セキュリティ コントロール: 体制と脆弱性の管理
体制と脆弱性の管理では、脆弱性のスキャン、侵入テスト、修復、クラウド リソースでのセキュリティ構成の追跡、レポート、修正など、クラウド セキュリティ体制を評価し改善するためのコントロールに重点を置きます。
PV-1: セキュリティで保護された構成を定義して確立する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 1.1 |
セキュリティ原則: クラウド内のさまざまなリソースの種類に対し、セキュリティ構成基準を定義します。 または、構成管理ツールを使用して、デプロイ後に環境が既定で準拠できるよう、リソースのデプロイの前またはデプロイ中に構成基準を自動的に確立することもできます。
Azure ガイダンス: Microsoft Cloud セキュリティ ベンチマークとサービス ベースラインを使用して、それぞれの Azure オファリングまたはサービスの構成基準を定義します。 Azure リソース全体で必要になる可能性がある重要なセキュリティ制御と構成については、Azure 参照アーキテクチャとランディング ゾーン アーキテクチャのクラウド導入フレームワークに関するページを参照してください。
Azure ランディング ゾーン (およびブループリント) を使用して、Azure Resource Manager テンプレート、Azure RBAC コントロール、Azure Policyを含むサービスとアプリケーション環境の構成を設定することで、ワークロードのデプロイを高速化します。
Azure の実装と追加のコンテキスト:
- エンタープライズ規模のランディング ゾーンでのガードレールの実装の図
- Microsoft Defender for Cloud でのセキュリティ ポリシーの使用
- チュートリアル:コンプライアンスを強制するポリシーの作成と管理
- Azure Blueprint
AWS ガイダンス: MICROSOFT Cloud Security Benchmark - AWS のマルチクラウド ガイダンスとその他の入力を使用して、それぞれの AWS オファリングまたはサービスの構成基準を定義します。 AWS リソース全体で必要になる可能性がある重要なセキュリティ制御と構成については、AWS Well-Architectured Framework のセキュリティの柱とその他の柱を参照してください。
AWS ランディング ゾーン定義で AWS CloudFormation テンプレートと AWS Config ルールを使用して、サービスとアプリケーション環境のデプロイと構成を自動化します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Microsoft Cloud Security Benchmark – GCP のマルチクラウド ガイダンスとその他の入力を使用して、それぞれの GCP オファリングまたはサービスの構成基準を定義します。 Google Cloud デプロイの基本ブループリントとランディング ゾーンの設計の柱を参照してください。
Google Cloud の Terraform ブループリント モジュールを使用し、ネイティブの Google Cloud Deployment Manager を使用して、サービスとアプリケーション環境のデプロイと構成を自動化します。
GCP の実装と追加のコンテキスト:
- Google Cloud でのランディング ゾーンの設計。 Google Cloud 用の Terraform ブループリントとモジュール。 https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- セキュリティ基盤のブループリント
- Google Cloud Deployment Manager
顧客のセキュリティ利害関係者 (詳細情報):
PV-2: セキュリティで保護された構成を監査して適用する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1、4.2 | CM-2、CM-6 | 2.2 |
セキュリティ原則: 定義された構成基準からの逸脱がある場合は、継続的な監視とアラートを行います。 非準拠の構成を拒否するか、構成を展開して、ベースライン構成に従って目的の構成を適用します。
Azure ガイダンス: Microsoft Defender for Cloud を使用して、Azure Policy を構成し、Azure リソースの構成の監査と適用を行います。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。
Azure リソース全体にセキュリティで保護された構成を適用するには、Azure Policy [deny] ルールと [deploy if not exist] ルールを使用します。
リソース構成の監査と適用がAzure Policyでサポートされていない場合は、カスタム スクリプトを記述するか、サードパーティのツールを使用して構成の監査と適用を実装することが必要になる場合があります。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Config ルールを使用して、AWS リソースの構成を監査します。 また、AWS Config ルールに関連付けられている AWS Systems Manager Automation を使用して、構成ドリフトを解決することもできます。 Amazon CloudWatch を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。
AWS Config でサポートされていないリソース構成の監査と適用の場合は、カスタム スクリプトを記述するか、サードパーティのツールを使用して構成の監査と適用を実装することが必要になる場合があります。
AWS アカウントを Microsoft Defender for Cloud にオンボードすることで、構成ドリフトを一元的に監視することもできます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Security Command Center を使用して GCP を構成します。 Operations Suite の Google Cloud Monitoring を使用して、リソースで構成のずれが検出されたときにアラートを作成します。
組織を管理するには、組織ポリシーを使用して、organizationのクラウド リソースを一元化し、プログラムで制御します。 organization ポリシー管理者は、リソース階層全体で制約を構成できます。
組織ポリシーでサポートされていないリソース構成の監査と適用の場合は、カスタム スクリプトを記述するか、サードパーティのツールを使用して構成の監査と適用を実装することが必要になる場合があります。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
セキュリティ原則: VM やコンテナーなど、コンピューティング リソースのセキュリティ保護された構成基準を定義します。 構成管理ツールを使用して、デプロイ後に環境が既定で準拠できるよう、コンピューティング リソースのデプロイ前またはデプロイ中に構成基準を自動的に確立します。 または、事前構成済みのイメージを使用して、コンピューティング リソース イメージ テンプレートに目的の構成基準を構築します。
Azure ガイダンス: コンピューティング リソースの構成基準を定義するためのベンチマークとして、(Windows と Linux の両方に対して) Azure 推奨オペレーティング システムのセキュリティ ベースラインを使用します。
さらに、カスタム VM イメージ (Azure Image Builder を使用) またはコンテナー イメージと Azure Automanage Machine Configuration (旧称 Azure Policy ゲスト構成) を使用し、Azure Automation State Configurationして目的のセキュリティ構成を確立できます。
Azure の実装と追加のコンテキスト:
- Linux OS セキュリティ構成基準
- Windows OS セキュリティ構成基準
- コンピューティング リソースのセキュリティ構成に関する推奨事項
- Azure Automation State Configuration の概要
AWS ガイダンス: EC2 構成ベースラインを定義するベンチマークとして、Marketplace 上の信頼できるソースからの EC2 AWS Machine Images (AMI) を使用します。
さらに、EC2 Image Builder を使用して、Systems Manager エージェントを使用してカスタム AMI テンプレートを構築し、目的のセキュリティ構成を確立できます。 注: AWS Systems Manager エージェントは、AWS によって提供される一部の Amazon Machine Images (API) にプレインストールされています。
EC2 インスタンス、AWS Lambda、またはコンテナー環境内で実行されているワークロード アプリケーションの場合は、AWS System Manager AppConfig を使用して目的の構成基準を確立できます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: コンピューティング リソース構成基準を定義するためのベンチマークとして、Google Cloud 推奨オペレーティング システムのセキュリティ ベースライン (Windows と Linux の両方) を使用します。
さらに、Packer Image Builder を使用してカスタム VM イメージを使用するか、Google Cloud Build コンテナー イメージを使用してコンテナー イメージを使用して、目的の構成基準を確立できます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PV-4: コンピューティング リソースにセキュリティで保護された構成を監査して適用する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 4.1 | CM-2、CM-6 | 2.2 |
セキュリティ原則: コンピューティング リソースで定義された構成基準からの逸脱がある場合は、継続的に監視してアラートを生成します。 非準拠の構成を拒否するか、コンピューティング リソースに構成を展開して、ベースライン構成に従って目的の構成を適用します。
Azure ガイダンス: クラウドと Azure Automanage Machine Configuration (旧称 Azure Policy ゲスト構成) のMicrosoft Defenderを使用して、VM、コンテナー、その他を含む Azure コンピューティング リソースの構成偏差を定期的に評価して修復します。 さらに、Azure Resource Manager テンプレート、カスタム オペレーティング システム イメージ、または Azure Automation State Configuration を使用して、オペレーティング システムのセキュリティ構成を維持できます。 Microsoft VM テンプレートと Azure Automation State Configuration を組み合わせると、セキュリティ要件を満たして維持することができます。 Azure Automationの変更履歴とインベントリを使用して、Azure、オンプレミス、およびその他のクラウド環境でホストされている仮想マシンの変更を追跡し、配布パッケージ マネージャーによって管理されるソフトウェアの運用上および環境上の問題を特定するのに役立ちます。 ゲスト構成証明エージェントを仮想マシンにインストールして、機密仮想マシンのブート整合性を監視します。
注: Microsoft によって公開された Azure Marketplace の VM イメージが Microsoft によって管理および維持されることにも注意してください。
Azure の実装と追加のコンテキスト:
- Microsoft Defender for Cloud の脆弱性評価のおすすめ候補を実装する方法
- ARM テンプレートから Azure 仮想マシンを作成する方法
- Azure Automation State Configuration の概要
- Azure portal で Windows 仮想マシンを作成する
- Microsoft Defender for Cloud でのコンテナーのセキュリティ
- Change Tracking とインベントリの概要
- 機密 VM のゲスト構成証明
AWS ガイダンス: AWS System Manager の State Manager 機能を使用して、EC2 インスタンスの構成の逸脱を定期的に評価して修復します。 さらに、CloudFormation テンプレート、カスタム オペレーティング システム イメージを使用して、オペレーティング システムのセキュリティ構成を維持できます。 AMI テンプレートと Systems Manager を組み合わせると、セキュリティ要件の適合と維持に役立ちます。
また、Azure Automation State Configurationを通じてオペレーティング システム構成のドリフトを一元的に監視および管理し、次の方法を使用して、該当するリソースを Azure セキュリティ ガバナンスにオンボードすることもできます。
- AWS アカウントを Microsoft Defender for Cloud にオンボードする
- Azure Arc for servers を使用して EC2 インスタンスを Microsoft Defender for Cloud に接続する
EC2 インスタンス、AWS Lambda、またはコンテナー環境内で実行されているワークロード アプリケーションの場合は、AWS System Manager AppConfig を使用して目的の構成基準を監査し、適用することができます。
注: AWS Marketplace のアマゾン ウェブ サービスによって公開された API は、アマゾン ウェブ サービスによって管理および管理されます。
AWS の実装と追加のコンテキスト:
- AWS System Manager State Manager
- AWS アカウントを Microsoft Defender for Cloud に接続する
- Azure Automation State Configuration を有効にする
GCP ガイダンス: VM マネージャーと Google Cloud Security Command Center を使用して、コンピューティング エンジン インスタンス、コンテナー、サーバーレス コントラクトの構成の逸脱を定期的に評価して修復します。 さらに、Deployment Manager VM テンプレート、カスタム オペレーティング システム イメージを使用して、オペレーティング システムのセキュリティ構成を維持できます。 Deployment Manager VM テンプレートと VM Manager を組み合わせて使用すると、セキュリティ要件を満たして維持できます。
また、Azure Automation State Configurationを通じてオペレーティング システム構成のドリフトを一元的に監視および管理し、次の方法を使用して、該当するリソースを Azure セキュリティ ガバナンスにオンボードすることもできます。
- GCP プロジェクトを Microsoft Defender for Cloud にオンボードする
- Azure Arc for servers を使用して GCP VM インスタンスを Microsoft Defender for Cloud に接続する
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PV-5: 脆弱性評価を実行する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.5、7.1、7.5、7.6 | RA-3、RA-5 | 6.1、6.2、6.6 |
セキュリティ原則: 固定スケジュールまたはオンデマンドで、すべてのレベルでクラウド リソースの脆弱性評価を実行します。 スキャン結果を追跡して比較し、脆弱性が修復されるのを確認します。 評価には、Azure サービス、ネットワーク、Web、オペレーティング システムの脆弱性、構成の誤りなど、すべての種類の脆弱性を含める必要があります。
脆弱性スキャナーによって使用される特権アクセスに関連する潜在的なリスクに注意してください。 特権アクセス セキュリティのベスト プラクティスに従って、スキャンに使用される管理アカウントをセキュリティで保護します。
Azure ガイダンス: Azure 仮想マシン、コンテナー イメージ、および SQL サーバーに対して脆弱性評価を実行することに関する Microsoft Defender for Cloud の推奨事項に従います。 Microsoft Defender for Cloud には、仮想マシン用に組み込みの脆弱性スキャナーがあります。 ネットワーク デバイスとアプリケーション (Web アプリケーションなど) で脆弱性評価を実行するためのサードパーティ ソリューションを使用します。
スキャン結果を一定の間隔でエクスポートして、前回のスキャンと結果を比較し、脆弱性が修復されていることを確認します。 Microsoft Defender for Cloud によって提案された脆弱性管理の推奨事項を使用する場合は、選択したスキャン ソリューションのポータルに切り替えてスキャン データの履歴を表示できます。
リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントには、JIT (Just-In-Time) プロビジョニングの方法論を実装することを検討してください。 スキャン アカウントの資格情報は保護と監視の対象とし、脆弱性のスキャンのためにのみ使用する必要があります。
注: Microsoft Defender サービス (Defender for servers、containers、App Service、Database、DNS を含む) には、特定の脆弱性評価機能が組み込まれています。 Azure Defender サービスから生成されたアラートは、Microsoft Defender for Cloud 脆弱性スキャン ツールの結果と共に監視および確認する必要があります。
注: Microsoft Defender for Cloud で電子メール通知を設定していることを確認します。
Azure の実装と追加のコンテキスト:
- Microsoft Defender for Cloud の脆弱性評価の推奨事項を実装する方法
- 仮想マシン向けの統合された脆弱性スキャナー
- SQL 脆弱性評価
- Microsoft Defender for Cloud の脆弱性スキャン結果のエクスポート
AWS ガイダンス: Amazon Inspector を使用して、Amazon Elastic Container Registry (Amazon ECR) に存在する Amazon EC2 インスタンスとコンテナー イメージをスキャンし、ソフトウェアの脆弱性と意図しないネットワーク露出がないかどうかを確認します。 ネットワーク デバイスとアプリケーション (Web アプリケーションなど) で脆弱性評価を実行するためのサードパーティ ソリューションを使用します。
制御 ES-1「エンドポイントの検出と応答 (EDR) を使用する」を参照して、AWS アカウントをクラウド用のMicrosoft Defenderにオンボードし、EC2 インスタンス内の (Microsoft Defender for Endpoint統合された) サーバー用のMicrosoft Defenderをデプロイします。 サーバーの Microsoft Defender から、VM にネイティブの脅威と脆弱性の管理機能が提供されます。 脆弱性スキャンの結果は、クラウドダッシュボードのMicrosoft Defenderに統合されます。
脆弱性の結果の状態を追跡して、誤検知と見なされた場合に適切に修復または抑制されるようにします。
リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントの一時的なプロビジョニング手法を実装することを検討してください。 スキャン アカウントの資格情報は保護と監視の対象とし、脆弱性のスキャンのためにのみ使用する必要があります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: コンピューティング エンジン インスタンスで脆弱性評価を実行するには、クラウドまたは Google Cloud Security Command Center のMicrosoft Defenderの推奨事項に従います。 セキュリティ コマンド センターには、ネットワーク デバイスとアプリケーション (Web セキュリティ スキャナーなど) に脆弱性評価が組み込まれています
スキャン結果を一定の間隔でエクスポートして、前回のスキャンと結果を比較し、脆弱性が修復されていることを確認します。 Security Command Center によって提案された脆弱性管理の推奨事項を使用する場合は、選択したスキャン ソリューションのポータルに移動して、履歴スキャン データを表示できます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PV-6: 脆弱性を迅速かつ自動的に修復する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 7.2、7.3、7.4、7.7 | RA-3、RA-5、SI-2: 欠陥の修復 | 6.1、6.2、6.5、11.2 |
セキュリティ原則: パッチと更新プログラムを迅速かつ自動的に展開して、クラウド リソースの脆弱性を修復します。 適切なリスクベースのアプローチを使用して、脆弱性の修復に優先順位を付けます。 たとえば、価値の高い資産における重大な脆弱性は、高優先度で対処する必要があります。
Azure ガイダンス: Azure Automation Update Management またはサードパーティソリューションを使用して、最新のセキュリティ更新プログラムが Windows および Linux VM に確実にインストールされるようにします。 Windows VM については、Windows Update が有効になっていて、自動的に更新するよう設定されていることを確認します。
サード パーティ製ソフトウェアの場合は、サード パーティのパッチ管理ソリューションまたは Microsoft System Center 更新 Publisher を使用してConfiguration Managerします。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Systems Manager - Patch Manager を使用して、最新のセキュリティ更新プログラムがオペレーティング システムとアプリケーションに確実にインストールされるようにします。 Patch Manager では、パッチ ベースラインがサポートされており、システムの承認済みパッチと拒否パッチの一覧を定義できます。
Azure Automation Update Management を使用して、AWS EC2 の Windows および Linux インスタンスのパッチと更新プログラムを一元的に管理することもできます。
サード パーティ製ソフトウェアの場合は、サード パーティのパッチ管理ソリューションまたは Microsoft System Center 更新 Publisher を使用してConfiguration Managerします。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud VM Manager OS パッチ管理またはサードパーティソリューションを使用して、最新のセキュリティ更新プログラムが Windows および Linux VM に確実にインストールされるようにします。 Windows VM の場合は、Windows Updateが有効になっていることを確認し、自動的に更新するように設定します。
サード パーティ製ソフトウェアの場合は、サード パーティのパッチ管理ソリューションまたは Microsoft System Center 更新 Publisher を使用して構成管理を行います。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PV-7: 定期的なレッド チーム操作を実施する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 18.1、18.2、18.3、18.4、18.5 | CA-8、RA-5 | 6.6、11.2、11.3 |
セキュリティ原則: 実際の攻撃をシミュレートして、組織の脆弱性についてより包括的なビューを提供します。 レッド チームの運用と侵入テストは、従来の脆弱性スキャン アプローチを補完してリスクを検出します。
業界のベスト プラクティスに従って、このようなテストを設計、準備、実施して、環境に損害や中断が生じなかったりしないか確認します。 これには、テストの範囲と制約について、関連する利害関係者やリソース所有者との話し合いも含まれます。
Azure ガイダンス: 必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。
お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: 必要に応じて、AWS リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。
侵入テストの AWS カスタマー サポート ポリシーに従って、侵入テストが AWS ポリシーに違反しないようにします。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: 必要に応じて、GCP リソースに対して侵入テストまたは赤いチーム アクティビティを実施し、すべての重要なセキュリティ結果の修復を確実に行います。
侵入テストの GCP カスタマー サポート ポリシーに従って、侵入テストが GCP ポリシーに違反しないようにします。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):