セキュリテイ保護

  • 10 分

セキュア手法を使用すると、セキュリティ態勢を強化できます。 各フェーズの不可欠な部分としてセキュリティを実装する必要があるため、このガイダンスはクラウド導入フレームワーク内のすべての手法に関連します。 セキュア手法におけるすべての推奨事項は、侵害を想定 (または侵害を前提)、最小特権、信頼の明示的な検証というゼロ トラストの原則に準拠しています。

セキュリティ ガイダンスを利用する

このクラウド導入フレームワークのセキュア ガイダンスは、さまざまなチームが自らのセキュリティ上の責務を理解し、遂行できるよう支援するために設計された、Microsoft の包括的なセキュリティ ガイダンス セットのコンポーネントです。 完全なセットには、次のガイダンスが含まれています。

  • クラウド導入フレームワークのセキュア手法は、Azure でホストされているすべてのワークロードの開発と運用をサポートするテクノロジ インフラストラクチャを管理するチーム向けに、セキュリティ ガイダンスを提供します。

  • Azure Well-Architected フレームワークのセキュリティ ガイダンスは、アプリケーション開発と DevOps および DevSecOps プロセスにセキュリティのベスト プラクティスを適用する方法について、個々のワークロード所有者にガイダンスを提供します。 Microsoft はこのドキュメントを補完する形で、セキュリティ開発ライフサイクルにおけるセキュリティ プラクティスや DevSecOps コントロールの適用方法に関するガイダンスも提供しています。

  • Microsoft クラウド セキュリティ ベンチマークは、堅牢なクラウド セキュリティを確保するためのベスト プラクティス ガイダンスを利害関係者向けに提供します。 このガイダンスには、Azure サービスで利用可能なセキュリティ機能や推奨される最適な構成を記述したセキュリティ ベースラインが含まれます。

  • ゼロ トラスト ガイダンスは、ゼロ トラスト モダン化イニシアチブをサポートする技術的な機能を実装するためのセキュリティ チーム向けのガイダンスを提供します。

クラウド導入の過程を通じて、モダン化インシデントの準備、対応を通じて、全体的なセキュリティ態勢を強化する機会を探します。 インシデントに備えて対応する能力は、クラウドでの成功に大きく影響します。 適切に設計された準備メカニズムと運用プラクティスにより、迅速な脅威検出が可能になり、インシデントの影響範囲 (ブラスト半径) を最小限に抑えることができます。

CIA トライアド モデルを使用する

CIA トライアドは、機密性 (Confidentiality)、完全性 (Integrity)、可用性 (Availability) という 3 つの主要な原則を表す情報セキュリティの基本モデルです。

  • 機密性は、許可された人のみが機密情報にアクセスできることを保証します。 この原則には、データを不正アクセスから保護するための暗号化やアクセス制御などの対策が含まれます。

  • 整合性は、データの正確性と完全性を維持します。 この原則は、許可されていないユーザーによるデータの改ざんや変更から守ることを意味し、情報の信頼性を確保します。

  • 可用性は、必要なときに許可されたユーザーが情報やリソースにアクセスできることを保証します。 この原則には、システムやネットワークの維持管理を行い、ダウンタイムを防止してデータへの継続的なアクセスを確保することが含まれます。

トライアド原則がセキュリティと信頼性を確保するのに役立ついくつかの方法は次のとおりです。

  • データ保護: CIA トライアドを活用して機密データを漏えいから守り、プライバシーの確保と規制遵守を実現します。

  • ビジネス継続性: データの整合性と可用性を確保して、事業運営を維持し、ダウンタイムを回避します。

  • 顧客の信頼: CIA トライアドを実践して、データ セキュリティへのコミットメントを示し、顧客や利害関係者との信頼を築きます。

ロールを割り当てる

開発から継続的な改善まで、クラウド ライフサイクルのすべての段階でチームがセキュリティ機能を確実に実行できるように、適切なセキュリティ ロールを割り当てます

  • 既存のロールと、それらがカバーする機能を詳しく示します。
  • ギャップがないか確認します。
  • 組織がそれらのギャップを解消するために投資できるか、また投資すべきかを評価します。

全員がセキュリティにおける自分のロールと他のチームと連携する方法を理解していることを確認する必要があります。 この目標を達成するには、チーム間のセキュリティ プロセスと、技術チームの共同責任モデルを文書化します。 共同責任モデルは、責任ある、説明責任がある、相談済み、情報に基づく (RACI) モデルに似ています。 共同責任モデルは、誰が決定を下し、特定の項目や結果に対して共同作業を行うために何を行う必要があるかなど、共同作業のアプローチを示すのに役立ちます。

サイバー脅威は絶えず進化し高度化するため、クラウドで堅牢なセキュリティ態勢を維持するには、継続的なセキュリティの改善が不可欠です。 振り返りと監視は、改善の恩恵を受ける可能性がある領域を特定するのに役立ちます。 また、進化する脅威とテクノロジを最新の状態に保つための適切なトレーニングを確実に提供してください。