This is the Trace Id: 9c81af6d78422b7bb8cf22e992a936f9

政府・公共機関向け Microsoft Azure > 8. Microsoft Azure セキュリティ概要 (1)

Microsoft Azure セキュリティ概要 (1)

顧客データの機密性、整合性、および可用性の提供について

画像:並ぶサーバー

Microsoft Cloud Security のご紹介

イントロダクション

Microsoft は、物理データセンターやインフラストラクチャからクラウドでの運用に至るまで、多層構造のセキュリティを提供しています。

お客様はデータセンターでグローバルに提供される最新鋭のセキュリティをご利用できます。Microsoft のクラウドはカスタマイズされたハードウェアを使って構築されており、ハードウェア コンポーネントとファームウェア コンポーネントにセキュリティ コントロールが統合されているほか、DDoS などの脅威からの保護にも対応しています。

全世界で計 3,700 名以上のサイバー セキュリティの専門家から成るチームが、クラウドに置かれたお客様のビジネス資産とデータを守り続けています。

Microsoft では、透過的な説明責任を実現しつつ、顧客データの機密性、整合性、および可用性を提供しています。

Microsoft クラウド プラットフォーム (Azure)

Microsoft の Azure は、オペレーティング システム、プログラミング言語、フレームワーク、ツール、データベース、デバイスにおいて幅広い選択肢をサポートするパブリック クラウド サービス プラットフォームです。 Docker を統合した Linux コンテナーの実行、JavaScript、Python、.NET、PHP、Java、Node.js によるアプリの構築、iOS、Android、Windows の各デバイスに対応したバックエンドの構築を行えます。

Azure パブリッククラウドサービスでは、何百万人もの開発者や IT プロフェッショナルから現在信頼が寄せられているのと同じテクノロジがサポートされています。 IT 資産を構築し、パブリック クラウド サービス プロバイダーに移行したとしましょう。このとき、移行したアプリケーションやデータをどこまで保護できるかは、採用したプロバイダーがクラウドベースの資産のセキュリティ管理のためにどのようなサービスと体制を用意しているかに応じて変わってきます。

Azure のインフラストラクチャでは、数百万の顧客を同時にホストできるように施設からアプリケーションまでが設計されており、ビジネスのセキュリティ要件を満たす信頼性の高い基盤となっています。

また、Azure には構成可能な幅広いセキュリティ オプションと制御機能が用意されており、組織によるデプロイの独自の要件を満たすようにセキュリティをカスタマイズできます。

Microsoft Cloud のセキュリティ機能

現在の企業や組織は、エコシステムにより産業化されたサイバー攻撃に直面しています。ブラックマーケットにある攻撃キットは今や安価に購入し簡単に攻撃を行えるようになっています。ID やパスワード / フィッシング攻撃、DDoS 攻撃、ランサムウェアの感染など多くの攻撃が全て成功するわけでないですが、組織は攻撃の失敗率とそれに伴う攻撃者のコストを増やすために防御を改善しつづけることが重要となってきています。

Microsoft はこれらの攻撃から組織を守り防御を改善し続けるために、クラウド ネイティヴなセキュリティ コントロール、業界のパートナーシップ、そして攻撃に対する防御を改善し続けるためのセキュリティ ガイダンスの構築に投資してきました。

  • クラウド ネイティヴなセキュリティ コントロールMicrosoft は高度な標的型攻撃と日常的な大量の攻撃の両方で使用でき、安価で利用可能なこれらの技術に対応する機能を提供しています。M365 も含めたあらゆる種類のエンタープライズ資産を保護するために構築された XDR 機能によるネイティヴな脅威検出、企業内のアカウントを保護するためのパスワードレス及び多要素認証、ゼロトラスト アプローチの適用、そしてネイティヴなファイアウォールとネットワークセキュリティにより企業を保護します。
  • 業界のパートナーシップ
    顧客だけでなく、NIST や様々な業界団体、コミュニティとパートナーシップを締結し、連携を通じて攻撃者のエコシステムの脅威に対処しています。
  • セキュリティ ガイダンス
    Microsoft は企業が行うべき主要な 10 個のベストプラクティス、推奨事項としての Azure セキュリティベンチマーク v2 のリリース、そしてクラウド導入フレームワーク (CAF) 及び適切なアーキテクト フレームワーク (WAF) をセキュリティ ガイダンスとして提供しています。

そして Microsoft Cloud はクラウド ソリューション プロバイダ・セキュリティ ベンダーとしてのクラウド規模、数兆ものシグナル、深い専門知識を活用して、クラウド リソースを保護する業界トップのセキュリティソリューションを構築します。Microsoft は、使用するクラウド プロバイダーやクラウド アプリに関係なく、IaaS、PaaS、SaaS サービス全体にわたってクラウド環境全体を保護するソリューションを開発しました。AWS から Azure、Google クラウド、Slack から Salesforce、基幹業務アプリケーションまで、マルチクラウド環境を保護するための包括的なセキュリティを提供しています。

ここでは Microsoft Cloud がお客様の環境のすべてのレイヤで多層防御のセキュリティ アプローチを提供しており、ガバナンス・リスク・およびコンプライアンス、セキュリティ運用、ID 管理とアクセス管理、クラウドの脅威対策、ネットワークセキュリティ、暗号化、それに跨るセキュリティソリューション、コントロール、サービスを通じて、お客様の環境を保護することを説明致します。

画像:ガバナンス、リスク、コンプライアンス、セキュリティ運用、ID 管理とアクセス管理、ネットワークセキュリティと封じ込め、情報の保護とストレージ、暗号化、それに跨るセキュリティソリューション、コントロール、サービスを通じて、お客様の環境を保護します

ガバナンス、リスク、コンプライアンス

Azure のガバナンスでは、クラウド ガバナンス、コンプライアンス監査、自動ガードレールをサポートするために必要なツールを提供しています。

クラウド導入フレームワークのガバナンス

Microsoft Cloud Adoption Framework for Azure には、組織がクラウドで成功を収めるために必要なビジネス戦略およびテクノロジー戦略の作成と実装を支援することを目的とした実証済みのガイド「Azure 向けの Microsoft クラウド導入フレームワークのセキュリティ - Cloud Adoption Framework | Microsoft Docs」が用意されています。クラウド アーキテクト、IT プロフェッショナル、ビジネス上の意思決定者が短期的および長期的な目標を無事達成するために必要なベスト プラクティス、ドキュメント、ツールを提供します。

設計領域のレビュー

ガバナンスでは、Azure のプラットフォーム、アプリケーション、リソースに対するコントロールを維持するためのメカニズムとプロセスが提供されます。クラウド導入フレームワークのガバナンスの方法論では、ガバナンス プロセスとツールに関するガイダンスが提供されています。

画像:ガバナンス プロセスとツールに関するガイダンス

ガバナンスの規範

クラウド プラットフォーム内の一般的なガバナンス規範によって、ポリシーの通知やツールチェーンの調整が行われ、組織が独自のクラウド プラットフォーム全体に企業ポリシーを自動化および適用するための最善の方法を決定するのに役立ちます。

画像:クラウド プラットフォーム内の一般的なガバナンス規範

クラウド導入フレームワークのガバナンス手法による 5 つの規範は、一般的なリスクと懸念事項に対処するための適切なプロセス、ツール、および自動化のコレクションを確立するのに役立ちます。

Azure ガバナンスの考慮事項

Azure Policy は、エンタープライズ技術資産のセキュリティとコンプライアンスを保証します。 Azure Policy によって、Azure プラットフォーム サービス全体に、重要な管理とセキュリティの規則が適用されます。 Azure Policy は、認可されたユーザーのアクションを制御する Azure ロールベースのアクセス制御を補完します。

コスト管理の規範

企業全体のコスト管理は、クラウド ガバナンスとクラウド運用の機能です。 クラウドでの支出超過を防ぐために、運用コスト管理のベストプラクティスを適用します。

画像:運用コスト管理のベストプラクティス

Cost Management の規範の概要 - Cloud Adoption Framework | Microsoft Docs へ移動

セキュリティベースライン規範

セキュリティ原則の適用を自動化して、環境全体で一貫性を確保することに重点を置きます。二つのリージョンで構成を組む場合の構成例です。

図:2つのリージョンで構成を組む場合の構成例

次のリスクに対処するのに役立ちます。

  • 組織がセキュリティまたはコンプライアンスの要件を満たさないこと

  • 未承認のアクセスによってシステムやデータが侵害されること

セキュリティベースライン規範につきましては「セキュリティ ベースライン規範の概要 - Cloud Adoption Framework | Microsoft Docs」をご参照ください。

IDベースラインの規範

クラウド環境の ID とアクセスの要件を確立したら、この規範によって、それらの要件がすべてのワークロードと資産に一貫して適用されることが保証されます。

図:セキュリティ プリンシパル、ロールの定義、スコープについて

次のリスクに対処するのに役立ちます。

  • 未承認のアクセスによってシステムやデータが侵害されること

ID ベースライン規範につきましては「ID ベースライン規範の概要 - Cloud Adoption Framework | Microsoft Docs」をご参照ください。

リソースの整合性規範

リソースの整合性」では、ガバナンス基盤を確立するために必要なリソースの初期編成に重点を置きます。 長期的に見た場合、この規範では、すべての資産が運用のサポート要件を満たすようにするための適切なオンボード プロセスに重点を置きます。

図:管理グループ、サブスクリプション、リソース グループの構成

次のリスクに対処するのに役立ちます。

  • 運用管理に関する問題または見落とし

デプロイ高速化規範

ガバナンスの自動化」は、導入の自動化につながります。 さまざまな導入チームにコードとしてのインフラストラクチャ (IaC) テンプレートを提供することにより、準拠している適切に管理された環境にワークロードをすばやくデプロイできるようになります。

画像:書類と複数の PC

次のリスクに対処するのに役立ちます。

  • 未熟なプロセスやチームのスキル不足に起因するガバナンスの不整合

クラウド ガバナンス基盤をデプロイ

Azure リソースの編成 

すべてのガバナンスの基本的な基盤は、3 つの主要なコンポーネントを使用した一貫性のあるリソースで編成されます。リソース編成の詳細につきましては「リソースの編成の設計領域の概要 - Cloud Adoption Framework | Microsoft Docs」をご参照ください。

  • 管理グループ:セキュリティ、運用、ビジネスまたは経理の階層を反映。事業、地域、部門

  • サブスクリプション:類似したリソースを論理的な境界でグループ化。開発、本番、プロジェクトごと

  • リソース グループ:アプリケーションまたはワークロードを、デプロイと運用のユニットでさらにグループ化

図:管理グループ、サブスクリプション、リソース グループの構成

サブスクリプションデザイン

サブスクリプション」は、デプロイされたすべての資産の論理コンテナです。 サブスクリプションは、請求、コンプライアンス、セキュリティ、またはアクセス要件に基づいて共通のワークロードをグループ化するために使用されます。 サブスクリプションは、Azure ポリシーを割り当てるための境界として機能します。

画像:運用サブスクリプション、非運用サブスクリプション

セキュリティ ベスト プラクティスの優先順位付け

セキュリティの優先順位は後回しになるケースが多く見られますが、可能な限り早くベスト プラクティスを適用し、セキュリティ プログラムの成熟期間中にギャップを埋め込むことをお勧めします。

優先順位を付けるときに、次の考慮事項の評価をおすすめします。

  • ビジネスへの影響が大きく、システムが非常に公開されている

  • 最も簡単に軽減策を実装する

セキュリティ ベスト プラクティスの適用

Microsoft が独自の環境および顧客全体での脅威と軽減策の取り組みの経験に基づいて、組織がこれらの決定から始めるのに役立つ、セキュリティ イニシアティブの優先順位付きリストを提供しています。

ガバナンス、リスク、コンプライアンスを提供する機能

Microsoft Defender for Cloud

Defender for Cloud は、Azure、ハイブリッド、マルチ クラウドのワークロード全体のセキュリティ態勢管理と高度な脅威保護を提供します。セキュリティ ハイジーンの問題 (Secure Score) を特定し、優先順位を付け、CIS、PCI、SOC、ISO のコンプライアンスを満たすための推奨事項を使用した改善が可能です。

  • クラウド リソースのセキュリティ構成をアセスメントし、強化する

  • 重大かつ不可欠な産業、および規制基準に対するコンプライアンスを管理する

  • Azure、AWS、Google Cloud Platform、そしてオンプレミスで実行されているワークロードのThreat Protectionを有効にする

  • 悪意のある攻撃からマルチクラウドとハイブリッド ワークロードを保護するために、脆弱性を検出する

管理グループ

Azure サブスクリプションをグループ化し、一括で制御するためのコンテナです。サブスクリプションの種類に関係なく、アクセス、ポリシー、およびコンプライアンスを大きな規模のエンタープライズ レベルで効率的に階層を構築して、管理することができます。

管理グループとサブスクリプションで柔軟な構造を構築し、リソースを階層化して統一的なポリシーとアクセス管理を行うことができます。

画像:管理グループとサブスクリプションで柔軟な構造を構築する例

Azure Policy

Azure Policy は、ポリシーの作成、割り当て、管理に使用する Azure のサービスです。 これらのポリシーは、リソースにさまざまなルールと効果を適用して、それらのリソースが会社の標準とサービスレベルアグリーメントに準拠した状態に保たれるようにします。

  • リアルタイムのポリシーの適用と評価

  • 大規模なクラウドポリシー管理とセキュリティ

  • 既存のリソースの大規模な自動修復

  • すべてのリソースの包括的なコンプライアンスビュー

Azure Policy は、ユーザーの操作に焦点を当てる RBAC とは異なり、リソースの種類や場所などのプロパティが制御され、既定で許可 または明示的に拒否するシステムです。

画像:Role Based Access Control と Azure Policy

Azure の RBAC とポリシーは、ガバナンス戦略において重要な役割を果たします。 両者の機能は異なりますが、組織のビジネス ルールに従って適切なアクセスとリソース作成ガイドラインに対応できるように連携します。

Azure Blueprint (プレビュー)

Azure Blueprints によってクラウド アーキテクトや中央の情報技術部門は、組織の標準、パターン、要件を実装および順守した反復可能な一連の Azure リソースを定義できます。 Azure Blueprints を使用すると、開発チームは新しい環境を迅速に構築して立ち上げることができます。新しい環境は組織のコンプライアンスに従って構築され、ネットワークなどの一連の組み込みコンポーネントを含んでいるという確信が得られるため、開発とデリバリーにかかる時間を短縮できます。

セキュリティ運用 Microsoft Sentinel

概要

Microsoft Sentinel は、完全なクラウドネイティブの SIEM (Security Information and Event Management) システムであり、セキュリティ運用チームはネットワーク セキュリティ製品、クラウド、インフラ関連のログを集約して、ログの相関分析、インシデント対応の基盤を提供します。具体的には次のことができます。

  • オンプレミス、クラウドなどあらゆるソースからデータを収集することで、企業全体のセキュリティに関する分析情報を得る

  • すぐに使える分析ルールや、組み込まれている機械学習と脅威インテリジェンスを活用して、脅威を迅速に検出して調査する

  • SOAR の機能を使用し、セキュリティオペレーションや脅威の対応を自動化する

Microsoft Sentinel は、収集、検出、調査、応答など、エンドツーエンドのセキュリティ操作を有効にするのに役立ちます。

画像:収集、検出、調査、応答

主な機能:

データコネクタ、ソリューション

Microsoft Sentinel は、すぐに使用できる多数のコネクタ、ソリューションを提供しています。

  • Microsoft 製品のログを取り込むネイティブコネクタ (*無料枠あり)

  • Microsoft が提供するサードパーティ製品向けのデータコネクタ

  • 脅威インテリジェンス用の TAXII コネクタ

  • Microsoft Monitoring Agent や Azure Monitoring Agent を使用した Syslog、CEF、Windows Event ログの取り込み

  • Rest API を使用したカスタムログの取り込み

データ収集のベスト プラクティスにつきましては、「Microsoft Sentinel でのデータ収集のベスト プラクティス | Microsoft Docs」をご参照ください。

また、 Microsoft Sentinel で分析するさまざまな製品、プラットフォーム、サービスに対してデータの取り込み、監視、アラート、監視、調査、応答、接続を行うことができるようにするソリューションを提供しております。ソリューションは、 Microsoft Sentinel コンテンツまたは Microsoft Sentinel API 統合のパッケージであり、Microsoft Sentinel のエンドツーエンドの製品、ドメイン、または業界の垂直シナリオを実現します。

Microsoft Sentinelが提供するソリューションにつきましては、「Microsoft Sentinel コンテンツとソリューションについて | Microsoft Docs」をご参照ください。

画像:ソリューション一覧画面

(*) 以下のログの取り込み料は無料です。

  • Azure アクティビティログ

  • Office 365 の監査ログ

  • Microsoft Defender for Cloud、Microsoft 365 Defender、Microsoft Defender for Office 365、Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Cloud Apps からアラート

また、Microsoft 365 E5、A5、F5、G5、および Microsoft 365 E5、A5、F5、G5 セキュリティのお客様は、Microsoft 365 のデータ1 を取り込むために、1 ユーザー/日あたり最大 5 MB のデータ付与を受けることができます。

Azure Sentinel を利用した Microsoft 365 E5 の特典プラン | Microsoft Azure

Kusto クエリ言語(KQL)

Microsoft Sentinel に取り込まれた後のデータは、Log Analytics を使用して格納されます。 Log Analytics を使用すると、Kusto クエリ言語 (KQL) を使用してデータのクエリを実行する機能などの利点があります。 KQL は、多くの機能を備えたクエリ言語であり、データを詳しく調べ、分析情報を得ることができます。KQL の概要につきましては「Microsoft Sentinel の Kusto 照会言語 | Microsoft Docs」をご参照ください。

ブック

ブックを使用すると、Microsoft Sentinel 内のデータを視覚化できます。 ブックはダッシュボードと考えることができます。 ダッシュボード内の各コンポーネントは、基になるデータの KQL クエリを使用して作成されます。 Microsoft Sentinel 内で、組み込みのブックを使用したり、ニーズに合わせて編集したり、独自のブックを最初から作成したりすることができます。 ブックに関する詳細につきましては「一般的に使用される Microsoft Sentinel ブック | Microsoft Docs」をご参照ください。

分析ルール

Microsoft Sentinel には、脅威検出規則の作成に役立つ、すぐに使用できる組み込みのテンプレートが用意されています。ルール テンプレートは、セキュリティ専門家とアナリストから構成される Microsoft のチームが既知の脅威、一般的な攻撃ベクトル、疑わしい行動のエスカレーション チェーンに基づいて設計したものです。

以下の 7 つの分析エンジンを提供しています。

  1. KQL を使用したスケジュールされたアラート

  2. Microsoft セキュリティ製品のインシデント

  3. Fusion

  4. 機械学習による行動分析

  5. 脅威インテリジェンス

  6. アノーマリー

  7. Near Real Time Detection

ハンティング

ハンティング クエリを使用すると、大量のイベントおよびセキュリティ データ ソースをフィルター処理して、潜在的な脅威を特定したり、MITER ATT & CK フレームワークを使用して脅威を追跡したりすることができます。Microsoft Sentinel における検出機能につきましては「Microsoft Sentinel の検出機能 | Microsoft Docs」をご参照ください。

インシデントの調査

インシデントは、有効にしたアラートがトリガーされたときに作成されます。 Microsoft Sentinel を使用すると、状態の変更や、調査のための個人へのインシデントの割り当てなど、標準的なインシデント管理タスクを実行できます。 Microsoft Sentinel には調査機能もあります。これを使用すると、タイムラインに沿ってログ データ全体にエンティティをマップすることで、インシデントを視覚的に調査できます。

Microsoft Sentinel の調査機能につきましては「Microsoft Azure Sentinel でインシデントを調査する | Microsoft Docs」をご参照ください。

画像:インシデントの調査画面

ユーザーとエンティティの行動分析 (UEBA)

Microsoft Sentinel の UEBA 機能は、アナリストのワークロードから面倒な作業を、またその取り組みから不確実性を排除し、忠実度が高い、すぐに使用可能なインテリジェンスを提供するため、アナリストは調査と修復に集中することができます。

接続されているすべてのデータ ソースからログとアラートを収集すると、それらを分析して、時間とピア グループの期間全体にわたる組織のエンティティ (ユーザー、ホスト、IP アドレス、アプリケーションなど) のベースライン行動プロファイルを構築します。 さまざまな手法や機械学習機能を使用して、Microsoft Sentinel で異常なアクティビティを特定でき、資産が侵害されているかどうかを判定するのに役立ちます。

Microsoft Sentinel のユーザーとエンティティの行動分析につきましては「UEBA データを使用してインシデントを調査 | Microsoft Docs」をご参照ください。

画像:ユーザーとエンティティの行動分析画面

SOAR

インシデントに自動的に対応できるため、セキュリティ操作の一部を自動化し、SOC の生産性を高めることができます。 Microsoft Sentinel は Azure Logic Apps と統合されているため、イベントに応答して自動化されたワークフロー (つまり "ブック") を作成できます。 この機能は、インシデントの管理、強化、調査、または修復に使用できます。プレイブックは、プレイブック テンプレートに掲載されている SOAR コンテンツ カタログから簡単に作成することが可能です。

Microsoft Sentinel 運用の自動化につきましては「Microsoft Sentinel プレイブックでトリガーとアクションを使用する | Microsoft Docs」をご参照ください。

画像:Microsoft Sentinel プレイブックでトリガーとアクションを使用する画面

ID 管理とアクセス管理

クラウドベースの ID 管理とアクセス管理

クラウドベースのアーキテクチャでは、ID がセキュリティの大部分を担います。 外部の脅威からの保護を、ファイアウォール等のインターネット境界防御に大きく依存している場合、モバイルデバイスや SaaS サービスなどのインターネットを利用しデータやアプリケーションを利用する新しいワークスタイルでは制御することが困難であり不可能です。

様々な場所で働くことが要求される現在、エンドユーザーがどこからでも安全に簡単にリソースやサービスにアクセスできる必要があります。クラウドベースの ID 管理により認証と承認の制御に基づいてアクセスをコントロールすることで、リソースやサービスを保護することが可能です。

クラウドベースの ID ソリューションである Azure Active Directory (Azure AD) を使用すれば、脅威インテリジェンスを応用できるため、従来の ID サービスでは不可能な追加のセキュリティ機能が提供されます。

Azure Active Directory (Azure AD)

Azure Active Directory (Azure AD) は Microsoft が提供するクラウドベースの ID 管理およびアクセス管理サービスです。職員およびリソースの ID を管理するための、単一の Azure AD エンタープライズ ディレクトリを確立します。 単一の信頼できるソースにより明確性と一貫性が向上し、複雑さに起因する人為的エラーや自動化の失敗によるセキュリティ リスクを軽減します。

Azure AD では多要素認証や Windows Hello for Business、Microsoft Authenticator アプリ、FIDO2 セキュリティ キーなど、複数のパスワードレス認証方法をサポートしており、リソースへの不正アクセスリスクを極小化することが可能です。

Azure AD で利用可能な多要素認証方法

画像:Windows Hello、Microsoft Authenticator、FIDO2 Security Key
  • Microsoft Authenticator アプリ
    • スマートホン (iOS, Android) アプリによる認証
  • Windows Hello for Business
    • Windows 10/11 で利用可能な生体認証、PIN 番号を使用した認証
  • FIDO2 セキュリティ キー
    • FIDO Alliance で規格された認証規格で生体認証、PIN 番号を使用した認証
  • SMS (Short Message Service)
    • 電話のショートメッセージを利用したワンタイムコードによる認証
  • 電話による音声通話
    • 電話音声による認証
  • OATH ソフトウェア トークン
    • OATH (Initiative for Open AuTHentication) が規格したワンタイムパスコードを利用した認証でスマホアプリ等でワンタイムコードを生成
  • OATH ハードウェア トークン (プレビュー)
    • OATH (Initiative for Open AuTHentication) が規格したワンタイムパスコードを利用した認証で専用の機器でワンタイムコードを生成

シングルサインオンと条件付きアクセス

Azure AD では Microsoft 365、Azure portal、その他何千という SaaS アプリケーションなどの外部リソースや内部リソースへのシングルサインオンとアクセスを支援します。

シングルサインオンを行うアプリケーションへのアクセスコントロールとして条件付きアクセスポリシーを利用することが可能です。

画像:シグナルとアクセス試行の確認、アプリとデータ

条件付きアクセスポリシーは、上図のようにユーザーログインの状況を、場所、デバイス、アプリケーション、リアルタイムリスク等の複数の情報を元にサインインリスクを評価し、管理者が作成したアクセス ポリシーを使用してアクセスを許可します。

たとえば、機密データへのアクセスには、デバイスのコンプライアンス遵守を要求する条件付きアクセス ポリシーを作成できます。

これにより、窃取した ID を使用して部外者が機密データにアクセスするリスクが大幅に軽減されます。 コンプライアンスを順守するにはデバイスの正常性とセキュリティに関する特定の要件を満たす必要があり、ID とパスワードが正しくてもデバイスがコンプライアンスに違反している場合は条件に沿わないため機密データへのアクセスはブロックされます。

RBAC (ロールベース アクセス制御)

Azure リソースと Azure Active Directory (Azure AD) には、独立したアクセス許可システムがあります。 「Azure ロール」は、仮想マシンやストレージなどの Azure リソースへのアクセスを管理するために使用されます。 「Azure AD ロール」は、ユーザー、グループ、アプリケーションなどの Azure AD リソースへのアクセスを制御します。それぞれリソースへのアクセスはロール(役割)ベースで評価しアクセス許可または禁止を実施します。

  1. Azure ロール
    Azure ロールベースのアクセス制御  (Azure RBAC) は、誰がどの Azure リソースにアクセスできるか、およびそのユーザーがそれらのリソースを使用して何を実行できるかを制御します。制御するには、ロールを特定のスコープ (アクセスを適用する範囲) に対しユーザー、グループ、またはアプリケーションに割り当てます。Azure RBAC  には多数の組み込みロールがあります。たとえば、仮想マシン共同作成者ロールが割り当てられたユーザーには、仮想マシンの作成と管理が許可されます。

    組み込みロールの例を次に示します。
    1. 所有者:
      すべてのリソースへのフル アクセス権を持ちます。Azure RBAC による他のユーザーにアクセスを委任することもできます。
    2. 共同作成者:
      すべての Azure リソースを作成および管理できます。ただし Azure RBAC のロールを割り当てを行う権限はありません。
    3. 閲覧者:
      既存の Azure リソースの表示のみが許可されます。
    4. ユーザー アクセス管理者:
      Azure リソースへのアクセスを管理できます。


  2. Azure AD ロール
    Azure AD ロールを使用すると、最小限の特権の原則に従って、管理者に Azure AD リソース(ユーザー、グループ、アプリケーションなど)へのアクセス許可を付与できます。
    Azure AD には組み込みのロールがあり、ロールには異なる目的があります。 次に例をいくつか示します。
    1. グローバル管理者:
      Azure AD の管理機能へのアクセスを管理できます。 このロールのユーザーは、管理者ロールを他のユーザーに付与することができ、ユーザーまたは管理者のパスワードをリセットできます。
    2. ユーザー管理者:
      サポート チケット、サービスの正常性の監視、特定の種類のユーザーのパスワードのリセットなど、ユーザーとグループのあらゆる側面を管理できます。
    3. 課金管理者:
      購入、サブスクリプションとサポート チケットの管理、サービスの正常性の監視を行うことができます。 Azure には、Azure RBAC アクセス許可に加えて、詳細な課金のアクセス許可があります。 使用可能な課金のアクセス許可は、Microsoft との契約によって異なります。

特権 ID 管理

Azure AD が提供する特権 ID 管理 (Privileged Identity Management) サービスは、お客様の組織内の重要なリソースへのアクセスを管理、制御、監視することが可能です。時間ベースおよび承認ベースで特権ロールのアクティブ化を提供して、対象リソースに対する過剰、不要、または誤用であるアクセス許可のリスクを軽減します。

たとえばユーザーが仮想マシンの管理作業を行う数時間のみ、期限付きかつ最低限の許可範囲で必要な特権ロールを割り当てることができます。さらにユーザーが特権ロールに昇格化 (アクティブ化) するためには上司承認を要求することもできます。また特権ロールに多要素認証を必須にすることが可能です。これらの機能により誤った権限付与を防止するとともに権限付与状態の放置や不正アクセスを防止することが可能です。

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

トップに戻る