Written by WizLANSCOPE編集部
目 次
Microsoft Azure とは、Microsoftが提供するクラウドプラットフォームで、主にバブリッククラウドとしてサーバーやデータベース、AIなどのITリソースをインターネット経由で利用できるサービスです。
利用企業が保有する情報資産を保護するために、ID・アクセス管理やデータの保護、ネットワークのセキュア化などの幅広いセキュリティ機能が提供されています。
一方で、一部のセキュリティ領域については、サービス提供事業者(Microsoft)と利用者が責任を分担する「共同責任モデル」に基づいて運用されているため、利用者側にも注意が求められます。
本記事は、「Microsoft Azure セキュリティ」をテーマに、提供されているセキュリティ機能やその特徴について解説します。
▼本記事でわかること
- Azure セキュリティの基本概念
- Azure セキュリティの特徴
- Azure の標準セキュリティ対策
- Azure セキュリティを強化する方法
「Microsoft Azure の導入を検討している」「Microsoft Azure のセキュリティ機能について知りたい」といった企業・組織の方は、ぜひご一読ください。
また本記事では、企業・組織のMicrosoft Azure の安全な利用をサポートする「Microsoft Azure セキュリティ診断」についても紹介しています。あわせてご確認ください。
Microsoft Azure とは
「Microsoft Azure」は、Microsoftが提供するクラウドプラットフォームです。
主にパブリッククラウドとして提供されており、サーバー、ストレージ、データベース、AI、分析基盤など、多数のサービスをインターネット経由で利用することが可能です。
Microsoft Azure を導入することで、企業は自社で物理的なサーバーを保有・管理することなく、必要な分だけITインフラを利用できるようになり、システムの構築や拡張を柔軟かつ迅速に行うことが可能になります。
さらに、企業のデータやアプリケーションなどの情報資産をサイバー攻撃から保護するためのさまざまなセキュリティ機能が用意されており、利便性と安全性の両立が期待できます。
一方で、Microsoft Azure は「共同責任モデル」を採用しているため、設定やアクセス管理などの一部の領域においては、利用企業側が責任を負うことになります。
仮に設定ミスなどがあった場合、重大なセキュリティインシデントにつながる危険性もあるため、利用企業は設定不備がないかを継続的に確認することが重要です。
詳しくは次項で解説します。
Azure におけるセキュリティの基本概念
Microsoft Azure では、クラウド環境を安全に運用するための重要なセキュリティの考え方が採用されています。
これらは単に機能として提供されているものではなく、クラウドを安全に運用するための基本的な設計思想に基づくものです。
具体的なセキュリティ機能について確認する前に、まずは Microsoft Azure がどのような考え方に基づいてキュリティ機能を提供しているかを確認していきましょう。
参考:Microsoft Learn「Azure セキュリティ入門」
多層防御
Microsoft Azure では、物理データセンターからID、ネットワーク、コンピューティング、アプリケーション、データに至るまで、レイヤーごとに防御層を設ける「多層防御」の考え方が採用されています。
多層防御とは、システム内の複数の領域にそれぞれ異なる防御策を設置することで、サイバー攻撃や内部不正などから情報資産を保護するためのセキュリティ対策です。
これにより、仮にどこか一つの防御層が突破されたとしても、他の層で被害の拡大を防ぐことが可能です。
クラウド環境ではシステム構成が複雑になりやすいため、この多層的なセキュリティ設計が特に重要です。
ゼロトラスト
Microsoft Azure は、以下の3つの基本原則に基づいたゼロトラストセキュリティモデルを採用しています。
| 明示的に検証する(Verify explicitly) | ・利用可能なすべての情報に基づいて常に認証と認可を行う |
|---|---|
| 最小限の特権アクセスを使用する (Use least privilege access) |
・ユーザーのアクセス権限を必要最小限に制限する |
| 侵害を想定する(Assume breach) | ・影響範囲を最小化し、アクセスを分割(セグメント化)する ・エンドツーエンドの暗号化を検証し、脅威検知と防御の強化を行う |
ゼロトラストは、「社内ネットワークからのアクセスであれば安全」「一度認証されれば信頼できる」といった従来の境界型防御のセキュリティ概念を見直し、すべてのユーザーおよびすべてのアクセスに対して厳密な認証・認可を行うという考え方です。
クラウド利用やリモートワークの普及により、社内外のネットワークの境界は曖昧になっており、従来の境界型防御だけでは、十分なセキュリティを確保することが難しくなっています。
そのため、Microsoft Azure ではユーザーやデバイス、アクセス状況などを総合的に評価しながらアクセスを制御する仕組みが重視されています。
具体的には、多要素認証や条件付きアクセスなどの機能を活用することで、ユーザーの本人確認や利用環境の安全性を検証したうえで、必要最小限の権限のみを付与する運用が可能です。
このように、すべてのアクセスを「信頼しない前提」で検証することで、不正アクセスや情報漏洩のリスクを抑えることができます。
共同責任モデル
Microsoft Azure は、一部のセキュリティ領域に対する責任を、サービス提供事業者(Microsoft)と利用者で分担する「共同責任モデル」の考え方を採用しています。
責任の分割範囲は、IaaS・PaaS・SaaSのデプロイモデルによって異なります。
分割範囲の考え方としては、利用者が直接管理できない範囲は「Microsoft」、利用者が直接管理できる範囲は「利用者」の責任と考えると理解しやすくなります。
以下が分割される責任の一例です。
| Microsoftの責任 | ・物理データセンター(施設、電源など) ・物理サーバーやハードウェア ・ネットワークインフラ(物理ネットワーク) ・仮想化レイヤー(ハイパーバイザーなど) |
|---|---|
| 利用者の責任 | ・データの管理・保護 ・ユーザー管理(ID、パスワード、多要素認証) ・アクセス権限 ・アプリケーションやOSの設定 ・セキュリティ設定(ネットワーク制御、ポリシーなど) |
参考:Microsoft Azure | Microsoft Learn「クラウドでの共同責任」
このことから分かるように、Microsoft Azure は高いセキュリティ基盤を提供していますが、それだけですべての領域の安全性が確保されるわけではありません。
クラウドサービスを安全に利用するためには、利用者側である企業・組織が、適切なアクセス制御の設定やセキュリティポリシーの運用、定期的な権限・設定確認などを行い、自社の利用状況に応じて継続的に管理していくことが求められます。
Microsoft Azure を利用する際は、この共同責任モデルを正しく理解したうえで、運用体制を整えることが重要です。
Azure セキュリティの特徴
Microsoft Azure は、世界中の企業や政府機関でも利用されており、前述のセキュリティ概念に基づいて、安全性を高めるための仕組みや運用体制が整えられています。
ここでは、Microsoft Azure の代表的なセキュリティの特徴について紹介します。
多数の国際的なコンプライアンス認証に対応している
安全なクラウド環境を構築するためには、データの取り扱いや管理体制において、国際的な基準を満たしていることが重要な判断基準の一つとなります。
Microsoft Azure では、100以上のコンプライアンス認証を取得しています。
▼主なコンプライアンス認証および規格の一例
- ISO 27001
- ISO 27017
- FedRAMP
- SOC1/SOC2/SOC3
- PCI DSS
- ISMAP
これらの認証を取得していることから、Microsoft Azure は高いセキュリティ水準を備えたクラウドサービスであり、複数の国や地域における法規制や業界要件に対応できるというメリットがあります。
参考:Microsoft Azure「信頼されるクラウドのコンプライアンス」
物理的なセキュリティ体制も徹底されている
Microsoft Azure のもう一つの特徴は、クラウドの基盤となるデータセンターが、厳格な管理体制のもとで運用されている点です。
クラウドサービスはインターネット経由で利用されますが、実際のデータは物理的なデータセンターで管理されています。
そのため、施設レベルでのセキュリティ対策も、セキュリティ確保の観点では非常に重要です。
Microsoft Azure のデータセンターでは、入退室管理や監視体制、設備の冗長化、災害対策など、複数の観点から安全性が確保されています。
特に、データセンターへのアクセスは厳格に管理されており、事前承認を受けていないユーザーが自由に立ち入ることはできません。
アクセスは、施設の周辺、建物の周辺、建物の内といった複数のセキュリティレイヤーごとに段階的に制御されています。
例えば、以下のようなセキュリティ対策が講じられています。
| 到着前 | ・訪問に関する業務上の妥当性を提示し、事前にアクセスの申請を行う必要がある |
|---|---|
| 施設の周辺 | ・明確に定義されたアクセスポイントを通過する必要がある |
| 建物の内部 | ・建物内の移動には、生体認証による二段階認証に合格する必要がある |
| データセンターの各階 | ・入場が承認された階にのみアクセスできる ・金属検査によるスクリーニングに合格する必要がある |
これらの管理は、 Microsoft Azure を提供するMicrosoftによって統一された基準のもとで運用されており、24時間体制での監視や運用管理が維持されています。
このような厳格な管理体制により、物理的な侵入リスクや設備障害の影響を最小限に抑えることが可能になります。
参考:Microsoft Azure | Microsoft Learn「Azure データセンターの物理的なセキュリティ」
Azure で提供されているセキュリティ対策
Microsoft Azure では、クラウド環境を安全に利用するために、さまざまなセキュリティ機能が標準的に提供されています。
これらの機能を活用することで、自社の情報資産を適切に保護することができます。
本記事では、Microsoft Azure における代表的なセキュリティ対策の領域と機能について解説します。
- ネットワークセキュリティ
- ID管理
- データ保護・暗号化
- 脅威対策
- セキュリティ管理・監視
- コンプライアンス
詳しく確認していきましょう。
ネットワークセキュリティ
Microsoft Azure では、外部からの攻撃や不正アクセスからネットワークを保護するためのさまざまな機能が提供されています。
具体的には、仮想ネットワーク(Azure Virtual Network)を利用することで、クラウド上に論理的に分離された企業専用のネットワーク環境を構築できます。
また、通信の制御には Azure Firewallやネットワークセキュリティグループ(NSG)を活用し、許可された通信のみを通過させるようなアクセス制御が可能です。
さらに、インターネットからの攻撃対策として Azure DDoS Protectionが提供されており、大量のトラフィックによるサービス停止(DDoS攻撃)を防ぐ仕組みも整っています。
▼代表的なネットワークセキュリティ機能
| Azure Virtual Network | ・Azure におけるプライベートネットワークの基本的な構成要素で、IPアドレスやサブネットを割り当てることで、ネットワークを論理的に分離できる ・ほかの仮想ネットワークやインターネットとの接続制御が可能(他のAzureユーザーはアクセスできない) |
|---|---|
| Azure Firewall | ・仮想ネットワークを保護するフルマネージドのネットワークファイアウォールサービス ・リアルタイムの脅威アラートやスケーラブルなファイアウォール、TLS 検査、集中化されたセキュリティ管理などで、高度なセキュリティ対策が実現可能 |
| ネットワークセキュリティグループ(NSG) | ・サブネットや仮想マシン単位で通信の許可・拒否を制御するアクセス制御機能 ・ポート番号やIPアドレスに基づいた細かな通信制御も可能 |
| Azure DDoS Protection | ・DDoS攻撃(分散型攻撃拒否)からアプリケーションやサービスを保護する機能 ・異常なトラフィックを自動的に検知・緩和し、サービスの可用性を維持することが可能 |
これらの機能を組み合わせて活用することで、ネットワークレイヤーにおける多層的な防御を実現することができます。
ID管理
クラウド環境では、「誰がどのリソースにアクセスできるか」を適切に管理することが重要です。
Microsoft Azure では、IDおよびアクセス管理の基盤としてMicrosoft Entra ID (旧Azure Active Directory)が提供されています。
Microsoft Entra ID を利用することで、ユーザーやグループの管理、シングルサインオン(SSO)、多要素認証(MFA)などを一元的に実施することが可能です。
また、ロールベースアクセス制御(RBAC)により、Azure 上のリソースに対してユーザーごとに適切な権限を割り当てることができ、必要最小限のアクセス権限のみを付与することで、誤操作や不正アクセスのリスクを低減できます。
さらに、条件付きアクセスの仕組みを活用することで、アクセス元の場所やデバイスの状態、ユーザーのリスクレベルなどに応じた柔軟なアクセス制御が可能となり、ゼロトラストセキュリティの実現にもつながります。
データ保護・暗号化
Microsoft Azure では、保存データや通信データを保護するための暗号化機能が標準で提供されています。
また、暗号鍵やシークレットを安全に管理するためのサービスとしてAzure Key Vault が提供されています。
さらに、バックアップや災害対策として Azure Backup や Azure Site Recovery などの機能も用意されており、活用することで、障害や事故が発生した際にもデータやシステムを迅速に復旧できる体制を整えることが可能です。
▼代表的なデータ保護・暗号化機能
| Azure Key Vault | ・トークン、パスワード、証明書、APIキーなどのシークレット情報を安全に格納し、アクセスを厳密に制御することが可能 |
|---|---|
| Azure Backup | ・Azure上の仮想マシンやデータに加え、オンプレミス環境のデータについてもバックアップを取得・管理することが可能 ・バックアップデータは分離された環境(バックアップボールト)に保存されるため、障害やランサムウェアなどの攻撃発生時にも、データの改ざんや削除の影響を受けにくく、迅速な復旧が可能 |
| Azure Site Recovery | ・災害発生時には、システムを別のリージョン(地理的なエリア)へフェールオーバーすることで、業務の継続が可能 ・レプリケーションによりデータを保護し、迅速に復旧できる状態を維持することが可能※ |
これにより、データの消失やサービス停止のリスクを軽減できます。
※フェールオーバー:稼働中のシステムに障害が発生した際に、待機システムへ切り替えてサービスを継続する仕組み
※レプリケーション:システムのデータを別の場所やシステムに複製し、障害発生時にも復旧できるようにする仕組み
脅威対策
Microsoft Azure では、サイバー攻撃や不正アクセスなどの脅威からシステムを保護するための機能が提供されています。
代表的なサービスとして Microsoft Defender for Cloud があり、これは、クラウド環境全体のセキュリティ全体を可視化し、設定ミスの検出や脆弱性の把握、不審な挙動を検知することなどが可能です。
また、仮想マシンやデータベース、コンテナなどの各種リソースに対して、マルウェアや不正アクセスなどの脅威を検知し、アラートとして通知する機能も提供されています。
さらに近年では、AIを活用したセキュリティ機能も強化されており、生成AIを含むアプリケーションの検出や脆弱性の特定、リスクの評価、AIワークロードを標的とした脅威の検知などが可能となっています。
これにより、潜在的なリスクを早期に把握し、迅速な対策を講じることが可能です。
セキュリティ管理・監視
システムの状態やログを継続的に監視し、異常の検知や分析を行うためのセキュリティ管理・監視の機能も提供されています。
Azure Monitor を利用することで、インフラストラクチャやアプリケーション、メトリクスを収集・可視化し、異常検知やアラート通知を行うことが可能です。
さらに、Microsoft Sentinel を活用することで、収集したログをもとに脅威の分析や相関分析を行い、インシデント対応の自動化や高度なセキュリティ監視を実現できます。
これにより、監視から脅威検知、対応までを一体的に行うことが可能となり、セキュリティ運用の効率化と強化につながります。
コンプライアンス
Microsoft Azure は、企業が求められる法規制や業界基準に対応できるよう、コンプライアンス管理やガバナンスを支援する機能も提供しています。
例えば、Microsoft Purview やCompliance Manager などのサービスを活用することで、データの可視化や分類、リスク評価、コンプライアンス状況の管理を行うことができます。
さらに、Microsoft Purview は生成AIを含むアプリケーションに対するデータ保護やリスク管理にも対応しており、AI利用時の情報漏洩防止やコンプライアンス管理も支援します。
また、前述の通りMicrosoft Azure では多くの国際的な認証や監査基準に対応しており、企業はこれらを踏まえた形で、クラウド環境の設計・運用を行うことが可能です。
これにより、組織全体でコンプライアンス遵守を継続的に維持・改善することができます。
Azureに追加のセキュリティ対策が必要な理由
前項の通り、Microsoft Azure には高度なセキュリティ機能や保護の仕組みが標準で提供されています。
これらを適切に活用することで、高い安全性を確保することが可能です。
しかしMicrosoft Azure は「共同責任モデル」に基づいて運用されるため、設定や運用管理については利用企業側の責任となります。
そのため、企業・組織には、 Microsoft Azure を安全に利用するためのセキュリティ対策や運用体制の整備が求められます。
特にクラウド環境において大きなリスクとされているのが、設定不備によるセキュリティインシデントです。
Microsoft Azure は、柔軟性が高く、多くの機能や設定項目を備えているため、アクセス権限の設定やネットワークの公開範囲、ストレージの公開設定などが適切に管理されていない場合、意図せず外部からアクセス可能な状態になる可能性があります。
また近年のサイバー攻撃では、ID侵害が攻撃経路として悪用されるケースが増えています。
攻撃者は、システムの脆弱性を直接狙うだけでなく、フィッシングなどを通じてユーザーアカウントを乗っ取り、正規ユーザーとしてクラウド環境にアクセスしようとします。
クラウドでは、IDが多くのリソースへの入口となるため、不正ログインを防ぐためには、アカウントの管理の徹底や認証の強化、多要素認証の導入が非常に重要です。
さらに運用面では、監視やセキュリティ対応が特定の担当者に依存してしまうケースも少なくありません。
ログの確認やアラート対応、設定変更の管理などが属人化してしまうと、インシデントの検知が遅れたり、見落としたりするリスクが高まります。
クラウド環境は継続的に変化するため、セキュリティも一度設定して終わりではなく、定期的な見直しや監視体制の整備が不可欠です。
このように、Microsoft Azure には強力なセキュリティ機能が備わっている一方で、安全性を維持するためには「適切な設定」と「継続的な運用管理」が不可欠です。
設定状況の定期的な確認、ID管理の強化、監視体制の整備などを行い、自社の利用環境に応じた対策を講じることが、クラウドセキュリティを高めるうえで重要です。
情シス1,000人に聞いた!
「クラウドサービスのセキュリティ対策」実態調査
情シス1,000人に「自社のクラウドサービスのセキュリティ対策」
についてお聞きしました。
クラウドを運用中・導入予定の情シス様は、必見のデータです!
Azure セキュリティを強化する方法
Microsoft Azure を安全に利用するためには、標準で提供されているセキュリティ機能を適切に活用することに加えて、企業・組織側が責任を負う領域に関しても、安全性を確保することが重要です。
ここでは、企業・組織側が責任を負う領域において、安全性を確保・維持するために実施すべき対策を5つ紹介します。
詳しく確認していきましょう。
多要素認証の設定
クラウド環境のセキュリティを確保する上で、重要な対策の一つが多要素認証(MFA)による認証の強化です。
近年のサイバー攻撃では、ID侵害が主要な攻撃経路とされるケースが増えており、ID・パスワードのみの認証方式では、フィッシングやパスワードリスト攻撃によって、アカウントが乗っ取られるリスクが高いです。
そのため、ログイン時にID・パスワードに加えて追加の認証要素(スマートフォンの認証アプリやワンタイムコードなど)を求めることで、パスワードが窃取された場合でも、第三者による不正ログインのリスクを大幅に低減することができます。
Microsoft Azure では、ID管理基盤であるMicrosoft Entra ID を通じて多要素認証を設定することができ、管理者アカウントだけでなく一般ユーザーにも段階的に適用することが重要です。
ロールベースアクセス制御(RBAC)の実施
クラウド環境では、「誰がどのリソースにアクセスできるか」を適切に管理することが重要です。
必要以上のアクセス権限を付与してしまうと、情報の持ち出しや、アカウント乗っ取りによる情報漏洩のリスクが高まります。
このような課題に対応するため、Microsoft Azure では、ロールベースアクセス制御(RBAC)という仕組みが提供されており、ユーザーやグループごとに、リソース単位で必要な権限のみを付与することが可能です。
この仕組みを適切に運用することで、過剰な権限付与を防ぎ、誤操作や内部不正によるリスクを軽減できます。
特に管理者権限の扱いは慎重に行い、役割ごとに権限を分離する設計が推奨されています。
条件付きアクセスの設定
より高度なアクセス制御を実現するための手段として、条件付きアクセスの活用も有効です。
条件付きアクセスは、ユーザーのログイン状況やデバイスの状態、アクセス元の場所などに応じてアクセス制御を行う仕組みです。
例えば、「海外からのアクセス時のみ追加認証を求める」「管理者アカウントには厳格な認証ポリシーを適用する」といった運用を実現できます。
これにより、リスクの高いログインを未然に防ぎ、不正アクセスのリスクを低減することが可能となります。
WAFの導入
Webアプリケーションをインターネットに公開している場合は、WAF( Web Application Firewall)の導入も有効な対策の一つです。
WAFは、SQLインジェクションやクロスサイトスクリプティング(XSS)など、Webアプリケーションを狙った攻撃を検知・防御する役割を担います。
Microsoft Azure では、 Azure Application Gateway などと組み合わせてWAFを利用でき、インターネットに公開されたWebサービスの防御を強化できます。
特に外部公開しているシステムにおいては、重要なセキュリティ対策の一つとなります。
関連ページ
外部のセキュリティサービスの導入
企業・組織によっては、自社だけでクラウド環境の監視やセキュリティ運用を行うことが難しいケースもあります。
このような場合には、外部のセキュリティサービスや専門企業の支援を活用することも有効な選択肢です。
具体的には、クラウド設定の診断サービスや24時間体制の監視サービス、インシデント対応支援などを活用することで、設定ミスの早期発見や迅速な対応が可能となります。
特にクラウド環境は構成が継続的に変化するため、継続的な監視やセキュリティ評価を行う体制を整備することが、長期的な安全性の確保において重要です。
Microsoft Azure の安全な運用に「Microsoft Azure セキュリティ診断」
「共同責任モデル」に基づいて運用されるMicrosoft Azure で安全性を確保するためには、適切なアクセス制御の設定やセキュリティポリシーの運用、定期的な権限・設定確認など、企業・組織側の責任領域においても適切なセキュリティ対策を講じることが重要です。
しかし、社内にセキュリティに詳しい人材がいない場合、セキュリティ設定が適切であるかがわからず、重大な設定不備が見逃されてしまう恐れがあります。
こうしたリスクを回避する方法として本記事では、Azure 環境におけるセキュリティ設定をセキュリティの専門家が確認するLANSCOPE プロフェッショナルサービスの「Microsoft Azure セキュリティ診断」を紹介します。
本サービスは、クラウド環境に潜むセキュリティ課題の洗い出しから、適切な改善策の提案までを行い、 Microsoft Azure の不正利用や設定ミスによる、情報漏洩などインシデントの発生を未然に防ぎます。
診断は以下のフローで実施されます。
お申し込みから診断レポートの作成・提供までは、1か月程度が目安です。
また報告書の提出から3か月間以内であれば、診断内容に関する相談が何度でも可能です。
「Microsoft Azure を安全に利用したい」「Microsoft Azure に設定不備がないか専門家の視点で確認してほしい」とお考えの企業・組織の方は、ぜひ「Microsoft Azure セキュリティ診断」をご検討ください。
なお、ご利用環境や条件によって料金は変動するため、価格の詳細は見積もりを作成いたします。まずはお問い合わせください。
まとめ
本記事では「Microsoft Azure のセキュリティ」をテーマに、セキュリティの基本概念や提供されている機能について紹介しました。
本記事のまとめ
- Microsoft Azure は、サーバー、ストレージ、データベース、AI、分析基盤など、多数のサービスをインターネット経由で利用できるクラウドプラットフォーム
- Microsoft Azure を導入することで、物理的なサーバーを保有・管理することなく、必要な分だけITインフラを利用できる
- Microsoft Azure は「共同責任モデル」に基づいており、利用者が直接管理できない範囲は「Microsoft」、利用者が直接管理できる範囲は「利用者」として、責任が分割されている
- Microsoft Azure の安全性を確保するためには、利用者の責任領域において適切なセキュリティ対策を講じることが重要
Microsoft Azure は高いセキュリティ機能が標準で提供されていますが、「共同責任モデル」に基づき、セキュリティ設定や運用管理は利用企業側の責任となります。
そのため、社内にセキュリティに詳しい人材が不足している場合には、設定不備の見落としを防ぐためにも、外部サービスの利用が推奨されます。
本記事で紹介した「Microsoft Azure セキュリティ診断」は、 Microsoft Azure に特化した診断サービスであり、現在のセキュリティ設定が適切に行われているかを専門的な観点から確認することが可能です。
「Microsoft Azure を安全に利用したい」「現在のセキュリティ対策に不安がある」という企業・組織の方は、ぜひ実施をご検討ください。
おすすめ記事
