クラウド セキュリティ機能

  • [アーティクル]

機能とは、組織の要となるタスクと責任のことです。 言い換えれば、機能とは "実行するべき仕事" です。

この記事では、企業で情報セキュリティ リスクを管理するために必要な組織の機能の概要について説明します。 これらの役割と責任により、サイバーセキュリティ システム全体の人間の部分が形成されます。

セキュリティはチーム スポーツである

セキュリティ チームに所属する個人は、協力し合い、組織全体にとって互いに不可欠な存在であると捉える必要があります。 また、共通の敵に対抗する、大きなセキュリティ コミュニティの一部でもあります。

このような全体的な世界観は、役割と責任を発展させる過程で検出された計画外のギャップや重複にチームが対処する上で役立ちます。

セキュリティ機能の種類

次の図は、セキュリティ分野内の特定の組織的な職務を示しています。 表現されている機能は、完全な企業セキュリティ チームの理想的な姿を表しています。 リソースが限られているセキュリティ チームでは、これらの機能のすべてについて正式な責任が定義されていない可能性があります。 カルチャ、予算、利用可能なリソースなどの要因に応じて、各機能を 1 人以上のメンバーで実行したり、各メンバーが 1 つ以上の機能を実行したりできます。

エンタープライズ セキュリティ チームの機能の図。

各機能については、次の記事で詳しく説明しています。 これらの記事には、目的の概要、機能がどのように進化するか、およびその達成に不可欠な関連性と依存関係が含まれています。

ロールと責任

セキュリティの役割と責任は、「Azure セキュリティ ベンチマーク」、特権アクセスをセキュリティで保護するための迅速な最新化計画、「Azure セキュリティのベスト プラクティス」など、Microsoft のドキュメント全体で言及されています。

次の図は、これらの機能が組織内のどの役割の種類にマップされるかを示しています。

セキュリティの役割と責任の図。

セキュリティとビジネス成果のマッピング

組織レベルでは、セキュリティ規範が業界全体や多くの組織で見られる標準的な計画、構築、実行フェーズにマップされます。 セキュリティは、独自の機能を持つ規範であると "同時に"、通常のビジネス運用に統合すべき重要な要素でもあります。

ロールの種類

この図では、一般的なスキル セットとキャリア プロファイルを持つ一般的な役割に責任が整理されています。 これらのグループ化は、業界の傾向がセキュリティの専門家にどのように影響を与えるかを明らかにするのにも役立ちます。

  • セキュリティ リーダーシップ: これらの役割は複数の機能にまたがることが多く、チームが相互に連携できるようにします。 また、優先順位付けを行い、セキュリティに関する文化的規範、ポリシー、標準を設定します。
  • セキュリティ アーキテクト: これらの役割は、複数の機能の橋渡し役として、一貫したアーキテクチャ内ですべての技術機能が協調動作するように、主要なガバナンス機能を提供します。
  • セキュリティ体制とコンプライアンス: 新しい役割の種類で、脆弱性管理や構成基準などの従来のセキュリティ規範とコンプライアンス レポートの融合を表します。 セキュリティとコンプライアンス レポートでは、スコープと対象ユーザーが異なりますが、どちらも組織のセキュリティを測定するものです。 Microsoft セキュリティ スコアMicrosoft Defender for Cloud などのツールにより、この目的への対処法はより類似したものになりつつあります。
    • クラウド サービスからのオンデマンドのデータ フィードを使用することで、コンプライアンスの報告に必要な時間を削減できます。
    • 使用できるデータの範囲が拡大したことで、セキュリティ ガバナンスは、従来のソフトウェア更新プログラムを超えて、セキュリティ構成や運用方法から脆弱性を検出することができるようになりました。
  • プラットフォーム セキュリティ エンジニア: これらのテクノロジの役割は、複数のワークロードをホストするプラットフォームに焦点を当て、アクセス制御と資産保護の両方を行います。 多くの場合、これらの役割は、ネットワーク セキュリティ、インフラストラクチャとエンドポイント、ID とキーの管理など、専門的な技術スキル セットを持つチームにグループ化されます。 これらのチームは、予防的コントロールと発見的コントロールの両方に取り組みます。発見的コントロールは SecOps とのパートナーシップであり、予防的コントロールは主に IT 運用とのパートナーシップです。 詳細については、「セキュリティの統合」を参照してください。
  • アプリケーション セキュリティ エンジニア: これらのテクノロジの役割は、特定のワークロードのセキュリティ制御に重点を置き、従来の開発モデルと最新の DevOps/DevSecOps モデルの両方をサポートします。 これは、固有のコードに関するアプリケーション/開発のセキュリティ スキルと、VM、データベース、コンテナーなどの一般的な技術コンポーネントに関するインフラストラクチャ スキルを融合します。 これらの役割は、組織の要因に応じて、中央の IT またはセキュリティ組織、あるいはビジネスおよび開発チーム内に配置できます。

注意

DevOps と "コードとしてのインフラストラクチャ" のトレンドが進むにつれて、一部のセキュリティ人材は、プラットフォーム セキュリティ エンジニアリング チームからアプリケーション セキュリティ チームや体制管理の役割に移行すると思われます。 DevOps モデルでは、DevOps における ops (運用) のセキュリティ確保など、インフラストラクチャ セキュリティのスキルが要求されます。 また、ガバナンス チームは、技術的なセキュリティ体制をリアルタイムで効果的に監視するために、これらのスキルとエクスペリエンスを必要とするようになります。 さらに、コードとしてのインフラストラクチャでは、繰り返し発生する手動の技術的作業が自動化され、プラットフォーム セキュリティ エンジニアの役割におけるこれらのスキルに必要な時間が短縮されます (ただし、広範な技術スキル セットと自動化またはスクリプト作成スキルの必要性は高くなります)。

次のステップ

Microsoft クラウド導入フレームワークのセキュリティについて説明します。