制御領域

効果的なテクノロジー セキュリティ戦略の基盤となるのは、現在の実装をレビューできるフレームワークを構成するドメインとその制御をしっかりと理解することです。 Microsoftクラウドでは、セキュリティ制御のベースラインを確認し、理解し、定期的にチェックするためのさまざまな方法が提供されています。 Microsoftクラウドのコントロールのベースライン セットの詳細については、 Microsoftクラウド セキュリティ ベンチマークを参照してください。

ただし、Microsoftは、システムおよび組織の管理 (SOC)、国際標準化機構 (ISO)、または支払い カード 業界 (PCI) などの世界的に認識されているフレームワークがいくつかの管理を義務付けている一方で、ベースラインを超えた特定のセキュリティ ドメインに関連する管理もあることも理解しています。 この文脈では、金融サービス企業は通常、回復力、アクセス、インシデント、脆弱性管理などの領域を扱います。

回復性

アメリカ国立標準技術研究所 (NIST)、SOC、ISO、およびその他の制御体制では、ビジネスの継続性と災害復旧を重視しています。 Microsoftクラウド サービス は、このドメインに関連付けられた制御を満たすのに役立ちます。 次のリンクでは、組織がMicrosoft Cloudを最適に使用し、ワークロードで適切なレベルの回復力を実現するための情報が提供されています。

• Azure可用性ゾーンとは何ですか?
• 可用性ゾーン サービス サポート
• 信頼性クイックリンク - Microsoft Azure Well-Architected Framework
• 可用性ゾーンとリージョンの使用に関する推奨事項

アクセス

金融機関にとって、従業員やクラウド サービス プロバイダーによるリソースへのアクセスを制限および監視するための制御が重要です。 Microsoftエンジニアは、トラブルシューティングのシナリオでアクセスを要求された場合を除き、顧客リソースへの常時アクセス権を持ちません。 継続的に審査されるセキュリティ グループの使用、必須の人員スクリーニング、本番環境の レイヤー アクセス用のセキュア管理ワークステーション (SAW) の使用、アクセス範囲の制限とアクセスの承認チェーンの作成のためのジャストインタイム (JIT) などの技術ツールの使用はすべて、Microsoftレイヤー. 内の高度に安全なアクセス制御の一部です。

お客様側での追加手順として、Microsoftカスタマー ロックボックスの使用を検討してください。これにより、明示的な承認なしにMicrosoftがお客様のコンテンツにアクセスできなくなります。 ロックボックスを使用すると、制御とセキュリティがさらに強化されます。 これにより、問題のトラブルシューティング時にMicrosoftエンジニアからのアクセス要求を承認または拒否して、許可された担当者だけがデータにアクセスできるようになります。 また、コンプライアンス要件を満たし、データのプライバシーを強化するのにも役立ちます。 詳細については、「 顧客ロックボックス」を参照してください。

Microsoftでは、自社のエンジニアによるアクセス要求を確認するためにジャストインタイム (JIT) テクノロジが必要ですが、組織でもJITを導入して、従業員によるアクセスが同様の監視を受けていることを確認することができます。 Azure仮想マシン (VM) 上のJITアクセスは、必要な場合にのみ、特定のポートで、限られた時間だけアクセスを許可することで、セキュリティを強化します。 不正アクセスや潜在的な攻撃のリスクを軽減します。 Microsoft Defender for Cloudを介して、またはPowerShellとAPIを介してプログラム的に、JITアクセスを簡単に構成および管理できます。 詳細については、「 ジャストインタイム (JIT)」を参照してください。

インシデントの応答

Microsoft's incident応答 チーム は、悪意のある行為者を排除し、回復力を構築し、防御を修復することで、サイバーセキュリティ インシデントの発生前、発生中、発生後に支援を提供します。 次の情報リソースでは、Microsoftがセキュリティと回復力を強化し、インシデントに対応する方法について詳しく説明しています。

• Microsoftインシデント 応答
• 統合エンタープライズプランの詳細
• サイバーセキュリティインシデント 応答
• ミッションクリティカルなサポート

クラウドネイティブのセキュリティ情報および イベント管理 (SIEM) ソリューションである Microsoft Sentinel を使用すると、大量のデータを効率的に分析できます。 Microsoft Sentinelを使用すると、さまざまなソースからのログ データをリアルタイムで集約、相関、分析できるため、セキュリティ チームが迅速にインシデントを検出し、応答 を実行できるようになります。 Microsoft Sentinelは、DefenderスイートおよびAzureと組み合わせることで、インシデントの 応答 調査に非常に役立つ傾向データを提供します。

脆弱性管理

Microsoftセキュリティ研究者は脅威の状況を監視し、顧客、パートナー、業界の専門家と協力して新たな脆弱性やエクスプロイトを発見します。 脅威とコンピューティングの状況が進化し続ける中、脆弱性の発見、調整された 応答、その他の形式の脅威インテリジェンスの共有は、現在および将来の脅威から顧客を保護するために非常に重要です。 詳細については、 脆弱性とエクスプロイトを参照してください。

Defender脆弱性管理は、Windows、macOS、Linuxなどの重要な資産全体の脆弱性を特定、評価、修復するための包括的なソリューションを提供します。 Android、 iOS、およびネットワークデバイス。 Microsoftの脅威インテリジェンスとリスクベースの優先順位付けを使用すると、金融機関は、企業ネットワークに接続されていないデバイスであっても、最も重要な脆弱性を継続的に監視して対処することで、サイバーリスクを軽減できます。 これにより、セキュリティが強化され、潜在的な侵害のリスクが軽減されます。 詳細については、 Defender脆弱性管理。

Sovereignty

Microsoft主権クラウド機能は、厳格なコンプライアンス要件を満たし、データ主権を確保するために必要なツールとコントロールを提供します。 Microsoftの信頼できるクラウド プラットフォームを使用することで、Azure機密コンピューティング、顧客管理キー、Azure管理ハードウェア セキュリティ モジュール (HSM) などのさまざまな機能を通じてコンプライアンスを実装できます。 これらの機能により、機密性の高いワークロードに対する保護が強化され、データやリソースへの不正アクセスを防止できます。

金融セクターでも実装できるソブリン機能の詳細については、次の情報リソースを参照してください。

• キーと証明書の管理 Microsoft Cloud for Sovereignty
• Azure機密コンピューティング
• Microsoft Cloud for Sovereignty 政策ポートフォリオ
• ソブリン・ランディング・ゾーンの概要
• ソブリン ランディング ゾーンのワークロード テンプレート

Transparency

Microsoft Cloud for Financial Services 顧客は包括的なツールとリソースを使用して、クラウド 環境 の透明性を確保し、独自のクラウド アクティビティを可視化できます。 Microsoftからのアクションと変更を監視し、リソースへのアクセスを制御し、インシデントや停止の通知を受信することで、金融セクターはMicrosoftクラウドの使用を安全にし、高い透明性を確保できます。これにより、企業のリスク委員会や規制当局との会話が容易になります。

この点に関する詳細については、次の情報リソースを参照してください。

• Microsoft監査範囲
• 透明性ログ
• 顧客用ロックボックス Microsoft Azure そして 顧客ロックボックス Power Platform そしてDynamics 365
• Azureサービスの健全性

デフォルトで安全

Microsoftクラウド サービス は、「デフォルトで安全」という考え方を採用するのに役立つ強力なツールと機能のセットを提供します。 これらのサービスを使用することで、クラウド 環境 が最初から安全であることを保証し、脆弱性を最小限に抑え、全体的なセキュリティ体制を強化できます。 デフォルトで安全な状態を実現するために、組織は次の機能を使用できます。

• Azureポリシーを使用して、組織の標準を適用し、コンプライアンスを大規模に評価します。 Azureポリシーは、リソースのルールと効果を適用するポリシーの作成、割り当て、管理に役立ちます。 デプロイ可能なサービスの許可リスト セットを定義することで、承認されたサービスのみがクラウド内で使用されるようにすることができます 環境。 詳細については、 Azureポリシー。
• Microsoft Defender for Cloudは、セキュリティの検出結果を1つのスコアに集約するセキュア スコアを提供することで、セキュリティ体制の改善に役立ちます。 このスコアは、現在のセキュリティ状況を評価し、改善するためのアクションの優先順位付けに役立ちます。 セキュリティ スコアは、Microsoftクラウド セキュリティ ベンチマーク (MCSB) 標準に基づいており、Defender for Cloudが有効な場合に既定で適用されます。 詳細については、 Microsoftクラウド向けディフェンダー。
• Azureプライベート リンク を使用すると、仮想ネットワーク内のプライベート エンドポイント 経由のサービスとは別に、AzureストレージやSQLデータベースなどのAzureサービスにアクセスできます。 これにより、仮想ネットワークとサービス間のトラフィックがMicrosoftバックボーン ネットワークを通過するようになり、機密機能へのプライベート アクセスが提供されます。 詳細については、 Azureプライベート リンク。
• Microsoft Entra クラウド サービス向けの集中IDおよびアクセス管理を提供します。 多要素認証（MFA）を強制し、 Microsoft Entra ID条件付きアクセス ポリシーを使用すると、どのリソースに対してもローカル認証が許可されないようにすることができます。 この対策により、ユーザーに認証を要求することでセキュリティが強化され、 Microsoft Entra 資格。 アクセスポリシーの詳細については、以下を参照してください。 条件付きアクセスポリシー。

関連情報

• インフラガバナンス
  
• Microsoftコンプライアンス ツール
  
• Microsoft Cloudのコンプライアンス プログラム