Microsoft Cloud のリスク評価ガイド
クラウド リスク評価の目標は、クラウドへの移行を検討するシステムとデータが、組織に新しいリスクや未確認のリスクを導入しないようにすることです。 焦点は、情報処理の機密性、整合性、可用性、プライバシーを確保し、特定されたリスクを受け入れられた内部リスクのしきい値以下に保つことです。
共有責任モデルでは、クラウド サービス プロバイダー (CSP) は、プロバイダーとしての クラウドの セキュリティとコンプライアンスの管理を担当します。 お客様は、ニーズとリスク許容度に応じて 、クラウドの セキュリティとコンプライアンスを管理および構成する責任を引き続き負います。
このガイドでは、ベンダーのリスクを効率的に評価する方法と、Microsoft が利用できるリソースとツールを使用する方法に関するベスト プラクティスについて説明します。
クラウドでの共有責任を理解する
クラウドデプロイは、サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、またはサービスとしてのソフトウェア (SaaS) として分類できます。 適用されるクラウド サービス モデルに応じて、ソリューションのセキュリティ制御に対する責任レベルが CSP と顧客の間でシフトします。 従来のオンプレミス モデルでは、顧客はスタック全体を担当します。 クラウドに移行する場合、すべての物理的なセキュリティ責任が CSP に転送されます。 組織のクラウド サービス モデルに応じて、追加の責任が CSP に移行します。 ただし、ほとんどのサービス モデルでは、組織はクラウドへのアクセスに使用されるデバイス、ネットワーク接続、アカウントと ID、データに対して引き続き責任を負います。 Microsoft は、お客様がライフサイクル全体にわたってデータを管理し続けるサービスの作成に多額の投資を行っています。
Microsoft Cloud はハイパースケールで動作し、DevSecOps と自動化を組み合わせて運用モデルを標準化します。 Microsoft の運用モデルは、従来のオンプレミス運用モデルと比較してリスクのアプローチ方法を変更し、リスクを管理するためのさまざまな、時にはなじみのないコントロールの実装につながります。 クラウド リスク評価を実施する場合、Microsoft の目標は、すべてのリスクに確実に対処することですが、必ずしも組織が行うのと同じコントロールを実装するとは限らないことに注意してください。 Microsoft は、異なる一連のコントロールで同じリスクに対処する場合があり、クラウド リスク評価に反映する必要があります。 強力な予防制御を設計して実装すると、探偵や是正措置に必要な作業の多くを削減できます。 その例として、Microsoft による ゼロ スタンディング アクセス (ZSA) の実装があります。
フレームワークを採用する
Microsoft では、お客様が自社の内部リスクと制御フレームワークを、標準化された方法でクラウド リスクに対処する独立したフレームワークにマップすることをお勧めします。 既存の内部リスク評価モデルが、クラウド コンピューティングに伴う特定の課題に対処していない場合は、これらの広範に採用された標準化されたフレームワークの恩恵を受けることができます。 2 つ目の利点は、Microsoft が、リスク評価を促進するドキュメントとツールで、これらのフレームワークに対するマッピングを提供することです。 これらのフレームワークの例としては、 ISO 27001 情報セキュリティ標準、 CIS ベンチマーク、 NIST SP 800-53 などがあります。 Microsoft では、あらゆる CSP の最も包括的なコンプライアンス オファリングセットを提供しています。 詳細については、「 Microsoft コンプライアンス オファリング」を参照してください。
Microsoft Purview Compliance Manager を使用して、組織に適用される業界および地域の規制へのコンプライアンスを評価する独自の評価を作成します。 評価は、評価テンプレートのフレームワークに基づいて構築されています。このフレームワークには、必要なコントロール、改善アクション、および該当する場合は評価を完了するための Microsoft のアクションが含まれています。 Microsoft のアクションでは、詳細な実装計画と最近の監査結果が提供されます。 これにより、Microsoft によって特定のコントロールがどのように実装されているかを、ファクト検索、マッピング、調査に時間を節約できます。 詳細については、Microsoft Purview コンプライアンス マネージャーに関する記事を参照してください。
データを保護するために Microsoft がどのように動作するかを理解する
お客様は クラウドのセキュリティとコンプライアンスの管理と構成を担当しますが、CSP は クラウドのセキュリティとコンプライアンスの管理を担当します。 CSP が自分の責任に効果的に対処し、その約束を守っていることを検証する 1 つの方法は、ISO や SOC などの外部監査レポートを確認することです。 Microsoft は、認証された対象ユーザーが サービス 信頼ポータル (STP) で外部監査レポートを使用できるようにします。
外部監査レポートに加えて、Microsoft では、Microsoft がどのように動作しているかを理解するために、次のリソースを利用することを強くお勧めします。
オンデマンドラーニングパス: Microsoft Learn では、さまざまなトピックに関する何百ものラーニング パスとモジュールが提供されています。 その中で、「 Microsoft がお客様のデータを保護する方法」を 参照して、Microsoft の基本的なセキュリティとプライバシーのプラクティスを理解してください。
Microsoft コンプライアンスに関するサービス アシュアランス: Microsoft のプラクティスに関する記事は、レビューを容易にするために 16 のドメインに分類されています。 各ドメインには、Microsoft が各領域に関連するリスクを管理する方法を示す概要が含まれています。 監査テーブルには、STP に保存されている最新のレポート、関連セクション、および Microsoft オンライン サービスに対して監査レポートが実行された日付へのリンクが含まれています。 利用可能な場合は、サード パーティの脆弱性評価やビジネス継続性計画の検証レポートなど、制御の実装を示す成果物へのリンクが提供されます。 監査レポートと同様に、これらの成果物は STP でホストされ、アクセスするには認証が必要です。
| ドメイン | 説明 |
|---|---|
| アーキテクチャ | Microsoft オンライン サービスの設計と、その基盤として機能するセキュリティ原則。 |
| 監査ログと監視 | Microsoft がログをキャプチャ、処理、保存、保護、分析して、未承認のアクティビティを検出し、パフォーマンスを監視する方法。 セキュリティとパフォーマンスの監視を可能にします。 |
| データセンターのセキュリティ | Microsoft が世界中で Microsoft オンライン サービスを運用する手段を提供するデータセンターを安全に運用する方法。 |
| 暗号化とキー管理 | 顧客通信の暗号化保護と、クラウドに格納および処理されるデータ。 |
| ガバナンス、リスク、コンプライアンス | Microsoft が、お客様の約束とコンプライアンス要件を満たすためにリスクを作成および管理するセキュリティ ポリシーを適用する方法。 |
| ID とアクセスの管理 | 承認されていないアクセスまたは悪意のあるアクセスからの Microsoft オンライン サービスと顧客データの保護。 |
| セキュリティ インシデントの管理 | Microsoft がすべてのセキュリティ インシデントの準備、検出、対応、通信に使用するプロセス。 |
| ネットワーク セキュリティ | Microsoft が外部攻撃からネットワーク境界を保護し、内部ネットワークを管理して伝達を制限する方法。 |
| 人事管理 | Microsoft での時間を通じて、担当者のスクリーニング プロセス、トレーニング、およびセキュリティで保護された管理。 |
| プライバシーとデータ管理 | Microsoft がお客様のデータを処理して保護し、データの権利を保持する方法。 |
| 回復性および継続性 | サービスの可用性を維持し、ビジネス継続性と復旧を確保するために使用されるプロセスとテクノロジ。 |
| セキュリティ開発と運用 | Microsoft がサービスをライフサイクル全体を通じて安全に設計、実行、管理する方法。 |
| サプライヤー管理 | Microsoft が Microsoft オンライン サービスを支援するサード パーティ企業を画面に表示および管理する方法。 |
| 脅威と脆弱性の管理 | Microsoft が脆弱性とマルウェアのスキャン、検出、対処に使用するプロセス。 |
Compliance Program for Microsoft Cloud (CPMC)
組織は、クラウドに存在するデータとシステムを保護する責任を CSP と共有します。 お客様は、リスクを評価し、効率的で反復可能な方法で規制コンプライアンス要件に対処する必要があります。 ただし、グローバルな規制環境をナビゲートし、CSP のプラクティスに関する十分な洞察を得て、許容できるレベルの保証に到達することは困難な場合があります。 これらの課題を克服するために、Microsoft は Compliance Program for Microsoft Cloud (CPMC) を立ち上げました。 CPMCは、パーソナライズされた規制と業界固有のコンプライアンスサポート、教育、ネットワークの機会を提供する有料のプレミアムプログラムです。 CPMC 固有のオファリングの詳細については、 CPMC Web サイトを参照してください。
リソース
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示