チュートリアル: Azure Firewall を使用してプライベート エンドポイント トラフィックを検査する
Azure プライベート エンドポイントは、Azure Private Link の基本的な構成要素です。 プライベート エンドポイントを使用すると、仮想ネットワークにデプロイされた Azure リソースから、プライベート リンク リソースとプライベートに通信できます。
プライベート エンドポイントを使用すると、リソースから、仮想ネットワークにデプロイされたプライベート リンク サービスにアクセスできます。 仮想ネットワーク ピアリングとオンプレミス ネットワーク接続を介したプライベート エンドポイントへのアクセスにより、接続性が拡張されます。
場合によっては、プライベート エンドポイントを介して公開されるサービスに対するクライアントからのトラフィックを検査またはブロックする必要があります。 Azure Firewall またはサード パーティのネットワーク仮想アプライアンスを使用して、この検査を完了します。
プライベート エンドポイントと Azure Firewall に関連するシナリオおよび詳細情報については、「プライベート エンドポイント宛てのトラフィックを検査する Azure Firewall シナリオ」をご覧ください。
このチュートリアルでは、次の作業を行う方法について説明します。
- テスト用仮想マシンのために仮想ネットワークおよび bastion ホストを作成します。
- プライベート エンドポイントの仮想ネットワークを作成します。
- テスト用仮想マシンを作します。
- 次のようにして、Azure Firewall をデプロイします。
- Azure SQL データベース を作成します。
- Azure SQL のプライベート エンドポイントを作成します。
- プライベート エンドポイントの仮想ネットワークとテスト用仮想マシンの仮想ネットワークとの間にネットワーク ピアを作成します。
- それらの仮想ネットワークをプライベート DNS ゾーンにリンクします。
- Azure SQL 用に Azure Firewall でアプリケーション ルールを構成します。
- Azure Firewall を介してテスト用仮想マシンと Azure SQL の間のトラフィックをルーティングします。
- Azure SQL への接続をテストし、Azure Firewall ログで確認します。
Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
前提条件
アクティブなサブスクリプションが含まれる Azure アカウント。
Log Analytics ワークスペース。 Log Analytics ワークスペースの作成について詳しくは、「Azure portal で Log Analytics ワークスペースを作成する」をご覧ください。
Azure portal にサインインする
Azure portal にサインインします。
仮想ネットワークと Azure Bastion ホストを作成する
次の手順では、リソース サブネット、Azure Bastion サブネット、Bastion ホストを含む仮想ネットワークを作成します。
ポータルで、[仮想ネットワーク] を検索して選択します。
[仮想ネットワーク] ページで、[+ 作成] を選択します。
[仮想ネットワークの作成] の [基本] タブで、以下の情報を入力するか選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group [新規作成] を選択します。
名前に「test-rg」と入力します。
を選択します。インスタンスの詳細 Name 「vnet-1」と入力します。 リージョン [米国東部 2] を選択します。 ![Azure portal で仮想ネットワークを作成するための [基本] タブのスクリーンショット。](../reusable-content/ce-skilling/azure/includes/media/virtual-network-create-with-bastion/create-virtual-network-basics.png)
[次へ] を選択して、[セキュリティ] タブに進みます。
[Azure Bastion] セクションで、[Azure Bastion の有効化] を選択します。
Bastion では、ユーザーのブラウザーとプライベート IP アドレスを使って、Secure Shell (SSH) またはリモート デスクトップ プロトコル (RDP) 経由で仮想ネットワーク内の VM に接続します。 VM には、パブリック IP アドレス、クライアント ソフトウェア、または特別な構成は必要ありません。 詳細については、Azure Bastion に関するページを参照してください。
[Azure Bastion] で、次の情報を入力するか選びます。
設定 値 Azure Bastion ホスト名 「bastion」と入力します。 Azure Bastion のパブリック IP アドレス [Create a public IP address] (パブリック IP アドレスを作成する) を選びます。
[名前] に「public-ip-bastion」と入力します。
を選択します。
[次へ] を選択して、[IP アドレス] タブに進みます。
[サブネット] のアドレス空間ボックスで、既定のサブネットを選択します。
[サブネットの編集] で次の情報を入力または選択します。
設定 Value サブネットの目的 既定値の [既定値] のままにします。 名前 「subnet-1」と入力します。 IPv4 IPv4 アドレス範囲 既定値である 10.0.0.0/16 のままにします。 開始アドレス 既定値の 10.0.0.0 のままにします。 サイズ 既定値の [/24 (256 アドレス)] のままにします。 
[保存] を選択します。
ウィンドウの下部にある [確認および作成] を選びます。 検証に合格した場合は、[作成] を選択します。
プライベート エンドポイント用の仮想ネットワークを作成する
以下の手順で、サブネットがある仮想ネットワークを作成します。
ポータルで、[仮想ネットワーク] を検索して選択します。
[仮想ネットワーク] ページで、[+ 作成] を選択します。
[仮想ネットワークの作成] の [基本] タブで、次の情報を入力するか選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します インスタンスの詳細 名前 「vnet-private-endpoint」と入力します。 リージョン [米国東部 2] を選択します。 [次へ] を選択して、[セキュリティ] タブに進みます。
[次へ] を選択して、[IP アドレス] タブに進みます。
ごみ箱 アイコンが表示された アドレス空間の削除 を選択して、既定のアドレス空間を削除します。
IPv4 アドレス空間の追加 を選択します。
「10.1.0.0」 と入力し、プルダウン ボックスは既定値の /16 (65,536 アドレス) のままにします。
+ サブネットの追加 を選択します。
[サブネットの追加] で、次の情報を入力または選択します:
設定 値 サブネットの詳細 サブネット テンプレート 既定値の [既定] のままにします。 名前 「subnet-private」と入力します。 開始アドレス 既定値の 10.1.0.0 のままにします。 サブネットのサイズ 既定値の /24(256 アドレス) のままにします。 [追加] を選択します。
画面の下部にある [確認と作成] を選択し、検証に合格したら [作成] を選択します。
テスト用の仮想マシンを作成する
次の手順では、仮想ネットワークに vm-1 という名前のテスト仮想マシン (VM) を作成します。
ポータルで、[仮想マシン] を検索して選択します。
[仮想マシン] で [+ 作成]、[Azure 仮想マシン] の順に選択します。
[仮想マシンの作成] の [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 仮想マシン名 「vm-1」と入力します。 リージョン [米国東部 2] を選択します。 可用性のオプション [インフラストラクチャ冗長は必要ありません] を選択します。 セキュリティの種類 規定値である [標準] のままにします。 Image [Ubuntu Server 22.04 LTS - x64 Gen2] を選びます。 VMアーキテクチャ 既定値の [x64] のままにします。 サイズ サイズを選択します。 管理者アカウント 認証の種類 [パスワード] を選択します。 ユーザー名 「azureuser」と入力します。 Password パスワードを入力します。 パスワードの確認 パスワードを再入力します。 受信ポートの規則 パブリック受信ポート [なし] を選択します。 ページの上部にある [ネットワーク] タブを選択します。
[ネットワーク] タブで、次の情報を入力または選択します。
設定 値 ネットワーク インターフェイス 仮想ネットワーク [vnet-1] を選択します。 Subnet subnet-1 (10.0.0.0/24) を選択します。 パブリック IP [なし] を選択します。 NIC ネットワーク セキュリティ グループ [Advanced] \(詳細設定) を選択します。 ネットワーク セキュリティ グループを構成する [新規作成] を選択します。
名前として「nsg-1」を入力します。
残りの部分は既定値のままにし、[OK] を選択します。残りの設定は既定値のままにし、[確認と作成] を選択します。
設定を確認し、 [作成] を選択します。
Note
Bastion ホストがある仮想ネットワーク内の仮想マシンには、パブリック IP アドレスが必要ありません。 Bastion がパブリック IP を提供し、VM はプライベート IP を使用してネットワーク内で通信します。 bastion ホストがある仮想ネットワーク内のいずれの VM からも、パブリック IP を削除できます。 詳細については、「パブリック IP アドレスの関連付けを Azure VM から解除する」を参照してください。
Note
パブリック IP が割り当てられていない VM、または内部の Basic Azure Load Balancer のバックエンド プール内にある VM に対しては、Azure によって既定のアウトバウンド アクセス IP が提供されます。 デフォルト送信アクセス IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。
次のいずれかのイベントが発生すると、既定のアウトバウンド アクセス IP は無効になります。
- パブリック IP アドレスが VM に割り当てられます。
- アウトバウンド規則の有無にかかわらず、VM は標準ロード バランサーのバックエンド プール内に配置されます。
- Azure NAT Gateway リソースが VM のサブネットに割り当てられている。
フレキシブル オーケストレーション モードの仮想マシン スケール セットによって作成された VM には、既定のアウトバウンド アクセスがありません。
Azure のアウトバウンド接続の詳細については、「Azure での既定の送信アクセス」および「送信接続での送信元ネットワーク アドレス変換 (SNAT)を使用する」を参照してください。
Azure Firewall をデプロイする
ポータルの上部にある検索ボックスに、「Firewall」と入力します。 検索結果で [ファイアウォール] を選択します。
[ファイアウォール] で [+ 作成] を選択します。
[ファイアウォールの作成] の [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 名前 「firewall」と入力します。 リージョン [米国東部 2] を選択します。 可用性ゾーン [なし] を選択します。 ファイアウォール SKU [Standard] を選択します。 ファイアウォール管理 [ファイアウォール ポリシーを使用してこのファイアウォールを管理する] を選択します。 ファイアウォール ポリシー [新規追加] を選択します。
[ポリシー名] に「firewall-policy」と入力します。
リージョンで [米国東部 2] を選択します。
を選択します。仮想ネットワークの選択 [新規作成] を選択します。 仮想ネットワーク名 「vnet-firewall」と入力します。 アドレス空間 「10.2.0.0/16」と入力します。 サブネットのアドレス空間 「10.2.1.0/26」と入力します。 パブリック IP アドレス [新規追加] を選択します。
[名前] に「public-ip-firewall」と入力します。
を選択します。[Review + create](レビュー + 作成) を選択します。
[作成] を選択します。
ファイアウォールの展開が完了するのを待ってから続行します。
ファイアウォール ログの有効化
この項では、ファイアウォール ログを有効にし、それらを Log Analytics ワークスペースに送信します。
Note
ファイアウォール ログを有効にするには、サブスクリプションに Log Analytics ワークスペースが含まれている必要があります。 詳細については、「前提条件」を参照してください。
ポータルの上部にある検索ボックスに、「Firewall」と入力します。 検索結果で [ファイアウォール] を選択します。
[firewall] を選びます。
[監視] で [診断設定] を選択します。
[+ 診断設定の追加] を選択します。
[診断設定] で、次の情報を入力または選択します。
設定 値 診断設定の名前 「diagnostic-setting-firewall」と入力します。 ログ カテゴリ [Azure Firewall アプリケーション ルール (レガシ Azure Diagnostics)] と [Azure Firewall ネットワーク ルール (レガシ Azure Diagnostics)] を選択します。 宛先の詳細 宛先 [Log Analytics ワークスペースへの送信] を選択します。 サブスクリプション サブスクリプションを選択します。 Log Analytics ワークスペース Log Analytics ワークスペースを選択します。 [保存] を選択します。
Azure SQL データベースの作成
ポータルの上部にある検索ボックスに、「SQL」と入力します。 検索結果で [SQL データベース] を選択します。
[SQL データベース] で [+ 作成] を選択します。
[SQL データベースの作成] の [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 データベースの詳細 データベース名 「sql-db」と入力します。 サーバー [新規作成] を選択します。
[サーバー名] に server-name を入力します (サーバー名は一意である必要があります。server-name を一意の値に置き換えてください)。
[場所] で [(米国) 米国東部 2] を選択します。
[SQL 認証を使用する] を選択します。
サーバー管理者のサインインとパスワードを入力します。
を選択します。SQL エラスティック プールを使用しますか? このため、 [いいえ] を選択します。 ワークロード環境 既定値である [運用] のままにします。 バックアップ ストレージの冗長性 バックアップ ストレージの冗長性 [ローカル冗長バックアップ ストレージ] を選択します。 [次へ: ネットワーク] を選択します。
[SQL データベースの作成] の [ネットワーク] タブで、次の情報を入力または選択します。
設定 値 ネットワーク接続 接続方法 [プライベート エンドポイント] を選択します。 プライベート エンドポイント [+ プライベート エンドポイントの追加] を選択します。 プライベート エンドポイントの作成 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 場所 [米国東部 2] を選択します。 名前 「private-endpoint-sql」と入力します。 ターゲット サブリソース [SqlServer] を選択します。 ネットワーク 仮想ネットワーク [vnet-private-endpoint] を選択します。 Subnet [subnet-private-endpoint] を選択します。 プライベート DNS の統合 プライベート DNS ゾーンとの統合 [はい] を選択します。 プライベート DNS ゾーン 既定値である [privatelink.database.windows.net] のままにします。 [OK] を選択します。
[Review + create](レビュー + 作成) を選択します。
[作成] を選択します。
仮想ネットワーク ピアリングを使用した仮想ネットワークの接続
この項では、仮想ネットワーク ピアリングを使用して仮想ネットワークを接続します。 ネットワーク vnet-1 と vnet-private-endpoint は vnet-firewall に接続されています。 vnet-1 と vnet-private-endpoint の間に直接接続はありません。
ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。
[vnet-firewall] を選択します。
[設定] で [ピアリング] を選択します。
[ピアリング] で [+ 追加] を選択します。
[ピアリングの追加] で、次の情報を入力するか選びます。
設定 値 この仮想ネットワーク [Peering link name](ピアリング リンク名) 「vnet-firewall-to-vnet-1」と入力します。 [Traffic to remote virtual network](リモート仮想ネットワークへのトラフィック) [許可] (既定) を選択します。 [Traffic forwarded from remote virtual network](リモート仮想ネットワークから転送されるトラフィック) [許可] (既定) を選択します。 仮想ネットワーク ゲートウェイまたは Route Server [なし] (既定) を選択します。 リモート仮想ネットワーク [Peering link name](ピアリング リンク名) 「vnet-1-to-vnet-firewall」と入力します。 仮想ネットワークのデプロイ モデル [リソース マネージャー] を選択します。 サブスクリプション サブスクリプションを選択します。 仮想ネットワーク [vnet-1] を選択します。 [Traffic to remote virtual network](リモート仮想ネットワークへのトラフィック) [許可] (既定) を選択します。 [Traffic forwarded from remote virtual network](リモート仮想ネットワークから転送されるトラフィック) [許可] (既定) を選択します。 仮想ネットワーク ゲートウェイまたは Route Server [なし] (既定) を選択します。 [追加] を選択します。
[ピアリング] で [+ 追加] を選択します。
[ピアリングの追加] で、次の情報を入力するか選びます。
設定 値 この仮想ネットワーク [Peering link name](ピアリング リンク名) 「vnet-firewall-to-vnet-private-endpoint」と入力します。 'vnet-1' に 'vnet-private-endpoint' へのアクセスを許可する 既定値の [選択済み]のままにします。 'vnet-1' が 'vnet-private-endpoint' から転送されたトラフィックを受信することを許可する チェックボックスを オンにします。 'vnet-1' 内のゲートウェイによる 'vnet-private-endpoint' へのトラフィックの転送を許可する 既定値のオフのままにします。 'vnet-1' で 'vnet-private-endpoint' リモート ゲートウェイの使用を可能にする 既定値のオフのままにします。 リモート仮想ネットワーク [Peering link name](ピアリング リンク名) 「vnet-private-endpoint-to-vnet-firewall」と入力します。 仮想ネットワークのデプロイ モデル [リソース マネージャー] を選択します。 サブスクリプション サブスクリプションを選択します。 仮想ネットワーク [vnet-private-endpoint] を選択します。 'vnet-private-endpoint' に 'vnet-1' へのアクセスを許可する 既定値の [選択済み]のままにします。 'vnet-private-endpoint' が 'vnet-1' から転送されたトラフィックを受信することを許可する チェックボックスを オンにします。 "vnet-private-endpoint" 内のゲートウェイによる 'vnet-1' へのトラフィックの転送を許可する 既定値のオフのままにします。 'vnet-private-endpoint' で 'vnet-1' リモート ゲートウェイの使用を可能にする 既定値のオフのままにします。 [追加] を選択します。
両方のネットワーク ピアについて、[ピアリングの状態] に [接続済み] と表示されていることを確認してください。
仮想ネットワークをプライベート DNS ゾーンにリンクする
前の項でプライベート エンドポイント作成の間に作成したプライベート DNS ゾーンが vnet-1 および vnet-firewall 仮想ネットワークにリンクされている必要があります。
ポータルの上部にある検索ボックスに、「プライベート DNS ゾーン」と入力します。 検索結果で [プライベート DNS ゾーン] を選択します。
[privatelink.database.windows.net] を選択します。
[設定] で [仮想ネットワーク リンク] を選択します。
[+ 追加] を選択します。
[仮想ネットワーク リンクの追加] で、次の情報を入力または選択します。
設定 値 仮想ネットワークリンク 仮想ネットワーク リンク名 「link-to-vnet-1」と入力します。 サブスクリプション サブスクリプションを選択します。 仮想ネットワーク vnet-1 (test-rg) を選択します。 構成 [自動登録を有効にする] は、既定値であるオフのままにします。 [OK] を選択します。
[+ 追加] を選択します。
[仮想ネットワーク リンクの追加] で、次の情報を入力または選択します。
設定 値 仮想ネットワークリンク 仮想ネットワーク リンク名 「link-to-vnet-firewall」と入力します。 サブスクリプション サブスクリプションを選択します。 仮想ネットワーク [vnet-firewall (test-rg)] を選択します。 構成 [自動登録を有効にする] は、既定値であるオフのままにします。 [OK] を選択します。
vnet-1 と vnet-private-endpoint の間にルートを作成する
vnet-1 と vnet-private-endpoint の間にはネットワーク リンクが存在しません。 Azure Firewall を介してそれらの仮想ネットワーク間をトラフィックが流れるように、ルートを作成する必要があります。
このルートでは、Azure Firewall を介して vnet-1 から仮想ネットワーク vnet-private-endpoint のアドレス空間にトラフィックが送信されます。
ポータルの上部にある検索ボックスに、「ルート テーブル」と入力します。 検索結果で [ルート テーブル] を選択します。
[+ 作成] を選択します。
[ルート テーブルの作成] の [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 リージョン [米国東部 2] を選択します。 名前 「vnet-1-to-vnet-firewall」と入力します。 ゲートウェイのルートを伝達する 既定値の [はい] のままにします。 [Review + create](レビュー + 作成) を選択します。
[作成] を選択します。
ポータルの上部にある検索ボックスに、「ルート テーブル」と入力します。 検索結果で [ルート テーブル] を選択します。
[vnet-1-to-vnet-firewall] を選択します。
[設定] で [ルート] を選びます。
[+ 追加] を選択します。
[ルートの追加] で、次の情報を入力または選択します。
設定 値 ルート名 「subnet-1-to-subnet-private-endpoint」と入力します。 変換先の型 [IP アドレス] を選択します。 宛先 IP アドレス/CIDR 範囲 「10.1.0.0/16」を入力します。 ネクストホップの種類 [仮想アプライアンス] を選択します。 次ホップ アドレス 「10.2.1.4」と入力します。 [追加] を選択します。
[設定] で [サブネット] を選択します。
[+ 関連付け] を選択します。
[サブネットの関連付け] で、次の情報を入力または選択します。
設定 値 仮想ネットワーク [vnet-1(test-rg)] を選択します。 Subnet subnet-1 を選択します。 [OK] を選択します。
Azure Firewall でアプリケーション ルールを構成する
vnet-1 から Azure SQL サーバー server-name.database.windows.net のプライベート エンドポイントへの通信を許可するアプリケーション ルールを作成します。 server-name をご使用の Azure SQL サーバーの名前に置き換えてください。
ポータルの上部にある検索ボックスに、「Firewall」と入力します。 検索結果で [ファイアウォール ポリシー] を選択します。
[ファイアウォール ポリシー] で [firewall-policy] を選択します。
[設定] で [アプリケーション ルール] を選択します。
[+ 規則コレクションの追加] を選択します。
[規則コレクションの追加] で、次の情報を入力または選択します。
設定 値 名前 「rule-collection-sql」と入力します。 規則コレクションの種類 [アプリケーション] が選択されたままにしておきます。 優先順位 「100」と入力します。 規則コレクション アクション [許可] を選択します。 規則コレクション グループ 既定値である [DefaultApplicationRuleCollectionGroup] のままにします。 ルール ルール 1 名前 「SQLPrivateEndpoint」と入力します。 送信元の種類 [IP アドレス] を選択します。 ソース 「10.0.0.0/16」と入力します Protocol 「mssql:1433」と入力します 変換先の型 [FQDN] を選びます。 宛先 server-name.database.windows.net を入力します。 [追加] を選択します。
仮想マシンから Azure SQL への接続をテストする
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
vm-1 を選択します。
[操作] で [Bastion] を選択します。
仮想マシンのユーザー名とパスワードを入力します。
接続を選択します。
プライベート エンドポイントの名前解決を確認するには、ターミナル ウィンドウで次のコマンドを入力します。
nslookup server-name.database.windows.net次の例のようなメッセージが返されます。 返された IP アドレスは、プライベート エンドポイントのプライベート IP アドレスです。
Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net. Name:sql-server-8675.privatelink.database.windows.net Address: 10.1.0.4「Linux に SQL Server コマンド ライン ツール sqlcmd と bcp をインストールする」から SQL Server コマンド ライン ツールをインストールします。 インストールが完了したら、次の手順に進みます。
次のコマンドを使用して、前の手順で作成した SQL Server に接続します。
<server-admin> を、SQL Server 作成中に入力した管理者ユーザー名に置き換えてください。
<admin-password> を、SQL Server 作成中に入力した管理者パスワードに置き換えてください。
サーバー名 を SQL サーバーの名前に置き換えます。
sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'サインインに成功すると、SQL コマンド プロンプトが表示されます。 「exit」と入力して sqlcmd ツールを終了します。
Azure Firewall ログでトラフィックを確認する
ポータルの上部にある検索ボックスに、「Log Analytics」と入力します。 検索結果で [Log Analytics] を選択します。
Log Analytics ワークスペースを選択します。 この例では、ワークスペースの名前は log-analytics-workspace です。
[全般設定] で [ログ] を選択します。
例の [クエリ] で検索ボックスに「アプリケーション ルール」と入力します。 [ネットワーク] 内の返された結果において、[アプリケーション ルールのログ データ] の [実行] ボタンを選択します。
ログ クエリの出力において、[FQDN] で server-name.database.windows.net が、[ルール] で SQLPrivateEndpoint がそれぞれ示されていることを確認してください。
作成したリソースを使用し終えたら、リソース グループとそのすべてのリソースを削除できます。
Azure portal で、「リソース グループ」を検索して選択します。
[リソース グループ] ページで、test-rg リソース グループを選択します。
[test-rg] ページで、[リソース グループの削除] を選択します。
[削除を確認するために、リソース グループの名前を入力してください] に「test-rg」と入力して、[削除] を選びます。
次のステップ
次の記事に進み、Azure Private Resolver でプライベート エンドポイントを使用する方法をご確認ください。