Azure セキュリティの概要Introduction to Azure Security

概要Overview

セキュリティはクラウドの最優先の課題であり、Azure セキュリティについての正確でタイムリーな情報を得ることがどれだけ重要かを、私たちは認識しています。We know that security is job one in the cloud and how important it is that you find accurate and timely information about Azure security. アプリケーションとサービスに Azure を使用する最大の理由の 1 つは、さまざまなセキュリティ ツールや機能を活用できることです。One of the best reasons to use Azure for your applications and services is to take advantage of its wide array of security tools and capabilities. これらのツールや機能により、Azure プラットフォーム上にセキュリティで保護されたソリューションを作成できるようになります。These tools and capabilities help make it possible to create secure solutions on the secure Azure platform. Microsoft Azure では、透過的な説明責任を実現しつつ、顧客データの機密性、整合性、および可用性を提供しています。Microsoft Azure provides confidentiality, integrity, and availability of customer data, while also enabling transparent accountability.

Microsoft Azure に実装されている多数のセキュリティ制御について、お客様側と Microsoft 側の運用上の観点からご理解いただくために、このホワイト ペーパー「Azure セキュリティの概要」では、Microsoft Azure で提供されるセキュリティについて総合的に説明します。To help you better understand the collection of security controls implemented within Microsoft Azure from both the customer's and Microsoft operations' perspectives, this white paper, "Introduction to Azure Security", is written to provide a comprehensive look at the security available with Microsoft Azure.

Azure プラットフォームAzure Platform

Azure は、オペレーティング システム、プログラミング言語、フレームワーク、ツール、データベース、デバイスにおいて幅広い選択肢をサポートするパブリック クラウド サービス プラットフォームです。Azure is a public cloud service platform that supports a broad selection of operating systems, programming languages, frameworks, tools, databases, and devices. Docker を統合した Linux コンテナーの実行、JavaScript、Python、.NET、PHP、Java、Node.js によるアプリの構築、iOS、Android、Windows の各デバイスに対応したバックエンドの構築を行えます。It can run Linux containers with Docker integration; build apps with JavaScript, Python, .NET, PHP, Java, and Node.js; build back-ends for iOS, Android, and Windows devices.

Azure パブリック クラウド サービスでは、何百万人もの開発者や IT プロフェッショナルから現在信頼が寄せられているのと同じテクノロジがサポートされています。Azure public cloud services support the same technologies millions of developers and IT professionals already rely on and trust. IT 資産を構築し、パブリック クラウド サービス プロバイダーに移行したとしましょう。このとき、移行したアプリケーションやデータをどこまで保護できるかは、採用したプロバイダーがクラウド ベースの資産のセキュリティ管理のためにどのようなサービスと体制を用意しているかに応じて変わってきます。When you build on, or migrate IT assets to, a public cloud service provider you are relying on that organization’s abilities to protect your applications and data with the services and the controls they provide to manage the security of your cloud-based assets.

Azure のインフラストラクチャでは、数百万の顧客を同時にホストできるように施設からアプリケーションまでが設計されており、ビジネスのセキュリティ要件を満たす信頼性の高い基盤となっています。Azure’s infrastructure is designed from facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security requirements.

また、Azure には構成可能な幅広いセキュリティ オプションと制御機能が用意されており、組織によるデプロイの独自の要件を満たすようにセキュリティをカスタマイズできます。In addition, Azure provides you with a wide array of configurable security options and the ability to control them so that you can customize security to meet the unique requirements of your organization’s deployments. このドキュメントでは、Azure のセキュリティ機能を使用して、これらの要件をどのように満たすことができるかをわかりやすく説明します。This document helps you understand how Azure security capabilities can help you fulfill these requirements.

注意

ここでは、アプリケーションやサービスをカスタマイズしてセキュリティを強化できる顧客向けの制御機能に重点を置いています。The primary focus of this document is on customer-facing controls that you can use to customize and increase security for your applications and services.

概要情報だけでなく Microsoft で Azure プラットフォーム自体のセキュリティを保護する方法の詳細について確認するには、 Microsoft セキュリティ センター を参照してください。We do provide some overview information, but for detailed information on how Microsoft secures the Azure platform itself, see information provided in the Microsoft Trust Center.

要約Abstract

当初、パブリック クラウドの移行は、コストの削減と素早い導入によって決定されていました。Initially, public cloud migrations were driven by cost savings and agility to innovate. セキュリティは、これまで長い間パブリック クラウドの移行にとって重大な懸念事項であり、致命的な問題でもありました。Security was considered a major concern for some time, and even a show stopper, for public cloud migration. しかし、パブリック クラウドのセキュリティはいつしか重大な懸念事項からクラウド移行の原動力へと変化していきました。However, public cloud security has transitioned from a major concern to one of the drivers for cloud migration. この背景には、アプリケーションを保護する大規模なパブリック クラウド サービス プロバイダーの優れた能力と、クラウド ベースの資産データがあります。The rationale behind this is the superior ability of large public cloud service providers to protect applications and the data of cloud-based assets.

Azure のインフラストラクチャでは、数百万の顧客を同時にホストできるように施設からアプリケーションまでが設計されており、ビジネスのセキュリティ ニーズを満たす信頼性の高い基盤となっています。Azure’s infrastructure is designed from the facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security needs. また、Azure には構成可能な幅広いセキュリティ オプションと制御機能が用意されており、デプロイの独自の要件を満たすようにセキュリティをカスタマイズできるだけでなく、IT 制御ポリシーや外部規制の遵守も実現します。In addition, Azure provides you with a wide array of configurable security options and the ability to control them so that you can customize security to meet the unique requirements of your deployments to meet your IT control policies and adhere to external regulations.

このホワイト ペーパーでは、Microsoft Azure クラウド プラットフォームでの Microsoft のセキュリティ対策について、次の点を中心に概説します。This paper outlines Microsoft’s approach to security within the Microsoft Azure cloud platform:

  • Azure インフラストラクチャ、顧客データ、およびアプリケーションのセキュリティを確保するために Microsoft で実装されるするセキュリティ機能。Security features implemented by Microsoft to secure the Azure infrastructure, customer data, and applications.
  • サービスのセキュリティおよび Azure サブスクリプション内のデータをユーザーが管理できるようにする Azure のサービスとセキュリティ機能。Azure services and security features available to you to manage the Security of the Services and your data within your Azure subscriptions.

Azure のセキュリティ機能の概要Summary Azure Security Capabilities

次の表に、Azure インフラストラクチャ、顧客データ、および安全なアプリケーションのセキュリティを確保するために Microsoft で実装されているセキュリティ機能の概要を示します。The table following provide a brief description of the security features implemented by Microsoft to secure the Azure infrastructure, customer data, and secure applications.

Azure プラットフォームのセキュリティを確保するために実装されるセキュリティ機能Security Features Implemented to Secure the Azure Platform:

次に一覧された機能で、Azure プラットフォームが安全な方法で管理されていることを確認できます。The features listed following are capabilities you can review to provide the assurance that the Azure Platform is managed in a secure manner. Microsoft が次の 4 つの領域においてお客様の信頼に関する質問にどのように対処しているかの詳細については、リンクをクリックすることで確認できます:安全なプラットフォーム、プライバシー管理、コンプライアンス、透明性。Links have been provided for further drill-down on how Microsoft addresses customer trust questions in four areas: Secure Platform, Privacy & Controls, Compliance, and Transparency.

安全なプラットフォームSecure Platform プライバシー管理Privacy & Controls コンプライアンスCompliance 透明性Transparency
セキュリティ開発サイクル、内部監査Security Development Cycle, Internal audits データの常時管理Manage your data all the time トラスト センターTrust Center Microsoft が Azure サービスで顧客データの安全性を確保する方法How Microsoft secures customer data in Azure services
必須のセキュリティ トレーニング、バックグラウンド チェックMandatory Security training, background checks データ保管場所の管理Control on data location 共通管理ハブCommon Controls Hub Microsoft が Azure サービスでデータの保管場所を管理する方法How Microsoft manage data location in Azure services
侵入テスト不正侵入検出、DDoS監査、ログ記録Penetration testing, intrusion detection, DDoS, Audits & logging 条件に応じたアクセス権の付与Provide data access on your terms クラウド サービス向けデリジェンス チェックリストThe Cloud Services Due Diligence Checklist データにアクセスできるユーザーとその条件Who in Microsoft can access your data on what terms
最新のデータ センター、物理的なセキュリティ、セキュリティで保護されたネットワークState of the art data center, physical security, Secure Network 法執行機関への対応Responding to law enforcement サービス、場所、および業界ごとのコンプライアンスCompliance by service, location & Industry Microsoft が Azure サービスで顧客データの安全性を確保する方法How Microsoft secures customer data in Azure services
セキュリティ インシデント対応責任の分担Security Incident response, Shared Responsibility 厳格なプライバシー基準Stringent privacy standards Azure サービスの証明書確認、Transparency HubReview certification for Azure services, Transparency hub

データおよびアプリケーションのセキュリティを確保するために Azure で提供されるセキュリティ機能Security Features Offered by Azure to Secure Data and Application

アプリケーションやサービスのセキュリティを管理する担当者の責任範囲は、クラウド サービス モデルによって異なります。Depending on the cloud service model, there is variable responsibility for who is responsible for managing the security of the application or service. ビルトイン機能および Azure サブスクリプションに展開可能なパートナー ソリューションに、これらの責任範囲をカバーする Azure プラットフォームで使用可能な機能があります。There are capabilities available in the Azure Platform to assist you in meeting these responsibilities through built-in features, and through partner solutions that can be deployed into an Azure subscription.

ビルトイン機能は、次の 6 つの機能区分に分類されます:操作、アプリケーション、ストレージ、ネットワーキング、コンピューティング、ID。The built-in capabilities are organized in six (6) functional areas: Operations, Applications, Storage, Networking, Compute, and Identity. Azure プラットフォームのこれら 6 つの領域で使用できる機能の詳細については、概要情報に記載されています。Additional detail on the features and capabilities available in the Azure Platform in these six (6) areas are provided through summary information.

OperationsOperations

このセクションでは、セキュリティ操作を行う上で重要な機能と、これらの機能についての概要情報に関する追加の情報を提供します。This section provides additional information regarding key features in security operations and summary information about these capabilities.

[セキュリティおよび監査] ダッシュボードSecurity and Audit Dashboard

セキュリティおよび監査ソリューションでは、注意を必要とする重要な問題向けの組み込みの検索クエリと共に、組織の IT セキュリティ対策への包括的な視点が提供されます。The Security and Audit solution provides a comprehensive view into your organization’s IT security posture with built-in search queries for notable issues that require your attention. [セキュリティおよび監査] ダッシュボードは、Azure Monitor ログにおけるすべてのセキュリティ関連機能のホーム画面です。The Security and Audit dashboard is the home screen for everything related to security in Azure Monitor logs. コンピューターのセキュリティ状態に関する高度な洞察を提供します。It provides high-level insight into the Security state of your computers. また、過去の 24 時間、7 日間、またはそれ以外のカスタム期間に発生したすべてのイベントを表示する機能も含まれています。It also includes the ability to view all events from the past 24 hours, 7 days, or any other custom time frame.

さらに、セキュリティとコンプライアンスを構成して、特定のイベントが検出されたときに特定のアクションを自動的に実行します。In addition, you can configure Security & Compliance to automatically carry out specific actions when a specific event is detected.

Azure Resource ManagerAzure Resource Manager

Azure Resource Manager を使用すると、ソリューション内の複数のリソースを 1 つのグループとして作業できます。Azure Resource Manager enables you to work with the resources in your solution as a group. ソリューションのこれらすべてのリソースを、1 回の連携した操作でデプロイ、更新、または削除できます。You can deploy, update, or delete all the resources for your solution in a single, coordinated operation. デプロイには Azure Resource Manager テンプレートを使用します。このテンプレートは、テスト、ステージング、運用環境などのさまざまな環境に使用できます。You use an Azure Resource Manager template for deployment and that template can work for different environments such as testing, staging, and production. Resource Manager には、デプロイ後のリソースの管理に役立つ、セキュリティ、監査、タグ付けの機能が用意されています。Resource Manager provides security, auditing, and tagging features to help you manage your resources after deployment.

Azure Resource Manager のテンプレート ベースのデプロイにより、Azure にデプロイされたソリューションのセキュリティが向上します。これは、標準的なセキュリティ制御設定によるもので、標準化されたテンプレート ベースのデプロイに統合できます。Azure Resource Manager template-based deployments help improve the security of solutions deployed in Azure because standard security control settings and can be integrated into standardized template-based deployments. これにより、手動によるデプロイ時に発生する可能性のあるセキュリティ構成エラーのリスクが軽減されます。This reduces the risk of security configuration errors that might take place during manual deployments.

Application InsightsApplication Insights

Application Insights は、Web 開発者向けの拡張可能なアプリケーション パフォーマンス管理 (APM) サービスです。Application Insights is an extensible Application Performance Management (APM) service for web developers. Application Insights でライブ Web アプリケーションを監視し、パフォーマンス上の問題を自動的に検出することができます。With Application Insights, you can monitor your live web applications and automatically detect performance anomalies. Application Insights には強力な分析ツールが組み込まれているため、問題の診断や、ユーザーがアプリを使用して実行している操作を把握できます。It includes powerful analytics tools to help you diagnose issues and to understand what users actually do with your apps. テスト中と公開後またはデプロイ後の両方で、実行中のアプリケーションを常時監視します。It monitors your application all the time it's running, both during testing and after you've published or deployed it.

Application Insights が作成するグラフや表を見ると、たとえば、1 日の中でユーザー数が最も多い時間帯、アプリの反応性、アプリが依存している外部サービスのサービス性能などがわかります。Application Insights creates charts and tables that show you, for example, what times of day you get most users, how responsive the app is, and how well it is served by any external services that it depends on.

クラッシュ、エラー、パフォーマンス問題が発生した場合、製品利用統計情報データを詳しく調査し、原因を診断できます。If there are crashes, failures or performance issues, you can search through the telemetry data in detail to diagnose the cause. アプリの可用性やパフォーマンスに変化があった場合は、サービスからメールが届きます。And the service sends you emails if there are any changes in the availability and performance of your app. Application Insights は、機密性、整合性、および可用性というセキュリティの 3 本柱の中の可用性に役立つ、貴重なセキュリティ ツールとなります。Application Insight thus becomes a valuable security tool because it helps with the availability in the confidentiality, integrity, and availability security triad.

Azure MonitorAzure Monitor

Azure Monitor は、Azure インフラストラクチャ (アクティビティ ログ) と個々の Azure リソース (診断ログ) の両方から得られたデータの視覚化、クエリ、ルーティング、アラート、自動スケール、自動化を行います。Azure Monitor offers visualization, query, routing, alerting, auto scale, and automation on data both from the Azure infrastructure (Activity Log) and each individual Azure resource (Diagnostic Logs). Azure Monitor を使用して、Azure ログで生成されたセキュリティ関連のイベントについて通知を作成できます。You can use Azure Monitor to alert you on security-related events that are generated in Azure logs.

Azure Monitor ログAzure Monitor logs

Azure Monitor ログ – Azure リソースだけでなく、オンプレミスやサードパーティ製のクラウド インフラストラクチャ (AWS など) にも使える IT 管理ソリューションです。Azure Monitor logs – Provides an IT management solution for both on-premises and third-party cloud-based infrastructure (such as AWS) in addition to Azure resources. Azure Monitor ログには Azure Monitor のデータを直接ルーティングできるため、環境全体のメトリックとログを 1 か所で確認できます。Data from Azure Monitor can be routed directly to Azure Monitor logs so you can see metrics and logs for your entire environment in one place.

Azure Monitor ログは、フォレンジック分析などのセキュリティ分析に便利なツールで、セキュリティ関連の項目が大量にあっても柔軟なクエリ方法により迅速に検索を行うことができます。Azure Monitor logs can be a useful tool in forensic and other security analysis, as the tool enables you to quickly search through large amounts of security-related entries with a flexible query approach. さらに、オンプレミスのファイアウォールおよびプロキシ ログを Azure にエクスポートして、Azure Monitor ログを使用した分析に使用することができます。In addition, on-premises firewall and proxy logs can be exported into Azure and made available for analysis using Azure Monitor logs.

Azure AdvisorAzure Advisor

Azure Advisor は、Azure のデプロイの最適化に役立つ、個人用に設定されたクラウド コンサルタントです。Azure Advisor is a personalized cloud consultant that helps you to optimize your Azure deployments. Azure Advisor では、リソース構成と使用量テレメトリを分析します。It analyzes your resource configuration and usage telemetry. 次に、Azure の全体的な使用量を削減する機会を探すと同時に、パフォーマンスセキュリティ、リソースの高可用性の向上に役立つソリューションを提案します。It then recommends solutions to help improve the performance, security, and high availability of your resources while looking for opportunities to reduce your overall Azure spend. Azure Advisor では、Azure にデプロイするソリューションの全体的なセキュリティの状況を大幅に改善することができる提案を行います。Azure Advisor provides security recommendations, which can significantly improve your overall security posture for solutions you deploy in Azure. これらの提案は Azure Security Center で実施されるセキュリティ分析に基づいています。These recommendations are drawn from security analysis performed by Azure Security Center.

Azure Security CenterAzure Security Center

Azure Security Center は、Azure リソースのセキュリティを高度に視覚化し、制御することで脅威を回避、検出し、それに対応できるようにします。Azure Security Center helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Azure resources. これにより、Azure サブスクリプション全体に統合セキュリティの監視とポリシーの管理を提供し、気付かない可能性がある脅威を検出し、セキュリティ ソリューションの広範なエコシステムと連動します。It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

さらに、Azure Security Center は、すぐに対応できるようにアラートや推奨事項が表示された単一のダッシュ ボードを提供することで、セキュリティ操作に役立てることができます。In addition, Azure Security Center helps with security operations by providing you a single dashboard that surfaces alerts and recommendations that can be acted upon immediately. 多くの場合、Azure Security Center コンソール内で 1 回クリックすれば問題を修復することができます。Often, you can remediate issues with a single click within the Azure Security Center console.

アプリケーションApplications

このセクションでは、アプリケーション セキュリティの重要な機能と、これらの機能についての概要情報に関する追加の情報を提供します。The section provides additional information regarding key features in application security and summary information about these capabilities.

Web アプリケーションの脆弱性のスキャンWeb Application vulnerability scanning

App Service アプリの脆弱性のテストを開始する最も簡単な方法の 1 つは、Tinfoil Security との統合を使用して 1 回のクリックでアプリに対する脆弱性のスキャンを実行することです。One of the easiest ways to get started with testing for vulnerabilities on your App Service app is to use the integration with Tinfoil Security to perform one-click vulnerability scanning on your app. テスト結果はわかりやすいレポートで表示され、詳しい手順に従ってそれぞれの脆弱性を修正する方法が説明されます。You can view the test results in an easy-to-understand report, and learn how to fix each vulnerability with step-by-step instructions.

侵入テストPenetration Testing

独自の侵入テストを実行するか、別のスキャナー スイートまたはプロバイダーを使用する場合は、 Azure 侵入テストの承認プロセス に従い、事前の承認を得たうえで目的の侵入テストを実行する必要があります。If you prefer to perform your own penetration tests or want to use another scanner suite or provider, you must follow the Azure penetration testing approval process and obtain prior approval to perform the desired penetration tests.

Web アプリケーション ファイアウォールWeb Application firewall

Azure Application Gateway の Web アプリケーション ファイアウォール (WAF) は、SQL インジェクション、クロスサイト スクリプティング攻撃、セッション ハイジャックなどの一般的な Web ベースの攻撃から Web アプリケーションを保護するのに役立ちます。The web application firewall (WAF) in Azure Application Gateway helps protect web applications from common web-based attacks like SQL injection, cross-site scripting attacks, and session hijacking. このファイアウォールには、Open Web Application Security Project (OWASP) により一般的な脆弱性の上位 10 種と特定された脅威からの保護が事前に構成されています。It comes preconfigured with protection from threats identified by the Open Web Application Security Project (OWASP) as the top 10 common vulnerabilities.

Azure App Service での認証および認可Authentication and authorization in Azure App Service

App Service の認証と承認は、アプリのバックエンドでコードを変更する必要がないように、アプリケーションでユーザーをサインインさせる方法を提供する機能です。App Service Authentication / Authorization is a feature that provides a way for your application to sign in users so that you don't have to change code on the app backend. これにより、アプリケーションの保護が容易になり、またユーザーごとのデータにも対応できるようになります。It provides an easy way to protect your application and work with per-user data.

複数層セキュリティ アーキテクチャLayered Security Architecture

App Service Environments は、Azure Virtual Network にデプロイされる分離されたランタイム環境です。開発者は、セキュリティ アーキテクチャを階層化し、アプリケーションの層ごとにネットワーク アクセスのレベルに違いを設けることができます。Since App Service Environments provide an isolated runtime environment deployed into an Azure Virtual Network, developers can create a layered security architecture providing differing levels of network access for each application tier. 一般に、API バックエンドは通常のインターネット アクセスから隠し、アップストリームの Web アプリにのみ API の呼び出しを許可することが望ましいと考えられています。A common desire is to hide API back-ends from general Internet access, and only allow APIs to be called by upstream web apps. App Service Environment を含んだ Azure Virtual Network サブネットに対してネットワーク セキュリティ グループ (NSG) を使用することで、API アプリケーションへのパブリック アクセスを制限することができます。Network Security groups (NSGs) can be used on Azure Virtual Network subnets containing App Service Environments to restrict public access to API applications.

Web サーバー診断とアプリケーション診断Web server diagnostics and application diagnostics

App Service Web Apps は、Web サーバーと Web アプリケーションの両方のログ情報を診断する機能を備えています。App Service web apps provide diagnostic functionality for logging information from both the web server and the web application. これらは論理的に Web サーバー診断アプリケーション診断に分けられます。These are logically separated into web server diagnostics and application diagnostics. Web サーバーでは、サイトおよびアプリケーションの診断とトラブルシューティングに 2 つの大きな進展があります。Web server includes two major advances in diagnosing and troubleshooting sites and applications.

1 つ目の新機能は、アプリケーション プール、ワーカー プロセス、サイト、アプリケーション ドメイン、および実行中の要求に関するリアルタイムの状態情報です。The first new feature is real-time state information about application pools, worker processes, sites, application domains, and running requests. 新しい 2 つ目の強みは、完全な要求-応答プロセスによって要求を追跡する詳細なトレース イベントです。The second new advantages are the detailed trace events that track a request throughout the complete request-and-response process.

これらのトレース イベントのコレクションを有効にするには、エラー応答コードまたは経過時間に基づいた特定の要求に対して、XML 形式で全トレース ログを自動的にキャプチャするように IIS 7 を設定できます。To enable the collection of these trace events, IIS 7 can be configured to automatically capture full trace logs, in XML format, for any particular request based on elapsed time or error response codes.

Web サーバー診断Web server diagnostics

次の種類のログを有効または無効にできます。You can enable or disable the following kinds of logs:

  • 詳細なエラー ログ - 障害 (状態コード 400 以上) を示す HTTP 状態コードの詳細なエラー情報。Detailed Error Logging - Detailed error information for HTTP status codes that indicate a failure (status code 400 or greater). このログには、サーバーがエラー コードを返した理由を特定するために役立つ情報が記録されている場合があります。This may contain information that can help determine why the server returned the error code.

  • 失敗した要求トレース - 要求の処理に使用された IIS コンポーネントのトレースや各コンポーネントにかかった時間など、失敗した要求の詳細情報。Failed Request Tracing - Detailed information on failed requests, including a trace of the IIS components used to process the request and the time taken in each component. このログが便利なのは、サイトのパフォーマンスを向上させたり、特定の HTTP エラーが返される理由を特定したりする場合です。This can be useful if you are attempting to increase site performance or isolate what is causing a specific HTTP error to be returned.

  • Web サーバーのログ記録 - W3C 拡張ログ ファイル形式を使用した、HTTP トランザクションに関する情報。Web Server Logging - Information about HTTP transactions using the W3C extended log file format. このレポートが便利なのは、全体的なサイト メトリック、たとえば、サイトで処理された要求の数や、特定の IP アドレスからの要求の数を特定するときです。This is useful when determining overall site metrics such as the number of requests handled or how many requests are from a specific IP address.

アプリケーション診断Application diagnostics

アプリケーション診断では、Web アプリケーションによって生成された情報を取り込むことができます。Application diagnostics allows you to capture information produced by a web application. ASP.NET アプリケーションは、 System.Diagnostics.Trace クラスを使用して、情報をアプリケーション診断ログに記録できます。ASP.NET applications can use the System.Diagnostics.Trace class to log information to the application diagnostics log. アプリケーション診断では、アプリケーションの障害やエラーに関連するイベントとアプリケーションのパフォーマンスに関連するイベントの、主に 2 つのイベント タイプがあります。In Application Diagnostics, there are two major types of events, those related to application performance and those related to application failures and errors. 障害やエラーは、さらに接続性、セキュリティ、および障害問題に分かれます。The failures and errors can be divided further into connectivity, security, and failure issues. 障害問題とは一般的に、アプリケーション コードでの問題に関連します。Failure issues are typically related to a problem with the application code.

アプリケーション診断では、次の方法でグループ化されたイベントを表示できます。In Application Diagnostics, you can view events grouped in these ways:

  • すべて (すべてのイベントを表示)All (displays all events)
  • アプリケーション エラー (例外イベントを表示)Application Errors (displays exception events)
  • パフォーマンス (パフォーマンス イベントを表示)Performance (displays performance events)

StorageStorage

このセクションでは、Azure ストレージのセキュリティの重要な機能と、これらの機能についての概要情報に関する追加の情報を提供します。The section provides additional information regarding key features in Azure storage security and summary information about these capabilities.

ロール ベースのアクセス制御 (RBAC)Role-Based Access Control (RBAC)

ロールベースのアクセス制御 (RBAC) を使用して、ストレージ アカウントをセキュリティで保護できます。You can secure your storage account with Role-Based Access Control (RBAC). データ アクセスにセキュリティ ポリシーを適用する組織では、必知事項最小権限のセキュリティ原則に基づいてアクセスを制限することが不可欠です。Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce Security policies for data access. これらのアクセス権は、グループおよびアプリケーションに適切な RBAC ロールを特定のスコープで割り当てることによって付与します。These access rights are granted by assigning the appropriate RBAC role to groups and applications at a certain scope. 組み込み RBAC ロール(ストレージ アカウントの共同作成者など) を使用して、ユーザーに権限を割り当てることができます。You can use built-in RBAC roles, such as Storage Account Contributor, to assign privileges to users. Azure Resource Manager モデルを使用したストレージ アカウントのストレージ キーに対するアクセス権は、ロールベースのアクセス制御 (RBAC) で制御できます。Access to the storage keys for a storage account using the Azure Resource Manager model can be controlled through Role-Based Access Control (RBAC).

Shared Access SignatureShared Access Signature

shared access signature (SAS) を使用すると、ストレージ アカウント内のリソースへの委任アクセスが可能になります。A shared access signature (SAS) provides delegated access to resources in your storage account. SAS により、ストレージ アカウントのオブジェクトへの制限付きアクセス許可を、期間とアクセス許可セットを指定してクライアントに付与できます。The SAS means that you can grant a client limited permissions to objects in your storage account for a specified period and with a specified set of permissions. この制限付きアクセス許可を付与するとき、アカウント アクセス キーを共有する必要はありません。You can grant these limited permissions without having to share your account access keys.

転送中の暗号化Encryption in Transit

転送中の暗号化は、ネットワーク間でデータを転送するときにデータを保護するメカニズムです。Encryption in transit is a mechanism of protecting data when it is transmitted across networks. Azure Storage では、以下を使用してデータをセキュリティ保護できます。With Azure Storage, you can secure data using:

保存時の暗号化Encryption at rest

多くの組織にとって、データ プライバシー、コンプライアンス、データ主権を確保する上で保存時のデータの暗号化は欠かせません。For many organizations, data encryption at rest is a mandatory step towards data privacy, compliance, and data sovereignty. Azure Storage には、“保存時の“ データの暗号化を提供する機能が 3 つあります。There are three Azure storage security features that provide encryption of data that is “at rest”:

Storage AnalyticsStorage Analytics

Azure Storage Analytics では、ログが記録され、ストレージ アカウントのメトリック データを得ることができます。Azure Storage Analytics performs logging and provides metrics data for a storage account. このデータを使用して、要求のトレース、使用傾向の分析、ストレージ アカウントの問題の診断を行うことができます。You can use this data to trace requests, analyze usage trends, and diagnose issues with your storage account. Storage Analytics は、ストレージ サービスに対する要求の成功と失敗についての詳細な情報をログに記録します。Storage Analytics logs detailed information about successful and failed requests to a storage service. この情報を使って個々の要求を監視したり、ストレージ サービスに関する問題を診断したりできます。This information can be used to monitor individual requests and to diagnose issues with a storage service. 要求は、ベスト エフォートでログに記録されます。Requests are logged on a best-effort basis. 次のタイプの認証済み要求が記録されます。The following types of authenticated requests are logged:

  • 成功した要求Successful requests.

  • 失敗した要求 (タイムアウト、帯域幅調整、ネットワーク、承認などに関する各種エラー)Failed requests, including timeout, throttling, network, authorization, and other errors.

  • Shared Access Signature (SAS) を使用した要求 (失敗した要求と成功した要求を含む)Requests using a Shared Access Signature (SAS), including failed and successful requests.

  • データの分析要求Requests to analytics data.

CORS を使用したブラウザーベースのクライアントの有効化Enabling Browser-Based Clients Using CORS

クロス オリジン リソース共有 (CORS) は、ドメインどうしが互いのリソースへのアクセスを許可するメカニズムです。Cross-Origin Resource Sharing (CORS) is a mechanism that allows domains to give each other permission for accessing each other’s resources. ユーザー エージェントは、特定のドメインから読み込まれた JavaScript コードが別のドメインにあるリソースへのアクセスに使用できることを確認する追加のヘッダーを送信します。The User Agent sends extra headers to ensure that the JavaScript code loaded from a certain domain is allowed to access resources located at another domain. 次に、後者のドメインが元のドメイン リソースへのアクセスを許可または拒否する追加のヘッダーを使用して応答します。The latter domain then replies with extra headers allowing or denying the original domain access to its resources.

Azure Storage サービスで CORS がサポートされるようになりました。これにより、サービスに CORS ルールを設定すると、別のドメインからサービスに対して行われた適切な認証要求が評価され、指定したルールに従って許可するかどうかを決定します。Azure storage services now support CORS so that once you set the CORS rules for the service, a properly authenticated request made against the service from a different domain is evaluated to determine whether it is allowed according to the rules you have specified.

ネットワークNetworking

このセクションでは、Azure ネットワーク セキュリティの重要な機能と、これらの機能の概要情報に関する追加の情報を提供します。The section provides additional information regarding key features in Azure network security and summary information about these capabilities.

ネットワーク層制御Network Layer Controls

ネットワーク アクセス制御は、特定のデバイスまたはサブネットとの間の接続を制限する機能で、ネットワーク セキュリティの中核をなすものです。Network access control is the act of limiting connectivity to and from specific devices or subnets and represents the core of network security. ネットワーク アクセス制御は、アクセスを許可したユーザーとデバイスのみが、仮想マシンとサービスにアクセスできるようにすることを目的としています。The goal of network access control is to make sure that your virtual machines and services are accessible to only users and devices to which you want them accessible.

ネットワーク セキュリティ グループNetwork Security Groups

ネットワーク セキュリティ グループ (NSG) とは基本的なステートフル パケット フィルタリング ファイアウォールであり、5 タプルに基づいてアクセスを制御します。A Network Security Group (NSG) is a basic stateful packet filtering firewall and it enables you to control access based on a 5-tuple. NSG はアプリケーション層検査も、認証済みのアクセス制御も提供しません。NSGs do not provide application layer inspection or authenticated access controls. NSG を使用して、Azure Virtual Network 内のサブネット間および Azure Virtual Network とインターネットの間を移動するトラフィックを制御できます。They can be used to control traffic moving between subnets within an Azure Virtual Network and traffic between an Azure Virtual Network and the Internet.

ルート制御と強制トンネリングRoute Control and Forced Tunneling

Azure Virtual Network におけるルーティング動作を制御する機能は、ネットワーク セキュリティとアクセス制御の重要な機能です。The ability to control routing behavior on your Azure Virtual Networks is a critical network security and access control capability. たとえば Azure Virtual Network との間のすべてのトラフィックに仮想セキュリティ アプライアンスを経由させたいと考えている場合は、ルーティング動作を制御したりカスタマイズしたりできるようにする必要があります。For example, if you want to make sure that all traffic to and from your Azure Virtual Network goes through that virtual security appliance, you need to be able to control and customize routing behavior. これは、Azure でユーザー定義ルートを構成することで実現します。You can do this by configuring User-Defined Routes in Azure.

ユーザー定義ルートによって、個々の仮想マシンまたはサブネットの間を移動するトラフィックの受信および送信パスをカスタマイズし、最も安全なルートを確保できるようになります。User-Defined Routes allow you to customize inbound and outbound paths for traffic moving into and out of individual virtual machines or subnets to insure the most secure route possible. 強制トンネリングは、サービスがインターネット上のデバイスとの接続を開始する許可を得られないようにするメカニズムです。Forced tunneling is a mechanism you can use to ensure that your services are not allowed to initiate a connection to devices on the Internet.

これは、着信接続を受け入れて、それに応答することとは異なりますのでご注意ください。This is different from being able to accept incoming connections and then responding to them. フロントエンド Web サーバーは、インターネット ホストからの要求に応答する必要があります。したがって、インターネットからのトラフィックがこれらの Web サーバーに着信することも、Web サーバーが応答することも許可されます。Front-end web servers need to respond to requests from Internet hosts, and so Internet-sourced traffic is allowed inbound to these web servers and the web servers can respond.

強制トンネリングは一般的に、インターネットへの送信トラフィックが、オンプレミスのセキュリティ プロキシおよびファイアウォールを強制的に経由するために使用されます。Forced tunneling is commonly used to force outbound traffic to the Internet to go through on-premises security proxies and firewalls.

仮想ネットワークのセキュリティ アプライアンスVirtual Network Security Appliances

ネットワーク セキュリティ グループ、ユーザー定義ルート、強制トンネリングにより OSI モデルのネットワーク層とトランスポート層のレベルでセキュリティ保護を行うことはできますが、より高いレベルのスタックでセキュリティを有効にする場合は時間がかかることがあります。While Network Security Groups, User-Defined Routes, and forced tunneling provide you a level of security at the network and transport layers of the OSI model, there may be times when you want to enable security at higher levels of the stack. Azure パートナー ネットワーク セキュリティ アプライアンス ソリューションを使用すれば、これらの拡張ネットワーク セキュリティ機能を利用できます。You can access these enhanced network security features by using an Azure partner network security appliance solution. 最新の Azure パートナー ネットワーク セキュリティ ソリューションについては、Azure Marketplace にアクセスし、"security" および "network security" と検索すると見つかります。You can find the most current Azure partner network security solutions by visiting the Azure Marketplace and searching for “security” and “network security.”

Azure Virtual NetworkAzure Virtual Network

Azure 仮想ネットワーク (VNet) は、クラウド内のユーザー独自のネットワークを表すものです。An Azure virtual network (VNet) is a representation of your own network in the cloud. サブスクリプション専用に Azure ネットワーク ファブリックが論理的に分離されています。It is a logical isolation of the Azure network fabric dedicated to your subscription. このネットワークでは、IP アドレス ブロック、DNS 設定、セキュリティ ポリシー、およびルート テーブルを完全に制御できます。You can fully control the IP address blocks, DNS settings, security policies, and route tables within this network. VNet をサブネットに分割し、Azure IaaS 仮想マシン (VM) やクラウド サービス (PaaS ロール インスタンス) を配置できます。You can segment your VNet into subnets and place Azure IaaS virtual machines (VMs) and/or Cloud services (PaaS role instances) on Azure Virtual Networks.

また、Azure のいずれかの接続オプションを使用し、仮想ネットワークをオンプレミスのネットワークに接続することができます。Additionally, you can connect the virtual network to your on-premises network using one of the connectivity options available in Azure. つまり、Azure が提供するエンタープライズ規模のメリットを享受しながら、IP アドレス ブロックを完全に制御して、ネットワークを Azure に拡張できます。In essence, you can expand your network to Azure, with complete control on IP address blocks with the benefit of enterprise scale Azure provides.

Azure のネットワークは、セキュリティで保護されたリモート アクセスのさまざまなシナリオをサポートしています。Azure networking supports various secure remote access scenarios. たとえば、次のようなシナリオがあります。Some of these include:

VPN GatewayVPN Gateway

Azure Virtual Network とオンプレミスのサイトとの間でネットワーク トラフィックを送信する場合は、Azure Virtual Network 用の VPN ゲートウェイを作成する必要があります。To send network traffic between your Azure Virtual Network and your on-premises site, you must create a VPN gateway for your Azure Virtual Network. VPN ゲートウェイは、パブリック接続で暗号化されたトラフィックを送信する仮想ネットワーク ゲートウェイの一種です。A VPN gateway is a type of virtual network gateway that sends encrypted traffic across a public connection. VPN ゲートウェイを使用すると、Azure ネットワーク ファブリックを経由して Azure Virtual Network 間でトラフィックを送信することもできます。You can also use VPN gateways to send traffic between Azure Virtual Networks over the Azure network fabric.

ExpressRouteExpress Route

Microsoft Azure ExpressRoute は専用の WAN リンクです。これにより接続プロバイダーが提供する専用プライベート接続で、オンプレミスのネットワークを Microsoft クラウドに拡張できます。Microsoft Azure ExpressRoute is a dedicated WAN link that lets you extend your on-premises networks into the Microsoft cloud over a dedicated private connection facilitated by a connectivity provider.

ExpressRoute

ExpressRoute では、Microsoft Azure、Office 365、CRM Online などの Microsoft クラウド サービスへの接続を確立できます。With ExpressRoute, you can establish connections to Microsoft cloud services, such as Microsoft Azure, Office 365, and CRM Online. 接続には、任意の環境間 (IP VPN) 接続、ポイントツーポイントのイーサネット接続、共有施設での接続プロバイダーによる仮想交差接続があります。Connectivity can be from an any-to-any (IP VPN) network, a point-to-point Ethernet network, or a virtual cross-connection through a connectivity provider at a co-location facility.

ExpressRoute 接続はパブリック インターネットを経由しないため、VPN ベースのソリューションよりも安全であると考えられています。ExpressRoute connections do not go over the public Internet and thus can be considered more secure than VPN-based solutions. それにより、ExpressRoute 接続はインターネット経由の一般的な接続に比べて、安全性と信頼性が高く、待機時間も短く、高速です。This allows ExpressRoute connections to offer more reliability, faster speeds, lower latencies, and higher security than typical connections over the Internet.

Application GatewayApplication Gateway

Microsoft Azure Application Gateway によってアプリケーション配信コントローラー (ADC) がサービスとして提供され、さまざまなレイヤー 7 負荷分散機能がアプリケーションで利用できるようになります。Microsoft Azure Application Gateway provides an Application Delivery Controller (ADC) as a service, offering various layer 7 load balancing capabilities for your application.

Application Gateway

これにより、CPU を集中的に使用する SSL の終了を Application Gateway にオフロードし (“SSL オフロード” または “SSL ブリッジ” とも呼ばれる)、Web ファームの生産性を最適化できます。It allows you to optimize web farm productivity by offloading CPU intensive SSL termination to the Application Gateway (also known as “SSL offload” or “SSL bridging”). また、着信トラフィックのラウンド ロビン分散、Cookie ベースのセッション アフィニティ、URL パス ベースのルーティング、単一の Application Gateway の背後で複数の Web サイトをホストする機能など、その他のレイヤー 7 ルーティング機能も用意されています。It also provides other Layer 7 routing capabilities including round-robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single Application Gateway. Azure Application Gateway はレイヤー 7 のロード バランサーです。Azure Application Gateway is a layer-7 load balancer.

クラウドでもオンプレミスでも、異なるサーバー間のフェールオーバーと HTTP 要求のパフォーマンス ルーティングを提供します。It provides failover, performance-routing HTTP requests between different servers, whether they are on the cloud or on-premises.

Application Gateway は、HTTP 負荷分散、Cookie ベースのセッション アフィニティ、Secure Sockets Layer (SSL) オフロード、カスタムの正常性プローブ、マルチサイトのサポートなどの多くのアプリケーション配信コントローラー (ADC) 機能を備えています。Application provides many Application Delivery Controller (ADC) features including HTTP load balancing, cookie-based session affinity, Secure Sockets Layer (SSL) offload, custom health probes, support for multi-site, and many others.

Web アプリケーション ファイアウォールWeb Application Firewall

Web アプリケーション ファイアウォール (WAF) は Azure Application Gateway の機能で、標準のアプリケーション配信コントロール (ADC) 機能に対してアプリケーション ゲートウェイを使用して、Web アプリケーションを保護します。Web Application Firewall is a feature of Azure Application Gateway that provides protection to web applications that use application gateway for standard Application Delivery Control (ADC) functions. Web アプリケーション ファイアウォールは、OWASP の上位 10 件の一般的 Web 脆弱性の大部分に対する保護を提供することで、これを実現します。Web application firewall does this by protecting them against most of the OWASP top 10 common web vulnerabilities.

Web アプリケーション ファイアウォール

  • SQL インジェクションからの保護SQL injection protection

  • 一般的な Web 攻撃からの保護 (コマンド インジェクション、HTTP 要求スマグリング、HTTP レスポンス スプリッティング、リモート ファイル インクルード攻撃など)Common Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack

  • HTTP プロトコル違反に対する保護Protection against HTTP protocol violations

  • HTTP プロトコル異常に対する保護 (ホスト ユーザー エージェントと承認ヘッダーが見つからない場合など)Protection against HTTP protocol anomalies such as missing host user-agent and accept headers

  • ボット、クローラー、スキャナーの防止Prevention against bots, crawlers, and scanners

  • 一般的なアプリケーション構成ミスの検出 (Apache、IIS など)Detection of common application misconfigurations (that is, Apache, IIS, etc.)

Web 攻撃に対する保護を提供する Web アプリケーション ファイアウォールを一元化することで、セキュリティの管理がはるかに簡単になり、侵入の脅威からアプリケーションがより確実に保護されます。A centralized web application firewall to protect against web attacks makes security management much simpler and gives better assurance to the application against the threats of intrusions. また、WAF のソリューションは、1 か所に既知の脆弱性の修正プログラムを適用することで、個々の Web アプリケーションをセキュリティで保護する場合と比較して、さらに迅速にセキュリティの脅威に対応できます。A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. 既存のアプリケーション ゲートウェイは、Web アプリケーション ファイアウォールを備えたアプリケーション ゲートウェイに簡単に変換できます。Existing application gateways can be converted to an application gateway with web application firewall easily.

Traffic ManagerTraffic Manager

Microsoft Azure Traffic Manager では、さまざまなデータ センターのサービス エンドポイントへのユーザー トラフィックの分散を制御できます。Microsoft Azure Traffic Manager allows you to control the distribution of user traffic for service endpoints in different data centers. Traffic Manager でサポートされるサービス エンドポイントには、Azure VM、Web アプリケーション、およびクラウド サービスが含まれます。Service endpoints supported by Traffic Manager include Azure VMs, Web Apps, and Cloud services. Azure 以外の外部エンドポイントで Traffic Manager を使用することもできます。You can also use Traffic Manager with external, non-Azure endpoints. Traffic Manager では、ドメイン ネーム システム (DNS) を使用して、トラフィック ルーティング方法とエンドポイントの正常性に基づいて最適なエンドポイントにクライアント要求を送信します。Traffic Manager uses the Domain Name System (DNS) to direct client requests to the most appropriate endpoint based on a traffic-routing method and the health of the endpoints.

Traffic Manager には、さまざまなアプリケーション ニーズ、エンドポイントの正常性、監視、自動フェールオーバーに対応する、さまざまなトラフィック ルーティング方法が備わっています。Traffic Manager provides a range of traffic-routing methods to suit different application needs, endpoint health monitoring, and automatic failover. Traffic Manager は Azure リージョン全体の障害などの障害に対応します。Traffic Manager is resilient to failure, including the failure of an entire Azure region.

Azure Load BalancerAzure Load Balancer

Azure Load Balancer は、高可用性と優れたネットワーク パフォーマンスをアプリケーションに提供します。Azure Load Balancer delivers high availability and network performance to your applications. Azure Load Balancer は、負荷分散セットで定義されているサービスの正常なインスタンス間で着信トラフィックを分散する、レイヤー 4 (TCP、UDP) ロード バランサーです。It is a Layer 4 (TCP, UDP) load balancer that distributes incoming traffic among healthy instances of services defined in a load-balanced set. Azure Load Balancer は次のように構成できます。Azure Load Balancer can be configured to:

  • 仮想マシンへの着信インターネット トラフィックを負荷分散します。Load balance incoming Internet traffic to virtual machines. この構成は、 インターネットに接続する負荷分散と呼ばれます。This configuration is known as Internet-facing load balancing.

  • 仮想ネットワーク内の仮想マシン間、クラウド サービス内の仮想マシン間、クロスプレミスの仮想ネットワーク内のオンプレミスのコンピューターと仮想マシン間で、トラフィックを負荷分散します。Load balance traffic between virtual machines in a virtual network, between virtual machines in cloud services, or between on-premises computers and virtual machines in a cross-premises virtual network. この構成は、 内部負荷分散と呼ばれます。This configuration is known as internal load balancing.

  • 外部トラフィックを特定の仮想マシンに転送します。Forward external traffic to a specific virtual machine

内部 DNSInternal DNS

VNet で使用される DNS サーバーの一覧は、管理ポータルまたはネットワーク構成ファイルで管理できます。You can manage the list of DNS servers used in a VNet in the Management Portal, or in the network configuration file. VNet ごとに最大 12 台の DNS サーバーを追加できます。Customer can add up to 12 DNS servers for each VNet. DNS サーバーを指定する際は、環境に適した順で DNS サーバーが一覧表示されているか確認することが重要です。When specifying DNS servers, it's important to verify that you list customer’s DNS servers in the correct order for customer’s environment. DNS サーバーの一覧はラウンド ロビンに対応していません。DNS server lists do not work round-robin. 指定した順序で使用されます。They are used in the order that they are specified. 一覧の先頭にある DNS サーバーに到達できる場合は、DNS サーバーが正しく動作しているかどうかに関係なく、その DNS サーバーを使用します。If the first DNS server on the list is able to be reached, the client uses that DNS server regardless of whether the DNS server is functioning properly or not. 仮想ネットワーク用に DNS サーバーの順序を変更するには、該当する DNS サーバーを一覧からいったん削除し、希望の順序になるように再度追加します。To change the DNS server order for customer’s virtual network, remove the DNS servers from the list and add them back in the order that customer wants. DNS では、セキュリティの 3 つの柱、"CIA" (機密性、整合性、可用性) の中の可用性がサポートされています。DNS supports the availability aspect of the “CIA” security triad.

Azure DNSAzure DNS

ドメイン ネーム システム (DNS) は、Web サイトまたはサービスの名前をその IP アドレスに変換する (または解決する) 役割を担います。The Domain Name System, or DNS, is responsible for translating (or resolving) a website or service name to its IP address. Azure DNS は、DNS ドメインのホスティング サービスであり、Microsoft Azure インフラストラクチャを使用した名前解決を提供します。Azure DNS is a hosting service for DNS domains, providing name resolution using Microsoft Azure infrastructure. Azure でドメインをホストすることで、その他の Azure サービスと同じ資格情報、API、ツール、課金情報を使用して DNS レコードを管理できます。By hosting your domains in Azure, you can manage your DNS records using the same credentials, APIs, tools, and billing as your other Azure services. DNS では、セキュリティの 3 つの柱、"CIA" (機密性、整合性、可用性) の中の可用性がサポートされています。DNS supports the availability aspect of the “CIA” security triad.

Azure Monitor ログ NSGAzure Monitor logs NSGs

NSG に対して、以下の診断ログ カテゴリを有効にできます。You can enable the following diagnostic log categories for NSGs:

  • イベント:MAC アドレスに基づいた、VM とインスタンス ロールに適用される NSG ルールに関するエントリが含まれます。Event: Contains entries for which NSG rules are applied to VMs and instance roles based on MAC address. これらのルールの状態は 60 秒ごとに収集されます。The status for these rules is collected every 60 seconds.

  • ルール カウンター:トラフィックを拒否または許可するために各 NSG ルールが適用された回数に関するエントリが含まれます。Rules counter: Contains entries for how many times each NSG rule is applied to deny or allow traffic.

Azure Security CenterAzure Security Center

Security Center は、脅威の回避、検出、対応に役立つサービスで、Azure リソースのセキュリティを高度に視覚化して制御できます。Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the Security of your Azure resources. これにより、Azure サブスクリプション全体に統合セキュリティの監視とポリシーの管理を提供し、気付かない可能性がある脅威を検出し、セキュリティ ソリューションの広範なエコシステムと連動します。It provides integrated Security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of Security solutions. ネットワークに関する推奨事項は、ファイアウォール、ネットワーク セキュリティ グループ、受信トラフィック規則の構成などが中心です。Network recommendations center around firewalls, Network Security Groups, configuring inbound traffic rules, and more.

ネットワークに関する利用可能な推奨事項は次のとおりです。Available network recommendations are as follows:

ComputeCompute

このセクションでは、この領域の重要な機能と、これらの機能についての概要情報に関する追加の情報を提供します。The section provides additional information regarding key features in this area and summary information about these capabilities.

マルウェア対策とウイルス対策ソフトウェアAntimalware & Antivirus

Azure IaaS では、Microsoft、Symantec、Trend Micro、McAfee、Kaspersky などのセキュリティ ベンダーが提供するマルウェア対策ソフトウェアを利用できます。これにより、悪意のあるファイルやアドウェアなどの脅威から仮想マシンを保護できます。With Azure IaaS, you can use antimalware software from security vendors such as Microsoft, Symantec, Trend Micro, McAfee, and Kaspersky to protect your virtual machines from malicious files, adware, and other threats. Azure Cloud Services および Azure Virtual Machines に対する Microsoft Antimalwareは、ウイルス、スパイウェアなどの悪意のあるソフトウェアの特定や駆除に役立つ保護機能です。Microsoft Antimalware for Azure Cloud Services and Virtual Machines is a protection capability that helps identify and remove viruses, spyware, and other malicious software. Microsoft Antimalware は、既知の悪意あるまたは望ましくないソフトウェアが Azure システム上に自動でインストールまたは実行されそうになった場合に、構成可能なアラートを提供します。Microsoft Antimalware provides configurable alerts when known malicious or unwanted software attempts to install itself or run on your Azure systems. Microsoft Antimalwareは、Azure Security Center を使用してデプロイすることもできます。Microsoft Antimalware can also be deployed using Azure Security Center

ハードウェア セキュリティ モジュールHardware Security Module

暗号化と認証は、キー自体が保護されない限り、セキュリティを向上させません。Encryption and authentication do not improve security unless the keys themselves are protected. 大切な秘密情報とキーを Azure Key Vault に格納することで、それらの管理とセキュリティ保護をシンプルにできます。You can simplify the management and security of your critical secrets and keys by storing them in Azure Key Vault. Key Vault では、オプションとして、キーを保管するためのハードウェア セキュリティ モジュール (HSM) が提供されています。HSM は FIPS 140-2 レベル 2 標準に準拠しています。Key Vault provides the option to store your keys in hardware Security modules (HSMs) certified to FIPS 140-2 Level 2 standards. バックアップまたは Transparent Data Encryption 用の SQL Server 暗号化キーに加えて、アプリケーションのすべてのキーや秘密情報を Key Vault に格納できます。Your SQL Server encryption keys for backup or transparent data encryption can all be stored in Key Vault with any keys or secrets from your applications. 保護されたこれらのアイテムに対するアクセス許可とアクセスは、Azure Active Directory を通して管理されます。Permissions and access to these protected items are managed through Azure Active Directory.

仮想マシンのバックアップVirtual machine backup

Azure Backup は、設備投資なしで、また最小限の運用コストでアプリケーション データを保護できるソリューションです。Azure Backup is a solution that protects your application data with zero capital investment and minimal operating costs. アプリケーション エラーが発生するとデータが破損するおそれがあり、ヒューマン エラーが生じればアプリケーションにバグが生まれてセキュリティ上の問題につながる危険があります。Application errors can corrupt your data, and human errors can introduce bugs into your applications that can lead to security issues. Azure Backup により、Windows と Linux で実行されている仮想マシンが保護されます。With Azure Backup, your virtual machines running Windows and Linux are protected.

Azure Site RecoveryAzure Site Recovery

組織のビジネス継続性/ディザスター リカバリー (BCDR) 戦略において重要となるのは、計画済みおよび計画外の停止が発生した場合に企業のワークロードとアプリを継続して実行する方法を見極めることです。An important part of your organization's business continuity/disaster recovery (BCDR) strategy is figuring out how to keep corporate workloads and apps up and running when planned and unplanned outages occur. Azure Site Recovery は、ワークロードとアプリのレプリケーション、フェールオーバー、および復旧の調整に役立ちます。これにより、1 次拠点がダウンした場合でも 2 次拠点からワークロードとアプリを利用できます。Azure Site Recovery helps orchestrate replication, failover, and recovery of workloads and apps so that they are available from a secondary location if your primary location goes down.

SQL VM TDESQL VM TDE

透過的なデータ暗号化 (TDE)、および列レベルの暗号化 (CLE)が SQL Server の暗号化機能です。Transparent data encryption (TDE) and column level encryption (CLE) are SQL server encryption features. これらの形態の暗号化では、暗号化に利用する暗号鍵を管理し、保存する必要があります。This form of encryption requires customers to manage and store the cryptographic keys you use for encryption.

Azure Key Vault (AKV) サービスは、セキュリティを強化し、安全かつ可用性の高い場所で鍵を管理できるように設計されています。The Azure Key Vault (AKV) service is designed to improve the security and management of these keys in a secure and highly available location. SQL Server コネクタ を利用すると、SQL Server で Azure Key Vault にある鍵を利用できるようになります。The SQL Server Connector enables SQL Server to use these keys from Azure Key Vault.

SQL Server をオンプレミス コンピューターで実行している場合、いくつかの手順を踏んでオンプレミスの SQL Server コンピューターから Azure Key Vault にアクセスできます。If you are running SQL Server with on-premises machines, there are steps you can follow to access Azure Key Vault from your on-premises SQL Server machine. ただし、Azure VM の SQL Server の場合、 Azure Key Vault の統合機能を利用することで時間を節約できます。But for SQL Server in Azure VMs, you can save time by using the Azure Key Vault Integration feature. いくつかの Azure PowerShell コマンドレットでこの機能を有効にし、SQL VM が Key Vault にアクセスするために必要な構成を自動化できます。With a few Azure PowerShell cmdlets to enable this feature, you can automate the configuration necessary for a SQL VM to access your key vault.

VM ディスクの暗号化VM Disk Encryption

Azure Disk Encryption は、Windows および Linux IaaS 仮想マシン ディスクを暗号化するのに役立つ新機能です。Azure Disk Encryption is a new capability that helps you encrypt your Windows and Linux IaaS virtual machine disks. この機能では、OS およびデータ ディスクのボリュームを暗号化するために、Windows の業界標準である BitLocker 機能と Linux の DM-Crypt 機能が使用されます。It applies the industry standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. このソリューションは Azure Key Vault と統合されており、ディスクの暗号化キーと秘密は Key Vault サブスクリプションで制御および管理できます。The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your Key Vault subscription. またこのソリューションでは、仮想マシン ディスク上のすべてのデータが、Azure Storage での保存時に暗号化されます。The solution also ensures that all data on the virtual machine disks are encrypted at rest in your Azure storage.

仮想ネットワークVirtual networking

仮想マシンには、ネットワーク接続が必要です。Virtual machines need network connectivity. その要件に対応するため、Azure では、仮想マシンによる Azure Virtual Network への接続が必要となります。To support that requirement, Azure requires virtual machines to be connected to an Azure Virtual Network. Azure Virtual Network は、物理的な Azure ネットワーク ファブリック上に構築される論理的な構築物です。An Azure Virtual Network is a logical construct built on top of the physical Azure network fabric. 各論理 Azure Virtual Network は、他のすべての Azure Virtual Network から分離されています。Each logical Azure Virtual Network is isolated from all other Azure Virtual Networks. この分離は、他の Microsoft Azure ユーザーによるデプロイ内のネットワーク トラフィックへのアクセスを防ぐ上で役立ちます。This isolation helps insure that network traffic in your deployments is not accessible to other Microsoft Azure customers.

修正プログラムPatch Updates

修正プログラムは潜在的な問題を見つけて修正するための基盤となるだけでなく、社内でデプロイする必要のあるソフトウェア更新プログラムの数を削減し、コンプライアンスを監視する機能を強化することにより、ソフトウェア更新管理プロセスを簡略化します。Patch Updates provide the basis for finding and fixing potential problems and simplify the software update management process, both by reducing the number of software updates you must deploy in your enterprise and by increasing your ability to monitor compliance.

セキュリティ ポリシーの管理とレポートSecurity policy management and reporting

Azure Security Center は、脅威の回避、検出、対応に役立つサービスで、Azure リソースのセキュリティを高度に視覚化して制御できます。Azure Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the security of your Azure resources. これにより、Azure サブスクリプション全体に統合セキュリティの監視とポリシーの管理を提供し、気付かない可能性がある脅威を検出し、セキュリティ ソリューションの広範なエコシステムと連動します。It provides integrated Security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Azure Security CenterAzure Security Center

Security Center は、Azure リソースのセキュリティを高度に視覚化し、制御することで脅威を回避、検出し、それに対応することに役立ちます。Security Center helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Azure resources. これにより、Azure サブスクリプション全体に統合セキュリティの監視とポリシーの管理を提供し、気付かない可能性がある脅威を検出し、セキュリティ ソリューションの広範なエコシステムと連動します。It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

ID 管理とアクセス管理Identity and access management

システム、アプリケーション、およびデータのセキュリティ保護は、ID ベースのアクセス制御から始まります。Securing systems, applications, and data begins with identity-based access controls. Microsoft のビジネス製品およびサービスに組み込まれている ID およびアクセス管理機能は、正規ユーザーが必要とするときはいつでもどこでも利用できるようにする一方で、組織および個人情報を不正アクセスから保護します。The identity and access management features that are built into Microsoft business products and services help protect your organizational and personal information from unauthorized access while making it available to legitimate users whenever and wherever they need it.

セキュリティ保護された IDSecure Identity

Microsoft では、複数のセキュリティ上の方法およびテクノロジを製品やサービスに使用して、ID とアクセスを管理します。Microsoft uses multiple security practices and technologies across its products and services to manage identity and access.

  • 多要素認証では、複数のメソッドを使用してクラウドのオンプレミス環境にアクセスする必要があります。Multi-Factor Authentication requires users to use multiple methods for access, on-premises and in the cloud. 幅広い簡単な検証オプションによって強力な認証を提供する一方で、簡単なサインイン プロセスでユーザーの要求に応えます。It provides strong authentication with a range of easy verification options, while accommodating users with a simple sign-in process.

  • Microsoft Authenticator は Microsoft Azure Active Directory と Microsoft アカウントの両方で機能するわかりやすい多要素認証機能で、ウェアラブルな承認や指紋ベースの承認がサポートされています。Microsoft Authenticator provides a user-friendly Multi-Factor Authentication experience that works with both Microsoft Azure Active Directory and Microsoft accounts, and includes support for wearables and fingerprint-based approvals.

  • パスワード ポリシーの適用によって、長さと複雑さの要件や定期的な変更を強制したり、認証試行の失敗後にアカウントをロックしたりすることで、従来のパスワードのセキュリティが強化されています。Password policy enforcement increases the security of traditional passwords by imposing length and complexity requirements, forced periodic rotation, and account lockout after failed authentication attempts.

  • トークン ベースの認証によって、Azure Active Directory 経由の認証を有効にします。Token-based authentication enables authentication via Azure Active Directory.

  • ロールベースのアクセス制御 (RBAC) によって、ユーザーに割り当てられたロールに基づいたアクセス権の付与が可能になります。これにより、ユーザーの職務実行に必要なアクセス権のみを簡単に付与できるようになります。Role-based access control (RBAC) enables you to grant access based on the user’s assigned role, making it easy to give users only the amount of access they need to perform their job duties. RBAC は、組織のビジネス モデルやリスク許容度に応じてカスタマイズできます。You can customize RBAC per your organization’s business model and risk tolerance.

  • ID 管理 (ハイブリッド ID) の統合により、すべてのリソースに対する認証および承認用に単一のユーザー ID を作成して、内部のデータ センターとクラウド プラットフォームでのユーザーのアクセス権制御を維持することができます。Integrated identity management (hybrid identity) enables you to maintain control of users’ access across internal datacenters and cloud platforms, creating a single user identity for authentication and authorization to all resources.

アプリおよびデータのセキュリティ保護Secure Apps and data

Azure Active Directory は、ID およびアクセス権を管理する包括的なクラウド ソリューションです。これにより、サイト上やクラウド内のアプリケーション データへのアクセスを保護し、ユーザーおよびグループの管理を簡素化します。Azure Active Directory, a comprehensive identity and access management cloud solution, helps secure access to data in applications on site and in the cloud, and simplifies the management of users and groups. Azure Active Directory はコア ディレクトリ サービス、高度な ID ガバナンス、セキュリティ、アプリケーションへのアクセス管理を組み合わせたもので、開発者はポリシーベースの ID 管理をアプリケーションに簡単に組み込むことができます。It combines core directory services, advanced identity governance, security, and application access management, and makes it easy for developers to build policy-based identity management into their apps. Azure Active Directory を強化するには、Azure Active Directory Basic、Premium P1、Premium P2 の各エディションを使用して有料の機能を追加します。To enhance your Azure Active Directory, you can add paid capabilities using the Azure Active Directory Basic, Premium P1, and Premium P2 editions.

無料/共通機能Free / Common Features Basic の機能Basic Features Premium P1 の機能Premium P1 Features Premium P2 の機能Premium P2 Features Azure Active Directory Join – Windows 10 のみの関連機能Azure Active Directory Join – Windows 10 only related features
ディレクトリ オブジェクトユーザーとグループの管理 (追加/更新/削除)、ユーザーベースのプロビジョニング、デバイスの登録シングル サインオン (SSO)クラウド ユーザーのセルフ サービスによるパスワード変更Connect (Azure Active Directory にオンプレミスのディレクトリを拡張する同期エンジン)セキュリティと使用状況に関するレポートDirectory Objects, User/Group Management (add/update/delete)/ User-based provisioning, Device registration, Single Sign-On (SSO), Self-Service Password Change for cloud users, Connect (Sync engine that extends on-premises directories to Azure Active Directory), Security / Usage Reports グループベースのアクセス管理/プロビジョニングクラウド ユーザーに対するセルフ サービスのパスワード リセット会社のブランド設定 (ログオン ページやアクセス パネルのカスタマイズ)アプリケーション プロキシSLA 99.9%Group-based access management / provisioning, Self-Service Password Reset for cloud users, Company Branding (Logon Pages/Access Panel customization), Application Proxy, SLA 99.9% セルフ サービスのグループおよびアプリケーション管理/セルフ サービスのアプリケーション追加/動的グループセルフ サービスのパスワード リセット/変更/ロック解除とオンプレミスの書き戻しMulti-Factor Authentication (クラウドおよびオンプレミス (MFA サーバー))MIM CAL + MIM サーバーCloud App DiscoveryConnect Healthグループ アカウントのパスワードの自動ロールオーバーSelf-Service Group and app Management/Self-Service application additions/Dynamic Groups, Self-Service Password Reset/Change/Unlock with on-premises write-back, Multi-Factor Authentication (Cloud and On-premises (MFA Server)), MIM CAL + MIM Server, Cloud App Discovery, Connect Health, Automatic password rollover for group accounts ID の保護Privileged Identity ManagementIdentity Protection, Privileged Identity Management Azure AD へのデバイスの参加、デスクトップ SSO、Azure AD 用の Microsoft Passport、管理者による BitLocker の復旧MDM 自動登録、セルフサービスの BitLocker の復旧、Azure AD Join を介した Windows 10 デバイスへのローカル管理者の追加Join a device to Azure AD, Desktop SSO, Microsoft Passport for Azure AD, Administrator BitLocker recovery, MDM auto-enrollment, Self-Service BitLocker recovery, Additional local administrators to Windows 10 devices via Azure AD Join
  • Cloud App Discovery は、Azure Active Directory のプレミアム機能で、組織の従業員が使用しているクラウド アプリケーションを特定することができます。Cloud App Discovery is a premium feature of Azure Active Directory that enables you to identify cloud applications that are used by the employees in your organization.

  • Azure Active Directory ID Protection は、 Azure Active Directory の異常検出機能を使用して、リスク イベントと、組織の ID に影響を与える可能性のある潜在的な脆弱性に対して統合ビューを提供するセキュリティ サービスです。Azure Active Directory Identity Protection is a security service that uses Azure Active Directory anomaly detection capabilities to provide a consolidated view into risk events and potential vulnerabilities that could affect your organization’s identities.

  • Azure Active Directory Domain Services によって、ドメイン コントローラーをデプロイせずに、Azure 仮想マシンをドメインに参加させることができます。Azure Active Directory Domain Services enables you to join Azure VMs to a domain without the need to deploy domain controllers. ユーザーは会社の Active Directory 資格情報を使用してこれらの仮想マシンにサインインし、各種リソースにシームレスにアクセスできます。Users sign in to these VMs by using their corporate Active Directory credentials, and can seamlessly access resources.

  • Azure Active Directory B2C は、数億個もの ID をスケールしてモバイルや Web プラットフォーム間で統合できる、コンシューマー向けアプリケーション用の高可用性グローバル ID 管理サービスです。Azure Active Directory B2C is a highly available, global identity management service for consumer-facing apps that can scale to hundreds of millions of identities and integrate across mobile and web platforms. お客様は、既存のソーシャル メディア アカウントを使用するカスタマイズ可能な操作ですべてのアプリにサインインすることも、新しいスタンドアロンの資格情報を作成することもできます。Your customers can sign in to all your apps through customizable experiences that use existing social media accounts, or you can create new standalone credentials.

  • Azure Active Directory B2B コラボレーションは、自己管理される ID を使用してパートナーが会社のアプリケーションやデータに選択的にアクセスできるようにすることで会社間のリレーションシップをサポートする、安全なパートナー インテグレーション ソリューションです。Azure Active Directory B2B Collaboration is a secure partner integration solution that supports your cross-company relationships by enabling partners to access your corporate applications and data selectively by using their self-managed identities.

  • Azure Active Directory Join によって、クラウド機能を Windows 10 デバイスに拡張し、集中管理することができます。Azure Active Directory Join enables you to extend cloud capabilities to Windows 10 devices for centralized management. ユーザーが Azure Active Directory を介して企業や組織のクラウドに接続できるようになり、アプリやリソースへのアクセスが簡略化されます。It makes it possible for users to connect to the corporate or organizational cloud through Azure Active Directory and simplifies access to apps and resources.

  • Azure Active Directory アプリケーション プロキシは、オンプレミスでホストされた Web アプリケーションに対する SSO およびセキュリティ保護されたリモート アクセスを提供します。Azure Active Directory Application Proxy provides SSO and secure remote access for web applications hosted on-premises.

次の手順Next Steps

Azure 内でデータとサービスを保護するために使用できる、Azure のサービスと機能Azure services and features you can use to help secure your services and data within Azure

Azure リソースのセキュリティの可視性と管理能力を高めることで脅威を防止、検出して対応可能Prevent, detect, and respond to threats with increased visibility and control over the security of your Azure resources

ポリシーに対するコンプライアンスを監視するAzure Security Center の監視機能The monitoring capabilities in Azure Security Center to monitor compliance with policies.