Azure セキュリティ コントロールの概要 (v3)

  • [アーティクル]

Azure セキュリティベンチマーク (ASB) は、Azure 上のワークロード、データ、およびサービスのセキュリティを強化するための規範的なベスト プラクティスと推奨事項を提供します。 このベンチマークは、次のものを含む包括的なセキュリティ ガイダンスの一部になっています。

Azure セキュリティ ベンチマークの対象は、クラウド中心のコントロール領域です。 これらのコントロールは、Center for Internet Security (CIS) コントロール、米国標準技術研究所 (NIST)、Payment Card Industry Data Security Standard (PCI-DSS) で説明されているような、よく知られたセキュリティ ベンチマークと一貫性があります。

ASB v3 の新機能

Azure セキュリティ ベンチマーク v3 の新機能は次のとおりです。

  • CIS Controls v7.1NIST SP800-53 Rev4 への既存のマッピングに加え、業界フレームワークの PCI-DSS v3.2.1CIS Controls v8 へのマッピングが追加されました。
  • コントロール ガイダンスがより詳細で実用的になるように改善されました。たとえば、セキュリティ ガイダンスはセキュリティ原則Azure ガイダンスという 2 つの独立した部分に分割されています。 セキュリティ原則は "何" の部分であり、テクノロジに依存しないレベルでコントロールについて説明します。Azure ガイダンスは "方法" に焦点を当てており、Azure でコントロールを実装するための適切な技術的機能および方法を深く掘り下げています。
  • 新しい制御ファミリとして、DevOps セキュリティなどの新しいコントロールが追加されました。これには、脅威モデリングやソフトウェア サプライ チェーンのセキュリティなどのトピックも含まれます。 キーと証明書の管理が、Azure でのキーと証明書の管理のベスト プラクティスを奨励するために導入されました。

コントロール

Azure セキュリティ ベンチマーク v3 には、次のコントロールが含まれます。

ASB コントロール ドメイン 説明
ネットワーク セキュリティ (NS) ネットワーク セキュリティでは、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の防止と軽減、DNS の保護など、Azure ネットワークをセキュリティで保護するためのコントロールを対象とします。
ID 管理 (IM) Identity Management では、アプリケーション、条件付きアクセス、アカウントの異常監視にシングル サインオン、強力な認証、マネージド ID (およびサービス プリンシパル) の使用など、Azure Active Directory を使用してセキュリティで保護された ID とアクセス制御を確立するための制御について説明します。
特権アクセス (PA) 特権アクセスでは、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的なリスクと偶発的なリスクから保護するためのさまざまなコントロールなど、Azure テナントおよびリソースへの特権アクセスを保護するためのコントロールを対象とします。
データ保護 (DP) データ保護では、Azure でアクセス制御、暗号化、およびログ記録を使用した機密データ資産の検出、分類、保護、監視など、保存時、転送中、および認可されたアクセス メカニズムを介したデータ保護のコントロールを対象とします。
アセット管理 (AM) アセット管理では、セキュリティ担当者に対するアクセス許可、資産インベントリへのセキュリティ アクセス、サービスとリソース (在庫、追跡、および修正) の承認の管理に関する推奨事項など、Azure リソースに対するセキュリティの可視性とガバナンスを確保するためのコントロールを対象とします。
ログと脅威検出 (LT) ログと脅威検出では、Azure での脅威の検出や Azure サービスの監査ログの有効化、収集、および格納を行うコントロールを対象とします。たとえば、Azure サービスのネイティブ脅威検出を使用して高品質アラートを生成するコントロールによる検出、調査、修復のプロセスの有効化のほか、Azure Monitor によるログの収集、Azure Sentinel によるセキュリティ分析の一元化、時間の同期、およびログの保持などがあります。
インシデント対応 (IR) インシデント対応では、Microsoft Defender for Cloud や Sentinel などの Azure サービスを使用してインシデント対応プロセスを自動化するなど、インシデント対応のライフ サイクル (準備、検出と分析、インシデント発生後のアクティビティ) におけるコントロールを対象とします。
体制と脆弱性の管理 (PV) 体制と脆弱性の管理では、脆弱性のスキャン、侵入テスト、修復、Azure リソースでのセキュリティ構成の追跡、レポート、修正など、Azure のセキュリティ体制を評価し改善するためのコントロールに重点を置きます。
エンドポイント セキュリティ (ES) エンドポイント セキュリティでは、Azure 環境でのエンドポイントに対するエンドポイントの検出と応答 (EDR) およびマルウェア対策サービスの使用など、エンドポイントの検出および応答でのコントロールを対象とします。
バックアップと回復 (BR) バックアップと回復では、さまざまなサービス レベルでのデータと構成のバックアップが確実に実行、検証、および保護されるようにするコントロールを対象とします。
DevOps セキュリティ (DS) DevOps セキュリティでは、デプロイ フェーズ前に重要なセキュリティ チェック (静的アプリケーション セキュリティ テストや脆弱性管理など) をデプロイすることによる DevOps プロセス全体のセキュリティの確保など、DevOps プロセスでのセキュリティ エンジニアリングと操作に関連したコントロールを対象とします。また、脅威モデリングやソフトウェア サプライ セキュリティなどの一般的なトピックも含まれます。
ガバナンスと戦略 (GS) ガバナンスと戦略では、セキュリティ アシュアランスをガイドし維持するための整合性のあるセキュリティ戦略と文書化されたガバナンス アプローチを実現するためのガイダンスを提供します。たとえば、さまざまなクラウド セキュリティ機能、統一された技術的戦略、およびサポート ポリシーおよび標準に応じたロールと責任を確立します。

Azure セキュリティ ベンチマークの推奨事項

各推奨事項には次の情報が含まれます。

  • ASB ID: 推奨事項に対応する Azure セキュリティ ベンチマーク ID。
  • CIS Controls v8 ID: 推奨事項に対応する CIS Controls v8。
  • CIS Controls v7.1 ID: 推奨事項に対応する CIS Controls v7.1 コントロール (書式設定の理由により、Web では使用できない)。
  • PCI-DSS v3.2.1 ID: 推奨事項に対応する PCI-DSS v3.2.1 コントロール。
  • NIST SP 800-53 r4 ID: この推奨事項に対応する NIST SP 800-53 r4 (中および高) コントロール。
  • セキュリティ原則: "何" に焦点を当てた推奨事項。テクノロジに依存しないレベルでコントロールについて説明しています。
  • Azure Guidance: "方法" に焦点を当てた推奨事項。Azure の技術的機能と実装の基本について説明しています。
  • 実装と追加コンテキスト: Azure サービス内容のドキュメント記事にリンクする実装の詳細とその他の関連コンテキスト。
  • 顧客のセキュリティ上の利害関係者: お客様の組織でそれぞれのコントロールについて説明責任を持つ、責任を負う、または助言が求められるセキュリティ職能。 これは、会社のセキュリティ組織構造と、Azure セキュリティに関連して設定したロールと責任に応じて、組織ごとに異なる可能性があります。

Note

ASB と業界のベンチマーク (CIS、NIST、PCI など) のコントロール マッピングは、これらの業界のベンチマークで定義されているコントロール要件に完全または部分的に対応するために特定の Azure 機能を使用できるということを示しているにすぎません。 このように実装しても、これらの業界のベンチマークの対応するコントロールに完全に準拠することには必ずしもならないので注意してください。

Azure セキュリティ ベンチマークの取り組みに関するフィードバックと積極的な参加をお待ちしております。 Azure セキュリティ ベンチマーク チームに直接情報を提供したい場合は、 https://aka.ms/AzSecBenchmark のフォームに入力してください

ダウンロード

スプレッドシート形式で Azure セキュリティ ベンチマークをダウンロードできます。

次のステップ