セキュリティ制御 v3: 資産管理
アセット管理では、セキュリティ担当者に対するアクセス許可、資産インベントリへのセキュリティ アクセス、サービスとリソース (在庫、追跡、および修正) の承認の管理に関する推奨事項など、Azure リソースに対するセキュリティの可視性とガバナンスを確保するためのコントロールを対象とします。
AM-1: 資産インベントリとそのリスクを追跡する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1、1.5、2.1、2.4 | CM-8、PM-5 | 2.4 |
セキュリティ原則: クエリで資産インベントリを追跡し、すべてのクラウド リソースを検出します。 サービスの性質、場所、その他の特性に基づいて資産に対してタグ付けやグループ化を行うことで、資産を論理的にまとめます。 セキュリティ組織が、継続的に更新される資産のインベントリにアクセスできるようにします。
セキュリティに関する分析情報とリスクを常に一元的に集約することで、セキュリティ組織がクラウド資産のリスクを監視できるようにします
Azure ガイダンス: Microsoft Defender for Cloud インベントリ機能と Azure Resource Graph を使用すると、クエリを実行してサブスクリプション内のすべてのリソース (Azure サービス、アプリケーション、ネットワーク リソースなど) を検出できます。 タグと Azure の他のメタデータ (名前、説明、カテゴリ) を使用して、組織の分類に従って資産を論理的に整理します。
セキュリティ組織が、Azure 上の資産の継続的に更新されるインベントリに確実にアクセスできるようにします。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、および継続的なセキュリティ改善への入力として、このインベントリを必要とすることがよくあります。
セキュリティ組織に Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。 セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。
注:ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。
実装と追加のコンテキスト:
- Azure Resource Graph Explorer を使用してクエリを作成する方法
- Microsoft Defender for Cloud の資産インベントリの管理
- 資産のタグ付けの詳細については、「リソースの名前付けとタグ付けの意思決定ガイド」を参照
- セキュリティ閲覧者ロールの概要
顧客のセキュリティ上の利害関係者 (詳細):
AM-2: 承認済みのサービスのみを使用する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5、2.6、2.7、4.8 | CM-8、PM-5 | 6.3 |
セキュリティ原則: 環境内でユーザーがプロビジョニングできるサービスを監査および制限して、承認されたクラウド サービスだけを使用できるようにします。
Azure ガイダンス: Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。
実装と追加のコンテキスト:
- Azure Policy を構成して管理する
- Azure Policy を使用して特定のリソースの種類を拒否する方法
- Azure Resource Graph Explorer を使用してクエリを作成する方法
顧客のセキュリティ上の利害関係者 (詳細):
AM-3: アセット ライフサイクル管理のセキュリティを確保する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 1.1、2.1 | CM-8、CM-7 | 2.4 |
セキュリティ原則: 資産のセキュリティ属性または構成が、資産のライフサイクル中に常に更新されるようにします。
Azure ガイダンス: 大きな影響を与える可能性のある変更について、アセット ライフサイクル管理プロセスに対応するセキュリティ ポリシー/プロセスを確立または更新します。 これらの変更には、ID プロバイダーとアクセス、データの秘密度、ネットワークの構成、管理特権の割り当てに対する変更が含まれます。
不要になったら Azure リソースを削除します。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
AM-4: アセット管理へのアクセスを制限する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3 | AC-3 | なし |
セキュリティ原則: クラウド内の資産に対する偶発的または悪意のある変更を避けるために、アセット管理機能へのユーザーのアクセスを制限します。
Azure ガイダンス: Azure Resource Manager は、Azure のデプロイおよび管理サービスです。 Azure でリソース (資産) を作成、更新、および削除できる管理レイヤーを提供します。 "Microsoft Azure Management" アプリに対して [アクセスのブロック] を構成して、Azure Resource Manager を操作するユーザーの機能を制限するには、Azure AD 条件付きアクセスを使用します。
実装と追加のコンテキスト:
顧客のセキュリティ上の利害関係者 (詳細):
AM-5: 承認されたアプリケーションのみを仮想マシンで使用する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 2.5、2.6、2.7、4.8 | CM-8、CM-7、CM-10、CM-11 | 6.3 |
セキュリティ原則: 許可リストを作成して認可されたソフトウェアのみが実行できるようにし、環境内での未認可のソフトウェアの実行をブロックします。
Azure ガイダンス: Microsoft Defender for Cloud 適応型アプリケーション制御を使用して、アプリケーション許可リストを検出および生成します。 また、ASC の適応型アプリケーション制御を使用して、Azure Virtual Machines 上で承認されたソフトウェアのみを実行し、承認されていないソフトウェアの実行がすべてブロックされるようにすることもできます。
Windows および Linux VM からのインベントリ情報の収集を自動化するには、Azure Automation Change Tracking と Inventory を使用します。 ソフトウェアの名前、バージョン、発行元、および更新時刻は、Azure portal から入手できます。 ソフトウェアのインストール日やその他の情報を入手するには、ゲストレベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースに取り込みます。
スクリプトの種類に基づき、オペレーティング システム固有の構成またはサードパーティのリソースを使用して、ユーザーの Azure コンピューティング リソース内でスクリプトを実行する機能を制限できます。
サードパーティ製のソリューションを使用して、承認されていないソフトウェアを検出して特定することもできます。
実装と追加のコンテキスト:
- Microsoft Defender for Cloud の適応型アプリケーション制御を使用する方法
- Azure Automation Change Tracking と Inventory の概要
- Windows 環境で PowerShell スクリプトの実行を制御する方法
顧客のセキュリティ上の利害関係者 (詳細):