セキュリティ ポリシーとイニシアティブによってクラウド セキュリティ体制がどのように改善されるかについて説明する

  • 6 分

Microsoft Defender for Cloud を使用すると、組織はクラウドとオンプレミスでリソースとワークロードのセキュリティを管理し、全体的なセキュリティ体制を向上させることができます。 これは、ポリシー定義とセキュリティ イニシアチブを使用して行うため、これらの用語を理解することが重要です。

  • Azure Policy で作成される Azure ポリシー定義は、制御する特定のセキュリティ条件に関するルールです。 Azure ポリシーでは組み込みの定義がサポートされていますが、独自のカスタム ポリシー定義を作成することもできます。

  • セキュリティ イニシアチブは、特定の目標や目的を実現するためにグループ化された Azure Policy の定義またはルールのコレクションです。 セキュリティ イニシアチブは、一連のポリシーを論理的にグループ化して単一の項目として扱うことで、ポリシーの管理を簡略化します。

  • ポリシー定義やイニシアティブを実装するには、これらを管理グループ、サブスクリプション、リソース グループ、個々のリソースなど、サポートされているリソースのスコープに割り当てます。

Microsoft Defender for Cloud は、セキュリティイニシアチブをサブスクリプションに適用します。 これらのイニシアチブには、1 つ以上のセキュリティ ポリシーが含まれています。 各ポリシーが、セキュリティ対策を強化するための推奨事項となります。

セキュリティ管理者は、Microsoft Defender for Cloud で独自のカスタム セキュリティ イニシアチブを構築できますが、サブスクリプションで Microsoft Defender for Cloud を有効にすると自動的に割り当てられる、"Microsoft クラウド セキュリティ ベンチマーク" という名前の既定の組み込みセキュリティ イニシアチブもあります。

Microsoft クラウド セキュリティ ベンチマーク

Microsoft クラウド セキュリティ ベンチマーク (MCSB) は、Microsoftが 作成したセキュリティとコンプライアンスに関するガイドラインで、Azure とマルチクラウド環境上でのワークロード、データ、サービスのセキュリティ向上に役立つベスト プラクティスとレコメンデーションを提供します。 MCSB は、Center for Internet Security (CIS) と National Institute of Standards and Technology (NIST) によるコントロールをベースに、クラウド中心のセキュリティに焦点を当てて構築されています。

Microsoft クラウド セキュリティ ベンチマークを理解する最善の方法は、GitHub Microsoft_cloud_security_benchmark で表示することです。 ネタバレになりますが、これは Excel スプレッドシートです。 MCSB には、多くのデータ列が用意されています。 いくつかの重要な情報は次を含みます。

  • ID - MCSB の各行項目には、特定の推奨事項にマップされる識別子があります。
  • 制御ドメイン - 制御とは、特定のテクノロジや実装のみに限定されない、実行すべき機能やアクティビティの総称です。 MCSB 制御ドメインには、ネットワーク セキュリティ、データ保護、ID 管理、特権アクセス、インシデント対応、エンドポイント セキュリティなどがあります。
  • 業界フレームワークへのマッピング - MCSB に含まれる推奨事項は、インターネット セキュリティ センター (CIS)、国立標準技術研究所 (NIST)、Payment Card Industry Data Security Standards (PCI DSS) フレームワークなどの既存の業界フレームワークにマップされます。 これにより、Azure サービスで実行されている顧客アプリケーションのセキュリティとコンプライアンスが容易になります。
  • 推奨事項 - コントロール ドメイン領域ごとに、多くの異なる推奨事項が存在する可能性があります。 たとえば、MCSB v1 の "Network Security" コントロール ドメインには、NS-1 から NS-10 として識別される 10 個の個別のレコメンデーションがあります。NS-1 として識別される最初のレコメンデーションは、ネットワーク セグメント化境界を確立することです。
  • Azure ガイダンス - Azure ガイダンスでは "方法" に焦点を当て、関連する技術的機能と Azure で制御を実装する方法について詳しく説明します。 NS-1 の例では、Azure ガイダンスには、仮想ネットワークの作成、ネットワーク セキュリティ グループ (NSG) の使用、アプリケーション セキュリティ グループ (ASG) の使用に関する情報が含まれています。
  • AWS ガイダンス - AWS ガイダンスでは、AWS に固有の "方法" に焦点を当てており、AWS の技術的な機能と実装の基本について説明しています。

MCSB には、Azure と AWS のガイダンスに関連する実装に関する情報や、それぞれの制御について説明する責任がある、責任を負う、または相談を受ける可能性がある顧客組織のセキュリティ機能に関する情報へのリンクも含まれています。 Microsoft クラウド セキュリティ ベンチマーク バージョン 1 (MCSB v1) からの抜粋は、MCSB に含まれるコンテンツの種類の例として表示されています。 この画像は、行項目の完全なテキストを表示するものではありません。

A screenshot of a subset of information from the Microsoft cloud security benchmark v1.

Defender for Cloud での Microsoft クラウド セキュリティ ベンチマーク

Microsoft Defender for Cloud では、組織のハイブリッド クラウド環境を継続的に評価して、Microsoft クラウド セキュリティ ベンチマークの制御とベスト プラクティスに従ってリスク要因を分析します。 Microsoft Defender for Cloud の規制コンプライアンス ダッシュボードには、MCSB へのコンプライアンスの状態と、サブスクリプションに適用したその他の標準が反映されます。

MCSB で使用される制御には、ネットワーク セキュリティ、ID とアクセス制御、データ保護、データ回復、インシデント対応などがあります。

Screenshot of Microsoft Defender for Cloud showing status of regulatory compliance against Microsoft cloud security benchmark.

セキュリティに関する推奨事項とは

推奨事項は、関連するポリシーに対してリソースを評価し、定義された要件を満たしていないリソースを特定した結果です。

Defender for Cloud では、潜在的なセキュリティ構成の誤りや弱点を識別するために、リソースのコンプライアンス状態を定期的に分析します。 その後、これらの問題を修正する方法に関する推奨事項が提供されます。 Defender for Cloud は、選択したイニシアチブと MCSB の既定のイニシアチブに基づいて、セキュリティに関するレコメンデーションを作成します。 そのイニシアティブのポリシーがリソースと比較され、準拠していないものが 1 つ以上見つかると、それが Defender for Cloud にレコメンデーションとして表示されます。

推奨事項とは、リソースをセキュリティで保護および強化するために実行する操作です。 各推奨事項には、次の情報が記載されています。

  • 問題の簡単な説明
  • 推奨事項を実装するために実行する修復手順
  • 影響を受けるリソース

セキュリティに関する推奨事項には、その重要性とその処理方法を理解するのに役立つ詳細が含まれています。