Azure のセキュリティは大丈夫? 安全性を高めるための4つの対策
目次[非表示]
- 1.Azure におけるセキュリティの概念
- 2.Azure を安全に利用するための4つの対策
- 2.1.①ネットワークを保護する
- 2.2.②認証や権限設定でアクセス制御を行う
- 2.3.③保存されたデータを保護する
- 2.4.④セキュリティの脅威を検出する仕組みを構築する
- 3.まとめ
Microsoft Azure(以下、Azure)は、マイクロソフト社が提供するクラウドサービスのことです。Microsoft Excel(※)・Microsoft Word(※)などの Office 製品をはじめ、さまざまなアプリケーションやグループウェアが利用できる Microsoft 365 との親和性も高く、業務に合わせて柔軟にデータ連携・統合を行えることが特徴です。
業務フローの改善や多様な働き方の実現に役立つと期待される Azure ですが、「安全性は大丈夫なのか」「どのようなセキュリティ対策を行っているのか」と気になる方もいるのではないでしょうか。
この記事では、Azure が提唱しているセキュリティの概念や安全性を高めるための対策について解説します。
なお、Azure の概要についてはこちらの記事で詳しく解説しています。併せてご確認ください。
※Microsoft Excel、Microsoft Word は、マイクロソフトグループの企業の商標です。
Azure におけるセキュリティの概念
マイクロソフト社では、Azure のクラウドサービスを提供するにあたってセキュリティの確保を最優先の課題として捉えており、安全性を確保するためのさまざまなサービス・機能を備えています。
また、国際基準の各種セキュリティ認定をクリアしていることに加えて、世界各国の専門家によって管理されているため、安全性は極めて高いといわれています。
Azure が提唱しているセキュリティの概念は、以下の3つです。
①多層防御
多層防御とは、複数の防御手段を併用してサイバー攻撃による脅威を防ぐ方法です。ある一つの防御層が攻撃によって突破された場合でも、別の防御層によって侵入を防止できるようになります。
▼Azure が展開する7つの多層防御
階層 |
項目 |
内容 |
第1層 |
物理セキュリティ層 |
設備全般を保護してデータセンターの施設内への
立ち入り制限などを行う
|
第2層 |
IDとアクセス層 |
アクセス管理を行い、権限を詳細に検査する |
第3層 |
ネットワーク境界層 |
サービスを妨害するネットワークの通信を検査する |
第4層 |
ネットワーク層 |
アクセス制御によって通信内容を検査する |
第5層 |
コンピューティング層 |
定期的にアップデートを行い脆弱性を改修する |
第6層 |
アプリケーション層 |
ファイアウォールによってアプリケーションへの
攻撃から保護する
|
第7層 |
データ層 |
クラウド上にあるデータを保護する |
②ゼロトラスト
ゼロトラストは、“すべてのアクセスを信用しない”という前提に基づいた新しいセキュリティ対策の考え方です。
従来のセキュリティでは、社内ネットワークが保護されていることを前提にセキュリティ対策を行っていました。Azure のゼロトラストセキュリティでは、安全性をネットワークの境界線で判断せずに、アクセスを行うたびに認証を要求する仕組みが取り入れられています。
ゼロトラストを実現するために、ネットワークやアクセス制御、ID管理、データの保護などのあらゆる領域で外部からの脅威を防御するさまざまなサービスが提供されています。
③共同責任モデル
共同責任モデルとは、プロバイダーに当たるマイクロソフト社とユーザーでセキュリティ対策に関する責任を明確に分担して定めたモデルのことです。
IaaS・PaaS・SaaSといったクラウドサービスの提供形態ごとに「どこまでの領域がユーザーの責任になるか」が定められてます。
ただし、以下の4点についてはどのようなサービス形態であってもユーザーが責任を負うことになります。
▼ユーザーの責任となる事項
- データ
- エンドポイント
- アカウント
- アクセス管理
なお、Azure のメリット・デメリットについてはこちらの記事で詳しく解説しています。併せてご確認ください。
Azure を安全に利用するための4つの対策
Azure には、セキュリティに関するさまざまなサービス・機能が備わっています。業務に使用する際は、これらのサービス・機能を活用して安全性を高めることが重要です。
①ネットワークを保護する
1つ目の対策は、ネットワークに対する保護です。
暗号化によって安全性の高い通信環境を構築したり、外部からの攻撃を防御する仕組みを構築したりしてネットワークを保護します。
Azure で提供されているネットワークを保護するためのサービスには、以下が挙げられます。
▼ネットワークを保護するための主なサービス
サービス |
内容 |
Azure VPN Gateway |
Azure 仮想ネットワークとオンプレミスの場所との間で暗号化されたトラフィックをパブリックインターネット経由で送信する |
Azure DDoS Protection |
DDoS 攻撃を監視して保護する |
Azure Firewall |
フィルタリングによって外部からの不正なアクセスを遮断する |
Azure Front Door |
Microsoft グローバル エッジ ネットワークを使用して、セキュリティで保護された高速でスケーラビリティの高い Web ページを作成・公開する |
②認証や権限設定でアクセス制御を行う
2つ目の対策は、アクセスの制御です。
クラウドサービスやデータへのアクセスを行う際には、認証または権限の設定を行い、不正なアクセスを防止することが必要といえます。
Azure には、クラウドサービスのID管理とアクセス制御を行える Azure Active Directory が備わっています。
▼Azure Active Directory の主な機能
機能 |
内容 |
多要素認証 |
ID・パスワードの認証をはじめとする複数の認証要素を2つ以上組み合わせて本人確認を行う |
シングルサインオン(SSO) |
一つのサービスでユーザー認証を行い、複数のシステムやアプリケーションを紐づけて利用できるようにする |
アクセス許可の割り当て |
ユーザーの役割に応じてリソースにアクセスする権限を付与・管理する(ロールベースのアクセス制御) |
③保存されたデータを保護する
3つ目の対策は、データの保護です。
Azure のクラウドサービスを用いて、企業や業務に関する重要なデータを保存・共有する場合には、データを保護するためのセキュリティ対策が必要です。
データを保護するサービスには、以下が挙げられます。
▼データを保護するための主なサービス
サービス |
内容 |
Azure Key Vault |
パスワードやデジタル証明書、API キーなどを用いてデータを保護する |
Azure Information Protection |
機密レベルに応じてファイルや電子メールの暗号化、権限の設定を行う |
Azure Storage Service Encryption |
データが保存される前にデータを自動で暗号化して、データを取得するときに自動で暗号化を解除する |
なお、Azure にはクラウド環境に保存された重要なデータを外部の攻撃から保護するためのバックアップサービスがあります。詳しくはこちらの記事をご確認ください。
④セキュリティの脅威を検出する仕組みを構築する
4つ目の対策は、セキュリティの脅威を検出する仕組みを構築することです。
外部からの攻撃や不正アクセスがあった際に迅速に対処を行うためには、セキュリティの脅威を検出して、通知・調査を行うことが重要です。
▼セキュリティの脅威を検出する主なサービス
サービス |
内容 |
Microsoft Defender for Cloud |
クラウド環境のあらゆるリソースを監視して脅威の検出とアラートの表示を行う |
Microsoft Sentinel |
ITインフラ・サービスのログとイベントデータを一元管理・分析して、脅威の検出と修復を行う |
Azure Network Watcher |
Azure 仮想ネットワーク内のリソースを監視・診断して分析を行い、ログの有効化または無効化を行う |
Azure AD Identity Protection |
クラウドサービスのIDと認証管理によって、リスクの検出と修復を行う |
まとめ
この記事では、Azure のセキュリティについて以下の内容を解説しました。
- Azure におけるセキュリティの概念
- Azure を安全に利用するための4つの対策
Azure では、多層防御やゼロトラスト、共同責任モデルによるセキュリティの概念に基づいた対策によって、クラウド環境の安全な通信基盤が確保されています。
より安全に利用するには、ネットワークの保護をはじめアクセスの制御、保存されたデータの保護、セキュリティの脅威を検出する仕組みづくりがカギとなります。
『 ez office 』では、Microsoft 365 と親和性の高い『 Azure の活用支援や移行サービス 』を提供しております。「Azure をスムーズに導入したい」「Azure のセキュリティ対策を強化したい」とお考えの方は、ぜひこちらからご相談ください。
