Microsoft クラウド セキュリティ ベンチマークは、Azure とマルチクラウド環境でのワークロード、データ、サービスのセキュリティを向上させるための規範的なベスト プラクティスと推奨事項を提供します。 このベンチマークでは、次のような包括的な Microsoft と業界のセキュリティ ガイダンスのセットからの入力を使用して、クラウド中心のコントロール領域に焦点を当てます。
- クラウド導入フレームワーク: 戦略、ロールと責任、Azure Top 10 セキュリティのベスト プラクティス、参照実装など、セキュリティに関するガイダンス。
- Azure Well-Architected Framework: Azure でのワークロードのセキュリティ保護に関するガイダンス。
- Microsoft Secure Future Initiative (SFI):SFI は、製品の設計、開発、運用のあらゆる段階にセキュリティを埋め込むために開始された複数年にわたる Microsoft 内部イニシアチブです。 SFI には 、Microsoft の内部セキュリティに関するベスト プラクティス が含まれています。このベスト プラクティスは、お客様にも推奨したいと考えています。
- 最高情報セキュリティ責任者 (CISO) ワークショップ: ゼロ トラスト原則を使用してセキュリティの最新化を促進するためのプログラム ガイダンスと参照戦略。
- その他の業界およびクラウド サービス プロバイダーのセキュリティのベスト プラクティスの標準とフレームワーク: Amazon Web Services (AWS) Well-Architected Framework、Center for Internet Security (CIS) Controls、National Institute of Standards and Technology (NIST)、Payment Card Industry Data Security Standard (PCI-DSSなど)。
Microsoft クラウド セキュリティ ベンチマーク v2 の新機能
注
Microsoft クラウド セキュリティ ベンチマーク v2 がプレビューとして利用できるようになりました。 新しいバージョンを確認し、フィードバックを提供して、さらに改善することをお勧めします。 ご質問やご意見がございましたら、
Microsoft クラウド セキュリティ ベンチマーク v2 (プレビュー) の新機能を次に示します。
人工知能ドメインの脅威とリスクに対処するために、人工知能 戦略 をスコープに追加します。 この新しい制御ドメインには、AI プラットフォームのセキュリティ、AI アプリケーションのセキュリティ、AI セキュリティの監視に関する 7 つの推奨事項が含まれています。
Azure Policy ベースの制御測定値を ~220 以上から最大 420 以上に拡張して、より新しいセキュリティ コントロールをカバーし、既存のコントロールの測定値を拡張します。 これにより、 Azure Policy と Defender for Cloud を使用して、Azure のセキュリティ体制をより適切に測定および監視できます。
より詳細な技術的な実装例と参照の詳細を含む、より包括的なリスクと脅威ベースの制御ガイドに、前の制御ガイドラインを拡張します。 この改善は、各コントロールが軽減しようとしているセキュリティ リスクと脅威、および Azure 環境にコントロールを実装する方法をより深く理解するのに役立ちます。
コントロール
| コントロール ドメイン | 説明 |
|---|---|
| ネットワーク セキュリティ (NS) | ネットワーク セキュリティには、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部攻撃の防止と軽減、DNS のセキュリティ保護など、ネットワークをセキュリティで保護するための制御が含まれます。 |
| ID 管理 (IM) | Identity Management では、シングル サインオンの使用、強力な認証、アプリケーションのマネージド ID (およびサービス プリンシパル)、条件付きアクセス、アカウントの異常の監視など、ID およびアクセス管理システムを使用してセキュリティで保護された ID とアクセス制御を確立するための制御について説明します。 |
| 特権アクセス(PA) | 特権アクセスでは、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的なリスクと偶発的なリスクから保護するためのさまざまなコントロールなど、テナントとリソースへの特権アクセスを保護するためのコントロールを対象とします。 |
| データ保護 (DP) | データ保護は、保存時、転送中、および承認されたアクセス メカニズムを介して、アクセス制御、暗号化、キー管理、証明書管理を使用して機密データ資産を検出、分類、保護、監視するなどの制御を対象とします。 |
| 資産管理 (AM) | 資産管理では、セキュリティ担当者のアクセス許可に関する推奨事項、資産インベントリへのセキュリティ アクセス、サービスとリソースの承認の管理 (インベントリ、追跡、修正) など、リソースに対するセキュリティの可視性とガバナンスを確保するための制御が含まれます。 |
| ログと脅威の検出 (LT) | ログと脅威の検出には、クラウド上の脅威を検出するための制御と、クラウド サービスの監査ログの有効化、収集、および格納が含まれます。これには、クラウド サービスでネイティブの脅威検出を使用して高品質のアラートを生成するコントロールを使用した検出、調査、修復プロセスの有効化が含まれます。また、クラウド監視サービスを使用したログの収集、SIEM を使用したセキュリティ分析の一元化、時刻同期、ログリテンション期間も含まれます。 |
| インシデント対応 (IR) | インシデント対応は、インシデント対応のライフ サイクルにおける制御 (Azure サービス (Microsoft Defender for Cloud や Sentinel など) や他のクラウド サービスを使用してインシデント対応プロセスを自動化するなど、準備、検出と分析、封じ込め、インシデント後のアクティビティなど) について説明します。 |
| 姿勢および脆弱性管理 (PV) | ポスチャと脆弱性管理では、脆弱性スキャン、侵入テストと修復、クラウド リソースのセキュリティ構成の追跡、レポート、修正など、クラウド のセキュリティ体制を評価および改善するための制御に重点を置いています。 |
| エンドポイント セキュリティ (ES) | エンドポイント セキュリティでは、クラウド環境でのエンドポイントに対するエンドポイントの検出と応答 (EDR)、マルウェア対策サービスの使用など、エンドポイントの検出および応答でのコントロールを対象とします。 |
| バックアップと回復 (BR) | バックアップと回復では、さまざまなサービス レベルでのデータと構成のバックアップが実行、検証、保護されるようにするための制御が含まれます。 |
| DevOps セキュリティ (DS) | DevOps Security は、DevOps プロセス全体のセキュリティを確保するために、デプロイ フェーズ前の重要なセキュリティ チェック (静的アプリケーション セキュリティ テスト、脆弱性管理など) のデプロイを含む、DevOps プロセスのセキュリティ エンジニアリングと運用に関連するコントロールを対象としています。また、脅威モデリングやソフトウェア供給のセキュリティなどの一般的なトピックも含まれています。 |
| 人工知能戦略 (AI) | 人工知能戦略では、AI プラットフォームのセキュリティ、AI アプリケーションのセキュリティ、AI セキュリティの監視など、AI モデルとサービスの安全な開発、デプロイ、運用を確保するためのコントロールについて説明します。 |
| ガバナンスと戦略 (GS) (v2 では非推奨) | ガバナンスと戦略では、さまざまなクラウド セキュリティ機能の役割と責任の確立、統合された技術戦略、ポリシーと標準のサポートなど、セキュリティ保証をガイドして維持するための一貫性のあるセキュリティ戦略と文書化されたガバナンス アプローチを確保するためのガイダンスが提供されます。 |
Microsoft クラウド セキュリティ ベンチマークの推奨事項
各推奨事項には次の情報が含まれます。
- ID: 推奨事項に対応するベンチマーク ID。
- セキュリティ原則: 推奨事項は、テクノロジに依存しないレベルでコントロールを説明する "何" に焦点を当てたものです。
- 軽減するリスク: 推奨事項が軽減を目的とするセキュリティ リスク。
- MITRE ATT&CK: セキュリティリスクに関連するMITRE ATT&CKの戦術、技術、および手順(TTPs)。 詳細については、https://attack.mitre.org/を参照してください。
- Azure ガイダンス: 推奨事項では、Azure の技術的な機能と実装の基本について説明する"方法" に重点を置いて説明しました。
- AWS ガイダンス: 推奨事項は、AWS の技術的な機能と実装の基本を説明する "方法" に焦点を当てています。
- 実装例 (v2 Azure のみ): 実際のシナリオで推奨事項を実装する方法の実際の例。
- 実装と追加コンテキスト (v1 のみ v2 ネイティブ埋め込み): 実装の詳細と、ドキュメント記事を提供する Azure および AWS サービスにリンクするその他の関連コンテキスト。
- 顧客のセキュリティ利害関係者 (v2 では非推奨): 各コントロールについて責任を負う可能性がある、責任者である、または相談を受ける可能性がある顧客組織のセキュリティ機能 。 会社のセキュリティ組織の構造や、Azure セキュリティに関連して設定した役割と責任によって、組織によって異なる場合があります。
- Azure Policy (組み込み) マッピング: 対応する制御の有効性を測定するために使用できる適用可能な Azure Policy。 詳細については、 Microsoft クラウド セキュリティ ベンチマーク制御と Azure 組み込みポリシー マッピングに関するページを参照してください。
-
コントロール マッピング: MCSB の推奨事項と業界のセキュリティ標準の間のマッピング。次のものが含まれます。
- CIS コントロール v8 ID: 推奨事項に対応する CIS コントロール v8 コントロール。
- CIS Controls v7.1 ID (v2 では非推奨): 推奨に対応する CIS コントロール v7.1 コントロール (書式設定の理由により、Web では使用できません)。
- PCI-DSS v3.2.1 ID (v2 では非推奨): 推奨事項に対応する PCI-DSS v3.2.1 コントロール。
- PCI-DSS v4 ID (v2 のみ): 推奨事項に対応する PCI-DSS v4 コントロール。
- ISO/IEC 27001:2022 ID (v2 のみ): 推奨事項に対応する ISO/IEC 27001:2022 コントロール。
- NIST Cybersecurity Framework v2 ID(s) (v2 のみ): 推奨事項に対応する NIST Cybersecurity Framework (CSF) v2 コントロール。
- NIST SP 800-53 r4 ID (v2 では非推奨): NIST SP 800-53 r4 の (Moderate と High) コントロールは、この推奨事項に対応しています。
- NIST SP 800-53 r5 ID (v2 のみ): NIST SP 800-53 r5 (Moderate および High) コントロールは、この推奨事項に対応します。
MCSB と業界ベンチマーク (CIS、NIST、PCI、ISO など) 間の制御マッピングは、特定の Azure 機能を使用して、これらの業界ベンチマークで定義されている制御要件に完全または部分的に対処できることを示すだけです。 このような実装は、必ずしもこれらの業界ベンチマークの対応するコントロールの完全なコンプライアンスに変換されるわけではないことに注意してください。
Microsoft クラウド セキュリティ ベンチマークの取り組みに関する詳細なフィードバックと積極的な参加をお待ちしております。 直接入力をご希望の場合は、 benchmarkfeedback@microsoft.comまでお問い合わせください。
ダウンロード
ベンチマークとベースラインのオフライン コピーは スプレッドシート形式でダウンロードできます。
次のステップ
- 最初のセキュリティ 制御を参照してください: ネットワーク セキュリティ
- Microsoft クラウド セキュリティ ベンチマークの概要を読む
- Azure セキュリティの基礎について