Azure セキュリティの管理と監視の概要Azure security management and monitoring overview

Azure には、そのクラウド サービスと仮想マシン (VM) の管理と監視を支援するセキュリティ メカニズムが備わっています。Azure provides security mechanisms to aid in the management and monitoring of Azure cloud services and virtual machines (VMs). この記事では、これらの主要なセキュリティ機能とサービスの概要を示します。This article provides an overview of these core security features and services. それぞれの詳細について説明する記事へのリンクが用意されているため、さらに詳しく学習できます。Links are provided to articles that give details of each so you can learn more.

Microsoft クラウド サービスのセキュリティは、パートナーシップに基づくものであり、お客様と Microsoft が共有する責任です。The security of your Microsoft cloud services is a partnership and a shared responsibility between you and Microsoft. Microsoft は、Azure プラットフォームおよびそのデータ センターの (入室に ID カードが必要なドア、フェンス、守衛などのセキュリティ保護の使用による) 物理的なセキュリティの責任を負います。Microsoft is responsible for the Azure platform and the physical security of its datacenters (by using security protections such as locked badge-entry doors, fences, and guards). Azure のソフトウェア レイヤーには強力なレベルのクラウド セキュリティが備わっており、セキュリティ、プライバシー、コンプライアンスに関する顧客のニーズを満たすことができます。Azure provides strong levels of cloud security at the software layer that meets the security, privacy, and compliance needs of its customers.

お客様は、自分のデータと ID を所有し、それらとオンプレミス リソースのセキュリティ、および自分が制御しているクラウド コンポーネントのセキュリティを保護する責任を持ちます。You own your data and identities, the responsibility for protecting them, the security of your on-premises resources, and the security of cloud components over which you have control. Microsoft は、セキュリティ制御や、データとアプリケーションを保護するための機能をお客様に提供します。Microsoft gives you security controls and capabilities to help you protect your data and applications. お客様のセキュリティの責任の度合いは、クラウド サービスの種類に応じて決まります。Your degree of responsibility for security is based on the type of cloud service.

次の表は、Microsoft とお客様の間の責任の分担をまとめたものです。The following chart summarizes the balance of responsibility between Microsoft and the customer.

Shared responsibility

セキュリティの管理について詳しくは、「Azure のセキュリティ管理」をご覧ください。For more information about security management, see Security management in Azure.

ロールベースのアクセス制御Role-Based Access Control

ロールベースのアクセス制御 (RBAC) は、Azure リソースのアクセス権を詳細に管理できるようにします。Role-Based Access Control (RBAC) provides detailed access management for Azure resources. RBAC を使用すると、職務に必要な範囲のアクセス権だけをユーザーに付与することができます。By using RBAC, you can grant people only the amount of access that they need to perform their jobs. RBAC は、ユーザーが組織を離れるときに、クラウド内のリソースへのアクセス権を失うようにするためにも役立ちます。RBAC can also help you ensure that when people leave the organization, they lose access to resources in the cloud.

詳細情報:Learn more:

マルウェア対策Antimalware

Azure では、Microsoft、Symantec、Trend Micro、McAfee、Kaspersky などの主要セキュリティ ベンダーのマルウェア対策ソフトウェアを使用できます。With Azure, you can use antimalware software from major security vendors such as Microsoft, Symantec, Trend Micro, McAfee, and Kaspersky. このソフトウェアは、悪意のあるファイル、アドウェア、他の脅威から仮想マシンを保護するのに役立ちます。This software helps protect your virtual machines from malicious files, adware, and other threats.

Azure Cloud Services および Virtual Machines の Microsoft マルウェア対策は、PaaS ロールと仮想マシンの両方のためのマルウェア対策エージェントをインストールする機能を提供します。Microsoft Antimalware for Azure Cloud Services and Virtual Machines offers you the ability to install an antimalware agent for both PaaS roles and virtual machines. この機能は、System Center Endpoint Protection に基づいており、実績のあるオンプレミス セキュリティ テクノロジをクラウドに持ち込みます。Based on System Center Endpoint Protection, this feature brings proven on-premises security technology to the cloud.

また、Trend の Deep SecuritySecureCloud 製品も Azure プラットフォームに緊密に統合されます。We also offer deep integration for Trend’s Deep Security and SecureCloud products in the Azure platform. DeepSecurity はウイルス対策ソリューションであり、SecureCloud は暗号化ソリューションです。Deep Security is an antivirus solution, and SecureCloud is an encryption solution. DeepSecurity は、拡張機能モデルを使って、VM の内部に展開されます。Deep Security is deployed inside VMs through an extension model. Azure portal UI と PowerShell を使うと、スピンアップされている新しい VM 内で DeepSecurity を使うか、既にデプロイされている既存の VM 内で使うかを選択することができます。By using the Azure portal UI and PowerShell, you can choose to use Deep Security inside new VMs that are being spun up, or existing VMs that are already deployed.

Symantec Endpoint Protection (SEP) も、Azure でサポートされています。Symantec Endpoint Protection (SEP) is also supported on Azure. ポータルの統合により、お客様は SEP を VM 上で使うように指定できます。Through portal integration, you can specify that you intend to use SEP on a VM. SEP は、Azure Portal を通じて新しい VM にインストールすることができます。また、PowerShell を使って既存の VM にインストールすることもできます。SEP can be installed on a new VM via the Azure portal, or it can be installed on an existing VM via PowerShell.

詳細情報:Learn more:

Multi-Factor AuthenticationMulti-Factor Authentication

Azure Multi-Factor Authentication は、複数の検証方法の使用を要求する認証の方法です。Azure Multi-Factor Authentication is a method of authentication that requires the use of more than one verification method. ユーザーのサインインとトランザクションに重要な第 2 のセキュリティ レイヤーを追加できます。It adds a critical second layer of security to user sign-ins and transactions.

Multi-Factor Authentication を使えば、シンプルなサインイン プロセスを好むユーザーのニーズに応えながら、データやアプリケーションへのアクセスを効果的に保護できます。Multi-Factor Authentication helps safeguard access to data and applications while meeting user demand for a simple sign-in process. 電話やテキスト メッセージ、モバイル アプリによる通知のほか、確認コードやサード パーティの OATH トークンなど、一連の照合方法を通じて確実な認証を行うことができます。It delivers strong authentication via a range of verification options (phone call, text message, or mobile app notification or verification code) and third-party OATH tokens.

詳細情報:Learn more:

ExpressRouteExpressRoute

Azure ExpressRoute を使うと、接続プロバイダーが提供する専用プライベート接続で、オンプレミスのネットワークを Microsoft クラウドに拡張できます。You can use Azure ExpressRoute to extend your on-premises networks into the Microsoft Cloud over a dedicated private connection that's facilitated by a connectivity provider. ExpressRoute では、Azure、Office 365、CRM Online などの Microsoft クラウド サービスへの接続を確立できます。With ExpressRoute, you can establish connections to Microsoft cloud services such as Azure, Office 365, and CRM Online. 以下のものから接続できます。Connectivity can be from:

  • 任意の環境間 (VPN IP) ネットワーク。An any-to-any (IP VPN) network.
  • ポイント ツー ポイントのイーサネット ネットワーク。A point-to-point Ethernet network.
  • コロケーション施設の接続プロバイダー経由での仮想クロス接続。A virtual cross-connection through a connectivity provider at a co-location facility.

ExpressRoute 接続はパブリックなインターネットを経由しません。ExpressRoute connections don't go over the public internet. ExpressRoute 接続は一般的なインターネットでの接続よりも信頼性が高く、高速で、待ち時間が短く、セキュリティの高い接続を提供できます。They can offer more reliability, faster speeds, lower latencies, and higher security than typical connections over the internet.

詳細情報:Learn more:

仮想ネットワーク ゲートウェイVirtual network gateways

VPN ゲートウェイ (Azure 仮想ネットワーク ゲートウェイとも呼ばれます) は、仮想ネットワークとオンプレミスの場所の間でネットワーク トラフィックを送信するために使用されます。VPN gateways, also called Azure virtual network gateways, are used to send network traffic between virtual networks and on-premises locations. また、Azure 内で複数の仮想ネットワーク間のトラフィック送信にも使用されます (ネットワーク間)。They are also used to send traffic between multiple virtual networks within Azure (network to network). VPN ゲートウェイは、Azure とお使いのインフラストラクチャの間の安全なクロスプレミス接続を提供します。VPN gateways provide secure cross-premises connectivity between Azure and your infrastructure.

詳細情報:Learn more:

Privileged Identity ManagementPrivileged Identity Management

ユーザーは、Azure のリソース、または他の SaaS アプリケーションで、特権操作を実行することが必要になる場合があります。Sometimes users need to carry out privileged operations in Azure resources or other SaaS applications. 通常は、組織がユーザーに Azure Active Directory (Azure AD) で永続的な特権アクセスを付与します。This often means organizations give them permanent privileged access in Azure Active Directory (Azure AD).

しかし、この措置では、ユーザーが特権アクセスを使用して実行している内容を組織が十分に監視できないため、クラウドでホストされているリソースのセキュリティ リスクが増大します。This is a growing security risk for cloud-hosted resources because organizations can't sufficiently monitor what those users are doing with their privileged access. また、特権アクセスを持つユーザー アカウントが侵害された場合に、その 1 つの侵害が組織のクラウド セキュリティ全体に影響を与える可能性もあります。Additionally, if a user account with privileged access is compromised, that one breach can affect an organization's overall cloud security. Azure AD Privileged Identity Management では、特権の公開期間を短縮し、使用状況の可視性を向上させることによって、このリスクの解決を支援します。Azure AD Privileged Identity Management helps to resolve this risk by lowering the exposure time of privileges and increasing visibility into usage.

Privileged Identity Management は、ロールまたは "ジャスト イン タイム" 管理者アクセス用の一時的管理者の概念を導入します。Privileged Identity Management introduces the concept of a temporary admin for a role or “just in time” administrator access. この種の管理者は、割り当てられたロールのアクティブ化プロセスを完了する必要があるユーザーです。This kind of admin is a user who needs to complete an activation process for that assigned role. このアクティブ化プロセスによって、Azure AD におけるユーザーへのロールの割り当てが、指定された期間だけ、非アクティブからアクティブに変更されます。The activation process changes the assignment of the user to a role in Azure AD from inactive to active, for a specified time period.

詳細情報:Learn more:

Identity ProtectionIdentity Protection

Azure AD Identity Protection は、ビジネスを保護するために、不審なサインイン アクティビティと潜在的な脆弱性の統合ビューを提供します。Azure AD Identity Protection provides a consolidated view of suspicious sign-in activities and potential vulnerabilities to help protect your business. Identity Protection は、次のようなシグナルに基づいて、ユーザーおよび特権 (管理者) ID に対する不審なアクティビティを検出します。Identity Protection detects suspicious activities for users and privileged (admin) identities, based on signals like:

  • ブルート フォース攻撃。Brute-force attacks.
  • 漏洩した資格情報。Leaked credentials.
  • 未知の場所および感染したデバイスからのサインイン。Sign-ins from unfamiliar locations and infected devices.

Identity Protection は、通知と推奨される修復を提供することで、リスクをリアルタイムで軽減できるようにします。By providing notifications and recommended remediation, Identity Protection helps to mitigate risks in real time. ユーザー リスクの重大度を計算します。It calculates user risk severity. ユーザーはリスク ベースのポリシーを構成して、アプリケーションのアクセスが将来の脅威から自動的に保護されるようにすることができます。You can configure risk-based policies to automatically help safeguard application access from future threats.

詳細情報:Learn more:

Security CenterSecurity Center

Azure Security Center は、脅威の防御、検出、対応を可能にする機能です。Azure Security Center helps you prevent, detect, and respond to threats. Security Center により、Azure リソースのセキュリティの可視化を向上させ、コントロールすることができます。Security Center gives you increased visibility into, and control over, the security of your Azure resources. Azure サブスクリプション間のセキュリティ監視とポリシー管理を総合的に提供します。It provides integrated security monitoring and policy management across your Azure subscriptions. Security Center は、見つけにくい脅威の検出を支援すると共に、さまざまなセキュリティ ソリューションをまとめた広範なエコシステムとして機能します。It helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Security Center は、Azure リソースのセキュリティの最適化と監視に役立つ次の機能を備えています。Security Center helps you optimize and monitor the security of your Azure resources by:

  • 以下に従って、Azure サブスクリプション リソースに対するポリシーを定義できるようにします。Enabling you to define policies for your Azure subscription resources according to:
    • 会社のセキュリティ ニーズ。Your company’s security needs.
    • 各サブスクリプション内のアプリケーションの種類またはデータの機密度。The type of applications or sensitivity of the data in each subscription.
  • Azure 仮想マシン、ネットワーク、およびアプリケーションの状態を監視します。Monitoring the state of your Azure virtual machines, networking, and applications.
  • 統合パートナー ソリューションからのアラートなど、優先度の高いセキュリティ アラートの一覧を提供します。Providing a list of prioritized security alerts, including alerts from integrated partner solutions. 迅速に攻撃を調査するために必要な情報と、修復方法に関する推奨事項も提供します。It also provides the information that you need to quickly investigate an attack and recommendations on how to remediate it.

詳細情報:Learn more: