セキュリティは、あらゆるアーキテクチャの最も重要な側面の 1 つです。 効果的なセキュリティ対策により、データとシステムの機密性、整合性、可用性が意図的な攻撃や悪用から保護されます。
Azureには、次の主要なサービスを含む多くのセキュリティ ツールと機能が用意されています。
Microsoft Defender for Cloud は、クラウド セキュリティ体制管理 (CSPM) とクラウド ワークロード保護 (CWP) を提供します。 セキュリティ コンプライアンスのリソースを評価し、体制を追跡するためのセキュリティ スコアを提供し、Azure、オンプレミス、マルチクラウドのワークロード全体で脅威保護を提供します。
Microsoft Entra ID は、Microsoftのクラウドベースの ID およびアクセス管理 (IAM) サービスです。 シングル サインオン (SSO)、多要素認証 (MFA)、および条件付きアクセスを提供して、ID ベースの攻撃から保護します。
Azure Front Door は、Web アプリケーションのグローバル エントリ ポイントです。 これには、一般的な攻撃や脆弱性からの防御を提供し、DDoS保護を行い、エッジでのトランスポート層セキュリティ (TLS) の終端処理を実行するための組み込みの Web アプリケーション ファイアウォール (WAF) が含まれています。
Azure Firewall は、Premium レベル、TLS 検査、完全修飾ドメイン名 (FQDN) ベースの規則で脅威インテリジェンス ベースのフィルター処理、侵入検出および防止 (IDPS) をサポートするクラウドネイティブ ネットワーク ファイアウォールです。
Azure Key Vault は、一元化されたシークレット管理、キー管理、および証明書管理を提供します。 Premium レベルでは、Federal Information Processing Standards (FIPS) 140-3 レベル 3 に検証されたハードウェア セキュリティ モジュール (HSM) で保護されたキーが提供されます。
Azure Private Link を使用すると、仮想ネットワーク内Azureプライベート エンドポイント経由でサービスとしてのプラットフォーム (PaaS) ソリューションにアクセスできます。 このアプローチでは、Microsoftバックボーン ネットワーク上のトラフィックを保持し、パブリック インターネットへの露出を排除します。
Azure Application Gateway は、Open Worldwide Application Security Project (OWASP) の上位 10 個の脆弱性、ボットの軽減策、カスタム ルールから保護する WAF を含むリージョン Web トラフィック ロード バランサーです。
Azure Policy を使用すると、組織の標準を適用し、大規模なコンプライアンスを評価し、準拠していないリソース構成を防ぐガードレールを適用できます。
Azureセキュリティ ツールと機能の詳細については、「end-to-end security in Azure」を参照してください。
アーキテクチャ
左側では、ユーザー (ユーザー、管理者、開発者) がAzureに接続します。 このセンターには、独自のサブネットに Azure Firewall Premium を含むセキュリティ ハブ仮想ネットワークが表示されます。さらに、Azure VPN Gateway サブネット内の VPN ゲートウェイ、Azure Bastion サブネット内の Azure Bastion、および Azure DDoS Protection が含まれています。 このハブは、右側のワークロード スポーク仮想ネットワークに接続します。これには、3 層アプリケーション アーキテクチャが含まれています。 アプリケーション アーキテクチャは、AppGw (WAF) を含む Application Gateway サブネット、アプリケーション セキュリティ グループ (ASG) によって保護された 2 つの仮想マシン (VM) とネットワーク セキュリティ グループ (NSG) を備えたフロントエンド層サブネット、ASG と NSG によって保護された 2 つの VM を持つアプリ層サブネット、および ASG と NSG によって保護された 2 つの VM を持つデータ層サブネットで構成されます。 スポークの点線は、セキュリティ層を介して要求された VM へのアクセスを示します。 ハブ アンド スポーク アーキテクチャの下の Azure ストレージ サービス セクションには、Azure Blob StorageとAzure Filesが含まれています。 右側の一般的な PaaS サービス セクションには、Microsoft Entra ID、Microsoft Defender for Cloud、ロールベースのアクセス制御 (RBAC)、Azure Monitor、およびAzure Key Vaultが含まれています。 下部のオンプレミス データセンター セクションには、ルーター、管理者ユーザー、Active Directory Domain Services (AD DS)、Microsoft Entra Connect、オンプレミス アプリが表示されます。 図全体の矢印は、すべてのコンポーネント間のトラフィック フローとセキュリティで保護された接続パスを示しています。
このアーキテクチャのVisio ファイルをダウンロードしてください。
前の図は、一般的なベースライン セキュリティ実装を示しています。 このアーキテクチャは、セキュリティ サービスAzure連携して、ID、ネットワーク、データ、およびアプリケーション層全体でワークロードを保護する方法を示しています。 Azureで構築できる実際のソリューションについては、Example ソリューションを参照してください。
Azureのセキュリティについて説明します
Microsoft Learn では、Azureセキュリティ テクノロジに関する無料のオンライン トレーニングが提供されます。 プラットフォームには、特定の製品とサービスのビデオ、チュートリアル、対話型ラボ、および職務別に整理されたラーニング パスが用意されています。
次のリソースは、Azureのセキュリティ実装に関する基礎知識を提供します。
セキュリティの基礎: 次のラーニング パスでは、主要なセキュリティの概念とAzureセキュリティ機能について説明します。
ネットワーク セキュリティ: 次のラーニング パスでは、仮想ネットワークのセキュリティ、ネットワークのセグメント化、セキュリティで保護された接続について説明します。
データ保護: 次のラーニング パスでは、暗号化、キー管理、アプリケーションのセキュリティについて説明します。
クラウド アプリケーションを Azure
脅威の保護: 次のラーニング パスでは、脅威の検出、調査、対応について説明します。
Microsoft Defender for Cloud
ロール別のラーニング パス
Microsoft Learn では、セキュリティプロフェッショナル向けのロールベースの認定パスが提供されます。
Microsoft 認定: Azure Security Engineer Associate (AZ-500)
注
AZ-500 認定は、2026 年 8 月 31 日に廃止されます。 最新情報については 、認定ページ をご確認ください。
Microsoft 認定: Security Operations Analyst Associate (SC-200)
組織の準備
クラウド導入を開始する組織は、 Azure のクラウド導入フレームワーク を使用して、クラウド導入を促進する実証済みのガイダンスにアクセスできます。 クラウド導入フレームワーク 安全な手法は、Azureクラウド資産をセキュリティで保護するための構造化されたアプローチを提供します。 戦略、計画、準備、導入、ガバナンス、運用に関するセキュリティ ガイダンスを提供します。
Azure のガバナンスでは、クラウド ガバナンス、コンプライアンス監査、自動ガードレールをサポートするために必要なツールが設定されます。 詳細については、Azureガバナンス設計領域のガイダンスを参照してください。
Azureでセキュリティ ソリューションの品質を確保するには、Azure Well-Architected Frameworkに従ってください。 Well-Architected Framework は、アーキテクチャの卓越性を求める組織に規範的なガイダンスを提供し、コスト最適化された Azure ソリューションを設計、プロビジョニング、監視する方法について説明します。 詳細については、 Well-Architected Framework のセキュリティの柱を参照してください。
セキュリティ固有のガイダンスについては、次の Well-Architected Framework サービス ガイドを参照してください。
ベスト プラクティス
次のベスト プラクティスに従って、Azureのセキュリティ ワークロードのセキュリティ、信頼性、パフォーマンス、運用品質を向上させます。
セキュリティ設計の原則: ゼロ トラスト モデルと機密性、整合性、可用性の CIA トライアドに基づいて、Azureでセキュリティで保護されたワークロードを設計するのに役立つ基本原則。
セキュリティ クイック リンク: セキュリティ ガイダンス、設計パターン、ベスト プラクティスへのリンクを提供する、Well-Architected Framework セキュリティの柱のハブ ページ。
セキュリティの設計レビュー チェックリスト: ID、ネットワーク、データ保護、ガバナンスに関するセキュリティ設計レビューに関する推奨事項のチェックリスト。
Azure FirewallとAzure Application Gatewayによる仮想ネットワークの保護: 認証、暗号化、およびネットワークセキュリティレイヤーを使用して、Azure FirewallとAzure Application GatewayでAzureアプリケーション ワークロードを保護するためのガイダンス。
Azure FirewallとAzure Application Gateway : ゼロ トラスト原則とエンドツーエンドの TLS 暗号化と検査を使用して、すべてのレイヤーのセキュリティに対するプロアクティブで統合されたアプローチ。Microsoft クラウド セキュリティ ベンチマーク: Azureおよびマルチクラウド環境でのワークロード、データ、サービスのセキュリティを向上させるための規範的なベスト プラクティスと推奨事項。
セキュリティを最新の状態に保つ
Azureセキュリティ サービスは、最新のセキュリティの課題に対処するために進化します。 最新の 更新プログラムと機能について常に情報を得る。
主要なセキュリティ サービスを最新の状態に保つには、次の記事を参照してください。
- Microsoft Defender for Cloud の新機能
- Microsoft Entra のリリースとお知らせ
- Azure Key Vault の新着情報
- Microsoft Sentinel の新機能
Azure Firewall Azure Application Gateway
その他のリソース
セキュリティ カテゴリには、さまざまなソリューションが含まれます。 次のリソースは、Azureの詳細を確認するのに役立ちます。
サンプル ソリューション
次のアーキテクチャ ソリューションは、Azureのセキュリティ パターンと実装を示しています。
- オンプレミスネットワークからAzure App Service Web アプリへのセキュリティが強化されたアクセス
- 安全に管理された Web アプリケーション
- ベースラインの高可用性ゾーン冗長 Web アプリケーション
- すべてのセキュリティ アーキテクチャを参照する
製品ドキュメント
Azure : Azureのセキュリティ サービスの概要を、保護、検出、応答の機能別に整理します。Microsoftサイバーセキュリティリファレンスアーキテクチャ: ゼロ トラスト の原則を使用して、Microsoft のセキュリティ機能が Microsoft プラットフォームやパートナー プラットフォームとどのように統合されるかを説明する図。
ハイブリッドとマルチクラウド
ほとんどの組織では、ワークロード、ID、データがオンプレミスのデータセンター、Azure、およびその他のクラウド プラットフォームにまたがるため、セキュリティに対するハイブリッド アプローチが必要です。 セキュリティ ポリシー、脅威検出、コンプライアンス制御は、攻撃者が悪用できるギャップを回避するために、これらすべての環境に拡張する必要があります。 通常、組織はオンプレミスのセキュリティ ソリューションをクラウドに拡張しAzure Arcを使用して、非AzureリソースをAzureコントロール プレーンに投影して一元管理します。 これらの環境を接続するには、組織はハイブリッド ネットワーク アーキテクチャを選択する必要があります。
次の主要なハイブリッドおよびマルチクラウド セキュリティ シナリオを確認します。
セキュリティで保護されたハイブリッド ネットワークを実装する: オンプレミス ネットワークをAzureに拡張する参照アーキテクチャ。 境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) とAzure Firewallを使用して、オンプレミスとAzure環境間の受信トラフィックと送信トラフィックを制御します。
オンプレミス ネットワークを Azure : ハイブリッド展開のセキュリティで保護されたネットワーク基盤を確立する、VPN フェールオーバーを使用したAzure VPN Gateway、Azure ExpressRoute、Azure ExpressRouteなどのハイブリッド ネットワーク接続オプションの比較。Hybrid アーキテクチャの設計: オンプレミス環境とAzure環境間でワークロードを実行するためのハイブリッド ネットワーク接続、ベスト プラクティス、および参照アーキテクチャをカバーする、Azure上のハイブリッド アーキテクチャのハブ ページ。
Azure を使用してハイブリッド DNS ソリューションを設計する: オンプレミスおよびAzureでホストされているワークロードの名前を解決するハイブリッド ドメイン ネーム システム (DNS) ソリューションを実装する参照アーキテクチャ。 このアーキテクチャでは、Azure DNS プライベート リゾルバーと Azure Firewall を使用します。
Azure ArcとAzureランディング ゾーンを使用したハイブリッドとマルチクラウドの導入: Azure Arcを使用して、オンプレミス サーバー、Kubernetes クラスター、およびマルチクラウド サービスをAzureコントロール プレーンにオンボードするガイダンス。このアーキテクチャでは、Microsoft Defender for Cloudを使用して、一元的なポリシーの適用、監視、脅威の保護を有効にします。
Azure と Microsoft Defender XDR の統合セキュリティサービス: Microsoft Sentinel、Microsoft Defender for Cloud、および Microsoft Defender XDR を統合することで、オンプレミス環境とクラウド環境全体のセキュリティ監視と脅威対応を統一します。
ID とアクセスの管理
ID は、クラウド環境の主要なセキュリティ境界です。 Azureでは、IAM はクラウドベースの ID プロバイダーとしてMicrosoft Entra IDを中心としています。 Microsoft Entra 条件付きアクセスは、ゼロ トラスト ポリシー エンジンとして機能します。 次のアーキテクチャとガイドでは、Azureおよびマルチクラウド環境の IAM 設計パターンに対処します。
オンプレミスの Active Directory ドメインを Microsoft Entra ID と統合する: オンプレミスの Active Directory を Microsoft Entra ID と統合し、Microsoft Entra Connect Sync、Microsoft Entra アプリケーション プロキシ、Microsoft Entra コンディショナル アクセスを含むクラウドベースの ID 認証を提供するための参照アーキテクチャ。
Identity アーキテクチャの設計: ラーニング パス、設計オプション、実装ガイダンス、およびベースライン ID 実装について説明する、Azureの ID アーキテクチャのハブ ページ。
AzureにActive Directory Domain Services (AD DS) リソース フォレストを作成する>: オンプレミスのActive Directoryフォレストと信頼関係を持つ、Azureに別個のActive Directoryドメインを作成する参照アーキテクチャ。 Azure仮想ネットワークに AD DS をデプロイする: 分散認証サービスを提供するためにオンプレミスの Active Directory ドメインをAzureに拡張する参照アーキテクチャ。
オンプレミスの AD FS を Azure : セキュリティで保護されたハイブリッド ネットワークの一部としてActive Directory フェデレーション サービス (AD FS) (AD FS) 承認をAzureに実装する参照アーキテクチャ。
脅威の防止
脅威保護には、Azureワークロード全体のセキュリティ上の脅威を検出、防止、対応するツール、パターン、およびプラクティスが含まれます。 Azureは、Microsoft Defender for Cloud、Microsoft Sentinel、Microsoft Entra ID 保護などのサービスを通じて、階層化された脅威保護を提供します。 これらのサービスでは、行動分析、機械学習、脅威インテリジェンスを使用して、コンピューティング、ストレージ、ネットワーク、ID、およびアプリケーション レイヤー全体の脅威を検出します。
次のアーキテクチャとガイドでは、Azureの脅威保護パターンに対処します。
Azure仮想マシン (VM) アクセスのための多層保護: Azure Bastion、Microsoft Defender for CloudのJust-In-Time (JIT) VM アクセス、Microsoft Entra Privileged Identity Management (PIM)、およびロールベースのアクセス制御 (Azure RBAC) のカスタムロールを組み合わせた多層防御ソリューションで、VM 管理の攻撃対象領域を最小限に抑えます。
Azure セキュリティ サービスを使用して防御の第 1 層を構築する : MITRE ATT&CK フレームワークを使用して、Azure セキュリティ サービスをリソースと脅威の種類にマップするためのソリューションアイデア。 この記事では、ネットワーク、インフラストラクチャ、アプリケーション、データ、ID レイヤーごとにAzureセキュリティ サービスを整理します。脅威を IT 環境にマップする: MITRE ATT&CK フレームワークを使用して、IT 環境を図に示し、脅威マップを作成するのに役立つガイダンスです。 オンプレミス、Azure、Microsoft 365環境について説明します。
AzureとMicrosoft Defender XDRのセキュリティサービスの統合: Microsoft Sentinel、Microsoft Defender for Cloud、およびMicrosoft Defender XDRを統合方法を示すソリューションのアイデア。オンプレミス環境とクラウド環境全体で統合されたセキュリティモニタリングと脅威対応を可能にします。
Microsoft Sentinel自動応答: 侵害されたユーザーのブロックやエンドポイントの分離など、Microsoft SentinelプレイブックとAzure Logic Appsを使用して脅威への対応を自動化するソリューションのアイデアです。
AzureのVMにゼロ トラスト原則を適用する: Azure VM にゼロ トラスト原則を適用するためのステップバイステップ ガイド。論理的な分離、RBAC、セキュア ブート、暗号化、Azure Bastionを使用したセキュリティで保護されたアクセス、そしてMicrosoft Defender for Serversによる高度な脅威検出を含みます。
Azure脅威の保護: Microsoft Defender for Cloud、Microsoft Sentinel、Microsoft Entra ID 保護など、Azure脅威保護サービスの概要Microsoft Defender for Cloud Apps、およびAzure Firewall。
アマゾン ウェブ サービス (AWS) または Google Cloud の専門家
すぐに開始できるように、次の記事では、Azureセキュリティ オプションを他のクラウド サービスと比較します。
サービスの比較
AWS と Azure ID 管理ソリューションの詳細な比較: コア ID、認証、アクセス制御、特権アクセス管理、アプリケーション ID パターンなど、AWS とAzure ID サービスの詳細な比較。
AWS をAzureサービスの比較 - セキュリティ、ID、アクセス: IAM、暗号化、ファイアウォール、脅威検出、セキュリティ情報とイベント管理 (SIEM)、DDoS 保護など、AWS とAzureセキュリティ サービスの比較。
Google Cloud to Azure サービスの比較 - セキュリティと ID: Google Cloud と Azure セキュリティ サービスの比較。 認証、暗号化、キー管理、脅威検出、SIEM、コンテナー セキュリティ、およびデータ損失防止 (DLP) について説明します。
Microsoft Entra AWS の ID 管理とアクセス管理: AWS アカウントの SSO、MFA、Microsoft Entra 条件付きアクセス、Microsoft Entra PIM など、AWS 用のMicrosoft Entra IAM ソリューションをデプロイするためのガイダンス。
移行ガイダンス
別のクラウド プラットフォームから移行する場合は、次の記事を参照してください。
AWS からのセキュリティ サービスの移行: MICROSOFT SENTINELへの SIEM 移行やMicrosoft Entra 外部 IDへの顧客 ID の移行など、AWS セキュリティ サービスをAzureに移行するためのガイダンス。
他のクラウド プラットフォームからAzureするワークロードの移行: 計画、準備、実行フェーズなど、AWS と Google Cloud から Azure へのエンドツーエンドのワークロード移行プロセスの概要。