Azure ストレージアカウントパブリックアクセス制限設定手順

2026.01.15

このブログシリーズ「クラウドセキュリティ実践集」では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」というリスクの解説から、「どうやって直すのか？」という具体的な修復手順（Azure Portal、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Azureストレージアカウントのパブリックアクセスを制限し、セキュアなアクセス制御を実装する方法について、リスクと対策を解説します。

ポリシーの説明

Azureストレージアカウントは、デフォルトでパブリックインターネットからのアクセスを許可する設定になっています。この設定では、適切な認証情報（アクセスキー、SASトークン、Azure ADトークン）があれば、世界中のどこからでもストレージアカウントにアクセスできてしまいます。

組織のデータを保護するためには、以下のいずれかの方法でアクセスを制限する必要があります：

特定の仮想ネットワーク（VNet）とIPアドレスからのみアクセスを許可
プライベートエンドポイントを使用してAzureバックボーンネットワーク内でのみ通信
ファイアウォールルールによる詳細なアクセス制御

修復方法

コンソールでの修復手順

Azure コンソールを使用して、ストレージアカウントのパブリックアクセスを制限します。

Azure Portalにログイン
- https://portal.azure.com にアクセスしてログイン
ストレージアカウントの選択
- 「ストレージアカウント」サービスに移動
- 対象のストレージアカウントを選択
ネットワーク設定の変更
- 左側メニューから「セキュリティ + ネットワーク」→「ネットワーク」を選択
- 「ファイアウォールと仮想ネットワーク」タブを確認
パブリックネットワークアクセスの制限

「パブリックネットワークアクセス」で以下のいずれかを選択：
- 「選択された仮想ネットワークとIPアドレスから有効」（推奨）
- 「無効」（プライベートエンドポイントのみ使用する場合）
注意：「すべてのネットワークから有効」は選択しないこと

仮想ネットワークの追加（「選択した仮想ネットワークとIPアドレスから有効」を選択した場合）
- 「既存の仮想ネットワークを追加」をクリック
- サブスクリプション、仮想ネットワーク、サブネットを選択
- 「追加」をクリック
IPアドレスの追加（必要に応じて）
- 「ファイアウォール」セクションで：
  - 「アドレス範囲の追加」をクリック
  - CIDR形式（例：203.0.113.0/24）またはIPアドレス範囲を入力
  - 「クライアントIPアドレスを追加」で現在のIPを自動追加（一時的なテスト用のみ）
- 重要：最小権限の原則に従い、必要最小限のIPアドレスのみを追加
例外の設定
- 「例外」セクションで必要に応じて以下を設定：
  - 「信頼されたMicrosoftサービスによるこのストレージアカウントへのアクセスを許可」：
    - Azure Backup、Azure Site Recovery、Azure DevOps等のサービスで必要
    - 通常は有効を推奨
  - 「読み取りアクセス権を持つストレージログ」：監査ログ収集に必要
  - 「読み取りアクセス権を持つストレージメトリック」：監視に必要
プライベートエンドポイントの作成（推奨）
- 「プライベートエンドポイント接続」タブを選択
- 「+ プライベートエンドポイント」をクリック
- 基本設定：
  - 名前：pe-storage-[環境名]-[リージョン]
  - リージョン：ストレージアカウントと同じリージョン
- リソース：
  - ターゲットサブリソース：blob、file、table、queue、web、dfsから選択
- ネットワーク：
  - 仮想ネットワークとサブネットを選択
- DNS統合：「プライベートDNSゾーンと統合する」を選択
設定の保存
- すべての設定を確認後、「保存」をクリック