Microsoft セキュリティ インシデント管理
Microsoft は、Microsoft のお客様に対して安全性の高いエンタープライズ レベルのサービスを提供するために継続的に取り組みますが、セキュリティ インシデントは、徹底的かつ迅速に管理する必要がある避けられない現実です。 このドキュメントでは、Microsoft が潜在的な影響を最小限に抑えるために、試行された真の方法とテクノロジを使用してセキュリティ インシデントを処理する方法の概要について説明します。 セキュリティ インシデントとは、Microsoft の機器または Microsoft の施設に保存されている顧客データへの違法なアクセス、または顧客データの損失、開示、または変更につながる可能性がある機器や施設への不正アクセスを指します。 セキュリティ インシデントに対応する際の Microsoft の目標は、顧客データと Microsoft のオンライン サービスを保護することです。
Microsoft オンライン サービス セキュリティ チームとさまざまなサービス チームは共同で作業し、セキュリティ インシデントに対して同じアプローチを取ります。
- 準備
- 検出と分析
- 封じ込め、根絶、回復
- インシデント後のアクティビティ
セキュリティ インシデント管理に対する Microsoft のアプローチ
セキュリティ インシデントの管理に関する Microsoft のアプローチは、 国立標準技術研究所 (NIST) 特別出版 (SP) 800-61 に準拠しています。 Microsoft には、セキュリティ インシデントの防止、監視、検出、対応を行う専用チームが複数あります。
| チーム/エリア | 説明 |
|---|---|
| Microsoft Security Response Center | セキュリティ インシデントと Microsoft ソフトウェアセキュリティの脆弱性を識別、監視、解決、対応します。 |
| サイバー防御オペレーション センター | サイバー防御オペレーション センターは、セキュリティ対応チームと企業全体の専門家を集め、脅威をリアルタイムで保護、検出、対応する物理的な場所です。 |
| 企業、社外、法務 | セキュリティ インシデントの疑いについて、法的および規制上のアドバイスを提供します。 |
| Microsoft Datacenter セキュリティ チーム | サービス アーキテクチャのリスクと脅威を保護、検出、対応するための一般的なセキュリティ エンジニアリング投資に関するさまざまなサービスに焦点を当てたチーム。 |
| Microsoft セキュリティ対応チーム | サービス チームと提携して適切なセキュリティ インシデント管理プロセスを構築し、セキュリティ インシデント対応を推進する独立した Azure、Dynamics 365、Microsoft 365 セキュリティ チーム。 |
| Microsoft ガバナンス、リスク、コンプライアンス (GRC) チーム | 規制要件、コンプライアンス、プライバシーに関するガイダンスを提供します。 |
| サービス チーム | Azure、Dynamics 365、Microsoft 365 のエンジニアリング チーム。各サービスのセキュリティ関連のポリシーと決定を担当します。 |
| Azure Operations Manager | Azure 関連のセキュリティとプライバシー インシデントの調査と解決を監督します。 |
| Microsoft Threat Intelligence Center (MSTIC) | Microsoft のインフラストラクチャと資産に対するデジタル セキュリティの脅威の最新の状態を提供し、Microsoft 内のパートナー チームが軽減と防止の取り組みのアクション プランに優先順位を付け、ほぼリアルタイムのインシデント監視/検出を採用することで保護を強化します。 |
| カスタマー エクスペリエンス コミュニケーション チーム | セキュリティとサービス インシデントに関するすべての顧客通信を担当するエンジニアリング チーム。 個別のチームは、Azure、Dynamics 365、Microsoft 365 専用です。 |
応答管理プロセス
Microsoft オンライン サービス セキュリティ チームとサービス チームは、NIST 800-61 応答管理フェーズに基づいて、セキュリティ インシデントに対して同じアプローチを取り組み、同じアプローチを取ります。
- 準備: ツール、プロセス、コンピテンシー、準備など、対応するために必要な組織の準備を指します。
- 検出 & 分析: 運用環境でセキュリティ インシデントを検出し、すべてのイベントを分析してセキュリティ インシデントの信頼性を確認するアクティビティを指します。
- 封じ込め、根絶、回復: 前のフェーズで行われた分析に基づいて、セキュリティ インシデントを含めるために実行される必要かつ適切なアクションを指します。 このフェーズでは、セキュリティ インシデントから完全に復旧するために、さらに分析が必要になる場合もあります。
- インシデント後のアクティビティ: セキュリティ インシデントの復旧後に実行される事後分析を指します。 プロセス中に実行された操作アクションがレビューされ、準備フェーズまたは検出および分析フェーズで変更を加える必要があるかどうかを判断します。
フェデレーション セキュリティ応答モデル
Microsoft オンライン サービスは、Azure、Dynamics 365、Microsoft 365 などの主要な Microsoft 製品で構成されています。 これらの各サービスは、独自のセキュリティ運用プロセスを持つ個別のチームによって運営されています。 MSTIC などの Microsoft の他のチームも、Microsoft オンライン サービスのさまざまなセキュリティ側面に従事しています。 Microsoft オンライン サービスを構成するすべてのさまざまなサービスにわたってセキュリティ運用管理に取り組んでいる多数のチームが、フェデレーション セキュリティ対応モデルを実装しています。
次の表は、さまざまな Microsoft オンライン サービス セキュリティ運用チームと Microsoft サービス チームの間の運用上の境界を示しています。
| アクティビティ | Microsoft セキュリティ チームの運用 | Microsoft Service Team Operations |
|---|---|---|
| 検出と分析 | - 検出要件 - セキュリティの監視と分析 - 侵害のインジケーター (IOC) スイープ - 侵害の検出 - 24 時間 365 日のセキュリティオンコールおよびインシデント対応リード |
- 検出要件 - インフラストラクチャのデプロイの監視 - サービス分析と分析情報 - イベントとアラートのトリアージ - 24 時間 365 日のサービス エンジニアリングオンコール |
| 封じ込め、根絶、回復 | - インシデント対応リード - フォレンジック調査 - セキュリティの専門知識とコンサルティング - 回復ガイダンス |
- セキュリティ インシデント所有者 - サービスの分析情報と専門知識 - 封じ込め、根絶、回復を実行する |
| インシデント後のアクティビティ | - インシデント後の分析リード - データ収集とアーカイブ - 学習したレッスンとバグ要求 - インシデント レポート |
- サービス側のインシデント分析 - フォローアップ アクティビティに優先順位を付ける - 実装セキュリティ投資 - サービス セキュリティの準備 |