注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
ガバナンスと戦略では、さまざまなクラウド セキュリティ機能の役割と責任の確立、統合された技術戦略、ポリシーと標準のサポートなど、セキュリティ保証をガイドして維持するための一貫性のあるセキュリティ戦略と文書化されたガバナンス アプローチを確保するためのガイダンスが提供されます。
GS-1: 資産管理とデータ保護戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-1 | 2, 13 | SC、AC |
システムとデータの継続的な監視と保護のための明確な戦略を文書化し、伝えます。 ビジネスクリティカルなデータとシステムの検出、評価、保護、監視に優先順位を付けます。
この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、および標準を含める必要があります。
ビジネス リスクに従ったデータ分類標準
セキュリティ組織によるリスクと資産インベントリの可視性
使用する Azure サービスのセキュリティ組織の承認
ライフサイクルを通じた資産のセキュリティ
組織のデータ分類に従った必要なアクセス制御戦略
Azure ネイティブおよびサード パーティのデータ保護機能の使用
転送中および保存時のユース ケースのデータ暗号化要件
適切な暗号化標準
詳細については、次の参考資料を参照してください。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
GS-2: エンタープライズ セグメント化戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-2 | 4, 9, 16 | AC、CA、SC |
ID、ネットワーク、アプリケーション、サブスクリプション、管理グループ、およびその他のコントロールの組み合わせを使用して資産へのアクセスをセグメント化するためのエンタープライズ全体の戦略を確立します。
セキュリティの分離の必要性と、相互に通信してデータにアクセスする必要があるシステムの毎日の運用を可能にする必要性とのバランスを慎重に取ります。
セグメント化戦略が、ネットワーク セキュリティ、ID とアクセス モデル、アプリケーションのアクセス許可/アクセス モデル、人間のプロセス制御など、コントロールの種類間で一貫して実装されていることを確認します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
GS-3: セキュリティ体制管理戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-3 | 20, 3, 5 | RA、CM、SC |
個々の資産とそれらがホストされている環境に対するリスクを継続的に測定し、軽減します。 公開されたアプリケーション、ネットワークのイングレスとエグレス ポイント、ユーザーと管理者のエンドポイントなど、価値の高い資産と高度に公開される攻撃対象領域に優先順位を付けます。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
GS-4: 組織の役割、責任、および説明責任を調整する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-4 | なし | PL、PM |
セキュリティ組織の役割と責任に関する明確な戦略を文書化して伝えます。 セキュリティ上の決定に明確なアカウンタビリティを提供し、全員に共有責任モデルの教育を行い、テクノロジに関する技術チームを教育してクラウドをセキュリティで保護することを優先します。
Azure セキュリティのベスト プラクティス 1 – ユーザー: クラウド セキュリティ体験に関する Teams の教育
Azure セキュリティのベスト プラクティス 2 - ユーザー: クラウド セキュリティ テクノロジに関する Teams の教育
Azure セキュリティのベスト プラクティス 3 - プロセス: クラウド セキュリティの決定にアカウンタビリティを割り当てる
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
GS-5: ネットワーク セキュリティ戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-5 | 9 | CA、SC |
組織の全体的なセキュリティ アクセス制御戦略の一環として、Azure ネットワーク セキュリティ アプローチを確立します。
この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、および標準を含める必要があります。
一元化されたネットワーク管理とセキュリティの責任
企業のセグメント化戦略に合わせた仮想ネットワークのセグメント化モデル
さまざまな脅威と攻撃シナリオでの修復戦略
インターネット エッジとイングレスとエグレスの戦略
ハイブリッド クラウドとオンプレミスの相互接続戦略
最新のネットワーク セキュリティ成果物 (ネットワーク図、参照ネットワーク アーキテクチャなど)
詳細については、次の参考資料を参照してください。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
GS-6: ID と特権アクセス戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-6 | 16, 4 | AC、AU、SC |
組織の全体的なセキュリティ アクセス制御戦略の一環として、Azure ID と特権アクセスアプローチを確立します。
この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、および標準を含める必要があります。
一元化された ID および認証システムとその他の内部および外部 ID システムとの相互接続性
さまざまなユース ケースと条件での強力な認証方法
高い特権を持つユーザーの保護
異常なユーザー アクティビティの監視と処理
ユーザー ID とアクセスレビューと調整プロセス
詳細については、次の参考資料を参照してください。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
GS-7: ログ記録と脅威対応戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-7 | 19 | IR、AU、RA、SC |
コンプライアンス要件を満たしながら脅威を迅速に検出して修復するためのログ記録と脅威対応戦略を確立します。 統合や手動の手順ではなく脅威に集中できるように、高品質のアラートとシームレスなエクスペリエンスをアナリストに提供することに優先順位を付けます。
この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、および標準を含める必要があります。
セキュリティ運用 (SecOps) 組織の役割と責任
NIST またはその他の業界フレームワークに合わせて明確に定義されたインシデント対応プロセス
ログキャプチャとリテンションによる脅威検出、インシデント対応、およびコンプライアンスニーズのサポート
SIEM、ネイティブ Azure 機能、およびその他のソースを使用した、脅威に関する情報の一元的な可視性と相関関係
顧客、サプライヤー、および関心のある公開関係者とのコミュニケーションと通知の計画
ログ記録と脅威検出、フォレンジック、攻撃の修復と根絶など、インシデント処理に Azure ネイティブおよびサード パーティのプラットフォームを使用する
学習した教訓や証拠の保持など、インシデントと事後のアクティビティを処理するためのプロセス
詳細については、次の参考資料を参照してください。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
GS-8: バックアップと回復の戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| GS-8 | 10 | CP |
組織の Azure のバックアップと復旧戦略を確立します。
この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、および標準を含める必要があります。
ビジネスの回復性の目標に従った目標復旧時間 (RTO) と目標復旧時点 (RPO) の定義
アプリケーションとインフラストラクチャのセットアップでの冗長性設計
アクセス制御とデータ暗号化を使用したバックアップの保護
詳細については、次の参考資料を参照してください。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):