セキュリティ ポリシー、イニシアチブ、および推奨事項とは

Microsoft Defender for Cloud は、セキュリティイニシアチブをサブスクリプションに適用します。 これらのイニシアチブには、1 つ以上のセキュリティ ポリシーが含まれています。 各ポリシーが、セキュリティ対策を強化するための推奨事項となります。 このページでは、これらについて詳しく説明します。

セキュリティ ポリシーとは何ですか。

Azure Policy で作成される Azure ポリシー定義は、制御する特定のセキュリティ条件に関するルールです。 組み込みの定義には、展開を許可するリソースの種類の制御や、すべてのリソースでのタグ使用の強制などが含まれます。 独自のカスタム ポリシー定義を作成することもできます。

これらのポリシー定義 (組み込み定義またはカスタム定義) を実装するには、それらを割り当てる必要があります。 こうしたポリシーを割り当てるには、Azure portal、PowerShell、または Azure CLI を使用します。 Azure Policy では、ポリシーを無効または有効にすることができます。

Azure Policy には、さまざまな種類のポリシーがあります。 クラウドの Defender は、主に、特定の条件と構成を確認し、コンプライアンスを報告する "監査" ポリシーを使用します。 セキュリティ設定を適用するために使用できる "強制" ポリシーもあります。

セキュリティ イニシアチブとは

セキュリティ イニシアチブは、特定の目標や目的を実現するためにグループ化された Azure Policy の定義またはルールのコレクションです。 セキュリティ イニシアチブは、一連のポリシーを論理的にグループ化して単一の項目として扱うことで、ポリシーの管理を簡略化します。

セキュリティ イニシアチブは、ワークロードの必要な構成を定義し、会社や規制当局のセキュリティ要件に確実に準拠できるようにします。

セキュリティポリシーと同様に、クラウドイニシアチブの Defender は Azure Policy でも作成されます。 Azure Policy を使用すると、ポリシーを管理し、イニシアチブを構築し、複数のサブスクリプションまたは管理グループ全体に対してイニシアチブを割り当てることができます。

Microsoft Defender for Cloud のすべてのサブスクリプションに自動的に割り当てられる既定のイニシアチブは、Microsoft クラウド セキュリティ ベンチマークです。 このベンチマークは Microsoft が作成したもので、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関するガイドラインのセットです。 この広く遵守されているベンチマークは、クラウド中心のセキュリティに重点を置いた Center for Internet Security (CIS)National Institute of Standards and Technology (NIST) の統制に基づいています。 Microsoft クラウド セキュリティ ベンチマークの詳細を参照してください。

Defender for Cloud は、セキュリティイニシアチブとポリシーを操作するための次のオプションを提供します。

  • 組み込みの既定のイニシアチブを表示および編集する - クラウドに対して defender を有効にすると、"Microsoft クラウド セキュリティ ベンチマーク" という名前のイニシアチブがクラウド登録サブスクリプションのすべての defender に自動的に割り当てられます。 このイニシアチブをカスタマイズするには、ポリシーのパラメーターを編集して、イニシアチブ内の個々のポリシーを有効または無効にします。 組み込みのセキュリティ ポリシーの一覧を参照して、すぐに使用できるオプションを確認してください。

  • 独自のカスタムイニシアチブを追加 する-サブスクリプションに適用されるセキュリティイニシアチブをカスタマイズする場合は、Defender for Cloud で実行できます。 作成したポリシーにマシンが従っていない場合は、推奨事項が提供されます。 カスタム ポリシーを作成して割り当てる手順については、カスタム セキュリティ イニシアチブの使用に関する記事をご覧ください。

  • 規制遵守基準をイニシアチブとして追加 する-Defender for Cloud の法令順守ダッシュボードには、環境内のすべての評価の状態が、特定の標準または規制 (Azure CI、NIST SP 800-53 R4、SWIFT CSP CSCF-v2020) のコンテキストで表示されます。 詳細については、規制コンプライアンスの向上に関する記事をご覧ください。

セキュリティに関する推奨事項とは

Defender は、ポリシーを使用して、リソースのコンプライアンスステータスを定期的に分析して、潜在的なセキュリティの誤りや弱点を特定します。 その後、これらの問題を修正する方法に関する推奨事項が提供されます。 推奨事項は、関連するポリシーに対してリソースを評価し、定義された要件を満たしていないリソースを特定した結果です。

Defender for Cloud は、選択したイニシアチブに基づいて、セキュリティに関する推奨事項を作成します。 イニシアチブからのポリシーがリソースと比較され、準拠していないものが 1 つ以上見つかった場合は、Defender for Cloud で推奨事項として表示されます。

推奨事項とは、リソースをセキュリティで保護および強化するために実行する操作です。 各推奨事項には、次の情報が記載されています。

  • 問題の簡単な説明
  • 推奨事項を実装するために実行する修復手順
  • 影響を受けるリソース

実際には、次のように動作します。

  1. Microsoft クラウド セキュリティ ベンチマークは、要件を含む "イニシアチブ" です。

    たとえば、Azure Storage アカウントはネットワークアクセスを制限して、攻撃対象領域を減らす必要があります。

  2. このイニシアチブには複数の "ポリシー" が含まれており、それぞれに特定のリソースの種類の要件があります。 これらのポリシーによって、イニシアチブの要件が適用されます。

    この例を続行するには、"Storage アカウントは、仮想ネットワークルールを使用してネットワークアクセスを制限する必要があります" というポリシーを適用します。

  3. Microsoft Defender for Cloud は、接続されているサブスクリプションを継続的に評価します。 ポリシーを満たしていないリソースが見つかった場合は、その状況を修正し、セキュリティ要件を満たしていないリソースのセキュリティを強化するための "推奨事項" が表示されます。

    たとえば、保護されたサブスクリプションのいずれかの Azure Storage アカウントが仮想ネットワークルールで保護されていない場合は、それらのリソースを強化するための推奨事項が表示されます。

(1) イニシアチブには、(3) 環境固有の推奨事項を生成する (2) ポリシーが含まれています。

セキュリティに関する推奨事項の詳細

セキュリティに関する推奨事項には、その重要性とその処理方法を理解するのに役立つ詳細が含まれています。

各要素に関するラベルを含む推奨事項の詳細ページのスクリーンショット。

表示される推奨事項の詳細は次のとおりです。

  1. サポートされている推奨事項については、上部のツールバーに次のボタンのいずれか、またはすべてが表示されます。

    • 適用および拒否 (「適用/拒否の推奨事項を使用した構成ミスの防止」を参照)。
    • 基になるポリシーの Azure Policy エントリに直接アクセスするためのポリシー定義の表示
    • クエリを開く - Azure Resource Graph Explorer を使用して、影響を受けるリソースの詳細情報を表示することができます。
  2. 重大度インジケーター

  3. 更新の間隔

  4. 除外されたリソースの数。推奨事項に対して除外が存在する場合に、特定リソースを表示するリンクと共に除外されたリソースの数が示されます。

  5. Mapping to MITRE ATT&CK ® 戦術と手法へのマッピング。推奨事項で戦術と手法が定義されている場合は、MITRE のサイトの関連ページへのリンクのアイコンを選びます。 これは、Azure スコア付けされた推奨事項にのみ適用されます。

    推奨事項の MITRE 戦術マッピングのスクリーンショット。

  6. 説明 - セキュリティの問題に関する短い説明。

  7. 関連する場合、詳細ページには関連する推奨事項の表も含まれています。

    リレーションシップの種類は次のとおりです。

    • 前提条件 - 選択した推奨事項の前に完了する必要がある推奨事項
    • 代替 - 選択した推奨事項の目的を達成する別の方法を提供する別の推奨事項
    • 依存 - 選択した推奨事項が前提条件となる推奨事項

    それぞれの関連推奨事項に対して、[影響を受けるリソース] 列に異常なリソースの数が表示されます。

    ヒント

    関連推奨事項が淡色表示されている場合、その依存関係はまだ完了していないため、使用できません。

  8. 修正手順 - 影響を受けるリソースのセキュリティの問題を修正するために必要な手動の手順の説明。 [修正] オプションを含む推奨事項の場合は、推奨される修正プログラムをリソースに適用する前に、[修正ロジックを表示] を選択できます。

  9. 影響を受けるリソース - リソースはタブにグループ化されています。

    • 正常なリソース - 影響を受けていないか、既に問題を修正した関連するリソース。
    • 異常なリソース – 特定された問題の影響を受けているリソース。
    • 適用されないリソース – 推奨事項で明確な回答を得ることができないリソース。 [適用されないリソース] タブには、各リソースの理由も含まれています。

    推奨事項で明確な回答を得ることができないリソースのスクリーンショット。

  10. 推奨事項を修復するか、ロジック アプリをトリガーするアクション ボタン。

推奨事項とポリシーの関係を表示する

前述のように、Defender for Cloud の組み込みのレコメンデーションは、Microsoft クラウド セキュリティ ベンチマークに基づいています。 ほとんどすべての推奨事項には、ベンチマークの要件から派生した基になるポリシーがあります。

推奨事項の詳細を確認するときに、基になるポリシーを確認できると有益な場合が多くあります。 ポリシーでサポートされているすべての推奨事項について、推奨事項の詳細ページの [ポリシー定義の表示] リンクを使用して、関連するポリシーの Azure Policy エントリに直接アクセスします。

推奨事項をサポートする特定のポリシーが記載されている Azure Policy ページへのリンク。

ポリシー定義を表示し、評価ロジックを確認するには、このリンクを使用します。

セキュリティの推奨事項に関するリファレンス ガイドに記載されている推奨事項の一覧を確認している場合も、ポリシー定義のページへのリンクが表示されます。

Microsoft Defender for Cloud の推奨事項リファレンスページから、特定のポリシーの [Azure Policy] ページに直接アクセスします。

次のステップ

このページでは、ポリシー、イニシアチブ、および推奨事項の基本的な概念と関係に関する概要を説明しています。 関連情報については、以下をご覧ください。