Microsoft サイバーセキュリティ リファレンス アーキテクチャとクラウド セキュリティ ベンチマークの概要
このモジュールでは、サイバーセキュリティの機能とコントロールに関するベスト プラクティスについて説明します。これは攻撃の成功へのリスク対策として欠かせない要素です。
学習の目的
このモジュールでは、次の方法を学習します。
- Microsoft サイバーセキュリティ リファレンス アーキテクチャ (MCRA) を使用して、より安全なソリューションを設計する。
- Microsoft クラウド セキュリティ ベンチマーク (MCSB) を使用して、より安全なソリューションを設計する。
このモジュールの内容は、SC-100: Microsoft Cybersecurity Architect 認定資格試験の準備に役立ちます。
前提条件
- セキュリティ ポリシー、要件、ゼロ トラスト アーキテクチャ、ハイブリッド環境の管理に関する概念的知識
- ゼロ トラスト戦略の実務経験、セキュリティ ポリシーの適用、ビジネス目標に基づくセキュリティ要件の開発
MCRA の概要
Microsoft サイバーセキュリティ リファレンス アーキテクチャ (MCRA) は、Microsoft のサイバーセキュリティ機能が説明されている一連の技術的な図です。 この図では、Microsoft のセキュリティ機能が次のものとどのように統合されるかが説明されています。
- Microsoft 365 や Microsoft Azure などの Microsoft プラットフォーム
- ServiceNow や salesforce などのサード パーティ製アプリ
- アマゾン ウェブ サービス (AWS) や Google Cloud Platform (GCP) などのサード パーティのプラットフォーム
MCRA には、次のトピックに関する図が含まれています。
- Microsoft のサイバーセキュリティ機能
- ゼロ トラストとゼロ トラストの迅速な最新化計画 (RaMP)
- ゼロ トラスト ユーザー アクセス
- セキュリティ運用
- 運用テクノロジ (OT)
- マルチクラウドとクロスプラットフォームの機能
- 攻撃チェーンのカバレッジ
- Azure のネイティブ セキュリティ コントロール
- セキュリティ組織の機能
MCSB の概要
Azure や他のクラウド プラットフォームでは、新しいサービスと機能が毎日リリースされています。 開発者はこれらのサービス上に構築される新しいクラウド アプリケーションを迅速に公開しており、攻撃者は常に、構成に誤りのあるリソースを悪用する新しい方法を探しています。 クラウドも、開発者も、そして攻撃者も、すごい勢いで変化しています。 どのようにして遅れずについていき、クラウド デプロイがセキュリティで保護されていることを確認すればよいでしょう。 クラウド システムのセキュリティ プラクティスはオンプレミスのシステムとどのように異なり、クラウド サービス プロバイダー間ではどのように異なるのでしょうか。 複数のクラウド プラットフォーム間でワークロードの一貫性を監視するにはどうすればよいでしょう。
Microsoft では、セキュリティ ベンチマークの使用がクラウド デプロイの迅速なセキュリティ保護に役立つことがわかっています。 クラウド サービス プロバイダーの包括的なセキュリティベスト プラクティス フレームワークを使用すると、複数のサービス プロバイダー間で、クラウド環境内の特定のセキュリティ構成設定を選択するための出発点が提供され、1 つの画面を使用してこれらの構成を監視できます。
セキュリティ コントロール
コントロールとは、対応する必要がある推奨される機能やアクティビティの概要説明です。 コントロールは、テクノロジや実装に固有のものではありません。 セキュリティ コントロールの推奨事項は、複数のクラウド ワークロードに適用できます。 各コントロールには番号が付けられており、コントロールの推奨事項によって、ベンチマークの計画、承認、または実装に通常関係する利害関係者の一覧が示されています。
MCSB のコントロール ドメインとコントロール ファミリ
MCSB では、コントロールは "ファミリ" または "ドメイン" にグループ化されています。 次の表は、MCSB のセキュリティ コントロールのドメインをまとめたものです。
| コントロール ドメイン | 説明 |
|---|---|
| ネットワーク セキュリティ (NS) | ネットワーク セキュリティでは、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の防止と軽減、DNS の保護など、ネットワークをセキュリティで保護するためのコントロールを対象とします。 |
| ID 管理 (IM) | ID 管理では、シングル サインオンの使用、強力な認証、アプリケーションのマネージド ID (およびサービス プリンシパル)、条件付きアクセス、アカウント異常監視など、ID とアクセス管理システムを使ってセキュリティで保護された ID とアクセス制御を確立するためのコントロールを対象とします。 |
| 特権アクセス (PA) | 特権アクセスでは、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的なリスクと偶発的なリスクから保護するためのさまざまなコントロールなど、テナントとリソースへの特権アクセスを保護するためのコントロールを対象とします。 |
| データ保護 (DP) | データ保護では、アクセス制御、暗号化、キー管理、証明書管理を使った機密データ資産の検出、分類、保護、監視など、保存時、転送中、認可されたアクセス メカニズムを介したデータ保護のコントロールを対象とします。 |
| アセット管理 (AM) | 資産管理には、リソースに対するセキュリティの可視性とガバナンスを確保するためのコントロールが含まれます。 これには、セキュリティ担当者のアクセス許可、資産インベントリへのセキュリティ アクセス、およびサービスとリソース (インベントリ、追跡、および修正) の承認の管理に関する推奨事項が含まれます。 |
| ログと脅威検出 (LT) | ログと脅威検出では、クラウドでの脅威の検出やクラウド サービスの監査ログの有効化、収集、格納を行うコントロールを対象とします。たとえば、クラウド サービスのネイティブ脅威検出を使って高品質アラートを生成するコントロールによる検出、調査、修復のプロセスの有効化のほか、クラウド監視サービスによるログの収集、SIEM によるセキュリティ分析の一元化、時間の同期、ログの保持などがあります。 |
| インシデント対応 (IR) | インシデント対応では、Azure サービス (Microsoft Defender for Cloud や Sentinel など) や他のクラウド サービスを使ってインシデント対応プロセスを自動化するなど、インシデント対応のライフ サイクル (準備、検出と分析、インシデント発生後のアクティビティ) におけるコントロールを対象とします。 |
| 体制と脆弱性の管理 (PV) | 体制と脆弱性の管理では、脆弱性のスキャン、侵入テスト、修復、クラウド リソースでのセキュリティ構成の追跡、レポート、修正など、クラウド セキュリティ体制を評価し改善するためのコントロールに重点を置きます。 |
| エンドポイント セキュリティ (ES) | エンドポイント セキュリティでは、クラウド環境でのエンドポイントに対するエンドポイントの検出と応答 (EDR)、マルウェア対策サービスの使用など、エンドポイントの検出および応答でのコントロールを対象とします。 |
| バックアップと回復 (BR) | バックアップと復旧では、データと構成のバックアップがさまざまなサービス レベルで確実に実行、検証、保護されるようにするためのコントロールを取り上げます。 |
| DevOps セキュリティ (DS) | DevOps セキュリティでは、デプロイ フェーズ前に重要なセキュリティ チェック (静的アプリケーション セキュリティ テストや脆弱性管理など) をデプロイすることによる DevOps プロセス全体のセキュリティの確保など、DevOps プロセスでのセキュリティ エンジニアリングと操作に関連したコントロールを対象とします。また、脅威モデリングやソフトウェア サプライ セキュリティなどの一般的なトピックも含まれます。 |
| ガバナンスと戦略 (GS) | ガバナンスと戦略では、セキュリティ保証の指針を示し、維持するための一貫したセキュリティ戦略と文書化されたガバナンス アプローチの確保に向けたガイダンスを提供します。ここには、さまざまなクラウド セキュリティ機能に対する役割と責任の定義、統一された技術戦略、サポート ポリシーと標準が含まれます。 |
サービス ベースライン
セキュリティ ベースラインは、Azure 製品オファリングの標準化されたドキュメントであり、ツール、追跡、およびセキュリティ機能の強化を通じてセキュリティを強化するのに役立つ、使用可能なセキュリティ機能と最適なセキュリティ構成について説明しています。 現在、サービス ベースラインは Azure でのみ使用できます。
Azure のセキュリティ ベースラインは、Azure 環境でのクラウド中心のコントロール領域に重点が置かれています。 これらのコントロールは、Center for Internet Security (CIS) や National Institute for Standards in Technology (NIST) などのよく知られた業界標準と一致しています。 ベースラインでは、Microsoft クラウド セキュリティ ベンチマーク v1 に記載されているコントロール領域に関するガイダンスが提供されます。
各ベースラインは、次のコンポーネントで構成されています。
- サービスはどのように動作しますか?
- どのセキュリティ機能を使用できますか?
- サービスをセキュリティで保護するために推奨される構成は何ですか?
Microsoft クラウド セキュリティ ベンチマークの実装
- MCSB の実装を計画するには、エンタープライズ コントロールとサービス固有のベースラインに関するドキュメントを確認して、制御フレームワークを計画し、それが Center for Internet Security (CIS) Controls、アメリカ国立標準技術研究所 (NIST)、Payment Card Industry Data Security Standard (PCI-DSS) フレームワークなどのガイダンスにどのようにマップされるかを確認します。
- マルチクラウド環境用の Microsoft Defender for Cloud – 規制コンプライアンス ダッシュボードを使用して、MCSB の状態 (およびその他のコントロール セット) に対するコンプライアンスを監視します。
- Azure Blueprints、Azure Policy、または他のクラウド プラットフォームの同等のテクノロジの機能を使用して、セキュリティで保護された構成を自動化し、MCSB (および組織内の他の要件) へのコンプライアンスを適用するためのガードレールを確立します。
一般的なユース ケース
Microsoft クラウド セキュリティ ベンチマークは、次のようなお客様またはサービス パートナーの一般的な課題に対処するためによく使用されます。
- Azure (および AWS などの他の主要なクラウド プラットフォーム) を初めて使用し、クラウド サービスや独自のアプリケーション ワークロードのセキュリティ保護されたデプロイを確保するためにセキュリティのベスト プラクティスを求めている。
- 上位のリスクや軽減策を優先するように既存のクラウド デプロイのセキュリティ体制の改善を考えている。
- マルチクラウド環境 (Azure や AWS など) を使っていて、1 つのウィンドウを使ってセキュリティ コントロールの監視と評価を調整する際に課題に直面している。
- クラウド サービス カタログへのサービスのオンボードまたは承認の前に、Azure (および AWS などの他の主要なクラウド プラットフォーム) のセキュリティ機能を評価する。
- 政府、金融、医療など、規制の厳しい業界でコンプライアンス要件を満たす必要がある。 これらのお客様は、Azure や他のクラウドのサービス構成が、CIS、NIST、PCI などのフレームワークで定義されているセキュリティ仕様を満たしていることを確認する必要があります。 MCSB では、これらの業界ベンチマークに事前にマップされているコントロールを備えた効率的なアプローチが提供されます。
用語
Microsoft クラウド セキュリティ ベンチマークのドキュメントでは、"コントロール" と "ベースライン" という用語が頻繁に使われます。 これらの用語が MCSB でどのように使われているのかを理解することが重要です。
| 用語 | 説明 | 例 |
|---|---|---|
| コントロール | コントロールとは、特定のテクノロジや実装のみに限定されない、実行すべき機能やアクティビティの総称です。 | データ保護は、セキュリティ コントロール ファミリの 1 つです。 データ保護には、データを確実に保護するために対処する必要がある特定の操作が含まれています。 |
| ベースライン | ベースラインとは、個々の Azure サービスでのコントロールの実装です。 各組織はベンチマークの推奨事項を決定し、Azure で対応する構成が必要になります。 注: 現在、サービス ベースラインは Azure でのみ使用できます。 | Contoso 社は、Azure SQL のセキュリティ ベースラインで推奨されている構成に従って、Azure SQL のセキュリティ機能を有効にすることを目指しています。 |