Azure で運用可能なセキュリティに関するベスト プラクティス

この記事では、Azure 内のデータ、アプリケーション、その他の資産を保護するための運用可能な一連のベスト プラクティスについて説明します。

これらのベスト プラクティスは、集約された意見に基づくものであり、Azure プラットフォームの最新の機能に対応しています。 人の考えやテクノロジは時間の経過と共に変化するため、この記事は、それらの変化が反映されるように定期的に更新されます。

強力で運用可能なセキュリティに関するプラクティスの定義とデプロイ

Azure で運用可能なセキュリティとは、ユーザーが Azure 内のデータ、アプリケーション、その他の資産を保護するために使用できる、サービス、コントロール、機能を指します。 Azure 運用セキュリティは、セキュリティ 開発ライフサイクル (SDL)、 Microsoft Security Response Center プログラム、サイバーセキュリティの脅威に対する深い認識など、Microsoft 固有の機能によって得られた知識を組み込んだフレームワークに基づいて構築されています。

ユーザーに多要素認証を適用する

すべてのユーザーに対して 2 段階認証を要求することをお勧めします。 これには、組織内の管理者およびアカウントが侵害された場合に重大な影響を及ぼす可能性のあるその他のユーザー (財務担当者など) が含まれます。

2 段階認証を要求するオプションは複数あります。 最適なオプションは、目的、実行している Microsoft Entra エディション、ライセンス プログラムによって異なります。 ユーザーが最適なオプションを判断するために 2 段階認証を要求する方法を参照してください。 ライセンスと価格の詳細については、 Microsoft Entra ID と Microsoft Entra Multifactor Authentication の価格に関するページを参照してください。

2 段階認証を有効にするオプションと利点を次に示します。

オプション 1: Microsoft Entra セキュリティの既定値 特典を使用して、すべてのユーザーとログイン方法に対して MFA を有効にする: このオプションを使用すると、環境内のすべてのユーザーに対して、以下に対する厳格なポリシーを使用して MFA を簡単かつ迅速に適用できます。

• 管理者アカウントと管理ログオン メカニズムにチャレンジします
• すべてのユーザーに Microsoft Authenticator 経由の MFA チャレンジを要求します
• レガシ認証プロトコルを制限します。

この方法はすべてのライセンス レベルで使用できますが、既存の条件付きアクセス ポリシーと併用することはできません。 詳細については、Microsoft Entra のセキュリティの既定値に関するページを参照してください。

オプション 2: ユーザーの状態を変更して多要素認証を有効にする。
利点: これは、2 段階認証を必要とする従来の方法です。 クラウドでの Microsoft Entra 多要素認証と Azure Multi-Factor Authentication Server の両方で機能します。 この方法を使用すると、ユーザーはサインインするたびに 2 段階認証を実行するよう求められ、条件付きアクセス ポリシーがオーバーライドされます。

多要素認証を有効にする必要がある場所を決定するには、「 組織に適した Microsoft Entra 多要素認証のバージョン」を参照してください。

オプション 3: 条件付きアクセス ポリシーを使用して多要素認証を有効にする。 利点: このオプションを使用すると、 条件付きアクセスを使用して、特定の条件下で 2 段階認証を求められます。 特定の条件としては、異なる場所、信頼されていないデバイス、または危険と見なされるアプリケーションからのユーザーのサインインを指定できます。 2 段階認証を要求する特定の条件を定義すると、要求のメッセージがユーザーに繰り返し表示されないようにすることができます。このようなメッセージは、不快なユーザー エクスペリエンスとなり得ます。

これは、ユーザーの 2 段階認証を有効にするうえで最も柔軟性の高い手段です。 条件付きアクセス ポリシーを有効にする方法は、クラウド内の Microsoft Entra 多要素認証に対してのみ機能します。これは、Microsoft Entra ID のプレミアム機能です。 この方法の詳細については、「 クラウドベースの Microsoft Entra 多要素認証をデプロイする」を参照してください。

オプション 4: リスクベースの条件付きアクセス ポリシーを評価して、条件付き アクセス ポリシーで多要素認証を有効にする。
利点: このオプションを使用すると、次のことが可能になります。

• 組織の ID に影響する潜在的な脆弱性を検出します。
• 組織の ID に関連する検出された疑わしいアクションに対する自動応答を構成します。
• 疑わしいインシデントを調査し、適切なアクションを実行して解決します。

この方法では、Microsoft Entra ID Protection のリスク評価を使用して、すべてのクラウド アプリケーションのユーザーおよびサインインのリスクに基づいて 2 段階認証が要求されるかどうかを判断します。 この方法を使用するには、Microsoft Entra ID P2 ライセンスが必要です。 この方法の詳細については、 Microsoft Entra ID Protection を参照してください。

2 段階認証などの新しい ID 保護レイヤーを追加しない組織は、資格情報盗用攻撃を受けやすくなります。 資格情報盗用攻撃はデータの侵害につながる可能性があります。

ユーザー パスワードの管理と監視

次の表に、ユーザー パスワードの管理に関連するベスト プラクティスをいくつか示します。

ベスト プラクティス: クラウドに適切なレベルのパスワード保護があることを確認します。
詳細: Microsoft パスワード ガイダンスのガイダンスに従います。これは、Microsoft ID プラットフォーム (Microsoft Entra ID、Active Directory、および Microsoft アカウント) のユーザーを対象としています。

ベスト プラクティス: ユーザー アカウントに関連する疑わしいアクションを監視します。
詳細: Microsoft Entra セキュリティ レポートを使用して、危険な状態の ユーザー と 危険なサインイン を監視します。

ベスト プラクティス: リスクの高いパスワードを自動的に検出して修復します。
詳細: Microsoft Entra ID Protection は、以下を可能にする Microsoft Entra ID P2 エディションの機能です。

• 組織の ID に影響する潜在的な脆弱性を検出する
• 組織の ID に関連する検出された疑わしいアクションに対する自動応答を構成する
• 疑わしいインシデントを調査し、適切なアクションを実行して解決する

Microsoft からインシデント通知を受け取る

セキュリティ運用チームが Microsoft からの Azure インシデント通知を必ず受け取るようにしてください。 セキュリティ チームはインシデント通知により侵害された Azure リソースの存在を知ることができるため、潜在的なセキュリティ リスクに素早く対応して修復することができます。

Azure の登録ポータルで、管理者の連絡先情報にセキュリティ操作を通知する詳細を確実に含めることができます。 連絡先情報は、電子メール アドレスと電話番号です。

Azure サブスクリプションを管理グループに整理する

組織に多数のサブスクリプションがある場合は、これらのサブスクリプションのアクセス、ポリシー、およびコンプライアンスを効率的に管理する方法が必要になることがあります。 Azure 管理グループ は、サブスクリプションを超えるレベルのスコープを提供します。 管理グループと呼ばれるコンテナーにサブスクリプションを整理して、管理グループに管理条件を適用できます。 管理グループ内のすべてのサブスクリプションは、管理グループに適用された条件を自動的に継承します。

管理グループとサブスクリプションの柔軟な構造をディレクトリに構築することができます。 各ディレクトリには、ルート管理グループと呼ばれる 1 つの最上位管理グループがあります。 このルート管理グループは階層に組み込まれており、すべての管理グループとサブスクリプションはルート管理グループにまとめられます。 ルート管理グループを使用すると、グローバル ポリシーと Azure ロールの割り当てをディレクトリ レベルで適用できます。

管理グループの使用に関するベスト プラクティスを次にいくつか示します。

ベスト プラクティス: 新しいサブスクリプションが追加されると、ポリシーやアクセス許可などのガバナンス要素が確実に適用されるようにします。
詳細: ルート管理グループを使用して、すべての Azure 資産に適用されるエンタープライズ全体のセキュリティ要素を割り当てます。 要素の例としては、ポリシーやアクセス許可があります。

ベスト プラクティス: 管理グループの最上位レベルをセグメント化戦略に合わせて調整し、各セグメント内の制御とポリシーの一貫性のポイントを提供します。
詳細: ルート管理グループの下に、セグメントごとに 1 つの管理グループを作成します。 ルートの下に他の管理グループは作成しないでください。

ベスト プラクティス: 運用とセキュリティの両方を妨げる混乱を避けるために、管理グループの深さを制限します。
詳細: 階層をルートを含む 3 つのレベルに制限します。

ベスト プラクティス: ルート管理グループを使用して、企業全体に適用する項目を慎重に選択します。
詳細: ルート管理グループ要素をすべてのリソースに適用する必要があり、影響が小さいことを確認します。

適切な候補は次のとおりです。

• 明確な事業影響のある規制要件 (たとえば、データ主権に関連する制限)
• 慎重にレビューされた audit 効果のあるポリシーや Azure RBAC アクセス許可割り当てなど、運用に関する潜在的なマイナスの影響がほぼない要件

ベスト プラクティス: ルート管理グループ (ポリシー、Azure RBAC モデルなど) を適用する前に、すべてのエンタープライズ全体の変更を慎重に計画し、テストします。
詳細: ルート管理グループの変更は、Azure 上のすべてのリソースに影響する可能性があります。 企業全体にわたる一貫性を確保する強力な方法が提供される一方で、エラーや不適切な使用によって実稼働運用にマイナスの影響が発生する可能性があります。 テスト ラボまたは運用パイロットで、ルート管理グループに対するすべての変更をテストします。

ブループリントの使用による環境の作成の簡素化

Azure Blueprints サービスを使用すると、クラウド アーキテクトと中央情報テクノロジ グループは、組織の標準、パターン、要件を実装して準拠する反復可能な Azure リソースのセットを定義できます。 Azure Blueprint を使用すると、開発チームは一連の組み込みコンポーネントを使用し、組織のコンプライアンスに従ってこれらの環境を作成しているという自信を持って、新しい環境を迅速に構築して立ち上げることができます。

予期しない動作変化の記憶域サービスを監視します。

クラウド環境でホストされる分散型アプリケーションの問題の診断およびトラブルシューティングは、従来の環境よりも複雑になる可能性があります。 アプリケーションは、PaaS や IaaS インフラストラクチャ、オンプレミス、モバイル デバイス、これらの環境を組み合わせたものにデプロイできます。 アプリケーションのネットワーク トラフィックがパブリックとプライベート ネットワークを走査可能性があり、アプリケーションが複数の記憶域テクノロジを使用して可能性があります。

アプリケーションが動作 (低速の応答時間) などの予期しない変更を使用するストレージ サービスを継続的に監視する必要があります。 詳細なデータを収集して、問題を徹底的に分析するログを使用します。 監視とログの両方から得られた診断情報を基に、アプリケーションで発生した問題の根本原因を特定できます。 そして、問題をトラブルシューティングし、問題を修復する適切な手順を決定できます。

Azure Storage Analytics は ログ記録を実行し、Azure ストレージ アカウントのメトリック データを提供します。 このデータを使用して、要求のトレース、使用傾向の分析、ストレージ アカウントの問題の診断をすることをお勧めします。

脅威の防止、検出、および対応

Microsoft Defender for Cloud は、Azure リソースのセキュリティに対する可視性の向上 (および制御) を提供することで、脅威の防止、検出、対応を支援します。 これにより、Azure サブスクリプション全体に統合セキュリティの監視とポリシーの管理を提供し、気付かない可能性がある脅威を検出し、さまざまなセキュリティ ソリューションと連動します。

Free レベルの Defender for Cloud では、Azure 内のリソースと、Azure 外部の Arc 対応リソースに対して限定的なセキュリティが提供されます。 強化されたセキュリティ機能は、これらの機能を拡張して、脅威と脆弱性の管理と規制コンプライアンス レポートを組み込みます。 Defender for Cloud のプランを使用すると、セキュリティの脆弱性を検出して修正し、悪意のあるアクティビティをブロックするためにアクセスとアプリケーション制御を適用し、分析とインテリジェンスを使用して脅威を検出し、攻撃を受けたときにすばやく対応できます。 Defender for Cloud Standard は、最初の 30 日間無料で試用できます。 Defender for Cloud の Azure サブスクリプションで強化されたセキュリティ機能を有効にすることをお勧めします。

Defender for Cloud を使用して、独自のデータ センター、Azure、およびその他のクラウド内でお使いのすべてのリソースのセキュリティ状態の一元的なビューを実現できます。 セキュリティの制御が適切かつ正しく構成されているかを一目で確認し、注意が必要なリソースを素早く特定できます。

Defender for Cloud は、包括的なエンドポイント検出と応答 (EDR) 機能を提供する Microsoft Defender for Endpoint とも統合されています。 Microsoft Defender for Endpoint を統合することで、異常を発見し、脆弱性を検出できます。 また、Defender for Cloud によって監視されているサーバー エンドポイントに対する高度な攻撃を検出して対応することもできます。

ほぼすべてのエンタープライズ組織には、多様なシグナル収集デバイスからログ情報を統合することで新たな脅威を識別することに役立つ、セキュリティ情報およびイベント管理 (SIEM) システムがあります。 ログはその後データ分析システムにより分析され、すべてのログ収集および分析ソリューションで避けることのできないノイズから、"興味を引く" ものが何であるかを識別するのに役立ちます。

Microsoft Sentinel は、スケーラブルなクラウドネイティブのセキュリティ情報およびイベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Microsoft Sentinel では、アラートの検出、脅威の可視性、予防的な捜索、および脅威への自動対応により、インテリジェントなセキュリティ分析と脅威インテリジェンスが提供されます。

脅威に対する保護、検出、および対応に関するベスト プラクティスを次にいくつか示します。

ベスト プラクティス: クラウドベースの SIEM を使用して、SIEM ソリューションの速度とスケーラビリティを向上させます。
詳細: Microsoft Sentinel の機能を調査し、それらをオンプレミスで現在使用しているものの機能と比較します。 Microsoft Sentinel が組織の SIEM 要件を満たしている場合は、採用を検討してください。

ベスト プラクティス: 調査に優先順位を付けることができるように、最も深刻なセキュリティの脆弱性を見つけます。
詳細: Azure のセキュリティ スコア を確認して、Microsoft Defender for Cloud に組み込まれている Azure のポリシーとイニシアティブに起因する推奨事項を確認します。 これらの推奨事項は、セキュリティ更新プログラム、エンドポイント保護、暗号化、セキュリティ構成、WAF の欠落、インターネットに接続された VM など、最大の危険への対応に役立ちます。

Center for Internet Security (CIS) コントロールを基にしたセキュリティ スコアにより、組織の Azure セキュリティを外部ソースに対してベンチマークすることができます。 外部検証は、チームのセキュリティ戦略を検証し強化することに役立ちます。

ベスト プラクティス: マシン、ネットワーク、ストレージおよびデータ サービス、アプリケーションのセキュリティ体制を監視して、潜在的なセキュリティの問題を検出して優先順位を付けます。
詳細: 最も優先度の高い項目を使用して、Defender for Cloud の セキュリティに 関する推奨事項に従います。

ベスト プラクティス: Defender for Cloud アラートをセキュリティ情報およびイベント管理 (SIEM) ソリューションに統合します。
詳細: SIEM を使用するほとんどの組織は、アナリストの対応を必要とするセキュリティ アラートの中央クリアリング ハウスとして使用します。 Defender for Cloud によって生成された処理済みイベントは、Azure Monitor で利用可能なログの 1 つである Azure アクティビティ ログに発行されます。 Azure Monitor では、任意の監視データを SIEM ツールにルーティングするための統合パイプラインが提供されています。 手順については、 SIEM、SOAR、または IT サービス管理ソリューションへのアラートのストリーム配信 に関する記事を参照してください。 Microsoft Sentinel を使用している場合は、「 Microsoft Defender for Cloud の接続」を参照してください。

ベスト プラクティス: Azure ログを SIEM と統合する。
詳細: Azure Monitor を使用してデータを収集およびエクスポートします。 この方法はセキュリティ インシデントの調査を可能にするために重要であり、オンライン ログのリテンションは制限されます。 Microsoft Sentinel を使用している場合は、「 データ ソースの接続」を参照してください。

ベスト プラクティス: エンドポイント検出と応答 (EDR) 機能を攻撃調査に統合することで、調査プロセスとハンティング プロセスを高速化し、誤検知を減らします。
詳細: Defender for Cloud セキュリティ ポリシーを使用して 、Microsoft Defender for Endpoint 統合を有効にします 。 脅威の検出とインシデント対応に Microsoft Sentinel を使用することを検討してください。

エンド ツー エンドのシナリオ ベースのネットワーク監視

お客様は、仮想ネットワーク、ExpressRoute、Application Gateway、ロード バランサーなどのネットワーク リソースを組み合わせて Azure にエンド ツー エンド ネットワークを構築します。 各ネットワーク リソースは監視することができます。

Azure Network Watcher はリージョン サービスです。 この診断ツールおよび視覚化ツールを使用して、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断します。

ネットワークの監視と使用可能なツールのベスト プラクティスを次に示します。

ベスト プラクティス: パケット キャプチャを使用してリモート ネットワーク監視を自動化する。
詳細: Network Watcher を使用して VM にログインすることなく、ネットワークの問題を監視および診断します。 アラートを設定して パケット キャプチャ をトリガーし、パケット レベルでリアルタイムのパフォーマンス情報にアクセスできます。 問題が起きた場合には、詳細に調査してより適切に診断できます。

ベスト プラクティス: フロー ログを使用して、ネットワーク トラフィックに関する分析情報を得る。
詳細: ネットワーク セキュリティ グループのフロー ログを使用して、ネットワーク トラフィック パターンをより深く理解します。 フロー ログの情報をもとに、コンプライアンスに関するデータを収集し、ネットワークのセキュリティ プロファイルを監査、監視できます。

ベスト プラクティス: VPN 接続の問題を診断します。
詳細: Network Watcher を使用して 、最も一般的な VPN ゲートウェイと接続の問題を診断します。 問題を識別するだけでなく、詳細なログを使用して、詳しい調査を行うこともできます。

実証済みの DevOps ツールによるセキュリティ保護されたデプロイ

次の DevOps のベスト プラクティスを使用して、エンタープライズとチームが、生産性と効率性があることを確認します。

ベスト プラクティス: サービスのビルドとデプロイを自動化します。
詳細: コードとしてのインフラストラクチャ は、IT 担当者がモジュール式インフラストラクチャの日常的なビルドと管理の負担を取り除くのに役立つ一連の手法とプラクティスです。 これにより、ソフトウェア開発者がアプリケーション コードを構築し保守するように、IT 担当者は最新のサーバー環境を構築、維持できます。

Azure Resource Manager を使用して、宣言型テンプレートを使用してアプリケーションをプロビジョニングできます。 1 つのテンプレートで、複数のサービスをその依存関係と共にデプロイできます。 アプリケーション ライフサイクルの各ステージで、同じテンプレートを使用してアプリケーションを繰り返しデプロイします。

ベスト プラクティス: Azure Web アプリまたはクラウド サービスに自動的にビルドしてデプロイします。
詳細: Azure DevOps Projects を構成して、Azure Web アプリまたはクラウド サービスに 自動的にビルドしてデプロイ できます。 コードをチェックインするたびに、Azure DevOps により、Azure へビルドが実行され、バイナリが自動的にデプロイされます。 パッケージのビルド プロセスは、Visual Studio の Package コマンドに相当し、発行手順は Visual Studio の Publish コマンドに相当します。

ベスト プラクティス: リリース管理を自動化する。
詳細: Azure Pipelines は、複数ステージのデプロイを自動化し、リリース プロセスを管理するためのソリューションです。 継続的で管理されたデプロイメント パイプラインを作成し、すばやく、簡単に、頻繁にリリースできます。 Azure Pipelines を使用すると、リリース プロセスを自動化し、承認ワークフローを事前定義できます。 オンプレミスまたはクラウドに展開し、必要に応じて拡張、カスタマイズできます。

ベスト プラクティス: アプリを起動または運用環境に更新プログラムをデプロイする前に、アプリのパフォーマンスを確認します。
詳細: クラウドベースの ロード テスト を実行して、次の手順を実行します。

• アプリのパフォーマンスの問題を見つけます。
• デプロイの品質を向上します。
• アプリが常に使用可能であることを確認します。
• アプリが、次の立ち上げ、またはマーケティング キャンペーン時のトラフィックに対応できることを確認します。

Apache JMeter は、強力なコミュニティ バッキングを備えた無料の人気のあるオープン ソース ツールです。

ベスト プラクティス: アプリケーションのパフォーマンスを監視します。
詳細: Azure Application Insights は、複数のプラットフォーム上の Web 開発者向けの拡張可能なアプリケーション パフォーマンス管理 (APM) サービスです。 Application Insights を使用して、実行中の Web アプリケーションを監視します。 パフォーマンスに異常があると、自動的に検出されます。 組み込まれている分析ツールを使えば、問題を診断し、ユーザーがアプリを使用して実行している操作を把握できます。 Application Insights は、パフォーマンスやユーザビリティを継続的に向上させるうえで役立つように設計されています。

DDoS に対する被害軽減と保護

分散型サービス拒否 (DDoS) は、アプリケーションのリソースを枯渇させようとする攻撃の種類です。 目的は、正当な要求を処理するアプリケーションの可用性と能力に影響を与えることです。 これらの攻撃は、いっそう高度なものになり、規模と影響も大きくなっています。 この攻撃は、インターネット経由で一般に到達可能なすべてのエンドポイントで実行できます。

DDoS に対する回復性を設計しビルドするときは、さまざまな障害モードに対応した計画と設計が必要です。 Azure の DDoS 回復性のサービスをビルドするためのベスト プラクティスを次に示します。

ベスト プラクティス: 設計と実装からデプロイと運用まで、アプリケーションのライフサイクル全体にわたってセキュリティが優先されるようにします。 アプリケーションには、比較的少量の要求によって大量のリソースを使用し、結果としてサービスを停止させるような、バグが含まれる可能性があります。
詳細: Microsoft Azure で実行されているサービスを保護するには、アプリケーション アーキテクチャを十分に理解し、 ソフトウェア品質の 5 つの柱に焦点を当てる必要があります。 お客様は、標準的なトラフィックの量、アプリケーションと他のアプリケーションの間の接続モデル、パブリック インターネットに公開されるサービス エンドポイントについて知っておく必要があります。

アプリケーション自体を対象とするサービス拒否攻撃に対処するのに十分な回復力をアプリケーションに持たせることが、最も重要です。 セキュリティとプライバシーは、セキュリティ 開発ライフサイクル (SDL) から始まる Azure プラットフォームに組み込まれています。 SDL は、すべての開発段階でセキュリティに対処し、Azure がいっそう安全になるように継続的に更新されることを保証します。

ベスト プラクティス: 特に DDoS 攻撃が発生した場合に、増幅された負荷の需要に合わせて 水平方向にスケーリング するようにアプリケーションを設計します。 アプリケーションがサービスの 1 つのインスタンスに依存する場合は、単一障害点が発生します。 複数のインスタンスをプロビジョニングすると、システムの回復力と拡張性が高まります。
詳細: Azure App Service の場合は、複数のインスタンスを提供する App Service プラン を選択します。

Azure Cloud Services の場合は、複数のインスタンスを使用するように各ロール を構成します。

Azure Virtual Machines の場合は、VM アーキテクチャに複数の VM が含まれていることと、各 VM が可用性セットに含まれていることを確認します。 自動スケーリング機能には Virtual Machine Scale Sets を使うことをお勧めします。

ベスト プラクティス: アプリケーションでセキュリティ防御を重ねて、攻撃が成功する可能性を減らします。 Azure プラットフォームの組み込み機能を使って、アプリケーションのセキュリティ保護設計を実装します。
詳細: 攻撃のリスクは、アプリケーションのサイズ (領域) に合わせて増加します。 承認リストを使用して、公開されている IP アドレス空間と、ロード バランサー (Azure Load Balancer と Azure Application Gateway) で不要なリッスン ポートを閉じると、領域を減らすことができます。

ネットワーク セキュリティ グループ は、攻撃対象領域を減らすもう 1 つの方法です。 サービス タグとアプリケーション セキュリティ グループを使用すると、アプリケーションの構造の自然な拡張機能として、セキュリティ規則の作成とネットワーク セキュリティの構成の複雑さを最小限に抑えることができます。

可能な限り、 仮想ネットワーク に Azure サービスをデプロイする必要があります。 このプラクティスを使用すると、サービス リソースはプライベート IP アドレスを通して通信できます。 仮想ネットワークからの Azure サービス トラフィックは、パブリック IP アドレスを発信元 IP アドレスとして既定で使用します。

サービス エンドポイントを使用すると、仮想ネットワークから Azure サービスにアクセスするときに、サービス トラフィックがソース IP アドレスとして仮想ネットワークプライベート アドレスを使用するように切り替えられます。

Azure 内のリソースと供に、お客様のオンプレミスのリソースが攻撃されることがよくあります。 オンプレミスの環境を Azure に接続している場合は、オンプレミスのリソースのパブリック インターネットへの露出を最小限にします。

Azure には、ネットワーク攻撃からの保護を提供する 2 つの DDoS サービス オファリング があります。

• 基本保護は、追加コストなしに、既定で Azure に統合されます。 グローバルにデプロイされる Azure ネットワークのスケールと容量が、常時有効なトラフィック監視とリアルタイムのリスク軽減によって、一般的なネットワーク層攻撃からの保護を提供します。 基本保護では、ユーザーによる構成やアプリケーションの変更は必要なく、Azure DNS などの PaaS サービスを含むすべての Azure サービスを保護できます。
• 標準保護は、ネットワーク攻撃に対する高度な DDoS 軽減機能を提供します。 この機能は、お客様固有の Azure リソースを保護するために自動的に調整されます。 保護は、仮想ネットワークの作成時に簡単に有効にできます。 作成の後で行うこともでき、アプリケーションまたはリソースを変更する必要はありません。

Azure Policy の有効化

Azure Policy は、ポリシーの作成、割り当て、管理に使用する Azure のサービスです。 これらのポリシーにより、リソースにルールと効果が適用されて、それらのリソースが会社の標準とサービス レベル アグリーメントに準拠した状態に保たれます。 Azure Policy では、割り当て済みのポリシーでリソースの非準拠を評価することによって、このニーズが満たされます。

Azure Policy を有効にして、組織の明文化されたポリシーを監視し実施します。 これにより、ハイブリッド クラウド ワークロードのセキュリティ ポリシーを一元的に管理することで、会社や規制のセキュリティ要件に確実に準拠できます。 ポリシーを作成および管理してコンプライアンスを適用する方法について説明します。 ポリシーの要素の概要については、 Azure Policy 定義 構造を参照してください。

Azure Policy の採用後に従うセキュリティのベストプラクティスを次にいくつか示します。

ベスト プラクティス: ポリシーでは、いくつかの種類の効果がサポートされています。 これらの詳細については、 Azure Policy 定義構造で確認できます。 ビジネス操作は 拒否 効果と 修復 効果によって悪影響を受ける可能性があるため、 まず監査 効果から始めて、ポリシーからの悪影響のリスクを制限します。
詳細: ポリシーの展開を監査モードで開始 し、後で進行状況を 確認して拒否 または 修復します。 拒否または修復に移行する前に、監査効果の結果をテストして確認します。

詳細については、「コンプライアンスを 適用するためのポリシーの作成と管理」を参照してください。

ベスト プラクティス: ポリシー違反の監視を担当するロールを特定し、適切な修復アクションが迅速に実行されるようにします。
詳細: Azure portal または コマンド ラインを使用して、割り当てられたロールでコンプライアンスを監視します。

ベスト プラクティス: Azure Policy は、組織の書面によるポリシーの技術的表現です。 混乱を減らし、一貫性を高めるため、すべての Azure Policy 定義を組織のポリシーにマッピングします。
詳細: 組織のドキュメントまたは Azure Policy 定義自体の ポリシー定義 または イニシアティブ定義 の説明に組織ポリシーへの参照を追加してドキュメントマッピングを行います。

Microsoft Entra リスク レポートを監視する

ほとんどのセキュリティ侵害は、攻撃者がユーザーの ID を盗むことにより環境にアクセスできるようになると発生します。 侵害された ID を検出するのは簡単な作業ではありません。 Microsoft Entra ID では、アダプティブ機械学習アルゴリズムとヒューリスティックを使用して、ユーザー アカウントに関連する疑わしいアクションを検出します。 検出された各疑わしいアクションは、 リスク検出と呼ばれるレコードに格納されます。 リスク検出は、Microsoft Entra のセキュリティ レポートに記録されます。 詳細については、 危険なユーザーセキュリティレポート と 危険なサインインセキュリティレポートを参照してください。

次のステップ

Azure を使用してクラウド ソリューションを設計、デプロイ、管理する際に使用するセキュリティのベスト プラクティスについて詳しくは、Azure のセキュリティの ベスト プラクティスとパターン をご覧ください。

Azure のセキュリティとそれに関連する Microsoft サービスの一般情報については、以下のリソースを参照してください。

• Azure セキュリティ チーム のブログ - 最新の Azure Security に関する最新情報
• Microsoft Security Response Center - Azure に関する問題を含む Microsoft のセキュリティ脆弱性を報告または電子メールで送信できる場合 secure@microsoft.com