Well-Architected ワークロードは、ゼロトラスト アプローチで構築する必要があります。 セキュリティで保護されたワークロードは 攻撃に対する回復性 があり、ビジネス目標を達成するだけでなく 、機密性、整合性、可用性 ( CIA トライアドとも呼ばれます) の相互に関連するセキュリティ原則が組み込まれています。 セキュリティ インシデントは、ワークロードまたは組織のブランドと評判を損なう重大な侵害になる可能性があります。 ワークロードに対する全体的な戦略のセキュリティ効果を測定するには、次の質問から始めます。
防御投資は、攻撃者がワークロードを侵害するのを防ぐために、意味のあるコストと摩擦を提供しますか?
セキュリティ対策は、インシデントの爆発半径を制限するのに有効ですか?
ワークロードを制御することが攻撃者にとってどのように価値があるかを理解していますか? ワークロードとそのデータが盗まれたり、利用できなくなったり、改ざんされたりした場合のビジネスへの影響を理解していますか?
ワークロードと運用では、中断を迅速に検出し、対応し、復旧できますか?
システムを設計する場合は、セキュリティ リスクを軽減するためのコンパスとして Microsoft ゼロ トラスト モデルを使用します。
信頼できる ID のみが、想定される場所から発生する意図されたアクションと許可されたアクションを実行するように、明示的に確認します。 この保護機能により、攻撃者が正規のユーザーやアカウントになりすますことが困難になります。
最小特権アクセスを使用するのは、適切な ID に対し、適切なアクセス許可のセット、適切な期間、および適切な資産にです。 アクセス許可を制限することで、正当なユーザーが必要としていないアクセス許可であっても、攻撃者が悪用するのを防ぐことができます。
主要な防御層が失敗した場合のリスクと損害を制限するセキュリティ コントロールと設計補正コントロールの侵害を想定します。 これにより、成功に関心のある攻撃者 (成功の手段は問わない) のように考えることで、ワークロードをより適切に防御できます。
セキュリティは一度限りの取り組みではありません。 このガイダンスは定期的に実装する必要があります。 防御とセキュリティの知識を継続的に向上させ、開発され、自動攻撃キットに追加される革新的な攻撃ベクトルに絶えずアクセスできる攻撃者からワークロードを安全に保ちます。
設計原則は、攻撃者の試行が継続的に進化するにつれてワークロードのセキュリティ体制を継続的に改善するのに役立つ、継続的なセキュリティの考え方を確立することを目的としています。 これらの原則は、アーキテクチャ、設計の選択、および運用プロセスのセキュリティを導く必要があります。 推奨される方法から始めて、 一連のセキュリティ要件の利点を正当化します。 戦略を設定したら、次の手順として セキュリティ チェックリスト を使用してアクションを推進します。
これらの原則が適切に適用されない場合、事業運営や収益に悪影響を及ぼすことが予想されます。 規制ワークロードに対するペナルティなど、いくつかの結果は明白です。 他の問題はそれほど明白ではなく、検出される前に継続的なセキュリティ上の問題を引き起こす可能性があります。
データ流出などの一部の攻撃ベクトルが信頼性に影響を与えないことを考慮すると、多くのミッション クリティカルなワークロードでは、信頼性と並んでセキュリティが最大の懸念事項となります。 セキュリティ重視の設計では、障害点が生じ、運用の複雑さが増す可能性があるため、セキュリティと信頼性によってワークロードが反対方向にプルされる可能性があります。 セキュリティの信頼性に対する影響は、多くの場合、運用上の制約によって間接的に生じます。 セキュリティと信頼性のトレードオフを慎重に検討してください。
これらの原則に従うことで、セキュリティの有効性を向上させ、ワークロード資産を強化し、ユーザーとの信頼関係を築くことができます。
セキュリティの準備を計画する
最小限の摩擦でアーキテクチャ設計の決定と運用にセキュリティ プラクティスを採用し、実装するよう努めます。 |
|---|
ワークロード所有者は、資産を保護する責任を組織と共有します。 ビジネスの優先順位に合わせた セキュリティ準備計画 を作成します。 適切に定義されたプロセス、適切な投資、適切な説明責任につながります。 この計画では、組織にワークロード要件を提供する必要があります。これは、資産の保護に対する責任も共有します。 セキュリティ 計画では、信頼性、正常性モデリング、自己保存のための戦略を考慮する必要があります。
組織の資産に加えて、ワークロード自体を侵入や流出攻撃から保護する必要があります。 ゼロ トラストと CIA トライアドのすべてのファセットを計画に組み込む必要があります。
機能要件と非機能要件、予算制約、およびその他の考慮事項は、セキュリティ投資を制限したり、保証を希釈したりしないでください。 同時に、これらの制約と制限を念頭に置いてセキュリティ投資を設計し、計画する必要があります。
| 方法 | メリット |
|---|---|
|
セグメント化を戦略として使用して 、ワークロード環境、プロセス、およびチーム構造のセキュリティ境界を計画し、 アクセスと機能を分離します。 セグメント化戦略は、ビジネス要件に基づく必要があります。 これは、コンポーネントの重要度、労働の分割、プライバシーに関する懸念、およびその他の要因に基づいて行うことができます。 |
ロールを定義し、明確な責任線を確立することで、運用上の摩擦を最小限に抑えることができます。 また、この演習は、各ロール のアクセス レベル (特に重大な影響を与えるアカウント) を特定するのにも役立ちます。 分離により、 機密性の高いフローの公開 を、アクセスが必要なロールと資産のみに制限できます。 過度の露出は、誤って情報フローの開示につながる可能性があります。 要約すると、各セグメントのニーズに基づいて セキュリティ作業のサイズを適切 に設定できます。 |
| 組織の要件とワークロードのユース ケースを満たすロールベースのセキュリティ トレーニングを通じて、継続的にスキルを構築します。 | 高度なスキルを持つチームは、システムを悪用する新しい方法を常に探している攻撃者に対して 引き続き有効なセキュリティコントロール を設計、実装、監視できます。 組織全体のトレーニングでは、通常、共通の要素をセキュリティで保護するためのより広範なスキル セットの開発に重点を置いています。 ただし、ロールベースのトレーニングでは、ワークロードの問題に対処するプラットフォーム オファリングとセキュリティ機能に関する 深い専門知識を開発 することに重点を置きます。 優れた設計と効果的な運用を通じて敵対者に対する防御を行うには、両方のアプローチを実装する必要があります。 |
| ワークロードのインシデント対応計画があることを確認します。 準備、検出、封じ込め、軽減、インシデント後のアクティビティに関する標準的な運用手順を定義する業界フレームワークを使用します。 |
危機時には混乱を避けなければならない。 適切に文書化された計画がある場合、責任あるロールは、不確実なアクションに時間を無駄にすることなく 、実行に集中 できます。 また、包括的な計画は、 すべての修復要件が満たされていることを確認するのに役立ちます。 |
| 組織のポリシー、規制コンプライアンス、業界標準など、ワークロード チームの外部の影響によって課されるセキュリティ コンプライアンス要件を理解することで、セキュリティ体制を強化します。 | コンプライアンス要件を明確にすると、 適切なセキュリティ保証を設計 し、コンプライアンス違反の問題を 防ぐ のに役立ちます。これにより、ペナルティが発生する可能性があります。 業界標準はベースラインを提供し、ツール、ポリシー、セキュリティ保護、ガイドライン、リスク管理アプローチ、トレーニングの選択に影響を与えることができます。 ワークロードがコンプライアンスに準拠していることがわかっている場合は、ユーザー ベース に自信を持 つことができるようになります。 |
| ワークロードのライフサイクルと運用全体にわたって、チーム レベルのセキュリティ標準を定義して適用します。 コーディング、ゲート承認、リリース管理、データの保護と保持などの操作で一貫したプラクティスに努めます。 |
適切なセキュリティ プラクティスを定義すると、過失と潜在的なエラーの領域を 最小限に抑 えることができます。 チームは 取り組みを最適化し、アプローチの 一貫性が高まるため、結果は予測可能になります。 時間の経過に伴うセキュリティ標準を監視することで 、改善の機会 (自動化を含む) を特定できます。これにより、作業がさらに効率化され、一貫性が向上します。 |
| インシデント対応を、組織内の セキュリティ オペレーション センター (SOC) の一元化された機能 に合わせます。 | インシデント対応機能を一元化することで、インシデントをリアルタイムで検出できる専門の IT プロフェッショナルを活用して、潜在的な脅威にできるだけ迅速に対処することができます。 |
機密性を保護する設計
|
アクセス制限と難読化手法を使用して、プライバシー、規制、アプリケーション、および独自の情報への公開を防止します。 |
|---|
ワークロード データは、ユーザー、使用状況、構成、コンプライアンス、知的財産などによって分類できます。 そのデータは、確立された信頼境界を超えて共有またはアクセスすることはできません。 機密性を保護するための取り組みは、アクセス制御、不透明度、およびデータとシステムに関連するアクティビティの監査証跡を維持することに重点を置く必要があります。
| 方法 | メリット |
|---|---|
| 知る必要がある場合にのみアクセスを許可する 強力なアクセス制御 を実装します。 |
最小特権。 ワークロードは、 未承認のアクセス と禁止されたアクティビティから保護されます。 信頼された ID からのアクセスであっても、通信パスが限られた期間開かれているため、 アクセス許可と公開時間が最小限に抑 えられます。 |
|
データの種類、機密度、潜在的なリスクに基づいてデータを分類します。 それぞれに機密性レベルを割り当てます。 識別されたレベルのスコープ内にあるシステム コンポーネントを含めます。 |
明示的に確認します。 この評価は、適切なサイズのセキュリティ対策に役立ちます。 また、 潜在的な影響 やリスクにさらされる可能性が高いデータやコンポーネントを特定することもできます。 この演習では、情報保護戦略を 明確 にし、 合意を確保するのに役立ちます。 |
| 暗号化を使用して、保存中、転送中、処理中のデータを保護します。 割り当てられた機密性レベルに基づいて戦略を立てます。 |
侵害を想定します。 攻撃者がアクセス権を取得した場合でも、 適切に暗号化された機密データを読み取ることはできません 。 機密データには、システム内にさらにアクセスするために使用される構成情報などがあります。 データ暗号化は、 リスクを含めるのに役立ちます。 |
| 情報の不当な露出を引き起こす可能性のある悪用から保護します。 |
明示的に確認します。 認証と承認の実装、コード、構成、運用、およびシステムのユーザーの社会的習慣に起因する脆弱性を最小限に抑えるのが重要です。 最新のセキュリティ対策を使用すると、 既知のセキュリティ脆弱性 がシステムに侵入するのをブロックできます。 開発サイクル全体を通して日常的な操作を実装することで、時間の経過と共に現れる 可能性のある新しい脆弱性を軽減 し、セキュリティの保証を継続的に向上させることもできます。 |
| 悪意のあるデータや不注意によるデータへのアクセスの結果として生じるデータ流出から保護します。 |
侵害を想定します。 不正なデータ転送をブロックすることで、爆発半径を含めることができるようになります。 さらに、ネットワーク、ID、暗号化に適用されるコントロールは、さまざまなレイヤーのデータを保護します。 |
| データがシステムのさまざまなコンポーネントを通過するにつれて、機密性のレベルを維持します。 |
侵害を想定します。 システム全体で機密性レベルを適用することで、一貫したレベルのセキュリティ強化を実現できます。 そうすることで、データを下位のセキュリティ レベルに移動する可能性がある 脆弱性を防ぐことができます 。 |
| すべての種類のアクセス アクティビティの 監査証跡 を維持します。 |
侵害を想定します。 監査ログは、インシデントが発生した場合の 迅速な検出と回復 をサポートし、継続的なセキュリティ監視に役立ちます。 |
整合性を保護する設計
|
設計、実装、操作、およびデータの破損を防ぎ、システムが目的のユーティリティを提供するのを阻止したり、所定の制限外で動作させたりする中断を回避できます。 システムは、ワークロードのライフサイクル全体にわたって情報保証を提供する必要があります。 |
|---|
重要なのは、ビジネス ロジック、フロー、展開プロセス、データ、さらにはオペレーティング システムやブート シーケンスなどの下位スタック コンポーネントの改ざんを防ぐコントロールを実装することです。 整合性がない場合、機密性と可用性の侵害につながる可能性のある脆弱性が発生する可能性があります。
| 方法 | メリット |
|---|---|
|
システムへのアクセスを認証および承認する強力なアクセス制御を実装します。 特権、スコープ、時間に基づいてアクセスを最小限に抑えます。 |
最小特権。 コントロールの強度に応じて、 承認されていない変更によるリスクを防止または軽減できます。 これにより、データの一貫性と信頼性が確保されます。 アクセスを最小限に抑えることで、破損の可能性がある範囲が制限されます。 |
|
脆弱性から継続的に保護し、サプライ チェーン内の脆弱性を検出 して、攻撃者がソフトウェア障害をインフラストラクチャに挿入するのを防ぎ、システム、ツール、ライブラリ、その他の依存関係を構築します。 サプライ チェーンは 、ビルド時と実行時に脆弱性をスキャンする必要があります。 |
侵害を想定します。 ソフトウェアの起源を知り、ライフサイクル全体でその信頼性を検証することで 、予測可能性が得られていきます。 脆弱性を事前に把握しておくことで、事前に脆弱性を予防的に修復し、運用環境でシステムをセキュリティで保護することができます。 |
| 構成証明、コード署名、証明書、暗号化などの暗号化手法を使用して、信頼を確立し、検証します。 信頼できる復号化を許可することで、これらのメカニズムを保護します。 |
明示的に、最小特権を確認します。 データまたはシステムへのアクセスに対する変更 が、信頼できるソースによって検証されていることがわかります。 暗号化されたデータが悪意のあるアクターによって転送中に傍受された場合でも、アクターはコンテンツのロックを解除したり解読したりすることはできません。 デジタル署名を使用して、送信中にデータが改ざんされていないことを確認できます。 |
| データがレプリケートまたは転送されるときに、バックアップ データが不変で暗号化されていることを確認します。 |
明示的に確認します。 バックアップ データが誤ってまたは悪意を持って 保存時に変更されなかったことを確信してデータを回復できます。 |
| ワークロードが意図した制限と目的の範囲外で動作できるようにするシステム実装を回避または軽減します。 |
明示的に確認します。 使用が意図した制限と目的に合っているかどうかを確認する強力なセーフガードがシステムにある場合、コンピューティング、ネットワーク、データ ストアの悪用や改ざんの可能性の範囲が減ります。 |
可用性を保護する設計
|
強力なセキュリティ制御を使用して、セキュリティ インシデントが発生した場合のシステムとワークロードのダウンタイムと低下を防止または最小限に抑えます。 インシデントの間、およびシステムの復旧後にデータの整合性を維持する必要があります。 |
|---|
可用性アーキテクチャの選択肢とセキュリティ アーキテクチャの選択肢のバランスを取る必要があります。 システムには、ユーザーがデータにアクセスでき、データにアクセスできることを保証する可用性が保証されている必要があります。 セキュリティの観点から、ユーザーは許可されたアクセス スコープ内で操作し、データを信頼する必要があります。 セキュリティコントロールは不適切なアクターをブロックする必要がありますが、正当なユーザーがシステムとデータにアクセスするのをブロックしないでください。
| 方法 | メリット |
|---|---|
|
侵害された ID が誤ってアクセスを使用 してシステムを制御できないようにします。 過度 に広がるスコープと時間制限 をチェックして、リスクにさらされるリスクを最小限に抑えます。 |
最小特権。 この戦略により 、重要なリソースに対する過剰なアクセス許可、不要なアクセス許可、または悪用されたアクセス許可のリスクが軽減されます 。 リスクには、承認されていない変更やリソースの削除などがあります。 プラットフォームによって提供される Just-In-Time (JIT)、Just-enough-access (JEA)、および時間ベースのセキュリティ モードを利用して、可能な限り永続的なアクセス許可を置き換えます。 |
| セキュリティコントロールと設計パターンを使用して、 攻撃やコードの欠陥によってリソースの枯渇やアクセスのブロックが発生するのを防ぎます 。 |
明示的に確認します。 システムでは、分散型サービス拒否 (DDoS) 攻撃などの悪意のあるアクションによって引き起こされるダウンタイムは発生しません。 |
| アプリケーション コード、ネットワーク プロトコル、ID システム、マルウェア保護などの領域の 脆弱性を悪用する攻撃ベクトルの予防措置 を実装します。 |
侵害を想定します。 コード スキャナーを実装し、最新のセキュリティ パッチを適用し、ソフトウェアを更新し、継続的に効果的なマルウェア対策を使用してシステムを保護します。 ビジネス継続性を確保するために、攻撃対象領域を減らすことができます。 |
| リスクの影響を受けやすいシステム内の重要なコンポーネントとフローに対するセキュリティ制御に優先順位を付けます。 |
侵害を想定し、 明示的に確認します。 定期的な検出と優先順位付けの演習は、 システムの重要な側面にセキュリティの専門知識を適用 するのに役立ちます。 最も注意が必要な領域で、最も可能性が高く有害な脅威に焦点を当て、リスク軽減を開始することができます。 |
| セキュリティ制御やバックアップの頻度など、プライマリ環境の場合と同じレベルの セキュリティ厳格を復旧リソースとプロセス に少なくとも適用します。 |
侵害を想定します。 ディザスター リカバリーで使用できる、保存された安全なシステム状態が必要です。 その場合は、セキュリティで保護されたセカンダリ システムまたは場所にフェールオーバーし、脅威を発生させないバックアップを復元できます。 適切に設計されたプロセスにより、セキュリティ インシデントによって復旧プロセスが妨げられるのを防ぐことができます。 破損したバックアップ データまたは暗号化されたデータを解読できないと、回復速度が低下する可能性があります。 |
セキュリティ態勢を維持し進化させる
|
継続的な改善を組み込み、攻撃戦略を継続的に進化させ続ける攻撃者に先んじるために、警戒を適用します。 |
|---|
セキュリティ体制は、時間の経過と同時に低下してはなりません。 新しい中断をより効率的に処理できるように、セキュリティ操作を継続的に改善する必要があります。 業界標準で定義されているフェーズに合わせて改善に努めます。 これにより、準備が向上し、インシデント検出までの時間が短縮され、効果的な封じ込めと軽減が実現します。 継続的な改善は、過去のインシデントから学んだ教訓に基づく必要があります。
脅威が進化する中でセキュリティ体制を継続的に改善するために、セキュリティ体制を測定し、その体制を維持するためのポリシーを適用し、セキュリティの軽減策と補正コントロールを定期的に検証することが重要です。
| 方法 | メリット |
|---|---|
| リソース、場所、依存関係、所有者、およびセキュリティに関連するその他のメタデータに関する機密情報を含む包括的な資産インベントリを作成および管理します。 可能な限り、インベントリを 自動化 してシステムからデータを派生させます。 |
適切に整理されたインベントリは 、環境の全体像を提供します。これにより、特にインシデント後のアクティビティ中に、攻撃者に対して有利な立場に置きます。 また、コミュニケーション、重要なコンポーネントの維持、孤立したリソースの使用停止を促進するビジネス リズムも作成されます。 |
| 脅威モデリングを実行して 、潜在的な脅威を特定して軽減します。 | 攻撃ベクトルのレポートは、重大度レベルによって優先順位付けされます。 脅威と脆弱性をすばやく特定し、対策を設定することができます。 |
| データを定期的にキャプチャして、確立されたセキュリティ ベースラインに対して 現在の状態を定量化 し、 修復の優先順位を設定します。 セキュリティ体制の管理と、外部および内部組織によって課されるコンプライアンスの適用のために、プラットフォームによって提供される機能を利用します。 |
フォーカス領域に明確さとコンセンサスをもたらす正確なレポートが必要です。 最も優先度の高い項目から始めて、 技術的な修復をすぐに実行できます。 また、改善の機会を提供する ギャップを特定します。 適用を実装すると、違反や回帰を防ぐのに役立ちます。これにより、セキュリティ体制が維持されます。 |
| システムを倫理的にハッキングしようとするワークロード チームの外部の専門家によって実行される定期的なセキュリティ テストを実行します。 定期的で統合された 脆弱性スキャンを 実行して、インフラストラクチャ、依存関係、アプリケーション コードの悪用を検出します。 |
これらのテストを使用すると、侵入テストなどの手法を使用して 実際の攻撃をシミュレート することで、セキュリティ防御を検証できます。 脅威は、変更管理の一部として導入できます。 スキャナーをデプロイ パイプラインに統合すると、脆弱性を自動的に検出し、脆弱性が削除されるまで使用状況を検疫することもできます。 |
| 迅速かつ効果的なセキュリティ操作を使用して、検出、対応、復旧を行います。 | このアプローチの主な利点は、攻撃中および攻撃後に CIA トライアドのセキュリティ保証を維持または復元 できる点です。 調査を開始して適切なアクションを実行できるように、脅威が検出されたらすぐにアラートを受け取る必要があります。 |
| 根本原因分析、事後分析、インシデント レポートなどのインシデント後アクティビティを実行します。 | これらのアクティビティは、侵害の影響と解決策に関する分析情報を提供し、防御と運用の改善を推進します。 |
|
最新の状態を取得し、最新の状態を維持します。 更新プログラム、修正プログラムの適用、およびセキュリティ修正プログラムを最新の状態に保つ。 システムを継続的に評価し、監査レポート、ベンチマーク、テスト アクティビティからの教訓に基づいてシステムを改善します。 必要に応じて、自動化を検討してください。 脅威の動的検出には、セキュリティ分析を利用した脅威インテリジェンスを使用します。 定期的に、ワークロードのセキュリティ開発ライフサイクル (SDL) のベスト プラクティスへの準拠を確認します。 |
セキュリティ 体制が時間の経過と同時に低下しないようにすることができます。 実際の攻撃とテストアクティビティからの結果を統合することで、新しいカテゴリの脆弱性を継続的に改善して悪用する攻撃者と戦うことができるようになります。 反復的なタスクを自動化 すると、リスクを生み出す可能性のある人為的ミスの可能性が減少 します。 SDL レビューにより、セキュリティ機能が明確に表示されます。 SDL は、ワークロード資産とそのセキュリティ レポートのインベントリを維持するのに役立ちます。このレポートには、配信元、使用状況、運用上の弱点、その他の要因が含まれます。 |