セキュリティ コントロール V2:体制と脆弱性の管理

注意

最新の Azure セキュリティ ベンチマークはこちらからご利用いただけます。

体制と脆弱性の管理では、Azure のセキュリティ体制を評価し、改善するためのコントロールに重点を置きます。 これには、脆弱性のスキャン、侵入テスト、修復に加え、Azure リソースでのセキュリティ構成の追跡、レポート、修正が含まれます。

該当する組み込み Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: 体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

Azure ID CIS コントロール v7.1 ID NIST SP 800-53 r4 ID
PV-1 5.1 CM-2、CM-6

使用する Azure サービスの安全な構成を簡単にできるようにすることで、インフラストラクチャ チームと DevOps チームに対するセキュリティ ガードレールを定義します。

Azure セキュリティ ベンチマークのサービス ベースラインを使用した Azure サービスのセキュリティ構成を開始し、必要に応じて組織に合わせてカスタマイズします。

Azure Security Center を使用して、Azure リソースの構成を監査および強制する Azure Policy を構成します。

Azure Blueprints を使用すると、1 つのブループリント定義で、Azure Resource Manager テンプレート、Azure RBAC コントロール、ポリシーなど、サービスとアプリケーション環境のデプロイと構成を自動化することができます。

責任: Customer

顧客のセキュリティ上の利害関係者 (詳細):

PV-2: Azure サービスのセキュリティで保護された構成を維持する

Azure ID CIS コントロール v7.1 ID NIST SP 800-53 r4 ID
PV-2 5.2 CM-2、CM-6

Azure Security Center を使用して、構成基準を監視し、Azure Policy の [deny] および [deploy if not exist] 規則を使用して、VM やコンテナーなどの Azure コンピューティング リソース全体にセキュリティで保護された構成を適用します。

責任: Customer

顧客のセキュリティ上の利害関係者 (詳細):

PV-3: コンピューティング リソースにセキュリティで保護された構成を確立する

Azure ID CIS コントロール v7.1 ID NIST SP 800-53 r4 ID
PV-3 5.1 CM-2、CM-6

Azure Security Center と Azure Policy を使用して、VM やコンテナーなど、すべてのコンピューティング リソースに、セキュリティで保護された構成を確立します。さらに、カスタム オペレーティング システム イメージまたは Azure Automation State Configuration を使用して、組織で必要なオペレーティング システムのセキュリティ構成を確立することができます。

責任: Customer

顧客のセキュリティ上の利害関係者 (詳細):

PV-4: コンピューティング リソースに対するセキュリティで保護された構成を維持する

Azure ID CIS コントロール v7.1 ID NIST SP 800-53 r4 ID
PV-4 5.2 CM-2、CM-6

Azure Security Center と Azure Policy を使用して、VM、コンテナーなど、Azure コンピューティング リソースの構成上のリスクを定期的に評価し、修復します。 さらに、Azure Resource Manager テンプレート、カスタム オペレーティング システム イメージ、または Azure Automation State Configuration を使用して、組織に必要なオペレーティング システムのセキュリティ構成を維持できます。 Microsoft VM テンプレートと Azure Automation State Configuration を組み合わせると、セキュリティ要件を満たして維持することができます。

また、Microsoft によって公開された Azure Marketplace の VM イメージが Microsoft によって管理および維持されることにも注意してください。

また、Azure Security Center を使用すると、コンテナー イメージで脆弱性をスキャンし、CIS Docker ベンチマークに基づいてコンテナー内の Docker 構成の継続的な監視を実行することもできます。 Azure Security Center の推奨事項ページを使用して、推奨事項を表示したり、問題を修復したりできます。

責任: 共有

顧客のセキュリティ上の利害関係者 (詳細):

PV-5: カスタム オペレーティング システムとコンテナーのイメージを安全に格納する

Azure ID CIS コントロール v7.1 ID NIST SP 800-53 r4 ID
PV-5 5.3 CM-2、CM-6

Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、確実に承認されたユーザーのみがカスタム イメージにアクセスできます。 Azure Shared Image Gallery を使用して、組織内のさまざまなユーザー、サービス プリンシパル、AD グループに対してイメージを共有できます。 コンテナー イメージを Azure Container Registry に格納し、Azure RBAC を使用して、許可されているユーザーのみがアクセスできるようにします。

責任: Customer

顧客のセキュリティ上の利害関係者 (詳細):

PV-6: ソフトウェアの脆弱性評価を実行する

Azure ID CIS コントロール v7.1 ID NIST SP 800-53 r4 ID
PV-6 3.1、3.2、3.3、3.6 CA-2、RA-5

Azure 仮想マシン、コンテナー イメージ、および SQL サーバーに対して脆弱性評価を実行することに関する Azure Security Center の推奨事項に従います。 Azure Security Center には、仮想マシンをスキャンするための組み込みの脆弱性スキャナーがあります。

ネットワーク デバイスと Web アプリケーションで脆弱性評価を実行するためのサードパーティ ソリューションを使用します。 リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントには、JIT (Just-In-Time) プロビジョニングの方法論を実装することを検討してください。 スキャン アカウントの資格情報は保護と監視の対象とし、脆弱性のスキャンのためにのみ使用する必要があります。

スキャン結果を一定の間隔でエクスポートして、前回のスキャンと結果を比較し、脆弱性が修復されていることを確認します。 Azure Security Center によって提案された脆弱性管理の推奨事項を使用する場合は、選択したスキャン ソリューションのポータルに切り替えてスキャン データの履歴を表示できます。

責任: Customer

顧客のセキュリティ上の利害関係者 (詳細):

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

Azure ID CIS コントロール v7.1 ID NIST SP 800-53 r4 ID
PV-7 3.7 CA-2、RA-5、SI-2

ソフトウェア更新プログラムを速やかにデプロイして、オペレーティング システムとアプリケーションのソフトウェアの脆弱性を修復します。

一般的なリスク スコアリング プログラム (一般的な脆弱性スコアリング システムなど)、またはサードパーティ製のスキャン ツールによって提供される既定のリスク評価を使用し、環境に合わせて調整します。その際、高いセキュリティ リスクをもたらすアプリケーションと、高い稼働時間を必要とするアプリケーションを考慮します。

Azure Automation Update Management またはサードパーティのソリューションを使用して、最新のセキュリティ更新プログラムが Windows および Linux VM にインストールされることを確認します。 Windows VM については、Windows Update が有効になっていて、自動的に更新するよう設定されていることを確認します。

サードパーティ製ソフトウェアの場合は、サードパーティの修正プログラム管理ソリューションまたは Configuration Manager 用の System Center Updates Publisher を使用します。

責任: Customer

顧客のセキュリティ上の利害関係者 (詳細):

PV-8: 定期的に攻撃シミュレーションを実施する

Azure ID CIS コントロール v7.1 ID NIST SP 800-53 r4 ID
PV-8 20 CA-8、CA-2、RA-5

必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。 お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

顧客のセキュリティ上の利害関係者 (詳細):