ガバナンスと戦略では、さまざまなクラウド セキュリティ機能の役割と責任の確立、統合された技術戦略、ポリシーと標準のサポートなど、セキュリティ保証をガイドして維持するための一貫性のあるセキュリティ戦略と文書化されたガバナンス アプローチを確保するためのガイダンスが提供されます。
GS-1: 組織のロール、責任、責務を整合させる
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 14.9 | PL-9、PM-10、PM-13、AT-1、AT-3 | 2.4 |
一般的なガイダンス: セキュリティ組織の役割と責任に関する明確な戦略を定義し、伝える必要があります。 セキュリティ上の決定に明確なアカウンタビリティを提供し、共有責任モデルに関する全員を教育し、テクノロジに関する技術チームを教育してクラウドをセキュリティで保護することを優先します。
実装と追加のコンテキスト:
- Azure セキュリティのベスト プラクティス 1 – ユーザー: クラウド セキュリティ体験に関する Teams の教育
- Azure セキュリティのベスト プラクティス 2 - ユーザー: クラウド セキュリティ テクノロジに関する Teams の教育
- Azure セキュリティのベスト プラクティス 3 - プロセス: クラウド セキュリティの決定にアカウンタビリティを割り当てる
顧客のセキュリティ利害関係者 (詳細情報):
GS-2: 職務戦略のエンタープライズ セグメント化と分離を定義して実装する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12 | AC-4、SC-7、SC-2 | 1.2, 6.4 |
一般的なガイダンス: ID、ネットワーク、アプリケーション、サブスクリプション、管理グループ、およびその他のコントロールの組み合わせを使用して資産へのアクセスをセグメント化するエンタープライズ全体の戦略を確立します。
セキュリティの分離の必要性と、相互に通信してデータにアクセスする必要があるシステムの毎日の運用を可能にする必要性とのバランスを慎重に取ります。
ネットワーク セキュリティ、ID とアクセス モデル、アプリケーションのアクセス許可/アクセス モデル、人間のプロセス制御など、セグメント化戦略がワークロードに一貫して実装されていることを確認します。
実装と追加のコンテキスト:
- Azure 向け Microsoft クラウド導入フレームワークのセキュリティ - セグメント化: 保護用に分離
- Azure 向け Microsoft クラウド導入フレームワークのセキュリティ - アーキテクチャ: 単一の統合セキュリティ戦略を確立する
顧客のセキュリティ利害関係者 (詳細情報):
GS-3: データ保護戦略を定義して実装する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4、SI-4、SC-8、SC-12、SC-17、SC-28、RA-2 | 3.1、3.2、3.3、3.4、3.5、3.6、3.7、4.1、A3.2 |
一般的なガイダンス: クラウド環境でのデータ保護のためのエンタープライズ全体の戦略を確立します。
- エンタープライズ データ管理標準と規制コンプライアンスに従ってデータ分類と保護標準を定義して適用し、データ分類の各レベルに必要なセキュリティ制御を決定します。
- エンタープライズセグメント化戦略に合わせてクラウド リソース管理階層を設定します。 企業のセグメント化戦略は、機密性の高い、またはビジネスに不可欠なデータとシステムの場所によっても通知する必要があります。
- 境界内のネットワークの場所に基づく信頼を実装しないように、クラウド環境で該当するゼロトラスト原則を定義して適用します。 代わりに、デバイスとユーザーの信頼要求を使用して、データとリソースへのアクセスを制限します。
- 企業全体の機密データフットプリント (ストレージ、転送、処理) を追跡して最小限に抑え、攻撃対象領域とデータ保護コストを削減します。 機密データを元の形式で格納および送信しないように、可能な場合は、ワークロードで一方向のハッシュ、切り捨て、トークン化などの手法を検討してください。
- データとアクセス キーのセキュリティ保証を提供するための完全なライフサイクル制御戦略があることを確認します。
実装と追加のコンテキスト:
- Microsoft クラウド セキュリティ ベンチマーク - Data Protection
- クラウド導入フレームワーク - Azure データのセキュリティと暗号化のベスト プラクティス
- Azure セキュリティの基礎 - Azure データのセキュリティ、暗号化、ストレージ
顧客のセキュリティ利害関係者 (詳細情報):
GS-4: ネットワーク セキュリティ戦略を定義して実装する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4、AC-17、CA-3、CM-1、CM-2、CM-6、CM-7、SC-1、SC-2、SC-5、SC-7、SC-20、SC-21、SI-4 | 1.1、1.2、1.3、1.5、4.1、6.6、11.4、A2.1、A2.2、A2.3、A3.2 |
一般的なガイダンス: アクセス制御に関する組織の全体的なセキュリティ戦略の一環として、クラウド ネットワーク セキュリティ戦略を確立します。 この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、および標準を含める必要があります。
- ネットワーク リソースをデプロイして維持するために、一元化/分散化されたネットワーク管理とセキュリティ責任モデルを設計します。
- 企業のセグメント化戦略に合わせた仮想ネットワークのセグメント化モデル。
- インターネット境界とネットワーク受信および送信の戦略。
- ハイブリッド クラウドとオンプレミスの相互接続戦略。
- ネットワークの監視とログ記録の戦略。
- 最新のネットワーク セキュリティ成果物 (ネットワーク図、参照ネットワーク アーキテクチャなど)。
実装と追加のコンテキスト:
- Azure セキュリティのベスト プラクティス 11 - アーキテクチャ。 単一の統合セキュリティ戦略
- Microsoft クラウド セキュリティ ベンチマーク - ネットワーク セキュリティ
- Azure ネットワーク セキュリティの概要
- エンタープライズ ネットワーク アーキテクチャ戦略
顧客のセキュリティ利害関係者 (詳細情報):
GS-5: セキュリティ態勢の管理戦略を定義して実装する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1、CA-8、CM-1、CM-2、CM-6、RA-1、RA-3、RA-5、SI-1、SI-2、SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
一般的なガイダンス: ポリシー、手順、および標準を確立して、セキュリティ構成の管理と脆弱性の管理がクラウド セキュリティの義務に確実に適用されるようにします。
クラウドのセキュリティ構成管理には、次の領域が含まれている必要があります。
- Web ポータル/コンソール、管理とコントロール プレーン、IaaS、PaaS、SaaS サービスで実行されているリソースなど、クラウド内のさまざまなリソースの種類に対してセキュリティで保護された構成基準を定義します。
- セキュリティ ベースラインが、ネットワーク セキュリティ、ID 管理、特権アクセス、データ保護など、さまざまな制御領域のリスクに対処していることを確認します。
- ツールを使用して構成を継続的に測定、監査、適用し、構成がベースラインから逸脱しないようにします。
- セキュリティ機能を使用して更新を維持する頻度を開発します。たとえば、サービスの更新をサブスクライブします。
- セキュリティの正常性またはコンプライアンス チェックメカニズム (セキュリティ スコア、Microsoft Defender for Cloud のコンプライアンス ダッシュボードなど) を利用して、セキュリティ構成の体制を定期的に確認し、特定されたギャップを修復します。
クラウドの脆弱性管理には、次のセキュリティ側面が含まれている必要があります。
- クラウド ネイティブ サービス、オペレーティング システム、アプリケーション コンポーネントなど、すべてのクラウド リソースの種類の脆弱性を定期的に評価して修復します。
- リスクベースのアプローチを使用して、評価と修復に優先順位を付けます。
- 関連する CSPM のセキュリティ アドバイザリに関する通知とブログをサブスクライブして、最新のセキュリティ更新プログラムを受け取ります。
- 脆弱性の評価と修復 (スケジュール、スコープ、手法など) が組織のコンプライアンス要件を満たしていることを確認します。dule、スコープ、および手法は、組織の定期的なコンプライアンス要件を満たします。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
GS-6: ID および特権アクセス戦略を定義して実装する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1、AC-2、AC-3、AC-4、AC-5、AC-6、IA-1、IA-2、IA-4、IA-5、IA-8、IA-9、SI-4 | 7.1、7.2、7.3、8.1、8.2、8.3、8.4、8.5、8.6、8.7、8.8、A3.4 |
一般的なガイダンス: 組織の全体的なセキュリティ アクセス制御戦略の一環として、クラウド ID と特権アクセスアプローチを確立します。 この戦略には、次の側面に関する文書化されたガイダンス、ポリシー、および標準を含める必要があります。
- 一元化された ID と認証システム (Azure AD など) とその他の内部および外部 ID システムとの相互接続性
- 特権 ID とアクセス ガバナンス (アクセス要求、レビュー、承認など)
- 緊急時の特権アカウント (ブレイクグラス対応)
- さまざまなユース ケースと条件での強力な認証 (パスワードレス認証と多要素認証) 方法。
- Web ポータル/コンソール、コマンド ライン、API を使用して管理操作によるアクセスをセキュリティで保護します。
エンタープライズ システムが使用されていない例外の場合は、ID、認証、アクセス管理、および管理のために適切なセキュリティ制御が実施されていることを確認します。 これらの例外は、エンタープライズ チームによって承認され、定期的に確認される必要があります。 これらの例外は、通常、次のような場合に発生します。
- クラウドベースのサード パーティ システムなど、企業以外の指定された ID および認証システムを使用する (不明なリスクが発生する可能性があります)
- 特権ユーザーがローカルで認証された、または非強力な認証方法を使用する
実装と追加のコンテキスト:
- Microsoft クラウド セキュリティ ベンチマーク - ID 管理
- Microsoft クラウド セキュリティ ベンチマーク - 特権アクセス
- Azure セキュリティのベスト プラクティス 11 - アーキテクチャ。 単一の統合セキュリティ戦略
- Azure ID 管理のセキュリティの概要
顧客のセキュリティ利害関係者 (詳細情報):
GS-7: ログ、脅威検出、インシデント対応戦略を定義して実装する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1、IR-1、IR-2、IR-10、SI-1、SI-5 | 10.1、10.2、10.3、10.4、10.5、10.6、10.7、10.8、10.9、12.10、A3.5 |
一般的なガイダンス: 脅威を迅速に検出して修復し、コンプライアンス要件を満たすためのログ記録、脅威検出、インシデント対応戦略を確立します。 セキュリティ運用 (SecOps/SOC) チームは、ログ統合や手動の手順ではなく脅威に集中できるように、高品質のアラートとシームレスなエクスペリエンスに優先順位を付ける必要があります。 この戦略には、次の側面に関する文書化されたポリシー、手順、標準を含める必要があります。
- セキュリティ運用 (SecOps) 組織の役割と責任
- NIST SP 800-61 (コンピューター セキュリティ インシデント処理ガイド) またはその他の業界フレームワークに沿った、明確に定義され、定期的にテストされたインシデント対応計画と処理プロセス。
- 顧客、サプライヤー、および関心のある公開関係者とのコミュニケーションと通知の計画。
- 準備の有効性を理解するために、クラウド環境内で予想されるセキュリティ イベントと予期しないセキュリティ イベントの両方をシミュレートします。 シミュレーションの結果を反復処理して、応答体制のスケールを改善し、価値を得る時間を短縮し、リスクをさらに軽減します。
- Azure Defender 機能などの拡張検出および応答 (XDR) 機能を使用して、さまざまな領域の脅威を検出することを優先します。
- ログ記録と脅威検出、フォレンジック、攻撃の修復と根絶など、インシデント処理のためのクラウド ネイティブ機能 (Microsoft Defender for Cloud など) とサードパーティプラットフォームの使用。
- 信頼性の高い一貫性のある応答を確保するために、手動と自動化の両方で必要な Runbook を準備します。
- 主要なシナリオ (脅威検出、インシデント対応、コンプライアンスなど) を定義し、シナリオの要件を満たすようにログ キャプチャとリテンション期間を設定します。
- SIEM、ネイティブ クラウド脅威検出機能、およびその他のソースを使用して、脅威に関する情報の一元的な可視性と関連付け。
- インシデント後のアクティビティ (学習した教訓や証拠の保持など)。
実装と追加のコンテキスト:
- Microsoft クラウド セキュリティ ベンチマーク - ログ記録と脅威検出
- Microsoft クラウド セキュリティ ベンチマーク - インシデント対応
- Azure セキュリティのベスト プラクティス 4 - プロセス。 クラウドのインシデント対応プロセスを更新する
- Azure 導入フレームワーク、ログ記録、およびレポート決定ガイド
- Azure エンタープライズ規模の管理と監視
- NIST SP 800-61 コンピューター セキュリティ インシデント処理ガイド
顧客のセキュリティ利害関係者 (詳細情報):
GS-8: バックアップと回復の戦略を定義して実装する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.1 | CP-1、CP-9、CP-10 | 3.4 |
一般的なガイダンス: 組織のバックアップと回復の戦略を確立します。 この戦略には、次の点で文書化されたガイダンス、ポリシー、および標準を含める必要があります。
- ビジネスの回復性の目標と規制コンプライアンス要件に従った目標復旧時間 (RTO) と目標復旧時点 (RPO) の定義。
- クラウドとオンプレミスの両方のアプリケーションとインフラストラクチャの冗長性設計 (バックアップ、復元、レプリケーションを含む)。 戦略の一環として、リージョン、リージョンペア、リージョン間の復旧、およびオフサイトストレージの場所を検討します。
- データ アクセス制御、暗号化、ネットワーク セキュリティなどの制御を使用して、未承認のアクセスとテンパリングからバックアップを保護します。
- ランサムウェア攻撃などの新たな脅威からのリスクを軽減するために、バックアップと回復を使用します。 また、これらの攻撃からバックアップと回復のデータ自体をセキュリティで保護します。
- 監査とアラートの目的でバックアップと回復のデータと操作を監視する。
実装と追加のコンテキスト:
- Microsoft クラウド セキュリティ ベンチマーク - バックアップと回復 Azure Well-Architecture Framework - Azure アプリケーションのバックアップとディザスター リカバリー: /azure/architecture/framework/resiliency/backup-and-recovery
- Azure 導入フレームワーク - ビジネス継続性とディザスター リカバリー
- ランサムウェアから保護するためのバックアップと復元の計画
顧客のセキュリティ利害関係者 (詳細情報):
GS-9: エンドポイント セキュリティ戦略を定義して実装する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2、SI-3、SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
一般的なガイダンス: 次の側面を含むクラウド エンドポイント セキュリティ戦略を確立します。エンドポイントの検出と対応、マルウェア対策の機能をエンドポイントにデプロイし、脅威の検出と SIEM ソリューションとセキュリティ運用プロセスと統合します。
- Microsoft Cloud Security Benchmark に従って、エンドポイントに関連する他の領域 (ネットワーク セキュリティ、ポスチャの脆弱性管理、ID と特権アクセス、ログ記録と脅威検出など) のセキュリティ設定も設定されていることを確認して、エンドポイントの多層防御を提供します。
- 運用環境のエンドポイント セキュリティに優先順位を付けますが、非運用環境 (DevOps プロセスで使用されるテスト環境やビルド環境など) もセキュリティで保護および監視されるようにします。これらの環境を使用して、運用環境にマルウェアや脆弱性を導入することもできます。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
GS-10: DevOps セキュリティ戦略を定義して実装する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12、SA-15、CM-1、CM-2、CM-6、AC-2、AC-3、AC-6、SA-11、AU-6、AU-12、SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
一般的なガイダンス: 組織の DevOps エンジニアリングおよび運用標準の一部としてセキュリティ制御を義務付けます。 組織のエンタープライズおよびクラウドのセキュリティ標準に従って、セキュリティ目標、制御要件、およびツール仕様を定義します。
CI/CD ワークフロー全体でさまざまな種類の自動化 (コード プロビジョニングとしてのインフラストラクチャ、自動 SAST および DAST スキャンなど) を使用して脆弱性を迅速に特定して修復する利点を得るための、組織の不可欠な運用モデルとして DevOps を使用することを推奨します。 この "シフト左" アプローチにより、デプロイ パイプラインで一貫したセキュリティ チェックを適用する可視性と機能も向上し、ワークロードを運用環境にデプロイするときの直前のセキュリティの驚きを回避するために、セキュリティ ガードレールを事前に環境に効果的にデプロイできます。
セキュリティ コントロールをデプロイ前フェーズに移行する場合は、セキュリティ ガードレールを実装して、DevOps プロセス全体でコントロールがデプロイおよび適用されるようにします。 このテクノロジには、IaC (コードとしてのインフラストラクチャ) でガードレールを定義するリソースデプロイ テンプレート (Azure ARM テンプレートなど)、リソースのプロビジョニングと監査を含め、環境にプロビジョニングできるサービスまたは構成を制限できます。
ワークロードの実行時のセキュリティ制御については、Microsoft Cloud セキュリティ ベンチマークに従って、ID と特権アクセス、ネットワーク セキュリティ、エンドポイント セキュリティ、ワークロード アプリケーションとサービス内のデータ保護などのコントロールを効果的に設計して実装します。
実装と追加のコンテキスト:
- Microsoft クラウド セキュリティ ベンチマーク - DevOps セキュリティ
- セキュリティで保護された DevOps
- クラウド導入フレームワーク - DevSecOps コントロールに関する一般的なガイダンス顧客のセキュリティ利害関係者 (詳細情報)**:
- すべての利害関係者
GS-11: マルチクラウド セキュリティ戦略を定義して実装する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| なし | なし | なし |
一般的なガイダンス: マルチクラウド戦略が、クラウドとセキュリティのガバナンス、リスク管理、運用プロセスで定義されていることを確認します。これには、次の側面が含まれている必要があります。
- マルチクラウド導入: マルチクラウド インフラストラクチャを運用し、チームがクラウド プラットフォームとテクノロジ スタックの機能の違いを確実に理解できるように組織を教育する組織向け。 移植可能なソリューションをビルド、デプロイ、移行します。 クラウド導入による最適な結果を得るために、クラウド ネイティブ機能を適切に利用しながら、ベンダーのロックインを最小限に抑えながら、クラウド プラットフォーム間の移動を容易にします。
- クラウドとセキュリティの運用: ソリューションのデプロイ場所と運用場所に関係なく、共通の運用プロセスを共有する一連のガバナンスと管理プロセスを一元的に行い、各クラウド全体でソリューションをサポートするようにセキュリティ運用を合理化します。
- ツールとテクノロジ スタック: マルチクラウド環境をサポートする適切なツールを選択して、このセキュリティ ベンチマークで説明されているすべてのセキュリティ ドメインを含む統合および一元管理プラットフォームの確立に役立ちます。
実装と追加のコンテキスト:
- Azure ハイブリッドとマルチクラウド
- Azure ハイブリッドとマルチクラウドのドキュメント
- AWS と Azure サービスの比較 を する
- AWS専門家向けAzure