このセクションには、アプリケーションとワークロードの柱 CISA ゼロ トラスト成熟度モデル に関する Microsoft のガイダンスと推奨事項が記載されています。
4 アプリケーションとワークロード
CISA の定義によると、アプリケーションとワークロードには、オンプレミス、モバイル デバイス、クラウド環境で実行されるエンタープライズ システム、コンピューター プログラム、サービスが含まれます。
ガイドのセクションに移動するには、次のリンクを使用します。
4.1 関数: アプリケーションアクセス
| CISA ZTMM ステージの説明 | Microsoft ガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise では、有効期限が切れた要求ごとにコンテキスト情報 (ID、デバイスコンプライアンス、その他の属性など) を組み込んだアプリケーションへのアクセス許可機能の実装が開始されます。 |
Microsoft Entra ID アプリケーション エンタープライズ ID プロバイダー (IdP) として Microsoft Entra ID を採用します。 新しいアプリケーションに Microsoft Entra ID を使用するポリシーを確立します。 アプリケーションへのユーザーとグループの割り当てを使用してアプリケーション アクセスを承認します。 Microsoft Entra ID は、Microsoft Entra 条件付きアクセスと組み合わせた場合に業界標準のプロトコルを実装します。 有効期限が切れた要求ごとにコンテキスト情報を組み込みます。 - Microsoft Entra ID とアプリ - トークンと要求を統合 - 条件付きアクセスを アプリにユーザーとグループを割り当てる セキュリティ上の決定に条件付きアクセス ポリシー内の場所などのデバイスシグナルを使用します。 ポリシーを含める、または除外するには、デバイス属性に基づくフィルターを使用します。 - 条件 - デバイスのフィルター |
| 高度な成熟度ステータス Enterprise では、拡張されたコンテキスト情報と、最小限の特権の原則に準拠する適用された有効期限条件を使用して、アプリケーション アクセスの決定を自動化します。 |
条件付きアクセス エンタープライズ要件を満たす条件付きアクセス ポリシーを使用してアプリケーション アクセスの決定を自動化します。 条件付きアクセスは、アプリケーションまたはリソース アクセスのポリシー決定ポイント (PDP) です。 アクセスの決定でデバイスのコンテキスト情報を展開します。 準拠しているデバイスまたは Microsoft Entra ハイブリッド参加済みデバイスが必要です。 アクセスが既知のデバイスまたは準拠しているデバイスに対して行われるように制御を付与します。 - 条件付きアクセス - デバイス ベースのポリシー - Microsoft Entra ハイブリッド参加 拡張されたコンテキスト情報を使用してアプリケーション アクセスの決定を自動化します。 アプリケーション、保護されたアクション、認証の条件付きアクセス ポリシーを構成します。 サインイン頻度セッション制御を使用して有効期限の条件をカスタマイズします。 - 保護されたアクション - 認証開発者ガイド - 条件付きアクセス: Microsoft Intune セッション デバイスを Microsoft Entra ID に登録し、Intune で構成を管理します。 Intune ポリシーを使用してデバイスのコンプライアンスを評価します。 - 登録済みデバイス - デバイスポリシーコンプライアンス Microsoft Defender for Cloud Apps 。Defender for Cloud Apps を使用して、クラウド アプリケーションのセッションを監視し、制御します。 - アプリ - セッション ポリシー - 危険なアクション認証を保護します。 未使用の資格情報、未使用の資格情報、および有効期限切れの資格情報など、アプリ検疫のポリシーを構成します。 Microsoft Entra アプリ ロール アプリ ガバナンス機能 アプリ ロールを使用してアプリの承認とアクセス許可モデルを設計します。 アプリの管理を委任するには、所有者を割り当ててアプリの構成を管理し、アプリロールも登録して割り当てます。アプリケーション ロール |
| 最適な成熟度ステータス Enterprise は、リアルタイムのリスク分析と動作や使用パターンなどの要因を組み込んで、アプリケーション アクセスを継続的に承認します。 |
Microsoft Entra ID Protection ID Protection は、ユーザーとサインインのリスク レベルを評価します。 Microsoft Defender XDR スイートでは、リアルタイム検出とオフライン検出によって集計リスク レベルが決定されます。 リスクベースのアダプティブ アクセス ポリシーを適用するには、条件付きアクセス ポリシーでリスク条件を使用します。 - ID Protection - ID Protection 継続的アクセス評価のリスク 継続的アクセス評価 (CAE) メカニズムにより、アプリケーションはトークンの有効期限を待たずに、ほぼリアルタイムでポリシー違反に対応できます。 CAE をサポートするアプリケーションは、ID Protection で高いユーザー リスクのフラグが設定されたユーザーなど、重要なイベントに応答します。 CAE の概要 グローバル セキュリティで保護されたアクセス トークンの盗難やリプレイ攻撃のリスクを軽減するには、CAE をサポートするサービスと連携する準拠したネットワーク強制を構成します。 ほぼリアルタイムで、アプリは、テナント準拠ネットワークの外部で再生された盗まれたアクセス トークンを拒否します。 |
4.2 機能: アプリケーションの脅威の防止
| CISA ZTMM ステージの説明 | Microsoftガイダンスおよび推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise は、脅威保護をミッション クリティカルなアプリケーション ワークフローに統合し、既知の脅威や一部のアプリケーション固有の脅威に対する保護を適用します。 |
Microsoft Entra ID Microsoft Entra ID をすべてのアクセス要求のパスに配置します。 ミッション クリティカルなアプリケーションを Microsoft Entra ID と統合することを義務付けるポリシーを実装します。 脅威保護がアプリケーション ワークフローの一部であることを確認します。 Azure Application Gateway 危険な OAuth アプリ 、Azure Web アプリケーション ファイアウォールを使用して Azure Application Gateway の背後に Azure アプリと API を防止モードでデプロイします。 Open Web Application Security Project (OWASP) コア ルール セット (CRS) を有効にします。 Web Application Firewall Microsoft Defender XDR Defender XDR は、エンドポイント、ID、電子メール、アプリケーション全体の検出、防止、調査、および応答アクションを調整する、侵害前および侵害後の統合された防御スイートです。 - Defender XDR - XDR ツールのセットアップ |
| Advanced Maturity Status Enterprise は、脅威保護をすべてのアプリケーション ワークフローに統合し、一部のアプリケーション固有の脅威や対象となる脅威から保護します。 |
Microsoft Entra ID アクセス要求のパスに Microsoft Entra ID を配置します。 ポリシーを実装するディクテーション アプリは、Microsoft Entra ID と統合されます。 すべてのアプリに脅威の防止が適用されていることを確認します。 トークン保護 Microsoft Entra アプリケーション プロキシ レガシ認証プロトコルを使用してプライベート アプリにアプリケーション プロキシと Microsoft Entra ID を使用します。 アプリケーション プロキシをデプロイするか、セキュリティで保護されたハイブリッド アクセス (SHA) パートナー ソリューションを統合します。 保護を拡張するには、Microsoft Defender for Cloud Apps でセッション ポリシーを構成します。 Defender 脆弱性管理 Defender for Cloud アプリケーション ワークロードのワークロード保護を有効にします。 Defender for Servers P2 を使用して、サーバーを Microsoft Defender for Endpoint および Defender 脆弱性管理にオンボードします。 - Defender for App Service - Defender for API - Defender for Containers - Defender for Servers Microsoft Entra Workload ID Premium アプリケーション ワークフローに脅威保護を統合するには。 ワークロード ID の保護を構成します。ワークロード ID を安全に保護します |
| 最適な成熟度ステータス Enterprise では、高度な脅威保護をすべてのアプリケーション ワークフローに統合し、リアルタイムの可視性と、アプリケーションに合わせた高度な攻撃に対するコンテンツ対応の保護を提供します。 |
Microsoft Defender for Cloud Apps リアルタイムの可視性と制御のために Defender for Cloud Apps でセッション制御ポリシーを構成します。 ファイル ポリシーを使用して、リアルタイムでコンテンツをスキャンし、ラベルを適用し、ファイルアクションを制限します。 - クラウド アプリの可視性と制御 - ファイル ポリシー Defender XDR、Microsoft Sentinel Defender XDR と Sentinel を統合します。 - Defender XDR - Sentinel と Defender XDR for Zero Trust Fusion in Sentinel Fusion は、Sentinel のマルチステージ攻撃検出分析ルールです。 Fusion には、マルチステージ攻撃または高度な永続的な脅威 (APT) を検出する機械学習相関エンジンがあります。 異常な動作と疑わしいアクティビティを識別します。 インシデントは、量が少ない、忠実度が高い、重大度が高い。 - 多段階攻撃検出 - 異常をカスタマイズ - 異常検出分析ルール グローバルセキュアアクセス アプリケーションとリソースへの安全なアクセスを確保しながら、ユーザーアクセスをリアルタイムで継続的に監視および管理します。 Defender for Cloud Apps と統合して、ソフトウェアの使用状況とセキュリティを可視化および制御します。 条件付きアクセスのテナントに対する準拠したネットワーク チェックを使用して、再生されたトークンの盗難などの高度な攻撃を防ぎます。 生産性をサポートし、場所ベースのセキュリティ チェックを実現します。 サービスとしてのソフトウェア (SaaS) アプリの Security Service Edge (SSE) バイパスを防止します。 - グローバル セキュリティで保護されたアクセス - 準拠しているネットワーク チェック |
4.3 関数: アクセス可能なアプリケーション
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項について |
|---|---|
| 初期成熟度ステータス Enterprise では、ブローカー接続を介して必要な承認されたユーザーに対して、公開されたパブリック ネットワーク経由で適用可能なミッション クリティカルなアプリケーションの一部を使用できるようになります。 |
Microsoft Entra ID アクセス要求のパスに Microsoft Entra ID を配置します。 ミッション クリティカルなアプリを Microsoft Entra ID と統合することを義務付けるポリシーを実装します。 - アプリの移行 - アプリとフレームワークを最新化 - Microsoft Entra アプリケーション プロキシ 移行計画を構築します。 Microsoft Entra ID によって承認されたユーザーによって、パブリック ネットワーク接続経由でアクセスされる内部ミッション クリティカルな Web アプリケーションを発行するようにアプリケーション プロキシを構成します。 - Defender for Cloud Apps - アプリを Defender に接続 - Microsoft Entra 条件付きアクセス セッション ポリシーを作成 Microsoft Entra ID と統合されたアプリへのアクセスを承認するポリシーを構成します。 Defender for Cloud Apps でクラウド アクセス セキュリティ ブローカー (CASB) の使用を要求するように、条件付きアクセス アプリ制御を構成します。条件付きアクセス - アプリケーション制御 - |
| Advanced Maturity Status Enterprise では、必要に応じて、承認されたユーザーへのオープン パブリック ネットワーク接続を介して、該当するミッション クリティカルなアプリケーションの大部分を使用できるようになります。 |
初期成熟度ステータスのガイダンスを使用し、最もミッション クリティカルなアプリケーションを含めます |
| 最適な成熟度の状態 Enterprise では、必要に応じて、承認されたユーザーとデバイスに対して、開いているパブリック ネットワーク経由ですべての適用可能なアプリケーションを使用できるようになります。 |
初期成熟度ステータスのガイダンスを使用し、すべてのアプリケーションを含めます。 条件付きアクセス アプリケーションの準拠デバイスを必要とする条件付きアクセス ポリシーを構成します。 準拠していないデバイスのアクセスはブロックされます。 準拠デバイスの が必要 |
4.4 機能: セキュリティで保護されたアプリケーションの開発とデプロイのワークフロー
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise は、CI/CD パイプラインを介した正式なコードデプロイ メカニズムと、最小限の特権の原則をサポートする必要なアクセス制御を備えた、開発、テスト、運用環境 (自動化を含む) のインフラストラクチャを提供します。 |
Azure ランディング ゾーンを Azure Policy を使用して、開発用の環境を確立し、リソース構成ポリシーを適用します。 - ランディング ゾーン - Azure Policy GitHub や Azure DevOps などの継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプラインを使用して、正式なコードデプロイ メカニズムを確立します。 GitHub Enterprise GitHub Enterprise ツールは、コラボレーション、セキュリティ、管理をサポートします。 無制限のリポジトリ、プロジェクト管理機能、問題追跡、セキュリティ アラートなどの機能を使用します。 チーム間のコラボレーションを強化しながら、リポジトリとプロジェクト情報を制御します。 柔軟な展開オプションを使用して、セキュリティポリシーを合理化し、管理を簡素化します。GitHub Enterprise Cloud を Microsoft Entra ID に接続して、シングルサインオン (SSO) とユーザー プロビジョニングを行います。 最小限の特権原則を確保するには、個人用アクセス トークンを無効にします。 Azure DevOps Azure DevOps 組織を Microsoft Entra ID に接続し、最小限の特権原則を確保します。 個人用アクセス トークンを無効にします。 |
| Advanced Maturity Status Enterprise では、開発、セキュリティ、運用に個別の調整されたチームを使用しながら、コードのデプロイのために運用環境への開発者アクセスを削除します。 |
Microsoft Entra ID ガバナンス 開発サブスクリプションと運用サブスクリプションで同じ Microsoft Entra テナントが使用されている場合は、エンタイトルメント管理でアクセス パッケージを使用してロールの適格性を割り当てます。 ユーザーが開発環境と運用環境にアクセスできないことを確認するためのチェックを有効にします。 Access レビュー 職務の分離 運用環境にアクセスできる開発者を削除するには、Azure 運用ロールを使用してアクセス レビューを作成します。 アクセス レビュー を作成する |
| 最適な成熟度の状態 エンタープライズは、可能な場合は変更できないワークロードを活用し、再デプロイによってのみ変更を有効にし、コード展開の自動化されたプロセスを優先して、展開環境への管理者アクセスを削除します。 |
Azure DevOps のリリースゲート と承認 を利用して、リリースパイプラインを使い、リスクを抑えながら速いペースでさまざまな段階を通じてアプリケーションを継続的にデプロイします。 ジョブとタスクを使用してデプロイ ステージを自動化します。 リリース ゲート、チェック、承認 Azure リソース ロック Azure リソースが誤って削除されたり変更されたりするのを防ぐには、サブスクリプション、リソース グループ、および個々のリソースに CanNotDelete、ReadOnly、リソース ロックを適用します。ロックされたリソースでインフラストラクチャを保護する GitHub Actions GitHub Actions で、継続的インテグレーションと継続的デリバリー (CI/CD) のためにマネージド ID に Azure ロールを割り当てます。 必要なレビュー担当者がいる環境を参照するジョブを設定します。 ジョブが開始する前に承認を待つようにします。 - GitHub Actions を使用してデプロイ - デプロイを確認 Microsoft Entra Privileged Identity Management PIM Discovery と Insights を使用して特権ロールとグループを識別します。 検出された特権を管理し、ユーザーの割り当てを永続的から有資格に変換します。 |
4.5 機能: アプリケーションセキュリティテスト
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度の状態 エンタープライズでは、アプリケーションの展開前に、静的および動的 (つまり、アプリケーションが実行されています) のテスト 方法を使用して、手動の専門家分析を含むセキュリティ テストを実行し始めます。 |
Microsoft Threat Modeling Tool 脅威モデリング ツールは、Microsoft セキュリティ開発ライフサイクル (SDL) の一部です。 ソフトウェア アーキテクトは、セキュリティの問題を早期に特定して軽減し、開発コストを削減します。 脅威モデルを作成して分析するためのガイダンスを見つけます。 このツールは、セキュリティ設計の通信を容易にし、潜在的なセキュリティの問題を分析し、軽減策を提案します。 - Threat Modeling Tool - はじめにAzure Marketplace 開発者ツールの概要 安全なアプリケーション開発の実践に従う 。 Azure Marketplace のツールを使用して、コード分析を支援します。 - CodeQL スキャン - GitHub Advanced Security for Azure DevOps |
| Advanced Maturity Status Enterprise では、定期的な動的テスト方法の使用を含め、アプリケーションのセキュリティ テストをアプリケーションの開発と展開のプロセスに統合します。 |
GitHub Advanced Security コードのセキュリティと開発プロセスを強化するには、Advanced Security と Azure DevOps でコード スキャンを使用します。 - Advanced Security - Advanced Security for Azure DevOps - Code scanning Microsoft Defender for Cloud アプリケーション ワークロードを含むサブスクリプションのワークロード保護を有効にします。 - Defender for Cloud - Defender for Containers - Defender for App Service Defender for Cloud DevOps セキュリティ クラウド サポート プラン管理 (CSPM) 機能を使用して、マルチパイプライン環境でアプリケーションとコードを保護します。 組織を接続し、DevOps 環境のセキュリティ構成を評価します。 - クラウドの Defender による DevOps セキュリティ - Azure DevOps 環境をクラウドの Defender に接続 |
| 最適な成熟度ステータス Enterprise は、企業全体のソフトウェア開発ライフサイクル全体にわたるアプリケーション セキュリティ テストと、デプロイされたアプリケーションの定期的な自動テストを統合します。 |
Defender for Cloud DevOps セキュリティ クラウド セキュリティ体制管理 (CSPM) 機能を使用して、マルチパイプライン環境のアプリケーションとコードを保護します。 DevOps 環境のセキュリティ構成を評価します。 - Defender for Cloud DevOps セキュリティ - コンテナ イメージのマッピング - 攻撃パスの管理 |
4.6 関数: 可視性と分析
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度の状態 Enterprise では、アプリケーション プロファイル (状態、正常性、パフォーマンスなど) とセキュリティ監視の自動化が開始され、ログの収集、集計、分析が向上します。 |
Azure Monitor 診断を有効にし、Azure にデプロイされたアプリケーション ワークロードに Azure Monitor を使用するように Azure Policy を構成します。 - Azure Monitor - Azure Policy 定義 Azure Monitor Application Insights Application Insights を有効にして、アプリケーションの正常性を調査し、ログを分析し、Azure アプリの使用パターンを表示することができます。 Application Insights Microsoft Defender for Cloud Azure およびマルチクラウド環境で Defender for Cloud を有効にします。 Microsoft セキュア スコアを使用してギャップを特定し、セキュリティ体制を改善します。 - クラウドのためのディフェンダー - セキュアスコア |
| Advanced Maturity Status Enterprise は、ヒューリスティックを使用してほとんどのアプリケーションのプロファイルとセキュリティの監視を自動化し、アプリケーション固有の傾向と企業全体の傾向を特定し、時間の経過と共にプロセスを調整して可視性のギャップに対処します。 |
Defender for Cloud Microsoft Secure Score を使用して、クラウドのセキュリティ体制を評価および改善します。 リスクの優先順位付けを使用して、重要なセキュリティの問題を修復します。 監視コンポーネントをデプロイして Azure ワークロードからデータを収集し、脆弱性と脅威を監視します。 - Defender for Cloud - ワークロードからのデータ収集 - セキュリティ スコア - リスクの優先順位付け Microsoft Sentinel Defender for Cloud を Sentinel に接続します。 アラートを Sentinel に取り込み |
| 最適な成熟度の状態 エンタープライズは、エンタープライズ全体の包括的な可視性を維持するために、すべてのアプリケーションで継続的かつ動的な監視を実行します。 |
Defender for Cloud 、Microsoft 以外のクラウドやオンプレミスのリソースを含む、インフラストラクチャとプラットフォームのワークロードを Defender for Cloud と統合します。 エンタープライズ全体の包括的な可視性を維持します。 - オンプレミスサーバーの接続 - Amazon Web Services (AWS) アカウントの接続 - Google Cloud Platform (GCP) プロジェクトの接続 Defender for Cloud のワークロード保護 アプリケーションワークロードに対する保護を有効にします。 - Defender for App Service - Defender for APIs - Defender for Containers - Defender for Servers |
4.7 関数: 自動化とオーケストレーション
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise は、関連するセキュリティとパフォーマンスの目標を満たすために、場所やアクセスを含むアプリケーション構成を定期的に変更します。 |
Azure Resource Manager - ARM テンプレート - Bicep - |
| 高度な成熟度ステータス Enterprise は、運用および環境の変化に対応するためにアプリケーション構成を自動化します。 |
Azure App Configuration 中央の場所からアプリケーション設定と機能フラグを管理します。 Azure App Configuration Azure App Service 運用環境でデプロイされたアプリをテストするには、デプロイ スロットを使用します。 運用と環境の変化に対応します。 環境 Microsoft Defender for Cloud Microsoft Secure Score を使用して、クラウドのセキュリティ体制を評価および改善します。 Defender for Cloud 修復機能を使用します。 推奨事項の修復 |
| 最適な成熟度の状態 エンタープライズは、セキュリティとパフォーマンスを継続的に最適化するためにアプリケーション構成を自動化します。 |
Azure Chaos Studio クラウド アプリケーションとサービスの回復性の測定、理解、改善に役立つカオス エンジニアリングにこのサービスを使用します。 Azure Load Testing と Azure Chaos Studio をワークロード開発サイクルに統合します。 - Azure Chaos Studio - 継続的な検証 |
4.8 機能:ガバナンス
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
| 初期成熟度ステータス Enterprise は、アプリケーション開発 (開発インフラストラクチャへのアクセスを含む)、展開、ソフトウェア資産管理、ST&E (テクノロジの挿入、修正プログラムの適用、およびミッション ニーズに基づくソフトウェアの依存関係の追跡など) のポリシー適用の自動化を開始します (ソフトウェア部品表など)。 |
GitHub Actions 継続的インテグレーションと継続的デリバリー (CI/CD) パイプラインを使用して、ソフトウェア部品表 (SBOM) の DevSecOps プロセスを標準化します。 - GitHub Actions - SBOM を生成 GitHub Dependabot と CodeQL を使用してセキュリティ チェックを自動化し、依存関係の脆弱性をスキャンします。 - Code scanning - Secure supply chain GitHub Actions, Azure DevOps Actions CodeQL を使用して CI/CD パイプラインでのセキュリティ チェックを自動化します。 GitHub Advanced Security for Azure DevOps は、開発者ワークフローにネイティブなアプリケーション セキュリティ テスト サービスです。 - コード スキャン - Azure DevOps ソフトウェア部品表生成ツールの GitHub Advanced Security Windows、Linux、MacOS の各オペレーティング システムで動作するビルド時 SBOM ジェネレーターを使用します。 標準のソフトウェア パッケージ データ 交換 (SPDX) 形式を使用します。 |
| Advanced Maturity Status Enterprise では、アプリケーションおよびアプリケーションの開発とデプロイのライフサイクルのすべての側面に対して、階層化された調整済みのポリシーがエンタープライズ全体に実装され、可能な場合は自動化を活用して適用がサポートされます。 |
Azure Policy 標準の適用とコンプライアンスの評価に役立ちます。 環境の集計ビューについては、コンプライアンス ダッシュボードを参照してください。 Azure Policy Microsoft Defender for Cloud Defender for Cloud を使用して Azure と Azure 以外のワークロードを保護します。 規制コンプライアンスと Azure Policy を使用して、構成標準を使用してインフラストラクチャを継続的に評価します。 構成のドリフトを防ぎます。 |
| 最適な成熟度の状態 Enterprise は、CI/CD パイプラインを介してアプリケーションの動的更新を組み込むなど、アプリケーションの開発とデプロイを管理するポリシーを完全に自動化します。 |
Defender for Cloud 監視コンポーネントをデプロイして、Azure ワークロードからデータを収集し、脆弱性と脅威を監視します。 セキュリティ ポリシー コードとしてのインフラストラクチャ 継続的インテグレーションと継続的デリバリー (CI/CD) を使用して、GitHub Actions を使用して IaC をデプロイします。GitHub Actions を使用して Azure インフラストラクチャを する Azure Policy コード定義として Azure Policy をデプロイし、その定義をテストし、デプロイします。コード ワークフローとしてポリシーを |
次の手順
CISA ゼロ トラスト成熟度モデル用に Microsoft Cloud Services を構成します。