Azure セキュリティ サービスを使用して防御の第 1 層を構築する

さまざまなAzure サービスを使用して、組織の完全な IT インフラストラクチャを作成できます。 Azureには、そのインフラストラクチャの保護に役立つセキュリティ サービスも用意されています。 Azureセキュリティ ソリューションを使用すると、Microsoft のベスト プラクティスに基づく適切に設計されたソリューションを使用して、環境のセキュリティ体制を強化し、脆弱性を軽減し、侵害リスクを軽減できます。

一部のセキュリティ サービスでは関連するコストが発生しますが、多くは追加料金なしで利用できます。 無料サービスには、ネットワークセキュリティグループ (NSG)、ストレージの暗号化、TLS/SSL、共有アクセス署名トークンなどがあります。 この記事では、これらのコスト無料サービスに焦点を当てます。

この記事は、5 つのシリーズの 3 番目です。 このシリーズの前の 2 つの記事 (IT 環境に対して脅威をマップする方法の概要とレビューなど) を確認するには、次の記事を参照してください。

• 脅威を IT 環境にマップします

考えられるユース ケース

この記事では、virtual machines (VM)、オペレーティング システム、Azure Azure ネットワーク、アプリケーションなどのリソースを対象とする特定の脅威に焦点を当て、ユーザーとパスワードを侵害する可能性がある攻撃に加えて、Azure セキュリティ サービスをリソース別に整理します。 次の図は、これらの種類の脅威からリソースとユーザー ID を保護するのに役立つAzureセキュリティ サービスを特定するのに役立ちます。

アーキテクチャ

このアーキテクチャのVisio ファイルをダウンロードしてください。

©2021 The MITRE Corporation。 本作品は MITRE コーポレーションの許可を得て再現・配布しています。

この図のAzureセキュリティ層は、Azure セキュリティ ベンチマーク (ASB) v3 に基づいています。これは、Azure ポリシーを通じて実装される一連のセキュリティ規則です。 ASB は、CIS Center for Internet Security と米国国立標準技術研究所の規則の組み合わせに基づいています。 ASB の詳細については、 Azure セキュリティ ベンチマーク v3を参照してください。

この図には、使用可能なすべてのAzureセキュリティ サービスが含まれているわけではありませんが、最も一般的に使用されるサービスが強調表示されています。 アーキテクチャ図に示されているすべてのセキュリティ サービスを組み合わせて、IT 環境と組織の特定のセキュリティ ニーズと連携するように構成できます。

Workflow

このセクションでは、図に表示されるコンポーネントとサービスについて説明します。 それらの多くは、略称のラベルに加えて、ASB コントロール コードでラベル付けされています。 コントロール コードは、Controls に記載されているコントロール ドメインに対応します。

1. Azure セキュリティ ベンチマーク

   各セキュリティ制御は、1 つ以上の特定のAzureセキュリティ サービスを指します。 この記事のアーキテクチャ リファレンスでは、ASB ドキュメントに従って、それらの一部とその制御番号を示します。 コントロールには次のものが含まれます。

   • ネットワークのセキュリティ
   • ID 管理
   • 特権アクセス
   • データ保護
   • アセット管理
   • ログと脅威検出
   • インシデント対応
   • 体制と脆弱性の管理
   • エンドポイントのセキュリティ
   • バックアップと回復
   • DevOps セキュリティ
   • ガバナンスと戦略

   セキュリティ制御の詳細については、「 Azure セキュリティ ベンチマーク (v3) の概要」を参照してください。

2. Network

   次の表では、図のネットワーク サービスについて説明します。

   ラベル	説明	ドキュメント
   NSG	ネットワーク インターフェイスまたはサブネットにアタッチする無料サービス。 NSG を使用すると、受信接続と送信接続用の IP アドレス範囲とポートを使用して、TCP または UDP プロトコル トラフィックをフィルター処理できます。	ネットワーク セキュリティ グループ
   VPN	IPSEC (IKE v1/v2) 保護を使用してトンネルを提供する仮想プライベート ネットワーク (VPN) ゲートウェイ。	VPN Gateway
   Azure Firewall	レイヤー 4 で保護を提供し、virtual network全体にアタッチされるサービスとしてのプラットフォーム (PaaS)。	Azure Firewallですか?
   アプリ GW + WAF	Azure Application Gateway と Web Application Firewall (WAF) Application Gatewayは、レイヤー 7 で動作し、HTTP と HTTPS を使用するアプリケーションを保護するための WAF を追加する Web トラフィックのload balancerです。	Azure Application Gatewayですか?
   NVA	ネットワーク仮想アプライアンス (NVA)。 Azure上の VM にプロビジョニングされたマーケットプレースからの仮想セキュリティ サービス。	ネットワーク仮想アプライアンス
   DDoS	さまざまな種類の DDoS 攻撃を軽減するために、virtual networkに実装された DDoS 保護。	Azure DDoS ネットワーク保護の概要
   TLS/SSL	TLS/SSL は、Azure StorageやWeb Appsなどの情報をexchangeするほとんどのAzure サービスに対して転送中の暗号化を提供します。	PowerShell でApplication Gatewayを使用してエンド ツー エンド TLS を構成する
   Private Link	最初にインターネットに公開されるAzure サービスのプライベート ネットワークを作成できるサービス。	Azure Private Linkとは
   プライベート エンドポイント	ネットワーク インターフェイスを作成し、Azure サービスにアタッチします。 プライベート エンドポイントは、Private Linkの一部です。 この構成により、サービスはプライベート エンドポイントを介してvirtual networkの一部になります。	プライベート エンドポイントは何ですか?

3. インフラストラクチャとエンドポイント

   次の表では、図に示すインフラストラクチャとエンドポイント サービスについて説明します。

   ラベル	説明	ドキュメント
   砦	Bastion はジャンプ サーバー機能を提供します。 このサービスを使用すると、VM をインターネットに公開することなく、remote desktop プロトコル (RDP) または SSH 経由で VM をaccessできます。	Azure Bastionは何ですか?
   マルウェア対策	Microsoft Defenderはマルウェア対策サービスを提供し、Windows 10、Windows 11、Windows Server 2016、および Windows Server 2019 の一部です。	Microsoft Defender Windows のウイルス対策
   ディスク暗号化	Azure Managed Disksは、サーバー側暗号化 (SSE) を使用して既定で保存時に暗号化されます。 ホストでの暗号化は、サポートされている VM サイズの一時ディスクやディスク キャッシュなど、VM データのエンドツーエンドの暗号化を提供するオプションの拡張機能です。	ホストでの暗号化
   Keyvault	Key Vault、FIPS 140-2 レベル 2 または 3 でキー、シークレット、証明書を格納するサービスです。	Azure Key Vault基本的な概念
   RDP Short	Azure Virtual Desktop の RDP Shortpath この機能を使用すると、リモート ユーザーが、プライベート ネットワークから Virtual Desktop サービスに接続できます。	マネージド ネットワークの Azure Virtual Desktop RDP Shortpath
   リバース接続	Azure Virtual Desktop の組み込みのセキュリティ機能。 リバース接続では、リモート ユーザーがピクセル ストリームのみを受信し、ホスト VM に接続しないことが保証されます。	Azure Virtual Desktop ネットワーク接続の理解

4. アプリケーションとデータ

   次の表では、図に示されているアプリケーション サービスとデータ サービスについて説明します。

   ラベル	説明	ドキュメント
   Frontdoor + WAF	コンテンツ配信ネットワーク (CDN)。 Front Door は、複数のプレゼンス ポイントを組み合わせて、サービスをaccessし、WAF を追加するユーザーにより良い接続を提供します。	Azure Front Doorですか?
   API Management	API 呼び出しのセキュリティを提供し、複数の環境で API を管理するサービス。	about API Management
   PenTest	Azure リソースなど、環境内で侵入テストを実行するための一連のベスト プラクティス。	ペネトレーションテスト
   Storage SAS トークン	有効期限ポリシーを使用して他のユーザーがAzureストレージアカウントにアクセスできるようにする共有アクセス トークン。	＜c0＞共有アクセス署名 (SAS) を使用して Azure Storage リソースに制限付きアクセスを提供する＜/c0＞
   プライベート エンドポイント	ネットワーク インターフェイスを作成し、storage アカウントにアタッチして、Azure上のプライベート ネットワーク内で構成します。	Azure Storage
   Storage firewall	IPアドレスの範囲を設定してストレージ アカウントにアクセスできるファイアウォール。	ファイアウォールと仮想ネットワークAzure Storage構成する
   暗号化 (Azure Storage)	ストレージアカウントは静的データに対する暗号化によって保護されます。	Azure Storage静止データの暗号化
   SQL 監査	データベース イベントを追跡し、Azure storage アカウントの監査ログに書き込みます。 Microsoft Fabric ウェアハウスまたはレイクハウスを使用する分析シナリオでは、Fabric ワークスペースのアクティビティ ログと Microsoft Purview（有効にされている場合）を使用して、アクセスと分類を監視します。	Azure SQL Database の監査 Microsoft Purviewの概要
   脆弱性評価	データベースの潜在的な脆弱性を検出、追跡し、その修復を支援するサービス。	SQL の脆弱性評価は、データベースの脆弱性を特定するのに役立ちます
   暗号化 (Azure SQL)	Transparent data encryption (TDE) は、Azure SQL Database サービスの保存データを暗号化します。 OneLake に格納Microsoft Fabricデータは、既定ではプラットフォームで管理される暗号化によって保存時に暗号化され、Fabric のセキュリティの基礎に合わせて調整されます。	SQL Database および SQL Managed Instance に対する透過的データ暗号化 Microsoft Fabric のセキュリティ

5. アイデンティティ

   次の表では、図に示されている ID サービスについて説明します。

   ラベル	説明	ドキュメント
   RBAC	Azureロールベースのアクセス制御 (Azure RBAC) は、ユーザーのMicrosoft Entra資格情報に基づいた詳細なアクセス許可を使用して、Azureのサービスへのアクセスを管理するのに役立ちます。	Azure ロールベース アクセス制御 (Azure RBAC)とは何ですか?
   MFA	多要素認証では、ユーザー名とパスワード以外の追加の種類の認証が提供されます。	しくみ: Microsoft Entra 多要素認証
   ID 保護	Microsoft Entra IDのセキュリティ サービスである Identity Protection は、1 日あたり数兆ものシグナルを分析して、脅威からユーザーを特定して保護します。	Identity Protection とは
   PIM	Privileged Identity Management (PIM)、Microsoft Entra IDからのセキュリティ サービス。 これは、Microsoft Entra ID (ユーザー管理者など) とAzureサブスクリプション (ロール ベースのAccess Control管理者、Key Vault管理者など) に対してスーパーユーザー特権を一時的に提供するのに役立ちます。	Microsoft Entra Privileged Identity Managementとは何ですか?
   Cond Acc	条件付きAccessは、さまざまな条件に対して定義したポリシーを使用して、ユーザーにaccessをブロックまたは付与するインテリジェントなセキュリティ サービスです。	条件付きAccessとは

コンポーネント

• Microsoft Entra ID は、ID およびaccess管理サービスです。 このアーキテクチャでは、ユーザー ID とaccessを管理し、Microsoft 365やAzure portalなどの外部リソース、および社内イントラネット ネットワーク上のアプリなどの内部リソースを管理します。

• Azure Virtual Network は、Azure リソース、インターネット、オンプレミス ネットワーク間のセキュリティで保護された通信を可能にするネットワーク サービスです。 このアーキテクチャでは、ワークロードのセキュリティで保護された接続と分離をサポートするプライベート ネットワーク インフラストラクチャを提供します。

• Azure Load Balancer は、UDP および TCP トラフィック用の低待機時間レイヤー 4 負荷分散サービスです。 Load Balancerは、数百万の同時実行フローを処理できるゾーン冗長サービスです。 このアーキテクチャでは、virtual network内のリソース間で受信トラフィックと送信トラフィックを分散することで、高可用性とスケーラビリティを確保します。

• Azure Virtual Machines は、スケーラブルなコンピューティング リソースを提供するサービスとしてのインフラストラクチャ (IaaS) オファリングです。 このアーキテクチャでは、VM は、オペレーティング システムとセキュリティ構成を直接制御する必要があるワークロードをホストします。

• Azure Kubernetes Service (AKS) は、Kubernetes クラスターのデプロイと管理を簡略化するマネージド コンテナー オーケストレーション サービスです。 このアーキテクチャでは、AKS はコンテナー化されたアプリケーションを実行し、セキュリティ、ガバナンス、継続的インテグレーション/継続的デリバリー (CI/CD) の組み込み機能を提供します。

• Virtual Desktop は、クラウドからリモート デスクトップを提供するデスクトップおよびアプリ仮想化サービスです。 このアーキテクチャでは、リモート ユーザー用の企業デスクトップにセキュリティで保護されたaccessを提供し、RDP Shortpath やリバース接続などの組み込み機能が含まれています。

• App Service Web アプリケーション、REST API、モバイル バックエンドをホストします。 このアーキテクチャでは、Web Appsは HTTP ベースのアプリケーションをホストし、TLS やプライベート エンドポイントなどのセキュリティ機能を提供します。 選択した言語で開発できます。 アプリケーションは、Windows と Linux ベースの両方の環境で実行およびスケーリングされます。

• Azure Storage は、BLOB、ファイル、キュー、テーブルなど、さまざまなデータ型のスケーラブルで安全なstorage ソリューションです。 このアーキテクチャでは、保存時の暗号化を使用してアプリケーションとシステムのデータを格納し、SAS トークンとプライベート エンドポイントを介したセキュリティで保護されたaccessをサポートします。

• SQL Database は、修正プログラムの適用、バックアップ、監視を自動化するマネージド リレーショナル データベース サービスです。 このアーキテクチャでは、透過的データ暗号化、監査、脆弱性評価などの機能を活用し、セキュリティとコンプライアンスに対応したデータストレージを提供します。

• Microsoft Fabric は、データ エンジニアリング、データ ウェアハウス、リアルタイム分析、ビジネス インテリジェンスを統合した統合 SaaS 分析プラットフォームです。 このアーキテクチャでは、管理されたワークスペース、保存時の OneLake 暗号化、項目レベルのロールベースのaccess、運用データがAzure SQL Databaseなどのサービスに残っている間に一元化されたアクティビティ ログを必要とする分析ワークロードに Fabric を採用できます。

貢献者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

主要作成者:

• Rudnei Oliveira |シニア Azure セキュリティ エンジニア

その他の共同作成者:

• Gary Moore | プログラマー/ライター
• Andrew Nathan｜シニアカスタマーエンジニアリングマネージャー
• フィリペ・モレイラ |クラウド ソリューション アーキテクト

次のステップ

Microsoft は、IT 環境のセキュリティ保護に役立つドキュメントをさらに用意しており、次の記事が特に役立ちます。

• Azure の Microsoft Cloud Adoption Frameworkのセキュリティ。 Cloud Adoption Frameworkでは、プロセス、ベスト プラクティス、モデル、エクスペリエンスを明確にすることで、クラウド体験のセキュリティ ガイダンスを提供します。
• Microsoft Azure Well-Architected Framework。 Azure Well-Architected Framework は、ワークロードの品質を向上させるために使用できる一連の基本原則です。 このフレームワークは、信頼性、セキュリティ、コスト最適化、オペレーショナル エクセレンス、パフォーマンス効率の 5 つの柱を基にしています。
• Microsoft セキュリティのベスト プラクティス。 Microsoft セキュリティのベスト プラクティス (旧称 Azure Security Compass または Microsoft Security Compass) は、セキュリティ関連の決定に対して明確で実用的なガイダンスを提供するベスト プラクティスのコレクションです。
• Microsoft サイバーセキュリティ リファレンス アーキテクチャ (MCRA)。 MCRA は、さまざまな Microsoft セキュリティ参照用アーキテクチャをまとめたものです。

次のリソースでは、この記事で説明されているサービス、テクノロジ、用語の詳細を確認できます。

• パブリック クラウド、プライベート クラウド、ハイブリッド クラウドは何ですか?
• Azure セキュリティ ベンチマーク (v3)
• Zero Trust によるプロアクティブなセキュリティの導入
• Microsoft 365 サブスクリプション情報
• Microsoft Defender XDR

関連リソース

この参照アーキテクチャの詳細については、このシリーズの他の記事を参照してください。

• パート 1: IT 環境への脅威のマッピング
• パート 3: Microsoft Defender XDR セキュリティ サービスを使用して第 2 の防御レイヤーを構築する
• パート 4: XDR セキュリティ サービスと Azure Microsoft Defender の間の統合