目次
セキュリティ(Security)【AZ-900対策】
クラウドのセキュリティとは、データ・アプリケーション・アカウント・ネットワークを保護するための仕組みと対策の総称です。
Azure では、Microsoft が提供する多層的なセキュリティ機能により、クラウド環境を安全に運用できます。
セキュリティの基本概念
Azure のセキュリティは次の 3 つの柱で成り立っています。
- アイデンティティとアクセス管理(IAM)
- ネットワークセキュリティ
- データ保護と脅威対策
以下、AZ-900で重要となる要点を順にまとめます。
1. アイデンティティとアクセス管理(IAM)
● Microsoft Entra ID
Azure 全体の認証基盤。
ユーザー、グループ、アプリケーションを管理します。
● 多要素認証(MFA)
パスワード + デバイス認証など、複数の認証要素を用いて
アカウント乗っ取りを防止 する仕組み。
例:
- パスワード
- SMS / 認証アプリ
- 指紋 / 顔認証
● 条件付きアクセス(Conditional Access)
「特定条件のときのみアクセス許可」する高度な制御。
例:
- 社外ネットワークからのアクセスは MFA 必須
- ハイリスク状態のアカウントはブロック
- 管理者権限のログインには強制ルール適用
クラウドセキュリティの中心となる技術です。
● RBAC(Role-Based Access Control)
最小権限の原則に基づき、
必要な権限だけを付与する仕組み。
例:
- Reader:読み取りのみ
- Contributor:変更可能
- Owner:すべて操作可能
2. ネットワークセキュリティ
● NSG(Network Security Group)
VM やサブネットごとに
許可/拒否ルール(ポート・IP)を設定 するファイアウォール。
● Azure Firewall
より高度なファイアウォール機能。
特徴:
- トラフィック制御
- FQDN フィルタリング
- ログ分析
- 大規模ネットワークで利用
● Azure DDoS Protection
分散型攻撃(DDoS)からサービスを保護するサービス。
● 仮想ネットワーク(VNet)での分離
アプリ・データベースなどの環境を
ネットワーク単位で分離 することで、セキュリティを強化。
3. データ保護と脅威対策
● Key Vault
機密データ(秘密鍵・証明書・パスワード)を安全に保管。
● Microsoft Defender for Cloud(旧 Security Center)
Azure 全体のセキュリティ状態を監視し、
脆弱性の検出・改善提案・脅威防御 を行う統合サービス。
● ストレージの暗号化
Azure Storage はデフォルトで暗号化されます。
種類:
- サーバー側暗号化(SSE)
- カスタマー管理キー(CMK)の使用も可能
● データの冗長化とバックアップ
- LRS / ZRS / GRS などのストレージ冗長化
- Azure Backup による自動バックアップ
- 事故 / 障害 / 誤削除に備える
セキュリティの責任共有モデル
クラウドには 責任共有モデル という考え方があります。
| 項目 | Microsoft | 利用者 |
|---|---|---|
| 物理データセンター | ○ | × |
| ネットワーク基盤 | ○ | × |
| OS・アプリの設定 | × | ○ |
| アカウント管理 | × | ○ |
| データ保護 | × | ○ |
クラウドは安全ですが、
ユーザー側のセキュリティ設定も非常に重要 です。
AZ-900で理解すべきポイント
- Azure AD(Entra ID)はクラウド認証の中心
- MFA・条件付きアクセスはセキュリティ強化に必須
- RBACで最小権限を実現
- Network Security Group(NSG)は基本中の基本
- Azure Firewall は高度な防御
- Key Vault は秘密情報の安全な保管庫
- Defender for Cloud は監視と脅威対策
- 責任共有モデルを理解する