構成で守る。証跡で証明する。

山崎行政書士事務所
9月12日
読了時間: 8分

クラウド法務 × Azure セキュリティで、設計・実装・運用・監査・契約まで一気通貫。NIS2 / ISO/IEC 27001:2022 / 個人情報保護法対応を、構成証跡から確実に。

著者：山崎行政書士事務所（クラウド法務・セキュリティ実装支援チーム）

対象読者：SE、セキュリティ責任者（CISO/CSIRT）、法務・コンプライアンス担当

注記：本稿は一般情報の提供であり、個別の案件に対する法的助言を構成するものではありません。

要旨（Abstract）

クラウド利用における規制・契約・監査の要求は、テキスト規程や運用手順だけでは満たしきれない。必要なのは、**構成で守る（技術統制をアーキテクチャに組み込む）**ことと、証跡で証明する（継続的に取得されるメタデータと監査エビデンスで実在を示す）ことの両立である。本稿は、NIS2 / ISO/IEC 27001:2022 / 個人情報保護法等の要求を、Azure の実装（Policy/Bicep/Terraform、Defender/Sentinel、Entra/Intune、Purview/MIP/DLP）に一体で写像し、設計—実装—運用—監査—契約を一気通貫で回す標準フレームを提示する。柱は次の五つである。

1)ガバナンス＆規程・契約、

2) セキュア設計・実装（Landing Zone）、

3) ID・端末・権限、

4) 検知・対応（SOC/SOAR）、

5) データ保護＆法務整合。併せて、構成証跡ドリブンの台帳・ダッシュボード・KPI を定義し、監査・取引先審査に耐えるエビデンス・チェーンを整える。

1. 背景と問題設定

クラウドの導入・拡張は俊敏性と引き換えに、次の構造的課題を生む。・構成ドリフトにより「規程と実態の乖離」が恒常化する。・変更の出所・根拠・承認のトレーサビリティが弱く、監査の都度リライトが発生する。・規制（越境・委託・SCC/DPA 等）と Azure 実装を往復翻訳できる専門性が分断される。・セキュリティ強化が運用負荷を増やし、持続性を損なう。これに対し、構成を標準化し、証跡を自動収集し、規程・契約と一体管理するアプローチが必要である。

2. アプローチと設計原理

二つの原理を先に置く。(i) 設計で守る：意図したセキュリティ状態をAzure の構成として固定化し、Policy により逸脱を発生前に拒否または自動是正する。(ii) 証跡で証明する：誰が・いつ・何を変更したかをResource Graph／Activity Log／診断ログで継続取得し、保存・改ざん耐性・検索性を備えた Evidence として保全する。この二つを、規程・契約・RoPA（処理記録）と突き合わせ、**監査一致性（紙と構成の一致）**を担保する。

3. 五つの柱（Solution Overview）

3.1 ガバナンス＆規程・契約

セキュリティポリシー／運用手順／RACI／委託契約（DPA/SCC）雛形を準備し、準拠要件 → Azure 設定への対応表を整備。規程の条文は、Azure Policy 定義（Deny/DeployIfNotExists）や RBAC/PIM ルールに対応付け、条文と構成の一対一対応を確立する。RoPA と構成台帳を連携し、処理目的・データ分類・保管場所・越境可否を構成メタと同一キーで管理する。

3.2 セキュア設計・実装（Azure Landing Zone）

Hub-Spoke もしくは vWAN で境界と経路制御を固定化。Azure Firewall/WAF、Private DNS、NSG/ASG、Private Endpoint を既定値とし、Public 露出は例外承認制にする。Managed Identity を徹底し、Key Vault（RBAC/CMK）により鍵主権を実現。条件付きアクセスはMFA 必須・レガシー認証遮断・デバイス準拠を基準に、例外は期間・根拠・責任者を明記する。

3.3 ID・端末・権限（Entra / Intune / PIM）

身元保証フローと JML（Joiner–Mover–Leaver）を自動化。最小権限を原則に、特権は PIM により時間制・承認制・監査ログ必須。Intune の構成プロファイル／コンプライアンスポリシーで端末の健全性を条件付きアクセスと連動させる。

3.4 検知・対応（Defender / Sentinel / SOAR）

Defender for Cloud の推奨修復を Policy で強制力に変換する。Sentinel のアナリティクスと Playbook（Logic Apps）で半自動応答を実装し、MTTD/MTTR を KPI として可視化。過検知は整流化ルールと抑制ポリシーで継続調整する。

3.5 データ保護＆法務整合（Purview / MIP / DLP）

MIP による分類・ラベリング、DLP による意図しない送信の抑止、Purview によるデータマップとリネージュで可視化し、RoPA と双方向参照にする。二重暗号化・CMK・Immutable/Soft Delete 等の技術的保護措置は、契約条項・越境要件と整合させる。

（オプション）事業継続では Azure Backup / Site Recovery、GRS/RA‑GRS、論理削除・不変保持を適用し、演習記録まで Evidence 化する。

4. 構成証跡ドリブン（Evidence Architecture）

収集：Azure Policy 準拠率、Resource Graph（構成スナップショット）、Activity/Diagnostic Logs、Defender/Sentinel の検知・応答履歴、Key Vault 監査、Purview スキャン結果を定期取得。保全：Log Analytics＋アーカイブ、ストレージの不変ポリシー、バックアップ保護で改ざん耐性を確保。突合：規程・契約・RoPA の項目と、Azure 構成・ログのキーを設計段階で名寄せし、検索→提示が 1 クリックで完了する状態を作る。提示：ダッシュボードで Secure Score、Policy 準拠率、MTTD/MTTR、重大アラート対応率を役割別に提示。監査・取引先審査へは提出テンプレで迅速に応答。

5. 成果物（Deliverables）

・セキュリティ基本規程／個別手順書／委託契約条項（DPA/SCC）雛形・Azure セキュリティ基準書（準拠要件 → Azure 設定の対応表）・構成台帳（Subscription／RG／Resource／タグ／責任者／証跡格納先）・Azure Policy セット（Private Endpoint 強制、HTTP 無効、診断設定の既定化等）・Terraform/Bicep サンプル（主要サービスのセキュア既定）・監査用エビデンスパック（ダッシュボード、レポート、提出テンプレ）・運用 Runbook（定例点検、権限棚卸、アラート・障害ハンドリング）

6. 導入ステップ（目安）

現状診断（2–4 週）：構成・ログ・ポリシー棚卸し、ギャップ可視化。設計（3–6 週）：ガバナンス・ネットワーク・ID・データ・監査の全体設計。実装（4–12 週）：ALZ 整備、Policy 適用、Defender/Sentinel 設計、Intune 展開。運用移管＆教育（2–4 週）：手順化、権限・証跡運用、KPI レビュー、改善計画。監査・認証支援（随時）：NIS2/ISO/ISMS/委託先審査、エビデンス生成・提出代行。※期間は規模・既存資産により変動します。

7. サービスプラン（目安）

アセスメント・ライト（固定価格）：主要 10 観点をクイック診断、是正優先度付け。

設計・実装パッケージ（スコープ見積）：ALZ / Policy / Defender / Sentinel / Intune / Purview を要件別に組合せ。

運用伴走（MSP 型）：月次レビュー、アラート整流化、権限棚卸、KPI 報告、監査前点検。監査・認証対応セット：規程・契約・エビデンスを同時整備、審査 Q&A 支援。

8. Azure 推奨ベースライン（抜粋）

Entra ID：全ユーザー MFA、条件付きアクセスでリスク・デバイス準拠強制、PIM 必須化。ネットワーク：Private Endpoint 標準、Public 許可は例外承認、Firewall/WAF 基準、DDoS 保護。

データ：CMK 検討、Key Vault RBAC、重要データは二重暗号化領域を検討。

監視：診断設定は Policy で強制、Log Analytics 集中、アラート閾値の根拠化。

タグ・所有権：CostCenter / Owner / DataClass / BCPTier を必須タグに。

9. 運用 KPI と可視化

目標例：Secure Score +15〜25pt、MTTD < 30 分、MTTR < 4 時間。

ダッシュボード：Sentinel / Defender / Cost / Policy 準拠率を役割別表示。KPI は四半期レビューで見直し、過検知率・是正リードタイムも併せて改善対象とする。

※目標は環境・リスク許容度により設計。

10. よくある課題と対処（アンチパターン）

・構成ドリフト：IaC と Policy（Deny/DeployIfNotExists）で発生前ブロック。・人手依存の証跡：Resource Graph と診断ログを定期スナップショット化。・Public 露出の散在：Private Endpoint を既定、例外は承認・期限・代替策を記録。・特権の恒常付与：PIM による時間制・承認制へ移行。・過検知地獄：SIEM の整流化ルール・抑制・チューニングを継続運用に組込む。

11. FAQ（抜粋）

Q. 既存の SIEM/EDR があっても相談できますか？

A. はい。Sentinel/Defender 連携、Syslog/CEF 中継、重複検知の整流化を設計します。

Q. オンプレ AD／VPN 前提のハイブリッドにも対応？

A. はい。ハイブリッド Join、Windows Hello for Business、CA/SSO の整合、フェデレーション見直しに対応。

Q. EU 委託（SCC/DPA）や海外拠点との整合は？

A. データ移転設計と書面（契約・記録）を構成証跡と一体で整備します。

Q. インシデント直後の緊急支援は？

A. 初動手順・保全・暫定封じ込め・法的留意点の助言まで一気通貫で支援します。

12. クイック診断（5 分）

以下 10 項目に“はい/いいえ”で回答すると、改善優先度と想定効果の概算を提示します。

全ユーザー MFA 必須／外部 ID 制御。
レガシー認証を全面遮断。
特権は PIM で時間制・承認制。
重要 PaaS は Private Endpoint 化。
Key Vault は RBAC／アクセスログ常時有効。
診断設定は Policy で強制。
Defender 推奨修復は定例是正。
Sentinel で高優先イベントは自動起票・自動封じ込め。
Intune で端末準拠を CA に連携。
構成台帳と証跡の保管先・保持期間が規程と一致。

13. まとめ（結論）

設計で守ることと証跡で証明することは一体である。規程・契約・RoPA を Azure の実装と相互参照可能にし、Policy と IaC で逸脱を封じ、ログと台帳で継続証跡を積み上げる。これにより、NIS2 / ISO/IEC 27001:2022 / 個人情報保護法の要求に対し、日常運用の副産物として監査エビデンスが蓄積される状態を作れる。山崎行政書士事務所は、クラウド法務 × Azure 技術の一体設計で、設計—実装—運用—監査—契約をつなぎ、構成証跡から確実な適合を実現する。