セキュリティ制御: 資産管理
資産管理では、セキュリティ担当者のアクセス許可、資産インベントリへのセキュリティ アクセス、サービスとリソースの承認の管理 (インベントリ、追跡、および修正) に関する推奨事項など、リソースに対するセキュリティの可視性とガバナンスを確保するためのコントロールが含まれます。
AM-1: 資産インベントリとそのリスクを追跡する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
1.1、1.5、2.1、2.4 | CM-8、PM-5 | 2.4 |
セキュリティ原則: クエリで資産インベントリを追跡し、すべてのクラウド リソースを検出します。 サービスの性質、場所、その他の特性に基づいて資産に対してタグ付けやグループ化を行うことで、資産を論理的にまとめます。 セキュリティ組織が、継続的に更新される資産のインベントリにアクセスできるようにします。
セキュリティorganizationは、常にセキュリティの分析情報とリスクを一元的に集計することで、クラウド資産に対するリスクを監視できることを確認します。
Azure ガイダンス: クラウド インベントリ機能と Azure Resource Graph のMicrosoft Defenderでは、Azure サービス、アプリケーション、ネットワーク リソースなど、サブスクリプション内のすべてのリソースに対してクエリを実行して検出できます。 タグと Azure の他のメタデータ (名前、説明、カテゴリ) を使用して、organizationの分類に従って資産を論理的に整理します。
セキュリティ組織が、Azure 上の資産の継続的に更新されるインベントリに確実にアクセスできるようにします。 セキュリティ チームは、多くの場合、新たなリスクに対するorganizationの潜在的な露出を評価し、継続的なセキュリティ改善のための入力として、このインベントリを必要とします。
セキュリティ組織に Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。 セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。
注:ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。
GCP ガイダンス: Google Cloud Asset Inventory を使用して、時系列データベースに基づいてインベントリ サービスを提供します。 このデータベースは、GCP 資産メタデータの 5 週間の履歴を保持します。 Cloud Asset Inventory エクスポート サービスを使用すると、特定のタイムスタンプですべての資産メタデータをエクスポートしたり、時間枠内のイベント変更履歴をエクスポートしたりできます。
さらに、Google Cloud Security Command Center では、別の名前付け規則がサポートされています。 アセットは、organizationの Google Cloud リソースです。 Security Command Center の IAM ロールは、organization、フォルダー、またはプロジェクト レベルで付与できます。 結果、資産、およびセキュリティ ソースを表示、作成、または更新する機能は、アクセス権が付与されているレベルによって異なります。
GCP の実装と追加のコンテキスト:
Azure の実装と追加のコンテキスト:
- Azure Resource Graph Explorer を使用してクエリを作成する方法
- Microsoft Defender for Cloud の資産インベントリの管理
- 資産のタグ付けの詳細については、「リソースの名前付けとタグ付けの意思決定ガイド」を参照
- セキュリティ閲覧者ロールの概要
AWS ガイダンス: AWS Systems Manager インベントリ機能を使用して、アプリケーション レベルやオペレーティング システム レベルの詳細など、EC2 インスタンス内のすべてのリソースに対してクエリを実行して検出します。 さらに、AWS リソース グループ - タグ エディターを使用して、AWS リソースインベントリを参照します。
タグと AWS の他のメタデータ (名前、説明、カテゴリ) を使用して、organizationの分類に従って資産を論理的に整理します。
セキュリティ組織が AWS 上の資産の継続的に更新されたインベントリにアクセスできることを確認します。 セキュリティ チームは、多くの場合、新たなリスクに対するorganizationの潜在的な露出を評価し、継続的なセキュリティ改善のための入力として、このインベントリを必要とします。
注:ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Organization Policy Service を使用して、ユーザーが環境内でプロビジョニングできるサービスを監査および制限します。 また、Operations Suite や組織ポリシーのクラウド監視を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
AM-2: 承認済みのサービスのみを使用する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
2.5、2.6、2.7、4.8 | CM-8、PM-5 | 6.3 |
セキュリティ原則: ユーザーが環境内でプロビジョニングできるサービスを監査および制限することで、承認されたクラウド サービスのみを使用できるようにします。
Azure ガイダンス: Azure Policyを使用して、ユーザーが環境内でプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。
Azure の実装と追加のコンテキスト:
- Azure Policy を構成して管理する
- Azure Policy を使用して特定のリソースの種類を拒否する方法
- Azure Resource Graph Explorer を使用してクエリを作成する方法
AWS ガイダンス: AWS Config を使用して、ユーザーが環境内でプロビジョニングできるサービスを監査および制限します。 AWS リソース グループを使用して、アカウント内のリソースのクエリと検出を行います。 CloudWatch や AWS Config を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: 影響が大きい可能性のある変更のために資産ライフサイクル管理プロセスに対応するセキュリティ ポリシー/プロセスを確立または更新します。 これらの変更には、ID プロバイダーとアクセス、機密データ、ネットワーク構成、管理特権評価の変更が含まれます。 Google Cloud Security Command Center を使用し、[コンプライアンス] タブをチェックして、危険にさらされている資産を探します。
さらに、未使用の Google クラウド プロジェクトの自動クリーンアップとクラウド レコメンダー サービスを使用して、Google Cloud でリソースを使用するための推奨事項と分析情報を提供します。 これらの推奨事項と分析情報は製品ごとまたはサービスごとであり、ヒューリスティックメソッド、機械学習、および現在のリソース使用量に基づいて生成されます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
AM-3: アセット ライフサイクル管理のセキュリティを確保する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
1.1、2.1 | CM-8、CM-7 | 2.4 |
セキュリティ原則: 資産のセキュリティ属性または構成が、資産のライフサイクル中に常に更新されるようにします。
Azure ガイダンス: 影響が大きい可能性のある変更のために資産ライフサイクル管理プロセスに対処するセキュリティ ポリシー/プロセスを確立または更新します。 これらの変更には、ID プロバイダーとアクセスの変更、データ秘密度レベル、ネットワーク構成、管理特権の割り当てが含まれます。
不要になった Azure リソースを特定して削除します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: 影響が大きい可能性のある変更のために資産ライフサイクル管理プロセスに対処するセキュリティ ポリシー/プロセスを確立または更新します。 これらの変更には、ID プロバイダーとアクセス、データ秘密度レベル、ネットワーク構成、管理特権の割り当ての変更が含まれます。
不要になった AWS リソースを特定して削除します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Identity and Access Management (IAM) を使用して、特定のリソースへのアクセスを制限します。 許可または拒否アクション、およびアクションをトリガーする条件を指定できます。 リソースレベルのアクセス許可、リソース ベースのポリシー、タグベースの承認、一時的な資格情報、またはサービスにリンクされたロールの 1 つの条件または結合された方法を指定して、リソースのアクセス制御をきめ細かく制御できます。
さらに、VPC サービスコントロールを使用して、外部エンティティまたはインサイダーエンティティによる偶発的または標的型アクションから保護できます。これにより、Google Cloud サービスからの不当なデータ流出リスクを最小限に抑えることができます。 VPC サービスコントロールを使用して、明示的に指定したサービスのリソースとデータを保護する境界を作成できます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
AM-4: アセット管理へのアクセスを制限する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
3.3 | AC-3 | なし |
セキュリティ原則: クラウド内の資産の偶発的または悪意のある変更を回避するために、ユーザーの資産管理機能へのアクセスを制限します。
Azure ガイダンス: Azure Resource Manager は、Azure のデプロイと管理サービスです。 Azure でリソース (資産) を作成、更新、および削除できる管理レイヤーを提供します。 "Microsoft Azure Management" アプリに対して [アクセスのブロック] を構成して、Azure Resource Manager を操作するユーザーの機能を制限するには、Azure AD 条件付きアクセスを使用します。
Azure ロールベースのAccess Control (Azure RBAC) を使用して、ID にロールを割り当てて、アクセス許可と Azure リソースへのアクセスを制御します。 たとえば、"閲覧者" の Azure RBAC ロールのみを持つユーザーは、すべてのリソースを表示できますが、変更を加えることはできません。
リソースの削除または変更を防ぐには、リソース ロックを使用します。 リソース ロックは、Azure Blueprints を介して管理することもできます。
Azure の実装と追加のコンテキスト:
- 条件付きアクセスを構成して Azure Resource Manager へのアクセスをブロックする方法
- リソースをロックしてインフラストラクチャを保護する
- Azure Blueprints のリソース ロックを使用して新しいリソースを保護する
AWS ガイダンス: AWS IAM を使用して、特定のリソースへのアクセスを制限します。 許可または拒否アクション、およびアクションをトリガーする条件を指定できます。 1 つの条件を指定するか、リソース レベルのアクセス許可、リソース ベースのポリシー、タグベースの承認、一時的な資格情報、またはサービスにリンクされたロールのメソッドを組み合わせて、リソースのアクセス制御をきめ細かく制御できます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud VM Manager を使用して、コンピューティング エンジン インスタンスにインストールされているアプリケーションを検出します。 OS インベントリと構成管理を使用して、承認されていないソフトウェアがコンピューティング エンジン インスタンスでの実行をブロックされるようにすることができます。
サードパーティ製のソリューションを使用して、承認されていないソフトウェアを検出して特定することもできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
AM-5: 承認されたアプリケーションのみを仮想マシンで使用する
CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
---|---|---|
2.5、2.6、2.7、4.8 | CM-8、CM-7、CM-10、CM-11 | 6.3 |
セキュリティ原則: 許可リストを作成して承認されたソフトウェアのみが実行されるようにし、承認されていないソフトウェアが環境内で実行されないようにします。
Azure ガイダンス: クラウド 適応型アプリケーション制御のMicrosoft Defenderを使用して、アプリケーション許可リストを検出して生成します。 ASC 適応型アプリケーション制御を使用して、承認されたソフトウェアのみが実行でき、承認されていないソフトウェアがすべて Azure Virtual Machinesでの実行をブロックされるようにすることもできます。
Windows および Linux VM からのインベントリ情報の収集を自動化するには、Azure Automation Change Tracking と Inventory を使用します。 ソフトウェア名、バージョン、発行元、更新時刻の情報は、Azure portalから入手できます。 ソフトウェアのインストール日やその他の情報を取得するには、ゲスト レベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースに転送します。
スクリプトの種類に基づき、オペレーティング システム固有の構成またはサードパーティのリソースを使用して、ユーザーの Azure コンピューティング リソース内でスクリプトを実行する機能を制限できます。
サードパーティ製のソリューションを使用して、承認されていないソフトウェアを検出して特定することもできます。
Azure の実装と追加のコンテキスト:
- Microsoft Defender for Cloud の適応型アプリケーション制御を使用する方法
- Azure Automation Change Tracking と Inventory の概要
- Windows 環境で PowerShell スクリプトの実行を制御する方法
AWS ガイダンス: AWS Systems Manager インベントリ機能を使用して、EC2 インスタンスにインストールされているアプリケーションを検出します。 AWS Config ルールを使用して、承認されていないソフトウェアが EC2 インスタンスで実行されないようにします。
サードパーティ製のソリューションを使用して、承認されていないソフトウェアを検出して特定することもできます。
AWS の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):