セキュリティ制御: バックアップと回復
バックアップと回復では、さまざまなサービス レベルでのデータと構成のバックアップが実行、検証、保護されるようにするための制御が含まれます。
BR-1: 定期的な自動バックアップを確保する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.2 | CP-2、CP-4、CP-9 | N/A |
セキュリティの原則: リソースの作成時または既存のリソースのポリシーを通じて適用される、ビジネス クリティカルなリソースのバックアップを確保します。
Azure ガイダンス: Azure Backup でサポートされているリソース (Azure VM、SQL Server、HANA データベース、Azure PostgreSQL データベース、ファイル共有、BLOB、ディスクなど) の場合は、Azure Backup を有効にして、必要な頻度と保有期間を構成します。 Azure VM の場合、Azure Policy を使用して、Azure Policy を使用してバックアップを自動的に有効にすることができます。
Azure Backup でサポートされていないリソースまたはサービスの場合は、リソースまたはサービスによって提供されるネイティブ バックアップ機能を使用します。 たとえば、Azure Key Vault にはネイティブ バックアップ機能が用意されています。
Azure Backup でサポートされていないリソース/サービスやネイティブ バックアップ機能がない場合は、バックアップとディザスター のニーズを評価し、ビジネス要件に従って独自のメカニズムを作成します。 例えば:
- データ ストレージに Azure Storage を使用する場合は、ストレージ BLOB の BLOB バージョン管理を有効にします。これにより、Azure Storage に格納されているすべてのオブジェクトのすべてのバージョンを保持、取得、復元できます。
- サービス構成設定は、通常、Azure Resource Manager テンプレートにエクスポートできます。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Backup でサポートされているリソース (EC2、S3、EBS、RDS など) の場合は、AWS Backup を有効にして、目的の頻度と保持期間を構成します。
AWS KMS など、AWS Backup でサポートされていないリソース/サービスの場合は、リソース作成の一環としてネイティブ バックアップ機能を有効にします。
AWS Backup でサポートされていないリソース/サービスやネイティブ バックアップ機能がない場合は、バックアップとディザスター のニーズを評価し、ビジネス要件に従って独自のメカニズムを作成します。 例えば:
- Amazon S3 をデータストレージに使用する場合は、S3 バケットの S3 バージョン管理を有効にします。これにより、S3 バケットに格納されているすべてのオブジェクトのバージョンを保持、取得、復元できます。
- 通常、サービス構成設定は CloudFormation テンプレートにエクスポートできます。
AWS の実装と追加のコンテキスト:
- AWS Backup でサポートされているリソースとサードパーティアプリケーション Amazon S3 のバージョン管理: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- AWS CloudFormation ベストプラクティス
GCP ガイダンス: Google Cloud Backup でサポートされているリソース (コンピューター エンジン、クラウド ストレージ、コンテナーなど) の場合は、GCP バックアップを有効にして、必要な頻度と保持期間を構成します。
Google Cloud Backup でサポートされていないリソースまたはサービスの場合は、リソースまたはサービスによって提供されるネイティブ バックアップ機能を使用します。 たとえば、Secret Manager にはネイティブ バックアップ機能が用意されています。
Google Cloud Backup でサポートされていないリソース/サービスやネイティブ バックアップ機能がない場合は、バックアップとディザスター のニーズを評価し、ビジネス要件に従って独自のメカニズムを作成します。 例えば:
- バックアップ データ ストレージに Google Storage を使用する場合は、オブジェクトのバージョン管理に対してストレージのバージョン管理を有効にします。これにより、Google Storage に格納されているすべてのオブジェクトのバージョンを保持、取得、復元できます。
GCP の実装と追加のコンテキスト:
- Google Cloud を使用したバックアップおよびディザスター リカバリー ソリューションの
- オンデマンドバックアップと自動バックアップ の作成と管理
カスタマー セキュリティの利害関係者 (詳細情報):
BR-2: バックアップと回復データを保護する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-6、CP-9 | 3.4 |
セキュリティの原則: バックアップ データと操作がデータ流出、データ侵害、ランサムウェア/マルウェア、悪意のある内部関係者から保護されていることを確認します。 適用する必要があるセキュリティ制御には、ユーザーとネットワークのアクセス制御、保存データの暗号化、転送中などがあります。
Azure ガイダンス: 多要素認証と Azure RBAC を使用して、重要な Azure Backup 操作 (削除、変更の保持、バックアップ構成の更新など) をセキュリティで保護します。 Azure Backup でサポートされているリソースの場合は、Azure RBAC を使用して職務を分離し、きめ細かいアクセスを有効にし、Azure Virtual Network 内にプライベート エンドポイントを作成して、Recovery Services コンテナーからデータを安全にバックアップおよび復元します。
Azure Backup でサポートされているリソースの場合、バックアップ データは、256 ビット AES 暗号化を使用して Azure プラットフォームマネージド キーを使用して自動的に暗号化されます。 カスタマー マネージド キーを使用してバックアップを暗号化することもできます。 この場合は、Azure Key Vault のカスタマー マネージド キーもバックアップ スコープ内にあることを確認します。 カスタマー マネージド キーを使用する場合は、Azure Key Vault で論理的な削除と消去保護を使用して、偶発的または悪意のある削除からキーを保護します。 Azure Backup を使用したオンプレミス バックアップの場合、指定したパスフレーズを使用して保存時の暗号化が提供されます。
ランサムウェア攻撃やバックアップ データの暗号化や改ざんの試行など、偶発的または悪意のある削除からバックアップ データを保護します。 Azure Backup でサポートされているリソースの場合は、論理的な削除を有効にして、未承認の削除後最大 14 日間、データ損失のない項目を確実に回復し、Azure portal で生成された PIN を使用して多要素認証を有効にします。 また、geo 冗長ストレージまたはリージョン間の復元を有効にして、プライマリ リージョンで障害が発生したときにバックアップ データを確実に復元できるようにします。 ゾーン冗長ストレージ (ZRS) を有効にして、ゾーン障害時にバックアップを復元できるようにすることもできます。
注: リソースのネイティブ バックアップ機能または Azure Backup 以外のバックアップ サービスを使用する場合は、Microsoft クラウド セキュリティ ベンチマーク (およびサービス ベースライン) を参照して、上記のコントロールを実装してください。
Azure の実装と追加のコンテキスト:
- Azure Backup のセキュリティ機能の概要
- カスタマー マネージド キーを使用したバックアップ データの暗号化
- 攻撃からハイブリッド バックアップを保護するのに役立つセキュリティ機能
- Azure Backup - リージョンをまたがる復元を設定する
AWS ガイダンス: AWS IAM アクセス制御を使用して AWS Backup をセキュリティで保護します。 これには、AWS Backup サービスのアクセスとバックアップと復元ポイントのセキュリティ保護が含まれます。 コントロールの例を次に示します。
- バックアップ/復元ポイントの削除などの重要な操作には、多要素認証 (MFA) を使用します。
- AWS リソースと通信するには、Secure Sockets Layer (SSL)/Transport Layer Security (TLS) を使用します。
- AWS KMS を AWS Backup と組み合わせて使用して、カスタマー マネージド CMK または AWS Backup サービスに関連付けられている AWS マネージド CMK を使用してバックアップ データを暗号化します。
- 重要なデータの不変ストレージには AWS Backup Vault Lock を使用します。
- アクセス ポリシーを使用して S3 バケットをセキュリティで保護し、パブリック アクセスを無効にし、保存データの暗号化を適用し、バージョン管理を行います。
AWS の実装および追加のコンテキスト:
- AWS Backup におけるセキュリティ
- Amazon S3 の セキュリティに関するベスト プラクティス
GCP ガイダンス: 最も強力な認証を持つ専用アカウントを使用して、削除、変更の保持、バックアップ構成の更新などの重要なバックアップと回復の操作を実行します。これにより、ランサムウェア攻撃やバックアップ データの暗号化や改ざんの試行など、バックアップ データが偶発的または悪意のある削除から保護されます。
GCP Backup でサポートされているリソースの場合は、ロールとアクセス許可を持つ Google IAM を使用して職務を分離し、きめ細かいアクセスを有効にし、VPC へのプライベート サービス アクセス接続を設定して、Backup/Recovery アプライアンスからデータを安全にバックアップおよび復元します。
バックアップ データは、Advanced Encryption Standard (AES) アルゴリズム AES-256 を使用して、プラットフォーム レベルで既定で自動的に暗号化されます。
注: リソースのネイティブ バックアップ機能または GCP Backup 以外のバックアップ サービスを使用する場合は、それぞれのガイドラインを参照してセキュリティコントロールを実装する必要があります。 たとえば、VM インスタンス リソースで deletionProtection プロパティを設定することで、特定の VM インスタンスを削除から保護することもできます。
GCP の実装と追加のコンテキスト:
カスタマー セキュリティの利害関係者 (詳細情報):
BR-3: バックアップを監視する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | N/A |
セキュリティの原則: ビジネスクリティカルな保護可能なすべてのリソースが、定義されたバックアップ ポリシーと標準に準拠していることを確認します。
Azure ガイダンス: Azure 環境を監視して、すべての重要なリソースがバックアップの観点から準拠していることを確認します。 バックアップに Azure Policy を使用して、このような制御を監査および適用します。 Azure Backup でサポートされているリソースの場合、バックアップ センターはバックアップ資産を一元的に管理するのに役立ちます。
重要なバックアップ操作 (削除、変更の保持、バックアップ構成の更新) が監視され、監査され、アラートが設定されていることを確認します。 Azure Backup でサポートされているリソースの場合は、バックアップの全体的な正常性を監視し、重要なバックアップ インシデントに対するアラートを受け取り、コンテナーでトリガーされたユーザー アクションを監査します。
注: 必要に応じて、組み込みのポリシー (Azure Policy) を使用して、Azure リソースがバックアップ用に構成されていることを確認します。
Azure の実装と追加のコンテキスト:
- Backup Center を使用してバックアップ資産を管理する
- バックアップ センター を使用してバックアップを監視および運用する
- Azure Backup の 監視およびレポート ソリューション
AWS ガイダンス: AWS Backup は、他の AWS ツールと連携して、ワークロードを監視できるようにします。 これらのツールには、次のものが含まれます。
- AWS Backup Audit Manager を使用してバックアップ操作を監視し、コンプライアンスを確保します。
- CloudWatch と Amazon EventBridge を使用して AWS Backup プロセスを監視します。
- CloudWatch を使用して、メトリックの追跡、アラームの作成、ダッシュボードの表示を行います。
- EventBridge を使用して、AWS Backup イベントを表示および監視します。
- Amazon Simple Notification Service (Amazon SNS) を使用して、バックアップ、復元、コピーイベントなどの AWS バックアップ関連のトピックをサブスクライブします。
AWS の実装 と追加のコンテキストを示します。
- AWS Backup 監視
- EventBridge を使用して AWS Backup イベントを監視する
- CloudWatch を使用した AWS Backup メトリックの監視
- Amazon SNS を使用して AWS Backup イベントを追跡する
- AWS Backup Audit Manager を使用してバックアップの監査とレポートの作成を する
GCP ガイダンス: バックアップ環境とディザスター リカバリー環境を監視して、重要なすべてのリソースがバックアップの観点から準拠していることを確認します。 このような制御を監査および適用するには、バックアップに組織ポリシーを使用します。 GCP Backup でサポートされているリソースの場合、管理コンソールはバックアップ資産を一元的に管理するのに役立ちます。
重要なバックアップ操作 (削除、変更の保持、バックアップ構成の更新) が監視され、監査され、アラートが設定されていることを確認します。 GCP Backup でサポートされているリソースの場合は、バックアップの全体的な正常性を監視し、重大なバックアップ インシデントに対するアラートを受け取り、トリガーされたユーザー アクションを監査します。
注: 必要に応じて、組み込みのポリシー (組織ポリシー) を使用して、Google リソースがバックアップ用に構成されていることを確認します。
GCP の実装と追加のコンテキスト:
カスタマー セキュリティの利害関係者 (詳細情報):
BR-4: バックアップを定期的にテストする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.5 | CP-4、CP-9 | N/A |
セキュリティの原則: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO (目標復旧時間) と RPO (目標復旧時点) で定義されている回復ニーズを満たしていることを確認します。
Azure ガイダンス: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO と RPO で定義されている回復ニーズを満たしていることを確認します。
毎回完全復旧テストを実行するのは困難な場合があるため、テストスコープ、頻度、方法など、バックアップ復旧テスト戦略を定義する必要がある場合があります。
Azure の実装と追加のコンテキスト:
- Azure Virtual Machine バックアップ からファイルを回復する方法
- Azure で Key Vault キーを復元する方法
AWS ガイダンス: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO と RPO で定義されている回復ニーズを満たしていることを確認します。
毎回完全復旧テストを実行するのは困難な場合があるため、テストスコープ、頻度、方法など、バックアップ復旧テスト戦略を定義する必要がある場合があります。 AWS の実装と追加のコンテキスト:
GCP ガイダンス: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO と RPO で定義されている回復ニーズを満たしていることを確認します。
毎回完全復旧テストを実行するのは困難な場合があるため、テストスコープ、頻度、方法など、バックアップ復旧テスト戦略を定義する必要がある場合があります。
GCP の実装と追加のコンテキスト:
カスタマー セキュリティの利害関係者 (詳細情報):