ゼロ トラスト導入ガイダンスの一部として、この記事では、組織に適用できる可能性がある規制とコンプライアンスの要件を満たすビジネス シナリオについて説明します。
organizationの IT 環境の複雑さやorganizationの規模に関係なく、ビジネスに影響を与える可能性のある新しい規制要件が継続的に追加されます。 これらの規制には、欧州連合の一般データ保護規則 (GDPR)、カリフォルニア消費者プライバシー法 (CCPA)、医療および財務情報に関する無数の規制、データ所在地の要件が含まれます。
規制とコンプライアンスの要件を満たすプロセスは、適切に管理されていない場合、長く複雑で面倒な場合があります。 この課題により、セキュリティ、コンプライアンス、および規制チームのワークロードが大幅に増加し、コンプライアンスの達成と証明、監査の準備、継続的なベスト プラクティスの実施が可能になります。
ゼロ トラストアプローチは、多くの場合、コンプライアンス規制によって課される一部の種類の要件 (たとえば、個人データへのアクセスを制御する要件) を超えています。 ゼロ トラストアプローチを実装している組織は、既にいくつかの新しい条件を満たしている場合や、ゼロ トラストアーキテクチャに準拠するために簡単に構築できる場合があります。
| 規制とコンプライアンスの要件を満たす従来のアプローチ | ゼロ トラストを使用して規制とコンプライアンスの要件を満たす最新のアプローチ |
|---|---|
| 多くの組織では、さまざまなレガシ ソリューションを組み合わせて使用しています。 多くの場合、これらのソリューションはシームレスに連携せず、インフラストラクチャのギャップが露呈し、運用コストが増加します。 一部の独立した「最良の専門解決策」は、ある規制を満たすために使用されている間に、他の規制への準拠を妨げることがあるかもしれません。 一般的な例の 1 つは、承認された個人がデータを安全に処理するための暗号化の使用です。 ただし、ほとんどの暗号化ソリューションでは、データ損失防止 (DLP)、電子情報開示、アーカイブなどのサービスに対してデータが不透明になります。 暗号化により、組織は、暗号化されたデータを利用するユーザーによって実行されたアクションに対してデュー デリジェンスを実行できなくなります。 この結果、機密データの転送にファイル レベルの暗号化をすべて使用することを禁止したり、暗号化されたデータを組織外に取り除いたりするなど、組織はハードでリスクの高い決定を行う必要があります。 |
セキュリティ戦略とポリシーをゼロ トラスト アプローチと統合すると、IT チームとシステム間のサイロが解消され、IT スタック全体の可視性と保護が向上します。 Microsoft Purview などのネイティブに統合されたコンプライアンス ソリューションは、コンプライアンス要件 と ゼロ トラスト アプローチをサポートするために連携するだけでなく、完全な透明性を持って行い、各ソリューションがコンテンツの秘密度ラベルを活用するコミュニケーション コンプライアンスなどの他のソリューションの利点を活用できるようにします。 統合コンプライアンス ソリューションは、電子情報開示または DLP ソリューションによって透過的に処理される暗号化されたコンテンツなど、最小限のトレードオフで必要なカバレッジを提供できます。 リアルタイムの可視性により、重要な資産やワークロードを含む資産の自動検出が可能になりますが、コンプライアンスの義務は分類と秘密度のラベル付けを通じてこれらの資産に適用できます。 ゼロ トラスト アーキテクチャの実装は、包括的な戦略を使用して規制とコンプライアンスの要件を満たすのに役立ちます。 ゼロ トラスト アーキテクチャでの Microsoft Purview ソリューションの使用は、組織に影響を与える規制に従って、組織のデータ資産全体を検出、管理、保護、管理するのに役立ちます。 ゼロ トラスト戦略では、多くの場合、特定の規制要件を満たす、または超えるコントロールを実装する必要があります。これにより、新しい規制要件に準拠するためにシステム全体の変更を実行する負担が軽減されます。 |
この記事のガイダンスでは、組織全体のビジネス リーダーやチームとコミュニケーションを取り、連携する方法に重点を置いて、規制とコンプライアンスの要件を満たすフレームワークとしてゼロ トラストを開始する方法について説明します。
この記事では、 Azure 向けのクラウド導入フレームワークと同じライフサイクル フェーズ (戦略の定義、計画、準備、導入、管理、管理) を使用しますが、ゼロ トラストに適合します。
次の表は、図のアクセシビリティ対応バージョンです。
| 戦略の定義 | 計画 | 準備完了 | 採用する | ガバナンスと管理 |
|---|---|---|---|---|
| 組織の配置 戦略的目標 結果 |
利害関係者チーム 技術計画 スキルの準備 |
検討する 試験 パイロット |
デジタル資産全体に段階的に実装する | 追跡と測定 監視と検出 成熟に向けて繰り返す |
戦略フェーズの定義
![[戦略の定義] フェーズが強調表示された、単一の目標または一連の目標の導入プロセスの図。](../media/adoption-guide/define-strategy-phase.png#lightbox)
戦略 の定義 フェーズは、このシナリオの "理由" に対処するための取り組みを定義および形式化するために重要です。 このフェーズでは、規制、ビジネス、IT、運用、および戦略的な観点からシナリオを理解します。
次に、コンプライアンスが段階的かつ反復的な取り組みであることを理解して、このシナリオで成功を測定する結果を定義します。
この記事では、多くの組織に関連する動機と成果を示します。 これらの提案を使用して、独自のニーズに基づいて組織の戦略を強化します。
ビジネス リーダーの動機を理解する
ゼロ トラストは規制要件を満たすプロセスを合理化するのに役立ちますが、おそらく最大の課題は、組織全体のリーダーからサポートと貢献を得ることです。 この導入ガイダンスは、組織の連携を獲得し、戦略的目標を定義し、結果を特定できるように、ユーザーとのコミュニケーションを支援するように設計されています。
一致を得ることは、リーダーの動機と、規制要件の満たす理由を理解することから始まります。 次の表に、パースペクティブの例を示しますが、これらの各リーダーやチームと会い、互いの動機を共有して理解することが重要です。
| 役割 | 規制要件を満たすことが重要な理由 |
|---|---|
| 最高経営責任者 (CEO) | 外部監査機関によって検証される組織戦略のセキュリティ保護を担当します。 CEO は主に、組織全体の法的要件と年次監査結果のコンプライアンスレベルを評価できる取締役会に報告します。 |
| 最高マーケティング責任者 (CMO) | 社外秘の会社情報がマーケティング目的でのみ外部で共有されないようにする責任を負います。 |
| 最高情報責任者 (CIO) | 通常、組織内の情報責任者であり、情報監督機関に責任を負います。 |
| 最高技術責任者 (CTO) | デジタル資産内での規制コンプライアンスの維持を担当します。 |
| 最高情報セキュリティ責任者 (CISO) | 情報セキュリティ コンプライアンスに直接関連する制御を提供する業界標準への導入と準拠を担当します。 |
| 最高運用責任者 (COO) | 情報セキュリティ、データ プライバシー、およびその他の規制プラクティスに関連する会社のポリシーと手順が、運用レベルで確実に維持されるようにします。 |
| 最高財務責任者 (CFO) | サイバー保険や税務コンプライアンスなど、コンプライアンスに対する財務上の欠点と利点を評価します。 |
| 最高リスク責任者 (CRO) | 組織内の ガバナンス リスクとコンプライアンス (GRC) フレームワークのリスク コンポーネントを所有します。 非準拠とコンプライアンスに対する脅威を軽減します。 |
組織のさまざまな部分で、規制とコンプライアンスの要件の作業を行うための動機やインセンティブが異なる場合があります。 次の表は、これらの動機の一部をまとめたものです。 利害関係者の動機を理解するには、必ず関係者とつながってください。
| 面積 | 動機 |
|---|---|
| ビジネス ニーズ | 適用される規制および法的要件に準拠するため。 |
| IT ニーズ | ID、データ、デバイス (エンドポイント)、アプリケーション、インフラストラクチャの範囲内で組織が定める規制とコンプライアンスの要件への準拠を自動化するテクノロジを実装するため。 |
| 運用上のニーズ | 関連する業界標準と関連するコンプライアンス要件に従って参照および調整されるポリシー、手順、作業指示を実装します。 |
| 戦略的ニーズ | 国、地域、地域の法律を侵害するリスクと、侵害の結果として生じる可能性のある財務上および公共の評判上の損害を軽減します。 |
ガバナンス ピラミッドを使用して戦略を通知する
このビジネス シナリオで覚えておくべき最も重要なことは、ゼロ トラスト フレームワークは、組織内のさまざまな立法、法的、規制、ポリシー、手続き上の要件の階層を確立する大規模なガバナンス モデルの一部として機能することです。 コンプライアンスと規制の領域では、同じ要件や制御を実現する多くの方法があります。 この記事では、ゼロ トラスト アプローチを使用して規制コンプライアンスを追求することを明記することが重要です。
規制コンプライアンス内でよく使用される戦略モデルは、ここに示すガバナンス ピラミッドです。
このピラミッドは、ほとんどの組織が情報技術 (IT) ガバナンスを管理するさまざまなレベルを示しています。 ピラミッドの上から下まで、これらのレベルは法律、標準、ポリシーと手順、作業指示です。
ピラミッドの上部は、最も重要なレベルである法律を表します。 このレベルでは、法律が多くの組織に広く適用されるため、組織間の変動は少なくなりますが、国内およびビジネス固有の規制は一部の企業にのみ適用でき、他の組織には適用されません。 ピラミッドのベースである作業指示は、組織全体の実装のバリエーションとサーフェス領域が最も大きい領域を表します。 これは、組織がテクノロジを活用して、より高いレベルのより重要な要件を満たすことができるレベルです。
ピラミッドの右側には、組織のコンプライアンスがビジネスの成果とメリットにつながる可能性があるシナリオの例が示されています。 ビジネス上の関連性により、組織がガバナンス戦略を立てるためのインセンティブが増えます。
次の表では、ピラミッドの左側のさまざまなガバナンス レベルで、右側に戦略的なビジネス上の利点を提供する方法について説明します。
| ガバナンス レベル | 戦略的ビジネスの関連性と成果 |
|---|---|
| 法律と法律(総称して検討) | 法的監査に合格すると、罰金やペナルティを回避し、消費者の信頼とブランドロイヤルティを構築できます。 |
| 標準は、製品またはサービスに関する同じ期待を人々が共有するための信頼できる基盤を提供します | 標準は、さまざまな業界の品質管理を通じて品質保証を提供します。 一部の認定資格には、サイバー保険の特典もあります。 |
| ポリシーと手順は、組織の日常的な機能と運用を文書化します | ガバナンスに関連する多くの手動プロセスを合理化および自動化できます。 |
| 作業手順では、定義されたポリシーと手順に基づいてプロセスを実行する方法を詳細な手順で説明します | マニュアルと命令文書の複雑な詳細は、技術によって合理化することができます。 これにより、人的エラーを大幅に削減し、時間を節約できます。 たとえば、従業員のオンボーディング プロセスの一部として Microsoft Entra 条件付きアクセス ポリシーを使用しています。 |
ガバナンス ピラミッド モデルは、フォーカスの優先順位に役立ちます。
立法および法的要件
組織がこれに従わないと、深刻な反震に直面する可能性があります。
業界固有およびセキュリティ標準
組織には、これらの標準の 1 つ以上に準拠しているか、または認定を受けるという業界要件がある場合があります。 ゼロ トラスト フレームワークは、さまざまなセキュリティ、情報セキュリティ、インフラストラクチャ管理標準にマップできます。
方針と手順
組織固有で、ビジネス内のより本質的なプロセスを管理します。
作業手順
高度に技術的で、組織がポリシーと手順を満たすためにカスタマイズされた詳細な制御。
ゼロ トラスト アーキテクチャの領域に最も価値を追加する標準がいくつかあります。 ユーザーに適用される次の標準に注目すると、より多くの影響が生まれます。
Center for Internet Security (CIS) ベンチマークは、デバイス管理とエンドポイント管理ポリシーに関する貴重なガイダンスを提供します。 CIS ベンチマークには、Microsoft 365 と Microsoft Azure の実装ガイドが含まれています。 すべての業界および業種の組織は、CIS ベンチマークを使用して、セキュリティとコンプライアンスの目標を達成するのに役立ちます。 特に厳しく規制された環境で動作するもの。
国立標準技術研究所 (NIST) は、 NIST 特別出版物 (NIST SP 800-63-4 ipd) デジタル ID ガイドラインを提供します。 これらのガイドラインは、デジタル ID サービスを実装する連邦政府機関向けの技術的要件を提供するものであり、この目的以外の標準の開発や使用を制限するものではありません。 これらの要件は、ゼロ トラスト戦略の一部となる既存のプロトコルを強化するために行われていることに注意することが重要です。 特に米国の政府機関と公共部門の両方の組織は NIST をサブスクライブしていますが、上場企業もフレームワーク内の基本原則を利用できます。 NIST は、 NIST SP 1800-35 に含まれるパブリケーションにゼロ トラスト アーキテクチャを実装するためのヘルプも提供します。
全体的なデータ ガバナンスと情報セキュリティには、新しく改訂された ISO 27002:2022 標準が推奨されます。 ただし、Annexure A コントロールは、後で実行可能な目標に変換できるセキュリティ コントロールのチェックリストを作成するための適切な基盤を提供します。
ISO 27001:2022 には、情報セキュリティのコンテキストでリスク管理を実装する方法に関する包括的なガイドラインも用意されています。 これは、ほとんどのポータルとダッシュボードでユーザーが使用できるメトリックの数に特に役立つ場合があります。
このような標準を優先して、一般的な要件を満たすポリシーとコントロールのベースラインを組織に提供できます。
Microsoft では、組織に適用される会議の標準に向けた進捗状況の計画と追跡に役立つ Microsoft Purview コンプライアンス マネージャーを提供しています。 コンプライアンス マネージャーは、データ保護リスクのインベントリの作成から、複雑な制御の実装の管理、規制や認証の最新情報の入手、監査人への報告まで、コンプライアンスの過程全体を支援します。
戦略の定義
コンプライアンスの観点から、組織は、その固有の GRC 手法に従って戦略を定義する必要があります。 組織が特定の標準、ポリシー、またはフレームワークをサブスクライブしていない場合は、コンプライアンス マネージャーから評価テンプレートを取得する必要があります。 すべてのアクティブな Microsoft 365 サブスクリプションには、ゼロ トラスト展開ガイドラインに対してマップできるデータ保護ベースラインが割り当てられます。 このベースラインにより、実装者は、コンプライアンスの観点からゼロ トラストの実際の実装がどのようなものでなければならないかについての優れた出発点が得られます。 これらの文書化されたコントロールは、後で測定可能な目標に変換できます。 これらの目標は、特定、測定可能、達成可能、現実的、時間バインド (SMART) である必要があります。
コンプライアンス マネージャーのデータ保護ベースライン テンプレートは、ゼロ トラストに対する 36 個のアクションを統合し、次のコントロール ファミリ全体に揃えています。
- ゼロ トラスト アプリケーション
- ゼロ トラスト アプリ開発ガイダンス
- ゼロ トラスト エンドポイント
- ゼロ トラスト データ
- ゼロ トラスト ID
- ゼロ トラスト インフラストラクチャ
- ゼロ トラスト ネットワーク
- ゼロ トラスト可視性、自動化、オーケストレーション
これらは、次に示すゼロ トラスト参照アーキテクチャと厳密に一致します。
計画フェーズ
多くの組織では、次の表に示すように、これらの技術的なアクティビティに対して 4 段階のアプローチを取ることができます。
| ステージ 1 | ステージ 2 | ステージ 3 | ステージ 4 |
|---|---|---|---|
| 組織に適用される規制要件を特定します。 コンプライアンス マネージャーを使用して、ビジネスに影響を与える可能性のある規制を特定し、それらの規制によって課される高レベルの要件に対するコンプライアンスを評価し、特定されたギャップの修復を計画します。 組織に適用される規制に関する現在のガイダンスを確認します。 |
Microsoft Purview のコンテンツ エクスプローラーを使用して、規制要件の対象となるデータを特定し、そのリスクと露出を評価します。 カスタム分類子を定義して、この機能をビジネス ニーズに合わせて調整します。 データ保持ポリシーやレコード管理ポリシーなどの情報保護の要件を評価し、保持ラベルと秘密度ラベルを使用して基本的な情報保護とデータ ガバナンス ポリシーを実装します。 規制された情報のフローを制御するための基本的な DLP ポリシーを実装します。 規制で必要 な場合は、通信コンプライアンス ポリシー を実装します。 |
自動化を使用してデータ ライフサイクル管理ポリシーを拡張します。 規制で必要な場合は、秘密度ラベル、DLP、または 情報バリア を使用して、パーティション分割と分離の制御を設定します。 コンテナーのラベル付け、自動および必須のラベル付け、およびより厳密な DLP ポリシーを実装することで、情報保護ポリシーを拡張します。 次に、Microsoft Purview の他の機能を使用して、これらのポリシーをオンプレミスのデータ、デバイス (エンドポイント)、およびサードパーティのクラウド サービスに展開します。 コンプライアンス マネージャーを使用してコンプライアンスを再評価し、残りのギャップを特定して修復します。 |
Microsoft Sentinel を使用して、統合監査ログに基づいてレポートを作成し、情報のコンプライアンス状態を継続的に評価してインベントリを作成します。 コンプライアンス マネージャーを継続的に使用し続けて、残りのギャップを特定して修復し、新規または更新された規制の要件を満たします。 |
この段階的なアプローチが組織で機能する場合は、次の方法を使用できます。
この ダウンロード可能なPowerPointスライド デッキ を使用して、ビジネス リーダーやその他の利害関係者向けに、これらのステージと目標を通じて進行状況を表示および追跡できます。 このビジネス シナリオのスライドを次に示します。
この Excel ブック では、所有者を割り当て、これらのステージ、目標、タスクの進行状況を追跡します。 このビジネス シナリオのワークシートを次に示します。
利害関係者チーム
このビジネス シナリオの利害関係者チームには、セキュリティ体制に投資され、次のロールが含まれる可能性が高い組織全体のリーダーが含まれます。
| プログラム リーダーと技術所有者 | アカウンタビリティ |
|---|---|
| スポンサー | 戦略、ステアリング、エスカレーション、アプローチ、ビジネスアラインメント、調整管理。 |
| プロジェクト リード | エンゲージメント、リソース、タイムラインとスケジュール、コミュニケーションなどの全体的な管理。 |
| 最高情報セキュリティ責任者 (CISO) | リスクやポリシーの決定、追跡とレポートなど、データ資産とシステムの保護とガバナンス。 |
| IT コンプライアンス マネージャー | コンプライアンスと保護の要件に対処するために必要な制御の決定。 |
| エンド ユーザーのセキュリティと使いやすさ (EUC) リーダー | 従業員の表現方法。 |
| 調査と監査の役割 | コンプライアンスおよび保護の責任者と協力して調査と報告を行います。 |
| 情報保護マネージャー | データ分類と機密データの識別、制御、修復。 |
| アーキテクチャ リーダー | 技術的な要件、アーキテクチャ、レビュー、決定、優先順位付け。 |
| Microsoft 365 管理者 | テナントと環境、準備、構成、テスト。 |
この導入コンテンツ のリソースのPowerPointスライド デッキ には、次のスライドが含まれており、利害関係者ビューを使用して、自分の組織用にカスタマイズできます。
技術計画とスキルの準備
Microsoft では、規制とコンプライアンスの要件を満たすのに役立つリソースを提供しています。 次のセクションでは、前に定義した 4 つのステージの特定の目標に関するリソースについて説明します。
ステージ 1
ステージ 1 では、組織に適用される規制を特定し、コンプライアンス マネージャーの使用を開始します。 また、 組織に適用される規制も確認します。
| ステージ 1 の目標 | リソース |
|---|---|
| ガバナンス ピラミッドを使用してコンプライアンス要件を特定します。 | コンプライアンス マネージャーの評価 |
| コンプライアンス マネージャーを使用してコンプライアンスを評価し、特定されたギャップの修復を計画します。 | Microsoft Purview ポータルにアクセスし、組織に関連するすべてのカスタマー マネージド改善アクションを確認します。 |
| 組織に適用される規制に関する現在のガイダンスを確認します。 | 次の表を参照してください。 |
次の表に、一般的な規制または標準を示します。
| 規制または標準 | リソース |
|---|---|
| 米国標準技術局 (NIST) | NIST 認証システムの保証レベルを満たすように Microsoft Entra ID を構成する |
| 連邦リスクおよび認証管理プログラム(FedRAMP) | FedRAMP High Impact レベルを満たすように Microsoft Entra ID を構成する |
| サイバーセキュリティ成熟度モデル認定 (CMMC) | CMMC コンプライアンス用に Microsoft Entra ID を構成する |
| 国家サイバーセキュリティの改善に関する行政命令 (EO 14028) | Microsoft Entra ID を使用した覚書 22-09 の ID 要件を満たす |
| 医療保険の携行性と責任に関する 1996 年の法律 (HIPAA) | HIPAA コンプライアンスのための Microsoft Entra ID の構成 |
| Payment Card Industry Security Standards Council (PCI SSC) | Microsoft Entra PCI-DSS ガイダンス |
| 金融サービスの規制 |
米国の銀行業および資本市場のための、コンプライアンスとセキュリティの重要な検討事項
|
| 北米電気信頼性株式会社 (NERC) | エネルギー業界におけるコンプライアンスとセキュリティに関する主な考慮事項 |
ステージ 2
ステージ 2 では、まだ配置されていないデータのコントロールの実装を開始します。 情報保護コントロールの計画と展開に関するその他のガイダンスについては、 機密ビジネス データ ゼロ トラスト導入ガイドを参照してください。
| ステージ 2 の目的 | リソース |
|---|---|
| コンテンツ エクスプローラーを使用して、規制対象データを特定します。 |
コンテンツ エクスプローラーの使用を開始する コンテンツ エクスプローラーは、規制対象データの現在の露出を確認し、保存する必要がある場所と保護方法を定める規制への準拠を評価するのに役立ちます。 カスタムの機密情報の種類を作成する |
| 保持ラベルと秘密度ラベルを使用して、基本的なデータ ガバナンスと情報保護ポリシーを実装します。 |
保持または削除するポリシーとラベルについて学びましょう 秘密度ラベルの詳細 |
| DLP ポリシーと暗号化ポリシーを確認します。 |
Purview データ損失防止 秘密度ラベル付けによる暗号化 Office 365 の暗号化 |
| 通信ポリシーを実装します (該当する場合)。 | 通信コンプライアンス ポリシーを作成および管理する |
ステージ 3
ステージ 3 では、アダプティブ スコープの使用を含め、保持と削除のためのデータ ガバナンス ポリシーの自動化を開始します。
このステージには、分離と分離のためのコントロールの実装が含まれます。 たとえば、NIST は、これらのプロジェクトが米国政府に対して、および米国政府との特定の種類の分類された作業に関連する場合、分離された環境でのホスティング プロジェクトを規定します。 一部のシナリオでは、金融サービスの規制では、ビジネスのさまざまな部分の従業員が相互に通信できないように環境をパーティション分割する必要があります。
| ステージ 3 の目的 | リソース |
|---|---|
| 自動化を使用してデータ ライフサイクル管理ポリシーを拡張します。 | データ ライフサイクル管理 |
| パーティション分割と分離の制御を設定します (該当する場合)。 |
情報障壁 データ損失の防止 テナント間アクセス |
| 情報保護ポリシーを他のワークロードに展開します。 |
情報保護スキャナーについて説明します Microsoft 以外のクラウド アプリに対してデータ損失防止ポリシーを使用する データ損失防止とMicrosoft Teams エンドポイントのデータ損失防止の使用 秘密度ラベルを使用して、Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護 |
| コンプライアンス マネージャーを使用してコンプライアンスを再評価します。 | コンプライアンス マネージャー |
ステージ 4
ステージ 4 の目的は、資産のコンプライアンスを該当する規制と標準に評価する継続的な動きに移行することで、このシナリオを運用化することです。
| ステージ 4 の目標 | リソース |
|---|---|
| リソースのコンプライアンス状態を継続的に評価し、インベントリを作成します。 | この記事では、必要なすべてのツールを特定し、この目的のために、デジタル資産内のリソースと資産を継続的に監視できる反復可能な反復的なプロセスを形成します。 コンプライアンス ポータルで監査ログを検索する |
| Microsoft Sentinel を使用して、コンプライアンスを測定するレポートを作成します。 |
Microsoft Sentinel を使用して、統合監査ログに基づいてレポートを作成し、コンプライアンスを評価および測定し、コントロールの有効性を示します。 Azure でのログ分析 |
| コンプライアンス マネージャーを使用して、新しいギャップを特定して修復します。 | コンプライアンス マネージャー |
準備完了フェーズ
ほとんどのコンプライアンス作業は、ポリシーの適用によって行われます。 コンプライアンスを実現するために満たす必要がある条件を決定し、一連のコントロールを自動化するポリシーまたはポリシーのセットを作成します。 ゼロ トラストを使用したポリシーの適用により、実装されている特定のコンプライアンスコントロールに対して繰り返し検証が作成されます。 組織が毎日操作する運用テクノロジに制御を組み込むことで、監査の準備を実現するためのより簡単なタスクになります。
準備フェーズでは、対象となるポリシーを評価、テスト、パイロットして、これらのアクティビティが意図した結果を達成していることを確認します。 これらによって新しいリスクが生じないようにしてください。 このゼロ トラスト ビジネス シナリオでは、アクセス制御、データ保護、およびその他のインフラストラクチャ保護を実装している利害関係者と協力することが重要です。 たとえば、リモート作業とハイブリッド作業を有効にするためのポリシーの評価、テスト、パイロットに関する推奨事項は、デジタル資産全体の機密データを識別して保護するための推奨事項とは異なります。
コントロールの例
ゼロ トラストの各柱は、規制または標準フレームワーク内の特定のコントロールに対してマップできます。
例 1
ID のゼロ トラストは、インターネット セキュリティセンター (CIS) ベンチマーク内のアクセス制御管理と、ISO 27001:2022 の Annexure A.9.2.2 ユーザー アクセス プロビジョニングにマップされます。
この図では、アクセス制御管理は ISO 27001 要件標準であるユーザー アクセス プロビジョニングの Annexure 9.2.2 で定義されています。 このセクションの要件は、多要素認証を必要とすることで満たされます。
条件付きアクセス ポリシーの適用など、各コントロールの実行は、各組織に固有です。 組織のリスク プロファイルと資産のインベントリは、正確なサーフェス領域と実装範囲を作成する必要があります。
例 2
ゼロ トラスト アーキテクチャと業界標準の間のより明確な相関関係の 1 つに、情報分類が含まれます。 ISO 27001 の Annexure 8.2.1 では、次のことが規定されています。
- 情報は、法的要件、価値、重要度、および不正な開示や変更に対する機密性の観点から分類する必要があります。理想的には、それを阻害または複雑にするのではなく、ビジネス 活動を反映するように分類されます。
この図では、Microsoft Purview データ分類サービスを使用して、電子メール、ドキュメント、構造化データに秘密度ラベルを定義して適用します。
例 3
ISO 27001:2022 の付録 8.1.1(資産のインベントリ)では、"情報および情報処理機能に関連するすべての資産をライフサイクル全体で識別して管理し、常に最新の状態にする"ことが求められています。
この制御要件の実現は、Intune デバイス管理の実装によって実現できます。 この要件は、インベントリの明確なアカウントを提供し、定義された会社または業界のポリシーに対する各デバイスのコンプライアンスの状態を報告します。
この制御要件では、Microsoft Intune を使用してデバイスを管理します。これには、設定したポリシーに対するデバイスのコンプライアンスを報告するコンプライアンス ポリシーの設定も含まれます。 条件付きアクセス ポリシーを使用して、認証および承認プロセス中にデバイスのコンプライアンスを要求することもできます。
例 4
業界標準にマップされているゼロ トラストの柱の最も包括的な例は、脅威インテリジェンスとインシデント対応です。 このシナリオでは、Microsoft Defender と Microsoft Sentinel の製品全体が適用され、脅威インテリジェンスとリアルタイムのインシデント対応の詳細な分析と実行が提供されます。
この図では、Microsoft Sentinel と Microsoft Defender ツールが脅威インテリジェンスを提供します。
導入フェーズ
導入フェーズでは、デジタル資産全体に技術計画を段階的に実装します。 技術計画を領域別に分類し、対応するチームと協力してこのフェーズを完了する必要があります。
ID とデバイスへのアクセスの場合は、段階的なアプローチを取り、少数のユーザーとデバイスから始めて、デプロイを徐々に増やして、完全な環境を含めます。 これは、 セキュリティで保護されたリモートとハイブリッドの作業 の導入シナリオで説明されています。 例を次に示します。
データを保護するための導入には、作成したポリシーが環境に合わせて適切に調整されていることを確認するために、作業を連鎖させ、反復処理を行う必要があります。 これについては、機密性の 高いビジネス データ の導入シナリオの識別と保護に関する説明を参照してください。 例を次に示します。
ガバナンスと管理
![[ガバナンスと管理] フェーズが強調表示されている単一の目標または一連の目標の導入プロセスの図。](../media/adoption-guide/govern-manage-phase.png#lightbox)
規制とコンプライアンスの要件を満たすことは、継続的なプロセスです。 このフェーズに移行したら、追跡と監視に移行します。 Microsoft には、役に立ついくつかのツールが用意されています。
コンテンツ エクスプローラーを使用して、組織のコンプライアンスの状態を監視できます。 データ分類の場合、コンテンツ エクスプローラーは、組織内の機密情報のランドスケープと広がりのビューを提供します。 トレーニング可能な分類子から、アダプティブ スコープまたは手動で作成された秘密度ラベルを使用して、さまざまな種類の機密データに至るまで、管理者は、規定された秘密度スキーマが組織全体で正しく適用されているかどうかを確認できます。 また、Exchange、SharePoint、OneDrive で機密情報が一貫して共有されるリスクの特定の領域を特定する機会でもあります。 例を次に示します。
Microsoft Purview ポータル内でより優れたレポート機能を使用することで、コンプライアンスのマクロ ビューを作成および定量化できます。 例を次に示します。
同じ考え方とプロセスを Azure に適用できます。 Defender for Cloud-Regulatory Compliance を使用して、Purview コンプライアンス マネージャーで提供されるのと同じスコアに似たコンプライアンス スコアを決定します。 スコアは、さまざまな業界の複数の規制基準とフレームワークに合わせて調整されています。 これらの規制基準とフレームワークのうち、どのスコアが適用されるかは、組織が理解する必要があります。 このダッシュボードによって提供される状態には、各標準での合格の評価と失敗した評価の一定のリアルタイム評価が表示されます。 例を次に示します。
Purview ダッシュボードは、ビジネス リーダーに通知し、四半期ごとのレビューなどの部門別レポートで使用するのに役立つ広範な評価を提供します。 運用上の注意として、統合監査ログ データ用の Log Analytics ワークスペースを作成することで、Microsoft Sentinel を活用できます。 このワークスペースは、Microsoft 365 データに接続し、ユーザー アクティビティに関する分析情報を提供できます。 例を次に示します。
このデータはカスタマイズ可能であり、他のダッシュボードと組み合わせて使用して、組織の戦略、リスク プロファイル、目標、目標に合わせて規制要件をコンテキスト化できます。
次のステップ
- ゼロ トラスト導入フレームワークの概要
- セキュリティ体制を迅速に最新化する
- リモートとハイブリッドの作業をセキュリティで保護する
- 機密性の高いビジネス データを識別して保護する
- 侵害によるビジネス上の損害を防止または軽減する
進行状況の追跡リソース
ゼロ トラスト ビジネス シナリオの場合は、次の進行状況追跡リソースを使用できます。
| 進行状況の追跡リソース | これは役に立ちます... | ~向けに設計されています。 |
|---|---|---|
導入シナリオ計画フェーズ グリッドのダウンロード可能な Visio ファイル または PDF 
|
各ビジネス シナリオのセキュリティ強化と、計画フェーズのステージと目標の作業レベルを簡単に理解できます。 | ビジネス シナリオ プロジェクトリーダー、ビジネス リーダー、およびその他の利害関係者。 |
ゼロ トラスト導入トラッカー ダウンロード可能なパワーポイントスライドデッキ 
|
計画フェーズのステージと目標を通じて進行状況を追跡します。 | ビジネス シナリオ プロジェクトリーダー、ビジネス リーダー、およびその他の利害関係者。 |
ビジネス シナリオの目標とタスク のダウンロード可能な Excel ブック 
|
所有権を割り当て、計画フェーズのステージ、目標、タスクを通じて進捗状況を追跡します。 | ビジネス シナリオ のプロジェクト リーダー、IT リーダー、IT 実装者。 |
その他のリソースについては、「 ゼロ トラスト評価と進行状況の追跡リソース」を参照してください。