Azure VMware Solution がインフラストラクチャの脆弱性に対処する
大まかに言えば、Azure VMware Solution は Azure のサービスであるため、Azure が従うすべてのポリシーと要件に同様に従う必要があります。 Azure のポリシーと手順により、Azure VMware Solution はセキュリティ開発ライフサイクル (SDL) に従う必要があり、Azure によって約束されているいくつかの規制要件を満たす必要があります。
脆弱性に対するアプローチ
Azure VMware Solution は、脆弱性とリスク管理に対する緻密なアプローチを採用しています。 SDL に従って、最初から安全な構築を確保しています。 このセキュリティへの注力には、あらゆるサードパーティ ソリューションとの連携が含まれます。 当社のサービスは、定期的な自動および手動でのレビューを通じて継続的に評価されます。 当社では、ソリューション内の脆弱性のセキュリティ強化と早期通知について、サード パーティ パートナーとの提携も行っています。
脆弱性の管理
- エンジニアリング チームとセキュリティ チームでは、あらゆる脆弱性のシグナルをトリアージします。
- シグナル内の詳細が裁定され、サービス内の補正コントロールに従って共通脆弱性評価システム (CVSS) スコアとリスク評価が割り当てられます。
- リスク評価は、修正プログラムを実装するためのタイムラインを確立するために、内部のバグ バー、内部ポリシーと内部の規制に対して使用されます。
- 内部エンジニアリング チームは、適切な関係者と提携して、必要な修正プログラム、パッチ、その他の構成更新プログラムを適格評価のうえロールアウトします。
- コミュニケーションは、必要に応じてドラフトされ、割り当てられたリスク評価に従って公開されます。
ヒント
コミュニケーションは、Azure Service Health ポータル、既知の問題、電子メールのいずれかを通じて公開されます。
脆弱性とリスク管理を管理する規制のサブセット
Azure VMware Solution は、次の認定と規制要件のスコープ内にあります。 リストされている規制は、Azure VMware Solution が保持する認定の完全なリストではありません。 代わりに、脆弱性管理に関する特定の要件を含むリストです。 これらの規制は、同じ目的のための他の規制に依存しません。 たとえば、特定の地域認定が脆弱性管理の ISO 要件を指している可能性があります。
Note
Service Trust Portal でホストされている次の監査レポートにアクセスするには、アクティブな Microsoft 顧客である必要があります。
- ISO
- PCI: 監査情報については DSS および 3DS のパッケージを参照してください。
- SOC
- NIST サイバーセキュリティ フレームワーク
- Cyber Essentials Plus