Microsoft Defender for Cloud に業界および規制の基準を追加する
Microsoft クラウド セキュリティ ベンチマーク (MCSB) には、Azure 上とマルチクラウド環境でのワークロード、データ、サービスのセキュリティを強化するのに役立つ規範的なベスト プラクティスと推奨事項が用意されています。ここでは、次のような一連の総合的な Microsoft および業界のセキュリティ ガイダンスからの情報を使って、クラウド中心の制御領域に焦点を当てています。
- クラウド導入フレームワーク: セキュリティに関するガイダンス (戦略、ロール、責任など)、Azure で上位 10 件のセキュリティ ベスト プラクティス、および参照実装。
- Azure Well-Architected フレームワーク: Azure でのワークロードのセキュリティ保護に関するガイダンス。
- 最高情報セキュリティ責任者 (CISO) ワークショップ: ゼロ トラスト原則を使用して、セキュリティのモダン化を加速するためのプログラム ガイダンスと参照戦略。
- その他の業界およびクラウド サービス プロバイダーのセキュリティのベスト プラクティスの標準およびフレームワーク: アマゾン ウェブ サービス (AWS) Well-Architected フレームワーク、Center for Internet Security (CIS) コントロール、米国国立標準技術研究所 (NIST)、Payment Card Industry Data Security Standard (PCI-DSS) などがあります。
Microsoft クラウド セキュリティ ベンチマーク機能
包括的なマルチクラウド セキュリティ フレームワーク: 組織は多くの場合、セキュリティとコンプライアンスの各要件を満たすために、複数のクラウド プラットフォーム間でセキュリティ制御を調整するための内部セキュリティ標準を構築する必要があります。 多くの場合、セキュリティ チームは、異なるクラウド環境で同じ実装、監視、評価を繰り返す必要があります (多くの場合、異なるコンプライアンス標準について)。 これにより、不要なオーバーヘッド、コスト、労力が生じます。 この問題に対処するために、Azure セキュリティ ベンチマーク (ASB) を Microsoft クラウド セキュリティ ベンチマーク (MCSB) に拡張し、次のようにしてさまざまなクラウドをすばやく操作できるようにしました。
- クラウド間のセキュリティ制御を簡単に満たすための単一制御フレームワークの提供
- Defender for Cloud でマルチクラウド セキュリティ ベンチマークを監視および適用するための一貫したユーザー エクスペリエンスの提供
- 業界標準への準拠 (例: Center for Internet Security、米国国立標準技術研究所、Payment Card Industry)
Microsoft Defender for Cloud での AWS の自動制御監視:Microsoft Defender for Cloud 規制コンプライアンス ダッシュボードを使って、Azure 環境を監視するのと同じように、AWS 環境を Microsoft クラウド セキュリティ ベンチマーク (MCSB) に対して監視できます。 MCSB の新しい AWS セキュリティ ガイダンスについては、約 180 個の AWS チェックを開発しました。これにより、Microsoft Defender for Cloud で AWS 環境とリソースを監視できます。
例: Microsoft Defender for Cloud の規制コンプライアンスダッシュボード
Azure のガイダンスとセキュリティの原則: Azure のセキュリティ ガイダンス、セキュリティ原則、特徴、機能。
コントロール
| コントロール ドメイン | 説明 |
|---|---|
| ネットワーク セキュリティ (NS) | ネットワーク セキュリティでは、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の防止と軽減、ドメイン ネーム システム (DNS) の保護など、ネットワークをセキュリティで保護するためのコントロールを対象とします。 |
| ID 管理 (IM) | ID 管理では、シングル サインオンの使用、強力な認証、アプリケーションのマネージド ID (およびサービス プリンシパル)、条件付きアクセス、アカウント異常監視など、ID とアクセス管理システムを使ってセキュリティで保護された ID とアクセス制御を確立するためのコントロールを対象とします。 |
| 特権アクセス (PA) | 特権アクセスでは、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的なリスクと偶発的なリスクから保護するためのさまざまなコントロールなど、テナントとリソースへの特権アクセスを保護するためのコントロールを対象とします。 |
| データ保護 (DP) | データ保護では、アクセス制御、暗号化、キー管理、証明書管理を使った機密データ資産の検出、分類、保護、監視など、保存時、転送中、認可されたアクセス メカニズムを介したデータ保護のコントロールを対象とします。 |
| アセット管理 (AM) | 資産管理では、セキュリティ担当者に対するアクセス許可、資産インベントリへのセキュリティ アクセス、サービスとリソース (インベントリ、追跡、修正) の認可の管理に関する推奨事項など、自分のリソースに対するセキュリティの可視性とガバナンスを確保するためのコントロールを対象とします。 |
| ログと脅威検出 (LT) | ログと脅威検出では、クラウドでの脅威の検出やクラウド サービスの監査ログの有効化、収集、格納を行うコントロールを対象とします。たとえば、クラウド サービスのネイティブ脅威検出を使って高品質アラートを生成するコントロールによる検出、調査、修復のプロセスの有効化のほか、クラウド監視サービスによるログの収集、セキュリティ イベント管理 (SEM) によるセキュリティ分析の一元化、時間の同期、ログの保持などがあります。 |
| インシデント対応 (IR) | インシデント対応では、Azure サービス (Microsoft Defender for Cloud や Sentinel など) や他のクラウド サービスを使ってインシデント対応プロセスを自動化するなど、インシデント対応のライフ サイクル (準備、検出と分析、インシデント発生後のアクティビティ) におけるコントロールを対象とします。 |
| 体制と脆弱性の管理 (PV) | 体制と脆弱性の管理では、脆弱性のスキャン、侵入テスト、修復、クラウド リソースでのセキュリティ構成の追跡、レポート、修正など、クラウド セキュリティ体制を評価し改善するためのコントロールに重点を置きます。 |
| エンドポイント セキュリティ (ES) | エンドポイント セキュリティでは、クラウド環境でのエンドポイントに対するエンドポイントの検出と応答 (EDR)、マルウェア対策サービスの使用など、エンドポイントの検出および応答でのコントロールを対象とします。 |
| バックアップと回復 (BR) | バックアップと回復により、データと構成のバックアップがさまざまなサービス レベルで確実に実行、検証、保護されるようにコントロールがカバーされています。 |
| DevOps セキュリティ (DS) | DevOps セキュリティでは、デプロイ フェーズ前に重要なセキュリティ チェック (静的アプリケーション セキュリティ テストや脆弱性管理など) をデプロイすることによる DevOps プロセス全体のセキュリティの確保など、DevOps プロセスでのセキュリティ エンジニアリングと操作に関連したコントロールを対象とします。また、脅威モデリングやソフトウェア サプライ セキュリティなどの一般的なトピックも含まれます。 |
| ガバナンスと戦略 (GS) | ガバナンスと戦略では、セキュリティ アシュアランスをガイドし維持するための整合性のあるセキュリティ戦略と文書化されたガバナンス アプローチを実現するためのガイダンスを提供します。たとえば、さまざまなクラウド セキュリティ機能、統一された技術的戦略、サポート ポリシーと標準に応じたロールと責任を確立します。 |