注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
データ保護は、保存時、転送中、および承認されたアクセス メカニズムを介したデータ保護の制御を対象とします。 これには、Azure でのアクセス制御、暗号化、ログ記録を使用した機密データ資産の検出、分類、保護、監視が含まれます。
該当する組み込みの Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: データ保護」の詳細を参照してください。
DP-1: 機密データの検出、分類、ラベル付け
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
機密情報が組織のテクノロジ システムによって安全に保存、処理、および送信されるように、適切なコントロールを設計できるように、機密データを検出、分類、ラベル付けします。
Azure Information Protection (およびその関連するスキャン ツール) を使用して、Azure、オンプレミス、Office 365、およびその他の場所にある Office ドキュメント内の機密情報を確認します。
Azure SQL Information Protection を使用すると、Azure SQL Database に格納されている情報の分類とラベル付けを支援できます。
責任: 共有
顧客のセキュリティ利害関係者 (詳細情報):
DP-2: 機密データを保護する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7、AC-4 |
Azure ロールベースのアクセス制御 (Azure RBAC)、ネットワークベースのアクセス制御、Azure サービスの特定の制御 (SQL やその他のデータベースでの暗号化など) を使用してアクセスを制限することで、機密データを保護します。
一貫性のあるアクセス制御を確保するには、すべての種類のアクセス制御を企業のセグメント化戦略に合わせる必要があります。 企業のセグメント化戦略は、機密性の高い、またはビジネスに不可欠なデータとシステムの場所によっても通知する必要があります。
Microsoft が管理する基になるプラットフォームの場合、Microsoft はすべての顧客コンテンツを機密として扱い、顧客データの損失と漏洩を防ぎます。 Azure 内の顧客データを確実にセキュリティで保護するために、Microsoft では既定のデータ保護コントロールと機能をいくつか実装しています。
責任: 共有
顧客のセキュリティ利害関係者 (詳細情報):
DP-3: 機密データの不正な転送を監視する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-3 | 13.3 | AC-4、SI-4 |
企業の可視性と制御の範囲外の場所へのデータの不正な転送を監視します。 これには通常、不正なデータ流出を示す可能性のある異常な活動 (大規模または異常な転送) の監視が含まれます。
Azure Defender for Storage と Azure SQL ATP は、機密情報の不正な転送を示す可能性のある異常な情報転送に関するアラートを生成できます。
Azure Information Protection (AIP) は、分類およびラベル付けされた情報の監視機能を提供します。
データ損失防止 (DLP) のコンプライアンスに必要な場合は、ホストベースの DLP ソリューションを使用して、データ流出を防ぐために検出や予防の制御を適用できます。
責任: 共有
顧客のセキュリティ利害関係者 (詳細情報):
DP-4: 転送中の機密情報を暗号化する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-4 | 14.4 | SC-8 |
アクセス制御を補完するには、転送中のデータを暗号化を使用して "帯域外" 攻撃 (トラフィック キャプチャなど) から保護し、攻撃者がデータを簡単に読み取ったり変更したりできないようにする必要があります。
これはプライベート ネットワーク上のトラフィックでは省略できますが、外部ネットワークとパブリック ネットワーク上のトラフィックには重要です。 HTTP トラフィックの場合は、Azure リソースに接続するすべてのクライアントが TLS v1.2 以上をネゴシエートできることを確認します。 リモート管理の場合は、暗号化されていないプロトコルではなく、SSH (Linux の場合) または RDP/TLS (Windows の場合) を使用します。 古い SSL、TLS、SSH のバージョンとプロトコル、および脆弱な暗号は無効にする必要があります。
既定では、Azure では、Azure データ センター間で転送中のデータの暗号化が提供されます。
責任: 共有
顧客のセキュリティ利害関係者 (詳細情報):
DP-5: 保管中の機密情報を暗号化する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| DP-5 | 14.8 | SC-28、SC-12 |
アクセス制御を補完するために、保存データは、暗号化を使用した "帯域外" 攻撃 (基になるストレージへのアクセスなど) から保護する必要があります。 これにより、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。
Azure では、既定で保存データの暗号化が提供されます。 機密性の高いデータの場合は、使用可能なすべての Azure リソースに保存時に追加の暗号化を実装するオプションがあります。 Azure では暗号化キーが既定で管理されますが、Azure には特定の Azure サービスの独自のキー (カスタマー マネージド キー) を管理するためのオプションが用意されています。
責任: 共有
顧客のセキュリティ利害関係者 (詳細情報):