セキュリティ ベースラインを確立するための推奨事項
Azure Well-Architected Framework セキュリティ チェックリストの推奨事項に適用されます。
| SE:01 | コンプライアンス要件、業界標準、プラットフォームの推奨事項に合わせたセキュリティ ベースラインを確立します。 ワークロードのアーキテクチャと運用をベースラインに対して定期的に測定して、時間の経過と同時にセキュリティ体制を維持または改善します。 |
|---|
このガイドでは、セキュリティ ベースラインを確立するための推奨事項について説明します。 セキュリティ ベースラインは、organizationの最低限のセキュリティ要件と、さまざまな分野での期待を指定するドキュメントです。 適切なセキュリティ ベースラインは、次の場合に役立ちます。
- データとシステムをセキュリティで保護します。
- 規制要件に準拠する。
- 監視のリスクを最小限に抑えます。
- 侵害とその後のビジネス効果の可能性を減らします。
すべての利害関係者が期待を認識できるように、organization全体でセキュリティ ベースラインを広く公開する必要があります。
このガイドでは、内部および外部の要因に基づくセキュリティ ベースラインの設定に関する推奨事項を示します。 内部要因には、ビジネス要件、リスク、資産評価が含まれます。 外部要因には、業界ベンチマークと規制基準が含まれます。
定義
| 期間 | 定義 |
|---|---|
| ベースライン | ワークロードが悪用されないようにするために必要な最小レベルのセキュリティ アフォーダンス。 |
| ベンチマーク | organizationが目指すセキュリティ体制を示す標準。 時間の経過と伴って評価、測定、改善されます。 |
| コントロール | 攻撃を防ぎ、攻撃者のコストを増加させるワークロードに対する技術的または運用上の制御。 |
| 規制要件 | 業界標準に基づく一連のビジネス要件。法律と当局によって課されます。 |
主要な設計戦略
セキュリティ ベースラインは、セキュリティを強化するためにワークロードが満たす必要がある一連のセキュリティ基準と機能を定義する構造化ドキュメントです。 より成熟した形式では、ベースラインを拡張して、ガードレールの設定に使用する一連のポリシーを含めることができます。
ベースラインは、セキュリティ体制を測定するための標準と見なす必要があります。 目標は、広い範囲を維持しながら、常に完全な達成である必要があります。
セキュリティ ベースラインをアドホックな作業にしないでください。 業界標準、コンプライアンス (内部または外部) または規制要件、地域要件、クラウド プラットフォーム ベンチマークは、ベースラインのメインドライバーです。 たとえば、Center for Internet Security (CIS) Controls、National Institute of Standards and Technology (NIST)、プラットフォーム主導の標準 (Microsoft クラウド セキュリティ ベンチマーク (MCSB) など) などがあります。 これらの標準はすべて、ベースラインの開始点と見なされます。 ビジネス要件からセキュリティ要件を組み込むことによって、基盤を構築します。
上記の資産へのリンクについては、「 関連リンク」を参照してください。
ビジネスリーダーと技術リーダーの間で合意を得ることでベースラインを作成します。 ベースラインを技術的な制御に制限しないでください。 また、セキュリティ体制の管理と維持の運用面も含める必要があります。 そのため、ベースライン ドキュメントは、ワークロードのセキュリティに対する投資に対するorganizationのコミットメントとしても機能します。 セキュリティ ベースライン ドキュメントは、ワークロードのセキュリティ体制に関する認識を確保するために、organization内で広く配布する必要があります。
ワークロードが増加し、エコシステムが進化するにつれて、ベースラインを変更と同期させて、基本的な制御が引き続き有効になるようにすることが重要です。
ベースラインの作成は、方法論的なプロセスです。 プロセスに関するいくつかの推奨事項を次に示します。
資産インベントリ。 ワークロード資産の利害関係者と、それらの資産のセキュリティ目標を特定します。 資産インベントリで、セキュリティ要件と重要度で分類します。 データ資産の詳細については、「データ 分類に関する推奨事項」を参照してください。
リスク評価。 各資産に関連する潜在的なリスクを識別し、優先順位を付けます。
コンプライアンス要件。 これらの資産の規制またはコンプライアンスをベースライン化し、業界のベスト プラクティスを適用します。
構成標準。 各資産の特定のセキュリティ構成と設定を定義して文書化します。 可能であれば、環境全体で一貫して設定を適用する反復可能な自動化された方法をテンプレート化または検索します。
アクセス制御と認証。 ロールベースのアクセス制御 (RBAC) と多要素認証 (MFA) の要件を指定します。 資産レベルでの 十分なアクセス の意味を文書化します。 常に最小特権の原則から始めてください。
更新プログラムの管理。 攻撃に対して強化するために、すべてのリソースの種類に最新バージョンを適用します。
ドキュメントと通信。 すべての構成、ポリシー、および手順を文書化します。 関連する利害関係者に詳細を伝える。
適用と説明責任。 セキュリティ ベースラインに準拠していない場合の明確な適用メカニズムと結果を確立します。 セキュリティ標準を維持するための責任を個人とチームに保持します。
継続的な監視。 監視を通じてセキュリティ ベースラインの有効性を評価し、残業時間を改善します。
ベースラインの構成
ベースラインの一部である必要がある一般的なカテゴリをいくつか次に示します。 次の一覧は完全ではありません。 これは、ドキュメントのスコープの概要として意図されています。
規制に対するコンプライアンス
ワークロードは、特定の業界セグメントに対する規制コンプライアンスの対象になる場合や、地理的な制限がある場合などです。 これらは設計の選択に影響を与え、場合によってはアーキテクチャに含める必要があるため、規制仕様に記載されている要件を理解することが重要です。
ベースラインには、規制要件に対するワークロードの定期的な評価を含める必要があります。 Microsoft Defender for Cloud など、プラットフォームが提供するツールを利用して、非準拠の領域を特定できます。 organizationのコンプライアンス チームと協力して、すべての要件が満たされ、維持されていることを確認します。
アーキテクチャ コンポーネント
ベースラインには、ワークロードのメイン コンポーネントに関する規範的な推奨事項が必要です。 これには通常、ネットワーク、ID、コンピューティング、データの技術的な制御が含まれます。 プラットフォームによって提供されるセキュリティ ベースラインを参照し、不足しているコントロールをアーキテクチャに追加します。
例を参照してください。
開発プロセス
ベースラインには、次に関する推奨事項が必要です。
- システム分類。
- 承認されたリソースの種類のセット。
- リソースの追跡。
- リソースを使用または構成するためのポリシーを適用する。
開発チームは、セキュリティ チェックの範囲を明確に理解している必要があります。 たとえば、脅威モデリングは、潜在的な脅威がコードとデプロイ パイプラインで確実に識別されるようにするための要件です。 パイプラインでの静的チェックと脆弱性スキャン、およびチームがそれらのスキャンを定期的に実行する必要がある方法について具体的に説明します。
詳細については、「 脅威分析に関する推奨事項」を参照してください。
開発プロセスでは、さまざまなテスト手法とその周期に関する標準も設定する必要があります。 詳細については、「 セキュリティ テストに関する推奨事項」を参照してください。
Operations
ベースラインでは、脅威検出機能の使用と、実際のインシデントを示す異常なアクティビティに対するアラートの生成に関する標準を設定する必要があります。 脅威検出には、敵対的なネットワークから到達可能なすべてのエンドポイントを含め、ワークロードのすべてのレイヤーを含める必要があります。
ベースラインには、通信や復旧計画など、インシデント対応プロセスを設定するための推奨事項と、検出と分析を迅速に行うために自動化できるプロセスを含める必要があります。 例については、「Azure の セキュリティ ベースラインの概要」を参照してください。
インシデント対応には、定期的にバックアップを作成して保護するためのリソースなど、復旧計画とその計画の要件も含める必要があります。
プラットフォームによって提供される業界標準と推奨事項を使用して、データ侵害計画を作成します。 その後、チームは、侵害が検出されたときに従う包括的な計画を立てる必要があります。 また、organizationをチェックして、サイバー保険を通じてカバレッジがあるかどうかを確認します。
トレーニング
ワークロード チームがセキュリティの目標と要件をサポートするための適切なスキルを確実に備えるために、セキュリティ トレーニング プログラムを開発して維持します。 チームには基本的なセキュリティ トレーニングが必要ですが、organizationから可能なものを使用して、特殊な役割をサポートします。 ロールベースのセキュリティ トレーニング コンプライアンスとドリルへの参加は、セキュリティ ベースラインの一部です。
ベースラインを使用する
ベースラインを使用して、次のようなイニシアチブを推進します。
設計決定に向けた準備。 アーキテクチャの設計プロセスを開始する前に、セキュリティ ベースラインを作成して発行します。 チーム メンバーは、organizationの期待を早期に十分に認識していることを確認します。これにより、明確さの欠如によるコストのかかるやり直しが回避されます。 organizationがコミットしたワークロード要件としてベースライン基準を使用し、それらの制約に対する制御を設計および検証できます。
設計を測定します。 現在のベースラインに対して現在の決定を評価します。 基準は、条件の実際のしきい値を設定します。 遅延または長期的に許容できると見なされる逸脱を文書化します。
ドライブの改善。 ベースラインは達成可能な目標を設定しますが、ギャップは常にあります。 バックログのギャップに優先順位を付け、優先順位付けに基づいて修復します。
ベースラインに対する進捗状況を追跡します。 設定されたベースラインに対するセキュリティ対策の継続的な監視は不可欠です。 傾向分析は、時間の経過に伴うセキュリティの進行状況を確認するための優れた方法であり、ベースラインからの一貫した逸脱を明らかにすることができます。 自動化を可能な限り使用し、内部および外部のさまざまなソースからデータを取得して、現在の問題に対処し、将来の脅威に備えます。
ガードレールを設定します。 可能な場合は、ベースライン基準にガードレールが必要です。 ガードレールは、内部要因と外部要因に基づいて、必要なセキュリティ構成、テクノロジ、および運用を強制します。 内部要因には、ビジネス要件、リスク、資産評価が含まれます。 外部要因には、ベンチマーク、規制基準、脅威環境が含まれます。 ガードレールは、不注意による監視やコンプライアンス違反に対する罰則の罰金のリスクを最小限に抑えるのに役立ちます。
カスタム オプションのAzure Policyを調べるか、CIS ベンチマークや Azure セキュリティ ベンチマークなどの組み込みのイニシアチブを使用して、セキュリティ構成とコンプライアンス要件を適用します。 ベースラインから Azure ポリシーとイニシアティブを作成することを検討してください。
ベースラインを定期的に評価する
継続的なリスク削減を確保するために、理想的な状態に向けてセキュリティ標準を段階的に改善します。 定期的なレビューを実施して、システムが最新であり、外部からの影響に準拠していることを確認します。 ベースラインに対する変更は、正式で合意され、適切な変更管理プロセスを通じて送信される必要があります。
新しいベースラインに対してシステムを測定し、ワークロードに対する関連性と影響に基づいて修復に優先順位を付けます。
監査を実施し、組織の標準へのコンプライアンスを監視することで、セキュリティ体制が時間の経過と共に低下しないようにします。
Azure ファシリテーション
Microsoft クラウド セキュリティ ベンチマーク (MCSB) は、セキュリティ ベースラインの開始点として使用できる包括的なセキュリティベスト プラクティス フレームワークです。 ベースラインへの入力を提供する他のリソースと共に使用します。
詳細については、「 Microsoft クラウド セキュリティ ベンチマークの概要」を参照してください。
Microsoft Defender for Cloud (MDC) 規制コンプライアンス ダッシュボードを使用して、これらのベースラインを追跡し、ベースライン外のパターンが検出された場合にアラートを受け取ります。 詳細については、 規制コンプライアンス ダッシュボードの標準セットのカスタマイズに関するページを参照してください。
ベースラインの確立と改善に役立つその他の機能:
例
この論理図は、一般的な IT 環境を安全に保護する方法を示すために、ネットワーク、インフラストラクチャ、エンドポイント、アプリケーション、データ、ID を含むアーキテクチャ コンポーネントのセキュリティ ベースラインの例を示しています。 その他の推奨事項ガイドは、この例に基づいて構築されています。
インフラストラクチャ
基本的なリソースを含むオンプレミスレイヤーを備えた一般的な IT 環境。
Azure セキュリティ サービス
保護するリソースの種類別の Azure セキュリティ サービスと機能。
Azure セキュリティ監視サービス
セキュリティ情報イベント管理 (SIEM) やセキュリティ オーケストレーション自動応答 (SOAR) ソリューション、クラウド用のMicrosoft Defenderなど、単純な監視サービスを超える Azure で利用できる監視サービス。
脅威
このレイヤーでは、手法やマトリックスに似た Mitre Attack Matrix や Cyber Kill チェーンに関係なく、脅威に関するorganizationの懸念に従って脅威がマップされる可能性があることを推奨事項とリマインダーが提供されます。
組織の配置
クラウド導入フレームワークは、提案されたテンプレートを使用したベースラインの確立に関する中央チーム向けのガイダンスを提供します。
関連リンク
コミュニティ リンク
セキュリティ チェックリスト
推奨事項の完全なセットを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示