脅威と脆弱性の管理の概要

  • [アーティクル]

Microsoft オンライン サービスはどのように脆弱性管理を実施しますか?

いくらよく設計されたシステムでも、システムのセキュリティ体制は時間とともに劣化する可能性があります。 パッチが適用されないままコンピューターが使用されたり、不注意によって構成が変更されたり、セキュリティ コードの機能後退が進行したりします。 これらすべての問題により、システムが最初にデプロイされたときよりもセキュリティが低下する可能性があります。 Microsoft では、こうした劣化に関するシステムの継続的評価を自動化しました。これにより、Microsoft のセキュリティ体制に問題があった場合、直ちに行動して修正することが可能になりました。

Microsoft オンライン サービスは、マシン状態スキャンを使用して、インフラストラクチャを構成するマシンが最新のパッチで最新の状態であり、基本構成が関連するフレームワークと正しく一致していることを確認します。 マシン状態スキャンでは、パッチ適用、マルウェア対策、脆弱性スキャン、構成スキャン (PAVC) が使用されます。 Microsoft オンライン サービス、デプロイ中に各資産にカスタム セキュリティ エージェントをインストールすることで、効果的な PAVC を適用します。 このセキュリティ エージェントを使用すると、マシンの状態のスキャンが可能になり、結果がサービス チームに報告されます。

Microsoft オンライン サービスは、サービス インフラストラクチャが最新のセキュリティ パッチを使用して最新であることを確認する方法を説明します。

パッチ管理は、新しいセキュリティ パッチがリリースされたときに Microsoft オンライン サービス システムが迅速に更新されるようにすることで、脆弱性を軽減します。 Microsoft では、リスクに応じて、新しいセキュリティ パッチやその他のセキュリティ更新プログラムに優先順位を付けます。 Microsoft オンライン サービス セキュリティ チームは、利用可能なセキュリティ パッチを分析して、運用環境のコンテキストでリスク レベルを判断します。 その分析には、他のリスク要因と共に、一般的な脆弱性スコアリング システム (CVSS) に基づく重大度スコアが含まれています。

Microsoft サービス チームは、セキュリティ チームからの分析を確認し、適切な修復期間内に該当するパッチを使用してサービス コンポーネントとベースライン イメージを更新します。 セキュリティ修正プログラムは、運用環境へと展開する前に適切なテストと管理者の承認を確保するための変更管理プロセスの対象となります。 セキュリティ修正プログラムを段階的に展開すると、セキュリティ修正プログラムが原因で予期しない問題が発生した場合に、ロールバックが可能になります。

サービス チームは、脆弱性スキャンの結果を使用して、適用可能なシステム コンポーネントへのセキュリティ修正プログラムの展開を検証します。 期限切れの脆弱性は毎日報告され、毎月管理によってレビューされ、環境全体のパッチカバレッジの幅と深さを測定し、タイムリーなパッチ適用に対する責任を負います。

Microsoft は脆弱性と構成のスキャンをどのように実施しますか?

Microsoft のセキュリティ エージェントは、資産のデプロイ中にインストールされ、完全に自動化された脆弱性と構成スキャンを可能にします。 セキュリティ エージェントは、業界標準のツールを使用して、既知の脆弱性とセキュリティの構成の誤りを検出します。 プロダクション資産は、最新の脆弱性シグネチャによる毎日の自動スキャンがスケジュールされています。 これらのスキャンの結果は安全な中央ストレージ サービスに収集され、自動化されたレポートによりサービス チームが結果を利用できるようになります。

サービス チームは、集計スキャン結果を報告するダッシュボードを使用してスキャン結果を確認し、包括的なレポートと傾向分析を提供します。 スキャンで検出された脆弱性は、修復されるまで、これらのレポートで追跡されます。 脆弱性スキャンがパッチの欠落、セキュリティの構成の誤り、または環境内の他の脆弱性を示している場合、サービス チームはこれらのレポートを使用して、影響を受けるコンポーネントを修復の対象にします。 スキャンによって発見された脆弱性は、共通脆弱性評価システム (CVSS) スコアおよびその他の関連するリスク要因に基づいて、優先的に修復されます。

Microsoft はマルウェアに対してどのように防御しますか?

Microsoft は、包括的なマルウェア対策ソフトウェアを使用して、ウイルスやその他のマルウェアから Microsoft オンライン サービスを保護します。 Microsoft オンライン サービスによって使用されるベースライン オペレーティング システム イメージには、環境全体のカバレッジを最大化するために、このソフトウェアが含まれています。

Microsoft オンライン サービスのすべてのエンドポイントは、少なくとも毎週完全なマルウェア対策スキャンを実行します。 追加のリアルタイム スキャンは、ダウンロード、開く、または実行されるすべてのファイルに対して実行されます。 これらのスキャンでは、既知のマルウェアのシグネチャを使用してマルウェアを検出し、マルウェアの実行を防止します。 Microsoft のマルウェア対策ソフトウェアは、最新のマルウェアシグネチャを毎日ダウンロードして、最新の情報でスキャンが実行されるように構成されています。 Microsoft マルウェア対策ソフトウェアは、署名ベースのスキャンに加えて、パターンベースの認識を使用して、疑わしいプログラムや異常なプログラムの動作を検出して防止します。

マルウェア対策製品がウイルスやその他のマルウェアを検出すると、Microsoft セキュリティ対応チームに対してアラートが自動的に生成されます。 多くの場合、Microsoft のマルウェア対策ソフトウェアは、人間の介入を必要とせずにリアルタイムでウイルスやその他のマルウェアの実行を防止することができます。 この防止が不可能な場合、Microsoft セキュリティ対応チームは、セキュリティ インシデント対応プロセスを使用してマルウェア インシデントを解決します。

Microsoft では、新しい脆弱性または報告されていない脆弱性をどのように検出しますか?

Microsoft では、未知の脆弱性の存在を示す疑わしいアクティビティを検出するために、高度な機械学習による自動スキャンを補完しています。 Microsoft の内部チームと独立した監査者による定期的な侵入テストは、脆弱性を検出して修復するための追加のメカニズムを提供し、実際の攻撃者によって悪用される前に提供されます。 Microsoft では、Microsoft 倫理ハッカーの "Red Teams" を使用して内部侵入テストを実施しています。 お客様のシステムとデータは侵入テストの対象になることはありませんが、侵入テストから学んだ教訓は、Microsoft がセキュリティ制御を検証し、新しい種類の攻撃から防御するのに役立ちます。 また、Microsoft ではバグ 報奨金プログラムを使用して、新しい脆弱性の開示を奨励し、できるだけ早く軽減できるようにします。

関連する外部規制 & 認定

Microsoft のオンライン サービスは、外部の規制と認定に準拠するために定期的に監査されます。 脅威と脆弱性の管理に関連するコントロールの検証については、次の表を参照してください。

Azure と Dynamics 365

外部監査 Section 最新のレポート日
ISO 27001/27002

適用性に関する声明
証明書		 A.12.6.1: 技術的脆弱性の管理 2023 年 11 月 6 日
ISO 27017

適用性に関する声明
証明書		 A.12.6.1: 技術的脆弱性の管理 2023 年 11 月 6 日
ISO 27018

適用性に関する声明
証明書		 A.12.6.1: 技術的脆弱性の管理 2023 年 11 月 6 日
SOC 1
SOC 2
SOC 3		 VM-3: マルウェア対策の監視
VM-5: パッチ適用
VM-6: 脆弱性スキャン		 2023 年 11 月 17 日

Microsoft 365

外部監査 Section 最新のレポート日
FedRAMP (Office 365) CA-7: 継続的な監視
CA-8: 侵入テスト
RA-3: リスク評価
RA-5: 脆弱性スキャン
SI-2: 欠陥の修復
SI-5: セキュリティ アラート、アドバイザリ、ディレクティブ		 2023 年 7 月 31 日
ISO 27001/27002/27017

適用性に関する声明
認定 (27001/27002)
認定 (27017)		 A.12.6.1: 技術的脆弱性の管理 2024 年 3 月
SOC 1 CA-27: 脆弱性スキャン 2024 年 1 月 23 日
SOC 2 CA-24: 内部リスク評価
CA-27: 脆弱性スキャン		 2024 年 1 月 23 日

リソース