次の方法で共有

Azure セキュリティ コントロールの概要 (v3)

Azure セキュリティ ベンチマーク (ASB) には、Azure 上のワークロード、データ、サービスのセキュリティを向上させるための規範的なベスト プラクティスと推奨事項が用意されています。 このベンチマークは、以下を含む包括的なセキュリティ ガイダンスのセットの一部です。

Azure セキュリティ ベンチマークでは、クラウド中心の制御領域に重点を置いています。 これらのコントロールは、インターネット セキュリティセンター (CIS) コントロール、国立標準技術研究所 (NIST)、および Payment Card Industry Data Security Standard (PCI-DSS) で説明されているものなど、よく知られているセキュリティ ベンチマークと一致します。

ASB v3 の新機能

Azure セキュリティ ベンチマーク v3 の新機能を次に示します。

  • CIS Controls v7.1 および NIST SP800-53 Rev4 への既存のマッピングに加えて、v3.2.1CIS Controls v8PCI-DSS 業界フレームワークへのマッピングが追加されます。
  • このコントロールガイダンスは、より詳細で実用的になるように改良されています。たとえば、セキュリティガイダンスは現在、セキュリティ原則Azureガイダンスの2つの部分に分かれています。 セキュリティ原則は、技術に依存しないレベルで制御を説明する「何」です。Azure ガイダンスでは、"方法" に重点を置き、関連する技術的な機能と、Azure でコントロールを実装する方法について詳しく説明します。
  • 新しいコントロール (たとえば、新しいコントロール ファミリとしての DevOps Security) の追加。これには、脅威モデリングやソフトウェアサプライ チェーン セキュリティなどのトピックも含まれます。 Azure でキーと証明書管理のベスト プラクティスを推奨するために、キーと証明書の管理が導入されました。

コントロール

Azure セキュリティ ベンチマーク v3 には、次のコントロールが含まれています。

ASB制御領域 説明
ネットワーク セキュリティ (NS) ネットワーク セキュリティには、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部攻撃の防止と軽減、DNS のセキュリティ保護など、Azure ネットワークをセキュリティで保護するための制御が含まれます。
ID 管理 (IM) Identity Management では、アプリケーションのシングル サインオン、強力な認証、マネージド ID (およびサービス プリンシパル) の使用、条件付きアクセス、アカウントの異常の監視など、Azure Active Directory を使用してセキュリティで保護された ID とアクセス制御を確立するための制御について説明します。
特権アクセス(PA) Privileged Access には、Azure テナントとリソースへの特権アクセスを保護するための制御が含まれます。これには、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的で不注意なリスクから保護するためのさまざまな制御が含まれます。
データ保護 (DP) データ保護では、Azure でアクセス制御、暗号化、およびログ記録を使用した機密データ資産の検出、分類、保護、監視など、保存時、転送中、および承認されたアクセス メカニズムを介したデータ保護のコントロールを対象とします。
資産管理 (AM) 資産資産管理では、セキュリティ担当者のアクセス許可に関する推奨事項、資産インベントリへのセキュリティ アクセス、サービスとリソースの承認の管理 (インベントリ、追跡、および正しい) など、Azure リソースに対するセキュリティの可視性とガバナンスを確保するための制御について説明します。
ログと脅威の検出 (LT) ログと脅威の検出では、Azure 上の脅威を検出し、Azure サービスの監査ログを有効、収集、および格納するためのコントロールについて説明します。これには、Azure サービスでネイティブの脅威検出を使用して高品質のアラートを生成するコントロールを使用した検出、調査、修復プロセスの有効化などです。また、Azure Monitor でのログの収集、Azure Sentinel を使用したセキュリティ分析の一元化、時刻同期、ログの保持も含まれます。
インシデント対応 (IR) インシデント対応には、インシデント対応のライフ サイクル (準備、検出と分析、封じ込め、インシデント後のアクティビティなど) の制御が含まれます。これには、Microsoft Defender for Cloud や Sentinel などの Azure サービスを使用してインシデント対応プロセスを自動化する方法が含まれます。
姿勢および脆弱性管理 (PV) ポスチャと脆弱性管理では、脆弱性スキャン、侵入テストと修復、Azure リソースのセキュリティ構成の追跡、レポート、修正など、Azure のセキュリティ体制を評価および改善するための制御に重点を置いています。
エンドポイント セキュリティ (ES) エンドポイント セキュリティでは、Azure 環境でのエンドポイントに対するエンドポイントの検出と応答 (EDR) およびマルウェア対策サービスの使用など、エンドポイントの検出および応答でのコントロールを対象とします。
バックアップと回復 (BR) バックアップと回復では、さまざまなサービス レベルでのデータと構成のバックアップが実行、検証、保護されるようにするための制御が含まれます。
DevOps セキュリティ (DS) DevOps Security は、DevOps プロセス全体のセキュリティを確保するために、デプロイ フェーズ前の重要なセキュリティ チェック (静的アプリケーション セキュリティ テスト、脆弱性管理など) のデプロイを含む、DevOps プロセスのセキュリティ エンジニアリングと運用に関連するコントロールを対象としています。また、脅威モデリングやソフトウェア供給のセキュリティなどの一般的なトピックも含まれています。
ガバナンスと戦略 (GS) ガバナンスと戦略では、さまざまなクラウド セキュリティ機能の役割と責任の確立、統合された技術戦略、ポリシーと標準のサポートなど、セキュリティ保証をガイドして維持するための一貫性のあるセキュリティ戦略と文書化されたガバナンス アプローチを確保するためのガイダンスが提供されます。

Azure セキュリティ ベンチマークの推奨事項

各推奨事項には次の情報が含まれます。

  • ASB ID: 推奨事項に対応する Azure セキュリティ ベンチマーク ID。
  • CIS コントロール v8 ID: 推奨事項に対応する CIS コントロール v8 コントロール。
  • CIS コントロール v7.1 ID: 推奨に対応する CIS コントロール v7.1 コントロール (書式設定の理由により、Web では使用できません)。
  • PCI-DSS v3.2.1 ID(s): 推奨事項に対応する PCI-DSS v3.2.1 コントロール。
  • NIST SP 800-53 r4 ID:この推奨事項に対応する NIST SP 800-53 r4 (Moderate および High) コントロール。
  • セキュリティ原則: 推奨事項は、テクノロジに依存しないレベルでコントロールを説明する "何" に焦点を当てたものです。
  • Azure ガイダンス: 推奨事項では、Azure の技術的な機能と実装の基本について説明する"方法" に重点を置いて説明しました。
  • 実装と追加のコンテキスト: 実装の詳細と、ドキュメント記事を提供する Azure サービスにリンクするその他の関連コンテキスト。
  • 顧客のセキュリティ利害関係者: 顧客組織において、責任を担う、あるいは説明責任を果たすまたは相談を受ける可能性のある セキュリティ機能。 会社のセキュリティ組織の構造や、Azure セキュリティに関連して設定した役割と責任によって、組織によって異なる場合があります。

ASB と業界ベンチマーク (CIS、NIST、PCI など) 間の制御マッピングは、特定の Azure 機能を使用して、これらの業界ベンチマークで定義されている制御要件に完全または部分的に対処できることを示すだけです。 このような実装は、必ずしもこれらの業界ベンチマークの対応するコントロールの完全なコンプライアンスに変換されるわけではないことに注意してください。

Azure セキュリティ ベンチマークの取り組みに関する詳細なフィードバックと積極的な参加をお待ちしております。 Azure セキュリティ ベンチマーク チームに直接入力を提供する場合は、次のフォームに入力します。 https://aka.ms/AzSecBenchmark

ダウンロード

Azure セキュリティ ベンチマークは スプレッドシート形式でダウンロードできます。

次のステップ