説明可能な構成（Explainable Configuration）──NIS2／ISO 27001:2022 と Azure 実装の相互運用

山崎行政書士事務所
9月13日
読了時間: 7分

現場SE視点による課題分析と是正アーキテクチャ

山崎行政書士事務所クラウド法務ユニット

要旨（Abstract）

欧州の NIS2 と ISO/IEC 27001:2022 は、組織に対し「リスク管理・インシデント報告・証跡提示」を一体で求める。これに対し、Microsoft Azure／Microsoft Entra（旧Azure AD）の運用では、①条件付きアクセス（CA）の例外恒常化、②特権の常時付与、③ログの短期保存、④Private Endpoint × DNS の設計不整合、⑤法務文書と構成の不一致――といった“現場要因”が、監査・説明責任の阻害要因となる。本稿は、条文→設定→証跡のマッピング手順を提示し、PIM（特権のJIT化）／ブレークグラス設計／Entraログの長期保管／Key Vaultの消去防止／BlobのWORM化／Sentinelユースケースを核に、説明可能な構成を最小労力で実現する青写真を示す。NIS2 のリスク管理（Art.21）・報告（Art.23）、ISO 27001:2022 のISMS要求、NIST SP 800‑207 のゼロトラスト原則、Microsoftの EU Data Boundary の前提を踏まえる。 Microsoft Learn+4EUR-Lex+4Digital Strategy+4

キーワード：NIS2, ISO/IEC 27001:2022, Zero Trust, Microsoft Entra, Azure Policy, Microsoft Sentinel, PIM, Conditional Access, Log Analytics, Immutable Blob, Key Vault, EU Data Boundary

1. 序論（Introduction）

近年の監査は「設定画面のスクリーンショット」ではなく、一次情報（構成定義・ログ・証跡）を体系的に提示することを求める。NIS2 は、**リスク管理措置（Art.21）とインシデント報告（Art.23）**の両立を要求し、24時間以内の早期警告→72時間以内の通報→1か月以内の最終報告という運用現実をもたらした。これらは“説明可能な構成”を整備しない限り、現場SEの属人的努力では持続しない。 EUR-Lex+1

2. 関連法規・標準・ガイダンス（Background）

NIS2：加盟国に共通のサイバーセキュリティ枠組みを課し、リスク管理・報告・監督を強化。正式テキストと要約は EUR‑Lex による。 EUR-Lex+1
ISO/IEC 27001:2022：ISMS要求事項の改訂版。2024年には Amd 1:2024（気候アクション表記の更新）も発行。 ISO+1
Zero Trust：NIST SP 800‑207 に基づく境界無き前提の設計原則。ID／デバイス／アプリ／データの継続的検証を求める。 NIST Publications
EU Data Boundary：Microsoft は EU/EFTA 内でのデータ保存・処理を約束し、限定的な越境ケースは透明化した文書で提示する。規制整合を支援するが、組織側の構成・証跡設計は依然として不可欠である。 Microsoft Learn+1

3. 方法（Method）──“条文→設定→証跡”マッピング

本稿は、以下の マッピング表を核に実装する。(a) 条文／要件 → (b) Azure/Entra 設定 → (c) 検証手順 → (d) 証跡の所在。

3.1 ID/特権管理（NIS2 Art.21・ISO 27001, A.5/A.8）

特権のJIT化（PIM）：Global Admin などの常時付与を排し、承認付き一時昇格に統一。設定／監査ログの保管期間を定義。 Microsoft Learn+1
ブレークグラス（緊急用）：少なくとも1アカウントを CA（条件付きアクセス）から除外し、ロックアウト回避。平時は保管・定期演習。 Microsoft Learn+1

3.2 ログ設計（NIS2 Art.21・Art.23）

Entra 監査/サインインログの出力先：Diagnostic settings で Log Analytics／Storage／Event Hub に転送し、分析保持＋長期保存を分離。 Microsoft Learn+1
保持期間：Log Analytics はテーブル単位で保持を制御。長期保持（低コスト）を併用し、報告・再現に耐える証跡を担保。 Microsoft Learn

3.3 データ保護（バックアップ・不可変性）

Key Vault：Soft‑delete + Purge protection を有効化し、暗号鍵・秘密の消去防止を徹底。ポリシーで未設定を検出。 Microsoft Learn+1
Blob Storage：Immutable（WORM） の 時間ベース保持と リーガルホールドを要件に合わせて適用。保持監査ログも活用。 Microsoft Learn+1

3.4 ネットワーク（Private Endpoint × DNS）

Private Endpoint は Private DNS Zone と一体で設計。ハブ＆スポークやオンプレ連携時の解決順序・フォワーディングを手順化。 Microsoft Learn+1

3.5 監査適合の運用実装

Azure Policy／Defender for Cloud の Regulatory Compliance を用い、ISO 27001 等のコントロールを “体制→設定”に写像。Blueprint は 2026/7/11 廃止予定のため、Template Specs/Deployment Stacks へ移行。 Microsoft Learn+2Microsoft Learn+2

3.6 検知と初動（Sentinel）

ユースケース定義→分析ルール→自動化（Playbooks） を条文／契約要件に紐づく目的語で定義。KQL は共通演算子で可読性・再現性を担保。 Microsoft Learn+2Microsoft Learn+2

4. 結果（Findings）──“現場の落とし穴”の定型

CA例外の恒常化：ブレークグラスの“除外”は最小限の1アカウントに限定し、資格情報の保管・演習・監査ログまで設計する。Best Practiceは Microsoft が明示している。 Microsoft Learn
特権の常時付与：PIM未使用は説明不能。昇格理由・承認者・期間・ログを証跡化する。 Microsoft Learn
ログ30日問題：規程・契約の要件に対し保持が不足し、事後分析・当局報告に耐えない。Analytics保持＋長期保持の二層化で解消する。 Microsoft Learn
Private Endpoint × DNS：ゾーン分割やリンク漏れで夜間切替時に解決失敗が発生。公式のDNS統合シナリオに沿って標準化する。 Microsoft Learn
“準拠ダッシュボード＝合格”の誤解：Azure Blueprints は 2026年廃止予定。Policy as Code と Defender for Cloud へ重心を移す。 Microsoft Learn+1

5. 実装ガイド（Implementation Guide）──90分で“骨格”を作る

Step A：ガバナンス

管理グループ／サブスクリプションに Regulatory Compliance（ISO 27001等） を適用、逸脱検知を有効化。 Microsoft Learn

Step B：ID

PIM でGlobal AdminなどをEligible化、理由入力・承認・有効期間・レビューを必須化。
ブレークグラス：1アカウント除外＋保管・演習（四半期）。 Microsoft Learn+1

Step C：ログ

Entraログ→Log Analytics/Storage/Event Hub。保持はAnalytics保持＋長期保持で分離。監査対象テーブルを定義。 Microsoft Learn+1

Step D：データ不可変性

Key Vault：Soft‑delete + Purge protection。
Blob：WORM（時間ベース／リーガルホールド） を証跡要件に合わせ設定。 Microsoft Learn+1

Step E：ネットワーク

Private Endpoint の DNS統合（ハブ＆スポーク／オンプレ）を標準手順化。 Microsoft Learn

Step F：検知と初動

Sentinel に“条文ドリブン”の ユースケース→分析ルール→Playbook を実装。KQLは共通演算子に寄せて保守性を確保。 Microsoft Learn+1

6. 評価指標（Metrics）

特権の常時付与率（PIM化率）／昇格の理由入力率／例外（ブレークグラス）演習頻度。 Microsoft Learn
Entraログの保存年数（分析保持／長期保持の双方）と復元テストの結果。 Microsoft Learn
Immutable化された記録割合（監査・通報関連）。 Microsoft Learn
Sentinelユースケースの“条文対応率”（各ルールに対応条文IDを付番）。 Microsoft Learn

7. 限界と今後課題（Limitations）

Microsoft の EU Data Boundary は EU/EFTA 内での保存・処理を原則化し、限定的な越境時は透明化を進めているが、組織自身の設定・証跡設計を代替しない。SCC 2021/914・EDPB 01/2020 の枠組みと整合しつつ、転送評価（TIA）・契約条項・技術的補完策（暗号／鍵管理）を“構成”に落とす必要がある。 Microsoft Learn+2EUR-Lex+2

8. 結論（Conclusion）

説明可能な構成（Explainable Configuration）とは、“条文→設定→証跡”が一意に辿れる状態である。NIS2/ISO 27001:2022 の要求は、Azure/Entra のPIM／CA設計／ログ設計／不可変化／DNS統合／Sentinel運用を通じて運用可能なゼロトラストに翻訳できる。山崎行政書士事務所は、法務の言葉で語れる構成と構成の言葉で作れる法務を同じ資料セットで提供する。

付録A：最小チェックリスト（抜粋）

[ID] PIM化（JIT・承認・理由・期間）／ブレークグラス1アカウント除外と演習記録。 Microsoft Learn+1
[LOG] Entra監査・サインインの転送（LA/Storage/EH）／Analytics保持＋長期保持の二層化。 Microsoft Learn+1
[DATA] Key Vault：Soft‑delete + Purge protection／Blob：WORM（時間・リーガル）。 Microsoft Learn+1
[NET] Private Endpoint × DNS（ハブ＆スポーク／オンプレ）標準手順。 Microsoft Learn
[GOV] Policy/DefenderのRegulatory Compliance を適用（Blueprintsは2026/7/11廃止予定）。 Microsoft Learn+1

参照リンク集（公式・一次情報優先）

NIS2／EU規制

EUR‑Lex: NIS2 公式テキスト（2022/2555）https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
欧州委：NIS2 概要（英語）https://eur-lex.europa.eu/EN/legal-content/summary/cybersecurity-of-network-and-information-systems.html
NIS2：報告義務（Art.23）の解説（参考）https://ecs-org.eu/activities/nis2-directive-transposition-tracker/

ISO/IEC 27001:20224. ISO公式：ISO/IEC 27001:2022 概要https://www.iso.org/standard/270015. ISO公式：ISO/IEC 27001:2022/Amd 1:2024https://www.iso.org/standard/88435.html

Zero Trust6. NIST SP 800‑207（PDF）https://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.SP.800-207.pdf

Microsoft EU Data Boundary7. EU Data Boundary（Microsoft Privacy）https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn8. EU Data Boundary 変更履歴（限定的な越境の明確化等）https://learn.microsoft.com/en-us/privacy/eudb/change-log

国際データ移転（SCC／EDPB）9. 欧州委：SCC（2021/914 決定）https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj/eng10. EDPB 勧告 01/2020（最終版、PDF）https://www.edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf11. Microsoft Products and Services DPA（最新版）https://www.microsoft.com/licensing/docs/view/microsoft-products-and-services-data-protection-addendum-dpa

ID/アクセス（Entra）12. 緊急アクセス（ブレークグラス）設計https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access13. 条件付きアクセス：除外ベストプラクティスhttps://learn.microsoft.com/en-us/entra/identity/conditional-access/plan-conditional-access14. PIM（Privileged Identity Management）https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/15. アクセスレビュー（例外の定期見直し）https://learn.microsoft.com/en-us/entra/id-governance/access-reviews-overview

ログ／監査（Azure Monitor × Entra）16. Entra ログの送信（Diagnostic settings）https://learn.microsoft.com/en-us/entra/identity/monitoring-health/howto-configure-diagnostic-settings17. Log Analytics の保持（分析保持＋長期保持）https://learn.microsoft.com/en-us/azure/azure-monitor/logs/data-retention-configure

データ不可変／鍵管理18. Key Vault：Soft‑delete と Purge protectionhttps://learn.microsoft.com/en-us/azure/key-vault/general/key-vault-recovery19. Blob Storage：Immutable（WORM）概要https://learn.microsoft.com/en-us/azure/storage/blobs/immutable-storage-overview

ネットワーク（Private Endpoint × DNS）20. Private Endpoint：DNS 統合シナリオhttps://learn.microsoft.com/en-us/azure/private-link/private-endpoint-dns-integration21. Private Endpoint：DNS ゾーン値https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-dns

ガバナンス／監査適合22. Azure Policy ドキュメントhttps://learn.microsoft.com/en-us/azure/governance/policy/23. Defender for Cloud：Regulatory Compliancehttps://learn.microsoft.com/en-us/azure/defender-for-cloud/concept-regulatory-compliance-standards24. Azure Blueprints（2026/7/11 廃止予定）https://learn.microsoft.com/en-us/azure/governance/blueprints/overview

検知・初動（Microsoft Sentinel）25. Microsoft Sentinel ドキュメントhttps://learn.microsoft.com/en-us/azure/sentinel/26. Sentinel Playbooks（自動化）https://learn.microsoft.com/en-us/azure/sentinel/automation/automate-responses-with-playbooks27. Kusto Query Language 概要https://learn.microsoft.com/en-us/kusto/query/?view=microsoft-fabric