Azure セキュリティの管理と監視の概要
この記事では、Azure クラウド サービスと仮想マシンの管理と監視を支援するために Azure が提供するセキュリティ機能とサービスの概要を説明します。
Azure ロールベースのアクセス制御
Azure ロールベースのアクセス制御 (Azure RBAC) は、Azure リソースのアクセス権を詳細に管理できるようにします。 Azure RBAC を使用すると、職務に必要な範囲のアクセス権だけをユーザーに付与することができます。 Azure RBAC は、ユーザーが組織を離れるときに、クラウド内のリソースへのアクセス権を失うようにするためにも役立ちます。
詳細情報:
マルウェア対策
Azure では、Microsoft、Symantec、Trend Micro、McAfee、Kaspersky などの主要セキュリティ ベンダーのマルウェア対策ソフトウェアを使用できます。 このソフトウェアは、悪意のあるファイル、アドウェア、他の脅威から仮想マシンを保護するのに役立ちます。
Azure Cloud Services および Virtual Machines の Microsoft マルウェア対策は、PaaS ロールと仮想マシンの両方のためのマルウェア対策エージェントをインストールする機能を提供します。 この機能は、System Center Endpoint Protection に基づいており、実績のあるオンプレミス セキュリティ テクノロジをクラウドに持ち込みます。
Symantec Endpoint Protection (SEP) も、Azure でサポートされています。 ポータルの統合により、お客様は SEP を VM 上で使うように指定できます。 SEP は、Azure Portal を通じて新しい VM にインストールすることができます。また、PowerShell を使って既存の VM にインストールすることもできます。
詳細情報:
- Azure Cloud Services および Virtual Machines 向け Microsoft マルウェア対策
- Azure Virtual Machines を保護するための新しいマルウェア対策オプション
多要素認証
Microsoft Entra 多要素認証は、複数の検証方法の使用を求める認証の方法です。 ユーザーのサインインとトランザクションに重要な第 2 のセキュリティ レイヤーを追加できます。
多要素認証は、シンプルなサインイン プロセスを好むユーザーのニーズに応えながら、データやアプリケーションへのアクセスを保護するのに役立ちます。 電話やテキスト メッセージ、モバイル アプリによる通知のほか、確認コードやサード パーティの OATH トークンなど、一連の照合方法を通じて確実な認証を行うことができます。
詳細情報:
ExpressRoute
Azure ExpressRoute を使うと、接続プロバイダーが提供する専用プライベート接続で、オンプレミスのネットワークを Microsoft クラウドに拡張できます。 ExpressRoute では、Azure、Microsoft 365、CRM Online などの Microsoft クラウド サービスへの接続を確立できます。 以下のものから接続できます。
- 任意の環境間 (VPN IP) ネットワーク。
- ポイント ツー ポイントのイーサネット ネットワーク。
- コロケーション施設の接続プロバイダー経由での仮想クロス接続。
ExpressRoute 接続はパブリックなインターネットを経由しません。 ExpressRoute 接続は一般的なインターネットでの接続よりも信頼性が高く、高速で、待ち時間が短く、セキュリティの高い接続を提供できます。
詳細情報:
仮想ネットワーク ゲートウェイ
VPN ゲートウェイ (Azure 仮想ネットワーク ゲートウェイとも呼ばれます) は、仮想ネットワークとオンプレミスの場所の間でネットワーク トラフィックを送信するために使用されます。 また、Azure 内で複数の仮想ネットワーク間のトラフィック送信にも使用されます (ネットワーク間)。 VPN ゲートウェイは、Azure とお使いのインフラストラクチャの間の安全なクロスプレミス接続を提供します。
詳細情報:
Privileged Identity Management
ユーザーは、Azure のリソース、または他の SaaS アプリケーションで、特権操作を実行することが必要になる場合があります。 これは、多くの場合、組織が Microsoft Entra ID で永続的な特権アクセスを付与することを意味します。
しかし、この措置では、ユーザーが特権アクセスを使用して実行している内容を組織が十分に監視できないため、クラウドでホストされているリソースのセキュリティ リスクが増大します。 また、特権アクセスを持つユーザー アカウントが侵害された場合に、その 1 つの侵害が組織のクラウド セキュリティ全体に影響を与える可能性もあります。 Microsoft Entra Privileged Identity Management は、特権の公開期間を短縮し、使用状況の可視性を向上させることによって、このリスクを解決するのに役立ちます。
Privileged Identity Management は、ロールまたは "ジャスト イン タイム" 管理者アクセス用の一時的管理者の概念を導入します。 この種の管理者は、割り当てられたロールのアクティブ化プロセスを完了する必要があるユーザーです。 このアクティブ化プロセスによって、Microsoft Entra ID におけるユーザーへのロールの割り当てが、指定された期間だけ、非アクティブからアクティブに変更されます。
詳細情報:
Identity Protection
Microsoft Entra ID Protection では、ビジネスを保護するのに役立つように、疑わしいサインイン アクティビティと潜在的な脆弱性の統合ビューが提供されます。 Identity Protection は、次のようなシグナルに基づいて、ユーザーおよび特権 (管理者) ID に対する不審なアクティビティを検出します。
- ブルート フォース攻撃。
- 漏洩した資格情報。
- 未知の場所および感染したデバイスからのサインイン。
Identity Protection は、通知と推奨される修復を提供することで、リスクをリアルタイムで軽減できるようにします。 ユーザー リスクの重大度を計算します。 ユーザーはリスク ベースのポリシーを構成して、アプリケーションのアクセスが将来の脅威から自動的に保護されるようにすることができます。
詳細情報:
Defender for Cloud
Microsoft Defender for Cloud は、脅威の防御、検出、対応に役立ちます。 Defender for Cloud により、Azure リソースやハイブリッド クラウド環境内のリソースのセキュリティの可視性が向上すると共に、そのきめ細かい制御が可能になります。
Defender for Cloud では、接続されているリソースの継続的なセキュリティ評価を実行し、それらの構成やデプロイを Microsoft クラウド セキュリティ ベンチマークと比較して、その環境向けに調整されたセキュリティに関する詳細な推奨事項を提供します。
Defender for Cloud は、Azure リソースのセキュリティの最適化と監視に役立つ次の機能を備えています。
- 以下に従って、Azure サブスクリプション リソースに対するポリシーを定義できるようにします。
- 組織のセキュリティ ニーズ。
- 各サブスクリプション内のアプリケーションの種類またはデータの機密度。
- サブスクリプションに適用する業界または規制の基準やベンチマーク。
- Azure 仮想マシン、ネットワーク、およびアプリケーションの状態を監視します。
- 統合パートナー ソリューションからのアラートなど、優先度の高いセキュリティ アラートの一覧を提供します。 迅速に攻撃を調査するために必要な情報と、修復方法に関する推奨事項も提供します。
詳細情報:
次の手順
共同責任モデルについて学習します。また、Microsoft が処理するセキュリティ タスクとお客様が処理するタスクについても確認しましょう。
セキュリティの管理について詳しくは、「Azure のセキュリティ管理」をご覧ください。