Azureは「動いている」だけでは足りない

情シスが押さえるべきクラウド法務・監査・Azure技術支援の実務ポイント

企業のクラウド利用は、もはや単なるインフラ選定ではありません。Azure、Microsoft 365、Microsoft Entra ID を使う企業では、ネットワーク、ID、ログ、バックアップ、委託先管理、越境データ、監査対応がすべてつながっています。

システムとしては正常に動いている。しかし、監査や取引先説明の場面で、次の質問に答えられるでしょうか。

「誰が管理者権限を持っているのか」「委託先が操作した証跡はどこに残るのか」「障害・侵害時に、誰が何を説明するのか」「海外拠点や外部サービスにデータが流れる場合、契約・規程・構成図は一致しているのか」

Microsoft も、クラウド利用ではクラウド事業者と利用企業の責任を理解することが重要であり、責任範囲は SaaS、PaaS、IaaS など利用形態によって異なると説明しています。つまり、Azureを使っているから自動的に安全・適法・監査対応済みになるのではなく、利用企業側の設計・運用・説明責任が残ります。

Azure設計は、情シスだけの問題ではなくなった

Azureの技術設計を考える際、Microsoftの Azure Well-Architected Framework では、信頼性、セキュリティ、コスト最適化、オペレーショナル エクセレンス、パフォーマンス効率という5つの柱が示されています。これは単なる技術ベストプラクティスではありません。監査、契約、BCP、委託先管理、経営判断に直結する設計思想です。

たとえば、セキュリティを強化するために多要素認証を有効化しても、例外アカウントの扱い、委託先の操作権限、緊急時の解除判断、ログ保存期間が整理されていなければ、監査では「なぜその運用でよいのか」を説明できません。

コスト最適化も同じです。単に費用を下げるのではなく、どのシステムに、誰の判断で、なぜそのコストが発生しているかを説明できる状態が必要です。タグ設計、サブスクリプション分離、管理グループ、予算アラート、変更承認は、経理・監査・経営説明の基礎になります。

まず見るべきは「Landing Zone」「ID」「ログ」

Azure導入・見直しで最初に確認すべきなのは、個別サーバーや個別アプリの設定だけではありません。Microsoftは Azure Landing Zone を、Azure環境を大規模に設定・管理するための標準化された推奨アプローチと位置付け、セキュリティ、コンプライアンス、運用効率に関する要件に合わせて組織全体の一貫性を確保する基盤と説明しています。

特に重要なのは、次の3点です。

1. IDと権限設計Microsoft Entra 条件付きアクセスは、ユーザー、デバイス、場所などのシグナルを組み合わせてアクセス判断を行う、Microsoftのゼロトラストポリシーエンジンとされています。MFAを要求する、準拠デバイスのみ許可する、危険なサインインを制御する、といった技術設定は、業務継続と資産保護のバランスを取るための設計です。

しかし、情シスの実務では「厳しくする」だけでは足りません。重要なのは、通常業務を止めず、異常時だけ確実に止め、例外の理由と承認者を残すことです。特権IDについては、Microsoft Entra Privileged Identity Management が、重要リソースへのアクセス管理・制御・監視、Just-In-Time の特権アクセス、承認、多要素認証、監査履歴のダウンロードなどを提供します。

2. ログと証跡設計Azure Monitor のアクティビティログは既定で収集されますが、Azureではアクティビティログイベントは90日間保持された後に削除されます。より長期の保持や追加機能が必要な場合は、診断設定により別の場所へ収集する設計が必要です。

これは監査上、非常に重要です。事故が起きてから「ログがありません」では、技術的にも法務的にも説明が難しくなります。取引先との契約でログ保全、事故時報告、監査協力が求められている場合、Azure Monitor、Log Analytics、Microsoft Sentinel、ストレージ保管、保持期間、閲覧権限を事前に整理しておく必要があります。

3. セキュリティ監視とコンプライアンス評価Microsoft Defender for Cloud は、マルチクラウド環境やDevOps環境からセキュリティデータを収集し、クラウドワークロードやリソース保護のための分析情報、推奨事項、アクションを提供すると説明されています。また、CNAPPとして、構成ミスの発見、ポリシー適用、リスク修正、統合されたセキュリティ運用に関わります。

さらに、Defender for Cloud の規制コンプライアンス標準では Azure Policy イニシアチブが使われ、選択したスコープに対して標準を継続的に評価し、準拠・非準拠や修復推奨事項を示します。

ただし、ここで注意が必要です。ダッシュボードで「準拠」と表示されることと、契約・規程・法令対応として説明できることは同じではありません。Azure Policy や Defender for Cloud は強力な技術的根拠になりますが、それを自社の規程、委託契約、DPIA、TIA、SCC、ISMS、NIST対応、監査資料にどう接続するかは、人間が設計しなければなりません。

Sentinel運用は、今後の移行計画も論点になる

Microsoft Sentinel を利用している企業では、今後の運用画面も確認が必要です。Microsoft Learnでは、Microsoft Sentinel は Defender ポータルで一般公開されており、2027年3月31日以降は Azure portal でサポートされず、Microsoft Defender ポータルでのみ使用できるようになると案内されています。

これは単なる画面変更ではありません。SOC運用、インシデント対応手順、KQLクエリ、ブック、分析ルール、アラート通知、委託先SOCとの作業分担に影響します。情シス担当者は、早めに次の点を確認すべきです。

現在のSentinel運用が Azure portal 前提になっていないか。Defenderポータル移行後も、アラート確認・調査・証跡取得・報告書作成が同じ手順でできるか。委託先SOCやMSPとの契約・運用手順書に、ポータル変更後の責任分界が反映されているか。

コンプライアンスは「ツール導入」ではなく「説明可能性」で決まる

Microsoft Purview コンプライアンス マネージャーは、マルチクラウド環境全体のコンプライアンス評価・管理、データ保護リスクのインベントリ、制御実装の管理、規制や認証の最新情報の把握、監査人への報告を支援するソリューションとされています。

これは非常に有用ですが、最終的に監査や取引先から問われるのは、スコアそのものではありません。

「このリスクに対して、どの技術設定で、どの規程に基づき、誰が運用し、どのログで証明するのか」

この対応関係が整理されているかどうかです。

たとえば、GDPR、SCC、TIA、NIST、ISMS、個人情報保護法、委託先管理、秘密保持契約、再委託条項、インシデント通知条項を扱う場合、Azureの構成図と契約・規程が別々に存在しているだけでは足りません。ID、ネットワーク、ログ、暗号化、バックアップ、データ所在地、外部共有、API連携、運用委託を、ひとつの説明資料としてつなげる必要があります。

情シスが今すぐ確認すべき実務チェック

Azure環境を利用している企業は、まず次の観点で現状を確認することをおすすめします。

責任分界Microsoft、社内情シス、SIer、MSP、SOC、海外拠点、業務部門の役割が文書化されているか。特に、障害時・侵害時・権限変更時・ログ提出時の責任者が決まっているか。

ID・権限Entra ID、条件付きアクセス、MFA、PIM、RBAC、外部ユーザー、緊急用アカウントの設計が、業務実態と一致しているか。例外設定に理由と承認履歴があるか。

ログ・監査証跡Azure Activity Log、Entra監査ログ、サインインログ、Defender、Sentinel、Log Analytics の保持期間と閲覧権限が整理されているか。90日を超える証跡保全が必要な場合、診断設定や保管先が設計されているか。

バックアップ・DRバックアップ対象、復旧手順、復旧テスト、DNS・証明書・ID基盤の依存関係が整理されているか。「復旧できる」と言える根拠資料があるか。

委託契約・運用規程委託先の操作範囲、再委託、通知義務、ログ保全、事故時報告、監査協力、秘密保持が、実際のAzure運用と一致しているか。

越境データ・外部連携海外拠点、海外SaaS、API連携、外部SOC、生成AIサービス等にデータが流れる場合、データフロー、契約、規程、技術制御が同じ説明になっているか。

山崎行政書士事務所が支援できること

山崎行政書士事務所は、Azure / Microsoft 365 / Entra ID の構成、ID、ログ、バックアップ、責任分界、越境データを同じ地図で整理し、法務・監査・国際対応につなげる支援を行っています。事務所サイトでも、Azure / M365 / Entra ID を前提に、ログ設計・権限設計・運用証跡を法務・監査・国際対応までつなげる方針を掲げています。

当事務所の強みは、クラウド構成図と契約・規程を別々に見るのではなく、Azureの実装レベルを前提に、監査・契約・責任分界・国際データ対応を整理できることです。クラウド法務ページでも、Azure・M365・Entra と GDPR・NIS2・SCC などを結び、クラウド構成図と契約・規程をセットでレビューする考え方を示しています。

具体的には、次のような支援が可能です。

Azure Landing Zone、サブスクリプション、管理グループ、ネットワーク、ID、ログの設計レビュー。Entra ID、条件付きアクセス、PIM、RBAC、外部共有の説明可能化。Defender for Cloud、Microsoft Sentinel、Azure Monitor、Log Analytics を前提にした監査証跡整理。委託先・SIer・MSP・SOCとの責任分界表、運用手順、契約条項整理。GDPR、SCC、TIA、NIST、ISMS、個人情報保護法を意識したクラウド法務資料の整備。経営層・監査部門・取引先に説明するための構成図、対応表、報告資料の作成支援。

Azureは、導入して終わりではありません。本当に重要なのは、動いている環境を「説明できる環境」に変えることです。

情シス担当者が技術を理解し、法務・監査・経営が同じ前提で判断できる状態をつくる。それが、これからのAzure運用に必要なクラウド法務です。

Azureの構成、ログ、権限、委託契約、越境データ対応に不安がある企業様は、山崎行政書士事務所へご相談ください。技術と法務の間に立ち、現場で使える形まで整理します。

注記

※本記事は一般的な情報提供を目的としたものです。個別案件では、契約内容、データの種類、利用国、委託関係、Azure構成、運用体制により整理手順が異なります。※当事務所は行政書士業務の範囲内で、契約書・規程・説明資料・手続書類等の作成、クラウド法務上の論点整理、Azure技術支援を行います。紛争性のある法律事件、代理交渉、訴訟対応等は弁護士等の専門職への相談が必要です。※Microsoft、Azure、Microsoft 365、Microsoft Entra、Microsoft Defender、Microsoft Sentinel は、Microsoft Corporation の商標または登録商標です。当事務所は独立したサービス提供者であり、Microsoft公式ロゴは使用しません。