ネットワーク セキュリティ グループの作成、変更、削除

ネットワーク セキュリティ グループのセキュリティ規則を使用して、仮想ネットワーク サブネットとネットワーク インターフェイスに出入りできるネットワーク トラフィックの種類をフィルター処理できます。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。 次に、ネットワーク トラフィックのフィルター処理に関するチュートリアルを完了し、ネットワーク セキュリティ グループについて少し経験してみてください。

開始する前に

注意

この記事は、Azure Az PowerShell モジュールを使用するように更新されています。 Az PowerShell モジュールは、Azure と対話するために推奨される PowerShell モジュールです。 Az PowerShell モジュールの使用を開始するには、「Azure PowerShell をインストールする」を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。

Azure アカウントをお持ちでない場合は、アクティブなサブスクリプションを使用してそれを設定します。 無料でアカウントを作成できます。 この記事の残りを始める前に、次のいずれかのタスクを完了します。

  • ポータル ユーザー:Azure アカウントで Azure Portal にサインインします。

  • PowerShell ユーザー:Azure Cloud Shell でコマンドを実行するか、お使いのコンピューターから PowerShell を実行します。 Azure Cloud Shell は無料のインタラクティブ シェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。 一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。 Azure Cloud Shell のブラウザー タブで、 [環境の選択] ドロップダウン リストを見つけ、(まだ選択されていない場合は) [PowerShell] を選択します。

    PowerShell をローカルで実行している場合、Azure PowerShell モジュール バージョン 1.0.0 以降を使用します。 インストールされているバージョンを確認するには、Get-Module -ListAvailable Az.Network を実行します。 アップグレードする必要がある場合は、Azure PowerShell モジュールのインストールに関するページを参照してください。 Connect-AzAccount を実行して、Azure との接続を作成します。

  • Azure のコマンド ライン インターフェイス (CLI) のユーザー:Azure Cloud Shell でコマンドを実行するか、コンピューターから CLI を実行します。 Azure CLI をローカルに実行している場合は、Azure CLI バージョン 2.0.28 以降を使用してください。 インストールされているバージョンを確認するには、az --version を実行します。 インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。 az login を実行して、Azure との接続を作成します。

Azure へのログインまたは接続に使用するアカウントは、ネットワーク共同作成者ロールまたは「アクセス許可」の一覧の適切なアクションが割り当てられているカスタム ロールに、割り当てられている必要があります。

ネットワーク セキュリティ グループを操作する

ネットワーク セキュリティ グループは、作成、すべて表示詳細の表示変更、および削除できます。 ネットワーク インターフェイスまたはサブネットに対して、ネットワーク セキュリティ グループを関連付けるか、関連付けを解除することもできます。

ネットワーク セキュリティ グループの作成

Azure の場所およびサブスクリプションごとに作成できるネットワーク セキュリティ グループの数には制限があります。 詳しくは、「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。

  1. [Azure portal] メニュー上または [ホーム] ページから [リソースの作成] を選択します。

  2. [ネットワーク] を選択した後、 [ネットワーク セキュリティ グループ] を選択します。

  3. [ネットワーク セキュリティ グループの作成] ページの [基本] タブで、次の設定の値を設定します。

    設定 アクション
    サブスクリプション サブスクリプションを選択します。
    リソース グループ 既存のリソース グループを選択するか、 [新規作成] を選択して新しいリソース グループを作成します。
    名前 リソース グループ内で一意のテキスト文字列を入力します。
    リージョン 目的の場所を選択します。
  4. [Review + create](レビュー + 作成) を選択します。

  5. "検証に成功しました" というメッセージが表示されたら、 [作成] を選択します。

コマンド

ツール コマンド
Azure CLI az network nsg create
PowerShell New-AzNetworkSecurityGroup

すべてのネットワーク セキュリティ グループを表示する

ネットワーク セキュリティ グループを表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。 サブスクリプションのネットワーク セキュリティ グループの一覧が表示されます。

コマンド

ツール コマンド
Azure CLI az network nsg list
PowerShell Get-AzNetworkSecurityGroup

ネットワーク セキュリティ グループの詳細を表示する

  1. ネットワーク セキュリティ グループを表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。

  2. ネットワーク セキュリティ グループの名前を選択します。

ネットワーク セキュリティ グループのメニュー バーの [設定] では、ネットワーク セキュリティ グループが関連付けられている [受信セキュリティ規則][送信セキュリティ規則][ネットワーク インターフェイス][サブネット] を確認できます。

[監視] では、 [診断設定] を有効または無効にすることができます。 [サポート + トラブルシューティング] では、 [有効なセキュリティ ルール] を確認できます。 詳しくは、「ネットワーク セキュリティ グループの診断ログ」および「VM ネットワーク トラフィック フィルターの問題を診断する」をご覧ください。

Azure の一般的な設定の詳細については、次の記事を参照してください。

コマンド

ツール コマンド
Azure CLI az network nsg show
PowerShell Get-AzNetworkSecurityGroup

ネットワーク セキュリティ グループを変更する

  1. ネットワーク セキュリティ グループを表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。

  2. 変更するネットワーク セキュリティ グループの名前を選択します。

最も一般的な変更は、セキュリティ規則の追加規則の削除サブネットまたはネットワーク インターフェイスに対するネットワーク セキュリティ グループの関連付けまたは関連付け解除です。

コマンド

ツール コマンド
Azure CLI az network nsg update
PowerShell Set-AzNetworkSecurityGroup

ネットワーク インターフェイスまたはサブネットに対してネットワーク セキュリティ グループを関連付けるか関連付けを解除する

ネットワーク インターフェイスに対してネットワーク セキュリティ グループを関連付けるか関連付けを解除するには、「ネットワーク セキュリティ グループの関連付けまたは関連付けの解除を行う」を参照してください。 サブネットに対してネットワーク セキュリティ グループを関連付けるか関連付けを解除するには、「サブネットの設定を変更する」を参照してください。

ネットワーク セキュリティ グループを削除する

ネットワーク セキュリティ グループは、いずれかのサブネットまたはネットワーク インターフェイスに関連付けられている場合は削除できません。 ネットワーク セキュリティ グループを削除する前に、すべてのサブネットとネットワーク インターフェイスからネットワーク セキュリティ グループの関連付けを解除してください。

  1. ネットワーク セキュリティ グループを表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。

  2. 削除するネットワーク セキュリティ グループの名前を選択します。

  3. ネットワーク セキュリティ グループのツール バーで、 [削除] を選択します。 次に、確認のダイアログ ボックスで [はい] を選択します。

コマンド

ツール コマンド
Azure CLI az network nsg delete
PowerShell Remove-AzNetworkSecurityGroup

セキュリティ規則を操作する

ネットワーク セキュリティ グループには、0 個または 1 つ以上のセキュリティ規則が含まれています。 セキュリティ規則は、作成、すべて表示詳細の表示変更、および削除できます。

セキュリティ規則を作成する

Azure の各場所およびサブスクリプションに対して作成できるネットワーク セキュリティ グループごとの規則の数には制限があります。 詳しくは、「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。

  1. ネットワーク セキュリティ グループを表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。

  2. セキュリティ規則を追加するネットワーク セキュリティ グループの名前を選択します。

  3. ネットワーク セキュリティ グループのメニュー バーで、 [受信セキュリティ規則] または [送信セキュリティ規則] を選択します。

    既存の規則が一覧表示されます (追加していないものが含まれることもあります)。 ネットワーク セキュリティ グループを作成すると、既定のセキュリティ規則がいくつかその中に作成されます。 詳しくは、「既定セキュリティ規則」をご覧ください。 既定の規則は削除できませんが、優先順位の高い規則を使用してオーバーライドできます。

  4. [追加] を選択します。 次の設定の値を選択するか入力し、 [OK] を選択します。

    設定 詳細
    ソース つぎのいずれかです。
    • [任意]
    • IP アドレス
    • サービス タグ (受信セキュリティ規則) または VirtualNetwork (送信セキュリティ規則)
    • アプリケーションのセキュリティ グループ 

    [IP アドレス] 選択した場合は、 [発信元 IP アドレス/CIDR 範囲] も指定する必要があります。

    [サービス タグ] を選択した場合は、 [ソース サービス タグ] も選択できます。

    [アプリケーションのセキュリティ グループ] を選択した場合は、既存のアプリケーション セキュリティ グループを選択する必要もあります。 [ソース][宛先] の両方に対して [アプリケーションのセキュリティ グループ] を選択した場合は、両方のアプリケーションのセキュリティ グループ内のネットワーク インターフェイスが同じ仮想ネットワークに存在する必要があります。

    ソース IP アドレス/CIDR 範囲 IP アドレスおよびクラスレス ドメイン間ルーティング (CIDR) 範囲のコンマ区切りリスト

    [ソース][IP アドレス] に変更すると、この設定が表示されます。 単一の値またはコンマで区切った複数の値のリストを指定する必要があります。 複数の値の例は、10.0.0.0/16, 192.188.1.1 です。 指定できる値の数には制限があります。 詳しくは、Azure の制限事項 に関する記事をご覧ください。

    指定した IP アドレスが Azure VM に割り当てられている場合は、そのパブリック IP アドレスではなく、プライベート IP アドレスを指定します。 Azure によってセキュリティ規則が処理されるのは、受信セキュリティ規則の場合はパブリック IP アドレスがプライベート IP アドレスに変換された後、送信規則の場合はプライベート IP アドレスがパブリック IP アドレスに変換される前です。 Azure のパブリック IP アドレスとプライベート IP アドレスの詳細については、IP アドレスの種類に関するページを参照してください。

    ソース サービス タグ ドロップダウン リストからのサービ スタグ このオプションの設定は、受信セキュリティ規則の [ソース][サービス タグ] に設定した場合に表示されます。 サービス タグは、IP アドレスのカテゴリに対する定義済みの識別子です。 利用可能なサービス タグと各タグが表していることの詳細については、「サービス タグ」を参照してください。
    ソース アプリケーションのセキュリティ グループ 既存のアプリケーションのセキュリティ グループ この設定は、 [ソース][アプリケーションのセキュリティ グループ] に設定した場合に表示されます。 ネットワーク インターフェイスと同じリージョンに存在するアプリケーションのセキュリティ グループを選択します。 アプリケーション セキュリティ グループの作成方法を参照してください。
    ソース ポート範囲 つぎのいずれかです。
    • 単一のポート (例: 80)
    • ポートの範囲 (例: 1024-65535)
    • 単一つのポートまたはポート範囲 (またはその両方) のコンマ区切りのリスト (例: 80, 1024-65535)
    • 任意のポートでトラフィックを許可する場合はアスタリスク (*)
    この設定では、規則でトラフィックを許可または拒否するポートを指定します。 指定できるポートの数には制限があります。 詳しくは、Azure の制限事項 に関する記事をご覧ください。
    宛先 つぎのいずれかです。
    • [任意]
    • [IP アドレス]
    • [サービス タグ] (送信セキュリティ規則) または [VirtualNetwork] (受信セキュリティ規則)
    • [アプリケーションのセキュリティ グループ]  

    [IP アドレス] 選択した場合は、 [宛先 IP アドレス/CIDR 範囲] も指定します。

    [VirtualNetwork] を選択した場合、仮想ネットワークのアドレス空間内のすべての IP アドレスへのトラフィックが許可されます。 VirtualNetwork はサービス タグです。

    [アプリケーションのセキュリティ グループ] を選択した場合は、既存のアプリケーションのセキュリティ グループを選択する必要があります。 アプリケーション セキュリティ グループの作成方法を参照してください。

    宛先 IP アドレス/CIDR 範囲 IP アドレスと CIDR 範囲のコンマ区切りのリスト

    [宛先][IP アドレス] に変更すると、この設定が表示されます。 [ソース][送信元 IP アドレス/CIDR 範囲] と同じように、単一のアドレス、複数のアドレス、または範囲を指定できます。 指定できる数には制限があります。 詳しくは、Azure の制限事項 に関する記事をご覧ください。

    指定した IP アドレスが Azure VM に割り当てられている場合は、そのパブリック IP アドレスではなく、プライベート IP アドレスを指定します。 Azure によってセキュリティ規則が処理されるのは、受信セキュリティ規則の場合はパブリック IP アドレスがプライベート IP アドレスに変換された後、送信規則の場合はプライベート IP アドレスがパブリック IP アドレスに変換される前です。 Azure のパブリック IP アドレスとプライベート IP アドレスの詳細については、IP アドレスの種類に関するページを参照してください。

    宛先サービス タグ ドロップダウン リストからのサービ スタグ このオプションの設定は、送信セキュリティ規則の [宛先][サービス タグ] に変更した場合に表示されます。 サービス タグは、IP アドレスのカテゴリに対する定義済みの識別子です。 利用可能なサービス タグと各タグが表していることの詳細については、「サービス タグ」を参照してください。
    宛先アプリケーションのセキュリティ グループ 既存のアプリケーションのセキュリティ グループ この設定は、 [宛先][アプリケーションのセキュリティ グループ] に設定した場合に表示されます。 ネットワーク インターフェイスと同じリージョンに存在するアプリケーションのセキュリティ グループを選択します。 アプリケーション セキュリティ グループの作成方法を参照してください。
    宛先ポート範囲 つぎのいずれかです。
    • 単一のポート (例: 80)
    • ポートの範囲 (例: 1024-65535)
    • 単一つのポートまたはポート範囲 (またはその両方) のコンマ区切りのリスト (例: 80, 1024-65535)
    • 任意のポートでトラフィックを許可する場合はアスタリスク (*)
    [ソース ポート範囲] と同様に、1 つまたは複数のポートおよび範囲を指定できます。 指定できる数には制限があります。 詳しくは、Azure の制限事項 に関する記事をご覧ください。
    プロトコル [任意][TCP][UDP] 、または [ICMP] 伝送制御プロトコル (TCP)、ユーザー データグラム プロトコル (UDP)、またはインターネット制御メッセージ プロトコル (ICMP) に規則を制限できます。 既定では、すべてのプロトコルに規則が適用されます。
    操作 [許可] または [拒否] この設定では、指定したソースと宛先の構成に対して、この規則でアクセスを許可するか拒否するかを指定します。
    優先順位 ネットワーク セキュリティ グループ内のすべてのセキュリティ規則に対して一意である 100 から 4096 の範囲の値 Azure では、優先順位の順序でセキュリティ規則が処理されます。 数値が小さいほど、優先度は高くなります。 規則を作成するときに、間を空けて優先順位を指定することをお勧めします (100、200、300 など)。 間を空けることにより、後で規則を簡単に追加し、既存の規則より高いまたは低い優先順位を指定できます。
    名前 ネットワーク セキュリティ グループ内の一意の名前 名前の最大長は 80 文字です。 先頭は文字または数字、末尾は文字、数字、またはアンダースコアでなければなりません。 名前に使用できるのは、文字、数字、アンダースコア、ピリオド、およびハイフンのみです。
    説明 テキストの説明 必要に応じて、セキュリティ規則の説明文を指定できます。 説明は 140 文字より長くすることはできません。

コマンド

ツール コマンド
Azure CLI az network nsg rule create
PowerShell New-AzNetworkSecurityRuleConfig

すべてのセキュリティ規則を表示する

ネットワーク セキュリティ グループには、0 個以上のセキュリティ規則が含まれます。 規則を表示したときに一覧に表示される情報の詳細については、ネットワーク セキュリティ グループの概要に関する記事を参照してください。

  1. ネットワーク セキュリティ グループの規則を表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。

  2. 規則を表示するネットワーク セキュリティ グループの名前を選択します。

  3. ネットワーク セキュリティ グループのメニュー バーで、 [受信セキュリティ規則] または [送信セキュリティ規則] を選択します。

一覧には、作成したすべての規則と、ネットワーク セキュリティ グループの既定のセキュリティ規則が含まれます。

コマンド

ツール コマンド
Azure CLI az network nsg rule list
PowerShell Get-AzNetworkSecurityRuleConfig

セキュリティ規則の詳細を表示する

  1. ネットワーク セキュリティ グループの規則を表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。

  2. 規則の詳細を表示するネットワーク セキュリティ グループの名前を選択します。

  3. ネットワーク セキュリティ グループのメニュー バーで、 [受信セキュリティ規則] または [送信セキュリティ規則] を選択します。

  4. 詳細を表示する規則を選択します。 すべての設定の詳細については、セキュリティ規則の設定に関する記事をご覧ください。

    注意

    この手順は、カスタム セキュリティ規則にのみ適用されます。 既定のセキュリティ規則を選択した場合は機能しません。

コマンド

ツール コマンド
Azure CLI az network nsg rule show
PowerShell Get-AzNetworkSecurityRuleConfig

セキュリティ規則を変更する

  1. セキュリティ規則の詳細を表示する」の手順を完了します。

  2. 必要に応じて設定を変更し、 [保存] を選択します。 すべての設定の詳細については、セキュリティ規則の設定に関する記事をご覧ください。

    注意

    この手順は、カスタム セキュリティ規則にのみ適用されます。 既定のセキュリティ規則を変更することは許可されていません。

コマンド

ツール コマンド
Azure CLI az network nsg rule update
PowerShell Set-AzNetworkSecurityRuleConfig

セキュリティ規則を削除する

  1. セキュリティ規則の詳細を表示する」の手順を完了します。

  2. [削除] を選択してから、 [はい] を選択します。

    注意

    この手順は、カスタム セキュリティ規則にのみ適用されます。 既定のセキュリティ規則を削除することは許可されていません。

コマンド

ツール コマンド
Azure CLI az network nsg rule delete
PowerShell Remove-AzNetworkSecurityRuleConfig

アプリケーション セキュリティ グループを操作する

アプリケーション セキュリティ グループには、0 個または複数個のネットワーク インターフェイスが含まれます。 詳細については、「アプリケーション セキュリティ グループ」を参照してください。 アプリケーション セキュリティ グループ内のすべてのネットワーク インターフェイスは、同じ仮想ネットワークに存在している必要があります。 アプリケーション セキュリティ グループにネットワーク インターフェイスを追加する方法については、「アプリケーション セキュリティ グループにネットワーク インターフェイスを追加する」を参照してください。

アプリケーション セキュリティ グループを作成する

  1. [Azure portal] メニュー上または [ホーム] ページから [リソースの作成] を選択します。

  2. 検索ボックスに、「Application security group」と入力します。

  3. [Application security group] ページで、 [作成] を選択します。

  4. [アプリケーションのセキュリティ グループの作成] ページの [基本] タブで、次の設定の値を設定します。

    設定 アクション
    サブスクリプション サブスクリプションを選択します。
    リソース グループ 既存のリソース グループを選択するか、 [新規作成] を選択して新しいリソース グループを作成します。
    名前 リソース グループ内で一意のテキスト文字列を入力します。
    リージョン 目的の場所を選択します。
  5. [Review + create](レビュー + 作成) を選択します。

  6. [確認と作成] タブに [検証に成功しました] というメッセージが表示されたら、 [作成] を選択します。

コマンド

ツール コマンド
Azure CLI az network asg create
PowerShell New-AzApplicationSecurityGroup

すべてのアプリケーション セキュリティ グループを表示する

Azure portal に移動し、アプリケーションのセキュリティ グループを表示します。 [アプリケーションのセキュリティ グループ] を探して選択します。 Azure portal に、アプリケーションのセキュリティ グループの一覧が表示されます。

コマンド

ツール コマンド
Azure CLI az network asg list
PowerShell Get-AzApplicationSecurityGroup

特定のアプリケーション セキュリティ グループの詳細を表示する

  1. アプリケーションのセキュリティ グループを表示するには、Azure portal に移動します。 [アプリケーションのセキュリティ グループ] を探して選択します。

  2. 詳細を表示するアプリケーションのセキュリティ グループの名前を選択します。

コマンド

ツール コマンド
Azure CLI az network asg show
PowerShell Get-AzApplicationSecurityGroup

アプリケーション セキュリティ グループを変更する

  1. アプリケーションのセキュリティ グループを表示するには、Azure portal に移動します。 [アプリケーションのセキュリティ グループ] を探して選択します。

  2. 変更するアプリケーションのセキュリティ グループの名前を選択します。

  3. 変更する設定の横にある [変更] を選択します。 たとえば、 [タグ] を追加または削除したり、 [リソース グループ] または [サブスクリプション] を変更したりできます。

    注意

    場所を変更することはできません。

    メニュー バーでは、 [アクセス制御 (IAM)] を選択することもできます。 [アクセス制御 (IAM)] ページで、アプリケーションのセキュリティ グループに対するアクセス許可を割り当てたり削除したりできます。

コマンド

ツール コマンド
Azure CLI az network asg update
PowerShell PowerShell コマンドレットはありません

アプリケーション セキュリティ グループを削除する

アプリケーションのセキュリティ グループにネットワーク インターフェイスが含まれる場合は、アプリケーションのセキュリティ グループを削除できません。 アプリケーションのセキュリティ グループからすべてのネットワーク インターフェイスを削除するには、ネットワーク インターフェイスの設定を変更するか、ネットワーク インターフェイスを削除します。 詳細については、「アプリケーション セキュリティ グループに対して追加または削除を実行する」または「ネットワーク インターフェイスの削除」を参照してください。

  1. アプリケーションのセキュリティ グループを管理するには、Azure portal に移動します。 [アプリケーションのセキュリティ グループ] を探して選択します。

  2. 削除するアプリケーションのセキュリティ グループの名前を選択します。

  3. [削除] を選択し、 [はい] を選んでアプリケーション セキュリティ グループを削除します。

コマンド

ツール コマンド
Azure CLI az network asg delete
PowerShell Remove-AzApplicationSecurityGroup

アクセス許可

ネットワーク セキュリティ グループ、セキュリティ規則、およびアプリケーションのセキュリティ グループに関するタスクを行うには、使用するアカウントがネットワーク共同作成者ロール、または次の表に示す適切なアクセス許可が割り当てられたカスタム ロールに、割り当てられている必要があります。

ネットワーク セキュリティ グループ

アクション 名前
Microsoft.Network/networkSecurityGroups/read ネットワーク セキュリティ グループの取得
Microsoft.Network/networkSecurityGroups/write ネットワーク セキュリティ グループの作成または更新
Microsoft.Network/networkSecurityGroups/delete ネットワーク セキュリティ グループの削除
Microsoft.Network/networkSecurityGroups/join/action サブネットまたはネットワーク インターフェイスへのネットワーク セキュリティ グループの関連付け

注意

ネットワーク セキュリティ グループに対して write 操作を実行するには、Microsoft.Network/networkSecurityGroups/write アクセス許可に加えて、リソース グループに対する read 以上のアクセス許可がサブスクリプション アカウントに必要です。

ネットワーク セキュリティ グループの規則

アクション 名前
Microsoft.Network/networkSecurityGroups/securityRules/read 規則の取得
Microsoft.Network/networkSecurityGroups/securityRules/write 規則の作成または更新
Microsoft.Network/networkSecurityGroups/securityRules/delete 規則の削除

アプリケーション セキュリティ グループ

アクション 名前
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action IP 構成をアプリケーション セキュリティ グループに結合する
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action セキュリティ ルールをアプリケーション セキュリティ グループに結合する
Microsoft.Network/applicationSecurityGroups/read アプリケーション セキュリティ グループを取得する
Microsoft.Network/applicationSecurityGroups/write アプリケーション セキュリティ グループを作成または更新する
Microsoft.Network/applicationSecurityGroups/delete アプリケーション セキュリティ グループを削除する

次のステップ