セキュリティ コントロール v3: 体制と脆弱性の管理

  • [アーティクル]

体制と脆弱性の管理では、脆弱性のスキャン、侵入テスト、修復、Azure リソースでのセキュリティ構成の追跡、レポート、修正など、Azure のセキュリティ体制を評価し改善するためのコントロールに重点を置きます。

PV-1: セキュリティで保護された構成を定義して確立する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.1、4.2 CM-2、CM-6 1.1

セキュリティ原則: クラウド内のさまざまなリソースの種類に対し、セキュリティで保護された構成基準を定義します。 または、構成管理ツールを使用して、デプロイ後に環境が既定で準拠できるよう、リソースのデプロイの前またはデプロイ中に構成基準を自動的に確立することもできます。

Azure ガイダンス: Azure セキュリティ ベンチマークとサービス ベースラインを使用して、Azure オファリングまたはサービスのそれぞれに対して構成基準を定義します。 Azure リソース全体で必要になりうるクリティカル セキュリティ コントロールと構成について理解するには、Azure リファレンス アーキテクチャとクラウド導入フレームワークのランディング ゾーン アーキテクチャを参照してください。

Azure Blueprints を使用すると、1 つのブループリント定義で、Azure Resource Manager テンプレート、Azure RBAC コントロール、ポリシーなど、サービスとアプリケーション環境のデプロイと構成を自動化することができます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PV-2: セキュリティで保護された構成を監査して適用する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.1、4.2 CM-2、CM-6 2.2

セキュリティ原則: 定義された構成基準からの逸脱がある場合は、継続的な監視とアラートを行います。 非準拠の構成を拒否するか、構成を展開して、ベースライン構成に従って目的の構成を適用します。

Azure ガイダンス: Microsoft Defender for Cloud を使用して、Azure Policy 構成し、Azure リソースの構成の監査と適用を行います。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。

Azure リソース間でセキュリティで保護された構成を適用するには、Azure Policy の [deny] と [deploy if not exist] 規則を使用します。

Azure Policy でサポートされていないリソース構成の監査と適用の場合は、独自のスクリプトを記述するか、サードパーティ製のツールを使用して構成の監査と適用を実装する必要があります。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.1 CM-2、CM-6 2.2

セキュリティ原則: VM やコンテナーなど、コンピューティング リソースのセキュリティ保護された構成基準を定義します。 構成管理ツールを使用して、デプロイ後に環境が既定で準拠できるよう、コンピューティング リソースのデプロイ前またはデプロイ中に構成基準を自動的に確立します。 または、事前構成済みのイメージを使用して、コンピューティング リソース イメージ テンプレートに目的の構成基準を構築します。

Azure ガイダンス: コンピューティング リソースの構成基準を定義するベンチマークとして、(Windows と Linux の両方に対して) Azure で推奨されるオペレーティング システム ベースラインを使用します。

さらに、Azure Policy のゲスト構成および Azure Automation State Configuration でカスタム VM イメージまたはコンテナー イメージを使用し、目的のセキュリティ構成を確立することもできます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PV-4: コンピューティング リソースにセキュリティで保護された構成を監査して適用する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.1 CM-2、CM-6 2.2

セキュリティ原則: コンピューティング リソースで定義された構成基準からの逸脱がある場合は、継続的に監視してアラートを生成します。 非準拠の構成を拒否するか、コンピューティング リソースに構成を展開して、ベースライン構成に従って目的の構成を適用します。

Azure ガイダンス: Microsoft Defender for Cloud と Azure Policy ゲスト構成エージェントを使用して、Azure コンピューティング リソース (VM、コンテナーなど) に定期的にアクセスし、構成の逸脱を修正します。 さらに、Azure Resource Manager テンプレート、カスタム オペレーティング システム イメージ、または Azure Automation State Configuration を使用して、オペレーティング システムのセキュリティ構成を維持できます。 Microsoft VM テンプレートと Azure Automation State Configuration を組み合わせると、セキュリティ要件を満たして維持することができます。

注: Microsoft によって公開された Azure Marketplace の VM イメージが Microsoft によって管理および維持されることにも注意してください。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PV-5: 脆弱性評価を実行する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.5、7.1、7.5、7.6 RA-3、RA-5 6.1、6.2、6.6

セキュリティ原則: 固定スケジュールまたはオンデマンドで、すべてのレベルでクラウド リソースの脆弱性評価を実行します。 スキャン結果を追跡して比較し、脆弱性が修復されるのを確認します。 評価には、Azure サービス、ネットワーク、Web、オペレーティング システムの脆弱性、構成ミスなど、すべての種類の脆弱性を含める必要があります。

脆弱性スキャナーによって使用される特権アクセスに関連する潜在的なリスクに注意してください。 特権アクセス セキュリティのベスト プラクティスに従って、スキャンに使用される管理アカウントをセキュリティで保護します。

Azure ガイダンス: 一般には、Azure 仮想マシン、コンテナー イメージ、および SQL サーバーに対して脆弱性評価を実行することに関する Microsoft Defender for Cloud の推奨事項に従います。 Microsoft Defender for Cloud には、仮想マシンのスキャン用として組み込みの脆弱性スキャナーがあります。 ネットワーク デバイスとアプリケーション (Web アプリケーションなど) で脆弱性評価を実行するためのサードパーティ ソリューションを使用します。

スキャン結果を一定の間隔でエクスポートして、前回のスキャンと結果を比較し、脆弱性が修復されていることを確認します。 Microsoft Defender for Cloud によって提案された脆弱性管理の推奨事項を使用する場合は、選択したスキャン ソリューションのポータルに切り替えてスキャン データの履歴を表示できます。

リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントには、JIT (Just-In-Time) プロビジョニングの方法論を実装することを検討してください。 スキャン アカウントの資格情報は保護と監視の対象とし、脆弱性のスキャンのためにのみ使用する必要があります。

注: Azure Defender サービス (Defender for server、コンテナー レジストリ、App Service、SQL、DNS を含む) には、特定の脆弱性評価機能が埋め込みされています。 Azure Defender サービスから生成されたアラートは、Microsoft Defender for Cloud 脆弱性スキャン ツールの結果と共に監視および確認する必要があります。

注: Microsoft Defender for Cloud でセットアップ用の電子メール通知を確認します。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PV-6: 脆弱性を迅速かつ自動的に修復する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
7.2、7.3、7.4、7.7 RA-3、RA-5、SI-2: 欠陥の修復 6.1、6.2、6.5、11.2

セキュリティ原則: パッチと更新プログラムを迅速かつ自動的にデプロイして、クラウド リソースの脆弱性を修復します。 適切なリスクベースのアプローチを使用して、脆弱性の修復に優先順位を付けます。 たとえば、価値の高い資産における重大な脆弱性は、高優先度で対処する必要があります。

Azure ガイダンス: Azure Automation Update Management またはサードパーティのソリューションを使用して、最新のセキュリティ更新プログラムが Windows および Linux VM にインストールされることを確認します。 Windows VM については、Windows Update が有効になっていて、自動的に更新するよう設定されていることを確認します。

サードパーティ製ソフトウェアの場合は、サードパーティの修正プログラム管理ソリューションまたは Configuration Manager 用の System Center Updates Publisher を使用します。

一般的なリスク スコアリング プログラム (Common Vulnerability Scoring System など) またはサードパーティのスキャン ツールによって提供される既定のリスク評価を使用して、最初にデプロイする更新プログラムに優先順位を付け、環境に合わせて調整します。 また、高いセキュリティ リスクを伴うアプリケーションと、高いアップタイムが必要なアプリケーションも考慮する必要があります。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

PV-7: 定期的なレッド チーム操作を実施する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
18.1、18.2、18.3、18.4、18.5 CA-8、RA-5 6.6、11.2、11.3

セキュリティ原則: 実際の攻撃をシミュレートして、組織の脆弱性についてより包括的なビューを提供します。 レッド チームの運用と侵入テストは、従来の脆弱性スキャン アプローチを補完してリスクを検出します。

業界のベスト プラクティスに従って、このようなテストを設計、準備、実施して、環境に損害や中断が生じなかったりしないか確認します。 これには、テストの範囲と制約について、関連する利害関係者やリソース所有者との話し合いも含まれます。

Azure ガイダンス: 必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。

お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):