Azure セキュリティサービス - Azure セキュリティサービス 設定優先度ランキング
Azure サブスクリプションで設定すべきセキュリティサービスを優先度順に解説。Defender for Cloud・Activity Log・Sentinel・DDoS Protection・Application Gateway WAF の役割と運用負荷。
概念図
設定優先度ランキング
Azure サブスクリプションを作成したら、以下の順番でセキュリティサービスを有効化します。
| 優先度 | サービス | 役割 | 運用負荷 |
|---|---|---|---|
| 1 | Activity Log + 診断設定 | 全管理操作の監査ログ(Azure 版 CloudTrail) | 低(有効化のみ) |
| 2 | Microsoft Defender for Cloud | CSPM + CWPP(設定評価 + ワークロード保護) | 中(推奨事項の対応・スコア管理) |
| 3 | Azure Policy | ガードレール(リソース作成時の強制ルール) | 低〜中(ポリシー定義・例外管理) |
| 4 | Microsoft Sentinel | クラウドネイティブ SIEM/SOAR | 高(KQL ルール作成・アラート対応) |
| 5 | Network Watcher + NSG Flow Logs | ネットワーク監視・トラフィック解析 | 低(有効化のみ) |
| 6 | Application Gateway + WAF v2 | HTTP レイヤーの攻撃防御 | 高(誤検知チューニング・ルール更新) |
| 7 | Azure DDoS Protection | L3/L4 DDoS 防御(Standard プラン) | 低(有効化のみ・高額) |
サービス利用料は安くても、運用コストは別物です。 Activity Log の有効化自体は簡単ですが、Sentinel のアラート対応やWAF の誤検知チューニングなど、サービスを増やすほど運用負荷は飛躍的に増えます。
有効化だけして放置するのが最も危険なパターンです。
必須: 優先度 1〜3 は全サブスクリプションで必須。
Defender for Cloud の Free tier だけでもセキュリティスコアと基本的な推奨事項が得られる。
推奨: 優先度 4〜5 は本番環境で有効化。
Sentinel はインシデント調査に不可欠。
必須(公開ワークロード): 優先度 6 — Application Gateway / Front Door でインターネットに公開しているなら WAF は必須。
Cloudflare WAF で代替する選択肢もある。
いずれの場合もルールの継続的チューニングが必要。
大規模向け: 優先度 7 は DDoS Protection Standard。
高額だが、攻撃時のコスト保証(DDoS Cost Protection)が付く。
関連トピック
クラウドセキュリティの考え方- クラウド(AWS/Azure/GCP)のセキュリティを設計するうえで必須となる責任共有モデル・ゼロトラスト・ガードレール・最小権限・多層防御の基本原則。 Microsoft Entra ID SSO の推奨設定- Microsoft Entra ID(旧 Azure AD)で SaaS / AWS / 社内アプリへの SSO を構成する際の推奨設定。Conditional Access・MFA・Privileged Identity Management・Named Locations・監査ログの実装指針。 ログ監視とモニタリング- セキュリティイベントのログを収集・分析し、異常を検知する仕組み。インシデント対応と事後分析の基盤となる。