Security & Identity
カテゴリ概要
Azure のセキュリティ・ID 管理サービスは、認証・認可・データ保護・脅威検知・コンプライアンスを包括的にカバーする。AWS との最大の違いは ID 管理モデルにある。AWS が IAM で認証・認可を完結させるのに対し、Azure は「Microsoft Entra ID(認証)+ Azure RBAC(認可)」という分離モデルを採用している。また、Key Vault や Defender for Cloud のように、AWS では複数サービスに分かれている機能を 1 つのサービスに統合しているケースが多い。
サービスマッピング一覧
| 機能 | AWS サービス | Azure サービス | 主な違い |
|---|---|---|---|
| ID 管理・認証基盤 | IAM + Cognito | Microsoft Entra ID(旧 Azure AD) | 認証の基盤。IAM とは根本的に異なるモデル |
| リソースへの認可 | IAM ポリシー | Azure RBAC | Entra ID と組み合わせて認可を担当 |
| アプリユーザー認証 | Cognito | Entra External ID(旧 Azure AD B2C) | B2C 向けのユーザー認証・サインアップ |
| 鍵・シークレット・証明書管理 | KMS + Secrets Manager + ACM | Azure Key Vault | 3 サービス分の機能を 1 つで提供 |
| Web アプリ防御 | AWS WAF | Azure WAF | Application Gateway / Front Door に統合 |
| DDoS 防御 | Shield | Azure DDoS Protection | Standard は有料(Shield Standard は無料) |
| 脅威検知・セキュリティ統合 | GuardDuty + Security Hub + Inspector | Microsoft Defender for Cloud | 複数の AWS サービスの機能を統合 |
| API コール監査ログ | CloudTrail | Azure Activity Log | 自動有効化、追加設定不要 |
| コンプライアンス・ポリシー強制 | AWS Config + SCP | Azure Policy | コンプライアンスルールの評価と強制を統合 |
| SIEM / SOAR | ―(マネージド SIEM なし) | Microsoft Sentinel | AWS には直接の対応がない |
主要サービス詳細
Microsoft Entra ID(AWS: IAM + Cognito)
Azure における認証の基盤となるクラウドベースの ID プロバイダー。旧称は Azure Active Directory(Azure AD)。
- AWS の IAM が「AWS 専用の認証・認可サービス」であるのに対し、Entra ID は Microsoft 365、Dynamics 365、Azure、SaaS アプリケーションなど Microsoft エコシステム全体の認証基盤として機能する
- Entra ID はディレクトリサービス(ユーザー・グループの管理)であり、IAM のようなポリシーベースの認可機能は含まない。認可は Azure RBAC が担当する
- 条件付きアクセス(Conditional Access)により、ユーザーの場所、デバイスの状態、リスクレベルに基づいて認証要件を動的に変更できる(IAM にはない機能)
- オンプレミスの Active Directory と Azure AD Connect で同期できるため、エンタープライズのハイブリッド ID 管理に強い
- IAM の「IAM User を作成して認証情報を渡す」モデルとは異なり、Entra ID では組織のディレクトリにユーザーが所属し、そのユーザーに Azure RBAC でロールを割り当てる
Azure RBAC(AWS: IAM ポリシー)
Azure リソースへのアクセスを制御するロールベースの認可モデル。
- AWS が IAM ポリシー(JSON)で認証・認可を一体的に管理するのに対し、Azure は Entra ID で「誰であるか」を認証し、Azure RBAC で「何ができるか」を認可する分離モデル
- 組み込みロール(Owner、Contributor、Reader など)に加えて、カスタムロールを作成できる
- ロールの割り当てはスコープ(管理グループ、サブスクリプション、リソースグループ、リソース)に対して行う。上位スコープの割り当ては下位に継承される
- AWS の IAM ポリシーのような「明示的な Deny」はなく、割り当てられたロールの許可の合計が有効な権限となる。ただし、Azure Policy の「Deny」効果でリソース操作を拒否することは可能
- サービスプリンシパル(AWS の IAM ロールに相当)やマネージド ID(EC2 のインスタンスプロファイルに相当)を使って、アプリケーションやサービスに権限を付与する
Entra External ID(AWS: Cognito)
コンシューマー向けアプリケーションのユーザー認証・サインアップを提供するサービス。旧称は Azure AD B2C。
- Cognito のユーザープールに相当する機能を提供し、メールアドレス / パスワードによるサインアップ、ソーシャル ID(Google、Apple、Facebook 等)連携に対応する
- カスタムユーザーフロー(サインアップ画面、パスワードリセット画面等)をノーコードで構成できる
- Cognito と異なり、Entra ID のディレクトリ基盤を使うため、B2B と B2C の ID 管理を統一的に扱える
- MFA(多要素認証)、ID 保護(不正サインインの検知)をネイティブに備える
Azure Key Vault(AWS: KMS + Secrets Manager + ACM)
暗号化キー、シークレット、TLS 証明書を一元管理するサービス。
- AWS では KMS(暗号化キー)、Secrets Manager(シークレット)、ACM(証明書)の 3 サービスに分かれている機能を 1 つのサービスで提供する
- ハードウェアセキュリティモジュール(HSM)バックエンドの鍵管理に対応(KMS の AWS CloudHSM 統合に相当)
- シークレットの自動ローテーションは Azure Functions と組み合わせて実装する(Secrets Manager は RDS 等のネイティブローテーションに対応しているが、Key Vault はより汎用的なアプローチ)
- Azure RBAC またはアクセスポリシーでアクセス制御を行う。RBAC モデルの使用が推奨されている
- Azure Disk Encryption、Azure Storage の暗号化など、主要な Azure サービスと統合されている
Azure WAF(AWS: AWS WAF)
Web アプリケーションを一般的な攻撃から保護するマネージド Web アプリケーションファイアウォール。
- AWS WAF が CloudFront、ALB、API Gateway に個別にアタッチするのに対し、Azure WAF は Application Gateway または Front Door に統合されている
- OWASP Core Rule Set(CRS)に基づくマネージドルールセットを提供する
- カスタムルール、ボット防御、レート制限に対応する
- Front Door に統合した場合、グローバルな WAF ポリシーを一元適用できる(CloudFront + AWS WAF の構成に近い)
- WAF ポリシーを複数の Application Gateway / Front Door で共有できる
Azure DDoS Protection(AWS: Shield)
DDoS 攻撃からの保護を提供するサービス。
- AWS Shield Standard は全 AWS アカウントに無料で自動適用されるが、Azure DDoS Protection の Standard(Network Protection)は有料(月額固定 + 従量課金)
- Azure にも基本的な DDoS 防御(Infrastructure Protection)は無料で提供されているが、高度な検知・緩和・レポートが必要な場合は DDoS Network Protection を有効化する
- DDoS Network Protection は VNet に対して有効化し、VNet 内のすべてのパブリック IP リソースを保護する
- Shield Advanced と同様にコスト保護(DDoS 攻撃に起因するスケールアウトの費用を補償)がある
- Azure Monitor との統合により、リアルタイムの攻撃メトリクスとアラートを提供する
Microsoft Defender for Cloud(AWS: GuardDuty + Security Hub + Inspector)
クラウド環境のセキュリティ態勢管理(CSPM)とワークロード保護(CWPP)を統合するサービス。
- AWS では GuardDuty(脅威検知)、Security Hub(セキュリティ統合ダッシュボード)、Inspector(脆弱性スキャン)に分かれている機能を 1 つのサービスで提供する
- CSPM(Cloud Security Posture Management) 機能で、Azure リソースのセキュリティ設定をベストプラクティスに照らしてスコアリングする(Secure Score)
- CWPP(Cloud Workload Protection Platform) 機能で、VM、コンテナ、SQL、ストレージ等のワークロードに対する脅威検知と脆弱性評価を行う
- マルチクラウド対応で、AWS や GCP のリソースも Defender for Cloud で監視できる
- 無料の基本機能(CSPM)と有料のプラン(Defender for Servers、Defender for Containers 等)に分かれている
Azure Activity Log(AWS: CloudTrail)
Azure リソースに対するコントロールプレーン操作を記録するサービス。
- CloudTrail と異なり、自動的に有効化されており、追加設定なしで 90 日間のログが保持される(CloudTrail はデフォルトで 90 日間のイベント履歴を提供するが、S3 への配信には証跡の作成が必要)
- コントロールプレーン操作(リソースの作成・更新・削除)が記録対象であり、データプレーン操作の監査には Azure Monitor の診断設定を使う
- Log Analytics ワークスペースに送信して Kusto Query Language(KQL)で分析できる(CloudTrail Lake の SQL に相当)
- Azure Monitor アラートルールと組み合わせて、特定の操作をリアルタイムに検知できる
Azure Policy(AWS: AWS Config + SCP)
Azure リソースに対するコンプライアンスルールの評価と強制を行うサービス。
- AWS では AWS Config Rules(リソースのコンプライアンス評価)と SCP(Organizations でのアクション制限)に分かれている機能を 1 つのサービスで提供する
- ポリシー定義で「許可された VM サイズのみデプロイ可能」「特定リージョンのみリソース作成可能」といったルールを強制できる
- Deny 効果でリソース作成・更新を拒否、Audit 効果でコンプライアンス違反を検出、DeployIfNotExists 効果でリソース作成時に自動修復を適用できる
- ポリシーはサブスクリプションまたは管理グループに割り当てて階層的に適用できる(SCP の階層適用と同様)
- 組み込みポリシー定義が豊富に用意されており、カスタムポリシーも作成できる
Microsoft Sentinel(AWS: ―)
クラウドネイティブの SIEM(Security Information and Event Management)/ SOAR(Security Orchestration, Automation and Response)ソリューション。
- AWS にはマネージド SIEM サービスが存在しない(AWS 環境で SIEM を構築するには Splunk、Datadog 等のサードパーティ製品を導入するか、OpenSearch で自前構築する)
- Azure Activity Log、Entra ID ログ、Defender for Cloud のアラート、Microsoft 365 のログなど、多数のデータソースからセキュリティデータを集約する
- KQL(Kusto Query Language)による高度な脅威ハンティングクエリを実行できる
- SOAR 機能により、脅威検知時に自動的にインシデントを作成し、Logic Apps と連携して自動対応(アカウントのブロック、チケット作成等)を実行できる
- AWS、GCP のコネクタも提供されており、マルチクラウド環境のセキュリティ監視にも使える
AWS との主要な違い
ID 管理モデルが根本的に異なる
AWS では IAM が認証(誰であるか)と認可(何ができるか)の両方を担当し、IAM User / Role / Policy で完結する。Azure では「Entra ID で認証、Azure RBAC で認可」という分離モデルを採用している。Entra ID は Microsoft エコシステム全体の ID プロバイダーであり、Azure 専用のサービスではない。AWS から Azure に移行する際、この概念の切り替えが最も大きなハードルとなる。AWS の IAM User に相当するのは Entra ID のユーザーアカウントであり、IAM Role に相当するのはサービスプリンシパルまたはマネージド ID である。
Key Vault が 3 サービス分の機能を統合
AWS では暗号化キー管理(KMS)、シークレット管理(Secrets Manager)、TLS 証明書管理(ACM)がそれぞれ独立したサービスとして存在する。Azure では Key Vault がこれら 3 つの機能を 1 つのサービスで提供する。管理の一元化という点ではメリットがあるが、「鍵だけ」「シークレットだけ」を独立して権限管理したい場合は、Key Vault 内のアクセスポリシーまたは Azure RBAC で細かく制御する必要がある。
Defender for Cloud が複数のセキュリティサービスを統合
AWS では脅威検知(GuardDuty)、セキュリティ態勢の統合ダッシュボード(Security Hub)、脆弱性スキャン(Inspector)がそれぞれ独立したサービスであり、組み合わせて多層防御を構築する。Azure では Defender for Cloud が CSPM(態勢管理)と CWPP(ワークロード保護)を統合的に提供し、セキュリティスコアによる優先度付けや推奨事項の自動修復まで一貫して行える。
Azure Policy が Config + SCP の機能を統合
AWS ではリソースのコンプライアンス評価に AWS Config Rules を、Organizations レベルでのアクション制限に SCP を使う。Azure では Azure Policy がコンプライアンス評価(Audit)とアクション制限(Deny)の両方を担当する。さらに DeployIfNotExists 効果による自動修復機能は、AWS Config の自動修復(SSM Automation との連携)よりもシンプルに構成できる。
Sentinel はマネージド SIEM/SOAR で、AWS には直接の対応がない
AWS にはマネージド SIEM サービスが存在せず、セキュリティログの集約・分析・自動対応にはサードパーティ製品の導入が必要となる。Azure では Microsoft Sentinel がクラウドネイティブの SIEM/SOAR として提供されており、Azure だけでなく AWS や GCP のログも統合的に監視できる。特に Microsoft 365 や Entra ID との統合が深く、Microsoft エコシステムを使っている組織にとっては大きなアドバンテージとなる。
サービス選定の指針
| ユースケース | AWS での選択肢 | Azure での選択肢 |
|---|---|---|
| クラウドリソースへのアクセス制御 | IAM | Entra ID + Azure RBAC |
| アプリケーションへのユーザー認証 | Cognito | Entra External ID |
| 組織全体のシングルサインオン | IAM Identity Center | Entra ID(条件付きアクセス) |
| 暗号化キーの管理 | KMS | Key Vault(キー) |
| シークレットの管理 | Secrets Manager | Key Vault(シークレット) |
| TLS 証明書の管理 | ACM | Key Vault(証明書) |
| Web アプリの攻撃防御 | WAF | Azure WAF(Front Door / App Gateway 統合) |
| DDoS 攻撃対策 | Shield | Azure DDoS Protection |
| 脅威検知・脆弱性評価 | GuardDuty + Inspector | Defender for Cloud |
| セキュリティ態勢の可視化 | Security Hub | Defender for Cloud(Secure Score) |
| API コール・操作の監査 | CloudTrail | Activity Log |
| コンプライアンスルールの強制 | Config Rules + SCP | Azure Policy |
| セキュリティログの集約・分析(SIEM) | サードパーティ製品(Splunk 等) | Microsoft Sentinel |
| インシデントの自動対応(SOAR) | サードパーティ製品 | Microsoft Sentinel + Logic Apps |