Microsoft クラウド セキュリティ ベンチマークの概要

注意

Microsoft クラウド セキュリティ ベンチマークは、2022 年 10 月にブランド変更された Azure セキュリティ ベンチマーク (ASB) の後継です。 現在、パブリック プレビュー段階です。

新しいサービスと機能は、Azure とクラウド サービス プロバイダープラットフォームで毎日リリースされ、開発者はこれらのサービスに基づいて構築された新しいクラウド アプリケーションを迅速に公開しており、攻撃者は構成ミスのリソースを悪用する新しい方法を常に求めています。 クラウドは急速に移行し、開発者は迅速に移動し、攻撃者も迅速に移動します。 どのようにして遅れずについていき、クラウド デプロイがセキュリティで保護されていることを確認すればよいでしょう。 クラウド システムのセキュリティプラクティスは、オンプレミス システムとどのように異なり、クラウド サービス プロバイダー間で異なりますか? 複数のクラウド プラットフォーム間で一貫性を確保するためにワークロードを監視するにはどうすればよいですか?

Microsoft では、セキュリティ ベンチマークの使用がクラウド デプロイの迅速なセキュリティ保護に役立つことがわかっています。 クラウド サービス プロバイダーの包括的なセキュリティベスト プラクティス フレームワークを使用すると、複数のサービス プロバイダー間でクラウド環境の特定のセキュリティ構成設定を選択するための開始点を提供し、1 つのウィンドウを使用してこれらの構成を監視できます。

Microsoft クラウド セキュリティ ベンチマーク (MCSB) には、単一または複数のクラウド環境でクラウド サービスをセキュリティで保護するために使用できる、影響の大きいセキュリティに関する推奨事項のコレクションが含まれています。 MCSB の推奨事項には、次の 2 つの重要な側面が含まれます。

  • セキュリティ制御: これらの推奨事項は、通常、クラウド ワークロード全体に適用されます。 各推奨事項では、通常、ベンチマークの計画、承認、または実装に関与している利害関係者の一覧を特定します。
  • サービス ベースライン: 個々のクラウド サービスに制御を適用して、その特定のサービスのセキュリティ構成に関する推奨事項を提供します。 現在、Azure でのみ使用できるサービス ベースラインがあります。

Microsoft クラウド セキュリティ ベンチマークを実装する

  • MCSB の実装を計画するには、エンタープライズ コントロールとサービス固有のベースラインのドキュメントを確認して、コントロール フレームワークを計画し、それが Center for Internet Security (CIS) Controls、National Institute of Standards and Technology (NIST)、Payment Card Industry Data Security Standard (PCI-DSS) フレームワークなどのガイダンスにどのようにマップされるかを確認します。
  • マルチクラウド環境用の Microsoft Defender for Cloud - 規制コンプライアンス ダッシュボードを使用して、MCSB の状態 (およびその他の制御セット) に対するコンプライアンスを監視します。 .
  • Azure Blueprints、Azure Policy、または他のクラウド プラットフォームの同等のテクノロジなどの機能を使用して、セキュリティで保護された構成を自動化し、MCSB (および組織内の他の要件) への準拠を適用するためのガードレールを確立します。

一般的なユース ケース

Microsoft クラウド セキュリティ ベンチマークは、多くの場合、次の顧客やサービス パートナーの一般的な課題に対処するために使用できます。

  • Azure (および AWS など、その他の主要なクラウド プラットフォーム) を初めて使用し、クラウド サービスと独自のアプリケーション ワークロードのセキュリティで保護されたデプロイを確保するためのセキュリティのベスト プラクティスを探しています。
  • 既存のクラウド デプロイのセキュリティ体制を改善し、最上位のリスクと軽減策に優先順位を付けることを検討しています。
  • マルチクラウド環境 (Azure や AWS など) を使用し、1 つのウィンドウを使用してセキュリティコントロールの監視と評価を調整する上で課題に直面しています。
  • サービスをクラウド サービス カタログにオンボード/承認する前に、Azure (および AWS など、その他の主要なクラウド プラットフォーム) のセキュリティ機能を評価します。
  • 政府、金融、医療など、規制の厳しい業界のコンプライアンス要件を満たす必要があります。 これらのお客様は、CIS、NIST、PCI などのフレームワークで定義されているセキュリティ仕様を満たすために、Azure と他のクラウドのサービス構成を確認する必要があります。 MCSB は、これらの業界ベンチマークに事前にマップされているコントロールを使用して効率的なアプローチを提供します。

用語

"control" と "baseline" という用語は、多くの場合、Microsoft クラウド セキュリティ ベンチマークドキュメントで使用されます。 MCSB でこれらの用語がどのように使用されているかを理解しておくことが重要です。

期間 説明
コントロール コントロールとは、特定のテクノロジや実装のみに限定されない、実行すべき機能やアクティビティの総称です。 データ保護は、セキュリティ コントロール ファミリの 1 つです。 データ保護には、データを確実に保護するために対処する必要がある特定の操作が含まれています。
ベースライン ベースラインは、個々の Azure サービスに対するコントロールの実装です。 各組織がベンチマークの推奨事項を決定し、対応する構成が Azure で必要になります。 注: 現在、サービス ベースラインは Azure でのみ使用できます。 Contoso 社は、Azure SQL セキュリティ ベースラインで推奨される構成に従って、Azure SQLセキュリティ機能を有効にすることを探しています。

Microsoft クラウド セキュリティ ベンチマークに関するフィードバックをお待ちしております。 下のフィードバック領域からぜひご意見をお寄せください。 Microsoft クラウド セキュリティ チームとよりプライベートに入力を共有する場合は、次の場所にメールでお問い合わせください benchmarkfeedback@microsoft.com