脆弱性管理の推奨事項では、脆弱性を特定して修復するために新しい情報を継続的に取得、評価、および操作することに関連する問題に対処し、攻撃者の機会を最小限に抑えることに重点を置いています。
5.1:自動化された脆弱性スキャン ツールを実行する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 5.1 | 3.1, 3.2, 3.3 | カスタマー |
Azure 仮想マシン、コンテナー イメージ、および SQL サーバーで脆弱性評価を実行する方法については、Azure Security Center の推奨事項に従ってください。
ネットワーク デバイスと Web アプリケーションで脆弱性評価を実行するには、サードパーティのソリューションを使用します。 リモート スキャンを実行する場合は、永続的な管理アカウントを 1 つ使用しないでください。 スキャン アカウントの JIT プロビジョニング手法の実装を検討してください。 スキャン アカウントの資格情報は、保護、監視、および脆弱性スキャンにのみ使用する必要があります。
5.2:自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 5.2 | 3.4 | カスタマー |
Azure の "Update Management" を使用して、最新のセキュリティ更新プログラムが Windows および Linux VM にインストールされていることを確認します。 Windows VM の場合は、Windows Update が有効になっており、自動的に更新されるように設定されていることを確認します。
5.3: サードパーティ製ソフトウェア タイトル用の自動パッチ管理ソリューションを展開する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 5.3 | 3.5 | カスタマー |
サード パーティのパッチ管理ソリューションを使用します。 環境内で既に System Center Configuration Manager を利用しているお客様は、System Center Updates Publisher を利用して、カスタム更新プログラムを Windows Server Update Service に発行できます。 これにより、Update Manager は、System Center Configuration Manager をサード パーティ製ソフトウェアの更新リポジトリとして使用するマシンに修正プログラムを適用できます。
5.4:バックツーバックの脆弱性スキャンを比較する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 5.4 | 3.6 | カスタマー |
一貫した間隔でスキャン結果をエクスポートし、結果を比較して脆弱性が修復されたことを確認します。 Azure Security Center によって提案された脆弱性管理の推奨事項を使用する場合は、選択したソリューションのポータルにピボットして、履歴スキャン データを表示できます。
5.5:リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける
| Azure ID | CISのID | 責任 |
|---|---|---|
| 5.5 | 3.7 | カスタマー |
共通のリスク スコアリング プログラム (Common Vulnerability Scoring System など) またはサードパーティのスキャン ツールによって提供される既定のリスク評価を使用します。
次のステップ
- 次のセキュリティコントロール:インベントリと資産管理を参照してください