このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
この記事では、Azure の仮想マシン (VM) の SQL Server インスタンスへのセキュリティで保護されたアクセスの確立に役立つ全体的なセキュリティ ガイドラインについて説明します。
Azure はいくつかの業界規制および標準に準拠しているため、ユーザーは仮想マシンで実行されている SQL Server を使用して、標準に準拠しているソリューションを構築できます。 Azure での法規制遵守に関する情報については、 Azure トラスト センターを参照してください。
まず、 SQL Server と Azure VM のセキュリティのベスト プラクティスを確認してからこの記事を確認して、Azure VM 上の SQL Server に特に当てはまるベストプラクティスを確認してください。
SQL Server VM のベスト プラクティスの詳細については、このシリーズの他の記事 (チェックリスト、VM サイズ、HDAR 構成、ベースラインの収集) をご覧ください。
このセクションにある次のチェックリストを確認して、この記事の後半で詳しく説明するセキュリティのベスト プラクティスの概要を確認してください。
SQL Server の機能は、データベース レベルでデータを確実に保護する方法を提供します。この機能はインフラストラクチャ レベルのセキュリティ機能と組み合わせることができます。 機能を組み合わせることで、クラウドベースやハイブリッド ソリューションのインフラストラクチャ レベルで多層防御が提供されます。 さらに、Azure のセキュリティ対策により、機密データの暗号化、ウイルスやマルウェアからの仮想マシンの保護、ネットワーク トラフィックのセキュリティ保護、脅威の特定と検出、コンプライアンス要件の遵守、およびハイブリッド クラウドでのセキュリティ ニーズに対する単一の管理方法とレポート作成が可能になります。
セキュリティのベスト プラクティスについて詳しくは、「SQL Server のセキュリティのベスト プラクティス」および「SQL Server の保護」をご覧ください。
Microsoft Defender for Cloud は、データ環境のセキュリティ状態を向上させる機会を評価および提供するように設計された統合セキュリティ管理システムです。 Microsoft Defender では、Azure VM 上の SQL Server に対してコンピューター上の Microsoft Defender for SQL の保護が提供されます。 Microsoft Defender for SQL を使用して、データベースの潜在的な脆弱性を検出および軽減し、SQL Server インスタンスおよびデータベース レイヤーへの脅威を示す可能性のある異常なアクティビティを検出します。
Microsoft Defender for SQL では次のベネフィットが提供されます。
SQL Server VM を SQL IaaS Agent 拡張機能に登録した後、Azure portal の SQL 仮想マシン リソースを使って、Azure Key Vault 統合の有効化や SQL 認証など、いくつかのセキュリティ設定を構成できます。
さらに、マシン上の Microsoft Defender for SQL を有効にした後、脆弱性評価やセキュリティ アラートなどの Defender for Cloud の機能を Azure portal の SQL 仮想マシン リソースで直接表示できます。
詳細については、ポータルでの SQL Server VM の管理に関する記事を参照してください。
Azure 機密 VM は、ハードウェアによって適用される強力な境界を提供します。これにより、ホスト オペレーターのアクセスからゲスト OS を強力に保護することができます。 Azure VM 上でご利用の SQL Server に対して機密 VM サイズを選択すると、保護レイヤーが追加され、それにより、確実に機密データをクラウドに格納し、厳格なコンプライアンス要件を満たすことができます。
Azure 機密 VM では、SEV-SNP テクノロジを備えた AMD プロセッサを活用しています。このプロセッサでは自身で生成したキーを使用して VM のメモリを暗号化します。 これは、使用中のデータ (SQL Server プロセスのメモリ内で処理されるデータ) を、ホスト OS からの不正アクセスから保護するのに役立ちます。 また、仮想マシンのトラステッド プラットフォーム モジュール (TPM) チップにバインドされたキーを使用して機密 VM の OS ディスクを暗号化し、保存データの保護を強化することもできます。
デプロイの詳細な手順については、クイックスタート: 機密 VM への SQL Server のデプロイに関するページを参照してください。
ディスク暗号化に関する推奨事項は、機密 VM の場合と、その他の VM サイズの場合とでは異なります。 詳細については、ディスクの暗号化に関するページを参照してください。
SQL Server 2022 以降では、次の Microsoft Entra ID (旧Azure Active Directory) 認証方法のいずれかを使って SQL Server に接続できます。
作業を始めるには、SQL Server VM 用の Microsoft Entra 認証の構成に関する記事をご覧ください。
Azure Advisor は、ベスト プラクティスに従って Azure デプロイメントを最適化できるようにする、個人用に設定されたクラウド コンサルタントです。 Azure Advisor は、リソースの構成と使用状況のテレメトリを分析し、Azure リソースの費用対効果、パフォーマンス、高可用性、およびセキュリティを向上させるのに役立つソリューションを推奨します。 Azure Advisor は、仮想マシン、リソースグループ、またはサブスクリプション レベルで評価できます。
透過的なデータ暗号化 (TDE)、列レベルの暗号化 (CLE)、バックアップ暗号化 など、SQL Server 暗号化機能が複数存在します。 これらの形態の暗号化では、暗号化に利用する暗号鍵を管理し、保存する必要があります。 Azure Key Vault サービスは、セキュリティで保護され、かつ可用性の高い場所でこれらのキーのセキュリティと管理を向上させるように設計されています。 SQL Server コネクタ を使用すると、SQL Server で Azure Key Vault にあるキーを使用できます。
以下、具体例に沿って説明します。
Azure ギャラリー イメージを使用して SQL Server 仮想マシンを作成する場合は、[SQL Server 接続] オプションで、[ローカル (VM 内)]、[プライベート (仮想ネットワーク内)]、または [パブリック (インターネット)] を選択できます。
セキュリティを最大限に強化するため、自分のシナリオで最も制限の厳しいオプションを選択します。 たとえば、同じ VM の SQL Server にアクセスするアプリケーションを実行している場合、最もセキュリティで保護された選択は [ローカル] です。 SQL Server へのアクセスを必要とする Azure アプリケーションを実行している場合、 [プライベート] では、指定された Azure 仮想ネットワーク内の SQL Server への通信のみがセキュリティで保護します。 SQL Server VM にアクセスする [パブリック (インターネット)] が必要な場合、危険を回避するために、このトピックの他のベスト プラクティスに従ってください。
ポータルで選択されたオプションは、VM のネットワーク セキュリティ グループ (NSG) の受信セキュリティ ルールを使用して、仮想マシンへのネットワーク トラフィックを許可または拒否します。 SQL Server ポート (既定値 1433) へのトラフィックを許可するには、受信 NSG ルールを変更または新規作成します。 また、このポートでの通信を許可する、特定の IP アドレスを指定することもできます。
ネットワーク トラフィックを制限する NSG ルールに加え、仮想マシンで Windows ファイアウォールを使用することもできます。
クラシック デプロイ モデルでエンドポイントを使用している場合、使用しない仮想マシンのエンドポイントは削除します。 エンドポイントで ACL を使用する手順については、「 エンドポイントの ACL の管理」を参照してください。 これは、Azure Resource Manager を使用する VM には必要ありません。
Azure 仮想マシンの SQL Server DB エンジンのインスタンスに対して暗号化接続を有効にすることを検討してください。 署名付き証明書で SQL Server インスタンスを構成します。 詳細については、「データベース エンジンへの暗号化接続の有効化」および「接続文字列の構文」をご覧ください。
ネットワーク接続または境界をセキュリティで保護する場合は、次の点を考慮してください。
このセクションでは、ディスク暗号化のガイダンスを提供しますが、推奨事項は、Azure VM に従来の SQL Server をデプロイするのか、Azure 機密 VM に SQL Server をデプロイするのかによって異なります。
Azure 機密 VM 以外の VM にデプロイされたマネージド ディスクでは、サーバー側の暗号化と Azure Disk Encryption を使用します。 サーバー側暗号化では、保存時の暗号化が提供され、組織のセキュリティおよびコンプライアンス要件を満たすようにデータが保護されます。 Azure Disk Encryption では、BitLocker または DM-Crypt テクノロジを使用し、Azure Key Vault と統合して OS とデータ ディスクの両方を暗号化します。
以下、具体例に沿って説明します。
Azure 機密 VM を使用する場合は、セキュリティ上の利点を最大限に活用するために、次の推奨事項を検討してください。
第 2 世代の仮想マシンをデプロイする場合は、高度で永続的な攻撃手法から保護する、トラステッド起動を有効にするオプションがあります。
トラステッド起動を使うと、以下が可能になります。
Azure VM で SQL Server に対してトラステッド起動を有効にする場合、次の機能は現在サポートされていません。
攻撃者に簡単にアカウント名やパスワードを推測されたくありません。 次のヒントを使用すると役立ちます。
Administratorという名前ではない一意のローカル管理者アカウントを作成します。
すべてのアカウントに複雑で強力なパスワードを使用します。 強力なパスワードを作成する方法の詳細については、「強力なパスワードを作成する」を参照してください。
既定で、Azure は SQL Server 仮想マシンのセットアップ中に Windows 認証を選択します。 そのため、 SA ログインは無効となり、パスワードはセットアップによって割り当てられます。 SA ログインは使用せず、有効にしないことをお勧めします。 SQL ログインが必要な場合は、次の方法のいずれかを使用します。
sysadmin メンバーシップを持つ SQL アカウントを一意の名前で作成します。 プロビジョニング中に SQL 認証を有効にすると、ポータルからこの操作を行うことができます。
ヒント
プロビジョニング中に SQL 認証を有効にしない場合は、認証モードを手動で [SQL Server 認証モードと Windows 認証モード] に変更する必要があります。 詳細については、「 サーバーの認証モードの変更」を参照してください。
SA ログインを使用する必要がある場合は、プロビジョニング後にログインを有効にし、新しい強力なパスワードを割り当てます。
注意
Microsoft Entra Domain Services を使用して SQL Server VM に接続することはサポートされていません。代わりに Active Directory ドメイン アカウントを使用してください。
Log Analytics を使用した監査では、イベントが文書化され、セキュリティで保護された Azure Blob Storage アカウントの監査ログに書き込まれます。 Log Analytics を使用すると、監査ログの詳細を解読できます。 監査により、データを別のストレージ アカウントに保存し、選択したすべてのイベントの監査証跡を作成することができます。 また、監査ログに対して Power BI を活用すると、データの迅速な分析と洞察を行うだけでなく、規制コンプライアンスのビューを提供することもできます。 VM レベルと Azure レベルでの監査の詳細については、「Azure のセキュリティ ログと監査」を参照してください。
マシンの管理ポートを閉じる - オープンなリモート管理ポートは、インターネットベースの攻撃による高いレベルのリスクに VM をさらしています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。
Azure Virtual Machine拡張機能は、信頼できる Microsoft またはサードパーティの拡張機能で、ウイルス対策、マルウェア、脅威保護などといった特定のニーズとリスクに対処する際に役立ちます。
Federal Information Processing Standards (FIPS) は、情報技術の製品やシステムに含まれる暗号化モジュールに関して最低限のセキュリティ要件を規定する米国政府の規格です。 FedRAMP や国防総省セキュリティ要件ガイドなど、米国政府の一部のコンプライアンス プログラムでは、FIPS 検証済み暗号化の使用が義務付けられています。
SQL Server は、SQL Server 2016 以降または拡張セキュリティ更新プログラムを適用した SQL Server 2014 で FIPS に準拠させることができます。
Azure VM 上の SQL Server を FIPS に準拠させるには、既定で FIPS が有効になっている Windows Server 2022 上に存在する必要があります。 Windows Server 2019 の場合は、セキュリティ技術実装ガイド (STIG) 項目 V-93511 で指定されたポリシーを使用して、FIPS を手動で有効化して FIPS に準拠させることもできます。
SQL Server は、現在 Linux Azure VM では FIPS に準拠していません。
SQL Server と Azure VM のセキュリティのベスト プラクティスを確認してからこの記事を確認して、Azure VM 上の SQL Server に特に当てはまるベストプラクティスを確認してください。
Azure VM での SQL Server の実行に関するその他のトピックについては、「Azure Virtual Machines における SQL Server の概要」をご覧ください。 SQL Server の仮想マシンに関するご質問については、よくあるご質問に関するページをご覧ください。
詳細については、このベスト プラクティス シリーズにある他の記事を参照してください。
トレーニング
モジュール
Azure 仮想マシンのディスクをセキュリティで保護する - Training
Azure Disk Encryption (ADE) で既存の仮想マシンと新しい仮想マシンの OS ディスクとデータ ディスクを暗号化するためのオプションを確認します。
認定資格
Microsoft Certified: Azure Database Administrator Associate - Certifications
Microsoft PaaS リレーショナル データベース オファリングを使用して、クラウド、オンプレミス、ハイブリッド リレーショナル データベースの SQL Server データベース インフラストラクチャを管理します。
ドキュメント
Azure VM 上で SQL Server をプロビジョニングする (Azure portal) - SQL Server on Azure VMs
この詳細ガイドでは、Azure portal を使用して Azure VM に SQL Server をデプロイするときに使用できる構成オプションについて説明します。
高可用性、ディザスター リカバリー、ビジネス継続性 - SQL Server on Azure VMs
Always On 可用性グループ、フェールオーバー クラスター インスタンス、データベース ミラーリング、ログ配布、Azure Storage へのバックアップと復元など、Azure VM 上の SQL Server で使用できる高可用性、ディザスター リカバリー (HADR)、およびビジネス継続性のオプションについて学習します。
PowerShell スクリプトを使用して SQL Server VM を作成する - SQL Server on Azure VMs
この記事では、Azure VM 上に SQL Server を作成するためのエンド ツー エンドの Azure PowerShell サンプル スクリプトを提供します。
