Azure Well-Architected Framework のセキュリティ チェックリストの推奨事項に適用されます。
| SE:03 | データ処理に関係するすべてのワークロード データとシステムに秘密度ラベルを分類し、一貫して適用します。 分類を使用して、ワークロードの設計、実装、およびセキュリティの優先順位付けに影響を与えます。 |
|---|
このガイドでは、データ分類の推奨事項について説明します。 ほとんどのワークロードでは、さまざまな種類のデータが格納されます。 すべてのデータが等しく機密性が高いわけではありません。 データ分類は、適切なレベルの保護を適用できるように、機密レベル、情報の種類、コンプライアンスの範囲に基づいてデータを分類するのに役立ちます。 保護には、アクセス制御、さまざまな情報の種類のアイテム保持ポリシーなどが含まれます。 データ分類に基づく実際のセキュリティ制御は、この記事では範囲外ですが、組織によって設定された上記の条件に基づいてデータを分類するための推奨事項を提供します。
定義
| 任期 | Definition |
|---|---|
| Classification | 組織が提供する機密レベル、情報の種類、コンプライアンス要件、およびその他の条件によってワークロード資産を分類するプロセス。 |
| メタデータ | 資産に分類を適用するための実装。 |
| Taxonomy | 合意された構造を使用して分類されたデータを整理するシステム。 通常は、データ分類の階層的な表現です。 分類基準を示すエンティティの名前が付けられています。 |
データ分類は、多くの場合、記録システムとその機能の構築を推進する重要な演習です。 分類は、セキュリティ保証のサイズを正しく設定するのにも役立ち、トリアージ チームがインシデント対応中に検出を迅速化するのに役立ちます。 設計プロセスの前提条件は、データを機密、制限、パブリック、またはその他の機密分類として扱う必要があるかどうかを明確に理解することです。 また、データが複数の環境に分散される可能性があるため、データが格納される場所を決定することも重要です。
データを検索するには、データ検出が必要です。 その知識がなければ、ほとんどの設計では中間的なアプローチが採用され、セキュリティ要件に対応できる場合とそうでない場合があります。 データを過剰に保護すると、コストとパフォーマンスの非効率性が生じる可能性があります。 または、十分に保護されていない可能性があり、攻撃対象領域に追加されます。
多くの場合、データ分類は面倒な演習です。 データ資産を検出し、分類を提案できるツールがあります。 ただし、ツールだけに頼る必要はありません。 チーム メンバーが熱心に演習を行うプロセスを作成します。 その後、ツールを使用して、それが実用的な場合に自動化します。
これらのベスト プラクティスと共に、 適切に設計されたデータ分類フレームワークの作成に関するページを参照してください。
組織で定義された分類を理解する
分類 は、データ分類の階層的な表現です。 分類基準を示すエンティティの名前が付けられています。
一般に、分類や分類の定義に関する普遍的な標準はありません。 これは、データを保護するための組織の動機によって推進されます。 分類は、コンプライアンス要件、ワークロード ユーザーに対して約束された機能、またはビジネス ニーズに基づくその他の基準を取り込む場合があります。
秘密度レベル、情報の種類、コンプライアンスの範囲に関する分類ラベルの例を次に示します。
| Sensitivity | 情報の種類 | コンプライアンスの範囲 |
|---|---|---|
| Public、General、Confidential、Highly Confidential、Secret、Top Secret、Sensitive | 財務、クレジット カード、名前、連絡先情報、資格情報、銀行、ネットワーク、SSN、正常性フィールド、生年月日、知的財産、個人データ | HIPAA、PCI、CCPA、SOX、RTB |
ワークロード所有者は、組織に依存して、明確に定義された分類を提供します。 すべてのワークロード ロールは、構造、命名法、および秘密度レベルの定義を共有する必要があります。 独自の分類システムを定義しないでください。
分類スコープを定義する
ほとんどの組織には、さまざまなラベルのセットがあります。
各秘密度レベルのスコープ内およびスコープ外のデータ資産とコンポーネントを明確に識別します。 結果に関する明確な目標が必要です。 目標は、より迅速なトリアージ、高速ディザスター リカバリー、または規制監査です。 目的を明確に理解すると、分類作業のサイズが正しく設定されます。
次の簡単な質問から始めて、システムの複雑さに基づいて必要に応じて拡張します。
- データと情報の種類の原点は何ですか?
- アクセスに基づく予期される制限は何ですか? たとえば、公開情報データ、規制、またはその他の想定されるユース ケースですか。
- データフットプリントは何ですか? データはどこに格納されますか? データを保持する必要がある期間
- アーキテクチャのどのコンポーネントがデータと対話しますか?
- データはどのようにシステム内を移動しますか?
- 監査レポートにはどのような情報が必要ですか?
- 実稼働前データを分類する必要がありますか?
データ ストアのインベントリを取得する
既存のシステムがある場合は、スコープ内のすべてのデータ ストアとコンポーネントのインベントリを取得します。 一方、新しいシステムを設計する場合は、アーキテクチャのデータ フロー ディメンションを作成し、分類定義ごとに初期分類を行います。 分類はシステム全体に適用されます。 構成シークレットと非シークレットの分類とは明らかに異なります。
スコープを定義する
スコープを定義するときは、細かく明示的に指定します。 データ ストアが表形式システムであるとします。 テーブル レベルまたはテーブル内の列でも秘密度を分類する必要があります。 また、データの処理に関連する可能性がある、または一部を持つ可能性がある非データ ストア コンポーネントに分類を拡張してください。 たとえば、機密性の高いデータ ストアのバックアップを分類しましたか? ユーザーの機密データをキャッシュする場合、キャッシュ データ ストアはスコープ内にありますか? 分析データ ストアを使用する場合、集計データはどのように分類されますか?
分類ラベルに従って設計する
分類はアーキテクチャの決定に影響を与える必要があります。 最も明白な領域は、さまざまな分類ラベルを考慮する必要があるセグメント化戦略です。
たとえば、ラベルはトラフィックの分離境界に影響します。 エンドツーエンドのトランスポート層セキュリティ (TLS) が必要な重要なフローがあり、他のパケットは HTTP 経由で送信できる場合があります。 メッセージ ブローカー経由で送信されるメッセージがある場合は、特定のメッセージに署名する必要があります。
保存データの場合、レベルは暗号化の選択に影響します。 二重暗号化を使用して機密性の高いデータを保護することもできます。 アプリケーション シークレットが異なると、さまざまなレベルの保護による制御が必要になる場合もあります。 ハードウェア セキュリティ モジュール (HSM) ストアにシークレットを格納すると、より高い制限が提供される場合があります。 コンプライアンス ラベルは、適切な保護基準に関する決定も規定します。 たとえば、PCI-DSS 標準では、HSM でのみ使用できる FIPS 140-2 レベル 3 保護の使用が義務付けられています。 それ以外の場合は、他のシークレットを通常のシークレット管理ストアに格納できます。
使用中のデータを保護する必要がある場合は、アーキテクチャにコンフィデンシャル コンピューティングを組み込むことができます。
分類情報は、システム間およびワークロードのコンポーネント間で遷移するデータと共に移動する必要があります 。 機密としてラベル付けされたデータは、そのデータと対話するすべてのコンポーネントによって機密として扱われる必要があります。 たとえば、あらゆる種類のアプリケーション ログから個人データを削除または難読化して、個人データを保護してください。
分類は、データを 公開する方法でのレポートの設計に影響します。 たとえば、情報型ラベルに基づいて、情報型ラベルの結果として難読化用のデータ マスク アルゴリズムを適用する必要がありますか。 生データとマスクされたデータを可視化する必要があるロールはどれですか? レポートのコンプライアンス要件がある場合、データは規制と標準にどのようにマップされますか? この理解があれば、特定の要件への準拠を示し、監査者向けのレポートを生成する方が簡単です。
また、データ保持や使用停止スケジュールなど、データ ライフサイクル管理操作にも影響します。
クエリに分類を適用する
識別されたデータに分類ラベルを適用する方法は多数あります。 ラベルを示す最も一般的な方法は、メタデータで分類スキーマを使用することです。 スキーマを使用した標準化により、レポートが正確になり、変動の可能性が最小限に抑え、カスタム クエリの作成が回避されます。 無効なエントリをキャッチするための自動チェックを作成します。
ラベルは、手動で、プログラムで適用することも、両方を組み合わせて使用することもできます。 アーキテクチャの設計プロセスには、スキーマの設計を含める必要があります。 既存のシステムがある場合でも、新しいシステムを構築する場合でも、ラベルを適用する場合は、キーと値のペアの一貫性を維持します。
すべてのデータを明確に分類できるわけではないことに注意してください。 分類できないデータをレポートで表示する方法を明示的に決定します。
実際の実装は、リソースの種類によって異なります。 特定の Azure リソースには、組み込みの分類システムがあります。 たとえば、Azure SQL Server には分類エンジンがあり、動的マスクをサポートし、メタデータに基づいてレポートを生成できます。 Azure Service Bus では、メタデータを添付できるメッセージ スキーマを含めることができます。 実装を設計するときは、プラットフォームでサポートされている機能を評価し、それらを利用します。 分類に使用されるメタデータが分離され、データ ストアとは別に格納されていることを確認します。
ラベルを自動的に検出して適用できる特殊な分類ツールもあります。 これらのツールは、データ ソースに接続されています。 Microsoft Purview には自動検出機能があります。 同様の機能を提供するサードパーティ製のツールもあります。 検出プロセスは、手動検証によって検証する必要があります。
データ分類を定期的に確認します。 分類のメンテナンスは操作に組み込む必要があります。そうしないと、古いメタデータによって、特定された目的とコンプライアンスの問題に対して誤った結果が発生する可能性があります。
トレードオフ: ツールのコストのトレードオフに注意してください。 分類ツールにはトレーニングが必要であり、複雑になる場合があります。
最終的には、分類は中央チームを通じて組織にロールアップする必要があります。 予想されるレポート構造に関する入力を取得します。 また、一元化されたツールとプロセスを利用して、組織を調整し、運用コストを軽減します。
Azure ファシリテーション
Microsoft Purview は、Azure Purview と Microsoft Purview ソリューションを統合して、組織全体のデータ資産を可視化します。 詳細については、「Microsoft Purview とは」を参照してください。
Azure SQL Database、Azure SQL Managed Instance、Azure Synapse Analytics には、組み込みの分類機能が用意されています。 これらのツールを使用して、データベース内の機密データの検出、分類、ラベル付け、レポートを行います。 詳細については、「データの 検出と分類」を参照してください。
処理操作中に機密性の高いデータまたは保護が必要なデータの場合、Azure Database for PostgreSQL では、使用中のデータに対してハードウェア ベースの暗号化を提供する コンフィデンシャル コンピューティング がサポートされています。 このテクノロジにより、組織は、データベースのパフォーマンスを維持しながら、処理中に機密データを保護し、厳しく規制された業界のデータ保護に対する厳しい規制要件への準拠をサポートできます。
Example
この例は、 セキュリティ ベースライン (SE:01) で確立された情報技術 (IT) 環境に基づいています。 次の図の例は、データが分類されるデータ ストアを示しています。
データベースとディスクに格納されているデータには、管理者、データベース管理者など、少数のユーザーのみがアクセスできる必要があります。 その後、一般的なユーザーや顧客の最終的なクライアントが、インターネットに公開されているレイヤー (アプリケーションやジャンプ ボックスなど) にのみアクセスできるのが一般的です。
アプリケーションは、オブジェクト ストレージやファイル サーバーなど、ディスクに格納されているデータベースまたはデータと通信します。
場合によっては、オンプレミス環境とパブリック クラウドにデータが格納される場合があります。 どちらも一貫して分類する必要があります。
オペレーターのユース ケースでは、リモート管理者は、クラウドまたはワークロードを実行している仮想マシン上のアクセス ジャンプ ボックスが必要です。 アクセス許可は、データ分類ラベルに従って付与する必要があります。
データは仮想マシンを介してバックエンド データベースに移動し、データはトラバーサル ポイント全体で同じレベルの機密性で処理する必要があります。
ワークロードは、仮想マシン ディスクにデータを直接格納します。 これらのディスクは分類のスコープ内にあります。
ハイブリッド環境では、異なるペルソナが、異なるデータ ストレージ テクノロジまたはデータベースに接続するためのさまざまなメカニズムを通じてオンプレミスのワークロードにアクセスする場合があります。 アクセス権は、分類ラベルに従って付与する必要があります。
オンプレミス サーバーは、ファイル サーバー、オブジェクト ストレージ、リレーショナル、NoSQL、データ ウェアハウスなどのさまざまな種類のデータベースなど、分類および保護する必要がある重要なデータに接続します。
Microsoft Purview Compliance は、ファイルと電子メールを分類するソリューションを提供します。
Microsoft Defender for Cloud は、上記のユース ケースで説明したデータの格納に使用されるサービスの多くを含め、会社が環境内のコンプライアンスを追跡するのに役立つソリューションを提供します。
関連リンク
次のステップ
推奨事項の完全なセットを参照してください。