events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
Azure セキュリティベンチマーク (ASB) は、Azure 上のワークロード、データ、およびサービスのセキュリティを強化するための規範的なベスト プラクティスと推奨事項を提供します。 このベンチマークは、次のものを含む包括的なセキュリティ ガイダンスの一部になっています。
Azure セキュリティ ベンチマークの対象は、クラウド中心のコントロール領域です。 これらのコントロールは、Center for Internet Security (CIS) コントロール、米国標準技術研究所 (NIST)、Payment Card Industry Data Security Standard (PCI-DSS) で説明されているような、よく知られたセキュリティ ベンチマークと一貫性があります。
Azure セキュリティ ベンチマーク v3 の新機能は次のとおりです。
Azure セキュリティ ベンチマーク v3 には、次のコントロールが含まれます。
ASB コントロール ドメイン | 説明 |
---|---|
ネットワーク セキュリティ (NS) | ネットワーク セキュリティでは、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の防止と軽減、DNS の保護など、Azure ネットワークをセキュリティで保護するためのコントロールを対象とします。 |
ID 管理 (IM) | Identity Management では、アプリケーション、条件付きアクセス、アカウントの異常監視にシングル サインオン、強力な認証、マネージド ID (およびサービス プリンシパル) の使用など、Azure Active Directory を使用してセキュリティで保護された ID とアクセス制御を確立するための制御について説明します。 |
特権アクセス (PA) | 特権アクセスでは、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的なリスクと偶発的なリスクから保護するためのさまざまなコントロールなど、Azure テナントおよびリソースへの特権アクセスを保護するためのコントロールを対象とします。 |
データ保護 (DP) | データ保護では、Azure でアクセス制御、暗号化、およびログ記録を使用した機密データ資産の検出、分類、保護、監視など、保存時、転送中、および認可されたアクセス メカニズムを介したデータ保護のコントロールを対象とします。 |
アセット管理 (AM) | アセット管理では、セキュリティ担当者に対するアクセス許可、資産インベントリへのセキュリティ アクセス、サービスとリソース (在庫、追跡、および修正) の承認の管理に関する推奨事項など、Azure リソースに対するセキュリティの可視性とガバナンスを確保するためのコントロールを対象とします。 |
ログと脅威検出 (LT) | ログと脅威検出では、Azure での脅威の検出や Azure サービスの監査ログの有効化、収集、および格納を行うコントロールを対象とします。たとえば、Azure サービスのネイティブ脅威検出を使用して高品質アラートを生成するコントロールによる検出、調査、修復のプロセスの有効化のほか、Azure Monitor によるログの収集、Azure Sentinel によるセキュリティ分析の一元化、時間の同期、およびログの保持などがあります。 |
インシデント対応 (IR) | インシデント対応では、Microsoft Defender for Cloud や Sentinel などの Azure サービスを使用してインシデント対応プロセスを自動化するなど、インシデント対応のライフ サイクル (準備、検出と分析、インシデント発生後のアクティビティ) におけるコントロールを対象とします。 |
体制と脆弱性の管理 (PV) | 体制と脆弱性の管理では、脆弱性のスキャン、侵入テスト、修復、Azure リソースでのセキュリティ構成の追跡、レポート、修正など、Azure のセキュリティ体制を評価し改善するためのコントロールに重点を置きます。 |
エンドポイント セキュリティ (ES) | エンドポイント セキュリティでは、Azure 環境でのエンドポイントに対するエンドポイントの検出と応答 (EDR) およびマルウェア対策サービスの使用など、エンドポイントの検出および応答でのコントロールを対象とします。 |
バックアップと回復 (BR) | バックアップと回復では、さまざまなサービス レベルでのデータと構成のバックアップが確実に実行、検証、および保護されるようにするコントロールを対象とします。 |
DevOps セキュリティ (DS) | DevOps セキュリティでは、デプロイ フェーズ前に重要なセキュリティ チェック (静的アプリケーション セキュリティ テストや脆弱性管理など) をデプロイすることによる DevOps プロセス全体のセキュリティの確保など、DevOps プロセスでのセキュリティ エンジニアリングと操作に関連したコントロールを対象とします。また、脅威モデリングやソフトウェア サプライ セキュリティなどの一般的なトピックも含まれます。 |
ガバナンスと戦略 (GS) | ガバナンスと戦略では、セキュリティ アシュアランスをガイドし維持するための整合性のあるセキュリティ戦略と文書化されたガバナンス アプローチを実現するためのガイダンスを提供します。たとえば、さまざまなクラウド セキュリティ機能、統一された技術的戦略、およびサポート ポリシーおよび標準に応じたロールと責任を確立します。 |
各推奨事項には次の情報が含まれます。
注意
ASB と業界のベンチマーク (CIS、NIST、PCI など) のコントロール マッピングは、これらの業界のベンチマークで定義されているコントロール要件に完全または部分的に対応するために特定の Azure 機能を使用できるということを示しているにすぎません。 このように実装しても、これらの業界のベンチマークの対応するコントロールに完全に準拠することには必ずしもならないので注意してください。
Azure セキュリティ ベンチマークの取り組みに関するフィードバックと積極的な参加をお待ちしております。 Azure セキュリティ ベンチマーク チームに直接情報を提供したい場合は、 https://aka.ms/AzSecBenchmark のフォームに入力してください
スプレッドシート形式で Azure セキュリティ ベンチマークをダウンロードできます。
events
11月19日 23時 - 1月10日 23時
Ignite Edition - Microsoft セキュリティ製品のスキルを構築し、1 月 10 日までにデジタル バッジを獲得しましょう。
今すぐ登録トレーニング
モジュール
Azure 向けの Microsoft クラウド導入フレームワークを使用してクラウド セキュリティを準備する - Training
セキュリティは、すべての環境のすべてのお客様に対する主要な考慮事項です。 しかし、クラウドへの移行は重大な変化であり、セキュリティに関する考え方とアプローチに変化が求められます。 クラウド導入フレームワークは、プロセス、ベスト プラクティス、モデル、エクスペリエンスを明確にすることで、このセキュリティに関する取り組みのガイダンスを提供します。
認定資格
Microsoft Certified: Azure Security Engineer Associate - Certifications
セキュリティ制御の実装、組織のセキュリティ体制の維持、セキュリティの脆弱性の特定と修復に必要なスキルを示します。