Azure Local および ISO/IEC 27001:2022

この記事では、クラウドとオンプレミスの両方で、組織が ISO/IEC 27001:2022 のセキュリティ制御要件を満たすのに Azure Local がどのように役立つのかについて説明します。 Azure Local とその他のセキュリティ標準の詳細については、 Azure のローカル標準とセキュリティ標準を参照してください。

ISO/IEC 27001:2013

ISO/IEC 27001 は、情報セキュリティ管理システム (ISMS) を確立、実装、運用、監視、保守、および改善するための要件を指定するグローバル セキュリティ標準です。 ISO/IEC 27001:2022 の認定は、組織がセキュリティ体制を強化し、クライアントとの信頼を築き、PCI DSS、HIPAA、HITRUST、FedRAMP などの情報セキュリティに関連するさまざまな法的および規制上の義務を満たすのに役立ちます。 標準の詳細については、 ISO/IEC 27001 を参照してください。

Azure ローカル

Azure Local は、組織のオンプレミス インフラストラクチャと Azure クラウド サービスの間にシームレスな統合を提供するハイブリッド ソリューションです。これは、仮想化されたワークロードとコンテナーを統合し、データが法的またはプライバシー上の理由でオンプレミスに残る必要がある場合にクラウドの効率を高めるのに役立ちます。 ソリューションの ISO/IEC 27001:2022 認定を求めている組織は、クラウド環境とオンプレミス環境の両方を考慮する必要があります。

接続されたクラウド サービス

Azure Local では、Azure Monitor、Azure Backup、Azure Site Recovery などの複数の Azure サービスとの緊密な統合が提供され、ハイブリッド環境に新しい機能が提供されます。 これらのクラウド サービスは、ISO/IEC 27001:2022 コンプライアンスに関する定期的な独立したサード パーティ監査を受けます。 Azure ISO/IEC 27001:2022 の証明書と監査レポートは、 Azure コンプライアンス オファリング ( ISO/IEC 27001:2022 で確認できます。

重要

Azure コンプライアンスの状態では、組織が Azure プラットフォーム上で構築またはホストするサービスに対する ISO/IEC 27001 認定は付与されません。 組織は、ISO/IEC 27001:2022 の要件に準拠する責任を負います。

オンプレミス ソリューション

オンプレミスの Azure Local には、組織が ISO/IEC 27001:2022 のセキュリティ要件を満たすのに役立つさまざまな機能が用意されています。 以降のセクションでは、詳細について説明します。

ISO/IEC 27001:2022 に関連する Azure ローカル機能

このセクションでは、組織が Azure ローカル機能を使用して ISO/IEC 27001:2022 の付属書 A のセキュリティコントロールを満たす方法について説明します。 次の情報は、技術的な要件のみを対象としています。 Azure Local では影響を受けることができないので、セキュリティ操作に関連する要件は範囲外です。 ガイダンスは、付属書 A の 9 つのドメインによって編成されています。

• ネットワークのセキュリティ
• ID とアクセス管理
• データ保護
• ログ
• Monitoring
• セキュリティで保護された構成
• 脅威に対する保護
• バックアップと回復
• スケーラビリティと可用性

この記事のガイダンスでは、各ドメインの要件を満たすために Azure ローカル機能を利用する方法について説明します。 すべてのコントロールが必須であるわけではないことに注意してください。 組織は、環境を分析し、リスク評価を実行して、必要なコントロールを決定する必要があります。 要件の詳細については、「 ISO/IEC 27001を参照してください。

ネットワークのセキュリティ

このセクションで説明するネットワーク セキュリティ機能は、ISO/IEC 27001 標準で指定されている次のセキュリティコントロールを満たすのに役立ちます。

• 8.20 – ネットワーク セキュリティ
• 8.21 – ネットワーク サービスのセキュリティ
• 8.22 – ネットワークの分離
• 8.23 – Web フィルタリング

Azure Local を使用すると、ネットワーク セキュリティ制御を適用して、プラットフォームとその上で実行されているワークロードを外部および内部のネットワークの脅威から保護できます。 Azure Local では、ホストでの公平なネットワーク割り当ても保証され、負荷分散機能を使用してワークロードのパフォーマンスと可用性が向上します。 Azure Local のネットワーク セキュリティの詳細については、次の記事を参照してください。

• データセンター ファイアウォールの概要
• ソフトウェア定義ネットワーク (SDN) 用ソフトウェア ロード バランサー (SLB)
• SDN 用リモート アクセス サービス (RAS) ゲートウェイ
• Azure Local でホストされているワークロードのサービス品質ポリシー

ID 管理とアクセス管理

このセクションで説明する ID およびアクセス管理機能は、ISO/IEC 27001 標準で指定されている次のセキュリティ制御を満たすのに役立ちます。

• 8.2 – 特権アクセス権
• 8.3 – 情報アクセス制限
• 8.5 – セキュリティで保護された認証

Azure Local では、Azure Arc や Windows PowerShell などの複数のインターフェイスを介して、マシン上で実行されている基になるシステムに完全かつ直接アクセスできます。 ローカル環境の従来の Windows ツールまたは Microsoft Entra ID (旧称 Azure Active Directory) などのクラウドベースのソリューションを使用して、ID とプラットフォームへのアクセスを管理できます。 どちらの場合も、多要素認証 (MFA)、条件付きアクセス、ロールベースのアクセス制御 (RBAC)、特権 ID 管理 (PIM) などの組み込みのセキュリティ機能を利用して、環境がセキュリティで保護され、準拠していることを確認できます。

ローカル ID とアクセス管理の詳細については、Microsoft Identity Manager および Active Directory ドメイン Services の特権アクセス管理を参照してください。 クラウドベースの ID とアクセス管理の詳細については、 Microsoft Entra ID を参照してください。

データ保護

このセクションで説明するデータ保護機能は、ISO/IEC 27001 標準で指定されている次のセキュリティコントロールを満たすのに役立ちます。

• 8.5 – セキュリティで保護された認証
• 8.20 – ネットワーク セキュリティ
• 8.21 - ネットワーク サービスのセキュリティ
• 8.24 – 暗号化の使用

BitLocker を使用したデータの暗号化

Azure ローカル インスタンスでは、保存データはすべて BitLocker XTS-AES 256 ビット暗号化を使用して暗号化できます。 既定では、BitLocker を有効にして、Azure ローカル デプロイ内のすべてのオペレーティング システム (OS) ボリュームとクラスター共有ボリューム (CSV) を暗号化することをお勧めします。 展開後に追加された新しいストレージ ボリュームの場合は、BitLocker を手動で有効にして新しいストレージ ボリュームを暗号化する必要があります。 BitLocker を使用してデータを保護することで、組織は ISO/IEC 27001 に準拠し続けることができます。 詳細については、「 クラスター共有ボリューム (CSV) での BitLocker の使用」を参照してください。

TLS/DTLS を使用した外部ネットワーク トラフィックの保護

既定では、ローカルおよびリモート エンドポイントへのすべてのホスト通信は、TLS1.2、TLS1.3、および DTLS 1.2 を使用して暗号化されます。 プラットフォームでは、TLS/DTLS 1.1 SMB1 などの古いプロトコル/ハッシュの使用が無効になります。 Azure Local では、 SDL 準拠 NIST 曲線 P-256 と P-384 のみに限定された楕円曲線などの強力な暗号スイートもサポートされています。

サーバー メッセージ ブロック (SMB) を使用した内部ネットワーク トラフィックの保護

SMB 署名は、Azure ローカル インスタンスのクライアント接続に対して既定で有効になっています。 クラスター内トラフィックの場合、SMB 暗号化は、システム間で転送中のデータを保護するために、デプロイ中またはデプロイ後に有効にできるオプションです。 AES-256-GCM および AES-256-CCM 暗号化スイートは、クライアント サーバー ファイル トラフィックとクラスター内データ ファブリックで使用される SMB 3.1.1 プロトコルでサポートされるようになりました。 このプロトコルは、より広く互換性のある AES-128 スイートも引き続きサポートします。 詳細については、 SMB のセキュリティ強化を参照してください。

ログ

このセクションで説明するログ機能は、ISO/IEC 27001 標準で指定されている次のセキュリティコントロールを満たすのに役立ちます。

• 8.15 – ログ記録
• 8.17 – クロック同期

ローカル システム ログ

既定では、Azure Local インスタンス内で実行されるすべての操作が記録されるため、プラットフォームで誰が何を、いつ、どこで実行したかを追跡できます。 Windows Defender によって作成されたログとアラートも含まれており、データ侵害の可能性と影響を防ぎ、検出し、最小限に抑えるのに役立ちます。 ただし、多くの場合、システム ログには大量の情報が含まれています。その多くは情報セキュリティの監視とは無関係であるため、セキュリティ監視の目的で収集および利用するイベントを特定する必要があります。 Azure 監視機能は、これらのログの収集、保存、アラート、分析に役立ちます。 詳細については、Azure Local の セキュリティ ベースライン を参照してください。

ローカル アクティビティ ログ

Azure Local Lifecycle Manager は、実行されたすべてのアクション プランのアクティビティ ログを作成して格納します。 これらのログは、より詳細な調査と監視をサポートします。

クラウド アクティビティ ログ

システムを Azure に登録すると、 Azure Monitor アクティビティ ログを使用して サブスクリプション レイヤーの各リソースに対する操作を記録し、サブスクリプション内のリソースに対して実行された書き込み操作 (配置、投稿、削除) を決定できます。

クラウド ID ログ

Microsoft Entra ID を使用して ID とプラットフォームへのアクセスを管理している場合は、 Azure AD レポートでログを表示したり Azure Monitor、Microsoft Sentinel、またはその他の SIEM/監視ツールと統合して高度な監視と分析のユース ケースを実現したりできます。 オンプレミスの Active Directoryを使用している場合は、Microsoft Defender for Identity ソリューションを使用して、オンプレミスの Active Directoryシグナルを使用して、高度な脅威、侵害された ID、組織に向けられた悪意のあるインサイダー アクションを特定、検出、調査します。

SIEM 統合

Microsoft Defender for Cloud と Microsoft Sentinel は、Arc 対応の Azure Local マシンとネイティブに統合されています。 セキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション自動応答 (SOAR) 機能を提供する Microsoft Sentinel にログを有効にしてオンボードできます。 Microsoft Sentinel は、他の Azure クラウド サービスと同様に、ISO/IEC 27001 などの多くの確立されたセキュリティ標準にも準拠しています。これは、認定プロセスに役立ちます。 さらに、Azure Local には、システム イベントをサード パーティの SIEM ソリューションに送信するためのネイティブ Syslog イベント フォワーダーが用意されています。

監視

このセクションで説明する監視機能は、ISO/IEC 27001 標準で指定されている次のセキュリティコントロールを満たすのに役立ちます。

• 8.15 – ログ記録

Azure Local の分析情報

Azure Local の分析情報を使用すると、Azure に接続され、監視に登録されているシステムの正常性、パフォーマンス、使用状況の情報を監視できます。 Insights の構成中に、収集するデータを指定するデータ収集ルールが作成されます。 このデータは Log Analytics ワークスペースに格納され、Azure ブックを使用して事前構築済みの監視ダッシュボードを提供するために集計、フィルター処理、分析されます。 Azure ローカル リソース ページまたは Azure Monitor から、単一ノード システムとマルチノード システムの両方の監視データを表示できます。 詳細については、 Insights を使用した Azure Local の監視に関するページを参照してください。

Azure Local のメトリック

Azure Local のメトリックは、監視対象リソースの数値データを時系列データベースに格納します。 Azure Monitor メトリック ス エクスプローラーを使用して、メトリック データベース内のデータを対話形式で分析し、時間の経過と同時に複数のメトリックの値をグラフ化できます。 メトリックを使用すると、メトリック値からグラフを作成し、傾向を視覚的に関連付けることができます。

ログ アラート

リアルタイムで問題を示すには、平均サーバー CPU、使用可能なメモリ、使用可能なボリューム容量などの既存のサンプル ログ クエリを使用して、Azure Local のアラートを設定します。 詳細については、「 Azure ローカル システムのアラートを設定するを参照してください。

メトリック アラート

メトリック アラート ルールでは、リソース メトリックの条件を定期的に評価することで、リソースが監視されます。 条件が満たされると、アラートが発生します。 メトリック時系列は、一定期間にキャプチャされた一連のメトリック値です。 これらのメトリックを使用して、アラート ルールを作成できます。 メトリック アラートを作成する方法の詳細については、 Metric alerts を参照してください。

サービスとデバイスのアラート

Azure Local では、接続、OS の更新、Azure 構成などのサービス ベースのアラートが提供されます。 クラスターの正常性エラーに対するデバイス ベースのアラートも使用できます。 PowerShellまたはヘルス サービスを使用して、Azure Local インスタンスとその基になるコンポーネントを監視することもできます。

セキュリティで保護された構成

このセクションで説明するセキュリティで保護された構成機能は、ISO/IEC 27001 の次のセキュリティ制御要件を満たすのに役立ちます。

• 8.8 – 技術的脆弱性の管理
• 8.9 – 構成管理

既定の安全性

Azure Local は、最新の脅威から保護し、 Azure コンピューティング セキュリティ ベースラインに合わせたセキュリティ ツールとテクノロジを使用して、既定で安全に構成されます。 詳細については、azure Local の Manage セキュリティの既定値に関するページを参照してください。

ドリフト保護

プラットフォームの既定のセキュリティ構成とセキュリティで保護されたコア設定は、展開時と実行時の両方で、 ドリフト制御 保護によって保護されます。 ドリフト コントロール保護を有効にすると、セキュリティ設定が 90 分ごとに定期的に更新され、指定した状態からの変更が確実に修復されます。 この継続的な監視と自動修復により、デバイスのライフサイクル全体にわたって一貫した信頼性の高いセキュリティ構成を実現できます。 セキュリティ設定を構成するときに、デプロイ中にドリフト保護を無効にすることができます。

ワークロードのセキュリティ ベースライン

Azure Local で実行されているワークロードの場合は、コンピューティング リソースの構成基準を定義するためのベンチマークとして、Azure 推奨オペレーティング システム ベースライン ( Windows と Linux の両方) を使用できます。

プラットフォームの更新

オペレーティング システム、コア エージェントとサービス、ソリューション拡張機能など、Azure Local のすべてのコンポーネントは、ライフサイクル マネージャーを使用して簡単に管理できます。 この機能を使用すると、異なるコンポーネントを更新リリースにバンドルし、バージョンの組み合わせを検証して相互運用性を確保できます。 詳細については、 Lifecycle Manager for Azure Local ソリューションの更新プログラムを参照してください。

お客様のワークロードは、この更新ソリューションの対象ではありません。

脅威の防止

このセクションの脅威保護機能は、ISO/IEC 27001 の次のセキュリティ制御要件を満たすのに役立ちます。

• 8.7 – マルウェアからの保護

Windows Defender ウイルス対策

Windows Defender ウイルス対策は、リアルタイムのシステム スキャンと定期的なスキャンを適用して、ウイルス、マルウェア、スパイウェア、その他の脅威からプラットフォームとワークロードを保護する機能を提供するユーティリティ アプリケーションです。 既定では、Microsoft Defender ウイルス対策は Azure Local で有効になっています。 Microsoft では、サード パーティのウイルス対策ソフトウェアやマルウェア検出ソフトウェアやサービスではなく、Azure Local でMicrosoft Defender ウイルス対策を使用することをお勧めします。これは、オペレーティング システムが更新プログラムを受信する機能に影響を与える可能性があるためです。 詳細については、Windows Server のMicrosoft Defender ウイルス対策を参照してください。

Windows Defender アプリケーション制御 (WDAC)

Windows Defender アプリケーション制御 (WDAC) は、各コンピューターで直接実行できるドライバーとアプリケーションを制御するために、Azure Local で既定で有効になっており、マルウェアがシステムにアクセスするのを防ぎます。 Azure Local に含まれる基本ポリシーの詳細と、 Windows Defender Application Control for Azure Local で補足ポリシーを作成する方法について説明します。

Microsoft Defender for Cloud

Microsoft Defender for Cloud with Endpoint Protection ( Defender for Servers プランで有効) は、高度な脅威保護機能を備えたセキュリティ管理ソリューションを提供します。 インフラストラクチャのセキュリティ状態を評価し、ワークロードを保護し、セキュリティ アラートを生成し、特定の推奨事項に従って攻撃を修復し、将来の脅威に対処するためのツールが提供されます。 これらのサービスはすべてクラウドで高速に実行され、Azure サービスを使用した自動プロビジョニングと保護によるデプロイのオーバーヘッドはありません。 詳細については、 Microsoft Defender for Cloud を参照してください。

バックアップと回復

このセクションで説明するバックアップと回復の機能は、ISO/IEC 27001 の次のセキュリティ制御要件を満たすのに役立ちます。

• 8.7 – マルウェアからの保護
• 8.13 – 情報のバックアップ
• 8.14 – 情報の冗長性

ストレッチ クラスター

Azure Local には、ストレッチ クラスタリングを使用した仮想化ワークロードのディザスター リカバリーが組み込まれています。 ストレッチされた Azure Local インスタンスをデプロイすることで、仮想化されたワークロードを 2 つの個別のオンプレミスの場所に同期的にレプリケートし、それらの間で自動的にフェールオーバーできます。 計画されたサイト フェールオーバーは、Hyper-V ライブ マイグレーションを使用してダウンタイムなしで発生する可能性があります。

Kubernetes クラスター ノード

Azure Local を使用してコンテナー ベースのデプロイをホストする場合、プラットフォームは Azure Kubernetes デプロイに固有の機敏性と回復性を高めるのに役立ちます。 基になる物理コンポーネントのローカライズされた障害が発生した場合、Azure Local は Kubernetes クラスター ノードとして機能する VM の自動フェールオーバーを管理します。 この構成により、Kubernetes に組み込まれた高可用性が強化され、同じまたは別の VM で失敗したコンテナーが自動的に再起動されます。

Azure Site Recovery

このサービスを使用すると、オンプレミスの Azure ローカル VM で実行されているワークロードをクラウドにレプリケートできるため、ストレージ メディアのインシデント、障害、または損失が発生した場合に情報システムを復元できます。 他の Azure クラウド サービスと同様に、Azure Site Recovery には、認定プロセスをサポートするために使用できる HITRUST を含むセキュリティ証明書の長い実績があります。 詳細については、Azure Site Recovery on Azure Local を使用した VM ワークロードの保護に関するページを参照してください。

Microsoft Azure Backup Server (MABS)

このサービスを使用すると、必要な頻度と保有期間を指定して、Azure ローカル仮想マシンをバックアップできます。 MABS を使用して、次のような環境全体でほとんどのリソースをバックアップできます。

• Azure ローカル ホストのシステム状態/ベア メタル復旧 (BMR)
• ローカルストレージまたは直接接続ストレージを持つシステム内のゲスト VM
• CSV ストレージを使用する Azure ローカル インスタンス上のゲスト VM
• クラスター内での VM の移動

詳細については、 Azure Backup Server を使用した Azure ローカル仮想マシンのバックアップに関するページを参照してください。

スケーラビリティと可用性

このセクションで説明するスケーラビリティと可用性の機能は、ISO/IEC 27001 の次のセキュリティ制御要件を満たすのに役立ちます。

• 8.6 – 容量管理
• 8.14 – 情報の冗長性

ハイパーコンバージド モデル

Azure Local では、記憶域スペース ダイレクトのハイパーコンバージド モデルを使用してワークロードをデプロイします。 このデプロイ モデルを使用すると、ダウンタイムをゼロにしてコンピューティングとストレージを自動的に拡張する新しいノードを追加することで、簡単にスケーリングできます。

フェールオーバー クラスター

Azure ローカル インスタンスはフェールオーバー クラスターです。 Azure Local の一部であるサーバーが障害が発生した場合、または使用できなくなった場合、同じフェールオーバー クラスター内の別のサーバーが、障害が発生したノードによって提供されるサービスを提供するタスクを引き継ぎます。 フェールオーバー クラスターを作成する場合は、Azure Local を実行している複数のマシンで直接記憶域スペース有効にします。