注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
データ保護の推奨事項は、データ アクセスの暗号化、アクセス制御リスト、ID ベースのアクセス制御、監査ログに関連する問題に対処することに重点を置きます。
4.1: 機密情報のインベントリを維持する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 4.1 | 13.1 | カスタマー |
タグを使用して、機密情報を格納または処理する Azure リソースの追跡を支援します。
4.2:機密情報を格納または処理するシステムを分離する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 4.2 | 13.2, 2.10 | カスタマー |
環境の種類やデータの秘密度レベルなど、個々のセキュリティ ドメインに個別のサブスクリプションと管理グループを使用して分離を実装します。 アプリケーションとエンタープライズ環境で要求される Azure リソースへのアクセス レベルを制限できます。 Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure リソースへのアクセスを制御できます。
4.3:機密情報の承認されていない転送を監視してブロックする
| Azure ID | CISのID | 責任 |
|---|---|---|
| 4.3 | 13.3 | Shared |
機密情報の不正な転送を監視し、情報セキュリティの専門家に警告しながらそのような転送をブロックするネットワーク境界で、Azure Marketplace のサードパーティ ソリューションを活用します。
Microsoft が管理する基になるプラットフォームの場合、Microsoft はすべての顧客コンテンツを機密として扱い、顧客のデータ損失や漏洩を防ぎます。 Azure 内の顧客データを確実にセキュリティで保護するために、Microsoft は一連の堅牢なデータ保護コントロールと機能を実装し、維持しています。
4.4:転送中のすべての機密情報を暗号化する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 4.4. | 14.4 | Shared |
転送中のすべての機密情報を暗号化します。 Azure リソースに接続するすべてのクライアントが TLS 1.2 以降をネゴシエートできることを確認します。
保存時の暗号化と転送中の暗号化については、Azure Security Center の推奨事項に従ってください (該当する場合)。
4.5:アクティブ検出ツールを使用して機密データを特定する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 4.5 | 14.5 | Shared |
Azure の特定のサービスで使用できる機能がない場合は、サード パーティのアクティブな検出ツールを使用して、オンプレミスやリモート サービス プロバイダーなど、組織のテクノロジ システムによって格納、処理、または送信されるすべての機密情報を特定し、組織の機密情報インベントリを更新します。
Microsoft 365 ドキュメント内の機密情報を識別するには、Azure Information Protection を使用します。
Azure SQL Information Protection を使用して、Azure SQL Database に格納されている情報の分類とラベル付けを支援します。
4.6: Azure RBAC を使用してリソースへのアクセスを制御する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 4.6 | 14.6 | カスタマー |
Azure ロールベースのアクセス制御 (Azure RBAC) を使用してデータとリソースへのアクセスを制御します。それ以外の場合は、サービス固有のアクセス制御方法を使用します。
4.7: ホストベースのデータ損失防止を使用してアクセス制御を強制する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 4.7 | 14.7 | Shared |
コンピューティング リソースのコンプライアンスに必要な場合は、自動ホスト ベースのデータ損失防止ソリューションなどのサード パーティ製ツールを実装して、システムからデータがコピーされた場合でもデータへのアクセス制御を適用します。
Microsoft が管理する基になるプラットフォームの場合、Microsoft はすべての顧客コンテンツを機密性の高いものとして扱い、お客様のデータ損失や漏洩を防ぐために非常に長い時間を必要とします。 Azure 内の顧客データを確実にセキュリティで保護するために、Microsoft は一連の堅牢なデータ保護コントロールと機能を実装し、維持しています。
4.8: 保存時の機密情報を暗号化する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 4.8 | 14.8 | カスタマー |
Azure リソース全体において、データを保存する際に暗号化を使用します。 Microsoft では、暗号化キーの管理を Azure に許可することをお勧めしますが、一部のインスタンスでは独自のキーを管理するオプションがあります。
4.9: 重要な Azure リソースへの変更に関するログとアラート
| Azure ID | CISのID | 責任 |
|---|---|---|
| 4.9 | 14.9 | カスタマー |
Azure Monitor と Azure アクティビティ ログを使用して、重要な Azure リソースに変更が行われたときにアラートを作成します。
次のステップ
- 次のセキュリティコントロールを参照してください: 脆弱性管理