インターネットでSMBファイル共有を安心して使える時代が到来？――Azureファイルストレージ：Microsoft Azure最新機能フォローアップ（9）（3/3 ページ）

マイクロソフトのクラウドサービス「Microsoft Azure」では、日々、新たな機能やサービスが提供されています。今回は、2015年10月に正式リリースとなったAzureストレージの新機能「ファイルストレージ」を紹介します。

[山市良，テクニカルライター]

【注意】ファイアウオールのポート開放は熟慮の上で

　Windows 8およびWindows Server 2012以降のWindows（およびSMB 3.0をサポートするLinux）からは、SMB暗号化が有効なSMB 3.0を使用して、Azureファイルストレージの共有フォルダーに接続できます。

　Windows 7およびWindows Server 2008 R2の場合はSMB 2.1までしか対応していないため、オンプレミスや別リージョンのAzure仮想マシンからは接続できません。それ以前のWindowsはSMB 2.1に対応していないため、場所に関係なく共有フォルダーに接続することはできません。

　インターネット経由で共有フォルダーにアクセスする場合は、SMB 3.0のSMB暗号化で保護されているかどうか気になるでしょう。「Get-SmbConnection」コマンドレットを使用すれば、SMB暗号化で保護されている（EncryptedがTrueである）ことを確認できます（画面6）。

画面6　「Get-SmbConnection」コマンドレットでSMB暗号化（Encrypted）が有効（True）であることを確認できる

　なお、SMB暗号化に対応していないSMB 2.1クライアント（Windows 7など）からインターネット経由で共有フォルダーにアクセスすると、「システムエラー5が発生しました。アクセスが拒否されました。」というエラーが表示されて接続が拒否されます。

　また、Azureファイルストレージの共有フォルダーにオンプレミスやモバイル環境、あるいは自宅から接続する際には、ファイアウオールでTCPポート445への送信方向のトラフィックが許可されていなければなりません。許可されていないと接続に失敗し、「システムエラー53が発生しました。ネットワークパスが見つかりません」と表示されます。

　ブロードバンドルーターの中には、TCPポート445を含むSMBトラフィックの送受信をブロックするものがあります。また、ネットワークサービスプロバイダーによっては、SMBトラフィックを許可していない場合もあります。その理由は、前述したようにSMBがインターネットでの利用を想定されたプロトコルではなく、セキュリティ上のリスクがあるからです。

　Azureファイルストレージを利用するためにTCPポート445への発信を許可する前に、セキュリティ上のリスクをよく検討してください。Azureファイルストレージの利用はSMB暗号化で保護されますが、Azureファイルストレージとは関係のないSMBトラフィックがセキュリティ問題になる可能性があります。なお、Azureファイルストレージのために受信方向のTCPポート445は開放する必要はありませんし、決して開放するべきではありません。

　例えば、2015年の春、Windowsに古くから存在していた、以下のグループポリシーの脆弱（ぜいじゃく）性が公表されました。この脆弱性は、Active Directoryドメインに参加するシステムを、攻撃者が制御しているネットワークに接続するように誘導できる条件下において、脆弱性を悪用してリモートコードの実行が可能になるというものでした。

• マイクロソフト セキュリティ情報 MS15-011 - 緊急 > グループ ポリシーの脆弱性により、リモートでコードが実行される（3000483）（マイクロソフト セキュリティ TechCenter）

　そもそも、オンプレミスのネットワークの境界でSMBトラフィックがブロックされていれば、攻撃者が制御しているネットワークに誘導されたとしても成功しないため、脆弱性が悪用されるリスクは軽減されます。

　特定のトラフィックがファイアウオールでブロックされるネットワークは、ブロックされないネットワークよりも確実に安全です。通信に必要だからポートを開くのではなく、リスクを承知し、影響を検討した上で開くようにしましょう。

　筆者の自宅のブロードバンドルーターは、既定でTCPポート445の発信をブロックしていました。Azureファイルストレージを試用するために一時的に発信方向だけを許可しましたが、試用後に再びブロックするように戻しました。つまり、これまでも、そして今後も、筆者の自宅からAzureファイルストレージを利用することはできません。

「Microsoft Azure最新機能フォローアップ」バックナンバー

• Azure BastionのSKUが増えました　新たに追加された「Developer」「Premium」の違いは？　接続方法は？
• 「Windows Admin Center 2311」がマイナービルドアップデート、更新後のAzureサインインエラーに要注意
• Azure Stack HCIの最新バージョン「23H2」リリース、デプロイ方法の大幅変更に注意！
• Azure VM Image Builderの新機能「トリガーによるイメージの自動作成」とは？
• 次世代「Windows Admin Center」は“ゲートウェイがモダン化”、その進化の中身は？
• 「Windows Admin Center 2311」がリリース、Windowsクライアント管理機能がさらに強化
• マルチクラウドとオンプレミスの一元管理がさらに容易に――Azure Arc対応Virtual Machine Managerの一般提供が開始
• Windowsに続き、AzureでのTLS 1.0／1.1のサポートが「2024年10月末」に終了　その影響は小さい？
• SACの廃止から15カ月、Windows Serverの新しい年間チャネルが開始
• これは便利！　Microsoftが提供するテスト環境「Test Base」で最新Windows 11へのアップグレードの影響を事前に検証可能
• オンプレミスのWindows Server 2022のAzure Arc接続が簡単に！
• Azure ADからMicrosoft Entra IDへの名称変更、大きく前進
• オンプレ向けのESU購入にも対応、マルチクラウドで使える新たなパッチ管理サービス「Azure Update Manager」とは
• 「トラステッド起動」が既定になり、Azure VMはデプロイ時点で“安全”に
• あらためてチェックしておきたい！　2023年8月前後に廃止される／されたAzureサービスまとめ
• Microsoft Entraファミリーに新たに追加された2つのネットワークアクセス製品でリモートアクセスがもっと安全に
• Windows Server／SQL ServerのESU購入方法に新たに登場した“第3のオプション”の中身
• クラウドベースの開発者向け仮想ワークステーション「Microsoft Dev Box」は、開発者の利便性向上と利用コスト最適化に貢献する？
• 1つのライセンスを3ユーザーで共有できる「Windows 365 Frontline」は共用利用PCの新たな選択肢となるか
• 半期に一度のメジャーアップデート、「Windows Admin Center 2306」の新機能と改善点――更新方法の変更には注意
• Windowsコンテナの再配布権変更と外部レイヤーの削除は、これからのコンテナ運用にどう影響するのか
• SDNインフラの構築が大幅に楽に！――Azure Stack HCI OSを含むSDNインストール用VHDXイメージのダウンロード提供開始
• アプリ開発環境をセルフサービスで素早く準備できる「Azure Deployment Environments」とは？――Microsoft Build 2023で発表
• Azureへのサインインはもう不要！　Azure仮想マシンへの安全な接続を実現するAzure Bastionの「共有可能なリンク」が一般提供開始
• Windows Server仮想マシンのデスクトップエクスペリエンスも長期運用が可能になるか？　「ホットパッチ」機能のプレビュー提供が開始
• 日本マイクロソフト、日本円の為替変動を反映した法人向け製品とサービスの価格を改定――新価格は契約更新や新規契約から適用
• Azure西日本リージョンが大幅に拡充、活用シナリオが広がると同時にMicrosoftクラウド全体も強固に
• ビッグデータを視覚化し、さらに共有もできる「Azure Data Explorerダッシュボード」とは
• Azure VMのデプロイ自動化にも役立つ「マネージド実行コマンド」、従来の「アクション実行コマンド」との違いは？
• ベースOSイメージのサイズ最適化は、Windowsアプリのコンテナ化を後押しするか？
• Azure Dedicated Hostがホストの再起動を正式サポート――ホストレベルでのトラブルシューティングが可能に
• サーバ管理ツールが大型アップデート、「Windows Admin Center 2211」がリリース――仮想マシンの管理も容易に
• Azure仮想マシンへの接続がもっと簡単、安全に――Azure Bastionの“使える”新機能「共有可能リンク」とは
• 新しいSQL Serverはクラウドとより密接に――Azure対応新機能を満載した「SQL Server 2022」リリース
• 「2024年9月」にAzure MFA Serverサービスが停止――Active Directory／Azure ADへの影響は？
• 最新バージョンでは何が変わった？　Azure Stack HCI バージョン22H2が一般提供開始
• Azure仮想マシンへの安全なRDP接続を実現する5つの方法
• ダウンタイムなしでディスクサイズが拡張可能に――Azure仮想マシンのデータディスクのライブ拡張が正式サポート
• コスト効率の良いArmベースのAzure仮想マシンシリーズが新たに提供開始、サポートされるゲストOSは？
• 仮想マシンへの最新のアプリケーションデプロイを自動化する「VMアプリケーション」とは
• マルチテナントの経済性と厳格な機密要件を両立するMicrosoft Azureの「コンフィデンシャルVM」とは
• これは便利かも！　チェックポイントとして手軽に使えるAzure仮想マシンの「復元ポイント」
• Azure ADで“パスワード入力なし”でパスワードレス認証設定を可能にする「一時アクセスパス（TAP）」とは？
• Azureのハイブリッド環境を低コストで入手可能に――シングルサーバ構成のAzure Stack HCIクラスタが正式サポート
• Azureの新たなサーバレスのコンテナ実行環境、Azure Container Appsの一般提供開始
• MicrosoftによるMirantis Container Runtimeのサポートは「2022年9月」に終了
• バグ修正が主なマイナーアップデート「Windows Admin Center 2110.2」がリリース、前バージョンのサポート切れに要注意
• ライセンスコスト削減に貢献するか？　Azure Stack HCIゲスト用のWindows Serverサブスクリプションアドオンの一般提供開始
• Windows 11とWindows Server 2022に正式対応！　System Center 2022の一般提供開始、DPM 2022は2022年5月リリース
• Azureの「ストレージアカウント（クラシック）」が間もなく廃止！　利用者は早めの対応を

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Hyper-V（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。