Azure SQL Serverのプライベートエンドポイントの設定

2026.01.14  最終更新日: 2026.01.15

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、AWS CLI、Terraformなど)まで、分かりやすく解説します。

この記事では、Azure SQL Serverでプライベートエンドポイントが未設定となっている場合のセキュリティリスクと、具体的な設定方法を解説します。

ポリシーの説明

Azure SQL Serverへのアクセスをプライベートエンドポイント経由に制限することで、パブリックインターネットからの直接アクセスを防ぎ、セキュアな通信を実現します。プライベートエンドポイントは、Azure Private Linkサービスを利用して、プライベートエンドポイント(Azure Private Link)のネットワークインターフェースにプライベートIPが割り当てられ、サーバーのFQDNはCNAMEでprivatelink側へ誘導されてこのIPに解決されます。これにより、データベースへのすべての通信がMicrosoftバックボーンネットワーク内に留まり、インターネットを経由しないため、セキュリティが大幅に向上します。

修復方法

コンソールでの修復手順

Azure コンソールを使用して、SQL Serverにプライベートエンドポイントを設定します。

  1. Azure Portalにログイン
  2. SQL Serverリソースの選択
    • 左側のメニューから「SQL servers」を選択
    • 対象のSQL Serverインスタンスをクリックします。
  3. ネットワーク設定の確認
    • 左側メニューから「ネットワーク」を選択
    • 「パブリック アクセス」タブを確認し、現在の設定を確認します。
    • 重要: Private Endpointへ完全移行する場合、従来のVNet規則(Service Endpoints)は原則不要です。併存は可能ですが、推奨構成は「Private Endpoint + Public network access 無効化」です。
  4. プライベートエンドポイントの作成
    • 「プライベート エンドポイント接続」タブを選択
    • 「+ プライベート エンドポイント」をクリック
  5. 基本設定の入力
    • サブスクリプション: 適切なサブスクリプションを選択
    • リソースグループ: SQL Serverと同じリソースグループを選択
    • 名前: わかりやすい名前を入力(例: sqlserver-pe-prod)
    • 地域: SQL Serverと同じリージョンを選択
  6. リソース設定
    • 接続方法: 「マイ ディレクトリ内の Azure リソースに接続します」を選択
    • リソースの種類: Microsoft.Sql/servers
    • リソース: 対象のSQL Serverを選択
    • ターゲット サブリソース: sqlServer
  7. 構成設定
    • 仮想ネットワーク: アプリケーションが存在するVNetを選択
    • サブネット: プライベートエンドポイント専用のサブネットを選択(推奨:/28以上のサイズ)
    • プライベート DNS 統合は「はい」を選択し、接続元VNetをプライベートDNSゾーン(privatelink.database.windows.net)にリンクしてください。オンプレミスや別VNetからも利用する場合は、カスタムDNSで当該ゾーンへの条件付きフォワーダーなどの転送設定を構成します。
    • プライベートDNSゾーン: 新規作成または既存の「privatelink.database.windows.net」を選択
  8. 確認と作成
    • 設定内容を確認
    • 「作成」をクリックしてプライベートエンドポイントを作成
  9. パブリックアクセスの無効化
  • プライベートエンドポイントの作成後、「ネットワーク」に戻る
  • 重要: 以下の確認を必ず実施してから無効化を行ってください:
    • アプリケーションからプライベートエンドポイント経由での接続テスト
    • DNS解決の確認(FQDNがプライベートIPに解決されること)
    • 既存の接続への影響評価
  • 「パブリック アクセス」タブで「選択されたネットワーク」を選択(段階的移行の場合)
  • 完全移行後は「Public network access」を「無効」に加え、「Allow Azure services and resources to access this server」も無効化してパブリック経路を遮断します。
  • 「保存」をクリック
  • 警告: この設定を無効にすると、既存のパブリック接続は即座に切断されます

最後に

この記事では、Azure SQL Serverでプライベートエンドポイントが未設定となっている問題について、リスクと対策を解説しました。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

参考情報

この記事をシェアする

クラウドセキュリティ対策実践集一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

見積もりを希望する
資料ダウンロード

料金プランを詳しく見る