Azure Virtual Machine 設計書 v1.0

Ver.	改訂日	改訂者	改訂内容	承認者
1.0	2026-05-18	Tomoki Koyama	初版作成（AZ-VM-PARAM-001 v1.1 の設計根拠部分を独立ドキュメント化）	—

ドキュメントID	ドキュメント名	種別	備考
AZ-VM-DESIGN-001	Azure Virtual Machine 設計書（本書）	設計書	—
AZ-VM-PARAM-001	Azure Virtual Machine パラメータシート	パラメータシート	本書と併用して使用する

No. パラメータ項目設計根拠・標準値・選択基準

1

Subscription

作業対象の Subscription を確認のうえ選択する。

▶ Suntory Azure Foundation Resources and Subscriptions mapping.xlsx を参照して、構築対象システムに対応する Subscription を特定すること。

2

Resource group

該当サービス専用の既存リソースグループを流用する。存在しない場合は新規作成する。

命名規則：rgp-<region>-<subscription>-<env>-<app>-<seq>

例：rgp-jp1-sjp-bn-aaa-001

3

Virtual machine name

命名規則に従ってホスト名を決定する。設定前に nslookup コマンドおよび ServiceNow CMDB を参照し、ホスト名の重複がないことを必ず確認すること。

命名規則：<Company><Z><Region><OS><Role><Env><Seq>

フィールド	値の定義
Company	S=SHD　J=SJP　I=SBFI　E=SBFE　A=SBFA　T=SBFT　V=SBFVB　B=SBPT　O=SBFO　P=PBV　G=SGB
Z	Azure 固定（Z）
Region	JP1 = Japan East
OS	W = Windows　　L = Linux
Role	APS=Application Server　DBS=Database Server　VDP=Virtual Desktop　WEB=Web Server
Env	P=prd　N=non（nonprod）　T=tst（test）　D=dev
Seq	001〜（3桁連番）

例：JZJP1WAPSP001（SJP / Azure / Japan East / Windows / App Server / Prd / 001）
　　SZJP1WDBSN002（SHD / Azure / Japan East / Windows / DB Server / Non-prd / 002）

4

Region

最寄りのリージョンを選択する。

例：SJPの場合は Japan East を選択。

5

Availability option

ユースケースに応じて適切なオプションを選定する。以下の判断基準を参照のこと。

Availability option	ユースケース	判断基準・理由
No infrastructure redundancy required	検証機、低SLAコスト重視本番機	コスト優先のため
Availability set	基本選択しない	可用性を確保するなら SLA が高まる Availability zone を選択すべきであるため
Virtual machine scale set	基本選択しない	バーストトラフィックが発生するサービスなら選択の可能性があるが、その場合はサーバレスアーキテクチャを選択すべきであるため
Availability zone（Self-selected zone）	原則本番機	例えばWEBサーバ2台構成なら、この選択肢で冗長性確保。1台構成でも SLA が 99.9% → 99.99% に向上するため
Availability zone（Azure-selected zone / Preview）	将来的な第1選択肢	正式リリース後はこちらを第1選択肢とする（現時点では選択不可）

● Self-selected zone を選択した場合、1号機と2号機で異なるゾーン番号（Zone 1 / 2 / 3）を選択すること。

6

Security type

原則：Trusted launch virtual machines

一般のお客様情報を取り扱うサイトのみに限って Confidential virtual machines を選択すること。
Standard は旧方式のため利用するメリットは特にない。

7

OS Image
（Publisher / Offer / SKU / Version）

システム要件に応じたOSを選択すること。原則、すべてのOSで最新のSKUを選択すること。

	Windows Server	RHEL	SUSE	Ubuntu
Publisher	MicrosoftWindowsServer	RedHat	SUSE	Canonical
Offer	WindowsServer	RHEL	sles-15-sp5	ubuntu-24_04-lts
SKU	2025-datacenter-azure-edition	9-lvm-gen2	gen2	server
Version	latest	latest	latest	latest

8

VM architecture

原則：x64

Arm64 を選択するとコストが安価になるが、利用できる環境が限定的のため IaaS としては選択しないこととする。

9

Run with Azure Spot discount

原則：OFF（有効化しない）

有効化するとコストが大幅削減されるが、有効化した場合は突然のVMの強制停止および削除が頻発するため利用しない。

10

VM Size（SKU）

以下の情報を参照し、システム要件に合わせて適切なSKUを選択する。

① VMファミリー選択早見表

分類	主なファミリー	特徴	代表的な用途
汎用	Dsv5 / Dv5	CPU・メモリのバランス	Web/AP、標準業務
バースト	Bシリーズ	低負荷時は安価	開発・検証、軽量AP
CPU最適化	Fsv2	高CPU性能比	バッチ、計算処理
メモリ最適化	Esv5 / Ev5	大容量メモリ	Java、SAP、DB
IO最適化	Lsv3	NVMeローカルSSD	NoSQL、一時処理
GPU/HPC	NC/ND/NV/HB	GPU/高速計算	AI、HPC

② ワークロード別推奨サイズ

ワークロード	推奨VM	補足ポイント
Web / API	Dsv5（2–4 vCPU）	スケールアウト前提
業務AP（.NET）	Dsv5	AHB適用可
業務AP（Java）	Esv5	メモリ余裕重視
DB（SQL/Oracle）	Esv5 + Premium/Ultra Disk	Disk設計が最重要
開発・検証	Bシリーズ	Auto-shutdown推奨

11

Enable Hibernation

原則：OFF（有効化しない）

有効化するとメモリ状態が保持され再起動が速くなるが、Stateless 設計が基本方針のため利用しない。

12

Administrator account
（Username / Password）

認証方式：Password　Username：AzureVmAdmin

CyberArk による PIM/PAM 管理を行うため、Password 認証を選択する。
パスワードは構築時のみ別経路で共有される一時パスワードとし、本書・メール本文には記載しない。
構築後は CyberArk に登録し、強制的なパスワード変更を実施する。

13

Inbound port rules
（Public inbound ports）

原則：None

VM がパブリック IP を持つことはセキュリティ観点で許容できないため、「Allow selected ports」は選択しないこと。パブリック IP は LB などサーバレスマネージドサービスが保持する設計とする。

14

Licensing
（Azure Hybrid Benefit）

原則：OFF（有効化しない）

Azure Hybrid Benefit（AHB）は既存の Windows Server / SQL Server ライセンス（Software Assurance 付き）を Azure に持ち込むことでコストを削減できる機能だが、各社個別ライセンスの管理が必要となり運用が複雑化するため活用しない。

No. パラメータ項目設計根拠・標準値・選択基準

15

VM disk encryption

原則：OFF（有効化しない）

この機能を利用するには、対象サブスクリプションで「Encryption at host」機能の有効化が事前に必要。
有効化すると一時ディスク・キャッシュデータも暗号化されセキュリティ強度が高まるが、金融機関等の極端にセキュリティレベルが厳しい環境向けの機能であるため通常は利用しない。
Azure では SSE（保存時暗号化）がデフォルトで有効のため、一定のセキュリティ品質は既に満たされている。

16

OS disk size

原則：Image default（127 GiB）

128 GiB 以上の C ドライブ（または / ルートボリューム）が必要な要件があれば「256 GiB (P15)」等の上位サイズを選択しても良い。
Linux の場合は Image default が 64 GiB となるが、問題なければ Image default を指定すること。

17

OS disk type

用途に合わせてストレージタイプを選択する。OS システム領域のストレージは Standard SSD 一択とする。

冗長性	ストレージタイプ	用途・備考
Locally-redundant storage（LRS）	Premium SSD	SQL Server などDBがインストールされているサーバのDBデータが格納されているストレージで利用
	Standard SSD	通常の検証機 / 本番機用サーバ（OSディスク標準）
	Standard HDD	開発機等。原則利用しない。
Zone-redundant storage（ZRS）	Ultra Disk	SAP HANA など大規模トランザクションのデータが格納されているストレージで利用
Zone-redundant storage（ZRS）	Premium SSD v2	データ分析サーバのデータが格納されているストレージで利用

18

Delete with VM（OSディスク）

原則：ON（有効化する）

運用効率化のため、VM インスタンスを削除した際に紐づいているストレージディスクも自動削除する。

19

Key management（OSディスク）

原則：Platform-managed key

Azure の暗号キーの管理を自身で行わないことで運用を極小化させるため、Platform-managed key を選択する。

20

Enable Ultra Disk compatibility

原則：OFF（有効化しない）

将来、このOSシステム用ストレージにUltra Diskをアタッチする可能性がある場合にのみ有効化する。ただし、一定のVMスペック以上でないと有効化できない点に注意。

21

Create a new disk
– Name

命名規則：hostname_data<数字>

例：JZJP1WAPSP001_data01

作成するディスク単位は、例えばWindows なら Dドライブで1つのストレージを作成すること。

22

Create a new disk
– Source type

原則：None（empty disk）

Snapshot：既存ディスクのスナップショットから作成する場合（サーバ移行時）に利用。
Storage blob：レガシー仕様のため原則利用不可。
None（empty disk）：新規OS作成では原則これを選択。

23

Create a new disk
– Size（GiB）

システム要件に合わせたディスクサイズを指定すること。

24

Create a new disk
– Key management

原則：Platform-managed key

No.19「Key management（OSディスク）」と同じ理由による。

25

Create a new disk
– Enable shared disk

原則：No（利用しない）

VMインスタンス2台でクラスタ構成（例：Windows Failover Cluster）が必要な場合のみ利用を検討する。

26

Create a new disk
– Delete with VM

原則：ON（有効化する）

No.18「Delete with VM」と同じ理由による。

No. パラメータ項目設計根拠・標準値・選択基準

27

Virtual network

既存の VNets を利用すること（新規作成は原則不可）。

例：SJP検証 → vnt-jp1-sjp-bp-infra-01

28

Subnet

既存サブネット名を選択すること。

例：SJP検証 DMZセグメント → snt-jp1-sjp-bn-infra-dmz-01
例：SJP検証内部セグメント → snt-jp1-sjp-bn-infra-tst-01

29

Public IP

原則：None

セキュリティ観点から VM にパブリック IP は付与しない設計とする。No.13「Inbound port rules」と同様の理由。

30

NIC network security group

原則：Advanced（既存の Common NSG を割り当て）

VM 作成時に既存の Common NSG を選択する。新規 NSG の作成（Basic / Advanced 新規）は行わないこと。

例：si2-securitygroup-shd-cs-tokyo-cmn-01

31

Delete NIC when VM is deleted

原則：ON（有効化する）

コスト最適化および運用効率化（不要リソースの残存防止）のため、原則有効化する。

32

Enable accelerated networking

原則：ON（有効化する）

NIC に高速ネットワーキング（SR-IOV）を有効化する機能で、処理性能向上に有益なため原則有効化する。

モード	通信経路
通常	VM → 仮想スイッチ → ホスト → NIC
Accelerated ON	VM → 物理NIC（直結）

33

Load balancing

原則：None

LB 作成は別申請で対応するため、VM 作成時は None を選択すること。

No.

パラメータ項目

設計根拠・標準値・選択基準

34

Microsoft Defender for Cloud

自動有効化（確認のみ）

自動で有効化されていることを確認する。以下のメッセージが表示されていること：
"Your subscription is protected by Foundational Cloud Security Posture Management Free Plan."

35

Metadata Security Protocol
– IMDS

原則：ON（有効化する）

有効化すると認証されたプロセスのみ IMDS（Instance Metadata Service）へアクセス可能となり、セキュリティが強化されるため原則有効化とする。

36

Metadata Security Protocol
– WireServer

原則：OFF（有効化しない）

有効化するとセキュリティが強化されるが、VM エージェント・拡張機能・監視などに影響が出る可能性があるため原則無効化とする。（有効化すると Azure エージェント通信へのアクセスも制御される）

37

Identity
– System assigned managed identity

原則：OFF（有効化しない）

有効化すると、Azure がアプリケーション用のサービスプリンシパルを自動生成・管理し、VM が Azure リソースへシークレットキーなしでアクセス可能となりセキュリティ向上につながる機能だが、現在の設計では不要のため無効化する。
将来的にアプリケーション側での Azure リソースアクセスが必要になった場合は有効化を検討すること。

38

Microsoft Entra ID
– Login with Microsoft Entra ID

原則：OFF（有効化しない）

CyberArk による PAM 管理を採用しているため、原則有効化しない。この機能を有効化すると Microsoft Entra ID で VM にログインすることが可能となる。

39

Auto-shutdown
– Enable auto-shutdown

原則：OFF（有効化しない）

検証機の定期停止起動プロセスは別の仕組みで検討するため無効化とする。また、この機能は任意の時間での停止しか提供しておらず、起動する仕組みがないため不完全である。

40

Backup
– Enable backup

原則：ON（有効化する）

Suntory バックアップポリシーの観点から原則有効化する。

41

Backup
– Recovery Services vault

Default を選択

バックアップ運用担当と協議のうえ、共有 vault・命名を確定すること。未確定の場合は TBD とし、参照チケット番号を記入する。

42

Backup
– Policy subtype

原則：Enhanced

Security type = Trusted launch を選択している場合、Standard は選択できず Enhanced のみ選択可能。

43

Site Recovery
– Enable Disaster Recovery

原則：OFF（有効化しない）

DR に関しては別途検討するため、現時点では無効化とする。

44

Guest OS updates
– Enable periodic assessment

原則：ON（有効化する）

運用効率化の観点で有効化する。この機能は OS の更新状況（未適用パッチ等）を定期的にチェックする機能のみであり、実際にはパッチ適用は行わない。

45

Guest OS updates
– Enable hotpatch

パッチ適用の自動化設定。パッチ適用運用効率化の観点で検証機のみ有効化する。

環境	設定値	理由
検証機	ON（有効化する）	パッチ適用効率化のため
本番機	OFF（有効化しない）	有事のOS再起動時にパッチが自動適用されてしまう可能性があるため

46

Guest OS updates
– Patch orchestration options

No.45（hotpatch）を有効化した場合に設定する。

原則：Azure-orchestrated

パッチ適用運用効率化の観点で Azure 機能でパッチマネジメントを行う。

47

Guest OS updates
– Reboot setting

No.45（hotpatch）を有効化した場合に設定する。

原則：Reboot if required

運用効率化のため、再起動が必要な場合のみ検証機の再起動を行う。

No.

パラメータ項目

設計根拠・標準値・選択基準

48

Alerts
– Enable recommended alert rules

原則：ON（有効化する）

詳細な監視運用は NewRelic 含め要検討。

49

Alerts
– Alert rules

Alert rules シートを別途参照。詳細な監視運用は NewRelic 含め要検討。

50

Diagnostics
– Boot diagnostics

原則：Disable

トラブルシュートを容易にするため有効にすることも検討可能。これは VM 起動時のトラブルシュート用機能（OS レベルより前の診断）。

51

Diagnostics
– Enable OS guest diagnostics

トラブルシュートしやすくなるが追加コストが発生するため本番機のみ設定する。

環境	設定値
本番機	ON（有効化する）
検証機	OFF（有効化しない）

詳細な監視運用は NewRelic 含め要検討。

52

Health
– Enable application health monitoring

原則：OFF（有効化しない）

詳細な監視運用は NewRelic 含め要検討。

No.	パラメータ項目	設計根拠・標準値・選択基準
53	Extensions	ゴールデンイメージもしくは Ansible や Terraform の IaC で必要事項は対応しているため原則利用しない。
54	VM applications	現時点で特に必要な機能でないため原則利用しない。
55	Custom data	現時点で特に必要な機能でないため原則利用しない。
56	Performance（NVMe）	Premium SSD または Ultra Disk を利用している場合のみ有効化する。
57	Host（Dedicated Host）	原則利用しない。利用パッケージソフトがライセンス観点から Dedicated Host である必要があると判断された場合のみ利用を検討する。
58	Capacity reservations	現時点で特に必要な機能でないため原則利用しない。
59	Proximity placement group	現時点で特に必要な機能でないため原則利用しない。

No.	タグキー（Tag name）	区分	説明・サンプル値・根拠
60	Subsidiary	必須	サブスクリプション名に含まれる法人略称を設定する。例：SBFE, SBFA, SBFT, SJP
61	BusinessUnit	任意	該当サーバの会社名の略称を設定する。SJP では必須。例：SPS
62	ServiceName	必須	該当サービスの名称を設定する。SJP では必須。例：Beer Production Planning System
63	SystemID	任意	ホストするシステム ID を設定する。SJP では必須。例：aaa
64	Environment	必須	環境区分を設定する。値：`prod` または `nonprod`
65	BCPRank	必須	BCP ランクを設定する。例：3
66	Responsibility	任意	責任チームを設定する。SJP では必須。例：TransformationG

ドキュメントID	AZ-VM-DESIGN-001
バージョン	1.0
ステータス	RELEASED
作成日	2026年5月18日
改訂日	2026年5月18日
Company	Suntory Holdings Limited
Division	Digital & AI Global ITG
作成者	Tomoki Koyama

改訂履歴

外部ドキュメント参照一覧

Basics

Disks

Networking

Management

Monitoring

Advanced

Tagging