Microsoft Azure は、金融サービス業界の大企業向けパブリック クラウドとして急速に人気を集めています。オンプレミスのアプリケーション環境を強化する手段、またはオンプレミス環境に代わるものとして、さまざまなグローバル金融サービス機関から Azure が選ばれている主な理由は以下のとおりです。

• Azure クラウドで提供される高度なセキュリティ
• サブスクリプション内のコンプライアンスとセキュリティに対する卓越した統制
• Azure で提供される多数のデータ ガバナンスおよび保護機能
• Azure クラウドが準拠している数多くのグローバル規制標準(詳細はマイクロソフト セキュリティ センターを参照)

グローバル規制に対応する Azure ソリューションの要件

Azure は、企業がリージョン間のデータ フローを制御し、そのデータにアクセスするユーザーや管理するユーザーを制御できるように構築されています。各ソリューションについて説明する前に、要件を確認しておきましょう。

グローバル規制の例

数多くの政府機関がデータの保存方法、保存場所、管理方法に関する法規制を制定しています。その中でも、特に厳格かつ知名度の高いものをいくつかご紹介します。

• 欧州連合 (EU)

一般データ保護規則 (GDPR、英語) は、EU に居住する個人からの個人情報の収集とその処理に関するガイドラインを規定した法的枠組みです。

• ドイツ

連邦データ保護法 (英語) は、従業員のデータを処理するうえでの条件とデータ主体の権利に関する制限を規定した法律です。

データ ローカライズおよび管理法 (英語) は、ドイツ国民に関するデータの収集について、適切な保護と暗号化、ドイツの政治的境界内にある物理デバイスのみへの保存、ドイツ国民のみによる管理を義務付ける法律です。

• 中国

サイバーセキュリティ法 (CSL、英語) は、データのローカライズ、インフラストラクチャ、管理に関する法律です。

• カナダ

個人情報保護および電子文書法 (PIPEDA、英語) は、カナダ全土の消費者データを不正使用や開示から保護するものです。

アーキテクチャおよび設計要件

上記の規制要件に加えて、これらのシナリオに固有の技術的要件も存在します。クラウド アプリケーションやインフラストラクチャのアーキテクトは、国際的な法規制に違反することなくビジネス機能を実現するソリューションの開発に携わることがあります。その際には、以下のような要件を考慮する必要があります。

グローバリゼーション

グローバル化されたビジネス モデルでは、複数の金融市場に日々継続的にアクセスします。それらの市場は、運営方法も、言語も、文化も、もちろん規制もそれぞれ異なります。そうした違いがあっても、クラウドに配置されたサービスは市場間で一貫性を持つように設計して、管理性と利用者の利便性を確保する必要があります。

サービスとデータの管理

ドイツや中国は、データとそのデータを保存するインフラストラクチャの管理を自国民のみに許可している代表的な国です。

データのローカライズ

多くの国では、最低でも一定の自国のデータ主権として、国境内にデータを物理的に保持することを義務付けています。規制対象のデータを国外に転送することや、規制要件を満たさないデータを国内に転送することはできません。

信頼性

上記のような要件が多数あることによって、高可用性、データ レプリケーション、災害復旧に対応した設計が少し複雑になります。たとえば、データのレプリケーション先は、国や地域の基準や法律に違反しない場所に限定する必要があります。同様に、災害復旧 (DR) のシナリオが発生した場合には、DR サイトのアプリケーションが法律や標準に定められた境界を超えて情報にアクセスしないようにする必要があります。

認証

ロールおよび ID ベースのアクセス制御をサポートする適切な認証によって、法的に承認されている想定どおりの個人のみがリソースにアクセスできるようにする必要があります。

Azure ソリューション

セキュリティ コンポーネント

Azure Active Directory (Azure AD)

Azure Active Directory (Azure AD) はクラウドベースの Active Directory であり、クラウドの柔軟性、スケーラビリティ、パフォーマンスを活用すると同時に、お客様が使い慣れた AD の機能を維持しています。これらの機能の中には、管理可能なサブドメインを作成し、対象の国や地域に関連する ID のみを含める機能があります。また、企業間 (B2B) の関係や企業と消費者間 (B2C) の関係を区別する機能もあり、顧客による顧客自身のデータへのアクセスと、管理上のアクセスを明確に区別することができます。  

Azure Sentinel

Azure Sentinel は、スケーラブルなクラウド ネイティブの SIEM (セキュリティ情報イベント管理) および SOAR (セキュリティのオーケストレーションおよび自動化による対応) ソリューションです。企業全体をカバーするインテリジェントなセキュリティ分析と脅威インテリジェンスを提供し、単一のソリューションでアラートの検出、脅威の可視化、プロアクティブな捜索、脅威への対応を実現します。

Azure Key Vault 

Azure Key Vault は、クラウド上のアプリケーションやサービスで使用される暗号化キーとシークレットを保護するサービスです。Key Vault を使用することで、キーの管理プロセスを簡素化し、データのアクセスや暗号化のためのキーを制御することができます。開発者は、開発およびテスト用のキーを数分で作成し、運用環境用のキーに移行することができます。セキュリティ管理者は、必要に応じてキーへのアクセス許可の付与 (および取り消し) を行うことができます。

ロールベースのアクセス制御

クラウドを使用している組織にとって、クラウド リソースのアクセス管理は不可欠な機能です。ロールベースのアクセス制御 (RBAC) を使用すると、Azure リソースにアクセスできるユーザー、そのユーザーが実行できるリソースの操作、アクセスできる領域を管理できます。RBAC は Azure Resource Manager を基盤として構築された承認システムで、Azure リソースへのアクセスをきめ細かく管理することができます。

Azure Security Center

Azure Security Center は、データセンターのセキュリティ体制を強化する統合型のインフラストラクチャ セキュリティ管理システムで、Azure か他のクラウドかにかかわらず、クラウドとオンプレミスのハイブリッド ワークロードを保護する高度な脅威防止機能を提供します。

ガバナンス コンポーネント

Azure Blueprints

Azure Blueprints は、クラウド環境を反復可能な方法でデプロイおよび更新できるようにするサービスで、Azure Resource Manager テンプレートなどの構成可能なアーティファクトを使用して、リソース、ロールベースのアクセス制御、ポリシーをプロビジョニングできます。Blueprints を使用すると、特定の場所または地域に対して特定のポリシーやコントロールをデプロイできます。ブループリントのサンプルについては、こちらの GitHub リポジトリ (英語) をご確認ください。

Azure Policy

Azure Policy は、ポリシーの作成、割り当て、管理に使用できる Azure サービスです。これらのポリシーにより、リソースに対してさまざまなルールを適用できるため、それらのリソースを、企業の標準やサービス レベル アグリーメントに準拠した状態に維持できます。たとえば、特定のリソース グループにアクセスできるロールを限定したポリシーや、特定のリソース グループに許容するリソース サイズを指定したポリシーを設定することができます。新しいリソースをグループに追加すると、そのエンティティにポリシーが自動的に適用されます。Azure Policy の構成のサンプルについては、こちらの GitHub リポジトリ (英語) をご確認ください。

Azure Virtual Datacenter (VDC) プログラム

Azure Virtual Datacenter (VDC) プログラムは、企業におけるアプリケーションおよびワークロード環境のデプロイメントと制御を標準化することを目的として設計された手法やひな型を集めたものです。VDC では、Azure Policy や Azure Blueprints など、他の複数の Azure 製品を利用します。VDC のサンプルについては、こちらの GitHub リポジトリ (英語) をご確認ください。

インフラストラクチャ コンポーネント

Azure Site Recovery (ASR)

Azure Site Recovery (ASR) は、Azure リージョン間またはオンプレミス環境と Azure 間のデータ レプリケーションおよび災害復旧サービスを提供します。ASR では、簡単な構成によって、同一または異なる国や地域の Azure リージョン間でレプリケーションやフェールオーバーを行うことができます。

高可用性

Azure クラウドでは、複数の方法で仮想マシン (IaaS、サービスとしてのインフラストラクチャ) の高可用性を実現できます。ネイティブのフェールオーバー方法は次の 2 種類です。

• Azure 可用性セット (英語) は、単一の Azure データセンター内の複数の障害ドメインと更新ドメインにデプロイした仮想マシンのグループです。可用性セットを使用することで、アプリケーションが単一障害点 (ネットワーク スイッチやサーバー ラックの電源装置など) の影響を受けないようにすることができます。可用性セットでは、サービス レベル アグリーメント (SLA) によって 99.95% の可用性が保証されます。
• 可用性ゾーンは、仮想マシンを複数の障害ドメインと更新ドメインにデプロイするという点では可用性セットと変わりません。違うのは、単一のリージョン内の複数の Azure データセンターに VM を分散することで、さらに高レベルの可用性を提供 (SLA によって 99.99% を保証) する点です。

PaaS (サービスとしてのプラットフォーム) については、高可用性がサービスに組み込まれているため、上記の IaaS サービスのような構成をお客様が行う必要はありません。

保存データの暗号化

保存データの暗号化 (英語) は一般的なセキュリティ要件です。Azure では、カスタムのキー管理ソリューションを利用するリスクやコストを回避して、保存データを暗号化することができます。お客様は、保存データの暗号化の管理を Azure に全面的に任せることも、さまざまなオプションを使用して暗号化や暗号化キーを厳密に管理することもできます。

まとめ

上記の機能は、業界トップクラスのカバー範囲を誇る各リージョンと広範なグローバル ネットワークで提供しています。グローバル規制の遵守、データ保護、データ プライバシー、セキュリティへの取り組みを通じて、Azure はグローバル金融サービス機関のお客様の複雑かつミッションクリティカルなワークロードのクラウド移行を独自の立場から支援しています。

Azure のコンプライアンスの詳細については、マイクロソフト セキュリティ センターのコンプライアンスの概要ページをご覧ください。