導入事例

【導入事例】BtoC/大企業/金融業/クラウド設定レビュー(Azure)

2026年4月6日

「自社で利用しているAzureの設定を外部にチェックをしてもらいたいけど、どのような流れで進むのか不安……」
そんなご担当者様に向けて、弊社の「クラウド設定レビュー（Azure設定レビュー）」のご提供ケースを紹介します！

【対象読者】
・グループ全体のクラウドガバナンス推進を担う方
（ホールディングスのIT企画、あるいは中核事業体のシステム統轄部門など）

・オンプレミス（自社所有）からAzureへの移行プロジェクトを管理する方
（従来の厳しい社内規定と、クラウドの柔軟性の間で「落とし所」を探っている方）

・「2線（リスク管理部門）」や「3線（内部監査部門）」への説明に苦慮している担当者
（専門性の高いAzureの設定が、FISC基準や監督指針のどの項目に適合するかを論理的に示したい方）

・外部ベンダーに構築を委託した環境の「ブラックボックス化」を懸念する方
（ベンダー任せにせず、CIS基準という中立的な指標で自社の安全性を再確認したい方）

CONTENTS

【1】本事例で想定するお客様像と背景
 　1-1. お客様像
 　1-2. レビュー実施の経緯
 　1-3. レビューの目的・課題
 　1-4. 調査対象

【2】ご相談から調査完了までの流れ
 　2-1. ご相談/ヒアリング
 　2-2. ご提案/ご発注
 　2-3. レビュー
 　2-4. 報告書作成
 　2-5. ご報告/アフターフォロー

【3】おわりに
 　3-1. ※セキュリティインシデントの例※

【1】本事例で想定するお客様像と背景

1-1. お客様像

大手金融機関
従業員数：1,000名～
Microsoft Azure導入：5年～

1-2. レビュー実施の経緯

・全社基準の徹底
複数の事業部門がAzureを利用しており、独自に策定した共通基準はあるものの、部門ごとの運用レベルの差が課題となっていた。

・不祥事の未然防止
大規模キャンペーンを控え、個人情報漏洩によるブランド毀損を防ぐため、経営層から第三者による客観的な診断の指示があった。

・基準の再整備
個別運用の積み重ねを整理し、独自基準から最新の脅威動向に合わせた「CIS benchmarks」の一般的な基準へのアップデートを検討していた。

1-3. レビューの目的・課題

三つの領域の並行診断
Webアプリ、ネットワーク、クラウド設定（Azure）の各領域に特化した診断を並行して実施し、サイト全体の安全性を多角的に検証する。

各層の独立性を保った網羅
それぞれの専門領域で詳細なチェックリストを適用しつつ、バラバラの業者に頼むのでは得られない「整合性の取れた評価」を目指す。

1-4. 調査対象

Microsoft Azure：1テナント
（Webアプリケーション・データベース基盤、および関連管理リソース）

【2】ご相談から調査完了までの流れ

お問い合わせから発注まで2か月、発注からレポート提出までは3週間程度
（全体で3か月弱）

2-1. ご相談/ヒアリング

対応期間：即日～数週間

調査対象となるクラウドサービスの用途やアカウントの構成などのヒアリングを実施します。
※ご希望のスケジュールがある場合は、ぜひヒアリング時にお知らせください。

2-2. ご提案/ご発注

対応期間：即日〜数日

レビュー内容のご提案後、お申し込みいただきます。
必要事項を記載し、注文書とヒアリングシートの送付をお願いいたします。

2-3. レビュー

対応期間：10営業日（1テナントあたり6～10営業日）

調査対象となるクラウドサービスに対し、レビューを実施します。

2-4. 報告書作成

対応期間：5営業日以内

レビュー完了後、約５営業日以内に報告書を提出させていただきます。
また、ご要望に応じて、web報告会の実施も可能です。実際に診断を実施したエンジニアが参加させていただきます。

2-5. ご報告/アフターフォロー

対応期間：報告書送付後～3か月
報告書の送付後もメールでのご質問をお受けいたします。※診断後3か月以内

【3】おわりに

Azureにおける設定不備は、単なるWebサイトの停止に留まらず、銀行が守るべき顧客資産や信用情報の流出、さらにはシステム全体の乗っ取りという壊滅的なインシデントに直結します。

3-1. ※セキュリティインシデントの例※

不適切な認証実装による、なりすましや不正アクセスの許容
多要素認証を迂回可能な古い認証プロトコルの残存や、統合ID管理（Entra ID）に基づかない個別認証の放置により、第三者による特権奪取を許し、その結果テナント全体への侵害につながる。

ネットワーク分離の不備による、内部資産への直接攻撃
クラウド固有のネットワーク閉域化（仮想ネットワーク統合等）が不完全なため、本来隔離されるべきデータベース等の重要リソースが、外部や他セグメントからの攻撃に晒される。

機密情報・暗号鍵の管理不備による、データ保護の無効化
アプリケーション内での静的な認証情報の保持や、組織による暗号鍵の制御（キー管理サービス）の不足により、万が一の漏洩時にデータを保護できない状態に陥る。

監視・証跡管理の死角による、侵害の長期化
脅威検知アラートや操作ログの診断設定が全レイヤーで最適化されていないため、不正侵入やデータの不正持ち出しをリアルタイムで検知できない。

レオンテクノロジーでは最新のベストプラクティスとの乖離を可視化し、確かな安全基準を再構築するお手伝いをいたします。

ぜひお気軽にご相談ください！

▼サービス詳細はこちら👇
>>>クラウド設定レビュー