Azure セキュリティ サービスを使用して防御の第 1 層をビルドする

さまざまな Azure サービスを使用して、組織の完全な IT インフラストラクチャを作成できます。 Azure では、このインフラストラクチャを保護するためのセキュリティ サービスも提供されています。 Azure のセキュリティ ソリューションを利用することで、適切に設計されたソリューションに関する Microsoft のベスト プラクティスの推奨事項に従い、IT 環境のセキュリティ体制を強化し、脆弱性を軽減して、侵害を防ぐことができます。 一部のセキュリティ サービスには関連するコストが発生しますが、多くは追加料金なしで利用できます。 無料のサービスには、ネットワーク セキュリティ グループ (NSG)、ストレージ暗号化、TLS/SSL、共有アクセス署名トークンなどがあります。 この記事では、これらのコスト無料サービスに焦点を当てます。

セキュリティ サービスには、追加料金がかかるものと、追加料金なしで利用できるものがあります。 無料のサービスには、ネットワーク セキュリティ グループ (NSG)、ストレージ暗号化、TLS/SSL、共有アクセス署名トークンなどがあります。 この記事では、これらの無料のセキュリティ サービスに焦点を当てます。

この記事は、5 つのシリーズの 3 番目です。 IT 環境に脅威をマッピングする方法の概要とレビューなどの、このシリーズの前の 2 つの記事を確認するには、次の記事を参照してください。

• Azure 監視を使用してセキュリティ コンポーネントを統合する
• IT 環境に脅威をマップする

考えられるユース ケース

この記事は、Azure セキュリティ サービスを Azure リソースごとに整理することで、仮想マシン (VM)、オペレーティング システム、Azure ネットワーク、アプリケーションなどのリソースを標的とする特定の脅威や、ユーザーやパスワードを侵害する可能性のある攻撃など、必要な分野に注力しやすくなっています。 下の図は、これらの種類の脅威からリソースとユーザー ID の両方を保護するために適切な Azure セキュリティ サービスを特定するために役立ちます。

Architecture

このアーキテクチャの Visio ファイルをダウンロードします。

©2021 The MITRE Corporation。 本作品は MITRE コーポレーションの許可を得て再現・配布しています。

この図の Azure セキュリティ レイヤーは、Azure セキュリティ ベンチマーク (ASB) v3 に基づいています。これは、Azure ポリシーを通じて実装されるセキュリティ規則のセットです。 ASB は、CIS Center for Internet Security と米国国立標準技術研究所の規則の組み合わせに基づいています。 ASB の詳細については、Azure セキュリティ ベンチマーク v3 の概要に関するページを参照してください。

この図には、利用可能なすべての Azure セキュリティ サービスが含まれているわけではなく、多くの組織でよく使用されるサービスが重点的に示されています。 アーキテクチャ図に示されているすべてのセキュリティ サービスは、IT 環境と組織の特定のセキュリティ ニーズに基づいて連携するように、組み合わせて構成できます。

ワークフロー

このセクションでは、図に表示されるコンポーネントとサービスについて説明します。 それらの多くは、略称のラベルに加えて、ASB コントロール コードでラベル付けされています。 コントロール コードは、コントロールに一覧表示されているコントロール ドメインに対応します。

1. Azure セキュリティ ベンチマーク

   各セキュリティ コントロールは、1 つ以上の特定の Azure セキュリティ サービスを指します。 この記事のアーキテクチャ リファレンスでは、ASB ドキュメントに従って、それらの一部とその制御番号を示します。 コントロールには次のものが含まれます。

   • ネットワークのセキュリティ
   • ID 管理
   • 特権アクセス
   • データ保護
   • アセット管理
   • ログと脅威検出
   • インシデント対応
   • 体制と脆弱性の管理
   • エンドポイントのセキュリティ
   • バックアップと回復
   • DevOps セキュリティ
   • ガバナンスと戦略

   セキュリティ コントロールの詳細については、Azure セキュリティ ベンチマーク v3 の概要に関するページを参照してください。

2. ネットワーク

   次の表では、図のネットワーク サービスについて説明します。

   Label	説明	ドキュメント
   NSG	ネットワーク インターフェイスまたはサブネットにアタッチする無料サービス。 NSG を使用すると、受信接続と送信接続用の IP アドレス範囲とポートを使用して、TCP または UDP プロトコル トラフィックをフィルター処理できます。	ネットワーク セキュリティ グループ
   VPN	IPSEC (IKE v1/v2) 保護を使用してトンネルを提供する仮想プライベート ネットワーク (VPN) ゲートウェイ。	VPN Gateway
   Azure Firewall	レイヤー 4 で保護を提供するサービスとしてのプラットフォーム (PaaS) であり、仮想ネットワーク全体に接続されます。	Azure Firewall とは
   APP GW + WAF	Azure Application Gateway と Web アプリケーション ファイアウォール (WAF) Application Gateway は、レイヤー 7 で動作する Web トラフィック用のロード バランサーであり、HTTP や HTTPS を使用するアプリケーションを保護するための WAF を追加します。	Azure Application Gateway とは
   NVA	ネットワーク仮想アプライアンス (NVA) は、Azure 上の VM にプロビジョニングされるマーケットプレースからの仮想セキュリティ サービスです。	ネットワーク仮想アプライアンス
   DDoS	さまざまな種類の DDoS 攻撃を軽減するために、仮想ネットワークに実装される DDoS 保護。	Azure DDoS ネットワーク保護の概要
   TLS/SSL	TLS/SSL は、Azure Storage や Web Apps などの情報を交換するほとんどの Azure サービスに対して転送中の暗号化を提供します。	Application Gateway での PowerShell を使用したエンド ツー エンド TLS の構成
   プライベート リンク	最初にインターネットに公開される Azure サービス用のプライベート ネットワークを作成できるサービス。	Azure Private Link とは
   プライベート エンドポイント	ネットワーク インターフェイスを作成し、それを Azure サービスにアタッチします。 プライベート エンドポイントは、プライベート リンクの一部です。 この構成により、プライベート エンドポイントを使用して、サービスを仮想ネットワークの一部にすることができます。	プライベート エンドポイントとは

3. インフラストラクチャとエンドポイント

   次の表では、図に示すインフラストラクチャとエンドポイント サービスについて説明します。

   Label	説明	ドキュメント
   Bastion	Bastion はジャンプ サーバー機能を提供します。 このサービスを使用すると、VM をインターネットに公開せずに、リモート デスクトップ プロトコル (RDP) または SSH を使用して VM にアクセスできます。	Azure Bastion とは
   マルウェア対策	Microsoft Defender は、マルウェア対策サービスを提供しており、Windows 10、Windows 11、Windows Server 2016、Windows Server 2019 の一部です。	Windows のMicrosoft Defender ウイルス対策
   ディスクの暗号化	ディスク暗号化を使用すると、VM のディスクを暗号化できます。	Windows VM 用の Azure Disk Encryption
   keyVault	Key Vault は、FIPS 140-2 レベル 2 または 3 を使用して、キー、シークレット、および証明書を格納するサービスです。	Azure Key Vault の基本的な概念
   RDP SHORT	Azure Virtual Desktop の RDP Shortpath この機能を使用すると、リモート ユーザーが、プライベート ネットワークから Virtual Desktop サービスに接続できます。	Azure Virtual Desktop マネージド ネットワーク用 RDP Shortpath
   リバース接続	Azure Virtual Desktop の組み込みのセキュリティ機能。 リバース接続では、リモート ユーザーがピクセル ストリームのみを受信し、ホスト VM に接続しないことが保証されます。	Azure Virtual Desktop のネットワーク接続について

4. アプリケーションとデータ

   次の表では、図に示されているアプリケーション サービスとデータ サービスについて説明します。

   Label	説明	ドキュメント
   Frontdoor + WAF	コンテンツ配信ネットワーク (CDN)。 Front Door は、複数のプレゼンス ポイントを組み合わせて、サービスにアクセスするユーザーにより良い接続を提供し、WAF を追加します。	Azure Front Door とは
   API Management	API 呼び出しのセキュリティを提供し、複数の環境で API を管理するサービス。	API Management について
   侵入テスト	Azure リソースを含む環境内での侵入テストの実行に関する一連のベスト プラクティス。	侵入テスト
   ストレージ SAS トークン	他のユーザーが Azure ストレージ アカウントにアクセスできるようにする共有アクセス トークン。	共有アクセス署名 (SAS) を使用して Azure Storage リソースへの制限付きアクセスを許可する
   プライベート エンドポイント	ネットワーク インターフェイスを作成し、それをストレージ アカウントにアタッチして、それを Azure 上のプライベート ネットワーク内で構成します。	Azure Storage のプライベート エンドポイントを使用する
   ストレージ ファイアウォール	ストレージ アカウントにアクセスできる IP アドレスの範囲を設定できるファイアウォール。	Azure Storage ファイアウォールおよび仮想ネットワークを構成する
   暗号化 (Azure Storage)	保存時に暗号化でストレージ アカウントを保護します。	保存データに対する Azure Storage 暗号化
   SQL 監査	データベース イベントを追跡し、Azure Storage アカウントの監査ログにイベントを書き込みます。	Azure SQL Database および Azure Synapse Analytics の監査
   脆弱性評価	データベースの潜在的な脆弱性を検出、追跡し、その修復を支援するサービス。	SQL 脆弱性評価は、データベースの脆弱性を特定するのに役立ちます
   暗号化 (Azure SQL)	Transparent Data Encryption (TDE) を使用すると、保存時のデータを暗号化することにより、Azure SQL Database サービスを保護できます。	SQL Database、SQL Managed Instance および Azure Synapse Analytics の透過的なデータ暗号化

5. IDENTITY

   次の表では、図に示されている ID サービスについて説明します。

   Label	説明	ドキュメント
   RBAC	Azure ロールベースのアクセス制御 (Azure RBAC) は、ユーザーの Microsoft Entra の資格情報に基づく詳細なアクセス許可を使って、Azure サービスへのアクセスを管理するのに役立ちます。	Azure ロールベースのアクセス制御 (Azure RBAC) とは。
   MFA	多要素認証では、ユーザー名とパスワード以外の追加の種類の認証が提供されます。	しくみ: Microsoft Entra 多要素認証
   ID 保護	Microsoft Entra ID のセキュリティ サービスである Identity Protection は、1 日あたり何兆もの信号を分析して、脅威を特定し、ユーザーを脅威から保護します。	Identity Protection とは
   PIM	Privileged Identity Management (PIM)。Microsoft Entra ID のセキュリティ サービスです。 これは、Microsoft Entra ID (ユーザー管理者など) および Azure サブスクリプション (ロールベースのアクセス制御管理者や Key Vault 管理者など) に対してスーパーユーザー特権を一時的に付与する場合に役立ちます。	Microsoft Entra Privileged Identity Management とは
   COND ACC	条件付きアクセスは、さまざまな条件について定義したポリシーを使用して、ユーザーへのアクセスをブロックまたは許可するインテリジェントなセキュリティ サービスです。	条件付きアクセスとは

Components

このアーティクルのアーキテクチャ例では、次の Azure コンポーネントを使用します:

• Microsoft Entra ID はクラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra ID は、Microsoft 365、Azure portal、その他のさまざまな SaaS アプリケーションなどの外部リソースにユーザーがアクセスするのに役立ちます。 また、企業のイントラネット ネットワーク上のアプリなど、内部リソースにアクセスするのにも役立ちます。

• Microsoft Azure Virtual Network は、Azure 内のプライベート ネットワークの基本的な構成要素です。 Virtual Network を使用すると、さまざまな種類の Azure リソースが互いに、インターネット、オンプレミス ネットワークと安全に通信できるようになります。 Virtual Networkは、スケール、可用性、分離など、Azure のインフラストラクチャからベネフィットを得られる仮想ネットワークを提供します。

• Azure Load Balancer は、すべての UDP と TCP プロトコル向けの高パフォーマンス、低待機時間のレイヤー 4 負荷分散サービス (受信および送信) です。 これは、ソリューションの高可用性を確保しながら、1 秒あたり数百万の要求を処理するように構築されています。 Azure Load Balancer は、ゾーン冗長であるため、Availability Zones 全体で高可用性を確保します。

• 仮想マシンは、Azure が提供するスケーラブルなオンデマンドのコンピューティング リソースの 1 つです。 Azure Virtual Machine (VM) では、VM を実行する物理的なハードウェアを購入して維持する必要がなく、仮想化がもたらす柔軟性が提供されます。

• Azure Kubernetes サービス (AKS) は、コンテナー化されたアプリをデプロイおよび管理するためのフル マネージド Kubernetes サービスです。 AKSは、サーバーレス Kubernetes、継続的インテグレーション/継続的デリバリー（CI/CD）、エンタープライズグレードのセキュリティとガバナンスを提供します。

• Azure Virtual Desktop は、リモート ユーザーにデスクトップを提供するためにクラウド上で実行されるデスクトップおよびアプリの仮想化サービスです。

• App Service Web Apps は、Web アプリケーション、REST API、およびモバイル バックエンドをホストするための HTTP ベースのサービスです。 お気に入りの言語で開発でき、アプリケーションは Windows ベースと Linux ベースの両方の環境で簡単に実行およびスケーリングできます。

• Azure Storage は、オブジェクト、BLOB、ファイル、ディスク、キュー、テーブルストレージなど、クラウド上の様々なデータオブジェクトに対する高可用性、大規模なスケーラブル、耐久性、安全性を備えたストレージです。 Azure Storage アカウントに書き込まれたすべてのデータがサービスによって暗号化されます。 Azure Storage では、データにアクセスできるユーザーをきめ細かく制御できます。

• Azure SQL データベース は、アップグレード、パッチ適用、バックアップ、監視などのほとんどのデータベース管理機能を処理するフルマネージド PaaS データベース エンジンです。 これらの機能をユーザーの手を煩わせることなく提供します。 SQL Database には、アプリがセキュリティやコンプライアンス要件を満たすために役立つ、さまざまなセキュリティおよびコンプライアンス機能が組み込まれています。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

• Rudnei Oliveira | シニア Azure セキュリティ エンジニア

その他の共同作成者:

• Gary Moore | プログラマー/ライター
• Andrew Nathan｜シニアカスタマーエンジニアリングマネージャー

次のステップ

Microsoft は、IT 環境のセキュリティ保護に役立つドキュメントをさらに用意しており、次の記事が特に役立ちます。

• Azure 向けの Microsoft クラウド導入フレームワークのセキュリティ。 クラウド導入フレームワークは、プロセス、ベスト プラクティス、モデル、エクスペリエンスを明確にすることで、クラウドに関する取り組みのセキュリティ ガイダンスを提供します。
• Microsoft Azure Well-Architected Framework。 Azure Well-Architected Framework は、ワークロードの品質向上に使用できる一連の基本原則です。 このフレームワークは、信頼性、セキュリティ、コスト最適化、オペレーショナル エクセレンス、パフォーマンス効率の 5 つの柱を基にしています。
• Microsoft セキュリティのベスト プラクティス。 Microsoft セキュリティのベスト プラクティス (旧称は Azure セキュリティ コンパスまたは Microsoft セキュリティ コンパス) は、セキュリティ関連の意思決定についての明確で実用的なガイダンスを提供するベスト プラクティスのコレクションです。
• Microsoft サイバーセキュリティ リファレンス アーキテクチャ (MCRA)。 MCRA は、さまざまな Microsoft セキュリティ参照用アーキテクチャをまとめたものです。

次のリソースでは、この記事で説明されているサービス、テクノロジ、用語の詳細を確認できます。

• パブリック クラウド、プライベート クラウド、ハイブリッド クラウドとは
• Azure セキュリティ ベンチマーク (v3) の概要
• ゼロ トラストを使用してプロアクティブなセキュリティを採用する
• Microsoft 365 サブスクリプション情報
• Microsoft Defender XDR

関連リソース

この参照アーキテクチャの詳細については、このシリーズの他の記事を参照してください。

• Part 1: Azure の監視を利用してセキュリティコンポーネントを統合する
• パート 2: IT 環境に脅威をマップする
• パート 4: Microsoft Defender XDR セキュリティ サービスを使用して防御の第 2 層をビルドする
• パート 5: Azure と Microsoft Defender XDR セキュリティ サービスの統合