セキュリティ アーキテクチャの設計

情報セキュリティは、攻撃者とセキュリティ研究者の独創的なアイデアと実行によって急速に進化する複雑なテーマであり続けています。

セキュリティは、あらゆるアーキテクチャの最も重要な側面の 1 つです。 優れたセキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対して、機密性、整合性、および可用性の保証を提供します。 これらの保証を失うと、事業運営や収益のほか、組織の評判に悪影響を与える可能性があります。

セキュリティ システムを設計する際に考慮すべき大まかなカテゴリを次に示します。

Azure では、さまざまなセキュリティ ツールと機能が提供されています。 これらは、Azure で使用できる主要なセキュリティ サービスの一部に過ぎません。

• Microsoft Defender for Cloud。 データ センターのセキュリティ体制を強化する、統一されたインフラストラクチャ セキュリティ管理システム。 クラウドとオンプレミスのハイブリッド ワークロード全体に対して高度な脅威保護も提供します。
• Microsoft Entra ID。 Microsoft のクラウドベースの ID とアクセスの管理サービス。
• Azure Front Door。 Microsoft グローバル エッジ ネットワークを使用して高度なセキュリティで保護された高速でスケーラビリティの高い Web アプリを作成するための、スケーラブルなグローバル エントリポイントです。
• Azure Firewall。 Azure で実行されているクラウド ワークロードに脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービス。
• Azure Key Vault。 トークン、パスワード、証明書、API キー、およびその他のシークレットの高セキュリティのシークレット ストアです。 Key Vault を使用して、データの暗号化に使用される暗号化キーの作成と制御を行うこともできます。
• Azure Private Link。 仮想ネットワーク内のプライベート エンドポイントを介して、Azure PaaS サービス、所有する Azure でホストされるサービス、またはパートナー サービスにアクセスできるようにするサービス。
• Azure Application Gateway。 Web トラフィックの高度なロード バランサーです。これにより、Web アプリケーションへのトラフィックを管理できるようになります。
• Azure Policy 組織の標準を適用し、コンプライアンスを評価するのに役立つサービス。

Azure のセキュリティ ツールと機能のより包括的な説明については、「Azure でのエンドツーエンドのセキュリティ」 を参照してください。

Azure のセキュリティの概要

Azure でのセキュリティについて詳しくない場合は、Microsoft Learn トレーニングを使用するのが、理解を深めるために最適な方法です。 この無料のオンライン プラットフォームは、Microsoft 製品などに関する対話型トレーニングを提供します。

使用を開始するための 2 つのラーニング パスを次に示します。

• Microsoft Azure の基礎: 一般的なセキュリティ機能およびネットワーク セキュリティ機能に関する説明

• Microsoft のセキュリティ、コンプライアンス、および ID の基礎: Microsoft セキュリティソリューションの機能について説明する

運用へのパス

• Azure アプリケーション ワークロードをセキュリティで保護するには、アプリケーション自体で認証や暗号化などの保護対策を使用します。 また、アプリケーションをホストする仮想マシン (VM) ネットワークにセキュリティ レイヤーを追加することもできます。 概要については、「仮想ネットワークのファイアウォールと Application Gateway」を参照してください
• ゼロ トラストは、デジタル資産のすべての層でのセキュリティに対するプロアクティブで統合されたアプローチです。 すべてのトランザクションを明示的に、および継続的に検証し、最小の特権をアサートし、インテリジェンス、高度な検出、および脅威に対するリアルタイムの応答に依存します。
  • Web アプリの実装戦略については、「Azure Firewall と Application Gateway を使用したウェブ アプリケーションのためのゼロ トラスト ネットワーク」を参照してください。
  • Microsoft Entra の ID 機能とアクセス機能をゼロ トラスト セキュリティ戦略全体に組み込む方法を示すアーキテクチャについては、「セキュリティ運用での Microsoft Entra ID IDaaS」を参照してください。
• Azure のガバナンスでは、クラウド ガバナンス、コンプライアンス監査、自動ガードレールをサポートするために必要なツールが設定されます。 Azure 環境の管理については、「Azure のガバナンス設計領域ガイダンス」を参照してください。

ベスト プラクティス

Azure Well-Architected フレームワークは、5 つの柱に基づいた基本原則であり、アーキテクチャの品質向上のために使用できます。 詳細については、「セキュリティの重要な要素の概要」と「Azure のセキュリティ設計原則」を参照してください。

Well-Architected フレームワークには、次のチェックリストも用意されています。

• Azure の ID およびアクセス管理に関する考慮事項
• ネットワークのセキュリティ
• データ保護に関する考慮事項
• ガバナンス、リスク、およびコンプライアンス

機密性の高い IaaS ワークロードのセキュリティについては、「Azure での機密性の高い IaaS アプリのセキュリティに関する考慮事項」を参照してください。

セキュリティ アーキテクチャ

ID 管理とアクセス管理

• Web サービス用の OAuth 2.0 On-Behalf-Of 更新トークンをセキュリティで保護する
• Microsoft Entra ID による回復性がある ID およびアクセス管理
• AWS に対する Microsoft Entra の ID 管理とアクセス管理

脅威の防止

• Microsoft Sentinel のサイバー脅威インテリジェンスの脅威インジケーター
• Azure 仮想マシン アクセスの多層保護
• リアルタイムでの不正検出

情報の保護

• 医療プラットフォームのコンフィデンシャル コンピューティング
• SEAL による準同型暗号
• カスタマー マネージド キーによる SQL Managed Instance
• 仮想ネットワークに統合されたサーバーレス マイクロサービス

検出して応答する

• Azure Data Explorer を使用したセキュリティ ログの長期的な保持

セキュリティを最新の状態に保つ

Azure のセキュリティ サービスと機能に関する最新の更新プログラムを取得します。

その他のリソース

サンプル ソリューション

• Microsoft Defender for Cloud と Microsoft Sentinel を使用したハイブリッド セキュリティ監視
• オンプレミス ネットワークからマルチテナント Web アプリへの強化されたセキュリティ アクセス
• サービス間の通信を制限する
• 安全に管理された Web アプリケーション
• Microsoft Teams チャネル ボットと、ファイアウォールの背後にある Web アプリをセキュリティで保護する
• Azure SQL データベースへの Web アプリのプライベート接続

すべてのセキュリティ アーキテクチャを参照します。

AWS または Google Cloud プロフェッショナル

• Azure と AWS を使用したセキュリティと ID
• AWS と Azure のサービスの比較 - サービス
• Google Cloud と Azure のサービスの比較 - セキュリティ

次のステップ

セキュリティ アーキテクチャは、次のものも含むセキュリティ ガイダンスの包括的なセットの一部です。

• Azure 向けの Microsoft クラウド導入フレームワークのセキュリティ: クラウド セキュリティの最終的な状態の概要。
• Azure Well-Architected フレームワーク: Azure でのワークロードのセキュリティ保護に関するガイダンス。
• Azure セキュリティ ベンチマーク: Azure セキュリティの規範的なベスト プラクティスと制御。
• Azure のエンドツーエンド セキュリティ: Azure のセキュリティ サービスを紹介するドキュメント。
• Azure のセキュリティに関するベスト プラクティス上位 10 件: Microsoft がお客様と自社の環境にわたって得た教訓に基づいて推奨する、Azure のセキュリティに関する優先度の高いベスト プラクティス。
• Microsoft サイバーセキュリティ アーキテクチャ: どのように Microsoft のセキュリティ機能と Microsoft プラットフォームやサード パーティプラットフォームを統合するかを図で示しています。