Azure で利用できるセキュリティ サービスとテクノロジ
現在と将来の Azure の顧客との話し合いで、"Azure で提供する必要のあるセキュリティ関連のすべてのサービスとテクノロジを一覧したリストはありますか ?" という質問を受けることがよくあります
クラウド サービス プロバイダーのオプションを評価している場合、この情報があると便利です。 そのために、開始時にお使いいただけるリストをご用意しました。
時間の経過と共に、このリストは Azure と同様に変更および増加します。 セキュリティ関連のサービスとテクノロジを最新の状態に維持するために、定期的にこのページを確認してください。
Azure の全般的なセキュリティ
| サービス | 説明 |
|---|---|
| Microsoft Defender for Cloud | ハイブリッド クラウド ワークロード全体でセキュリティ管理と高度な脅威保護を実現するクラウドのワークロードを保護するソリューションです。 |
| Microsoft Sentinel | スケーラブルなクラウドネイティブ ソリューションであり、インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に提供します。 |
| Azure Key Vault | パスワード、接続文字列およびアプリの動作に必要なその他の情報を格納するセキュリティで保護された機密データ ストアです。 |
| Azure Monitor ログ | アプリとリソースの操作の分析情報を提供する、製品利用統計情報およびその他のデータを収集する、クエリ言語および分析エンジンを提供する監視サービスです。 単独で使用することも、Defender for Cloud などのその他のサービスと共に使用することもできます。 |
| Azure Dev/Test Lab | 無駄を最小限に抑え、コストを管理しつつ、Azure で迅速に環境を作成するためのサポートを開発者とテスト担当者に提供するサービスです。 |
ストレージのセキュリティ
| サービス | 説明 |
|---|---|
| Azure Storage Service Encryption | Azure ストレージのデータを自動的に暗号化するセキュリティ機能です。 |
| Azure StorSimple Virtual Array | ハイパーバイザーで実行されるオンプレミスの仮想アレイと Microsoft Azure のクラウド ストレージとの間でストレージ タスクを管理する統合ストレージ ソリューション。 |
| BLOB のクライアント側暗号化 | 開発者が Azure Storage にアップロードする前にクライアント アプリケーション内のデータを暗号化し、クライアントにダウンロードするときにデータを復号化する作業を支援するクライアント側の暗号化ソリューション。 |
| Azure Storage Shared Access Signature | Shared Access Signature (SAS) を使用すると、ストレージ アカウント内のリソースへの委任アクセスが可能になります。 |
| Azure ストレージ アカウント キー | アカウント アクセス キーまたは Microsoft Entra アカウント (既定値) を使用して、ストレージ アカウントへの要求を承認するために使用される Azure Storage のアクセス制御方法。 |
| Azure Files 共有 | 業界標準のサーバー メッセージ ブロック (SMB) プロトコル、ネットワーク ファイル システム (NFS) プロトコル、Azure Files REST AP を介してアクセスできるクラウド内のフル マネージドのファイル共有を提供するストレージ セキュリティ テクノロジ。 |
| Azure Storage Analytics | ストレージ アカウントのデータのログとメトリックを生成するテクノロジです。 |
データベースのセキュリティ
| サービス | 説明 |
|---|---|
| Azure SQL ファイアウォール | データベースへのネットワーク経由の攻撃から保護するためのネットワークのアクセス制御機能です。 |
| Azure SQL 接続の暗号化 | SQL Database では、セキュリティを提供するために、IP アドレスで接続を制限するファイアウォール規則、ユーザーに ID の指定を要求する認証メカニズム、およびユーザーを特定の操作とデータに限定する承認メカニズムによって、アクセスを制御します。 |
| Azure SQL Always Encrypted | Azure SQL Database、Azure SQL Managed Instance、SQL Server データベースに格納された、クレジット カード番号や国民識別/地域識別番号 (米国の社会保障番号など) のような機密データを保護することを目的とした機能です。 |
| Azure SQL の透過的データ暗号化 | 保存データを暗号化することによって、Azure SQL Database、Azure SQL Managed Instance、Azure Synapse Analytics を悪意のあるオフライン アクティビティの脅威から保護するために役立つデータベース セキュリティ機能。 |
| Azure SQL Database 監査 | データベース イベントを追跡し、それらを Azure ストレージ アカウント、Log Analytics ワークスペース、または Event Hubs の監査ログに書き込む Azure SQL Database および Azure Synapse Analytics の監査機能。 |
| 仮想ネットワーク規則 | ファイアウォール セキュリティ機能であり、Azure SQL Database 内のデータベースおよびエラスティック プール用、または Azure Synapse Analytics 内の専用 SQL プール (旧称 SQL DW) データベース用のサーバーが、仮想ネットワーク内の特定のサブネットから送信される通信を許可するかどうかを制御します。 |
ID 管理とアクセス管理
| サービス | 説明 |
|---|---|
| Azure ロールベースのアクセス制御 | 組織内でのロールに基づき、必要なリソースのみにアクセスすることをユーザーに許可するアクセス制御機能です。 |
| Microsoft Entra ID | マルチテナント、クラウドベースのディレクトリ、Azure 内の複数の ID 管理サービスをサポートする、クラウドベースの ID およびアクセス管理サービス。 |
| Azure Active Directory B2C | Azure ベースのアプリケーションを使用する際に、顧客がサインアップ、サインイン、自身のプロファイルを管理する方法を制御できる顧客 ID アクセス管理 (CIAM) ソリューション。 |
| Microsoft Entra Domain Services | ドメイン参加、グループ ポリシー、ライトウェイト ディレクトリ アクセス プロトコル (LDAP)、Kerberos/NTLM 認証などのマネージド ドメイン サービスを提供する Active Directory Domain Services のクラウドベースのマネージド バージョン。 |
| Microsoft Entra 多要素認証 | セキュリティで保護された情報へのアクセスを許可する前に、いくつかの異なる認証および検証形式が使用されるセキュリティ対応の機能です。 |
バックアップと障害復旧
| サービス | 説明 |
|---|---|
| Azure Backup | Azure クラウドのデータをバックアップおよび復元するために使用される Azure ベースのサービスです。 |
| Azure Site Recovery | 物理マシンと仮想マシン (VM) で実行中のワークロードでエラーが発生した場合にその復旧を可能にする、プライマリ サイトからセカンダリ ロケーションにワークロードをレプリケートするオンライン サービスです。 |
ネットワーク
| サービス | 説明 |
|---|---|
| ネットワーク セキュリティ グループ | Azure 仮想ネットワーク内の Azure リソース間のネットワーク トラフィックをフィルター処理するためのネットワーク ベースのアクセス制御機能。 |
| Azure VPN Gateway | Azure Virtual Network へのクロスプレミス アクセスを許可する VPN エンドポイントとして使用されるネットワーク デバイスです。 |
| Azure Application Gateway | Web トラフィックの高度なロード バランサーです。これにより、Web アプリケーションへのトラフィックを管理できるようになります。 |
| Web アプリケーション ファイアウォール (WAF) | 一般的な悪用や脆弱性からの Web アプリケーションの一元的な保護を提供する機能 |
| Azure Load Balancer | TCP/UDP アプリケーション ネットワーク ロード バランサーです。 |
| Azure ExpressRoute | 接続プロバイダーが提供するプライベート接続を介して、オンプレミスのネットワークを Microsoft クラウドに拡張できる機能。 |
| Azure の Traffic Manager | DNS ベースのトラフィック ロード バランサー。 |
| Microsoft Entra アプリケーション プロキシ | オンプレミスの Web アプリケーションへのリモート アクセスをセキュリティで保護するために使用される認証フロントエンド。 |
| Azure Firewall | Azure で実行されているクラウド ワークロードに脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービスです。 |
| Azure DDoS Protection | アプリケーション設計のベスト プラクティスと組み合わせることにより、DDoS 攻撃に対する防御が提供されます。 |
| 仮想ネットワーク サービス エンドポイント | Azure のバックボーン ネットワーク上で最適化されたルートを介して、Azure サービスへの安全で直接的な接続を提供します。 |
| Azure Private Link | お使いの仮想ネットワーク内のプライベート エンドポイント経由で Azure PaaS サービス (Azure Storage、SQL Database など) と Azure でホストされている顧客所有の、またはパートナーのサービスにアクセスできるようになります。 |
| Azure Bastion | ブラウザーと Azure portal を使用して、またはローカル コンピューターに既にインストールされているネイティブ SSH または RDP クライアントを介して仮想マシンに接続できるように、ユーザーがデプロイするサービス。 |
| Azure Front Door | Wet アプリケーションの保護機能が提供されます。この機能を使用することで、SQL インジェクションやクロス サイト スクリプティング (XSS) のようなネットワーク攻撃および一般的な Web の脆弱性の悪用からご利用の Web アプリケーションを保護できます。 |
次のステップ
Azure のエンド ツー エンドのセキュリティと、ビジネスのセキュリティ ニーズを満たし、クラウド内のユーザー、デバイス、リソース、データ、アプリケーションを保護するのに Azure サービスがどのように役立つかについて学習します。