構成と変更の管理
Azure では、ハードウェア、ソフトウェア、ネットワーク デバイスの構成設定とベースライン構成が毎年レビューおよび更新されます。 開発環境やテスト環境から運用環境に入る前に、変更が開発、テスト、承認されます。
Azure ベースのサービスに必要なベースライン構成は、Azure のセキュリティおよびコンプライアンス チームとサービス チームによってレビューされます。 サービス チームレビューは、運用サービスのデプロイ前に行われるテストの一部です。
脆弱性の管理
セキュリティ更新プログラムの管理は、既知の脆弱性からシステムを保護するのに役立ちます。 Azure では、統合デプロイ システムを使用して、Microsoft ソフトウェアのセキュリティ更新プログラムの配布とインストールを管理します。 Azure では、Microsoft Security Response Center (MSRC) のリソースを活用することもできます。 MSRC は、セキュリティ インシデントとクラウドの脆弱性を毎日 24 時間体制で識別、監視、対応、解決します。
脆弱性のスキャン
脆弱性スキャンは、サーバー オペレーティング システム、データベース、およびネットワーク デバイスで実行されます。 脆弱性スキャンは、少なくとも四半期ごとに実行されます。 Azure は独立した評価者と契約し、Azure 境界の侵入テストを実行します。 レッド チームの演習も定期的に実行され、その結果を使用してセキュリティが強化されます。
保護監視
Azure のセキュリティでは、アクティブな監視の要件が定義されています。 サービス チームは、これらの要件に従ってアクティブな監視ツールを構成します。 アクティブな監視ツールには、Microsoft Monitoring Agent (MMA) と System Center Operations Manager が含まれます。 これらのツールは、直ちに対処する必要がある状況で、Azure セキュリティ担当者に時間アラートを提供するように構成されています。
インシデント管理
Microsoft では、インシデントに対する調整された対応を容易にするために、セキュリティ インシデント管理プロセスを実装します。
Microsoft は、機器または施設に保存されている顧客データへの不正アクセスを認識した場合、またはそのような機器または施設への不正アクセスによって顧客データの損失、開示、または変更が行われることを認識した場合、Microsoft は次のアクションを実行します。
- セキュリティ インシデントを顧客に迅速に通知します。
- セキュリティ インシデントを迅速に調査し、セキュリティ インシデントに関する詳細情報をお客様に提供します。
- 影響を軽減し、セキュリティ インシデントによる損害を最小限に抑えるために、合理的で迅速な手順を実行します。
ロールを定義し、責任を割り当てるインシデント管理フレームワークが確立されました。 Azure セキュリティ インシデント管理チームは、エスカレーションを含むセキュリティ インシデントの管理と、必要に応じて専門家チームの関与を確保する責任を負います。 Azure Operations Manager は、セキュリティおよびプライバシー インシデントの調査と解決を監督する責任があります。
次のステップ
Microsoft が提供する Azure アーキテクチャの保護の詳細については、以下を参照してください。