セキュリティ設計原則
- [アーティクル]
-
-
Well-Architected ワークロードは、ゼロ トラスト アプローチを使用して構築する必要があります。 セキュリティで保護されたワークロードは 攻撃に対して回復性 があり、ビジネス目標を達成するだけでなく 、機密性、整合性、可用性 ( CIA トライアドとも呼ばれます) の相互に関連するセキュリティ原則が組み込まれています。 セキュリティ インシデントは、ワークロードまたはorganizationのブランドと評判を損なう大きな侵害になる可能性があります。 ワークロードに対する全体的な戦略のセキュリティの有効性を測定するには、次の質問から始めます。
防御投資は、攻撃者がワークロードを侵害するのを防ぐために、有意義なコストと摩擦を提供しますか?
セキュリティ対策は、インシデントの爆発半径を制限するのに有効ですか?
ワークロードを制御することが攻撃者にとってどのように価値があるかを理解していますか? ワークロードとそのデータが盗まれたり、利用できなくなったり、改ざんされたりした場合のビジネスへの影響を理解していますか?
ワークロードと運用は、中断を迅速に検出し、対応し、復旧できますか?
システムを設計するときは、セキュリティ リスクを軽減するために、コンパスとして Microsoft ゼロ トラスト モデルを使用します。
信頼された ID のみが、想定される場所から送信された意図されたアクションと許可されたアクションを実行するように、明示的に確認します。 このセーフガードにより、攻撃者が正当なユーザーとアカウントを偽装することが困難になります。
適切な ID、適切なアクセス許可のセット、適切な期間、および適切な資産に対する最小特権アクセスを使用します。 アクセス許可を制限すると、正当なユーザーが必要としないアクセス許可を攻撃者が悪用するのを防ぐことができます。
主要な防御層が失敗した場合のリスクと損害を制限するセキュリティ制御と設計補償コントロールの侵害を想定します。 そうすることで、成功に興味を持つ攻撃者のように考えることで、ワークロードをより適切に防御できます (その方法に関係なく)。
セキュリティは 1 回限りの作業ではありません。 このガイダンスは、定期的に実装する必要があります。 防御とセキュリティの知識を継続的に向上させ、開発および自動攻撃キットに追加される革新的な攻撃ベクトルに絶えずアクセスできる攻撃者からワークロードを安全に保ちます。
設計原則は、攻撃者の試行が継続的に進化するにつれてワークロードのセキュリティ体制を継続的に改善するのに役立つ継続的なセキュリティ マインドセットを確立することを目的としています。 これらの原則は、アーキテクチャ、設計の選択、運用プロセスのセキュリティをガイドする必要があります。 推奨されるアプローチから始め、 一連のセキュリティ要件の利点を正当化します。 戦略を設定したら、次の手順として セキュリティ チェックリスト を使用してアクションを推進します。
これらの原則が適切に適用されていない場合は、事業運営と収益に悪影響を及ぼす可能性があります。 規制ワークロードに対するペナルティなど、いくつかの結果が明らかになる場合があります。 他のユーザーは、それほど明白ではなく、検出される前に継続的なセキュリティの問題につながる可能性があります。
多くのミッション クリティカルなワークロードでは、データ流出などの一部の攻撃ベクトルが信頼性に影響しないことを考えると、信頼性と共にセキュリティが主な関心事です。 セキュリティに重点を置いた設計では障害点が発生し、運用の複雑さが増す可能性があるため、セキュリティと信頼性によってワークロードが反対方向にプルされる可能性があります。 セキュリティが信頼性に及ぼす影響は、多くの場合、運用上の制約によって間接的に導入されます。 セキュリティと信頼性のトレードオフを慎重に検討してください。
これらの原則に従うことで、セキュリティの有効性を向上させ、ワークロード資産を強化し、ユーザーとの信頼を築くことができます。
最小限の摩擦でアーキテクチャ設計の決定と運用にセキュリティ プラクティスを採用し、実装するように努めます。 |
ワークロード所有者は、資産を保護するためにorganizationと共有責任を負います。 ビジネスの優先順位に合わせた セキュリティ準備計画 を作成します。 適切に定義されたプロセス、適切な投資、適切な説明責任につながります。 この計画では、ワークロード要件をorganizationに提供する必要があります。これにより、資産の保護に対する責任も共有されます。 セキュリティ 計画では、信頼性、正常性モデリング、自己保存の戦略を考慮する必要があります。
組織の資産に加えて、ワークロード自体を侵入攻撃や流出攻撃から保護する必要があります。 ゼロ トラストと CIA トライアドのすべてのファセットを計画に組み込む必要があります。
機能要件と非機能要件、予算の制約、その他の考慮事項は、セキュリティ投資や希釈保証を制限しないでください。 同時に、これらの制約と制限を念頭に置いて、セキュリティ投資を設計して計画する必要があります。
アプローチ |
特長 |
セグメント化を戦略として使用して 、ワークロード環境、プロセス、およびチーム構造のセキュリティ境界を計画し、 アクセスと機能を分離します。
セグメント化戦略は、ビジネス要件に基づく必要があります。 これは、コンポーネントの重要度、労働の分割、プライバシーに関する懸念事項、およびその他の要因に基づいて行うことができます。 |
ロールを定義し、明確な責任線を確立することで、運用上の摩擦を最小限に抑えることができます。 この演習は、各ロール のアクセス レベル (特に重大な影響を与えるアカウント) を特定するのにも役立ちます。
分離を使用すると、 機密性の高いフローの公開 を、アクセスが必要なロールと資産のみに制限できます。 過剰な露出は、誤って情報フローの開示につながる可能性があります。
要約すると、各セグメントのニーズに基づいて セキュリティ作業のサイズを適切 に設定できます。 |
organizationの要件とワークロードのユース ケースを満たすロールベースのセキュリティ トレーニングを通じて、継続的にスキルを構築します。 |
高度なスキルを持つチームは、システムを悪用する新しい方法を常に探している攻撃者に対して 引き続き有効なセキュリティ制御 を設計、実装、監視できます。
組織全体のトレーニングでは、通常、共通の要素をセキュリティで保護するためのより広範なスキル セットの開発に重点を置いています。 ただし、ロールベースのトレーニングでは、ワークロードの懸念に対処するプラットフォーム オファリングとセキュリティ機能に関する 深い専門知識の開発 に重点を置きます。
優れた設計と効果的な運用を通じて敵対者から防御するには、両方のアプローチを実装する必要があります。 |
ワークロードのインシデント対応計画があることを確認します。
準備、検出、封じ込め、軽減、インシデント後のアクティビティの標準的な運用手順を定義する業界フレームワークを使用します。 |
危機時には混乱を避けなければならない。
適切に文書化された計画がある場合、責任あるロールは、不確実なアクションに時間を無駄にすることなく 、実行に集中 できます。 また、包括的な計画は、 すべての修復要件が満たされていることを確認するのに役立ちます。 |
組織のポリシー、規制コンプライアンス、業界標準など、ワークロード チームの外部の影響によって課されるセキュリティ コンプライアンス要件を理解することで、セキュリティ体制を強化します。 |
コンプライアンス要件に関するClarityは、適切なセキュリティ保証を設計し、コンプライアンス違反の問題を防ぐのに役立ちます。これにより、ペナルティが発生する可能性があります。
業界標準はベースラインを提供し、ツール、ポリシー、セキュリティセーフガード、ガイドライン、リスク管理アプローチ、トレーニングの選択に影響を与えることができます。
ワークロードがコンプライアンスに準拠していることがわかっている場合は、ユーザー ベース に信頼を植え 付けることができるようになります。 |
ワークロードのライフサイクルと運用全体でチーム レベルのセキュリティ標準を定義して適用します。
コーディング、ゲート承認、リリース管理、データ保護と保持などの運用で一貫したプラクティスに努めます。 |
適切なセキュリティ プラクティスを定義すると、過失と潜在的なエラーの領域を 最小限に抑 えることができます。 チームは 取り組みを最適化し、 アプローチの一貫性が高まるため、結果は予測可能になります。
時間の経過に伴うセキュリティ標準を監視することで 、改善の機会 (自動化を含む) を特定できます。これにより、作業がさらに効率化され、一貫性が向上します。 |
インシデント対応を、organizationのセキュリティ オペレーション センター (SOC) の一元化された機能に合わせます。 |
インシデント対応機能を一元化することで、インシデントをリアルタイムで検出できる専門の IT プロフェッショナルを活用して、潜在的な脅威にできるだけ早く対処することができます。 |
アクセス制限と難読化手法を使用して、プライバシー、規制、アプリケーション、および専有情報への露出を防止します。 |
ワークロード データは、ユーザー、使用状況、構成、コンプライアンス、知的財産などによって分類できます。 そのデータは、確立された信頼境界を超えて共有またはアクセスすることはできません。 機密性を保護するための取り組みは、アクセス制御、不透明度、およびデータとシステムに関連するアクティビティの監査証跡の保持に焦点を当てる必要があります。
アプローチ |
特長 |
知る必要がある場合にのみアクセスを許可する強力なアクセス 制御 を実装します。 |
最小特権。
ワークロードは、 未承認のアクセス や禁止されたアクティビティから保護されます。 信頼された ID からのアクセスであっても、通信パスが限られた期間開かれているため、 アクセス許可と公開時間は最小限に抑 えられます。 |
データの種類、秘密度、潜在的なリスクに基づいてデータを分類します。 それぞれに機密性レベルを割り当てます。
識別されたレベルのスコープ内にあるシステム コンポーネントを含めます。 |
明示的に検証する。
この評価は、適切なサイズのセキュリティ対策に役立ちます。
また、潜在的な影響やリスクにさらされる 可能性の高い データとコンポーネントを特定することもできます。 この演習では、情報保護戦略を 明確 にし、 合意を確保するのに役立ちます。 |
暗号化を使用して、保存データ、転送中、処理中のデータを保護します。 割り当てられた機密性レベルに基づいて戦略を立てます。 |
侵害を想定する。
攻撃者がアクセス権を取得しても、 適切に暗号化された機密データを読み取ることはできません 。
機密データには、システム内でさらにアクセスするために使用される構成情報が含まれます。 データ暗号化は、 リスクを含めるのに役立ちます。 |
情報の不当な公開を引き起こす可能性のある悪用から保護します。 |
明示的に検証する。
認証と承認の実装、コード、構成、操作、およびシステムのユーザーの社会的習慣に起因する脆弱性を最小限に抑えるのが重要です。
最新のセキュリティ対策を使用すると、 既知のセキュリティ脆弱性 がシステムに侵入するのをブロックできます。 また、開発サイクル全体を通じてルーチン操作を実装し、セキュリティ保証を継続的に改善することで、時間の経過と伴って出現する 可能性のある新しい脆弱性を軽減 することもできます。 |
悪意のあるデータ や不注意によるデータへのアクセスの結果として生じるデータ流出から保護します。 |
侵害を想定する。
許可されていないデータ転送をブロックすることで、爆発半径を含めることができるようになります。 さらに、ネットワーク、ID、暗号化に適用されるコントロールは、さまざまなレイヤーでデータを保護します。 |
データがシステムのさまざまなコンポーネントを通過するにつれて、機密性のレベルを維持します。 |
侵害を想定する。
システム全体で機密性レベルを適用すると、一貫したレベルのセキュリティ強化を提供できます。 そうすることで、データを低いセキュリティ層に移動する可能性がある 脆弱性を防ぐことができます 。 |
すべての種類のアクセス アクティビティの 監査証跡 を維持します。 |
侵害を想定する。
監査ログでは、インシデントが発生した場合の 迅速な検出と回復 がサポートされ、継続的なセキュリティ監視に役立ちます。 |
設計、実装、操作、およびデータの破損を防ぎ、システムが意図したユーティリティを提供するのを防いだり、所定の制限外で動作させたりする中断を回避できます。 システムは、ワークロードのライフサイクル全体にわたって情報保証を提供する必要があります。 |
重要なのは、ビジネス ロジック、フロー、展開プロセス、データ、さらにはオペレーティング システムやブート シーケンスなどの下位スタック コンポーネントの改ざんを防ぐコントロールを実装することです。 整合性の欠如は、機密性と可用性の侵害につながる可能性のある脆弱性を引き起こす可能性があります。
アプローチ |
特長 |
システムへのアクセスを認証および承認する強力なアクセス制御を実装します。
特権、スコープ、時間に基づいてアクセスを最小限に抑えます。 |
最小特権。
コントロールの強度に応じて、 承認されていない変更のリスクを防止または軽減できます。 これにより、データの一貫性と信頼性が確保されます。
アクセスを最小限に抑えることで、破損の可能性の程度が制限されます。 |
脆弱性から継続的に保護し、サプライ チェーン内でそれらを検出 して、攻撃者がインフラストラクチャにソフトウェア 障害を挿入するのを防ぎ、システム、ツール、ライブラリ、その他の依存関係を構築します。
サプライ チェーンでは、 ビルド時と実行時に脆弱性をスキャンする必要があります。 |
侵害を想定する。
ソフトウェアの起源を知り、ライフサイクル全体でその信頼性を検証すると、 予測可能性が得られやすくなります。
脆弱性を事前に把握しておくと、事前に脆弱性を修復し、運用環境でシステムを安全に保つことができます。 |
構成証明、コード署名、証明書、暗号化などの暗号化手法を使用して、信頼を確立し、検証します。
信頼できる復号化を許可することで、これらのメカニズムを保護します。 |
明示的に、最小限の特権を確認します。
データまたはシステムへのアクセスに対する変更 が、信頼できるソースによって検証されていることがわかります。
暗号化されたデータが悪意のあるアクターによって転送中に傍受された場合でも、アクターはコンテンツのロックを解除したり解読したりすることはできません。 デジタル署名を使用して、転送中にデータが改ざんされていないことを確認できます。 |
データがレプリケートまたは転送されるときに、バックアップ データが不変で暗号化されていることを確認します。 |
明示的に検証します。
バックアップ データが誤って、または悪意を持って 保存時に変更されなかったという確信を持ってデータを回復できます。 |
ワークロードが意図した制限と目的を超えて動作できるようにするシステム実装を回避または軽減します。 |
明示的に検証します。
使用が意図した制限と目的に合っているかどうかをチェックする強力なセーフガードがシステムにある場合、コンピューティング、ネットワーク、データ ストアの不正使用や改ざんの可能性の範囲が減ります。 |
強力なセキュリティ制御を使用して、セキュリティ インシデントが発生した場合のシステムとワークロードのダウンタイムと低下を防止または最小限に抑えます。 インシデントの間、およびシステムの復旧後にデータの整合性を維持する必要があります。 |
可用性アーキテクチャの選択肢とセキュリティ アーキテクチャの選択肢のバランスを取る必要があります。 システムには、ユーザーがデータにアクセスでき、データにアクセスできることを保証する可用性が保証されている必要があります。 セキュリティの観点から、ユーザーは許可されたアクセス スコープ内で操作し、データを信頼する必要があります。 セキュリティコントロールは不適切なアクターをブロックする必要がありますが、正当なユーザーがシステムとデータにアクセスするのをブロックしないでください。
アプローチ |
特長 |
侵害された ID がアクセスを誤って使用 してシステムを制御できないようにします。
リスクにさらされるリスクを最小限に抑えるために 、範囲と時間制限が過度に広 がっていることを確認します。 |
最小特権。
この戦略 により、重要なリソースに対する過剰、不要、または誤用されたアクセス許可のリスクが軽減されます 。 リスクには、未承認の変更やリソースの削除が含まれます。 プラットフォームが提供する Just-In-Time (JIT)、just-enough-access (JEA)、および時間ベースのセキュリティ モードを利用して、可能な限り永続的なアクセス許可を置き換えます。 |
セキュリティ制御と設計パターンを使用して、 攻撃やコードの欠陥によってリソースが枯渇し、アクセスがブロックされるのを防ぎます 。 |
明示的に検証する。
分散型サービス拒否 (DDoS) 攻撃など、悪意のあるアクションによって引き起こされる ダウンタイムは発生しません 。 |
アプリケーション コード、ネットワーク プロトコル、ID システム、マルウェア保護、その他の領域の 脆弱性を悪用する攻撃ベクトルの予防措置 を実装します。 |
侵害を想定する。
コード スキャナーを実装し、最新のセキュリティ パッチを適用し、ソフトウェアを更新し、継続的に効果的なマルウェア対策を使用してシステムを保護します。
ビジネス継続性を確保するために、攻撃対象領域を減らすことができます。 |
リスクの影響を受けやすいシステム内の重要なコンポーネントとフローに対するセキュリティ制御に優先順位を付けます。 |
侵害を想定し、 明示的に確認します。
定期的な検出と優先順位付けの演習は、 セキュリティの専門知識をシステムの重要な側面に適用 するのに役立ちます。 最も可能性が高く有害な脅威に焦点を当て、最も注意が必要な領域でリスク軽減を開始できます。 |
バックアップのセキュリティ制御や頻度など、プライマリ環境の場合と同じレベルの セキュリティの厳格さを回復リソースとプロセス に適用します。 |
侵害を想定する。
ディザスター リカバリーで使用できる安全なシステム状態が保持されている必要があります。 その場合は、セキュリティで保護されたセカンダリ システムまたは場所にフェールオーバーし、脅威が発生しないバックアップを復元できます。
適切に設計されたプロセスにより、セキュリティ インシデントによって復旧プロセスが妨げられるのを防ぐことができます。 破損したバックアップ データまたは暗号化されたデータを解読できないと、回復が遅くなる可能性があります。 |
継続的な改善を組み込み、攻撃戦略を継続的に進化させる攻撃者を先取りするために、警戒を適用します。 |
セキュリティ体制は、時間の経過と同時に低下してはなりません。 新しい中断をより効率的に処理できるように、セキュリティ運用を継続的に改善する必要があります。 業界標準で定義されているフェーズに合わせて改善を調整するよう努めます。 これにより、準備が向上し、インシデント検出にかかる時間が短縮され、効果的な封じ込めと軽減が実現します。 継続的な改善は、過去のインシデントから学んだ教訓に基づく必要があります。
脅威の進化に直面してセキュリティ体制を継続的に改善するには、セキュリティ体制を測定し、その体制を維持するためのポリシーを適用し、セキュリティ軽減策と補正制御を定期的に検証することが重要です。
アプローチ |
特長 |
リソース、場所、依存関係、所有者、およびセキュリティに関連するその他のメタデータに関する機密情報を含む包括的な資産インベントリを作成して管理します。
可能な限り、インベントリを 自動化 してシステムからデータを派生させます。 |
適切に整理されたインベントリは 、環境の全体像を提供します。これにより、特にインシデント後のアクティビティ中に、攻撃者に対して有利な立場に置きます。
また、コミュニケーション、重要なコンポーネントの維持、孤立したリソースの使用停止を促進するためのビジネス リズムも作成されます。 |
脅威モデリングを実行して 、潜在的な脅威を特定して軽減します。 |
攻撃ベクトルのレポートは、重大度レベルによって優先順位付けされます。 脅威と脆弱性をすばやく特定し、対策を設定することができます。 |
定期的に データをキャプチャして 、確立されたセキュリティ ベースラインに対して現在の状態を定量化し、 修復の優先順位を設定します。
プラットフォームによって提供される機能を利用して 、セキュリティ体制管理 と、外部および内部組織によって課される コンプライアンスの適用 を行います。 |
フォーカス領域に明確さとコンセンサスをもたらす正確なレポートが必要です。 最も優先度の高い項目から始めて、 技術的な修復をすぐに実行できます。 また、改善の機会を提供する ギャップを特定します。
強制の実装は、セキュリティ体制を維持する違反と回帰を防ぐのに役立ちます。 |
システムを倫理的にハッキングしようとするワークロード チームの外部の専門家によって実行される定期的なセキュリティ テストを実行します。
ルーチンと統合された 脆弱性スキャンを 実行して、インフラストラクチャ、依存関係、アプリケーション コードの悪用を検出します。 |
これらのテストを使用すると、侵入テストなどの手法を使用して 、実際の攻撃をシミュレート することでセキュリティ防御を検証できます。
脅威は、変更管理の一部として導入できます。 スキャナーをデプロイ パイプラインに統合すると、脆弱性を自動的に検出し、脆弱性が削除されるまで使用状況を検疫することもできます。 |
迅速かつ効果的なセキュリティ運用を使用して、検出、対応、復旧を行います。 |
このアプローチの主な利点は、攻撃中と攻撃後に CIA トライアドのセキュリティ保証を維持または復元 できる点です。
調査を開始して適切なアクションを実行できるように、脅威が検出されたらすぐにアラートを受け取る必要があります。 |
根本原因分析、事後分析、インシデント レポートなどのインシデント後アクティビティを実行します。 |
これらのアクティビティは、侵害の影響に関する分析情報を提供し、防御と運用の改善を促進する解決措置に関する分析情報を提供します。 |
最新の状態を取得し、最新の状態を維持します。
更新プログラム、修正プログラムの適用、およびセキュリティ修正プログラムを最新の状態に保つ。
システムを継続的に評価し、監査レポート、ベンチマーク、テスト アクティビティからの教訓に基づいてシステムを改善します。 必要に応じて、自動化を検討してください。
脅威を動的に検出するために、セキュリティ分析を利用した脅威インテリジェンスを使用します。
定期的に、ワークロードのセキュリティ開発ライフサイクル (SDL) のベスト プラクティスへの準拠を確認します。 |
セキュリティ 体制が時間の経過と同時に低下しないようにすることができます。
実際の攻撃とテスト アクティビティからの結果を統合することで、新しいカテゴリの脆弱性を継続的に改善して悪用する攻撃者と戦うことができるようになります。
繰り返しタスクを自動化すると、リスクを生み出す 可能性のある人的エラーの可能性が低くなります 。
SDL レビューは、セキュリティ機能を明確にします。 SDL は、ワークロード資産とそのセキュリティ レポートのインベントリを維持するのに役立ちます。このレポートには、配信元、使用状況、運用上の弱点、その他の要因が含まれます。 |