セキュリティ制御: バックアップと回復
バックアップと回復により、データと構成のバックアップがさまざまなサービス レベルで確実に実行、検証、保護されるようにコントロールがカバーされています。
BR-1:定期的な自動バックアップを保証する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.2 | CP-2、CP-4、CP-9 | なし |
セキュリティ原則: リソースの作成時または既存のリソースのポリシーを通じて適用される、ビジネスクリティカルなリソースのバックアップを確保します。
Azure ガイダンス: サポートAzure Backupリソース (Azure VM、SQL Server、HANA データベース、Azure PostgreSQL データベース、ファイル共有、BLOB、ディスクなど) の場合は、Azure Backupを有効にし、必要な頻度と保持期間を構成します。 Azure VM の場合は、Azure Policy を使用してバックアップを自動的に有効にすることができます。
Azure Backupでサポートされていないリソースまたはサービスの場合は、リソースまたはサービスによって提供されるネイティブ バックアップ機能を使用します。 たとえば、Azure Key Vault ではネイティブ バックアップ機能が提供されます。
Azure Backupでサポートされていないリソース/サービスやネイティブ バックアップ機能がない場合は、バックアップとディザスターのニーズを評価し、ビジネス要件に従って独自のメカニズムを作成します。 次に例を示します。
- データ ストレージに Azure Storage を使用する場合は、ストレージ BLOB の BLOB バージョン管理を有効にします。これにより、Azure Storage に格納されているすべてのオブジェクトのすべてのバージョンを保持、取得、復元できます。
- サービス構成設定は、通常、Azure Resource Manager テンプレートにエクスポートできます。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Backup でサポートされているリソース (EC2、S3、EBS、RDS など) の場合は、AWS Backup を有効にして、必要な頻度と保持期間を構成します。
AWS KMS など、AWS Backup でサポートされていないリソース/サービスの場合は、リソース作成の一環としてネイティブ バックアップ機能を有効にします。
AWS Backup でサポートされていないリソース/サービスやネイティブ バックアップ機能がない場合は、バックアップとディザスターのニーズを評価し、ビジネス要件に従って独自のメカニズムを作成します。 次に例を示します。
- Amazon S3 がデータストレージに使用されている場合は、ストレージバックセットのS3バージョン管理を有効にします。これにより、S3 バケットに格納されているすべてのオブジェクトのすべてのバージョンを保持、取得、復元できます。
- 通常、サービス構成設定は CloudFormation テンプレートにエクスポートできます。
AWS の実装と追加のコンテキスト:
- AWS Backup でサポートされているリソースとサードパーティアプリケーション Amazon S3 のバージョン管理: https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html
- AWS CloudFormation のベスト プラクティス
GCP ガイダンス: Google Cloud Backup でサポートされているリソース (コンピューター エンジン、クラウド ストレージ、コンテナーなど) の場合は、GCP バックアップを有効にして、必要な頻度と保持期間を構成します。
Google Cloud Backup でサポートされていないリソースまたはサービスの場合は、リソースまたはサービスによって提供されるネイティブ バックアップ機能を使用します。 たとえば、Secret Manager にはネイティブ バックアップ機能が用意されています。
Google Cloud Backup でサポートされていないリソース/サービスやネイティブ バックアップ機能がない場合は、バックアップとディザスターのニーズを評価し、ビジネス要件に従って独自のメカニズムを作成します。 次に例を示します。
- バックアップ データ ストレージに Google Storage を使用する場合は、オブジェクトのバージョン管理に対してストレージのバージョン管理を有効にします。これにより、Google Storage に格納されているすべてのオブジェクトのすべてのバージョンを保持、取得、復元できます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
BR-2: バックアップおよび回復データを保護する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-6、CP-9 | 3.4 |
セキュリティ原則: バックアップ データと操作が、データ流出、データ侵害、ランサムウェア/マルウェア、悪意のある内部関係者から保護されていることを確認します。 適用する必要があるセキュリティ コントロールには、ユーザーとネットワークのアクセス制御、保存時および転送中のデータ暗号化が含まれます。
Azure ガイダンス: 多要素認証と Azure RBAC を使用して、重要なAzure Backup操作 (削除、変更の保持、バックアップ構成の更新など) をセキュリティで保護します。 Azure Backup でサポートされるリソースの場合、Azure RBAC を使用して作業を分離し、きめ細かいアクセスを有効にし、Azure Virtual Network 内にプライベート エンドポイントを作成して、Recovery Services コンテナーからデータを安全にバックアップおよび復元します。
Azure Backup にサポートされるリソースの場合、バックアップ データは、256 ビット AES 暗号化とともに Azure プラットフォーム マネージド キーを使用して自動的に暗号化されます。 カスタマー マネージド キーを使用してバックアップを暗号化することもできます。 この場合は、Azure Key Vaultのカスタマー マネージド キーもバックアップ スコープ内にあることを確認します。 カスタマー マネージド キーを使用する場合は、Azure Key Vault で論理的な削除と消去保護を使用して、偶発的または悪意のある削除からキーを保護します。 Azure Backup を使用するオンプレミスのバックアップによって、指定したパスフレーズを使用した保存時の暗号化が提供されます。
ランサムウェア攻撃やバックアップ データの暗号化や改ざんの試行など、偶発的または悪意のある削除からバックアップ データを保護します。 Azure Backup でサポートされるリソースの場合、論理的な削除を有効にして、許可されていない削除後最大 14 日間はデータ損失なく項目の回復を行えるようにし、Azure portal で生成された PIN を使用して多要素認証を有効にします。 また、geo 冗長ストレージまたはリージョン間の復元を有効にして、プライマリ リージョンで障害が発生したときにバックアップ データを復元できるようにします。 ゾーン冗長ストレージ (ZRS) を有効にして、ゾーン障害時にバックアップを復元できるようにすることもできます。
注: Azure Backup以外のリソースのネイティブ バックアップ機能またはバックアップ サービスを使用する場合は、Microsoft Cloud セキュリティ ベンチマーク (およびサービス ベースライン) を参照して、上記のコントロールを実装してください。
Azure の実装と追加のコンテキスト:
- Azure Backup のセキュリティ機能の概要
- カスタマー マネージド キーを使用したバックアップ データの暗号化
- ハイブリッド バックアップを攻撃から保護するためのセキュリティ機能
- Azure Backup - リージョンをまたがる復元を設定する
AWS ガイダンス: AWS IAM アクセス制御を使用して AWS Backup をセキュリティで保護します。 これには、AWS Backup サービスのアクセスとバックアップと復元ポイントのセキュリティ保護が含まれます。 コントロールの例を次に示します。
- バックアップ/復元ポイントの削除などの重要な操作には、多要素認証 (MFA) を使用します。
- SECURE Sockets Layer (SSL)/Transport Layer Security (TLS) を使用して AWS リソースと通信します。
- AWS KMS を AWS Backup と組み合わせて使用して、カスタマー マネージド CMK または AWS Backup サービスに関連付けられている AWS マネージド CMK を使用してバックアップ データを暗号化します。
- 重要なデータの不変ストレージには、AWS Backup Vault Lock を使用します。
- アクセス ポリシー、パブリック アクセスの無効化、保存データの暗号化の適用、およびバージョン管理によって S3 バケットをセキュリティで保護します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: 最も強力な認証を持つ専用アカウントを使用して、削除、変更の保持、バックアップ構成の更新など、重要なバックアップと回復の操作を実行します。これにより、ランサムウェア攻撃やバックアップ データの暗号化や改ざんの試行など、偶発的または悪意のある削除からバックアップ データが保護されます。
GCP Backup でサポートされているリソースの場合は、ロールとアクセス許可を持つ Google IAM を使用して職務を分離し、きめ細かいアクセスを有効にし、VPC へのプライベート サービス アクセス接続を設定して、Backup/Recovery アプライアンスからデータを安全にバックアップおよび復元します。
バックアップ データは、Advanced Encryption Standard (AES) アルゴリズム AES-256 を使用して、プラットフォーム レベルで既定で自動的に暗号化されます。
注: リソースのネイティブ バックアップ機能または GCP Backup 以外のバックアップ サービスを使用する場合は、セキュリティ コントロールを実装するために、それぞれのガイドラインを参照する必要があります。 たとえば、VM インスタンス リソースで deletionProtection プロパティを設定することで、特定の VM インスタンスを削除から保護することもできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
BR-3: バックアップを監視する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.3 | CP-9 | なし |
セキュリティ原則: ビジネスクリティカルな保護可能なすべてのリソースが、定義されたバックアップ ポリシーと標準に準拠していることを確認します。
Azure ガイダンス: Azure 環境を監視して、重要なすべてのリソースがバックアップの観点から準拠していることを確認します。 バックアップにAzure Policyを使用して、このような制御を監査および適用します。 サポートAzure Backupリソースの場合、バックアップ センターはバックアップ資産を一元的に管理するのに役立ちます。
重要なバックアップ操作 (削除、変更の保持、バックアップ構成の更新) が監視され、監査され、アラートが設定されていることを確認します。 サポートAzure Backupリソースの場合は、バックアップの全体的な正常性を監視し、重要なバックアップ インシデントに対するアラートを受け取り、コンテナーでトリガーされたユーザー アクションを監査します。
注: 必要に応じて、組み込みのポリシー (Azure Policy) を使用して、Azure リソースがバックアップ用に構成されていることを確認します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Backup は、他の AWS ツールと連携して、ワークロードを監視できるようにします。 以下のツールが含まれています。
- AWS Backup Audit Manager を使用してバックアップ操作を監視し、コンプライアンスを確保します。
- CloudWatch と Amazon EventBridge を使用して AWS Backup プロセスを監視します。
- CloudWatch を使用してメトリックの追跡、アラームの作成、ダッシュボードの表示を行います。
- EventBridge を使用して、AWS Backup イベントを表示および監視します。
- Amazon Simple Notification Service (Amazon SNS) を使用して、バックアップ、復元、コピー イベントなどの AWS バックアップ関連のトピックをサブスクライブします。
AWS の実装と追加のコンテキスト:
- AWS Backup Monitoring
- EventBridge を使用した AWS Backup イベントの監視
- CloudWatch を使用した AWS Backup メトリックの監視
- Amazon SNS を使用して AWS Backup イベントを追跡する
- AWS Backup Audit Manager を使用してバックアップを監査し、レポートを作成する
GCP ガイダンス: バックアップ環境とディザスター リカバリー環境を監視して、重要なすべてのリソースがバックアップの観点から準拠していることを確認します。 バックアップに組織ポリシーを使用して、このような制御を監査および適用します。 GCP Backup でサポートされているリソースの場合、管理コンソールはバックアップ資産を一元的に管理するのに役立ちます。
重要なバックアップ操作 (削除、変更の保持、バックアップ構成の更新) が監視され、監査され、アラートが設定されていることを確認します。 GCP Backup でサポートされているリソースの場合は、バックアップの全体的な正常性を監視し、重要なバックアップ インシデントに対するアラートを受け取り、トリガーされたユーザー アクションを監査します。
注: 該当する場合は、組み込みのポリシー (組織ポリシー) を使用して、Google リソースがバックアップ用に構成されていることを確認します。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
BR-4: バックアップを定期的にテストする
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 11.5 | CP-4、CP-9 | 該当なし |
セキュリティ原則: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO (目標復旧時間) と RPO (目標復旧ポイント) で定義されている回復ニーズを満たしていることを確認します。
Azure ガイダンス: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO と RPO で定義されている回復ニーズを満たしていることを確認します。
毎回完全な復旧テストを実行することが難しい場合があるので、テスト範囲、頻度、方法などのバックアップ復旧テスト戦略を定義することが必要になる場合があります。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO と RPO で定義されている回復ニーズを満たしていることを確認します。
毎回完全な復旧テストを実行することが難しい場合があるので、テスト範囲、頻度、方法などのバックアップ復旧テスト戦略を定義することが必要になる場合があります。 AWS の実装と追加のコンテキスト:
GCP ガイダンス: バックアップのデータ復旧テストを定期的に実行して、バックアップ データのバックアップ構成と可用性が、RTO と RPO で定義されている回復ニーズを満たしていることを確認します。
毎回完全な復旧テストを実行することが難しい場合があるので、テスト範囲、頻度、方法などのバックアップ復旧テスト戦略を定義することが必要になる場合があります。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):