Microsoft セキュリティ インシデント管理: 準備
トレーニングとバックグラウンド チェック
Microsoft オンライン サービスに取り組む各従業員には、役割に適したセキュリティ インシデントと対応手順に関するトレーニングが提供されます。 すべての Microsoft 従業員は、参加時にトレーニングを受け、その後毎年毎年更新プログラムのトレーニングを受けます。 このトレーニングは、トレーニングが完了すると、すべての従業員が以下を理解できるように、セキュリティに対する Microsoft のアプローチに関する基本的な理解を従業員に提供するように設計されています。
- セキュリティ インシデントの定義
- すべての従業員がセキュリティ インシデントを報告する責任
- 潜在的なセキュリティ インシデントを適切な Microsoft セキュリティ対応チームにエスカレートする方法
- Microsoft セキュリティ インシデント対応チームがセキュリティ インシデントに対応する方法
- プライバシー、特に顧客のプライバシーに関する特別な懸念事項
- セキュリティとプライバシー、エスカレーションの連絡先に関する追加情報を確認する場所
- その他の関連するセキュリティ領域 (必要に応じて)
適切な従業員は、毎年セキュリティに関する最新のトレーニングを受けます。 年次リフレッシャー トレーニングでは、次のことに重点を置いています。
- 前年度の標準業務手順に加えられた変更
- すべてのユーザーがセキュリティ インシデントを報告する責任と、その方法
- セキュリティとプライバシー、エスカレーションの連絡先に関する追加情報を確認する場所
- 毎年関連する可能性があるその他のセキュリティフォーカス領域
Microsoft オンライン サービスに取り組む各従業員は、候補者の教育、雇用、犯罪歴、医療保険の移植性と説明責任法 (HIPAA)、国際武器規制 (ITAR)、連邦リスクおよび承認管理プログラムなどの米国規制ごとのその他の特定の情報を含む、適切かつ徹底的なバックグラウンド チェックの対象となります。(FedRAMP) など。
バックグラウンド チェックは、Microsoft エンジニアリング内で働くすべての従業員に必須です。 一部の Microsoft オンライン サービス環境とオペレーターロールには、完全なフィンガープリント、市民権要件、政府のクリアランス要件、その他のより厳しい制御が必要な場合があります。 さらに、一部のサービス チームとロールは、必要に応じて特殊なセキュリティ トレーニングを行う場合があります。 最後に、セキュリティ チームのメンバー自身が、セキュリティに直接関連する特別なトレーニングと会議参加を受けます。 このトレーニングは、チームと従業員のニーズによって異なりますが、業界の既知のセキュリティ トレーニング ベンダーを通じて、業界の会議、内部の Microsoft セキュリティ会議、外部トレーニング コースなどが含まれます。 また、Microsoft 全体のセキュリティ コミュニティ向けに年間を通じて公開され、Microsoft オンライン サービスに特化した専用のセキュリティ トレーニング記事も定期的に公開されています。
侵入テスト & 評価
Microsoft は、さまざまな業界団体やセキュリティの専門家と協力して、新しい脅威と進化する傾向を理解しています。 Microsoft は、脆弱性に対する独自のシステムと、それを行うさまざまな独立した外部の専門家との契約を継続的に評価します。
Microsoft オンライン サービス内のサービス強化のために実行されるテストは、次の 4 つの一般的なカテゴリにグループ化できます。
- 自動セキュリティ テスト: 内部および外部の担当者は、Microsoft SDL プラクティス、Open Web Application Security Project (OWASP) Top 10 リスク、およびさまざまな業界団体によって報告された新たな脅威に基づいて、Microsoft オンライン サービス環境を定期的にスキャンします。
- 脆弱性評価: 独立したサードパーティのテスト担当者との正式な契約は、さまざまな規制機関のサービス義務を果たすために主要な論理コントロールが効果的に動作しているかどうかを定期的に検証します。 評価は、登録された倫理的セキュリティテスター(CREST)認定担当者の評議会によって行われ、OWASPトップ10のリスクとその他のサービスに適用される脅威に基づいています。 検出されたすべての脅威は、閉鎖に追跡されます。
- 継続的なシステム脆弱性テスト: Microsoft は、新たな脅威、ブレンドされた脅威、高度な永続的な脅威を使用してシステムを侵害しようとする一方で、他のチームがそのような侵害の試みをブロックしようとする定期的なテストを実行します。
- Microsoft Online Services バグ バウンティ プログラム: このプログラムは、Microsoft オンライン サービスに対して、お客様が提供する限定的な脆弱性評価を許可するポリシーを運用します。 詳細については、「 Microsoft Online Services のバグ報奨金条項」を参照してください。
Microsoft オンライン サービス エンジニアリング チームは、さまざまなコンプライアンス ドキュメントを定期的に発行します。 これらのドキュメントの一部は、Microsoft Cloud Service トラスト ポータルまたはMicrosoft Purview コンプライアンス ポータルのサービス アシュアランス領域から、秘密保持契約の下で入手できます。
攻撃シミュレーション
Microsoft は、検出と対応の機能を向上させる目的で、継続的な攻撃シミュレーション演習と、セキュリティと対応計画のライブ サイト侵入テストに取り組んでいます。 Microsoft は、実際の侵害を定期的にシミュレートし、継続的なセキュリティ監視を実施し、セキュリティ インシデント対応を実施して、Microsoft オンライン サービスのセキュリティを検証および改善します。
Microsoft は、次の 2 つのコア チームを使用して、侵害を想定したセキュリティ戦略を実行します。
赤いチーム
Microsoft Red チームは、Microsoft のインフラストラクチャ、プラットフォーム、および Microsoft 独自のテナントとアプリケーションの侵害に焦点を当てた、Microsoft 内のフルタイム スタッフのグループです。 これらは、(顧客のアプリケーションやデータではなく) オンライン サービスに対して標的型および永続的な攻撃を実行する専用の敵対者 (倫理的ハッカーのグループ) です。 これらは、サービス インシデント対応機能の継続的な "完全なスペクトル" 検証 (技術コントロール、ペーパー ポリシー、人間の対応など) を提供します。
青いチーム
Microsoft Blue チームは、セキュリティ 対応チームの専用セットと、セキュリティ インシデント対応チーム、エンジニアリング チーム、運用チーム全体のメンバーで構成されています。 彼らは独立しており、Redチームとは別に運営しています。 Blue チームは、確立されたセキュリティ プロセスに従い、最新のツールとテクノロジを使用して、攻撃や侵入の試行を検出して対応します。 実際の攻撃と同様に、Blue チームは、Red チームの攻撃がいつ、どのように行われるか、どのような方法が使用されるかを知りません。 彼らの仕事は、それが赤いチーム攻撃であれ、実際の攻撃であれ、すべてのセキュリティインシデントを検出して対応することです。 このため、Blue チームは継続的にオンコールしており、Red チームの違反に対して、他の敵対者と同じように対応する必要があります。
Microsoft のスタッフは、サービス全体とサービス内の両方で運用を行うさまざまな部門で、Microsoft 全体でフルタイムの赤いチームと青いチームを分離しています。 Red Teaming と呼ばれるアプローチは、実際の敵対者と同じ戦術、手法、手順を使用して、インフラストラクチャとプラットフォーム エンジニアリングチームや運用チームを予知することなく、実際の運用インフラストラクチャに対して、Microsoft サービスのシステムと運用全体でテストすることです。 これにより、セキュリティの検出と対応の機能がテストされ、運用環境の脆弱性、構成エラー、無効な前提条件、またはその他のセキュリティの問題を制御された方法で特定するのに役立ちます。 Red チームのすべての侵害の後に、Red チームと Blue チーム (サービス チームを含む) の間で完全な開示が行われ、ギャップを特定し、調査結果に対処し、侵害対応を大幅に改善します。
注:
Red Teaming やライブ サイト侵入の演習では、顧客データは対象とされません。 テストは、Microsoft 365 と Azure のインフラストラクチャとプラットフォーム、および Microsoft 独自のテナント、アプリケーション、データに対するものです。 Azure、Dynamics 365、または Microsoft 365 でホストされている顧客のテナント、アプリケーション、データは、合意された契約規則に従って対象になることはありません。
ジョイント演習
Microsoft Blue チームと Red チームは、操作中の関係が、各チームの従業員の選択したセットとの敵対的なパートナーよりも多い共同操作を行う場合があります。 これらの演習は、倫理的なハッカーと応答者の間のリアルタイムのコラボレーションを通じて、よりターゲットを絞った結果のセットを推進するために、チーム間で適切に調整されています。 これらの「紫色のチーム」演習は、機会を最大化するために各操作に合わせて高度に調整されていますが、各操作の基礎は、目的を達成するための高帯域幅の情報共有とパートナーシップです。