サービスから電子メールが送信されます。 Application Insights は、機密性、整合性、および可用性というセキュリティの 3 本柱の中の可用性に役立つ、貴重なセキュリティ ツールとなります。
Azure Monitor
Azure Monitor では、Azure サブスクリプション (Activity Log) と個々の Azure リソース (Resource Logs) のデータの視覚化、クエリ、ルーティング、アラート、自動スケーリング、自動化が提供されます。 Azure Monitorを使用すると、Azure ログで生成されるセキュリティ関連のイベントに関するアラートを生成できます。
Azure Monitor ログ
Azure Monitor ログ は、Azureリソースに加えて、オンプレミスとサードパーティの両方のクラウドベースインフラストラクチャ (アマゾン ウェブ サービスなど) 向けの IT 管理ソリューションを提供します。 Azure MonitorからのデータをAzure Monitorログに直接ルーティングできるため、環境全体のメトリックとログを 1 か所で確認できます。
Azure Monitorログは、フォレンジックやその他のセキュリティ分析に役立つツールです。このツールを使用すると、柔軟なクエリ アプローチで大量のセキュリティ関連エントリをすばやく検索できます。 さらに、オンプレミスの
Azure Advisor
Azure Advisor は、Azureデプロイを最適化するのに役立つ、パーソナライズされたクラウド コンサルタントです。 リソースの構成と使用量データを分析できます。 次に、リソースのパフォーマンス、セキュリティ、および信頼性を向上させるソリューションを推奨し、全体的なAzure支出を抑制する機会を探します。 Azure Advisorにはセキュリティに関する推奨事項が用意されており、Azureにデプロイするソリューションの全体的なセキュリティ体制を大幅に向上させることができます。 これらの推奨事項は、Microsoft Defender for Cloud によって実行されるセキュリティ分析から得られます。
ID 管理とアクセス管理
ID は、クラウド コンピューティングの主要なセキュリティ境界です。 ID の保護とリソースへのアクセスの制御は、Azure環境をセキュリティで保護するための基本的な要素です。 Microsoft Entra IDは、包括的な ID およびアクセス管理機能を提供します。 詳細については、「Azure ID 管理の概要」を参照してください。 ID 管理のベスト プラクティスについては、「Azure ID 管理とアクセス制御のセキュリティのベスト プラクティスを参照してください。 ID インフラストラクチャのセキュリティ保護に関するガイダンスについては、 ID インフラストラクチャをセキュリティで保護するための 5 つの手順を参照してください。
Microsoft Entra ID
Microsoft Entra ID は、Microsoft のクラウドベースの ID およびアクセス管理サービスです。 次の機能を提供します。
- 単一 Sign-On (SSO): ユーザーが 1 セットの資格情報を使用して複数のアプリケーションにアクセスできるようにする
- Multi-Factor Authentication (MFA): サインインに複数の形式の検証が必要です
- 条件付きアクセス: ユーザー、デバイス、場所、リスクに基づいてリソースへのアクセスを制御する
- Identity Protection: ID ベースのリスクを検出して対応する
- Privileged Identity Management (PIM): Azure リソースへの Just-In-Time 特権アクセスを提供します
- ID ガバナンス: ID ライフサイクルとアクセス権を管理する
ロール ベースのアクセス制御 (RBAC)
Azureロールベースのアクセス制御 (RBAC) は、Azure リソースにアクセスできるユーザー、それらのリソースに対して実行できること、アクセスできる領域を管理するのに役立ちます。 RBAC では、Azure リソースに対してきめ細かいアクセス管理が提供されるため、ジョブを実行するために必要な権限のみをユーザーに付与できます。
Microsoft Entra Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) を使用すると、組織内の重要なリソースへのアクセスを管理、制御、監視できます。 PIM は、過剰なアクセス許可、不要なアクセス許可、または誤用されたアクセス許可のリスクを軽減するために、時間ベースおよび承認ベースのロールのアクティブ化を提供します。
Azure リソースのマネージド ID
Azure リソース用の管理 ID は、Microsoft Entra ID において Azure サービスに自動的に管理された ID を提供します。 この ID を使用して、コードに資格情報を含めることなく、Microsoft Entra認証をサポートするすべてのサービスに対して認証を行います。
パッチ更新プログラムは、潜在的な問題を見つけて修正するための基礎を提供し、ソフトウェア更新プログラムの管理プロセスを簡素化します。 これにより、企業に展開する必要があるソフトウェア更新プログラムの数が減り、コンプライアンスを監視する能力が向上します。
セキュリティ ポリシーの管理とレポート
Defender for Cloud は、脅威の防御、検出、対応に役立ちます。 Azure リソースのセキュリティの可視性と制御が向上します。 Azure サブスクリプション全体のセキュリティ監視とポリシー管理が統合されています。 Security Center は、見つけにくい脅威の検出を支援すると共に、さまざまなセキュリティ ソリューションをまとめた広範なエコシステムとして機能します。
セキュリティで保護された ID
Microsoft では、複数のセキュリティ上の方法およびテクノロジを製品やサービスに使用して、ID とアクセスを管理します。
多要素認証 では、ユーザーは、オンプレミスとクラウドのアクセスに複数の方法を使用する必要があります。 幅広い簡単な検証オプションによって強力な認証を提供する一方で、簡単なサインイン プロセスでユーザーの要求に応えます。
Microsoft Authenticator は、Microsoft Entra IDと Microsoft の両方のアカウントで動作するユーザー フレンドリな多要素認証エクスペリエンスを提供します。 ウェアラブルと指紋ベースの承認のサポートが含まれています。
パスワード ポリシーの適用によって、長さと複雑さの要件や定期的な変更を強制したり、認証試行の失敗後にアカウントをロックしたりすることで、従来のパスワードのセキュリティが強化されています。
Token ベースの認証では、Microsoft Entra IDによる認証が有効になります。
Azureロールベースのアクセス制御 (Azure RBAC) を使用すると、ユーザーの割り当てられたロールに基づいてアクセス権を付与できます。 職務を遂行するために必要なアクセス権のみをユーザーに与えるのは簡単です。 組織のビジネス モデルとリスク許容度に応じて、Azure RBAC をカスタマイズできます。
統合 ID 管理 (ハイブリッド ID) を使用すると、内部データセンターとクラウド プラットフォーム全体でユーザーのアクセスの制御を維持できます。 すべてのリソースに対する認証と承認のための単一のユーザー ID が作成されます。
アプリとデータをセキュリティで保護する
Microsoft Entra IDは、包括的な ID およびアクセス管理クラウド ソリューションであり、サイトおよびクラウド上のアプリケーション内のデータへのアクセスをセキュリティで保護し、ユーザーとグループの管理を簡素化します。 Azure Active Directory はコア ディレクトリ サービス、高度な ID ガバナンス、セキュリティ、アプリケーションへのアクセス管理を組み合わせたもので、開発者はポリシーベースの ID 管理をアプリケーションに簡単に組み込むことができます。 Microsoft Entra IDを強化するには、Microsoft Entra Basic、Premium P1、Premium P2 エディションを使用して有料機能を追加できます。
Cloud App Discovery は、組織内の従業員が使用するクラウド アプリケーションを識別できるMicrosoft Entra IDの優れた機能です。
Microsoft Entra ID Protection は、Microsoft Entra異常検出機能を使用して、組織の ID に影響を与える可能性があるリスク検出と潜在的な脆弱性を統合したビューを提供するセキュリティ サービスです。
Microsoft Entra Domain Services を使用すると、ドメイン コントローラーを展開することなく、Azure VM をドメインに参加させることができます。 ユーザーは、企業のActive Directory資格情報を使用してこれらの VM にサインインし、リソースにシームレスにアクセスできます。
Microsoft Entra B2C は、数億の ID にスケーリングし、モバイルおよび Web プラットフォーム全体に統合できる、コンシューマー向けアプリ向けの高可用性グローバル ID 管理サービスです。 お客様は、既存のソーシャル メディア アカウントを使用するカスタマイズ可能な操作ですべてのアプリにサインインすることも、新しいスタンドアロンの資格情報を作成することもできます。
Microsoft Entra B2B Collaboration は、パートナーが自己管理 ID を使用して企業アプリケーションとデータに選択的にアクセスできるようにすることで、会社間の関係をサポートするセキュリティで保護されたパートナー統合ソリューションです。
Microsoft Entra参加済みを使用すると、一元管理のためにクラウド機能をWindows 10デバイスに拡張できます。 これにより、ユーザーはMicrosoft Entra IDを介して企業または組織のクラウドに接続でき、アプリやリソースへのアクセスが簡素化されます。
Microsoft Entra アプリケーション プロキシ は、オンプレミスでホストされている Web アプリケーションに SSO とセキュリティで保護されたリモート アクセスを提供します。
次のステップ
Microsoft Defender for Cloud を使用して、Azure リソースのセキュリティの可視性と制御を強化することで、脅威を防止、検出、対応する方法について説明します。
Azureセキュリティのベスト プラクティスとパターンを調べて、セキュリティに関するその他の推奨事項を確認します。
包括的なセキュリティ ガイダンスについては、 Microsoft クラウド セキュリティ ベンチマーク を確認してください。
Azureセキュリティ アーキテクチャにおける保護、検出、応答の視点については、Azure の End-to-end セキュリティに関する説明を参照してください。