Azure セキュリティ ベンチマーク (ASB) には、Azure 上のワークロード、データ、サービスのセキュリティを向上させるための規範的なベスト プラクティスと推奨事項が用意されています。
このベンチマークは、以下を含む包括的なセキュリティ ガイダンスのセットの一部です。
- クラウド導入フレームワーク – 戦略、 役割と責任、 Azure Top 10 のセキュリティのベスト プラクティス、 リファレンス実装など、セキュリティに関するガイダンス。
- Azure Well-Architected Framework – Azure での ワークロードのセキュリティ保護 に関するガイダンス。
- Microsoft セキュリティのベスト プラクティス – Azure に関する 推奨事項 と例。
Azure セキュリティ ベンチマークでは、クラウド中心の制御領域に重点を置いています。 これらの制御は、Center for Internet Security (CIS) Controls Version 7.1 や National Institute of Standards and Technology (NIST) SP 800-53 で説明されているものなど、よく知られたセキュリティ ベンチマークと一致しています。 Azure セキュリティ ベンチマークには、次のコントロールが含まれています。
| ASB制御領域 | 説明 |
|---|---|
| ネットワーク セキュリティ (NS) | ネットワーク セキュリティでは、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の防止と軽減、DNS の保護など、Azure ネットワークをセキュリティで保護するためのコントロールを対象とします。 |
| ID 管理 (IM) | Identity Management では、アプリケーションのシングル サインオン、強力な認証、マネージド ID (およびサービス プリンシパル) の使用、条件付きアクセス、アカウントの異常の監視など、Azure Active Directory を使用してセキュリティで保護された ID とアクセス制御を確立するための制御について説明します。 |
| 特権アクセス(PA) | Privileged Access には、Azure テナントとリソースへの特権アクセスを保護するための制御が含まれます。これには、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的で不注意なリスクから保護するためのさまざまな制御が含まれます。 |
| データ保護 (DP) | データ保護は、Azure でのアクセス制御、暗号化、ログ記録を使用した機密データ資産の検出、分類、保護、監視など、保存中、転送中、および承認されたアクセス メカニズムを介したデータ保護の制御を対象としています。 |
| 資産管理 (AM) | 資産管理では、セキュリティ担当者のアクセス許可に関する推奨事項、資産インベントリへのセキュリティ アクセス、サービスとリソースの承認の管理 (インベントリ、追跡、修正) など、Azure リソースに対するセキュリティの可視性とガバナンスを確保するためのコントロールについて説明します。 |
| ログと脅威の検出 (LT) | ログと脅威の検出では、Azure 上の脅威を検出し、Azure サービスの監査ログを有効、収集、および格納するためのコントロールについて説明します。これには、Azure サービスでネイティブの脅威検出を使用して高品質のアラートを生成するコントロールを使用した検出、調査、修復プロセスの有効化などです。また、Azure Monitor でのログの収集、Azure Sentinel を使用したセキュリティ分析の一元化、時刻同期、ログの保持も含まれます。 |
| インシデント対応 (IR) | インシデント対応は、インシデント対応ライフ サイクル (準備、検出と分析、封じ込め、インシデント対応プロセスを自動化するための Azure サービスや Sentinel などの Azure サービスの使用を含む) の制御を対象としています。 |
| 姿勢および脆弱性管理 (PV) | ポスチャと脆弱性管理では、脆弱性スキャン、侵入テストと修復、Azure リソースのセキュリティ構成の追跡、レポート、修正など、Azure のセキュリティ体制を評価および改善するための制御に重点を置いています。 |
| エンドポイント セキュリティ (ES) | エンドポイント セキュリティでは、Azure 環境でのエンドポイントに対するエンドポイントの検出と応答 (EDR) およびマルウェア対策サービスの使用など、エンドポイントの検出および応答でのコントロールを対象とします。 |
| バックアップと回復 (BR) | バックアップと回復では、さまざまなサービス レベルでのデータと構成のバックアップが実行、検証、保護されるようにするための制御が含まれます。 |
| ガバナンスと戦略 (GS) | ガバナンスと戦略では、さまざまなクラウド セキュリティ機能の役割と責任の確立、統合された技術戦略、ポリシーと標準のサポートなど、セキュリティ保証をガイドして維持するための一貫性のあるセキュリティ戦略と文書化されたガバナンス アプローチを確保するためのガイダンスが提供されます。 |
Azure セキュリティ ベンチマークの推奨事項
各推奨事項には次の情報が含まれます。
- Azure ID: 推奨事項に対応する Azure セキュリティ ベンチマーク ID。
- CIS Controls v7.1 ID: この推奨事項に対応する CIS Controls v7.1 コントロール。
- NIST SP 800-53 r4 ID(s): この推奨事項に対応する NIST SP 800-53 r4 (警告) コントロール。
- 詳細: 推奨事項の根拠と、それを実装する方法に関するガイダンスへのリンク。 推奨事項が Azure Security Center でサポートされている場合は、その情報も一覧表示されます。
- 責任: 顧客、サービス プロバイダー、またはその両方が、この推奨事項の実装に責任を持つかどうか。 セキュリティの責任はパブリック クラウドで共有されます。 一部のセキュリティ制御はクラウド サービス プロバイダーのみが使用できるため、プロバイダーはそれらの対応を担当します。 これらは一般的な観察結果であり、一部の個々のサービスでは、責任が Azure セキュリティ ベンチマークに記載されているものとは異なります。 これらの違いについては、個々のサービスのベースラインの推奨事項に記載されています。
- 顧客セキュリティの利害関係者: 顧客組織の セキュリティ機能 で、それぞれの制御について説明責任、責任、または相談を受ける可能性があります。 会社のセキュリティ組織の構造や、Azure セキュリティに関連して設定した役割と責任によって、組織によって異なる場合があります。
注
ASB と業界ベンチマーク (NIST や CIS など) との間の制御マッピングは、特定の Azure 機能を使用して、NIST または CIS で定義されている制御要件に完全または部分的に対処できることを示しているだけです。 このような実装は、必ずしもCISまたはNISTの対応する制御の完全な準拠につながるわけではないことに注意してください。
Azure セキュリティ ベンチマークの取り組みに関する詳細なフィードバックと積極的な参加をお待ちしております。 Azure セキュリティ ベンチマーク チームに直接入力を提供する場合は、次のフォームに入力します。 https://aka.ms/AzSecBenchmark
ダウンロード
Azure セキュリティ ベンチマークは スプレッドシート形式でダウンロードできます。
次のステップ
- 最初のセキュリティ 制御を参照してください: ネットワーク セキュリティ
- Azure セキュリティ ベンチマークの概要を読む
- Azure セキュリティの基礎について