編集

Share via

Azure セキュリティ サービスを使用して防御の第 1 層をビルドする

Azure
Microsoft Entra ID

ソリューションのアイデア

このアーティクルはソリューションのアイデアです。 このコンテンツにさらに多くの情報 (想定されるユース ケース、代替サービス、実装に関する考慮事項、価格ガイダンスなど) の掲載をご希望の方は、GitHub のフィードバックでお知らせください。

さまざまな Azure サービスを使用して、組織を実行するための IT インフラストラクチャ全体を構築できます。 Azure では、インフラストラクチャを保護するためのセキュリティ サービスも提供されています。 Azure セキュリティ サービスを使用すると、IT 環境のセキュリティ体制を強化できます。 Microsoft の推奨事項に従って適切に設計されたソリューションを実装することで、脆弱性を緩和し、侵害を回避できます。

料金が発生するセキュリティ サービスもあれば、追加料金が発生しないセキュリティ サービスもあります。 無料のサービスには、ネットワーク セキュリティ グループ (NSG)、ストレージ暗号化、TLS/SSL、共有アクセス署名トークンなどがあります。 この記事では、このようなサービスについて説明します。

この記事は、5 つのシリーズの 3 番目です。 IT 環境に脅威をマッピングする方法の概要とレビューなどの、このシリーズの前の 2 つの記事を確認するには、次の記事を参照してください。

考えられるユース ケース

この記事では、各 Azure サービスに従った Azure セキュリティ サービスについて説明します。 この記事では、仮想マシン (VM)、オペレーティング システム、Azure ネットワーク、アプリケーションなどのリソースに対する特定の脅威、またはユーザーやパスワードを侵害する可能性がある攻撃について考えることができます。 次に、この記事の図を使用して、その種類の脅威からリソースとユーザー ID を保護するために使用できる Azure セキュリティ サービスを理解することができます。

アーキテクチャ

オンプレミスのリソース、Microsoft 365 や Azure のサービス、MITRE ATTACK マトリックスで分類された 16 種類の脅威を図にしたもの。

このアーキテクチャの Visio ファイルをダウンロードします。

©2021 The MITRE Corporation。 本作品は MITRE コーポレーションの許可を得て再現・配布しています。

この図の Azure セキュリティ レイヤーは、Azure セキュリティ ベンチマーク (ASB) v3 に基づいています。これは、Azure ポリシーを通じて実装されるセキュリティ規則のセットです。 ASB は、CIS Center for Internet Security米国国立標準技術研究所の規則の組み合わせに基づいています。 ASB の詳細については、Azure セキュリティ ベンチマーク v3 の概要に関するページを参照してください。

この図には、利用可能なすべての Azure セキュリティ サービスが含まれているわけではありませんが、組織で最も一般的に使用されるセキュリティ サービスが示されています。 アーキテクチャの図で示されているすべてのセキュリティ サービスは、IT 環境と組織のセキュリティ要件に応じて、任意の組み合わせで連携できます。

ワークフロー

このセクションでは、図に表示されるコンポーネントとサービスについて説明します。 それらの多くは、略称のラベルに加えて、ASB コントロール コードでラベル付けされています。 コントロール コードは、コントロールに一覧表示されているコントロール ドメインに対応します。

  1. Azure セキュリティ ベンチマーク

    各セキュリティ コントロールは、1 つ以上の特定の Azure セキュリティ サービスを指します。 この記事のアーキテクチャ リファレンスでは、ASB ドキュメントに従って、それらの一部とその制御番号を示します。 コントロールには次のものが含まれます。

    • ネットワークのセキュリティ
    • ID 管理
    • 特権アクセス
    • データ保護
    • アセット管理
    • ログと脅威検出
    • インシデント対応
    • 体制と脆弱性の管理
    • エンドポイントのセキュリティ
    • バックアップと回復
    • DevOps セキュリティ
    • ガバナンスと戦略

    セキュリティ コントロールの詳細については、Azure セキュリティ ベンチマーク v3 の概要に関するページを参照してください。

  2. ネットワーク

    次の表では、図のネットワーク サービスについて説明します。

    Label 説明 ドキュメント
    NSG ネットワーク インターフェイスまたはサブネットにアタッチする無料サービス。 NSG を使用すると、受信接続と送信接続用の IP アドレス範囲とポートを使用して、TCP または UDP プロトコル トラフィックをフィルター処理できます。 ネットワーク セキュリティ グループ
    VPN IPSEC (IKE v1/v2) 保護を使用してトンネルを提供する仮想プライベート ネットワーク (VPN) ゲートウェイ。 VPN Gateway
    Azure Firewall レイヤー 4 で保護を提供するサービスとしてのプラットフォーム (PaaS) であり、仮想ネットワーク全体に接続されます。 Azure Firewall とは
    APP GW + WAF Azure Application Gateway と Web アプリケーション ファイアウォール (WAF) Application Gateway は、レイヤー 7 で動作する Web トラフィック用のロード バランサーであり、HTTP や HTTPS を使用するアプリケーションを保護するための WAF を追加します。 Azure Application Gateway とは
    NVA ネットワーク仮想アプライアンス (NVA) は、Azure 上の VM にプロビジョニングされるマーケットプレースからの仮想セキュリティ サービスです。 ネットワーク仮想アプライアンス
    DDoS さまざまな種類の DDoS 攻撃を軽減するために、仮想ネットワークに実装される DDoS 保護。 Azure DDoS ネットワーク保護の概要
    TLS/SSL TLS/SSL は、Azure Storage や Web Apps などの情報を交換するほとんどの Azure サービスに対して転送中の暗号化を提供します。 Application Gateway での PowerShell を使用したエンド ツー エンド TLS の構成
    プライベート リンク 最初にインターネットに公開される Azure サービス用のプライベート ネットワークを作成できるサービス。 Azure Private Link とは
    プライベート エンドポイント ネットワーク インターフェイスを作成し、それを Azure サービスにアタッチします。 プライベート エンドポイントは、プライベート リンクの一部です。 この構成により、プライベート エンドポイントを使用して、サービスを仮想ネットワークの一部にすることができます。 プライベート エンドポイントとは

  3. インフラストラクチャとエンドポイント

    次の表では、図に示すインフラストラクチャとエンドポイント サービスについて説明します。

    Label 説明 ドキュメント
    Bastion Bastion はジャンプ サーバー機能を提供します。 このサービスを使用すると、VM をインターネットに公開せずに、リモート デスクトップ プロトコル (RDP) または SSH を使用して VM にアクセスできます。 Azure Bastion とは
    マルウェア対策 Microsoft Defender は、マルウェア対策サービスを提供しており、Windows 10、Windows 11、Windows Server 2016、Windows Server 2019 の一部です。 Windows のMicrosoft Defender ウイルス対策
    ディスクの暗号化 ディスク暗号化を使用すると、VM のディスクを暗号化できます。 Windows VM 用の Azure Disk Encryption
    keyVault Key Vault は、FIPS 140-2 レベル 2 または 3 を使用して、キー、シークレット、および証明書を格納するサービスです。 Azure Key Vault の基本的な概念
    RDP SHORT Azure Virtual Desktop の RDP Shortpath この機能を使用すると、リモート ユーザーが、プライベート ネットワークから Virtual Desktop サービスに接続できます。 Azure Virtual Desktop マネージド ネットワーク用 RDP Shortpath
    リバース接続 Azure Virtual Desktop の組み込みのセキュリティ機能。 リバース接続では、リモート ユーザーがピクセル ストリームのみを受信し、ホスト VM に接続しないことが保証されます。 Azure Virtual Desktop のネットワーク接続について

  4. アプリケーションとデータ

    次の表では、図に示されているアプリケーション サービスとデータ サービスについて説明します。

    Label 説明 ドキュメント
    Frontdoor + WAF コンテンツ配信ネットワーク (CDN)。 Front Door は、複数のプレゼンス ポイントを組み合わせて、サービスにアクセスするユーザーにより良い接続を提供し、WAF を追加します。 Azure Front Door とは
    API Management API 呼び出しのセキュリティを提供し、複数の環境で API を管理するサービス。 API Management について
    侵入テスト Azure リソースを含む環境内での侵入テストの実行に関する一連のベスト プラクティス。 侵入テスト
    ストレージ SAS トークン 他のユーザーが Azure ストレージ アカウントにアクセスできるようにする共有アクセス トークン。 共有アクセス署名 (SAS) を使用して Azure Storage リソースへの制限付きアクセスを許可する
    プライベート エンドポイント ネットワーク インターフェイスを作成し、それをストレージ アカウントにアタッチして、それを Azure 上のプライベート ネットワーク内で構成します。 Azure Storage のプライベート エンドポイントを使用する
    ストレージ ファイアウォール ストレージ アカウントにアクセスできる IP アドレスの範囲を設定できるファイアウォール。 Azure Storage ファイアウォールおよび仮想ネットワークを構成する
    暗号化
    (Azure Storage)    		 保存時に暗号化でストレージ アカウントを保護します。 保存データに対する Azure Storage 暗号化
    SQL 監査 データベース イベントを追跡し、Azure Storage アカウントの監査ログにイベントを書き込みます。 Azure SQL Database および Azure Synapse Analytics の監査
    脆弱性評価 データベースの潜在的な脆弱性を検出、追跡し、その修復を支援するサービス。 SQL 脆弱性評価は、データベースの脆弱性を特定するのに役立ちます
    暗号化
    (Azure SQL)    		 Transparent Data Encryption (TDE) を使用すると、保存時のデータを暗号化することにより、Azure SQL Database サービスを保護できます。 SQL Database、SQL Managed Instance および Azure Synapse Analytics の透過的なデータ暗号化

  5. IDENTITY

    次の表では、図に示されている ID サービスについて説明します。

    Label 説明 ドキュメント
    RBAC Azure ロールベースのアクセス制御 (Azure RBAC) は、ユーザーの Microsoft Entra の資格情報に基づく詳細なアクセス許可を使って、Azure サービスへのアクセスを管理するのに役立ちます。 Azure ロールベースのアクセス制御 (Azure RBAC) とは
    MFA 多要素認証では、ユーザー名とパスワード以外の追加の種類の認証が提供されます。 しくみ: Microsoft Entra 多要素認証
    ID 保護 Microsoft Entra ID のセキュリティ サービスである Identity Protection は、1 日あたり何兆もの信号を分析して、脅威を特定し、ユーザーを脅威から保護します。 Identity Protection とは
    PIM Privileged Identity Management (PIM)。Microsoft Entra ID のセキュリティ サービスです。 Microsoft Entra ID (全体管理者など) と Azure サブスクリプション (所有者や共同作成者など) のスーパーユーザー特権を一時的に付与するのに役立ちます。 Microsoft Entra Privileged Identity Management とは
    COND ACC 条件付きアクセスは、さまざまな条件について定義したポリシーを使用して、ユーザーへのアクセスをブロックまたは許可するインテリジェントなセキュリティ サービスです。 条件付きアクセスとは

Components

このアーティクルのアーキテクチャ例では、次の Azure コンポーネントを使用します:

  • Microsoft Entra ID はクラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra ID は、Microsoft 365、Azure portal、その他のさまざまな SaaS アプリケーションなどの外部リソースにユーザーがアクセスするのに役立ちます。 また、企業のイントラネット ネットワーク上のアプリなど、内部リソースにアクセスするのにも役立ちます。

  • Microsoft Azure Virtual Network は、Azure 内のプライベート ネットワークの基本的な構成要素です。 Virtual Network を使用すると、さまざまな種類の Azure リソースが互いに、インターネット、オンプレミス ネットワークと安全に通信できるようになります。 Virtual Networkは、スケール、可用性、分離など、Azure のインフラストラクチャからベネフィットを得られる仮想ネットワークを提供します。

  • Azure Load Balancer は、すべての UDP と TCP プロトコル向けの高パフォーマンス、低待機時間のレイヤー 4 負荷分散サービス (受信および送信) です。 これは、ソリューションの高可用性を確保しながら、1 秒あたり数百万の要求を処理するように構築されています。 Azure Load Balancer は、ゾーン冗長であるため、Availability Zones 全体で高可用性を確保します。

  • 仮想マシン は、Azure が提供するオンデマンドでスケーラブルなコンピューティング リソースの 1 つです。 Azure Virtual Machine (VM) では、VM を実行する物理的なハードウェアを購入して維持する必要がなく、仮想化がもたらす柔軟性が提供されます。

  • Azure Kubernetes サービス (AKS) は、コンテナー化されたアプリをデプロイおよび管理するためのフル マネージド Kubernetes サービスです。 AKSは、サーバーレス Kubernetes、継続的インテグレーション/継続的デリバリー(CI/CD)、エンタープライズグレードのセキュリティとガバナンスを提供します。

  • Azure Virtual Desktop は、リモート ユーザーにデスクトップを提供するためにクラウド上で実行されるデスクトップおよびアプリの仮想化サービスです。

  • App Service Web Apps は、Web アプリケーション、REST API、およびモバイル バックエンドをホストするための HTTP ベースのサービスです。 お気に入りの言語で開発でき、アプリケーションは Windows ベースと Linux ベースの両方の環境で簡単に実行およびスケーリングできます。

  • Azure Storageは、オブジェクト、BLOB、ファイル、ディスク、キュー、テーブルストレージなど、クラウド上の様々なデータオブジェクトに対する高可用性、大規模なスケーラブル、耐久性、安全性を備えたストレージです。 Azure Storage アカウントに書き込まれたすべてのデータがサービスによって暗号化されます。 Azure Storage では、データにアクセスできるユーザーをきめ細かく制御できます。

  • Azure SQL データベースは、アップグレード、パッチ適用、バックアップ、監視などのほとんどのデータベース管理機能を処理するフルマネージド PaaS データベース エンジンです。 これらの機能をユーザーの手を煩わせることなく提供します。 SQL Database には、アプリがセキュリティやコンプライアンス要件を満たすために役立つ、さまざまなセキュリティおよびコンプライアンス機能が組み込まれています。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

その他の共同作成者:

  • Gary Moore | プログラマー/ライター
  • Andrew Nathan|シニアカスタマーエンジニアリングマネージャー

次のステップ

Microsoft は、IT 環境のセキュリティ保護に役立つドキュメントをさらに用意しており、次の記事が特に役立ちます。

次のリソースでは、この記事で説明されているサービス、テクノロジ、用語の詳細を確認できます。

この参照アーキテクチャの詳細については、このシリーズの他の記事を参照してください。