Azure セキュリティ テストのプラクティス

  • [アーティクル]

組織の運用の一環として、セキュリティの設計と実装を定期的にテストします。 その統合により、組織によって設けられたセキュリティ標準に従って、セキュリティ保証が効果的に維持されていることを確認します。

適切に設計されたワークロードは、攻撃に対して回復力を持つ必要があります。 中断から迅速に復旧し、機密性、整合性、可用性のセキュリティ保証を提供する必要があります。 ギャップを明らかにできるテストとして、シミュレートされた攻撃を実施します。 結果に基づいて、防御を強化し、実際の攻撃者による環境内の横移動を制限できます。

シミュレートされたテストを行うと、リスク軽減を計画するためのデータも提供されます。 既に運用されているアプリケーションでは、実際の攻撃からのデータを使用する必要があります。 新機能のある新しいアプリケーションや更新されたアプリケーションの場合は、脅威モデリングなどの構造化モデルを利用して、リスクを早期に検出する必要があります。

重要なポイント

  • 現実的で、実際の攻撃に基づくテスト ケースを定義します。
  • 攻撃を防止および検出するため、コストが最も低い方法を特定してカタログ化します。
  • 侵入テストを 1 回限りの攻撃として使用し、セキュリティ防御を検証します。
  • 長期間続く攻撃については、Red Team を使用して攻撃をシミュレートします。
  • 攻撃者が環境内でリソースの悪用のターゲットとする潜在的な攻撃対象領域を測定し、削減します。
  • 攻撃者が使用する可能性のあるさまざまな手段について、適切なフォローアップを行ってユーザーを教育します。

侵入テスト (pentesting)

ワークロードの侵入テストを実施していますか?

1 回限りの攻撃をシミュレートして脆弱性を検出することをお勧めします。 侵入テストは、システムのセキュリティ防御を検証するための一般的な方法です。 実施するのは、組織の IT チームまたはアプリケーション チームの一員ではないセキュリティ専門家です。 そのため、悪意のあるアクターが攻撃対象を狙うような方法でシステムを観察します。 目標は、情報を収集し、脆弱性を分析し、レポートを作成することによって、セキュリティ ギャップを見つけることです。

侵入テストでは、セキュリティ防御に関する特定の時点の検証が提供されます。 Red Team は、潜在的にワークロード内のさまざまなレベルでテストすることで、防御が設計どおりに動作することについて継続的な可視性と保証を提供できます。 Red Team プログラムを使用することで、組織に対する 1 回限りの、または永続的な脅威をシミュレートして、組織のリソースを保護するために用意した防御を検証できます。

Microsoft では、ワークロードのセキュリティ防御を検証するために、侵入テストとレッド チーム演習を推奨しています。

侵入テスト実行標準 (PTES) で、一般的なシナリオと、ベースラインの確立に必要なアクティビティに関するガイドラインが提供されています。

Azure では、共有インフラストラクチャを使用して、複数の異なる顧客に属する資産がホストされています。 侵入テストの練習では、担当者が組織全体の機密データへのアクセスを必要とする場合があります。 実施のルールに従い、アクセスと意図が誤って使用されないようにします。 シミュレートされた攻撃の計画と実行に関するガイダンスについては、「侵入テストの実施ルール」を参照してください。

詳細情報

攻撃をシミュレートする

ユーザーがシステムを操作する方法は、防御を計画する上で重要です。 重大な影響を与えるアカウントの場合、高いレベルのアクセス許可が付与されていて、損害が大きくなる可能性があるため、リスクはいっそう高くなります。

このワークロードのユーザーに対して、シミュレートされた攻撃を実施していますか?

Red Team により、環境をターゲットにし続けている脅威アクターをシミュレートします。 その優位性の一部を紹介します。

  • 定期的なチェック。 現実的な攻撃によってワークロードがチェックされ、防御が最新かつ効果的であることが確認されます。
  • 教育目的。 学習に基づいて、知識とスキルのレベルをアップグレードします。 これは、攻撃者がアカウントを侵害するために使用する可能性のあるさまざまな手段を、ユーザーが理解するのに役立ちます。

現実的な攻撃のシナリオをシミュレートするためによく選択されるのは、Office 365 攻撃シミュレーターです。

個人情報は自動的に検出され、削除または難読化されていますか?

機密性の高いアプリケーションの情報を使用する場合は注意が必要です。 連絡先情報、支払い情報などの個人情報をアプリケーション ログに保存しないでください。 難読化などの保護対策を適用します。 この対策には機械学習ツールが役立ちます。 詳細については、「PII 検出コグニティブ スキル」を参照してください。

脅威モデリングは、攻撃ベクトルの可能性を明らかにするための構造化されたプロセスです。 その結果に基づいて、リスク軽減の取り組みに優先順位を付けます。 詳細については、「アプリケーションの脅威分析」を参照してください。

最新の攻撃の詳細については、Microsoft セキュリティ インテリジェンス レポート (SIR) を参照してください。

Microsoft Cloud Red Teaming

メインの記事に戻る: 監視