資産管理では、セキュリティ担当者のアクセス許可に関する推奨事項、資産インベントリへのセキュリティ アクセス、サービスとリソースの承認の管理 (インベントリ、追跡、修正) など、リソースに対するセキュリティの可視性とガバナンスを確保するための制御が含まれます。
AM-1: 資産インベントリとそのリスクを追跡する
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
1.1, 1.5, 2.1, 2.4 | CM-8、PM-5 | 2.4 |
セキュリティ原則: クエリで資産インベントリを追跡し、すべてのクラウド リソースを検出します。 サービスの性質、場所、またはその他の特性に基づいて資産にタグを付け、グループ化することで、資産を論理的に整理します。 セキュリティ組織が資産の継続的に更新されたインベントリにアクセスできることを確認します。
セキュリティの分析情報とリスクを一元的に集計することで、セキュリティ組織がクラウド資産に対するリスクを監視できることを確認します。
Azure ガイダンス: Microsoft Defender for Cloud インベントリ機能と Azure Resource Graph では、Azure サービス、アプリケーション、ネットワーク リソースなど、サブスクリプション内のすべてのリソースを照会して検出できます。 タグと Azure の他のメタデータ (名前、説明、カテゴリ) を使用して、組織の分類に従って資産を論理的に整理します。
セキュリティ組織が、Azure 上の資産の継続的に更新されたインベントリにアクセスできることを確認します。 多くの場合、セキュリティ チームは、新たなリスクに対する組織の潜在的な露出を評価し、継続的なセキュリティ改善のための入力として、このインベントリを必要とします。
Microsoft Defender for Cloud を使用してセキュリティ リスクを監視できるように、セキュリティ組織に Azure テナントとサブスクリプションのセキュリティ閲覧者のアクセス許可が付与されていることを確認します。 セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に広く適用することも、管理グループまたは特定のサブスクリプションにスコープを設定することもできます。
注: ワークロードとサービスを可視化するには、追加のアクセス許可が必要になる場合があります。
GCP ガイダンス: Google Cloud Asset Inventory を使用して、時系列データベースに基づいてインベントリ サービスを提供します。 このデータベースは、GCP 資産メタデータの 5 週間の履歴を保持します。 Cloud Asset Inventory エクスポート サービスを使用すると、特定のタイムスタンプですべての資産メタデータをエクスポートしたり、期間中にイベント変更履歴をエクスポートしたりできます。
さらに、Google Cloud Security Command Center では、別の名前付け規則がサポートされています。 資産は、組織の Google Cloud リソースです。 Security Command Center の IAM ロールは、組織、フォルダー、またはプロジェクト レベルで付与できます。 結果、資産、セキュリティ ソースを表示、作成、または更新する機能は、アクセス権が付与されているレベルによって異なります。
GCP の実装と追加のコンテキスト:
- クラウド 資産インベントリ の
- クラウド 資産インベントリ の概要
- Security Command Center でサポートされている資産の種類を する
Azure の実装と追加のコンテキスト:
- Azure Resource Graph エクスプローラーを使用してクエリを作成する方法
- Microsoft Defender for Cloud 資産インベントリ管理
- 資産のタグ付けの詳細については、リソースの名前付けとタグ付けの決定ガイドを参照してください
- セキュリティ閲覧者ロールの概要
AWS ガイダンス: AWS Systems Manager インベントリ機能を使用して、アプリケーション レベルやオペレーティング システム レベルの詳細など、EC2 インスタンス内のすべてのリソースを照会して検出します。 さらに、AWS リソースグループ - タグエディタを使用して AWS リソースインベントリを参照します。
AWS のタグやその他のメタデータ (名前、説明、カテゴリ) を使用して、組織の分類に従って資産を論理的に整理します。
セキュリティ組織が AWS 上の資産の継続的に更新されたインベントリにアクセスできることを確認します。 多くの場合、セキュリティ チームは、新たなリスクに対する組織の潜在的な露出を評価し、継続的なセキュリティ改善のための入力として、このインベントリを必要とします。
注: ワークロードとサービスを可視化するには、追加のアクセス許可が必要になる場合があります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Organization Policy Service を使用して、ユーザーが環境内でプロビジョニングできるサービスを監査および制限します。 また、Operations Suite や組織ポリシーのクラウド監視を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
AM-2: 承認済みサービスのみを使用する
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
2.5, 2.6 , 2.7, 4.8 | CM-8、PM-5 | 6.3 |
セキュリティ原則: ユーザーが環境内でプロビジョニングできるサービスを監査および制限することで、承認されたクラウド サービスのみを使用できるようにします。
Azure ガイダンス: Azure Policy を使用して、ユーザーが環境内でプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。
Azure の実装と追加のコンテキスト:
- Azure Policy の構成と管理
- Azure Policy を使用して特定のリソースの種類を拒否する方法
- Azure Resource Graph エクスプローラーを使用してクエリを作成する方法
AWS ガイダンス: AWS Config を使用して、ユーザーが環境内でプロビジョニングできるサービスを監査および制限します。 AWS リソースグループを使用して、アカウント内のリソースのクエリと検出を行います。 CloudWatch や AWS Config を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: 影響が大きい可能性のある変更のために資産ライフサイクル管理プロセスに対処するセキュリティ ポリシー/プロセスを確立または更新します。 これらの変更には、ID プロバイダーとアクセス、機密データ、ネットワーク構成、管理特権の評価に対する変更が含まれます。 Google Cloud Security Command Center を使用し、リスクのある資産の [コンプライアンス] タブをオンにします。
さらに、未使用の Google クラウド プロジェクトの自動クリーンアップと Cloud Recommender サービスを使用して、Google Cloud でリソースを使用するための推奨事項と分析情報を提供します。 これらの推奨事項と分析情報は、製品ごとまたはサービスごとのものであり、ヒューリスティックな方法、機械学習、および現在のリソースの使用状況に基づいて生成されます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
AM-3: アセット ライフサイクル管理のセキュリティを確保する
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
1.1, 2.1 | CM-8、CM-7 | 2.4 |
セキュリティ原則: 資産のセキュリティ属性または構成は、資産のライフサイクル中に常に更新されるようにします。
Azure ガイダンス: 影響が大きい可能性のある変更のために資産ライフサイクル管理プロセスに対処するセキュリティ ポリシー/プロセスを確立または更新します。 これらの変更には、ID プロバイダーとアクセスの変更、データの機密性レベル、ネットワーク構成、管理特権の割り当てが含まれます。
Azure リソースが不要になったら、そのリソースを特定して削除します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: 影響が大きい可能性のある変更のための資産ライフサイクル管理プロセスに対処するセキュリティ ポリシー/プロセスを確立または更新します。 これらの変更には、ID プロバイダーとアクセスの変更、データの機密性レベル、ネットワーク構成、管理特権の割り当てが含まれます。
不要になった AWS リソースを特定して削除します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Identity and Access Management (IAM) を使用して、特定のリソースへのアクセスを制限します。 許可アクションまたは拒否アクション、およびアクションがトリガーされる条件を指定できます。 リソース レベルのアクセス許可、リソース ベースのポリシー、タグベースの承認、一時的な資格情報、またはサービスにリンクされたロールの 1 つの条件または組み合わせの方法を指定して、リソースのアクセス制御をきめ細かく制御できます。
さらに、VPC サービスコントロールを使用して、外部エンティティまたはインサイダーエンティティによる偶発的または標的型のアクションから保護することができます。これは、Google Cloud サービスからのデータ流出リスクを最小限に抑えるのに役立ちます。 VPC サービスコントロールを使用して、明示的に指定したサービスのリソースとデータを保護する境界を作成できます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
AM-4: アセット管理へのアクセスを制限する
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
3.3 | AC-3 | なし |
セキュリティ原則: クラウド内の資産が偶発的または悪意のある変更されないように、資産管理機能へのユーザーのアクセスを制限します。
Azure ガイダンス: Azure Resource Manager は、Azure のデプロイと管理サービスです。 Azure でリソース (資産) を作成、更新、削除できる管理レイヤーが用意されています。 Azure AD 条件付きアクセスを使用して、"Microsoft Azure Management" アプリの "アクセスのブロック" を構成することで、ユーザーが Azure Resource Manager と対話する機能を制限します。
Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、ID にロールを割り当てて、アクセス許可と Azure リソースへのアクセスを制御します。 たとえば、"閲覧者" の Azure RBAC ロールのみを持つユーザーは、すべてのリソースを表示できますが、変更を加えることはできません。
リソース ロックを使用して、リソースの削除または変更を防ぎます。 リソース ロックは、Azure Blueprints を介して管理することもできます。
Azure の実装と追加のコンテキスト:
- Azure Resources Manager へのアクセスをブロックするように条件付きアクセスを構成する方法
- リソースをロックしてインフラストラクチャ を保護する
- Azure Blueprints リソース ロックを使用して新しいリソースを保護
AWS ガイダンス: AWS IAM を使用して、特定のリソースへのアクセスを制限します。 許可または拒否アクション、およびアクションがトリガーされる条件を指定できます。 1 つの条件を指定するか、リソース レベルのアクセス許可、リソース ベースのポリシー、タグベースの承認、一時的な資格情報、またはサービスにリンクされたロールの方法を組み合わせて、リソースのアクセス制御をきめ細かく制御できます。
AWS の実装と追加のコンテキスト:
- IAM で動作する AWS サービスを する
GCP ガイダンス: Google Cloud VM Manager を使用して、コンピューティング エンジン インスタンスにインストールされているアプリケーションを検出します。 OS インベントリと構成管理を使用して、承認されていないソフトウェアがコンピューティング エンジン インスタンスで実行されないようにすることができます。
また、サードパーティのソリューションを使用して、未承認のソフトウェアを検出して特定することもできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
AM-5: 仮想マシンで承認済みアプリケーションのみを使用する
CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
2.5, 2.6, 2.7, 4.8 | CM-8、CM-7、CM-10、CM-11 | 6.3 |
セキュリティ原則: 許可リストを作成して承認されたソフトウェアのみを実行し、承認されていないソフトウェアが環境内で実行されないようにします。
Azure ガイダンス: Microsoft Defender for Cloud アダプティブ アプリケーション制御を使用して、アプリケーションの許可リストを検出して生成します。 ASC 適応型アプリケーション制御を使用して、承認されたソフトウェアのみが実行でき、承認されていないソフトウェアがすべて Azure Virtual Machines での実行をブロックされるようにすることもできます。
Azure Automation Change Tracking と Inventory を使用して、Windows および Linux VM からのインベントリ情報の収集を自動化します。 ソフトウェア名、バージョン、発行元、更新時刻の情報は、Azure portal から入手できます。 ソフトウェアのインストール日やその他の情報を取得するには、ゲスト レベルの診断を有効にして、Windows イベント ログを Log Analytics ワークスペースに転送します。
スクリプトの種類に応じて、オペレーティング システム固有の構成またはサード パーティのリソースを使用して、Azure コンピューティング リソースでスクリプトを実行するユーザーの機能を制限できます。
また、サードパーティのソリューションを使用して、未承認のソフトウェアを検出して特定することもできます。
Azure の実装と追加のコンテキスト:
- Microsoft Defender for Cloud アダプティブ アプリケーション制御を使用する方法
- Azure Automation の変更の追跡とインベントリについて
- Windows 環境で PowerShell スクリプトの実行を制御する方法
AWS ガイダンス: AWS Systems Manager インベントリ機能を使用して、EC2 インスタンスにインストールされているアプリケーションを検出します。 AWS Config ルールを使用して、承認されていないソフトウェアが EC2 インスタンスでの実行をブロックされるようにします。
また、サードパーティのソリューションを使用して、未承認のソフトウェアを検出して特定することもできます。
AWS の実装と追加のコンテキスト:
- AWS Systems Manager と AWS Config を使用した禁止アプリケーションの防止
顧客のセキュリティ利害関係者 (詳細情報):