この記事では、Azure Monitor を安全にデプロイする手順と、Microsoft が Azure Monitor をセキュリティで保護する方法について説明します。
ログ インジェストとストレージ
ニーズに基づいてワークスペース内のデータへのアクセスを許可する
- ワークスペースのアクセス制御モードを [ リソースまたはワークスペースのアクセス許可を使用 する] に設定すると、リソース所有者は、ワークスペースへの明示的なアクセス権を付与されることなく 、リソース コンテキスト を使用してデータにアクセスできるようになります。 これにより、ワークスペースの構成が簡略化され、ユーザーが必要なデータにのみアクセスできるようになります。
手順: Log Analytics ワークスペースへのアクセスを管理する - 適切な組み込みロールを割り当てて、責任の範囲に応じて、サブスクリプション、リソース グループ、またはワークスペース レベルで管理者にワークスペースのアクセス許可を付与します。
手順: Log Analytics ワークスペースへのアクセスを管理する - 複数のリソースにまたがる一連のテーブルへのアクセスを必要とするユーザーに対して、テーブル レベルの RBAC を適用します。 テーブルのアクセス許可を持つユーザーは、リソースのアクセス許可に関係なく、テーブル内のすべてのデータにアクセスできます。
手順: Log Analytics ワークスペースへのアクセスを管理する
トランスポート層セキュリティ (TLS) 1.2 以降を使用してワークスペースにデータを送信する
エージェント、コネクタ、またはログ API を使用してワークスペースにデータを 照会 または 送信 する場合は、トランスポート層セキュリティ (TLS) 1.2 以降を使用して転送中のデータのセキュリティを確保します。 以前のバージョンの TLS と Secure Sockets Layer (SSL) には脆弱性があり、下位互換性を実現するために引き続き機能する可能性はありますが、 推奨されておらず、業界はこれらの古いプロトコルのサポートをすぐに中止するように移行しました。
PCI Security Standards Council は、古いバージョンの TLS/SSL を無効にし、より安全なプロトコルにアップグレードするために、2018 年 6 月 30 日の期限を設定しました。 Azure がレガシ サポートを削除すると、エージェントが TLS 1.2 以上で通信できない場合、Azure Monitor ログにデータを送信できなくなります。
必要な場合を除き、TLS 1.2 のみを 使用するようにエージェント、データ コネクタ、または API アプリケーションを明示的に構成しないでください。 将来のセキュリティ標準を自動的に検出、ネゴシエート、利用できるようにすることをお勧めします。 そうしないと、新しい標準によるセキュリティ強化が使用できなくなり、TLS 1.2 が廃止され、新しい標準が採用されたときに、問題が発生する可能性があります。
重要
2025 年 7 月 1 日に、 Azure 全体のレガシ TLS の廃止に合わせて、Azure Monitor ログの TLS 1.0/1.1 プロトコル バージョンが廃止されます。 クラス最高の暗号化を提供するために、Azure Monitor ログでは、選択した暗号化メカニズムとしてトランスポート層セキュリティ (TLS) 1.2 および 1.3 が使用されます。
従来の TLS の問題に関する一般的な質問や、サポートされている暗号スイートのテスト方法については、 TLS の問題の解決 と Azure Resource Manager TLS サポートに関するページを参照してください。
ログ クエリの監査を設定する
- ログ クエリ監査を構成して、ワークスペースで実行される各クエリの詳細を記録します。
手順: Azure Monitor ログのクエリを監査する - ログ クエリ監査データをセキュリティ データとして扱い、 LAQueryLogs テーブルへの安全なアクセスを適切に処理します。
手順: ニーズに基づいてワークスペース内のデータへのアクセスを構成します。 - 運用データとセキュリティ データを分離する場合は、各ワークスペースの監査ログをローカル ワークスペースに送信するか、専用のセキュリティ ワークスペースに統合します。
手順: ニーズに基づいてワークスペース内のデータへのアクセスを構成します。 - Log Analytics ワークスペースの分析情報を使用して、ログ クエリの監査データを定期的に確認します。
手順: Log Analytics ワークスペースの分析情報。 - 承認されていないユーザーがクエリを実行しようとしている場合に通知するログ検索アラート ルールを作成します。
手順: ログ検索アラート ルール。
監査データの不変性を確保する
Azure Monitor は追加専用のデータ プラットフォームですが、コンプライアンスのためにデータを削除するためのプロビジョニングが含まれています。 監査データをセキュリティで保護するには:
Log Analytics ワークスペースにロックを設定して、消去、テーブルの削除、テーブルレベルまたはワークスペース レベルのデータ保有期間の変更など、データを削除できるすべてのアクティビティをブロックします。 ただし、このロックは削除できることに注意してください。
手順: リソースをロックしてインフラストラクチャを保護する完全な改ざん防止ソリューションが必要な場合は、変更 できないストレージ ソリューションにデータをエクスポートすることをお勧めします。
- エクスポートする必要がある特定のデータ型を決定します。 すべてのログの種類が、コンプライアンス、監査、またはセキュリティに同じ関連性を持つわけではありません。
- データ エクスポートを使用して、Azure ストレージ アカウントにデータを送信します。
手順: Azure Monitor での Log Analytics ワークスペースデータのエクスポート - 不変ポリシーを設定して、データの改ざんから保護します。
手順: BLOB バージョンの不変ポリシーを構成する
ワークスペース内の機密データをフィルター処理または難読化する
ログ データに 機密情報が含まれている場合:
- 特定のデータ ソースの構成を使用して、収集すべきでないレコードをフィルター処理します。
- データ内の特定の列のみを削除または難読化する必要がある場合は、変換を使用します。
手順: Azure Monitor での変換 - 元のデータを変更しない必要がある標準がある場合は、KQL クエリで 'h' リテラルを使用して、ブックに表示されるクエリ結果を難読化します。
手順: 難読化文字列リテラル
誤って収集された機密データを消去する
- ワークスペースで誤って収集される可能性のあるプライベート データを定期的に確認します。
- 不要なデータを削除するには、 データ消去 を使用します。 補助プランを持つテーブル内のデータは、現在削除できないことに注意してください。
手順: Azure Monitor ログと Application Insights での個人データの管理
セキュリティ強化のためにワークスペースを専用クラスターにリンクする
Azure Monitor では、Microsoft マネージド キー (MMK) を使用して、すべての保存データと保存済みのクエリが暗号化されます。 専用クラスターに対して十分なデータを収集する場合は、次のような強化されたセキュリティ機能のためにワークスペースを専用クラスターにリンクします。
- 柔軟性とキー ライフサイクル制御を強化するためのカスタマー マネージド キー。 Microsoft Sentinel を使用している場合は、「Microsoft Sentinel のカスタマー マネージド キーの設定」の考慮事項をよく理解しておいてください。
- 顧客データ アクセス要求を確認および承認または拒否するための Microsoft Azure のカスタマー ロックボックス。 カスタマー ロックボックスは、お客様から開始されたサポート チケットまたは Microsoft によって特定された問題に対応しているかどうかにかかわらず、Microsoft のエンジニアが顧客データにアクセスする必要がある場合に使用されます。 ロックボックスは現在、Auxiliary プランを使用したテーブルには適用できません。
手順: Azure Monitor ログで専用クラスターを作成および管理する
Azure プライベート リンクを使用してパブリック ネットワークからのワークスペース アクセスをブロックする
Microsoft は、エンド ツー エンドの暗号化を使用してパブリック エンドポイントへの接続をセキュリティで保護します。 プライベート エンドポイントが必要な場合は、 Azure プライベート リンク を使用して、リソースが承認されたプライベート ネットワークを介して Log Analytics ワークスペースに接続できるようにします。 プライベート リンクを使用して、ExpressRoute または VPN を介してワークスペースデータの取り込みを強制することもできます。
手順: Azure Private Link のセットアップを設計する
Application Insights TLS インジェスト
サポートされる TLS 構成
Application Insights では、トランスポート層セキュリティ (TLS) 1.2 と 1.3 が使用されます。 さらに、各バージョンでは、以下の暗号スイートと楕円曲線もサポートされます。
| バージョン | 暗号スイート | 楕円曲線 |
|---|---|---|
| TLS 1.2 | • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
• NistP384 • NistP256 |
| TLS 1.3 | • TLS_AES_256_GCM_SHA384 • TLS_AES_128_GCM_SHA256 |
• NistP384 • NistP256 |
トランスポート層セキュリティ (TLS) 構成の非推奨化
重要
セキュリティを強化するために、Azure では、Application Insights の次の TLS 構成は 2025 年 5 月 1 日に廃止されます。 この変更は、 Azure 全体のレガシ TLS 廃止の一部です。
- TLS 1.0 および TLS 1.1 プロトコル バージョン
- 従来の TLS 1.2 および TLS 1.3 暗号スイート
- 従来の TLS 楕円曲線
TLS 1.0 と TLS 1.1
TLS 1.0 と TLS 1.1 は廃止されます。
TLS 1.2 と TLS 1.3
| バージョン | 暗号スイート | 楕円曲線 |
|---|---|---|
| TLS 1.2 | • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA • TLS_RSA_WITH_AES_256_GCM_SHA384 • TLS_RSA_WITH_AES_128_GCM_SHA256 • TLS_RSA_WITH_AES_256_CBC_SHA256 • TLS_RSA_WITH_AES_128_CBC_SHA256 • TLS_RSA_WITH_AES_256_CBC_SHA • TLS_RSA_WITH_AES_128_CBC_SHA |
• curve25519 |
| TLS 1.3 | • curve25519 |
詳細については、 Application Insights の FAQ での TLS サポートを参照してください。
アラート
マネージド ID を使用してログ検索アラート ルールのアクセス許可を制御する
開発者にとって一般的な課題は、サービス間の通信をセキュリティで保護するために使用されるシークレット、資格情報、証明書、およびキーの管理です。 マネージド ID を使用すると、開発者はこれらの資格情報を管理する必要がなくなります。 ログ検索アラート ルールにマネージド ID を設定すると、アラート ルールの正確なアクセス許可を制御および把握できます。 いつでも、ルールのクエリアクセス許可を表示し、そのマネージド ID に対するアクセス許可を直接追加または削除できます。
ルールのクエリが Azure Data Explorer (ADX) または Azure Resource Graph (ARG) にアクセスする場合は、マネージド ID の使用が必要です。
構成特権を必要としないすべてのユーザーに監視閲覧者ロールを割り当てる
ユーザーにロールに必要な最小限の特権を付与することで、セキュリティを強化します。
手順: Azure Monitor のロール、アクセス許可、セキュリティ。
セキュリティで保護された Webhook アクションを可能な限り使用する
アラート ルールに Webhook アクションを使用するアクション グループが含まれている場合は、セキュリティで保護された Webhook アクションを使用して認証を強化することをお選びください。
手順: Secure webhook の認証を構成します。
ワークスペース内のデータと保存されたクエリを保護するために独自の暗号化キーが必要な場合は、カスタマー マネージド キーを使用します。
Azure Monitor は、Microsoft マネージド キー (MMK) を使用して、保存されているすべてのデータと保存されたクエリを暗号化します。 独自の暗号化キーを必要とし、専用クラスターに十分なデータを収集する場合は、カスタマー マネージド キーを使用して、柔軟性とキーのライフサイクル制御を強化します。
手順: カスタマー マネージド キー。
Microsoft Sentinel を使用する場合は、「Microsoft Sentinel カスタマー マネージド キーの設定」を参照してください。
仮想マシンの監視
Azure セキュリティ サービスを使用して VM のセキュリティ監視を実装する
Azure Monitor は VM からセキュリティ イベントを収集できますが、セキュリティ監視に使用することを意図したものではありません。 Azure には、完全なセキュリティ監視ソリューションを提供する Microsoft Defender for Cloud や Microsoft Sentinel などの複数のサービスが含まれています。 これらのサービスの比較については、セキュリティの監視を参照してください。
Azure プライベート リンクを使用してプライベート エンドポイント経由で VM を Azure Monitor に接続する
Microsoft は、エンド ツー エンドの暗号化を使用してパブリック エンドポイントへの接続をセキュリティで保護します。 プライベート エンドポイントが必要な場合は、 Azure プライベート リンク を使用して、リソースが承認されたプライベート ネットワークを介して Log Analytics ワークスペースに接続できるようにします。 プライベート リンクを使用して、ExpressRoute または VPN を介してワークスペースデータの取り込みを強制することもできます。
手順: Azure Private Link のセットアップを設計する
コンテナー監視
マネージド ID 認証を使用してクラスターを Container insights に接続する
マネージド ID 認証 は、新しいクラスターの既定の認証方法です。 レガシ認証を使用している場合は、マネージド ID に移行して、証明書ベースのローカル認証を削除します。
手順: マネージド ID 認証に移行する
Azure プライベート リンクを使用してプライベート エンドポイントを介してクラスターから Azure Monitor にデータを送信する
Prometheus 用の Azure マネージド サービスは、既定でパブリック エンドポイントを使用する Azure Monitor ワークスペースにデータを格納します。 Microsoft は、エンド ツー エンドの暗号化を使用してパブリック エンドポイントへの接続をセキュリティで保護します。 プライベート エンドポイントが必要な場合は、 Azure プライベート リンク を使用して、クラスターが承認されたプライベート ネットワークを介してワークスペースに接続できるようにします。 プライベート リンクを使用して、ExpressRoute または VPN 経由でワークスペース データを強制的に取り込むこともできます。
手順: プライベート リンク用にクラスターを構成する方法の詳細については、 Azure Monitor での Kubernetes 監視 のプライベート リンクの有効化に関するページを参照してください。 プライベート リンクを使用したデータのクエリの詳細については、「マネージド Prometheus と Azure Monitor ワークスペースにプライベート エンドポイントを使用する」を参照してください。
トラフィック分析を使用してクラスターとの間のネットワーク トラフィックを監視する
トラフィック分析では、Azure Network Watcher NSG のフロー ログを分析して、Azure クラウドでのトラフィック フローに関する分析情報を提供します。 このツールを使用して、クラスターのデータ流出がないことを確かめ、不要なパブリック IP が公開されているかどうかを検出します。
ネットワーク監視を有効にする
AKS のNetwork Observability アドオンでは、Kubernetes ネットワーク スタック内の複数のレイヤーにわたって監視することができます。 クラスター内のサービス間のアクセス (東西トラフィック) を監視および観察します。
手順: Azure Kubernetes Service (AKS) の Container Network Observability を設定する
Log Analytics ワークスペースをセキュリティで保護する
コンテナー分析情報は、Log Analytics ワークスペースにデータを送信します。 Log Analytics ワークスペース内のログ インジェストとストレージをセキュリティで保護してください。
手順: ログの取り込みと保存。
Microsoft が Azure Monitor をセキュリティで保護する方法
この記事の手順は、 Microsoft のセキュリティ責任モデルに基づきます。 Microsoft は、共有責任のこのモデルの一環として、Azure Monitor のお客様に次のセキュリティ対策を提供しています。
- Azure インフラストラクチャのセキュリティ
- Azure での顧客データの保護
- データ インジェスト中に転送されるデータの暗号化
- Microsoft マネージド キーを使用した保存データの暗号化
- データ プレーン アクセス用の Microsoft Entra 認証
- マネージド ID を使用した Azure Monitor エージェントと Application Insights の認証
- ロールベースのアクセス制御 (Azure RBAC) を使用したデータ プレーン アクションへの特権アクセス
- 業界標準と規制のコンプライアンス
Azure のセキュリティ ガイダンスとベスト プラクティス
Azure Monitor のセキュリティで保護されたデプロイ手順は、次のような Azure の包括的なクラウド セキュリティ ガイドラインとベスト プラクティスに基づいており、一貫性があります。
- クラウド導入フレームワーク。テクノロジ インフラストラクチャを管理するチームにセキュリティ ガイダンスを提供します。
- Azure Well-Architected Framework。セキュリティで保護されたアプリケーションを構築するためのアーキテクチャのベスト プラクティスを提供します。
- Microsoft クラウド セキュリティ ベンチマーク (MCSB)。使用可能なセキュリティ機能と推奨される最適な構成について説明しています。
- ゼロ トラストのセキュリティ原則。セキュリティ チームがゼロ トラストのモダン化イニシアチブをサポートするための技術的な機能を実装するためのガイダンスを提供します。
次のステップ
- Azure Monitor の概要について詳しくは、こちらをご覧ください。