Azure のエンドツーエンド セキュリティ

Azure には、クラウド デプロイのすべてのレイヤーにわたる包括的なセキュリティ機能が用意されています。 Microsoft Azure は、透過的なアカウンタビリティを実現しながら、顧客データの機密性、整合性、可用性を提供します。 この記事では、保護、検出、応答の機能別に整理された Azure のセキュリティ アーキテクチャについて説明します。

機能領域別に整理された Azure セキュリティ機能の包括的な概要については、「 Azure セキュリティの概要」を参照してください。 実装の詳細なガイダンスとベスト プラクティスについては、このドキュメント全体でリンクされているドメイン固有のセキュリティの概要に関する記事を参照してください。

Microsoft のセキュリティ アーキテクチャ

Azure セキュリティ サービスは、次の 3 つの基本カテゴリに分類されます。

• セキュアに保護: ID、インフラストラクチャ、ネットワーク、データに対する多層防御戦略を実装する
• 脅威の検出: 疑わしいアクティビティと潜在的なセキュリティ インシデントを特定する
• 調査と対応: セキュリティ イベントを分析し、是正措置を講じる

次の図は、Azure セキュリティ サービスがこれらのカテゴリとそれらが保護するリソースとどのように一致するかを示しています。

セキュリティ制御とベースライン

Microsoft クラウド セキュリティ ベンチマークは、Azure サービスの包括的なセキュリティ ガイダンスを提供します。

• セキュリティ制御: Azure テナントとサービス全体に適用できる高レベルの推奨事項
• サービス ベースライン: 特定の構成に関する推奨事項を使用した個々の Azure サービスの制御の実装

これらのコントロールとベースラインを使用して、次の操作を行います。

• クラウド デプロイのセキュリティ標準を確立する
• Microsoft Defender for Cloud 規制コンプライアンス ダッシュボードを使用して大規模なコンプライアンスを評価する
• CIS、NIST、PCI-DSS などの業界フレームワークにマップする
• Azure Policy を使用してセキュリティで保護された構成を実装する

ガバナンスとコンプライアンスの機能については、 Azure のセキュリティ管理と監視の概要に関するページを参照してください。

安全性確保と保護

Azure では、ID、インフラストラクチャ、ネットワーク、およびデータ全体で階層化されたセキュリティ制御が提供されます。 詳細な実装ガイダンスについては、ドメイン固有の概要に関する記事を参照してください。

脅威の防止

Microsoft Defender for Cloud は、継続的な評価と高度な脅威保護を備えた統合セキュリティ管理を提供します。 包括的な情報については、Azure 脅威保護をご覧ください。

ID とアクセス

• Microsoft Entra ID - クラウド ID とアクセス管理
• Privileged Identity Management - 適時特権アクセス
• Microsoft Entra ID Protection - リスク検出と修復の自動化

詳細については、 Azure ID 管理のセキュリティの概要に関するページを参照してください。

ネットワークのセキュリティ

• Azure Firewall - IDPS を使用したクラウドネイティブ ネットワーク ファイアウォール
• Azure DDoS Protection - 常時稼働するDDoS軽減策
• Azure VPN Gateway - 暗号化されたクロスプレミス接続
• Azure Front Door - 統合 WAF を使用したグローバル ロード バランサー
• Azure Private Link - Azure サービスへのプライベート接続

詳細については、 Azure ネットワーク セキュリティの概要に関するページを参照してください。

データ保護

• Azure Key Vault - FIPS 140-2 レベル 1 (Standard レベル) と FIPS 140-3 レベル 3 (Premium レベル) で検証された HSM を使用したセキュリティで保護されたキーとシークレット ストレージ
• Key Vault Managed HSM - シングルテナント FIPS 140-3 レベル 3 HSM
• Azure Storage Service Encryption - 保存時の自動暗号化
• Azure Backup - 独立バックアップと分離バックアップ
• Azure コンフィデンシャル コンピューティング - AMD SEV-SNP、Intel TDX、および NVIDIA H100 GPU サポートで使用されているハードウェア ベースのデータ保護

詳細については、 Azure での Azure 暗号化の概要 と キー管理に関するページを参照してください。

Governance

• Azure Policy - 標準を適用し、コンプライアンスを評価する

詳細については、 Azure のセキュリティ管理と監視の概要に関するページを参照してください。

脅威を検出する

Azure 脅威検出サービスは、環境内の疑わしいアクティビティとセキュリティ インシデントを特定します。

• Microsoft Defender for Cloud - ワークロード固有のプランを使用した高度な脅威保護
• Microsoft Sentinel - クラウドネイティブ SIEM および SOAR ソリューション
• Microsoft Defender XDR - 統合エンドポイント、ID、電子メール、アプリケーション保護
• Azure Network Watcher - ネットワークの監視と診断
• Microsoft Defender for Cloud Apps - クラウド アクセス セキュリティ ブローカー (CASB)

包括的な脅威検出機能については、 Azure 脅威の保護に関するページを参照してください。

調査して対応する

Azure には、セキュリティ イベントを分析し、インシデントに対応するためのツールが用意されています。

• Microsoft Sentinel - 検索ツールとクエリ ツールを使用した脅威ハンティング
• Azure Monitor - Log Analytics ワークスペースを使用した包括的なテレメトリの収集と分析
• Microsoft Entra の監視と正常性とは - アクティビティ ログと監査履歴
• Microsoft Defender for Cloud Apps - クラウド環境調査ツール

監視と運用のガイダンスについては、 Azure のセキュリティ管理と監視の概要に関するページを参照してください。

次のステップ

• 機能領域別に整理された包括的な概要については、 Azure セキュリティの概要 を確認する
• セキュリティ機能の包括的な一覧については、Azure のセキュリティ サービスとテクノロジ を確認してください
• クラウドでの共有責任を理解する
• Azure のセキュリティのベスト プラクティスとパターンを確認する
• Microsoft クラウド セキュリティ ベンチマークについて