セキュリティ制御: ガバナンスと戦略
ガバナンスと戦略では、セキュリティ アシュアランスをガイドし維持するための整合性のあるセキュリティ戦略と文書化されたガバナンス アプローチを実現するためのガイダンスを提供します。たとえば、さまざまなクラウド セキュリティ機能、統一された技術的戦略、およびサポート ポリシーおよび標準に応じたロールと責任を確立します。
GS-1: 組織のロール、責任、責務を整合させる
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 14.9 | PL-9、PM-10、PM-13、AT-1、AT-3 | 2.4 |
一般的なガイダンス: セキュリティ組織の役割と責任に関する明確な戦略を定義し、伝える必要があります。 セキュリティ上の決定に明確な説明責任を提供することを優先し、共有責任モデルに関する全員を教育し、クラウドをセキュリティで保護するためのテクノロジに関する技術チームを教育します。
実装と追加のコンテキスト:
- Azure のセキュリティのベスト プラクティス 1 – 人: クラウド セキュリティに関する取り組みについてチームを教育する
- Azure のセキュリティのベスト プラクティス 2 - 人: クラウド セキュリティ テクノロジについてチームを教育する
- Azure のセキュリティのベスト プラクティス 3 - プロセス: クラウドのセキュリティに関する意思決定のアカウンタビリティを割り当てる
顧客のセキュリティ利害関係者 (詳細情報):
GS-2: 職務戦略のエンタープライズ セグメント化と分離を定義して実装する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.12 | AC-4、SC-7、SC-2 | 1.2、6.4 |
一般的なガイダンス: ID、ネットワーク、アプリケーション、サブスクリプション、管理グループ、およびその他のコントロールを組み合わせて使用して資産へのアクセスをセグメント化する、エンタープライズ全体の戦略を確立します。
セキュリティ分離の必要性と、互いと通信し、データにアクセスする必要があるシステムの日常的操作を有効にするという必要性のバランスを慎重に取ります。
セグメント化戦略は、ネットワーク セキュリティ、ID とアクセス モデル、アプリケーション アクセス許可とアクセス モデル、人的プロセスの制御など、ワークロードを対象として確実に一貫性をもって実装します。
実装と追加のコンテキスト:
- Azure 向けの Microsoft クラウド導入フレームワークのセキュリティ - セグメント化: 分離と保護
- Azure 向けの Microsoft クラウド導入フレームワークのセキュリティ - アーキテクチャ: 単一の統合セキュリティ戦略を確立する
顧客のセキュリティ利害関係者 (詳細情報):
GS-3: データ保護戦略を定義して実装する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.1、3.7、3.12 | AC-4、SI-4、SC-8、SC-12、SC-17、SC-28、RA-2 | 3.1、3.2、3.3、3.4、3.5、3.6、3.7、4.1、A3.2 |
一般的なガイダンス: クラウド環境でのデータ保護のためのエンタープライズ全体の戦略を確立します。
- エンタープライズ データの管理基準、および規定遵守に基づいてデータ分類と保護基準を定義して適用することにより、データ分類の各レベルに必要なセキュリティ制御を既定します。
- 企業のセグメント化戦略に合わせてクラウド リソースの管理階層を設定します。 企業のセグメント化戦略では、機密またはビジネスに重要なデータやシステムの場所からも通知される必要があります。
- 境界内のネットワークの場所に基づいて信頼することがないよう、適用可能なゼロトラストの原則を定義して、環境に適用します。 代わりに、デバイスとユーザーからの信頼の要求を用いて、データとリソースへのアクセス許可を付与します。
- 企業全体の機密データフットプリント (ストレージ、転送、処理) を追跡して最小限に抑え、攻撃対象領域とデータ保護コストを削減します。 機密データをそのままの形で保存、送信することを避けるため、可能な限りワークロードに一方向ハッシュ、切り詰め、トークン化などの手法を用いることを検討してください。
- データおよびアクセス キーのセキュリティを保証するために必要な、ライフサイクル全体の制御戦略を持つようにします。
実装と追加のコンテキスト:
- Microsoft クラウド セキュリティ ベンチマーク - Data Protection
- クラウド導入フレームワーク - Azure のデータ セキュリティと暗号化のベスト プラクティス
- Azure のセキュリティの基礎 - Azure のデータ セキュリティ、暗号化、ストレージ
顧客のセキュリティ利害関係者 (詳細情報):
GS-4: ネットワーク セキュリティ戦略を定義して実装する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.2、12.4 | AC-4、AC-17、CA-3、CM-1、CM-2、CM-6、CM-7、SC-1、SC-2、SC-5、SC-7、SC-20、SC-21、SI-4 | 1.1、1.2、1.3、1.5、4.1、6.6、11.4、A2.1、A2.2、A2.3、A3.2 |
一般的なガイダンス: アクセス制御に関する組織の全体的なセキュリティ戦略の一環として、クラウド ネットワーク セキュリティ戦略を確立します。 この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。
- ネットワーク リソースをデプロイおよび管理するための、集中型および分散型のネットワーク管理とセキュリティ責任モデルを設計します。
- 企業のセグメント化戦略と一致する仮想ネットワーク セグメント化モデル
- インターネット エッジとイングレスおよびエグレス戦略
- ハイブリッド クラウドとオンプレミスの相互依存戦略
- ネットワークの監視とログ記録の戦略
- 最新のネットワーク セキュリティ成果物 (ネットワーク図、参照ネットワーク アーキテクチャなど)。
実装と追加のコンテキスト:
- Azure のセキュリティのベスト プラクティス 11 - アーキテクチャ 単一の統合セキュリティ戦略
- Microsoft クラウド セキュリティ ベンチマーク - ネットワーク セキュリティ
- Azure のネットワーク セキュリティの概要
- エンタープライズ ネットワーク アーキテクチャ戦略
顧客のセキュリティ利害関係者 (詳細情報):
GS-5: セキュリティ態勢の管理戦略を定義して実装する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1、4.2 | CA-1、CA-8、CM-1、CM-2、CM-6、RA-1、RA-3、RA-5、SI-1、SI-2、SI-5 | 1.1、1.2、2.2、6.1、6.2、6.5、6.6、11.2、11.3、11.5 |
一般的なガイダンス: セキュリティ構成管理と脆弱性管理がクラウド セキュリティの義務に確実に適用されるように、ポリシー、手順、および標準を確立します。
クラウドのセキュリティ構成管理には、次の領域が含まれている必要があります。
- Web ポータル/コンソール、管理とコントロール プレーン、IaaS、PaaS、SaaS サービスで実行されているリソースなど、クラウド内のさまざまなリソースの種類に対してセキュリティで保護された構成基準を定義します。
- ネットワーク セキュリティ、ID 管理、特権アクセス、データ保護など、さまざまなコントロール領域におけるリスクに対応したセキュリティ ベースラインを設定します。
- ベースラインから逸脱した構成が行われることを防ぐため、ツールを使用して継続的に構成を測定、監査、適用します。
- セキュリティ機能を使用して更新を維持する頻度を開発します。たとえば、サービス更新プログラムをサブスクライブします。
- セキュリティ正常性またはコンプライアンス チェック メカニズム (セキュリティ スコア、Microsoft Defender for Cloud のコンプライアンス ダッシュボードなど) を利用して、セキュリティ構成の体制を定期的に確認し、特定されたギャップを修復します。
クラウドの脆弱性管理には、次のセキュリティ側面が含まれている必要があります。
- クラウド ネイティブ サービス、オペレーティング システム、アプリケーション コンポーネントなど、すべてのクラウド リソースの種類の脆弱性を定期的に評価して修復します。
- リスクベースのアプローチを採用して、評価と修復の優先順位を決定します。
- 関連する CSPM のセキュリティ アドバイザリ通知とブログをサブスクライブして、最新のセキュリティ更新プログラムを受け取ります。
- 脆弱性の評価と修復 (スケジュール、スコープ、手法など) が組織のコンプライアンス要件を満たしていることを確認します。dule、スコープ、手法)は、組織の定期的なコンプライアンス要件を満たしています。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
GS-6: ID および特権アクセス戦略を定義して実装する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.6、6.5、6.7 | AC-1、AC-2、AC-3、AC-4、AC-5、AC-6、IA-1、IA-2、IA-4、IA-5、IA-8、IA-9、SI-4 | 7.1、7.2、7.3、8.1、8.2、8.3、8.4、8.5、8.6、8.7、8.8、A3.4 |
一般的なガイダンス: 組織の全体的なセキュリティ アクセス制御戦略の一環として、クラウド ID と特権アクセスアプローチを確立します。 この戦略には、以下の側面に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。
- 一元化された ID および認証システム (Azure AD など) とその他の内部および外部 ID システムとの相互接続性
- 特権 ID およびアクセス ガバナンス (アクセス要求、レビュー、承認など)
- 緊急時 (非常用) の特権アカウント
- さまざまなユース ケースと条件での強力な認証 (パスワードレス認証と多要素認証) 方法。
- Web ポータル/コンソール、コマンドライン、API を使用して管理操作によるアクセスをセキュリティで保護します。
エンタープライズ システムが使用されていない例外の場合は、ID、認証、アクセス管理に対して適切なセキュリティ制御が実施され、管理されていることを確認します。 これらの例外は、エンタープライズ チームによる承認を受け、定期的にレビューする必要があります。 これらの例外は、通常、次のような場合に該当します。
- クラウドベースのサードパーティ システムなど、企業が指定していない ID および認証システムを使用した場合 (未知のリスクが発生する可能性があります)
- ローカルで認証されている、または強力でない認証方法を使用した特権ユーザー
実装と追加のコンテキスト:
- Microsoft クラウド セキュリティ ベンチマーク - ID 管理
- Microsoft クラウド セキュリティ ベンチマーク - 特権アクセス
- Azure のセキュリティのベスト プラクティス 11 - アーキテクチャ 単一の統合セキュリティ戦略
- Azure ID 管理のセキュリティの概要
顧客のセキュリティ利害関係者 (詳細情報):
GS-7: ログ、脅威検出、インシデント対応戦略を定義して実装する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.1、13.1、17.2、17.4、17.7 | AU-1、IR-1、IR-2、IR-10、SI-1、SI-5 | 10.1、10.2、10.3、10.4、10.5、10.6、10.7、10.8、10.9、12.10、A3.5 |
一般的なガイダンス: 脅威を迅速に検出して修復し、コンプライアンス要件を満たすためのログ記録、脅威検出、インシデント対応戦略を確立します。 セキュリティ運用 (SecOps / SOC) チームは、ログ統合や手動手順ではなく脅威に集中できるよう、高品質のアラートとシームレスなエクスペリエンスを優先すべきです。 この戦略には、以下の側面に関する文書化されたポリシー、手順、および標準が含まれている必要があります。
- セキュリティ運用 (SecOps) 組織の役割と責任
- NIST SP 800-61 (コンピューター セキュリティ インシデント処理ガイド) またはその他の業界フレームワークに沿った、明確に定義された定期的にテストされたインシデント対応計画と処理プロセス。
- 顧客、サプライヤー、および関心を持つパブリック パーティに関するコミュニケーションと通知の計画。
- クラウド環境内で予期されるセキュリティ イベントと予期しないセキュリティ イベントの両方をシミュレートして、準備の有効性を理解します。 シミュレーションの結果を反復処理して、対応体制のスケールを改善し、価値を得る時間を短縮し、リスクをさらに軽減します。
- さまざまな領域の脅威を検出するために、Azure Defender 機能などの拡張検出および応答 (XDR) 機能を使用する場合の好み。
- ログ記録と脅威の検出、フォレンジック、攻撃の修復と根絶など、インシデント処理のためのクラウド ネイティブ機能 (クラウドのMicrosoft Defenderなど) とサードパーティのプラットフォームの使用。
- 信頼性の高い一貫性のある応答を確保するために、手動と自動化の両方で必要な Runbook を準備します。
- 主要なシナリオ (脅威の検知、インシデント対応、コンプライアンスなど) を定義し、シナリオの要件を満たすようにログの取得と保存を設定する。
- SIEM、ネイティブ クラウド脅威検出機能、およびその他のソースを使用して、脅威に関する情報と関連付け情報を一元的に可視化します。
- 得られた教訓や証拠の保持などの、インシデント後のアクティビティ。
実装と追加のコンテキスト:
- Microsoft クラウド セキュリティ ベンチマーク - ログ記録と脅威検出
- クラウド セキュリティ ベンチマークMicrosoft - インシデント対応
- Azure のセキュリティのベスト プラクティス 4 - プロセス。 クラウドのインシデント対応プロセスを更新する
- Azure 導入フレームワーク、ログ、およびレポートの決定ガイド
- Azure のエンタープライズ スケーリング、管理、監視
- NIST SP 800-61 コンピューター セキュリティ インシデント処理ガイド
顧客のセキュリティ利害関係者 (詳細情報):
GS-8: バックアップと回復の戦略を定義して実装する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.1 | CP-1、CP-9、CP-10 | 3.4 |
一般的なガイダンス: 組織のバックアップと回復の戦略を確立します。 この戦略には、以下の側面に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。
- ビジネス回復性の目標、および規定遵守の要件に従った目標復旧時間 (RTO) と目標復旧時点 (RPO) の定義。
- クラウドとオンプレミスの両方におけるアプリケーションとインフラストラクチャの冗長設計 (バックアップ、リストア、レプリケーションを含む)。 リージョン、リージョンペア、リージョン間での復旧、オフサイトの保存場所を戦略の一環として検討する。
- データ アクセス コントロール、暗号化、ネットワーク セキュリティなどのコントロールを使用して、不正アクセスや改ざんからバックアップを保護する。
- バックアップと回復を使用して、ランサムウェア攻撃などの新たな脅威からのリスクを軽減します。 また、バックアップと回復のデータ自体もこれらの攻撃から保護します。
- 監査と警告の目的で、バックアップと回復のデータおよび操作を監視する。
実装と追加のコンテキスト:
- Microsoft クラウド セキュリティ ベンチマーク - Azure Well-Architecture Framework のバックアップと回復 - Azure アプリケーションのバックアップとディザスター リカバリー: /azure/architecture/framework/resiliency/backup-and-recovery
- Azure 導入フレームワーク - ビジネス継続性とディザスター リカバリー
- ランサムウェアから保護するためのバックアップと復元の計画
顧客のセキュリティ利害関係者 (詳細情報):
GS-9: エンドポイント セキュリティ戦略を定義して実装する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.4、10.1 | SI-2、SI-3、SC-3 | 5.1、5.2、5.3、5.4、11.5 |
一般的なガイダンス: 次の側面を含むクラウド エンドポイント セキュリティ戦略を確立します。エンドポイントの検出と対応、マルウェア対策の機能をエンドポイントにデプロイし、脅威検出と SIEM ソリューションとセキュリティ運用プロセスと統合します。
- Microsoftクラウド セキュリティ ベンチマークに従って、エンドポイントに関するセキュリティ設定 (ネットワーク セキュリティ、体制の脆弱性管理、ID と特権アクセス、ログ記録と脅威検出など) がエンドポイントに対する多層防御を提供するようにします。
- 運用環境のエンドポイント セキュリティに優先順位を付けますが、運用環境にマルウェアや脆弱性を導入するために使用できるため、運用環境以外の環境 (DevOps プロセスで使用されるテスト環境やビルド環境など) もセキュリティで保護および監視されるようにします。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
GS-10: DevOps セキュリティ戦略を定義して実装する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1、4.2、16.1、16.2 | SA-12、SA-15、CM-1、CM-2、CM-6、AC-2、AC-3、AC-6、SA-11、AU-6、AU-12、SI-4 | 2.2、6.1、6.2、6.3、6.5、7.1、10.1、10.2、10.3、10.6、12.2 |
一般的なガイダンス: 組織の DevOps エンジニアリングおよび運用標準の一部としてセキュリティ制御を義務付けます。 組織内のエンタープライズおよびクラウドのセキュリティ標準に従って、セキュリティ目標、制御要件、ツールの仕様を定義します。
CI/CD ワークフロー全体を通じて、さまざまな種類の自動化機能 (Infrastructure as Code のプロビジョニング、自動 SAST および DAST スキャンなど) を使用して脆弱性を迅速に特定して修復できる利点を活かせるよう、組織内の重要な運用モデルとして DevOps を使用するよう奨励します。 この "シフト レフト" アプローチにより、デプロイ パイプラインで一貫したセキュリティ チェックを適用する可視性と機能も向上し、ワークロードを運用環境にデプロイするときの直前のセキュリティの驚きを回避するために、事前にセキュリティ ガードレールを環境に効果的にデプロイできます。
セキュリティ管理をデプロイ前のフェーズにシフトするときは、セキュリティ ガードレールを実装して、DevOps プロセス全体を通じて制御がデプロイ、実施されるようにします。 このテクノロジには、IaC (コードとしてのインフラストラクチャ) でガードレールを定義するためのリソースデプロイ テンプレート (Azure ARM テンプレートなど)、リソースのプロビジョニングと監査を含め、環境にプロビジョニングできるサービスまたは構成を制限できます。
ワークロードの実行時のセキュリティ制御については、Microsoftクラウド セキュリティ ベンチマークに従って、ID と特権アクセス、ネットワーク セキュリティ、エンドポイント セキュリティ、データ保護などの効果的な制御をワークロード アプリケーションとサービス内に設計して実装します。
実装と追加のコンテキスト:
- Microsoft クラウド セキュリティ ベンチマーク - DevOps セキュリティ
- セキュリティで保護された DevOps
- クラウド導入フレームワーク - DevSecOps コントロール一般的なガイダンス顧客のセキュリティ利害関係者 (詳細情報)**:
- すべての利害関係者
GS-11: マルチクラウド セキュリティ戦略を定義して実装する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 該当なし | 該当なし | 該当なし |
一般的なガイダンス: マルチクラウド戦略が、クラウドとセキュリティのガバナンス、リスク管理、運用プロセスで定義されていることを確認します。これには、次の側面が含まれている必要があります。
- マルチクラウド導入: マルチクラウド インフラストラクチャを運用し、チームがクラウド プラットフォームとテクノロジ スタックの機能の違いを確実に理解できるように組織を教育する組織向け。 移植可能なソリューションをビルド、デプロイ、移行します。 クラウド導入による最適な結果を得るためのクラウド ネイティブ機能を適切に利用しながら、ベンダーのロックインを最小限に抑えたクラウド プラットフォーム間の移動を容易にします。
- クラウドとセキュリティの運用: ソリューションのデプロイと運用の場所に関係なく、共通の運用プロセスを共有する一連のガバナンスと管理プロセスの中央セットを通じて、各クラウド全体でソリューションをサポートするためのセキュリティ運用を合理化します。
- ツールとテクノロジ スタック: マルチクラウド環境をサポートする適切なツールを選択して、このセキュリティ ベンチマークで説明されているすべてのセキュリティ ドメインを含む統合および一元管理プラットフォームの確立に役立ちます。
実装と追加のコンテキスト: