セキュリティコントロール v3: ガバナンスと戦略

2025-05-01

ガバナンスと戦略では、さまざまなクラウドセキュリティ機能の役割と責任の確立、統合された技術戦略、ポリシーと標準のサポートなど、セキュリティ保証をガイドして維持するための一貫性のあるセキュリティ戦略と文書化されたガバナンスアプローチを確保するためのガイダンスが提供されます。

GS-1: 組織のロール、責任、責務を整合させる

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
14.9	PL-9、PM-10、PM-13、AT-1、AT-3	2.4

Azure ガイダンス: セキュリティ組織のロールと責任に関する明確な戦略を定義し、伝える必要があります。セキュリティ上の決定に明確なアカウンタビリティを提供し、全員に共有責任モデルの教育を行い、テクノロジに関する技術チームを教育してクラウドをセキュリティで保護することを優先します。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

すべての利害関係者

GS-2: 職務戦略のエンタープライズセグメント化と分離を定義して実装する

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
3.12	AC-4、SC-7、SC-2	1.2, 6.4

Azure ガイダンス: ID、ネットワーク、アプリケーション、サブスクリプション、管理グループ、およびその他のコントロールの組み合わせを使用して資産へのアクセスをセグメント化するエンタープライズ全体の戦略を確立します。

セキュリティの分離の必要性と、相互に通信してデータにアクセスする必要があるシステムの毎日の運用を可能にする必要性とのバランスを慎重に取ります。

ネットワークセキュリティ、ID とアクセスモデル、アプリケーションのアクセス許可/アクセスモデル、人間のプロセス制御など、セグメント化戦略がワークロードに一貫して実装されていることを確認します。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

すべての利害関係者

GS-3: データ保護戦略を定義して実装する

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
3.1, 3.7, 3.12	AC-4、SI-4、SC-8、SC-12、SC-17、SC-28、RA-2	3.1、3.2、3.3、3.4、3.5、3.6、3.7、4.1、A3.2

Azure ガイダンス: Azure でのデータ保護のためのエンタープライズ全体の戦略を確立します。

エンタープライズデータ管理標準と規制コンプライアンスに従ってデータ分類と保護標準を定義して適用し、データ分類の各レベルに必要なセキュリティ制御を決定します。
エンタープライズセグメント化戦略に合わせてクラウドリソース管理階層を設定します。企業のセグメント化戦略は、機密性の高い、またはビジネスに不可欠なデータとシステムの場所によっても通知する必要があります。
境界内のネットワークの場所に基づく信頼を実装しないように、クラウド環境で該当するゼロトラスト原則を定義して適用します。代わりに、デバイスとユーザーの信頼要求を使用して、データとリソースへのアクセスを制限します。
企業全体の機密データフットプリント (ストレージ、転送、処理) を追跡して最小限に抑え、攻撃対象領域とデータ保護コストを削減します。機密データを元の形式で格納および送信しないように、可能な場合は、ワークロードで一方向のハッシュ、切り捨て、トークン化などの手法を検討してください。
データとアクセスキーのセキュリティ保証を提供するための完全なライフサイクル制御戦略があることを確認します。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

すべての利害関係者

GS-4: ネットワークセキュリティ戦略を定義して実装する

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
12.2, 12.4	AC-4、AC-17、CA-3、CM-1、CM-2、CM-6、CM-7、SC-1、SC-2、SC-5、SC-7、SC-20、SC-21、SI-4	1.1、1.2、1.3、1.5、4.1、6.6、11.4、A2.1、A2.2、A2.3、A3.2

Azure ガイダンス: アクセス制御に関する組織の全体的なセキュリティ戦略の一環として、Azure ネットワークセキュリティ戦略を確立します。この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、および標準を含める必要があります。

ネットワークリソースをデプロイして維持するために、一元化/分散化されたネットワーク管理とセキュリティ責任モデルを設計します。
企業のセグメント化戦略に合わせた仮想ネットワークのセグメント化モデル。
インターネット境界とネットワーク受信および送信の戦略。
ハイブリッドクラウドとオンプレミスの相互接続戦略。
ネットワークの監視とログ記録の戦略。
up-to-date ネットワークセキュリティ成果物 (ネットワークダイアグラム、参照ネットワークアーキテクチャなど)。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

すべての利害関係者

GS-5: セキュリティ体制管理戦略を定義して実装する

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.1, 4.2	CA-1、CA-8、CM-1、CM-2、CM-6、RA-1、RA-3、RA-5、SI-1、SI-2、SI-5	1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5

Azure ガイダンス: セキュリティ構成の管理と脆弱性の管理がクラウドセキュリティの義務に確実に適用されるように、ポリシー、手順、および標準を確立します。

Azure のセキュリティ構成管理には、次の領域が含まれている必要があります。

Azure portal、管理とコントロールプレーン、IaaS、PaaS、SaaS サービスで実行されているリソースなど、クラウド内のさまざまなリソースの種類に対してセキュリティで保護された構成基準を定義します。
セキュリティベースラインが、ネットワークセキュリティ、ID 管理、特権アクセス、データ保護など、さまざまな制御領域のリスクに対処していることを確認します。
ツールを使用して構成を継続的に測定、監査、適用し、構成がベースラインから逸脱しないようにします。
Azure のセキュリティ機能を使用して更新を維持する頻度を開発します。たとえば、サービスの更新プログラムをサブスクライブします。
Azure Defender for Cloud のセキュリティスコアを利用して、Azure のセキュリティ構成の状態を定期的に確認し、特定されたギャップを修復します。

Azure の脆弱性管理には、次のセキュリティ側面が含まれている必要があります。

Azure ネイティブサービス、オペレーティングシステム、アプリケーションコンポーネントなど、すべてのクラウドリソースの種類の脆弱性を定期的に評価して修復します。
リスクベースのアプローチを使用して、評価と修復に優先順位を付けます。
関連する Microsoft/Azure セキュリティアドバイザリの通知とブログをサブスクライブして、Azure に関する最新のセキュリティ更新プログラムを受け取ります。
脆弱性の評価と修復 (スケジュール、スコープ、手法など) が、組織の定期的なコンプライアンス要件を満たしていることを確認します。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

すべての利害関係者

GS-6: ID および特権アクセス戦略を定義して実装する

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
5.6, 6.5, 6.7	AC-1、AC-2、AC-3、AC-4、AC-5、AC-6、IA-1、IA-2、IA-4、IA-5、IA-8、IA-9、SI-4	7.1、7.2、7.3、8.1、8.2、8.3、8.4、8.5、8.6、8.7、8.8、A3.4

Azure ガイダンス: 組織の全体的なセキュリティアクセス制御戦略の一環として、Azure ID と特権アクセスアプローチを確立します。この戦略には、次の側面に関する文書化されたガイダンス、ポリシー、および標準を含める必要があります。

一元化された ID および認証システム (Azure AD) とその他の内部および外部 ID システムとの相互接続性
特権 ID とアクセスガバナンス (アクセス要求、レビュー、承認など)
緊急時の特権アカウント (ブレイクグラス対応)
さまざまなユースケースと条件での強力な認証 (パスワードレス認証と多要素認証) 方法
Azure portal、CLI、API を使用して管理操作によるアクセスをセキュリティで保護します。

エンタープライズシステムが使用されていない例外の場合は、ID、認証とアクセスの管理、ガバナンスに対して適切なセキュリティ制御が実施されていることを確認します。これらの例外は、エンタープライズチームによって承認され、定期的に確認される必要があります。これらの例外は、通常、次のような場合に発生します。

クラウドベースのサードパーティシステムなど、企業以外の指定された ID および認証システムを使用する (不明なリスクが発生する可能性があります)
特権ユーザーがローカルで認証された、または非強力な認証方法を使用する

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

すべての利害関係者

GS-7: ログ、脅威検出、インシデント対応戦略を定義して実装する

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
8.1, 13.1, 17.2, 17.4,17.7	AU-1、IR-1、IR-2、IR-10、SI-1、SI-5	10.1、10.2、10.3、10.4、10.5、10.6、10.7、10.8、10.9、12.10、A3.5

Azure ガイダンス: 脅威を迅速に検出して修復し、コンプライアンス要件を満たすためのログ記録、脅威検出、インシデント対応戦略を確立します。セキュリティ運用 (SecOps/SOC) チームは、ログ統合や手動の手順ではなく脅威に集中できるように、高品質のアラートとシームレスなエクスペリエンスに優先順位を付ける必要があります。

この戦略には、次の側面に関する文書化されたポリシー、手順、標準を含める必要があります。

セキュリティ運用 (SecOps) 組織の役割と責任
NIST またはその他の業界フレームワークに沿った、明確に定義され、定期的にテストされたインシデント対応計画と処理プロセス。
顧客、サプライヤー、および関心のある公開関係者とのコミュニケーションと通知の計画。
Azure Defender 機能などの拡張検出および応答 (XDR) 機能を使用して、さまざまな領域の脅威を検出することを優先します。
ログ記録と脅威検出、フォレンジック、攻撃の修復と根絶など、インシデント処理のための Azure ネイティブ機能 (Microsoft Defender for Cloud など) とサードパーティプラットフォームの使用。
主要なシナリオ (脅威検出、インシデント対応、コンプライアンスなど) を定義し、シナリオの要件を満たすようにログキャプチャとリテンション期間を設定します。
SIEM、ネイティブ Azure 脅威検出機能、およびその他のソースを使用して、脅威に関する情報の一元的な可視性と関連付け。
インシデント後のアクティビティ (学習した教訓や証拠の保持など)。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

すべての利害関係者

GS-8: バックアップと回復の戦略を定義して実装する

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
11.1	CP-1、CP-9、CP-10	3.4

Azure ガイダンス: 組織の Azure バックアップと復旧戦略を確立します。この戦略には、次の点で文書化されたガイダンス、ポリシー、および標準を含める必要があります。

ビジネスの回復性の目標と規制コンプライアンス要件に従った目標復旧時間 (RTO) と目標復旧時点 (RPO) の定義。
クラウドとオンプレミスの両方のアプリケーションとインフラストラクチャの冗長性設計 (バックアップ、復元、レプリケーションを含む)。戦略の一環として、リージョン、リージョンペア、リージョン間の復旧、およびオフサイトストレージの場所を検討します。
データアクセス制御、暗号化、ネットワークセキュリティなどの制御を使用して、未承認のアクセスとテンパリングからバックアップを保護します。
バックアップと回復を使用して、ランサムウェア攻撃などの新たな脅威からのリスクを軽減します。また、これらの攻撃からバックアップと回復のデータ自体をセキュリティで保護します。
監査とアラートの目的でバックアップと回復のデータと操作を監視する。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

すべての利害関係者

GS-9: エンドポイントセキュリティ戦略を定義して実装する

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.4, 10.1	SI-2、SI-3、SC-3	5.1, 5.2, 5.3, 5.4, 11.5

Azure ガイダンス: 次の側面を含むクラウドエンドポイントセキュリティ戦略を確立します。

エンドポイントの検出と対応、マルウェア対策の機能をエンドポイントにデプロイし、脅威検出と SIEM ソリューションとセキュリティ運用プロセスと統合します。
Azure セキュリティベンチマークに従って、エンドポイントに関連するセキュリティ設定 (ネットワークセキュリティ、ポスチャの脆弱性管理、ID と特権アクセス、ログ記録と脅威の検出など) を確実に実施して、エンドポイントの多層防御を提供します。
運用環境のエンドポイントセキュリティに優先順位を付けますが、非運用環境 (DevOps プロセスで使用されるテスト環境やビルド環境など) もセキュリティで保護および監視されるようにします。これらの環境を使用して、マルウェアや脆弱性を運用環境に導入することもできます。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

すべての利害関係者

GS-10: DevOps セキュリティ戦略を定義して実装する

CIS Controls v8 ID	NIST SP 800-53 r4 ID	PCI-DSS ID v3.2.1
4.1, 4.2, 16.1, 16.2	SA-12、SA-15、CM-1、CM-2、CM-6、AC-2、AC-3、AC-6、SA-11、AU-6、AU-12、SI-4	2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2

Azure ガイダンス: 組織の DevOps エンジニアリングおよび運用標準の一部としてセキュリティ制御を義務付けます。組織のエンタープライズおよびクラウドのセキュリティ標準に従って、セキュリティ目標、制御要件、およびツール仕様を定義します。

CI/CD ワークフロー全体でさまざまな種類の自動化 (コードプロビジョニングとしてのインフラストラクチャ、自動 SAST および DAST スキャンなど) を使用して脆弱性を迅速に特定して修復する利点を得るための、組織の不可欠な運用モデルとして DevOps を使用することを推奨します。この "シフト左" アプローチにより、デプロイパイプラインで一貫したセキュリティチェックを適用する可視性と機能も向上し、ワークロードを運用環境にデプロイするときの直前のセキュリティの驚きを回避するために、セキュリティガードレールを事前に環境に効果的にデプロイできます。

セキュリティコントロールをデプロイ前フェーズに移行する場合は、セキュリティガードレールを実装して、DevOps プロセス全体でコントロールがデプロイおよび適用されるようにします。このテクノロジには、IaC (コードとしてのインフラストラクチャ) でガードレールを定義する Azure ARM テンプレート、リソースプロビジョニング、および環境にプロビジョニングできるサービスまたは構成を監査および制限する Azure Policy が含まれる場合があります。

ワークロードの実行時のセキュリティ制御については、Azure セキュリティベンチマークに従って、ID と特権アクセス、ネットワークセキュリティ、エンドポイントセキュリティ、ワークロードアプリケーションとサービス内のデータ保護などのコントロールを効果的に設計して実装します。

実装と追加のコンテキスト:

顧客のセキュリティ利害関係者 (詳細情報):

すべての利害関係者

次の方法で共有

セキュリティ コントロール v3: ガバナンスと戦略

GS-1: 組織のロール、責任、責務を整合させる

GS-2: 職務戦略のエンタープライズ セグメント化と分離を定義して実装する

GS-3: データ保護戦略を定義して実装する

GS-4: ネットワーク セキュリティ戦略を定義して実装する

GS-5: セキュリティ体制管理戦略を定義して実装する

GS-6: ID および特権アクセス戦略を定義して実装する

GS-7: ログ、脅威検出、インシデント対応戦略を定義して実装する

GS-8: バックアップと回復の戦略を定義して実装する

GS-9: エンドポイント セキュリティ戦略を定義して実装する

GS-10: DevOps セキュリティ戦略を定義して実装する

フィードバック

その他のリソース

セキュリティコントロール v3: ガバナンスと戦略

GS-2: 職務戦略のエンタープライズセグメント化と分離を定義して実装する

GS-4: ネットワークセキュリティ戦略を定義して実装する

GS-9: エンドポイントセキュリティ戦略を定義して実装する