次の方法で共有


ネットワークの柱のための DoD ゼロ トラスト戦略

DoD ゼロ トラスト戦略とロードマップは、国防総省の各部署と国防産業基盤 (DIB) パートナーによる、ゼロ トラストの原則に基づく新しいサイバーセキュリティ フレームワークを導入するための大まかな道筋を示しています。 ゼロ トラストは、従来の境界や信頼の前提を排除し、セキュリティ、ユーザー エクスペリエンス、ミッション パフォーマンスを強化する、より効率的なアーキテクチャを実現します。

このガイドには、DoD ゼロ トラスト機能遂行ロードマップでの、152 種のゼロ トラスト アクティビティに関する推奨事項が記載されています。 各セクションは、DoD ゼロ トラスト モデルの 7 つの柱に対応します。

ガイドの各セクションに移動するには次のリンクを使用してください。

5 ネットワーク

このセクションでは、ネットワークの柱に含まれる DoD ゼロ トラスト アクティビティに関する Microsoft のガイダンスと推奨事項について説明します。 詳細については、「ゼロ トラストによるネットワークのセキュリティ保護」を参照してください。

5.1 データ フローのマッピング

Azure Virtual Network サービスは、Azure におけるプライベート ネットワークの構成要素です。 仮想ネットワーク内の Azure リソースは、相互に、インターネットと、そしてオンプレミスのリソースと通信します。

Azure に複数のハブ アンド スポーク ネットワーク トポロジをデプロイすると、Azure Firewall によって仮想ネットワーク間のトラフィックのルーティングが処理されます。 また、Azure Firewall Premium には、トランスポート層セキュリティ (TLS) 検査、ネットワーク侵入、検出、防止システム (IDPS)、URL フィルタリング、コンテンツ フィルタリングなどのセキュリティ機能が含まれます。

Azure Network Watcher や Azure Monitor Network Insights などの Azure ネットワーク ツールは、ネットワーク トラフィック フローのマッピングと視覚化に役立ちます。 Microsoft Sentinel 統合により、ブック、自動化、検出機能を使って、組織のネットワーク トラフィックを可視化および制御できます。

DoD アクティビティの説明と結果 Microsoft ガイダンスと推奨事項
Target 5.1.1 詳細な制御アクセス規則とポリシーを定義する - パート 1
組織と連携する DoD Enterprise により、詳細なネットワーク アクセス規則とポリシーが作成されます。 関連する運用構想書 (ConOps) がアクセス ポリシーに合わせて開発され、将来のサポート可能性を確実にします。 合意されたら、DoD 組織は、これらのアクセス ポリシーを既存のネットワーク テクノロジ (次世代ファイアウォール、侵入防止システムなど) に実装して、初期リスク レベルを向上させます。

結果:
- 技術標準が提供される
- 運用構想書が作成される
- 関心のあるコミュニティが特定される
Azure Firewall Premium
Azure Virtual Network と Azure Firewall Premium を使用して、クラウド リソース間、クラウド リソースとオンプレミス リソース間、およびインターネット間の通信とルーティングを制御します。 Azure Firewall Premium には、トラフィックを保護するための脅威インテリジェンス、脅威検出、侵入防止機能があります。
- セグメント化戦略
- マルチ ハブ アンド スポーク トポロジをルーティングする
- Azure Firewall Premium の機能

Azure Firewall Policy Analytics を使用してファイアウォール規則を管理し、トラフィック フローを可視化し、ファイアウォール規則に関する詳細な分析を実行します。
- Azure Firewall Policy Analytics

Azure Private Link
Azure Private Link を使用し、仮想ネットワーク内のプライベート エンドポイント経由で Azure サービスとしてのプラットフォーム (PaaS) にアクセスします。 プライベート エンドポイントを使用して、重要な Azure リソースを仮想ネットワークのみに結び付けます。 仮想ネットワークから Azure へのトラフィックは、Azure バックボーン ネットワーク上に留まっています。 Azure PaaS サービスを使用するために、パブリック インターネットに仮想ネットワークを公開する必要はありません。
- ネットワークをセキュリティ保護する: PaaS サービス境界
- ネットワーク セキュリティのベスト プラクティス

ネットワーク セキュリティ グループ
ネットワーク セキュリティ グループ (NSG) でフロー ログを有効にして、トラフィック アクティビティを取得します。 Network Watcher でアクティビティ データを視覚化します。
- NSG フロー ログ

Azure Virtual Network Manager
Azure Virtual Network Manager を使用して、サブスクリプション間の仮想ネットワークの接続とセキュリティの構成を一元管理します。
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager は、クラウドベースのセキュリティ境界のセキュリティ ポリシーとルート管理を一元化するためのセキュリティ管理サービスです。
- Azure Firewall Manager

Azure Policy
Azure Policy を使用して、Azure Firewall へのトラフィック強制トンネリングや他のネットワーク アプライアンスなどのネットワーク標準を適用します。 パブリック IP を禁止するか、暗号化プロトコルの安全な使用を強制します。
- Azure ネットワーク サービスの定義

Azure Monitor
Azure Network Watcher と Azure Monitor Network Insights を使用して、ネットワークを包括的かつ視覚的に表現します。
- Network Watcher
- Network Insights

Target 5.1.2 詳細な制御アクセス規則とポリシーを定義する - パート 2
DoD 組織は、データのタグ付けと分類の標準を使用して、SDN インフラストラクチャへの API アクセス用のデータ フィルターを開発します。 API 決定ポイントは SDN アーキテクチャ内で形式化され、ミッション/タスク以外の重要なアプリケーションとサービスで実装されます。

結果:
- API インフラストラクチャのデータ タグ付けフィルターを定義する
アプリケーション セキュリティ グループ
アプリケーション セキュリティ グループを使用して、アプリケーション構造の拡張機能としてネットワーク セキュリティを構成します。 仮想マシン (VM) をグループ化し、グループに基づいてネットワーク セキュリティ ポリシーを定義します。
- アプリケーション セキュリティ グループ

Azure サービス タグ

Azure VM と Azure Virtual Networks のサービス タグを使用して、使用中の Azure サービスへのネットワーク アクセスを制限します。 Azure は、各タグに関連付けられている IP アドレスを保持します。
- Azure サービス タグ

Azure Firewall
Azure Firewall Manager は、クラウドベースのセキュリティ境界 (ファイアウォール、DDoS、WAF) のセキュリティ ポリシーとルート管理を一元化するためのセキュリティ管理サービスです。 IP グループを使用して、Azure Firewall 規則の IP アドレスを管理します。
- Azure Firewall Manager
- IP グループ

Azure Virtual Network Manager
Virtual Network Manager は、サブスクリプション間で仮想ネットワークをグローバルにグループ化、構成、デプロイ、表示、および管理するための管理サービスです。
- 一般的なユース ケース

Azure Network Watcher
Network Watcher を有効にしてメトリックの監視、診断、表示を行います。 Azure サービスとしてのインフラストラクチャ (IaaS) リソースのログを有効または無効にします。 Network Watcher を使用して、VM、VNet、アプリケーション ゲートウェイ、ロード バランサーなどの IaaS 製品のネットワーク正常性を監視および修復します。
- Azure Network Watcher

5.2 ソフトウェアによるネットワーク

仮想ネットワークは、Azure のプライベート ネットワークの基盤です。 仮想ネットワーク (VNet) では、組織が Azure リソースとオンプレミスの間の通信を制御します。 トラフィックをフィルタリングおよびルーティングし、Azure Firewall、Azure Front Door、Azure Application Gateway、Azure VPN Gateway、Azure ExpressRoute などの他の Azure サービスと統合します。

DoD アクティビティの説明と結果 Microsoft ガイダンスと推奨事項
Target 5.2.1 SDN API の定義
DoD 企業は、各組織と連携して、ソフトウェア定義ネットワーク (SDN) 機能を有効にするために必要な API やその他のプログラム インターフェイスを定義します。 これらの API により、認証決定ポイント、Application Delivery Control Proxy、および Segmentation Gateway の自動化が有効になります。

結果:
- SDN API は標準化され、実装されています
- API は、AuthN 決定ポイント、App Delivery Control Proxy、および Segmentation Gateway で機能します
Azure Resource Manager
Azure Resource Manager (ARM) API を使用して Azure ネットワークをデプロイして構成します。 Azure 管理ツール: Azure portal、Azure PowerShell、Azure コマンド ライン インターフェイス (CLI)、テンプレートは、同じ ARM API を使用して要求を認証および認可します。
- Azure Resource Manager
- Azure REST API リファレンス

Azure ロール
ネットワーク リソース管理用に組み込みの Azure ロールを割り当てます。 最小特権の原則に従い、PIM を使用して Just-In-Time (JIT) でロールを割り当てます。
- Azure 組み込みロール

Target 5.2.2 SDN プログラミング可能なインフラストラクチャの実装
API 標準、要件、および SDN API の機能に従って、DoD 組織は自動化タスクを有効にするソフトウェア定義ネットワーク (SDN) インフラストラクチャを実装します。 Segmentation Gateway と認証決定ポイントは、監視とアラートのために標準化されたリポジトリ (SIEM、Log Analytics など) への出力ログと共に SDN インフラストラクチャに統合されます。

結果:
- 実装された Application Delivery Control Proxy
- 確立された SIEM ログ アクティビティ
- 実装されたユーザー アクティビティ モニタリング (UAM)
- Authentication Decision Point との統合
Azure ネットワーク リソース
Azure Front Door (AFD)、Azure Application Gateway、または Azure Firewall を使用して、仮想ネットワーク (VNet) でホストされているアプリケーションへの外部アクセスをセキュリティで保護します。 AFD と Application Gateway には、Open Web Application Security Project (OWASP) のトップ 10 とボットに対する負荷分散とセキュリティ機能があります。 カスタム ルールを作成できます。 Azure Firewall には、レイヤー 4 で脅威インテリジェンスのフィルタリング機能があります。
- 既知の脅威に対するクラウド ネイティブのフィルタリングと保護
- Networkng アーキテクチャ デザイン

Microsoft Sentinel
Azure Firewall、Application Gateway、ADF、および Azure Bastion は、分析のためにログを Sentinel または他のセキュリティ情報およびイベント管理 (SIEM) システムにエクスポートします。 Sentinel または Azure Policy のコネクタを使用して、環境全体でこの要件を適用します。
- Sentinel を使用した Azure Firewall
- Sentinel へのAzure Web App Firewall コネクタ
- Sentinel データ コネクタの検索

Microsoft Entra アプリケーション プロキシ
アプリケーション プロキシをデプロイし、オンプレミス ネットワーク上でプライベート アプリケーションを公開、配信します。 セキュリティで保護されたハイブリッドアクセス(SHA)パートナーソリューションを統合します。
- アプリケーション プロキシ
- アプリケーション プロキシのデプロイ
- SHA パートナーの統合

Microsoft Entra ID Protection
Microsoft Entra ID Protection をデプロイし、条件付きアクセスにサインイン リスク シグナルをもたらします。

「ユーザー」 の Microsoft guidance 1.3.3 を参照してください。

Microsoft Defender for Cloud アプリ
Defender for Cloud アプリを使用して、危険な Web アプリケーション セッションを監視します。
- Defender for Cloud アプリ

Target 5.2.3 フローをコントロール、管理、データの各プレーンにセグメント化する
ネットワーク インフラストラクチャとフローは、物理的または論理的にコントロール、管理、データの各プレーンにセグメント化されます。 IPv6/VLAN アプローチを使用した基本的なセグメント化は、データ プレーン間のトラフィックをより適切に整理するために実装されています。 更新されたインフラストラクチャからの分析と NetFlow は、Operations Center と分析ツールに自動的に供給されます。

結果:
- IPv6 のセグメント化
- 自動化された NetOps 情報レポートを有効にする
- エンタープライズ全体の構成コントロールを実現する
- SOAR と統合される
Azure Resource Manager
Azure Resource Manager は、Azure アカウント内のリソースを作成、更新、削除するための管理レイヤーを備えたデプロイおよび管理サービスです。
- Azure コントロール プレーンとデータ プレーン
- マルチテナント コントロール プレーン
- Azure 運用セキュリティ

Microsoft Sentinel
Azure ネットワーク インフラストラクチャを Sentinel に接続します。 Azure 以外のネットワーク ソリューション用に Sentinel データ コネクタを構成します。 カスタム分析クエリを使用して Sentinel SOAR オートメーションをトリガーします。
- プレイブックを使用した脅威への対応
- Logic Apps を使用した Azure Firewall の検出と対応

詳細については、5.2.2 の Microsoft ガイダンスを参照してください。

Advanced 5.2.4 ネットワーク資産の検出と最適化
DoD 組織は、リスク ベースの体系的なアプローチに基づいてデバイスへのアクセスを制限する SDN インフラストラクチャを通してネットワーク資産の検出を自動化します。 最適化は SDN 分析に基づいて行われ、全体的なパフォーマンスを向上させ、リソースへの必要な承認済みアクセスを提供します。

成果:
- テクノロジ リフレッシュ/テクノロジの進化
- 最適化/パフォーマンス制御を提供する
Azure Monitor
Azure Monitor ネットワークの分析情報を使用して、トポロジ、正常性、メトリックなどの、ネットワーク リソースの包括的な視覚的表現を確認します。

5.1.1 の Microsoft ガイダンスを参照してください。

Microsoft Defender for Cloud
Defender for Cloud は、Azure、その他のクラウド、およびオンプレミス内にプロビジョニングされたリソースのインベントリを検出して一覧表示します。
- マルチクラウド環境
- リソース セキュリティ態勢の管理

Microsoft Defender for Endpoint
エンドポイントをオンボードし、アンマネージド デバイスを検出するためにネットワークを収集、プロープ、またはスキャンするようにデバイスの検出を構成します。
- デバイスの検出の概要
Advanced 5.2.5 リアルタイムのアクセス決定
SDN インフラストラクチャは、ユーザー アクティビティ監視、エンティティ アクティビティ監視、エンタープライズ セキュリティ プロファイルなどのクロス ピラー データ ソースを利用して、リアルタイムでアクセス決定を行います。 機械学習は、高度なネットワーク分析 (完全なパケット キャプチャなど) に基づく意思決定を支援するために使用されます。 ポリシーは、統合アクセス標準を使用してエンタープライズ全体で一貫して実装されます。

結果:
- 分析エンジンを使用して SIEM ログを分析し、リアルタイムのポリシー アクセス決定を提供する
- 分析用にキャプチャされたパケット、データ/ネットワーク フロー、およびその他の特定のログを送信をサポートする
- セグメントのエンドツーエンドのトランスポート ネットワーク フロー
- 企業全体の一貫性を保つためのセキュリティ ポリシーの監査
アクティビティ 5.2.1 から 5.2.4 を完了します。

Microsoft Sentinel
分析のためにネットワーク ログを Sentinel に送信して脅威を検出します。 脅威インテリジェンス、高度なマルチステージ攻撃検出、脅威ハンティング、組み込みのクエリなどの機能を使用します。 Sentinel の自動化により、オペレーターは悪意のある IP アドレスをブロックできます。
- 分析ルールによる脅威検出
- Sentinel 用の Azure Firewall コネクタ

Azure Network Watcher
Azure Network Watcher を使用して、仮想マシン (VM) および仮想マシン スケールセットとの間のネットワーク トラフィックをキャプチャします。
- パケット キャプチャ

Microsoft Defender for Cloud
Defender for Cloud は、Microsoft Cloud Security Benchmark、DoD Impact Level 4 (IL4)、IL5、国立標準技術研究所 (NIST) 800-53 R4/R5 などのフレームワークで規定されているネットワーク セキュリティ制御への準拠を評価します。
- セキュリティ制御: ネットワーク セキュリティ

条件付きアクセス
条件付きアクセスの分析情報とレポート ブックを使用して、組織の条件付きアクセス ポリシーの効果を理解します。
- 分析情報とレポート

5.3 マイクロセグメント化

Azure サブスクリプションは、Azure リソースを分離する高度な構造です。 異なるサブスクリプション内のリソース間の通信は、明示的にプロビジョニングされます。 サブスクリプション内の仮想ネットワーク (VNet) リソースは、ネットワーク レベルのリソース包含を提供します。 既定では、VNet は他の VNet と通信できません。 VNet 間のネットワーク通信を有効にするには、それらをピアリングし、Azure Firewall を使用してトラフィックを制御および監視します。

詳しくは、「ネットワーク レベルのセグメント化を使用してワークロードをセキュリティで保護および管理する」を参照してください。

DoD アクティビティの説明と結果 Microsoft ガイダンスと推奨事項
Target 5.3.1 データセンターのマクロ セグメント化
DoD 組織は、従来の階層化 (Web、アプリ、DB) アーキテクチャやサービス ベースのアーキテクチャを使用して、データ センターに重点を置いたマクロ セグメント化を実装します。 プロキシや適用のチェックは、デバイスの属性と動作に基づいて SDN ソリューションと統合されます。

結果:
- SIEM にアクションをログする
- デバイスの属性、動作、その他のデータのプロキシと適用のチェックを確立する
- 分析エンジンでアクティビティを分析する
Azure ネットワーク
エンタープライズ規模のランディング ゾーンなど、確立されたアーキテクチャに基づいて、Azure ネットワーク サービスを設計して実装します。 Azure 仮想ネットワーク (VNet) をセグメント化し、Azure ネットワーク セキュリティのベスト プラクティスに従います。 パケットがさまざまな VNet 境界を越える場合は、ネットワーク セキュリティ コントロールを使用します。
- ネットワーク セキュリティに関するベスト プラクティス
- 主権と Azure ランディング ゾーン
- ネットワーク トポロジと接続
- ネットワーク と接続の推奨事項

Microsoft Entra ID 保護
Microsoft Entra ID 保護をデプロイし、条件付きアクセス ポリシー セットでデバイスとリスクのシグナルを使用します。

ユーザー」の Microsoft ガイダンス 1.3.3 と「デバイス」の 2.1.4 を参照してください。

Microsoft Sentinel
コネクタを使って Microsoft Entra ID、ネットワーク リソースからログを取得し、監査、脅威ハンティング、検出、対応のために Microsoft Sentinel に送信します。 Sentinel でユーザー エンティティ行動分析 (UEBA) を有効にします。

5.2.2 の Microsoft ガイダンスと、「ユーザー」の 1.6.2 を参照してください。

Microsoft Defender XDR
Microsoft Defender for Endpoint と Microsoft Defender for Cloud Apps を統合して、承認されていないアプリへのアクセスをブロックします。
- Defender for Cloud Apps と Defender for Endpoint を統合する
- シャドウ IT を検出してブロックする

Target 5.3.2 B/C/P/S マクロ セグメント化
DoD 組織は、横移動を制限する論理ネットワーク ゾーンを使用して、ベース、キャンプ、ポスト、ステーションのマクロ セグメント化を実装します。 プロキシや適用のチェックは、デバイスの属性と動作に基づいて SDN ソリューションと統合されます。

結果:
- デバイスの属性、動作、その他のデータのプロキシと適用のチェックを確立する
- SIEM にアクションをログする
- 分析エンジンでアクティビティを分析する
- SOAR を利用して RT ポリシー アクセスの決定を行う

アクティビティ 5.3.1 を完了します。

Microsoft Sentinel
Azure Firewall を使用してファイアウォール アクティビティを視覚化し、AI 調査機能を使用して脅威を検出し、アクティビティを関連付け、対応アクションを自動化します。
- Azure Firewall

5.4 マイクロ セグメント化

ネットワーク セキュリティ グループ (NSG) とアプリケーション セキュリティ グループ (ASG) は、Azure ネットワークのネットワーク セキュリティ マイクロ セグメント化を提供します。 ASG は、アプリケーション パターンに基づいて、トラフィックのフィルター処理を簡素化します。 複数のアプリケーションを同じサブネットにデプロイし、ASG に基づいてトラフィックを分離します。

詳しくは、「ネットワーク レベルのセグメント化を使用してワークロードをセキュリティで保護および管理する」を参照してください。

DoD アクティビティの説明と結果 Microsoft ガイダンスと推奨事項
Target 5.4.1 マイクロ セグメント化を実装する
DoD 組織はマイクロ セグメント化インフラストラクチャを SDN 環境に実装して、サービス コンポーネント (Web、アプリ、DB など)、ポート、プロトコルの基本的なセグメント化を実現します。 基本的な自動化は、API の意思決定を含むポリシーの変更に対して受け入れられます。 仮想ホスティング環境では、ホストとコンテナーのレベルでマイクロ セグメント化が実装されます。

結果:
- ポリシーの自動変更を受け入れる
- API 決定ポイントを実装する
- 仮想ホスティング環境に NGF、マイクロ FW、エンドポイント エージェントを実装する
アクティビティ 5.3.1 を完了します。

Azure Firewall Premium
Azure ネットワーク セグメント化戦略で、Azure Firewall Premium を NextGen Firewall (NGF) として使用します。

Microsoft ガイダンス 5.1.1 を参照してください。

アプリケーション セキュリティ グループ
ネットワーク セキュリティ グループ (NSG) では、アプリケーション セキュリティ グループを使用して、ネットワーク セキュリティをアプリケーション構造の拡張機能として構成できます。 アプリケーション セキュリティ グループを使用して、同じアプリケーションの Azure リソースを関連付けることで、ネットワーク セキュリティ ポリシーを単純化します。
- ネットワーク レベルのセグメント化でワークロードの保護とガバナンス管理を行う
- アプリケーション セキュリティ グループ

Azure Kubernetes Service
Azure Policy の組み込み定義を使用して Azure Kubernetes Service (AKS) のアプリケーションに Azure Container Networking Interface (Azure CNI) を必須とします。 ネットワーク ポリシーを使用して、AKS 内のコンテナーにコンテナーレベルのマイクロセグメント化を実装します。
- AKS のネットワークの概念
- Azure CNI オーバーレイ ネットワークを構成する
- ネットワーク ポリシーを使用してポッド間のトラフィックの安全を確保する
- AKS ポリシー リファレンス

Microsoft Defender for Servers
Azure の仮想マシン (VM)、他のクラウド ホスティング環境の VM、オンプレミスのサーバーを Defender for Servers にオンボードします。 Microsoft Defender for Endpoint のネットワーク保護により、侵害インジケーター (IoC) と一致する特定のドメイン、ホスト名、IP アドレスとの通信からのホストレベルのプロセスがブロックされます。
- Defender for Servers のデプロイを計画する
- ネットワークを保護する
- インジケーターを作成する
Target 5.4.2 アプリケーションとデバイスのマイクロ セグメント化
DoD 組織は、ソフトウェアによるネットワーク (SDN) ソリューションを利用して、次の ZT ターゲット機能を満たすインフラストラクチャを確立します: ユーザーとデバイスに対する論理ネットワーク ゾーン、ロール、属性、および条件付きベースのアクセス制御、ネットワーク リソースの特権アクセス管理サービス、API アクセスでのポリシーベースの制御。

結果:
- ユーザーとデバイスにロール、属性、条件ベースのアクセス制御を割り当てる
- Privileged Access Management サービスを提供する
- ユーザーとデバイスの ID ごとにアクセスを制限する
- 論理ネットワーク ゾーンを作成する
Microsoft Entra ID
アプリケーションと Microsoft Entra ID を統合します。 アプリ ロール、セキュリティ グループ、アクセス パッケージを使用してアクセスを管理します。

ユーザー」の Microsoft ガイダンス 1.2 を参照してください。

条件付きアクセス
ユーザー、ロール、グループ、デバイス、クライアント アプリ、ID リスク、アプリケーション リソースに基づいて、動的認可のための条件付きアクセス ポリシー セットを設計します。 認証コンテキストを使用し、ユーザーと環境の条件に基づいて、論理ネットワーク ゾーンを作成します。

ユーザー」の Microsoft ガイダンス 1.8.3 を参照してください。

Privileged Identity Manager
特権ロールと Microsoft Entra セキュリティ グループへの Just-In-Time (JIT) アクセス用に PIM を構成します

ユーザー」の Microsoft ガイダンス 1.4.2 を参照してください。

Azure Virtual Machines と SQL データベース
ユーザーのサインインに Microsoft Entra の ID を使用するように、Azure Virtual Machines と SQL インスタンスを構成します。
- Azure で Windows にサインインする
- Azure で Linuz VM にサインインする
- Azure SQL での認証

Azure Bastion
Bastion を使用し、Azure portal からプライベート IP アドレスで、またはネイティブ Secure Shell (SSH) か、リモート デスクトップ プロトコル (RDP) を使用して、Azure VM に安全に接続します。
- Bastion

Microsoft Defender for Server
VM への Just-In-Time (JIT) アクセスを使用して、承認されていないネットワーク アクセスから VM を保護します。
- VM で JIT アクセスを有効にする
Advanced 5.4.3 プロセスのマイクロ セグメント化
DoD 組織は、既存のマイクロ セグメント化と SDN 自動化インフラストラクチャを利用して、プロセスのマイクロ セグメント化を実現します。 ホスト レベルのプロセスはセキュリティ ポリシーに基づいてセグメント化され、リアルタイムのアクセス決定を使用してアクセスが許可されます。

結果:
- セキュリティ ポリシーのためにホスト レベルのプロセスをセグメント化する
- リアルタイムのアクセス決定とポリシー変更をサポートする
- 分析と自動化のためのログのオフロードをサポートする
- セグメント化ポリシーの動的デプロイをサポートする
アクティビティ 5.4.2 を完了します。

Microsoft Defender for Endpoint
Defender for Endpoint でネットワーク保護を有効にして、ホスト レベルのプロセスとアプリケーションが悪意のあるネットワーク ドメイン、IP アドレス、侵害されたホスト名に接続するのを防ぎます。

Microsoft ガイダンス 4.5.1 を参照してください。

継続的アクセス評価
継続的アクセス評価 (CAE) を使用すると、Exchange Online、SharePoint Online、Microsoft Teams などのサービスで、Microsoft Entra ID 保護のアカウント無効化や高リスク検出などの Microsoft Entra イベントをサブスクライブできます。

ユーザー」の Microsoft ガイダンス 1.8.3 を参照してください。

Microsoft Sentinel
コネクタを使って Microsoft Entra ID、ネットワーク リソースからログを取得し、監査、脅威ハンティング、検出、対応のために Microsoft Sentinel に送信します。

ユーザー」の Microsoft ガイダンス 5.2.2 と 1.6.2 を参照してください。
Target 5.4.4 転送中のデータを保護する
データ フローのマッピングと監視に基づいて、DoD 組織は転送中のデータの保護を要求するポリシーを有効にします。 保護ポリシーには、合同情報共有、システム境界を越えた共有、アーキテクチャ コンポーネントをまたぐ保護などの一般的なユース ケースが含まれます。

結果:
- 合同情報共有の間に転送中のデータを保護する
- システムの高い境界を越えて転送中のデータを保護する
- アーキテクチャ コンポーネント間で転送中データ保護を統合する
Microsoft 365
DoD コラボレーションに Microsoft 365 を使用します。 Microsoft 365 サービスは、保存データと転送中のデータを暗号化します。
- Microsoft 365 での暗号化

Microsoft Entra 外部 ID
Microsoft 365 と Microsoft Entra ID は、他の DoD テナントのユーザーの簡単なオンボードとアクセス管理で、合同共有を強化します。
- B2B コラボレーション
- ゲスト共有をセキュリティで保護する

テナント間アクセスと Microsoft クラウド設定を構成して、ユーザーが外部組織と共同作業する方法を制御します。
- テナント間アクセス
- Microsoft クラウド設定

Azure AD Identity Governance
エンタイトルメント管理を使用して外部ユーザー アクセスのライフサイクルを管理します。
- エンタイトルメント管理を使用する外部アクセス

Microsoft Defender for Cloud
Defender for Cloud を使用して継続的に評価し、クラウド リソースにセキュリティ保護されたトランスポート プロトコルを適用します。
- クラウド セキュリティ態勢管理

次のステップ

DoD ゼロ トラスト戦略用に Microsoft クラウド サービスを構成します。