ガバナンス、リスク、およびコンプライアンス
全体的な設計の一環として、利用可能なリソース (財務、人、時間) を投資する場所に優先順位を付けます。 リソースに対する制約は、organization全体のセキュリティ実装にも影響します。 セキュリティに対する適切な投資収益率 (ROI) を実現するには、organizationが最初にセキュリティの優先順位を理解して定義する必要があります。
ガバナンス:organizationは、セキュリティを監視、監査、およびレポートする方法を説明します。 organization内のセキュリティ コントロールの設計と実装は、ストーリーの始まりにすぎません。 組織は物事が実際に機能していることをどのように知るのでしょうか。 改善はしているでしょうか。 新しい要件はあるでしょうか。 必須のレポートはあるでしょうか。 コンプライアンスと同様に、外部の業界、政府、または規制基準を考慮する必要がある場合があります。
リスク:特定可能な情報、知的財産 (IP)、財務情報を保護しようとしたときに、organizationはどのようなリスクの種類に直面しますか? 外部および内部の脅威や意図しない脅威や悪意のある脅威など、この情報が盗まれた場合、誰が興味を持っているか、この情報を使用する可能性がありますか? 一般的に忘れられているが、リスク内の重要な考慮事項は、ディザスター リカバリーとビジネス継続性に対処することです。
コンプライアンス:organizationのセキュリティコントロールが満たす必要がある基準に関する推奨事項を指示または提供する特定の業界、政府、または規制要件はありますか? このような標準、組織、コントロール、および法律の例としては、 ISO27001、 NIST、 PCI-DSS などがあります。
組織の集団としての役割は、組織のセキュリティ標準をライフサイクルを通じて管理することです。
定義: 内部要因 (ビジネス要件、リスク、資産評価) と外部要因 (ベンチマーク、規制基準、脅威環境) に基づいて、運用、テクノロジ、構成の組織ポリシーを設定します。
改善: 継続的なリスク削減を確保するために、セキュリティ標準を理想的な状態に段階的にプッシュします。
維持: 組織標準へのコンプライアンスの監査と監視によって、時間の経過と共にセキュリティ体制が自然に劣化しないようにします。
アクションの実行
すべてのワークロードでセキュリティのベスト プラクティスを確立する
ガバナンスの決定を検出、適用、自動化するためのガバナンスのベスト プラクティスを確立する
セキュリティ ベスト プラクティスへの投資に優先順位を付ける
セキュリティのベスト プラクティスは、クラウド プログラムの構築時にすべてのシステムにプロアクティブかつ完全に適用するのが理想的ですが、この理想はほとんどのエンタープライズ組織にとって現実ではありません。 ビジネス目標、プロジェクトの制約、およびその他の要因により、組織は、セキュリティリスクと他のリスクとのバランスを取り、任意の時点でベスト プラクティスのサブセットを適用することがよくあります。
可能な限り多くのベスト プラクティスをできるだけ早く適用し、セキュリティ プログラムを成熟させるにつれて、時間の経過と同時にギャップを改装することをお勧めします。 セキュリティ プログラムには、レビュー、優先順位付け、クラウド リソースへのベスト プラクティスの事前適用を含める必要があります。 最初にどれに従事するかの優先順位を付けるときには、以下の考慮事項について評価することをお勧めします。
ビジネスへの影響が大きく、露出の高いシステム: これには、直接的な固有価値を持つシステムと、攻撃者にパスを提供するシステムが含まれます。 詳細については、ビジネス クリティカルなアプリケーションの特定と分類に関するページを参照してください。
軽減策を実装するのが最も簡単です。必要なスキル、ツール、知識が既にあるため、organizationが迅速に実行できるベスト プラクティスに優先順位を付けることで、迅速な勝利を特定します。 たとえば、レガシ アプリケーションを保護するための Web アプリ ファイアウォール (WAF) の実装などです。 優先順位付けによるこの短期的な方法のみを (または過度に) 使用することがないよう注意してください。 そのようにすると、プログラムの成長が妨げられて、重大なリスクが長期間にわたって放置され、リスクが高まる可能性があります。
提供されている優先順位付けされたセキュリティ イニシアチブの一覧を使用して、組織がこれらの決定から始めるのに役立ちます。 提供される一覧は、内部環境および Microsoft のお客様全体での脅威と軽減策に関する Microsoft の経験に基づいています。 Microsoft による CISO 向けワークショップのページのモジュール 4a を参照してください。
アクションの実行
Azure 向けの Microsoft クラウド導入フレームワークのセキュリティ
チェック リスト
コンプライアンスとガバナンスに関しては何を考慮しましたか。
- ワークロードのランディング ゾーンを作成します。 インフラストラクチャには適切な制御が必要であり、デプロイのたびに繰り返せなければなりません。
- Azure Policyを使用して、サービスとその構成の作成と削除を適用します。
- ルート管理グループを慎重に実装し、すべてのサブスクリプションにわたってポリシー、アクセス許可、タグを適用して企業全体で一貫性を確保します。
- 監査に使用される可能性がある規制要件と運用データについて理解します。
- ワークロードのコンプライアンスを継続的に監視し、評価します。 罰金を避けるために定期的に構成証明を実行します。
- Azure の推奨事項を確認し、適用します。
- 基本的な脆弱性を修復し、攻撃者のコストを高く維持します。
このセクションの内容
これらの質問に従って、より深いレベルでワークロードを評価します。
| 評価 | 説明 |
|---|---|
| このワークロードには規制要件がありますか。 | すべての規制要件を理解してください。 Microsoft トラスト センターで、セキュリティ、プライバシー、コンプライアンスに関する最新の情報、ニュース、ベスト プラクティスをご確認ください。 |
| 組織はこのワークロードにランディング ゾーンを使用していますか。 | ワークロードがデプロイされるインフラストラクチャに配置されるセキュリティ制御について考えてみましょう。 |
| セグメント化戦略はありますか? | 機能とチームを分割する方法の参照モデルと戦略。 |
| セグメント化戦略の一環として管理グループを使用していますか? | 管理グループを使用して複数のサブスクリプション間で一貫して効率的にリソースを管理する戦略。 |
| Azure インフラストラクチャにアクセスするためにどのようなセキュリティ コントロールが設定されていますか? | 管理者などの重大な影響を与えるアカウントを構成する際の、スコープと時間におけるリスクの露出を減らす方法に関するガイダンス。 |
Azure セキュリティ ベンチマーク
Azure セキュリティ ベンチマークには、Azure で使用するサービスをセキュリティで保護するために使用できる、影響力の高いセキュリティに関する推奨事項のコレクションが含まれています。
このセクションの質問は、次のコントロールに沿っています。
参照アーキテクチャ
次に示すのは、ガバナンスに関連するいくつかの参照アーキテクチャです。
クラウド導入フレームワークのエンタープライズ規模ランディング ゾーン アーキテクチャ
次の手順
ID 管理を使用してセキュリティ保証を提供し、ユーザー、パートナー、顧客、アプリケーション、サービスなどのエンティティを認証し、アクセス許可を付与します。
関連リンク
メインの記事に戻る: Security