ビジネス ユニットが Azure へのワークロードのデプロイを要求する場合は、適切なガバナンス、セキュリティ、コンプライアンス レベルを実現する方法を決定するために、各ワークロードを可視化する必要があります。 新しいサービスが必要な場合は、それを許可する必要があります。
次の表に、Azure サービスのエンタープライズ セキュリティ対応性を評価するフレームワークを示します。
セキュリティ
| カテゴリ | 条件 |
|---|---|
| ネットワーク エンドポイント | - サービスには、仮想ネットワークの外部からアクセスできるパブリック エンドポイントがありますか? - 仮想ネットワーク サービス エンドポイントはサポートされていますか? - Azure サービスはサービス エンドポイントと直接やり取りできますか? - Azure Private Link エンドポイントはサポートされていますか? - 仮想ネットワーク内にデプロイできますか? |
| データの流出防止 | - サービスとしてのプラットフォーム (PaaS) サービスには、Azure ExpressRoute Microsoft ピアリングに別の Border Gateway Protocol (BGP) コミュニティがありますか? - ExpressRoute はサービスのルート フィルターを公開しますか? - サービスは Private Link エンドポイントをサポートしていますか? |
| 管理とデータ プレーンの操作にネットワーク トラフィック フローを適用する | - サービスに出入りするトラフィックを検査できますか? - ユーザー定義ルーティングを使用してトラフィックを強制トンネリングできますか? - 管理操作では Azure 共有パブリック IP 範囲が使用されますか? - 管理トラフィックは、ホストで公開されているリンク ローカル エンドポイントを介して送信されますか? |
| 保存時のデータ暗号化 | - 暗号化は既定で適用されますか? - 暗号化を無効にできますか? - 暗号化は Microsoft マネージド キーまたはカスタマー マネージド キーで行われますか? |
| 転送中のデータ暗号化 | - サービスへのトラフィックは、SSL/TLS などのプロトコル レベルで暗号化されますか? - HTTP エンドポイントはありますか。また、無効にすることはできますか? - 基になるサービス通信は暗号化されていますか? - 暗号化は Microsoft マネージド キーまたはカスタマー マネージド キーで行われますか? 独自の暗号化の導入はサポートされていますか? |
| ソフトウェア展開 | - アプリケーション ソフトウェアまたはサードパーティ製品をサービスに展開できますか? - ソフトウェアの展開はどのように行われ、管理されますか? - ソース コードの整合性を制御するためにポリシーを適用できますか? - ソフトウェアが展開可能な場合、マルウェア対策機能、脆弱性管理、およびセキュリティ監視ツールを使用できますか? - サービスは、Azure Kubernetes Service (AKS) など、このような機能をネイティブに提供しますか? |
ID およびアクセス管理
| カテゴリ | 条件 |
|---|---|
| 認証とアクセス制御 | - すべてのコントロール プレーン操作は Microsoft Entra ID によって管理されますか? コントロール プレーンが入れ子になっていることはありますか(AKSなど)。 - データ プレーンへのアクセスを提供する方法は何ですか? - データ プレーンは Microsoft Entra ID と統合されますか? - Azure サービス間の認証ではマネージド ID またはサービス プリンシパルが使用されますか? - 該当するキーまたは Shared Access Signature はどのように管理されますか? - アクセスを取り消す方法 |
| 職務分掌 | サービスは Microsoft Entra ID 内でコントロール プレーンとデータ プレーンの操作を分離しますか? |
| 多要素認証と条件付きアクセス | 多要素認証は、ユーザーとサービス間の対話に適用されますか? |
ガバナンス
| カテゴリ | 条件 |
|---|---|
| データのエクスポートとインポート | サービスで安全かつ暗号化されたデータをインポートおよびエクスポートできますか? |
| データのプライバシーと使用状況 | - Microsoft エンジニアはデータにアクセスできますか? - Microsoft サポートとサービスの対話は監査されますか? |
| データの保存場所 | データはサービスデプロイリージョンに含まれていますか? |
オペレーション
| カテゴリ | 条件 |
|---|---|
| モニタリング | サービスは Azure Monitor と統合されますか? |
| バックアップ管理 | - どのワークロード データをバックアップする必要がありますか? - バックアップはどのようにキャプチャされますか? - バックアップはどのくらいの頻度で実行できますか? - バックアップはどのくらいの期間保持できますか? - バックアップは暗号化されますか? - バックアップの暗号化は Microsoft が管理するキーまたはカスタマー マネージド キーで行われますか? |
| 障害復旧 | リージョナル冗長性を持たせた形でサービスを使用する方法 - 達成可能な復旧時間と復旧ポイントの目標は何ですか? |
| ビジネス継続性管理 | - すべてのサブスクリプションでビジネス継続性操作を管理するために使用できるソリューションはどれですか? - どのワークロードを管理できますか? - 保護されたリソースと保護されていないリソース/アイテムを識別する方法 - ワークロードの保護を構成して復旧する方法 - 保護されたアイテムのセキュリティ レベルを確認および変更できますか? - 保護ジョブ、アラート、メトリックを監視するにはどうすればよいですか? - すべてのサブスクリプションでワークロード保護の概要レポートを生成する方法はありますか? |
| SKU | - 利用可能な SKU は何ですか? 違いは何ですか? - Premium SKU のセキュリティに関連する機能はありますか? |
| キャパシティ管理 | - 容量はどのように監視されますか? - 水平スケールの単位は何ですか? |
| 修正プログラムと更新プログラムの管理 | - サービスでアクティブな更新が必要か、または更新が自動的に行われますか? - 更新プログラムはどのくらいの頻度で適用されますか? 自動化できますか? |
| 監査 | - 入れ子になったコントロール プレーン操作はキャプチャされますか? たとえば、AKS や Azure Databricks などです。 - 主要なデータ プレーン アクティビティは記録されますか? |
| 構成管理 | タグをサポートし、すべてのリソースに put スキーマを提供していますか? |
Azure サービスのコンプライアンス
| カテゴリ | 条件 |
|---|---|
| サービス構成証明、認定、および外部監査 | サービス PCI/ISO/SOC は準拠していますか? |
| サービスの可用性 | - サービスは一般公開されていますか? - サービスはどのリージョンで利用できますか? - サービスのデプロイ スコープは何ですか? リージョンまたはグローバル サービスですか? |
| サービス レベル アグリーメント (SLA) | - サービスの可用性に関する SLA は何ですか? - 該当する場合、パフォーマンスの SLA は何ですか? |