Azure は、クラウド デプロイのすべてのレイヤーにわたって包括的なセキュリティ サービスとテクノロジを提供します。 この記事では、ドメイン別に整理された主なセキュリティ機能と、詳細な概要に関する記事へのリンクについて説明します。
特定のセキュリティのベスト プラクティスと詳細な実装ガイダンスについては、このドキュメント全体でリンクされているドメイン固有の概要に関する記事を参照してください。
ID 管理とアクセス管理
| サービス | 説明 |
|---|---|
| Microsoft Entra ID | シングル サインオン (SSO)、多要素認証 (MFA)、条件付きアクセス、パスワードレス認証をサポートするクラウドベースの ID およびアクセス管理サービス。 |
| Azure のロールベースのアクセス制御 (RBAC) | 管理グループ、サブスクリプション、リソース グループ、またはリソース スコープで割り当て可能な組み込みロールとカスタム ロールを使用したきめ細かなアクセス管理。 |
| Microsoft Entra Privileged Identity Management | ジャストインタイム特権アクセスを使用して、承認ワークフロー、アクセスレビュー、監査履歴を備えた Azure ロールと Microsoft Entra ロールにアクセスします。 |
| Microsoft Entra アクセス レビュー | 自動化された推奨事項と是正を用いて、グループ メンバーシップ、アプリケーション アクセス、ロール割り当てのスケジュールレビューを行います。 |
| Microsoft Entra アプリケーション プロキシ | Microsoft Entra 認証と条件付きアクセスを使用して、VPN なしでオンプレミス Web アプリケーションへのリモート アクセスをセキュリティで保護します。 |
| Microsoft Entra Connect / Cloud Sync | 統合 ID 管理のためのオンプレミスの Active Directory と Microsoft Entra ID の間のハイブリッド ID 同期。 |
ID セキュリティ機能とベスト プラクティスの詳細については、 Azure ID 管理のセキュリティの概要に関するページを参照してください。
ネットワークのセキュリティ
| サービス | 説明 |
|---|---|
| Azure Virtual Network | サブネット、ルート テーブル、DNS 設定を含む分離プライベート ネットワーク。 すべての Azure ネットワーク セキュリティの基盤。 |
| ネットワーク セキュリティ グループ (NSG) | 詳細なアクセス制御のための 5 タプルルール、サービス タグ、アプリケーション セキュリティ グループを使用したステートフル パケット フィルタリング。 |
| Azure Firewall | 組み込みの高可用性を備えたクラウドネイティブのステートフル ファイアウォール。 Standard SKU では、L3-L7 フィルター処理が提供されます。Premium SKU では、IDPS と TLS 検査が追加されます。 |
| Web アプリケーション ファイアウォール (WAF) | OWASP Top 10 の脆弱性、SQL インジェクション、クロスサイト スクリプティング、ボット攻撃に対する一元的な保護。 |
| Azure DDoS Protection | アダプティブ チューニング、リアルタイム緩和、および大規模攻撃とプロトコル攻撃に対する攻撃分析を使用した常時稼働のトラフィック監視。 |
| Azure Private Link | 仮想ネットワーク内のプライベート エンドポイント経由の Azure PaaS サービスへのプライベート接続により、パブリック インターネットへの露出を排除します。 |
| 仮想ネットワーク サービス エンドポイント | Azure バックボーン ネットワーク経由で Azure サービスに直接接続し、仮想ネットワークへのアクセスのみを制限します。 |
| Azure VPN ゲートウェイ | サイト間接続とポイント対サイト接続に IPsec/IKE VPN トンネルを使用して、クロスプレミス接続を暗号化しました。 |
| Azure ExpressRoute | セキュリティと信頼性を強化するためにパブリック インターネットをバイパスする、Microsoft クラウド サービスへの専用プライベート WAN 接続。 |
| Azure Application Gateway | TLS 終端、Cookie ベースのセッション アフィニティ、URL ベースのルーティング、統合 WAF を備えたレイヤー 7 ロード バランサー。 |
| Azure Front Door | エッジ アクセラレーション、統合 WAF、プラットフォーム レベルの DDoS 保護、および Private Link バックエンドの配信元を含むグローバル HTTP ロード バランサー。 |
| Azure Network Watcher | NSG フロー ログ、パケット キャプチャ、接続のトラブルシューティングなど、ネットワーク監視、診断、セキュリティ分析。 |
包括的なネットワーク セキュリティ ガイダンスとベスト プラクティスについては、 Azure ネットワーク セキュリティの概要に関するページを参照してください。
データの暗号化
| サービス | 説明 |
|---|---|
| Azure Storage Service Encryption | Azure Blob Storage、Azure Files、Queue Storage、Table Storage のすべての保存データに対する自動 AES 256 暗号化。 |
| Azure SQL Database Transparent Data Encryption (TDE) | データベース、バックアップ、および保存中のトランザクションログをリアルタイムで暗号化。 カスタマー マネージド キーのサポートにより、既定で有効になります。 |
| 常に暗号化 | Azure SQL Database のクライアント側暗号化により、データベース管理者からのデータであっても、そのライフサイクル全体でデータが暗号化されたままになります。 |
| Azure Disk Encryption | プラットフォーム マネージド キー、カスタマー マネージド キー、または両方を使用した二重暗号化を使用した OS ディスクとデータ ディスクの暗号化。 |
| Azure Cosmos DB の暗号化 | オプションのカスタマー管理キー (CMK) のサポート付きのサービス管理キーを使用した保存時自動暗号化。 |
| Azure Data Lake の暗号化 | 保存時の透過的な暗号化は、Microsoft が管理するキーまたはカスタマー マネージド キーのオプションを使用して既定で有効になっています。 |
| 転送中の TLS 暗号化 | Perfect Forward Secrecy (PFS) を使用するすべての Azure サービス通信のトランスポート層セキュリティ (TLS 1.2 以降)。 |
| MACsec データ リンク暗号化 | データセンター間のすべての Azure トラフィックに対して IEEE 802.1AE を使用したポイントツーポイント暗号化。 |
暗号化オプションとベスト プラクティスの詳細については、 Azure 暗号化の概要に関するページを参照してください。
キーとシークレットの管理
| サービス | 説明 |
|---|---|
| Azure Key Vault | FIPS 140-2 レベル 1 (Standard レベル) または FIPS 140-3 レベル 3 (HSM を使用した Premium レベル) 検証を使用して、キー、シークレット、証明書のストレージをセキュリティで保護します。 |
| Azure Key Vault マネージド HSM | シングルテナントの FIPS 140-3 レベル 3 検証済み HSM サービスにより、機密キーのサポートを備えた完全な顧客制御が提供されます。 Azure PaaS サービスと統合されます。 |
| Azure Cloud HSM | PKCS#11、SSL/TLS オフロード、オンプレミスの移行シナリオをサポートする、フル マネージドのシングルテナント FIPS 140-3 レベル 3 検証済み HSM クラスター。 IaaS のみ。 |
| Azure Payment HSM | 支払い処理操作用のシングルテナント、FIPS 140-2 レベル 3 検証済み、PCI HSM v3 準拠 HSM。 |
包括的なキー管理オプションについては、 Azure でのキー管理に関するページを参照してください。
脅威の検出と対応
| サービス | 説明 |
|---|---|
| Microsoft Defender for Cloud | 体制管理 (CSPM)、ワークロード保護 (CWP)、Azure、AWS、GCP、ハイブリッド環境全体の高度な脅威検出を使用した統合クラウド セキュリティ。 Microsoft Defender ポータルと統合されています。 |
| Microsoft Sentinel | 機械学習、ユーザーとエンティティの行動分析 (UEBA)、脅威インテリジェンス統合、自動化されたプレイブックを備えたクラウドネイティブ SIEM および SOAR ソリューション。 |
| Microsoft Entra ID Protection | 機械学習を使用して異常なサインイン動作と侵害されたアカウントを検出するリスクベースの ID 保護。 |
| Microsoft Defender for Cloud Apps | クラウド アクセス セキュリティ ブローカー (CASB) は、シャドウ IT 検出を含むクラウド アプリケーションの可視性、データ制御、脅威保護を提供します。 |
| Azure 用 Microsoft マルウェア対策 | Azure Cloud Services と Virtual Machines のリアルタイム保護、スケジュールされたスキャン、マルウェアの自動修復。 |
脅威検出機能とベスト プラクティスに関する包括的な情報については、 Azure の脅威の防止に関するページを参照してください。
プラットフォームの整合性
| サービス | 説明 |
|---|---|
| ファームウェアのセキュリティ | 製造からデプロイまで、Azure ハードウェアのサプライ チェーンとファームウェアの整合性検証をセキュリティで保護します。 |
| UEFI セキュア ブート | 署名されたオペレーティング システムとドライバーのみを起動し、ファームウェア レベルのマルウェアから保護できるようにします。 |
| プラットフォーム コードの整合性 | Azure インフラストラクチャで実行する前にすべてのコードを検証するコード整合性ポリシー。 |
| 計測ブートとホストアテステーション | ホストが安全で信頼できる状態であることを確認するためのブート シーケンスの暗号化検証。 |
| Project Cerberus | プラットフォーム ID と整合性検証を提供する信頼のハードウェア ルート。 |
| ハイパーバイザーのセキュリティ | 仮想マシンとホスト環境の間で強力に分離されたハイパーバイザー。 |
プラットフォームのセキュリティ アーキテクチャの詳細については、 Azure プラットフォームの整合性とセキュリティの概要に関するページを参照してください。
仮想マシンのセキュリティ
| サービス | 説明 |
|---|---|
| 信頼できる起動 | ブート キット、ルートキット、カーネル レベルのマルウェアから保護する、セキュア ブート、vTPM、ブート整合性監視を備えた Gen2 VM の既定値。 |
| Azure Confidential Computing | 使用中のデータ保護に AMD SEV-SNP または Intel TDX を使用するハードウェア ベースの信頼された実行環境 (TEE)。 |
| 機密 VM | ハイパーバイザーとホスト管理コードからハードウェアによって強制分離された完全な VM メモリ暗号化。 |
| Microsoft Defender for Servers | Microsoft Defender for Endpoint 統合、脆弱性評価、Just-In-Time VM アクセス、ファイル整合性の監視を使用した脅威検出。 |
| ジャストインタイム (JIT) VM アクセス | 受信トラフィックをロックダウンし、管理ポートへの時間制限付きアクセスをオンデマンドで有効にすることで、攻撃対象領域を減らします。 |
| 適応型アプリケーション制御 | VM で実行できるアプリケーションを制御するための機械学習ベースのアプリケーション 許可リスト。 |
| Azure Backup | ランサムウェア保護、論理削除、Recovery Services コンテナー管理を使用した独立した分離バックアップ。 |
| Azure Site Recovery | Azure またはセカンダリ サイトへのレプリケーション、フェールオーバー、復旧のためのディザスター リカバリー オーケストレーション。 |
包括的な VM セキュリティ機能とガイダンスについては、 Azure Virtual Machines のセキュリティの概要に関するページを参照してください。
コンテナーのセキュリティ
| サービス | 説明 |
|---|---|
| Microsoft Defender for Containers | AKS、EKS、GKE、およびオンプレミス クラスター全体のランタイム保護、脆弱性評価、Kubernetes の脅威検出。 |
| Azure Container Registry | 脆弱性スキャン、コンテンツ信頼 (イメージ署名)、geo レプリケーション、プライベート エンドポイントを含むマネージド コンテナー レジストリ。 |
| Azure Kubernetes Service (AKS) のセキュリティ | Microsoft Entra 統合、Azure RBAC、ネットワーク ポリシー、ポッド セキュリティ、シークレット管理を使用したマネージド Kubernetes。 |
| ACI 上の機密コンテナー | AMD SEV-SNP と検証可能な実行ポリシーとリモート構成証明を使用したハードウェア ベースの TEE 保護。 |
| Kubernetes ゲーテッドデプロイメント | 監査モードまたは拒否モードのセキュリティ規則に違反するコンテナー イメージのデプロイを防止するアドミッション制御。 |
| コンテナー イメージのスキャン | AKS クラスターのレジストリおよびランタイム コンテナー内のコンテナー イメージに対するエージェントレス脆弱性評価。 |
包括的なコンテナー セキュリティ ガイダンスについては、 Microsoft Defender for Cloud のコンテナー セキュリティに関する説明を参照してください。
データベースのセキュリティ
| サービス | 説明 |
|---|---|
| Azure SQL Database のセキュリティ | ネットワーク分離、Microsoft Entra 認証、TDE 暗号化、Always Encrypted、監査を使用した包括的なセキュリティ。 |
| Microsoft Defender for SQL | SQL インジェクション、ブルート フォース攻撃、異常なアクティビティ、脆弱性の悪用を検出する高度な脅威保護。 |
| SQL 脆弱性評価 | 実行可能なセキュリティに関する推奨事項を使用して、データベースの脆弱性を検出、追跡、修復するのに役立ちます。 |
| 行レベルのセキュリティ (RLS) | 詳細なデータ アクセス制御のために、ユーザー ID、ロール、または実行コンテキストに基づいて行アクセスを制限します。 |
| 動的データ マスキング | 基になるデータを変更せずに機密データを特権のないユーザーにマスクし、露出リスクを軽減します。 |
| Azure SQL Database 台帳 | データ整合性の検証とコンプライアンスのための不変のトランザクション レコードを使用した改ざん防止機能。 |
| Azure Cosmos DB のセキュリティ | NoSQL ワークロードやマルチモデル ワークロードに対して、保存時および転送中の暗号化、ネットワーク分離、RBAC(役割ベースのアクセス制御)、監査ログを提供します。 |
包括的なデータベース セキュリティ チェックリストについては、 Azure データベースのセキュリティ チェックリストを参照してください。
DevOps セキュリティ
| サービス | 説明 |
|---|---|
| Microsoft Defender for DevOps | コード スキャン、コードとしてのインフラストラクチャ (IaC) スキャン、シークレット検出を使用して Azure DevOps と GitHub を接続する統合 DevOps セキュリティ。 |
| GitHub Advanced Security の統合 | ランタイム コンテキストの優先順位付けと AI を利用した Copilot Autofix 修復を使用した、コードからクラウドへの脆弱性の追跡。 |
| パイプライン内コンテナーのスキャン | レジストリ プッシュ前のリアルタイム フィードバックを使用した CI/CD ワークフロー中の CLI ベースのコンテナー脆弱性スキャン。 |
| 依存関係の脆弱性スキャン | GitHub および Azure DevOps リポジトリでの OS とライブラリの脆弱性の Trivy を利用した検出。 |
DevOps のセキュリティのベスト プラクティスについては、 Defender for Cloud の DevOps セキュリティに関する説明を参照してください。
監視とガバナンス
| サービス | 説明 |
|---|---|
| Azure Monitor | メトリック、ログ、Log Analytics ワークスペース、Application Insights、アラート、ワークブックを使用した包括的な監視。 |
| Azure Policy | ポリシー定義、イニシアチブ、コンプライアンス レポート、自動修復を使用して組織標準を適用するガバナンス サービス。 |
| Microsoft Defender for Cloud の規制コンプライアンス | Microsoft クラウド セキュリティ ベンチマーク、ISO 27001、NIST、PCI DSS、およびその他の標準に準拠した組み込みのカスタム コンプライアンス評価。 |
| Azure アクティビティ ログ | 管理操作、サービス正常性イベント、リソースの変更を 90 日間のリテンション期間で記録するサブスクリプション レベルの監査ログ。 |
| Azure Update Manager | スケジュールされた修正プログラムの適用とホットパッチを使用した、Azure、オンプレミス、マルチクラウド全体の Windows および Linux VM の統合パッチ管理。 |
| Azure Resource Graph | サブスクリプション間の高速クエリを実行して、大規模な特定の構成またはセキュリティ体制を持つリソースを特定します。 |
| Microsoft Cost Management | セキュリティ インシデントを示す可能性がある未承認のリソース デプロイを識別するためのコストの監視、予算、および異常検出。 |
詳細なセキュリティ管理機能とベスト プラクティスについては、 Azure のセキュリティ管理と監視の概要に関するページを参照してください。
バックアップと障害復旧
| サービス | 説明 |
|---|---|
| Azure Backup | 資本投資ゼロ、ランサムウェア保護、ソフト削除、リージョン間の復元を含む独立した、隔離されたバックアップ。 |
| Azure Site Recovery | Azure またはセカンダリ サイトへのレプリケーション、フェールオーバー、復旧のためのビジネス継続性とディザスター リカバリー (BCDR) オーケストレーション。 |
包括的なバックアップ ガイダンスについては、 Azure Backup のドキュメントを参照してください。
PaaS デプロイのセキュリティ
App Service、Azure Functions、コンテナー サービスを含むサービスとしてのプラットフォームデプロイのセキュリティ保護に関するガイダンスについては、「 PaaS デプロイのセキュリティ保護」を参照してください。
次のステップ
- Azure のエンド ツー エンドのセキュリティ - Azure のセキュリティ アーキテクチャと機能の包括的な概要
- Azure のセキュリティのベスト プラクティスとパターン - さまざまなシナリオのセキュリティのベスト プラクティスのコレクション
- Microsoft クラウド セキュリティ ベンチマーク - Azure サービスの包括的なセキュリティ ガイダンス
- クラウドでの共同責任 - お客様と Microsoft の間で共有されるセキュリティ責任について