4月29日・昭和の日に考える

レガシー運用をAzureで再設計するクラウド法務

構成・権限・ログ・契約を、エンジニアが説明できる状態へ

4月29日は「昭和の日」です。内閣府は、昭和の日を「激動の日々を経て、復興を遂げた昭和の時代を顧み、国の将来に思いをいたす」祝日と説明しています。2026年も4月29日は「昭和の日」として掲載されています。

昭和の日に、企業のIT基盤を考えるなら、単なる「昔を振り返る日」ではありません。

昭和の企業活動は、稟議、職務分掌、紙の台帳、物理的な保管、現場責任者の経験によって統制されていました。しかし現在の企業統制は、Azure、Microsoft Entra ID、RBAC、Azure Policy、Log Analytics、Microsoft Sentinel、Microsoft Defender for Cloud、委託契約、運用規程の上に成り立っています。

結論から言えば、令和のクラウド統制は、Azureの設計品質で決まります。

そして、その設計品質は、単に「動くか」ではなく、次の問いに答えられるかで決まります。

誰が、どの権限で、どのAzureリソースにアクセスできるのか。構成変更は、どの承認に基づいて行われたのか。ログはどこに残り、誰が見られ、いつまで保管されるのか。委託先、SIer、MSP、SOC、自社情シスの責任分界は、構成と一致しているのか。障害・侵害・監査・取引先調査の場面で、設計書と証跡を出せるのか。

山崎行政書士事務所が提供するクラウド法務・Azure技術支援は、この問いに対して、Azureの実装粒度と、契約・規程・責任分界の粒度をそろえる支援です。

1. 結論：エンジニアに必要なクラウド法務は「契約書の話」ではなく「設計の話」である

クラウド法務という言葉を聞くと、契約書、個人情報、委託条項、責任制限の話だと捉えられがちです。

しかし、Azure現場のエンジニアにとって本当に重要なのは、次の対応関係です。

つまり、クラウド法務は、エンジニアにとって「法務部に任せる後工程」ではありません。

要件定義、基本設計、詳細設計、運用設計の段階で、最初から組み込むべき非機能要件です。

山崎行政書士事務所のAzure現場伴走サービスでも、要件定義、非機能要件、RPO/RTO、責任分界、Landing Zone、Entra ID、RBAC、特権管理、ネットワーク、ログ、DR、IaC、CI/CD、KQLレビューまでを対象範囲として整理しています。

2. 理由：Azureは「Microsoftが全部守る」環境ではない

Azure設計で最初に押さえるべき前提は、共同責任モデルです。

Microsoft Learnの共同責任モデルでは、クラウドへ移行すると一部の責任はMicrosoftへ移りますが、データ、ID、オンプレミスリソース、自社が制御するクラウドコンポーネントの保護責任は顧客側に残ると説明されています。また、デプロイ種類に関係なく、データ、エンドポイント、アカウント、アクセス管理は常に顧客が責任を持つ領域とされています。Microsoft Learnの当該ページは、2026年1月12日に最終更新されています。

ここが、Azure技術支援とクラウド法務が分離できない理由です。

たとえば、次のような状態は、技術的にも法務的にも危険です。

Global Administratorが複数名に常時付与されている。委託先アカウントが退職・契約終了後も残っている。Azure Policyはあるが、例外の承認履歴がない。Sentinelは導入済みだが、検知後のRunbookがない。ログ保存期間は設定されているが、契約上のログ提出範囲と一致していない。バックアップはあるが、復元テスト記録がない。IaCは使っているが、変更承認・差分レビュー・ロールバック手順が文書化されていない。

これらは「設定ミス」だけではありません。事故時には、説明できない設計になります。

3. 数字で見る：Azure設計で必ず押さえるべき8領域

Microsoft Learnは、Azure Landing Zoneを、Azure環境を大規模に設定・管理するための標準化された推奨アプローチと説明しています。設計領域には、Azure課金とMicrosoft Entraテナント、IDとアクセス管理、管理グループとサブスクリプション、ネットワーク、セキュリティ、管理、ガバナンス、プラットフォーム自動化とDevOpsが含まれます。Microsoft Learnの当該ページは、2026年時点で参照できる公式ドキュメントです。

エンジニア向けに言い換えると、昭和の日に見直すべきAzure統制は次の8領域です。

1. Tenant / Subscription設計

最初に見るべきは、テナントとサブスクリプションの設計です。

確認項目は次のとおりです。

本番、検証、開発、Sandboxがサブスクリプション単位で分離されているか。Platform Landing ZoneとApplication Landing Zoneが混在していないか。管理グループ階層に、セキュリティ、監査、コスト、運用の意図があるか。所有者、共同作成者、閲覧者の付与範囲が過大でないか。サブスクリプション作成権限が統制されているか。

ここでの失敗は、後工程では直しにくくなります。

本番と検証が混在した構成では、Azure Policy、予算、ログ、ネットワーク、RBAC、委託先権限の境界が崩れます。

法務上の責任分界も、Azure上の境界設計と一致していなければ機能しません。

2. Entra ID / RBAC / PIM設計

現在のクラウドにおける実質的な境界は、ネットワークではなくIDです。

Microsoft Learnは、条件付きアクセスについて、ユーザーやデバイスなどのIDドリブンなシグナルを使い、組織ポリシーを適用する仕組みであり、MicrosoftのZero Trustポリシーエンジンとして位置づけています。条件付きアクセスのページは、2026年3月24日に最終更新されています。

エンジニアが確認すべき実装観点は、次のとおりです。

条件付きアクセスが、管理者・一般ユーザー・委託先・ゲストで分離されているか。MFA必須化だけで終わらず、デバイス準拠、場所、リスク、アプリ単位で制御されているか。Break-glassアカウントが、例外として台帳化され、監視対象になっているか。Azure RBACが、ロール名だけでなくスコープ単位で管理されているか。Owner権限が恒久付与されていないか。PIMによって、特権昇格の承認、理由、期限、監査履歴が残るか。

Microsoft Entra Privileged Identity Management、いわゆるPIMは、重要リソースへのアクセスを管理、制御、監視するサービスです。Microsoft Learnは、PIMによりJust-In-Time特権アクセス、期限付きアクセス、承認要求、MFA強制、理由入力、通知、アクセスレビュー、監査履歴のダウンロードが可能になると説明しています。PIMページは、2026年4月23日に最終更新されています。

山崎行政書士事務所のAzure権限設計支援でも、Entra ID、RBAC、特権運用を一体で設計し、「誰が何をできたか」を監査・インシデント時に説明できる状態を作ることを重視しています。

3. Azure Policy / Governance設計

Azure Policyは、クラウド統制を「人の注意」から「構成の強制」へ移すための中核です。

Microsoft Learnは、Azure Policyについて、組織標準を適用し、コンプライアンスを大規模に評価する仕組みと説明しています。例として、許可リージョンへのデプロイ、分類タグの一貫適用、診断ログをLog Analyticsワークスペースへ送信する要求などが挙げられています。Azure Policyのページは、2025年9月26日に最終更新されています。

エンジニア向けには、次の観点で設計します。

Allowed locationsで利用リージョンを制御する。タグを必須化し、CostCenter、SystemOwner、DataClass、Environmentを標準化する。診断設定を強制し、必要ログをLog Analyticsへ送る。Public IP、Public Network Access、暗号化、TLS、バックアップなどをポリシーで監査する。最初からdenyにせず、audit、deployIfNotExists、modifyで影響を確認する。例外はnotScopesで放置せず、期限・承認者・理由を管理する。

重要なのは、Policyを単なる「違反検出」にしないことです。

Azure Policyは、設計思想をコード化した統制文書です。

ここで、行政書士の支援が関係します。ポリシーで強制するルールは、社内規程、委託条件、監査資料、取引先説明と一致していなければなりません。

4. Network / Private Access設計

Azureネットワークでは、単にVNetを作るだけでは足りません。

エンジニアが見るべきポイントは、次のとおりです。

Hub-Spokeか、Virtual WANか。オンプレ接続はVPNかExpressRouteか。名前解決はAzure DNS Private Resolver等で整理されているか。Private Endpoint / Private Linkの適用範囲は明確か。NSG、Azure Firewall、Route Table、DDoS対策が責任分界と一致しているか。SOCやMSPが見るべき通信ログ、アラート、変更履歴が明確か。

ネットワークは、障害時に最も説明が難しくなる領域です。

「つながらない」「名前解決できない」「外に出ている」「意図せず公開されている」という問題は、技術障害であると同時に、契約・責任分界・監査の問題になります。

5. Logging / Monitoring / Sentinel設計

ログ設計は、エンジニアの実力が最も出る領域です。

Microsoft Sentinelは、マルチクラウド・マルチプラットフォーム環境に対応するクラウドネイティブSIEMであり、AI、自動化、脅威インテリジェンスを組み合わせて、検出、調査、対応、ハンティングを支援すると説明されています。また、SentinelはAzure Monitorの改ざん防止と不変性のプラクティスを継承する、とMicrosoft Learnで説明されています。Sentinelページは、2026年4月23日に最終更新されています。

エンジニアが確認すべき観点は、次のとおりです。

Azure Activity Logをどこに集約するか。Entra IDサインインログ、監査ログをどの期間保持するか。Key Vault、Storage、VM、SQL、AKS、Firewall、Defender系ログをどこまで取得するか。Log Analytics Workspaceは、環境別か、集中管理か。Sentinel分析ルールは、何を検知したいのかが明確か。KQLは、検知意図、除外条件、誤検知、コスト、検索範囲までレビューされているか。アラート発報後、誰が、何分以内に、どのRunbookで動くか。

山崎行政書士事務所のAzure現場伴走では、Log AnalyticsやSentinelのKQL、運用スクリプト、分析ルール、ハンティングクエリ、アラート設計、通知先、抑制、重複排除、エスカレーションまでレビュー対象にしています。

ここで重要なのは、ログを「取る」ことではありません。

ログを、監査・事故対応・契約上の説明に使える状態で残すことです。

6. Defender for Cloud / CNAPP設計

Microsoft Defender for Cloudは、クラウド環境とコード環境全体で統一されたセキュリティ体験を提供するため、Defenderポータルへ拡張されています。また、Microsoft LearnはDefender for CloudをCNAPP、つまりCloud Native Application Protection Platformと位置づけ、クラウドとオンプレミスリソース全体のセキュリティ体制の包括的なビューを提供すると説明しています。Defender for Cloudページは、2026年4月19日に最終更新されています。

エンジニア視点では、Defender for Cloudを次のように使います。

Secure Scoreを単なる点数ではなく、改善バックログとして扱う。推奨事項を、影響度・実装難易度・事業リスクで優先順位付けする。Azure Policyとの関係を整理し、検出・修復・例外管理を分ける。マルチクラウドやDevOps連携がある場合、対象範囲を明確にする。推奨事項を契約・規程・監査項目へ接続する。

Defender for Cloudの推奨事項を見て終わりではありません。

推奨事項を、誰が、いつ、どの判断で受け入れるか。例外にするなら、期限と承認者は誰か。取引先や監査人へ説明するとき、どの資料に落とすか。

ここまで決めて初めて、技術対策が統制になります。

7. IaC / CI/CD / Change Management設計

昭和型の変更管理は、稟議書と作業報告書が中心でした。令和のAzure変更管理では、Git、Pull Request、Bicep、Terraform、ARM、Azure CLI、PowerShell、Azure DevOps、GitHub Actionsが中心になります。

ただし、IaCを使っていても、統制できているとは限りません。

確認すべき点は次のとおりです。

本番反映はPull Request必須か。承認者は技術責任者・システムオーナー・セキュリティ担当で分離されているか。Terraform Stateやシークレットの保管は適切か。Plan結果、差分、実行ログが保存されているか。緊急変更時の例外フローがあるか。ロールバック手順が設計書にあるか。手動変更、いわゆるClickOpsをどう検出するか。

エンジニア向けに言えば、クラウド法務で必要なのは、抽象的な「変更管理規程」ではありません。

PR番号、承認者、差分、実行ログ、影響範囲、ロールバック、事後レビューがつながる運用です。

8. Contract / RACI / Runbook設計

最後に、契約とRunbookです。

Azure構成がどれだけ優れていても、委託先との責任分界が曖昧であれば、事故時に詰まります。

確認すべき点は次のとおりです。

SIerは設計までか、構築までか、運用までか。MSPは監視だけか、一次対応まで行うのか。SOCは検知通知だけか、封じ込め判断まで行うのか。障害時の一次切り分けは誰か。ログ提出の範囲、形式、期限は決まっているか。インシデント時の連絡先、通知基準、証跡保全手順はあるか。契約終了時に、アカウント、権限、資料、ログ、構成情報をどう返却・削除するか。

山崎行政書士事務所のクラウド法務ページでは、Azure / Microsoft 365 / Entra IDを前提に、アーキテクチャ、運用、証跡、責任分界、越境データを同じ地図で整理すると説明されています。また、Azureの責任分界表、監査・説明用資料、委託・運用条項整理、データフロー整理を成果物例として示しています。

4. エンジニア向け実装チェックリスト

昭和の日に、Azure環境を見直すなら、次のチェック項目から始めてください。

ID・権限

1. Global Administratorは最小人数か。

2. Owner権限が恒久付与されていないか。

3. PIMで昇格、承認、理由、期限、監査履歴を残しているか。

4. 条件付きアクセスの例外アカウントは台帳化されているか。

5. 委託先アカウントの作成、棚卸し、削除手順はあるか。

サブスクリプション・ガバナンス

6. 本番、検証、開発、Sandboxが分離されているか。

7. 管理グループ階層に設計意図があるか。

8. Azure Policyでリージョン、タグ、診断ログ、公開設定を統制しているか。

9. 例外ポリシーに期限と承認者があるか。

10. タグ設計がコスト、責任者、データ分類と連動しているか。

ログ・監視

11. Azure Activity Logを集約しているか。

12. Entra IDのサインインログ、監査ログを保存しているか。

13. 重要リソースの診断ログをLog Analyticsへ送っているか。

14. Sentinelの分析ルールに検知意図と運用手順があるか。

15. KQLの誤検知、取りこぼし、検索コストをレビューしているか。

セキュリティ

16. Defender for Cloudの推奨事項を改善バックログ化しているか。

17. Secure Scoreを経営報告や監査資料に接続しているか。

18. Key Vaultのアクセス制御、ログ、ローテーションを設計しているか。

19. Public Network Accessの例外を管理しているか。

20. Private Endpoint / Private Linkの適用範囲を明確にしているか。

運用・変更管理

21. IaCのPull Request承認フローがあるか。

22. 手動変更を検出する仕組みがあるか。

23. 緊急変更の事後レビューがあるか。

24. Runbookが実際のAzure構成と一致しているか。

25. 月次レビューで、権限、ログ、コスト、セキュリティ、バックアップを見直しているか。

契約・責任分界

26. SIer、MSP、SOC、自社情シスのRACIがあるか。

27. ログ提出、事故報告、再委託、通知期限が契約で定義されているか。

28. 委託先のAzure権限と契約上の作業範囲が一致しているか。

29. 契約終了時のアカウント削除、資料返却、ログ保全が決まっているか。

30. 監査・取引先調査時に出せる1枚資料があるか。

5. 山崎行政書士事務所が提供するAzure技術支援

山崎行政書士事務所は、単に「契約書を整える」だけではありません。

Azure現場で起きる、次のような詰まりを、技術・運用・文書の同じ粒度で整理します。

要件定義が曖昧なままAzure構築が始まっている。非機能要件が、可用性、監査、ログ、セキュリティ、コストまで落ちていない。Landing Zone、管理グループ、サブスクリプション設計に統制意図がない。Entra ID、RBAC、PIM、条件付きアクセスが後付けになっている。SentinelやDefenderを入れたが、運用設計・Runbook・契約条項が追いついていない。KQLやスクリプトが属人化している。ベンダー、情シス、法務、経営層が同じ資料を見ていない。

山崎行政書士事務所のAzure現場伴走サービスでは、Azure案件を前に進めるための技術面の伴走、要件定義から運用までの整理、KQLやPowerShell、Azure CLI等のレビュー、監視・運用・自動化の品質向上までを対象としています。

6. 昭和の日に伝えたい、エンジニアへのメッセージ

昭和の企業統制は、人、紙、現場経験で支えられていました。

令和の企業統制は、Azureの構成、Entra IDの権限、Policyの強制、Sentinelのログ、Defenderの推奨事項、IaCの差分、Runbook、契約、責任分界で支えられます。

だからこそ、エンジニアが作るべきものは、単に「動くAzure環境」ではありません。

監査に耐えるAzure環境。事故時に説明できるAzure環境。委託先と責任分界が一致するAzure環境。経営層が意思決定できるAzure環境。法務・情シス・ベンダーが同じ地図を見られるAzure環境。

これが、クラウド法務とAzure技術支援の交差点です。

7. まとめ

昭和の日に、企業が見直すべきものは、単なるレガシーシステムではありません。

見直すべきは、レガシーな運用思想です。

権限を人で覚える。変更を口頭で済ませる。ログを取っているつもりで、使える証跡になっていない。契約とAzure構成が別物になっている。委託先に任せているが、責任分界を説明できない。

この状態を変えるには、Azureの構成そのものを、法務・監査・運用に耐える形へ作り替える必要があります。

山崎行政書士事務所は、Azure技術支援とクラウド法務を一体で捉え、エンジニアが現場で使える設計、運用、証跡、責任分界の整備を支援します。

構成で守る。ログで追う。権限で止める。契約で責任を明確にする。Runbookで動ける状態にする。

4月29日、昭和の日。過去の統制を振り返り、これからのAzure統制を設計する日として、クラウド環境を見直してみませんか。