組織全体でゼロ トラストセキュリティを実現は、ビジネス戦略と計画、技術的な設計とアーキテクチャ、デプロイ、運用にまたがる複雑な複数年にわたる取り組みです。
導入に対する構造化されたアプローチがないと、セキュリティモダン化プログラムが断片化され、反応的になり、維持が困難になる可能性があります。
*構造化セキュリティ導入モデルは、ハイブリッド、マルチクラウド、マルチプラットフォームの各環境でエンドツーエンドのセキュリティモダン化を計画、優先順位付け、実装するのに役立つ、標準化された反復可能なロール対応プロセスを提供します。
導入モデルは、ビジネス リーダー、セキュリティ マネージャー、アーキテクト、実践者が組織全体で制御された持続可能なペースで一緒に進むことができるように、重要なビジネス成果、セキュリティ規範、およびソリューションの実装を調整します。
Tip
Microsoftには、Security Adoption Framework (SAF) ワークショップなど、豊富なセキュリティ導入ワークショップが用意されています。 Microsoft の構造化導入モデルのガイダンスは、これらのワークショップで提供される Microsoft Unified のエキスパート主導のガイダンスに沿っています。 SAFワークショップの詳細をご覧ください。
導入モデルを使用する理由
構造化導入モデルは、次の作業に役立ちます。
- セキュリティのベスト プラクティスに合わせて調整する - ゼロ トラストの原則に合わせます, Microsoft Secure Future Initiative (SFI) パターン、オープン標準とガイダンス、その他のセキュリティのベスト プラクティス。
- 既存の投資を最大化する - 新しい機能を導入する前に、既存のツールから価値を得ます。
- エンドツーエンドのセキュリティ戦略を実現する - ビジネスの優先順位をセキュリティ アーキテクチャ、制御、プロセス、運用に結び付けます。
- 継続的に適応 する - 脅威、ビジネス ニーズ、テクノロジの変化に応じて、セキュリティ体制と戦略を進化させます。
- アクションに優先順位を付ける - ベスト プラクティス、学習した教訓、および実際の例に根付いた、チームと利害関係者に実際のロール固有のガイダンスを提供します。
この図は、導入モデルでこれらの要素がどのように結合されるかを示しています。
導入モデルで既存のガイダンスを統合する方法
この導入モデルは、これまで複数のフレームワークとリソースにわたって公開されたMicrosoftセキュリティ ガイダンスをまとめ、1 つの実用的な構造に調整します。
以下のコンテンツ ソースを含め、確立されたガイダンスを統合して構築します。
- Microsoft サイバーセキュリティ リファレンス アーキテクチャ(MCRA)
- セキュリティ開発ライフサイクル (SDL)。
- ゼロ トラストとCISOワークショップ
- 不変のセキュリティ法
- 特権アクセス/ワークステーションのガイダンス。
- インシデント対応プレイブック
このモデルは、一般的なビジネス シナリオ、規範、実装手順に関するこのガイダンスを整理することで、分離された推奨事項から、セキュリティの改善を計画、実装、測定するためのまとまりのあるアプローチに移行するのに役立ちます。 今後、導入モデルのコンテンツをさらに充実させていきます。
導入モデルの構造
導入モデルは、組織がビジネスの意図から詳細な実装に移行するのに役立つ 3 つのコア コンポーネントに基づいて構築されています。
- ビジネス シナリオでは、 一般的なビジネス成果と、それらを実現するためにセキュリティを調整する方法を定義します。
- セキュリティ規範は、セキュリティを 最新化し、ビジネス成果を達成するためにチームがどのように編成、計画、運用するかを定義します。
- テクノロジの柱は、 セキュリティで保護する組織の資産とリソースを表します。 ID、デバイス、データなどです。
導入モデルの各コンポーネントは、特定の対象ユーザーとロールを対象とします。
| セクション | 主な対象 | 目的 |
|---|---|---|
| ビジネス シナリオ | ビジネス リーダー | セキュリティでサポートする必要がある重要なビジネス成果を特定、定義、伝達します。 ビジネスの優先順位を、計画と意思決定の指針となる実用的なセキュリティ目標に変換します。 ビジネス成果に関する実用的で反復可能なガイダンスを提供し、成果の提供に関連する役割と規範への明確なパスを提供します。 |
| セキュリティ規範 | セキュリティ リーダーとチーム、IT リーダー、デザイナー、アーキテクト。 | ブリッジ ビジネス シナリオとセキュリティのデプロイ/実装。 セキュリティへの投資と優先順位が、明確な計画、アーキテクチャ、運用プラクティスを通じて測定可能な結果に変換されるようにします。 ビジネス シナリオは、通常、複数のセキュリティ規範にマップされます。 |
| テクノロジの柱 | 技術およびセキュリティの実装者とパートナー。 | セキュリティで保護する必要がある資産の種類と、ゼロ トラストの原則とセキュリティ制御を適用する必要がある場所を定義します。 関連するテクノロジ、コントロール、および機能をグループ化して、セキュリティ戦略を実装に接続します。 ビジネス シナリオは、複数のテクノロジの柱を超える可能性があります。 たとえば、ビジネスの成果が企業全体のセキュリティ体制を改善する場合は、デバイス、データ、インフラストラクチャ、ネットワークなどの間で体制を改善する必要があります。 |
導入ガイダンス
構造化導入ガイダンスでは、以下に重点を置いています。
- 一般的なビジネス クリティカルなシナリオに関するエンド ツー エンドのガイダンス。
- ゼロ トラスト原則、Microsoftベスト プラクティス、外部フレームワークに基づく製品に依存しない推奨事項。
- Microsoftセキュリティ製品とサービスを使用した詳細な実装ガイダンス。
次のステップ
セキュリティ導入体験を開始するためのオプションを確認します。