作業を開始しましょう。企業環境全体へのセキュリティの実装Get started: Implement security across the enterprise environment

セキュリティにより、ビジネスの機密性、整合性、可用性を保証できるようになります。Security helps create assurances of confidentiality, integrity, and availability for a business. セキュリティの取り組みでは、内部と外部の悪意のある意図しない行為に起因する運用への潜在的な影響からの保護に特に重点を置いています。Security efforts have a critical focus on protecting against the potential impact to operations caused by both internal and external malicious and unintentional acts.

このファースト ステップ ガイドでは、サイバーセキュリティ攻撃によるビジネス リスクを軽減または回避するための主要な手順の概要を説明します。This getting started guide outlines the key steps that will mitigate or avoid the business risk from cybersecurity attacks. このガイドに従うことで、クラウドでの重要なセキュリティ プラクティスを迅速に確立し、セキュリティをクラウド導入プロセスに組み込むことができます。It can help you rapidly establish essential security practices in the cloud and integrate security into your cloud adoption process.

このガイドの手順は、クラウド環境とランディング ゾーンのセキュリティ保証をサポートするすべてのロールを対象としています。The steps in this guide are intended for all roles that support security assurances for cloud environments and landing zones. タスクには、差し迫ったリスクの軽減の優先順位と、最新のセキュリティ戦略の構築、アプローチの運用化、その戦略の実行に関するガイダンスが含まれます。Tasks include immediate risk mitigation priorities, guidance on building a modern security strategy, operationalizing the approach, and executing on that strategy.

このガイドには、Azure 用の Microsoft クラウド導入フレームワークの要素が含まれています。This guide includes elements from across the Microsoft Cloud Adoption Framework for Azure:

企業セキュリティの概要

このガイドの手順に従うと、プロセスの重要なポイントでセキュリティを統合できます。Adhering to the steps in this guide will help you integrate security at critical points in the process. 目標は、クラウド導入における障害を回避し、業務または運用の不要な中断を減らすことです。The goal is to avoid obstacles in cloud adoption and reduce unnecessary business or operational disruption.

Microsoft では、Microsoft Azure に関するこのセキュリティ ガイダンスの実装の促進に役立つ機能とリソースを構築しました。Microsoft has built capabilities and resources to help accelerate your implementation of this security guidance on Microsoft Azure. これらのリソースは、このガイド全体で参照されています。You'll see these resources referenced throughout this guide. これらは、セキュリティの確立、監視、適用を支援するように設計されており、頻繁に更新およびレビューされます。They're designed to help you establish, monitor, and enforce security, and they're frequently updated and reviewed.

次の図は、セキュリティ ガイダンスとプラットフォーム ツールを使用して、Azure でクラウド資産のセキュリティの可視性と制御を確立するための包括的なアプローチを示しています。The following diagram shows a holistic approach for using security guidance and platform tooling to establish security visibility and control over your cloud assets in Azure. Microsoft ではこのアプローチを推奨しています。We recommend this approach.

セキュリティの図

これらの手順を使用して、クラウド資産をセキュリティで保護し、クラウドを使用してセキュリティ運用を最新化するための戦略を計画および実行します。Use these steps to plan and execute your strategy for securing your cloud assets and using the cloud to modernize security operations.

手順 1:重要なセキュリティ プラクティスを確立するStep 1: Establish essential security practices

クラウドのセキュリティは、最も重要なセキュリティ プラクティスをシステムのユーザー、プロセス、テクノロジの各要素に適用することから始まります。Security in the cloud starts with applying the most important security practices to the people, process, and technology elements of your system. また、アーキテクチャに関するいくつかの決定が基本であり、後で変更するのは非常に困難なので、慎重に適用する必要があります。Additionally, some architectural decisions are foundational and are very difficult to change later so should be carefully applied.

既にクラウドで運用している場合でも、将来の導入を計画している場合でも、これら 11 の重要なセキュリティ プラクティスに従うことをお勧めします (明示的な規制遵守要件を満たすことは必須です)。Whether you're already operating in the cloud or you're planning for future adoption, we recommend that you follow these 11 essential security practices (in addition to meeting any explicit regulatory compliance requirements).

ユーザー:People:

  1. クラウド セキュリティのための移行の過程についてチームを教育するEducate teams about the cloud security journey
  2. クラウド セキュリティ テクノロジについてチームを教育するEducate teams on cloud security technology

プロセス:Process:

  1. クラウドのセキュリティに関する意思決定のアカウンタビリティを割り当てるAssign accountability for cloud security decisions
  2. クラウドのインシデント対応 (IR) プロセスを更新するUpdate Incident Response (IR) processes for cloud
  3. セキュリティ態勢管理を確立するEstablish security posture management

テクノロジ:Technology:

  1. パスワードレス認証または多要素認証 (MFA) を必須にするRequire Passwordless or Multi-Factor Authentication (MFA)
  2. ネイティブ ファイアウォールとネットワーク セキュリティを統合するIntegrate native firewall and network security
  3. ネイティブ脅威検出を統合するIntegrate native threat detection

基本アーキテクチャの決定:Foundational Architecture Decisions:

  1. 単一のディレクトリと ID で標準化するStandardize on a single directory and identity
  2. (キーではなく) ID ベースのアクセス制御を使用するUse identity based access control (instead of keys)
  3. 単一の統合セキュリティ戦略を確立するEstablish a single unified security strategy

注意

各組織では、独自の最低限の基準を定義する必要があります。Each organization should define its own minimum standards. リスク体制とそのリスクに対するその後の許容度は、業界、文化、その他の要因によって大きく異なる可能性があります。Risk posture and subsequent tolerance to that risk can vary widely based on industry, culture, and other factors. たとえば、銀行では、テスト システムに対する軽微な攻撃であっても、評判を損なう可能性のあるものは許容されない場合があります。For example, a bank might not tolerate any potential damage to its reputation from even a minor attack on a test system. デジタル変革が 3 から 6 か月早まるのなら、その同じリスクを喜んで受け入れる組織もあります。Some organizations would gladly accept that same risk if it accelerated their digital transformation by three to six months.

手順 2:セキュリティ戦略を最新化するStep 2: Modernize the security strategy

クラウドでの効果的なセキュリティには、現在の脅威環境と、企業資産をホストしているクラウド プラットフォームの性質を反映した戦略が必要です。Effective security in the cloud requires a strategy that reflects the current threat environment and the nature of the cloud platform that's hosting the enterprise assets. 明確な戦略により、すべてのチームの取り組みが改善され、安全で持続可能なエンタープライズ クラウド環境が提供されます。A clear strategy improves the effort of all teams to provide a secure and sustainable enterprise cloud environment. セキュリティ戦略では、定義されたビジネス成果を実現し、許容できるレベルまでリスクを軽減し、従業員の生産性を高める必要があります。The security strategy must enable defined business outcomes, reduce risk to an acceptable level, and enable employees to be productive.

クラウド セキュリティ戦略により、この導入に向けたテクノロジ、プロセス、メンバーの準備に取り組むすべてのチームに明確なガイダンスが提供されます。A cloud security strategy provides guidance to all teams working on the technology, processes, and people readiness for this adoption. この戦略では、クラウドのアーキテクチャおよび技術的機能を伝え、セキュリティ アーキテクチャおよび機能について説明し、チームのトレーニングと教育に影響を与える必要があります。The strategy should inform the cloud architecture and technical capabilities, guide the security architecture and capabilities, and influence the training and education of teams.

成果物:Deliverables:

この戦略手順は、最終的に文書化して、組織内の多くの利害関係者に簡単に伝えることができるようにする必要があります。The strategy step should result in a document that can easily be communicated to many stakeholders within the organization. 利害関係者には、組織のリーダーシップ チームの役員が含まれる可能性があります。The stakeholders can potentially include executives on the organization's leadership team.

説明と更新を容易にするために、戦略をプレゼンテーションに取り込むことをお勧めします。We recommended capturing the strategy in a presentation to facilitate easy discussion and updating. このプレゼンテーションは、文化と選好に応じて、ドキュメントでサポートできます。This presentation can be supported with a document, depending on the culture and preferences.

  • 戦略のプレゼンテーション: 単一の戦略プレゼンテーションを用意することも、リーダー クラスの対象者向けの概要バージョンを作成することもできます。Strategy presentation: You might have a single strategy presentation, or you might choose to also create summary versions for leadership audiences.

    • 完全なプレゼンテーション: メイン プレゼンテーションまたはオプションの参照スライドに、セキュリティ戦略の要素の完全なセットが含まれている必要があります。Full presentation: This should include the full set of elements for the security strategy in the main presentation or in optional reference slides.
    • 概要: 上級管理者や取締役会役員向けに使用するバージョンには、リスク選好、最優先事項、許容リスクなど、役割に関連する重要な要素だけを含めます。Executive summaries: Versions to use with senior executives and board members might contain only critical elements relevant to their role, such as risk appetite, top priorities, or accepted risks.
  • 戦略と計画のテンプレートで、動機、成果、業務上の正当な理由を記録することもできます。You can also record motivations, outcomes, and business justifications in the strategy and plan template.

セキュリティ戦略を構築するためのベスト プラクティス:Best practices for building security strategy:

成功したプログラムでは、これらの要素がセキュリティ戦略プロセスに組み込まれています。Successful programs incorporate these elements into their security strategy process:

  • ビジネス戦略に厳密に合わせる: セキュリティの目的はビジネス価値を保護することです。Align closely to business strategy: Security's charter is to protect business value. セキュリティのすべての取り組みをその目的に合わせ、内部抗争を最小限に抑えることが重要です。It's critical to align all security efforts to that purpose and minimize internal conflict.

    • ビジネス、IT、セキュリティの要件について共通の理解を形成するBuild a shared understanding of business, IT, and security requirements.
    • 回避可能なリスクによる土壇場の危機を回避するために、初期段階でセキュリティをクラウド導入に組み込むIntegrate security early into cloud adoption to avoid last-minute crises from avoidable risks.
    • アジャイル アプローチを使用して最小限のセキュリティ要件を即座に確立し、長期にわたってセキュリティ保証を継続的に改善する。Use an agile approach to immediately establish minimum security requirements and continuously improve security assurances over time.
    • 意図的な事前対応型のリーダーシップ アクションによって、セキュリティ文化の変化を促進するEncourage security culture change through intentional proactive leadership actions.

    詳細については、「トランスフォーメーション、マインドセット、期待」を参照してください。For more information, see Transformations, mindsets, and expectations.

  • セキュリティ戦略を最新化する: セキュリティ戦略には、最新のテクノロジ環境、現在の脅威の状況、セキュリティ コミュニティ リソースのあらゆる側面に関する考慮事項が含まれている必要があります。Modernize security strategy: The security strategy should include considerations for all aspects of modern technology environment, current threat landscape, and security community resources.

    • クラウドの共有責任モデルに適応する。Adapt to the shared responsibility model of the cloud.
    • クラウドのすべての種類とマルチクラウド デプロイを含める。Include all cloud types and multicloud deployments.
    • 不要で有害な摩擦を避けるために、ネイティブ クラウド コントロールを優先する。Prefer native cloud controls to avoid unnecessary and harmful friction.
    • 攻撃者の進化のペースに対応するために、セキュリティ コミュニティを統合する。Integrate the security community to keep up with the pace of attacker evolution.

追加コンテキストの関連リソース:Related resources for additional context:


説明責任チームAccountable team 実行責任チームとサポート チームResponsible and supporting teams
  • セキュリティ リーダーシップ チーム (情報セキュリティ最高責任者 (CISO) または同等のもの)Security leadership team (chief information security officer (CISO) or equivalent)
  • クラウド戦略チームCloud strategy team
  • クラウド セキュリティ チームCloud security team
  • クラウド導入チームCloud adoption team
  • クラウドのセンター オブ エクセレンスまたは中央 IT チームCloud center of excellence or central IT team
  • 戦略の承認:Strategy approval:

    組織内のビジネス ラインの成果またはリスクについて説明責任を負う経営幹部とビジネス リーダーがこの戦略を承認する必要があります。Executives and business leaders with accountability for outcomes or risks of business lines within the organization should approve this strategy. 組織によっては、このグループに取締役会が含まれる場合があります。This group might include the board of directors, depending on the organization.

    手順 3:セキュリティ プランを作成するStep 3: Develop a security plan

    プランの策定では、成果、マイルストーン、タイムライン、タスク所有者を定義することで、セキュリティ戦略を実行に移します。Planning puts the security strategy into action by defining outcomes, milestones, timelines, and task owners. また、このプランでは、チームのロールと責任について概説します。This plan also outlines the roles and responsibilities of the teams.

    セキュリティ プランとクラウド導入プランを、単独で策定することはできません。Security planning and cloud adoption planning should not be done in isolation. 初期段階でクラウド セキュリティ チームをプラン策定サイクルに招いて、セキュリティ問題の検出が遅すぎることによる作業の停止やリスクの増大を防ぐことが重要です。It's critical to invite the cloud security team into the planning cycles early, to avoid work stoppage or increased risk from security issues being discovered too late. クラウド プランの策定プロセスに完全に統合することによって得られる、デジタル資産と既存の IT ポートフォリオについて深く理解し、認識したうえでセキュリティ プランを策定することをお勧めします。Security planning works best with in-depth knowledge and awareness of the digital estate and existing IT portfolio that comes from being fully integrated into the cloud planning process.

    成果物:Deliverables:

    • セキュリティ プラン: セキュリティ プランは、クラウドの主要なプラン策定ドキュメントに含まれている必要があります。Security plan: A security plan should be part of the main planning documentation for the cloud. セキュリティ プランには、戦略と計画のテンプレートを使用したドキュメント、詳細なスライド デッキ、またはプロジェクト ファイルを使用できます。It might be a document that uses the strategy and plan template, a detailed slide deck, or a project file. または、組織の規模、文化、標準的なプラクティスに応じて、これらの形式を組み合わせて使用することもできます。Or it might be a combination of these formats, depending on the organization's size, culture, and standard practices.

      セキュリティ プランには、これらの要素がすべて含まれている必要があります。The security plan should include all of these elements:

      • 組織機能のプラン。チームは、クラウドへの移行によって現在のセキュリティ ロールと責任がどのように変わるのかがわかります。Organizational functions plan, so teams know how current security roles and responsibilities will change with the move to the cloud.

      • セキュリティ スキルのプラン。これは、テクノロジ、ロール、責任の重要な変更点を参照する際にチーム メンバーをサポートするためのものです。Security skills plan to support team members as they navigate the significant changes in technology, roles, and responsibilities.

      • セキュリティ アーキテクチャと機能の技術的なロードマップ。これは技術チームの指針となります。Technical security architecture and capabilities roadmap to guide technical teams.

        Microsoft では、アーキテクチャとロードマップを構築する際に役立つ、次のようなリファレンス アーキテクチャとテクノロジ機能を提供しています。Microsoft provides reference architectures and technology capabilities to help you as you build your architecture and roadmap, including:

      • セキュリティの意識と教育のプラン: すべてのチームが、重要なセキュリティに関する基礎知識を身に付けます。Security awareness and education plan, so all teams have basic critical security knowledge.

      • 資産の機密度のマーキング: ビジネスへの影響に合わせた分類を使用して機密性の高い資産を指定します。Asset sensitivity marking to designate sensitive assets by using a taxonomy aligned to business impact. この分類は、ビジネス利害関係者、セキュリティ チーム、その他の関係者が共同で構築します。The taxonomy is built jointly by business stakeholders, security teams, and other interested parties.

      • クラウド プランのセキュリティの変更: クラウド導入プランの他のセクションを更新して、セキュリティ プランによってトリガーされた変更を反映させます。Security changes to the cloud plan: Update other sections of the cloud adoption plan to reflect changes triggered by the security plan.

    セキュリティ プランの策定に関するベスト プラクティス:Best practices for security planning:

    プランを策定する際に次のようなアプローチが採用されている場合、セキュリティ プランが成功する可能性が高くなります。Your security plan is likely to be more successful if your planning takes the approach of:

    • ハイブリッド環境を想定する: これには、SaaS (サービスとしてのソフトウェア) アプリケーションとオンプレミス環境が含まれます。Assume a hybrid environment: That includes software as a service (SaaS) applications and on-premises environments. また、サービスとしてのクラウド インフラストラクチャ (IaaS) プロバイダーと、サービスとしてのプラットフォーム (PaaS) プロバイダーも複数含まれます (該当する場合)。It also includes multiple cloud infrastructure as a service (IaaS) and platform as a service (PaaS) providers, if applicable.

    • アジャイル セキュリティを導入する: 最初に最小限のセキュリティ要件を確立し、重要ではないすべての項目を、次の手順の優先順位付けされた一覧に移動します。Adopt agile security: Establish minimum security requirements first and move all noncritical items to a prioritized list of next steps. これは、従来の 3 から 5 年の詳細なプランにしないでください。This should not be a traditional, detailed plan of 3-5 years. クラウドと脅威環境の変化が速すぎるため、この種のプランは役に立ちません。The cloud and threat environment change too fast to make that type of plan useful. 実際のプランでは、最初の手順と終了状態を策定することに重点を置く必要があります。Your plan should focus on developing the beginning steps and end state:

      • 近い将来の即効性のある成果: 長期的なイニシアチブを開始する前に大きな効果が得られます。Quick wins for the immediate future that will deliver a high impact before longer-term initiatives begin. 組織の文化、標準的なプラクティス、その他の要因に応じて、時間枠は 3 から 12 か月になる可能性があります。The time frame can be 3-12 months, depending on organizational culture, standard practices, and other factors.
      • 目的の最終状態の明確なビジョン: これは、各チームの (達成するまでに数年かかる場合がある) プラン策定プロセスの指針となります。Clear vision of the desired end state to guide each team's planning process (which might take multiple years to achieve).
    • プランを広く共有する: 利害関係者の意識を高め、フィードバックや同意を増やします。Share the plan broadly: Increase awareness of, feedback from, and buy-in by stakeholders.

    • 戦略成果に合わせる: プランがセキュリティ戦略に記載されている戦略成果に合っており、その成果が得られるようにします。Meet the strategic outcomes: Ensure that your plan aligns to and accomplishes the strategic outcomes described in the security strategy.

    • 所有権、説明責任、期限を定める: 確実に、各タスクの所有者が識別され、特定の期間内にそのタスクを完了することに取り組むようにします。Set ownership, accountability, and deadlines: Ensure that the owners for each task are identified and are committed to completing that task in a specific time frame.

    • セキュリティの人間的側面とのつながりを持つ: 変革のこの期間に関係者を関与させ、新たな期待を持たせます。Connect with the human side of security: Engage people during this period of transformation and new expectations by:

      • チーム メンバーの変革を積極的にサポートする: 以下について明確に伝え、指導します。Actively supporting team member transformation with clear communication and coaching on:

        • 習得する必要があるスキル。What skills they need to learn.
        • それらのスキルを習得する必要がある理由 (およびそのメリット)。Why they need to learn the skills (and the benefits of doing so).
        • この知識を得る (および習得に役立つリソースを提供する) 方法。How to get this knowledge (and provide resources to help them learn).

        戦略と計画のテンプレートを使用して、プランを文書化できます。You can document the plan by using the strategy and plan template. また、チーム メンバーの教育に役立つ、オンラインの Microsoft セキュリティ トレーニングを利用できます。And you can use online Microsoft security training to help with education of your team members.

      • セキュリティ意識を促す: 関係者を組織の保護に純粋に関与させます。Making security awareness engaging to help people genuinely connect with their part of keeping the organization safe.

    • Microsoft ラーニングとガイダンスを確認する: Microsoft では、組織がクラウドへの変革と最新のセキュリティ戦略を計画する際に役立つ、分析情報と展望を公開しています。Review Microsoft learnings and guidance: Microsoft has published insights and perspectives to help your organization plan its transformation to the cloud and a modern security strategy. 資料には、記録されたトレーニング、ドキュメント、セキュリティのベスト プラクティスと推奨される標準が含まれています。The material includes recorded training, documentation, and security best practices and recommended standards.

      プランとアーキテクチャの策定に役立つ技術的なガイダンスについては、Microsoft のセキュリティ ドキュメントを参照してください。For technical guidance to help build your plan and architecture, see the Microsoft security documentation.


    説明責任チームAccountable team 実行責任チームとサポート チームResponsible and supporting teams
  • クラウド セキュリティ チームCloud security team
  • クラウド戦略チームCloud strategy team
  • クラウド ガバナンス チームCloud governance team
  • 組織内のすべてのリスク チームAny risk teams in your organization
  • クラウドのセンター オブ エクセレンスまたは中央 IT チームCloud center of excellence or central IT team
  • セキュリティ プランの承認:Security plan approval:

    セキュリティ リーダーシップ チーム (CISO または同等の経営幹部) がプランを承認する必要があります。The security leadership team (CISO or equivalent) should approve the plan.

    手順 4:新しいワークロードをセキュリティで保護するStep 4: Secure new workloads

    後で環境にセキュリティを組み込むよりも、セキュリティで保護された状態で始める方がはるかに簡単です。It's a lot easier to start in a secure state than to retrofit security later into your environment. セキュリティで保護された環境にワークロードが移行され、開発とテストが行われるように、セキュリティで保護された構成で始めることを強くお勧めします。We strongly recommend starting with a secure configuration to ensure that workloads are migrated to, and developed and tested in, a secure environment.

    ランディング ゾーンの実装中は、多くの決定がセキュリティおよびリスク プロファイルに影響する可能性があります。During landing zone implementation, many decisions can affect security and risk profiles. クラウド セキュリティ チームは、ランディング ゾーンの構成を確認して、組織のセキュリティ ベースラインのセキュリティの標準と要件が確実に満たされるようにする必要があります。The cloud security team should review the landing zone configuration to ensure that it meets the security standards and requirements in your organization's security baselines.

    成果物:Deliverables:

    • 新しいランディング ゾーンが、組織のコンプライアンスとセキュリティの要件を確実に満たすようにします。Ensure that new landing zones meet the organization's compliance and security requirements.

    成果物の完遂をサポートするうえでのガイダンス:Guidance to support deliverable completion:

    • 既存の要件とクラウドに関する推奨事項を調和させる: 推奨されるガイダンスから始め、これを独自のセキュリティ要件に適合させます。Blend existing requirements and cloud recommendations: Start with recommended guidance and then adapt this to your unique security requirements. 既存のオンプレミス ポリシーと標準を適用しようとしたときに問題が発生しました。多くの場合、これらは古いテクノロジやセキュリティ手法を示しているためです。We have seen challenges with trying to enforce existing on-premises policies and standards, because these often refer to outdated technology or security approaches.

      Microsoft では、セキュリティ ベースラインを構築するのに役立つガイダンスを公開しています。Microsoft has published guidance to help you build your security baselines:

    • ガードレールを提供する: 保護対策には、自動化されたポリシーの監査と適用を含める必要があります。Provide guardrails: Safeguards should include automated policy auditing and enforcement. これらの新しい環境では、チームは組織のセキュリティ ベースラインの監査と適用の両方に努める必要があります。For these new environments, teams should strive to both audit and enforce the organization's security baselines. これらの取り組みにより、ワークロードの開発時のセキュリティの問題を最小限に抑えることができるだけでなく、ワークロードの継続的インテグレーションと継続的配置 (CI/CD) も実現できます。These efforts can help minimize security surprises during the development of workloads, as well as continuous integration and continuous deployment (CI/CD) of workloads.

      Microsoft では、これを可能にするために Azure でいくつかのネイティブ機能を提供しています。Microsoft provides several native capabilities in Azure to enable this:

      • セキュリティ スコア: Azure セキュリティ体制のスコア付けされた評価を使用して、組織内のセキュリティの取り組みとプロジェクトを追跡します。Secure score: Use a scored assessment of your Azure security posture to track security efforts and projects in your organization.
      • Azure Blueprints:クラウド アーキテクトと一元化された IT グループは、組織の標準、パターン、要件を実装し、これらに準拠した一連の反復可能な Azure リソースを定義できます。Azure Blueprints: Cloud architects and centralized IT groups can define a repeatable set of Azure resources that implements and adheres to an organization's standards, patterns, and requirements.
      • Azure Policy:これは、他のサービスで使用される可視性と制御の機能の基盤となります。Azure Policy: This is the foundation of the visibility and control capabilities that the other services use. Azure Policy は、Azure Resource Manager に統合されています。これにより、変更を監査し、Azure 内のリソースの作成前、作成中、または作成後にポリシーを適用できます。Azure Policy is integrated into Azure Resource Manager, so you can audit changes and enforce policies across any resource in Azure before, during, or after its creation.
      • ランディング ゾーンの運用を改善する: ランディング ゾーン内のセキュリティを強化するためのベスト プラクティスを使用します。Improve landing zone operations: Use best practices for improving security within a landing zone.

    説明責任チームAccountable team 実行責任チームとサポート チームResponsible and supporting teams
  • クラウド セキュリティ チームCloud security team
  • クラウド導入チームCloud adoption team
  • クラウド プラットフォーム チームCloud platform team
  • クラウド戦略チームCloud strategy team
  • クラウド ガバナンス チームCloud governance team
  • クラウドのセンター オブ エクセレンスまたは中央 IT チームCloud center of excellence or central IT team
  • 手順 5:既存のクラウド ワークロードをセキュリティで保護するStep 5: Secure existing cloud workloads

    多くの組織では、セキュリティのベスト プラクティスを適用せずに、エンタープライズ クラウド環境に資産を既にデプロイしているため、ビジネス リスクが増大しています。Many organizations have already deployed assets to enterprise cloud environments without applying the security best practices, creating increased business risk.

    確実に新しいアプリケーションとランディング ゾーンがセキュリティのベスト プラクティスに従うようにした後に、既存の環境が同じ標準に達するようにすることに重点を置く必要があります。After you ensure that new applications and landing zones follow security best practices, you should focus on bringing existing environments up to the same standards.

    成果物:Deliverables:

    • 既存のすべてのクラウド環境とランディング ゾーンが、組織のコンプライアンスとセキュリティの要件を確実に満たすようにします。Ensure that all existing cloud environments and landing zones meet the organization's compliance and security requirements.
    • セキュリティ ベースラインのポリシーを使用して、運用環境のデプロイの運用準備をテストします。Test operational readiness of production deployments by using policies for security baselines.
    • セキュリティ ベースラインの設計ガイダンスとセキュリティ要件への準拠を検証します。Validate adherence to design guidance and security requirements for security baselines.

    成果物の完遂をサポートするうえでのガイダンス:Guidance to support deliverable completion:

    • 最適な状態として、手順 4 で構築したものと同じセキュリティ ベースラインを使用します。Use the same security baselines that you built in Step 4 as your ideal state. 場合によっては、一部のポリシー設定を適用するのではなく、監査のみを行うために調整する必要があります。You might have to adjust some policy settings to only audit instead of enforcing them.
    • 運用およびセキュリティ リスクのバランスを取ります。Balance operational and security risk. これらの環境では、重要なビジネス プロセスを可能にする運用システムをホストしている可能性があるため、運用ダウンタイムのリスクを回避するために、セキュリティの強化を段階的に行うことが必要な場合があります。Because these environments might host production systems that enable critical business processes, you might need to implement security improvements incrementally to avoid risking operational downtime.
    • ビジネスの重要度で、セキュリティ リスクの検出と修復に優先順位を付けます。Prioritize the discovery and remediation of security risk by business criticality. 侵害された場合にビジネスに大きな影響を与えるワークロードと、リスクにさらされる可能性が高いワークロードから始めます。Start with workloads that have a high business impact if compromised and workloads that have a high exposure to risk.

    詳細については、「ビジネス クリティカルなアプリケーションを特定して分類する」をご覧ください。For more information, see Identify and classify business-critical applications.


    説明責任チームAccountable team 実行責任チームとサポート チームResponsible and supporting teams
  • クラウド導入チームCloud adoption team
  • クラウド導入チームCloud adoption team
  • クラウド戦略チームCloud strategy team
  • クラウド セキュリティ チームCloud security team
  • クラウド ガバナンス チームCloud governance team
  • クラウドのセンター オブ エクセレンスまたは中央 IT チームCloud center of excellence or central IT team
  • 手順 6:セキュリティ体制の管理と改善のために統制するStep 6: Govern to manage and improve security posture

    すべての最新の規範と同様に、セキュリティは継続的な改善に集中する必要がある反復的なプロセスです。Like all modern disciplines, security is an iterative process that should focus on continuous improvement. 組織で長期的に集中を維持しないと、セキュリティ体制が崩壊する可能性があります。Security posture can also decay if organizations don't sustain focus on it over time.

    セキュリティ要件の一貫した適用は、確実なガバナンス規範と自動化されたソリューションに基づきます。Consistent application of security requirements comes from sound governance disciplines and automated solutions. クラウド セキュリティ チームがセキュリティ ベースラインを定義したら、これらの要件を監査して、すべてのクラウド環境に一貫して適用される (必要に応じて強制される) ようにする必要があります。After the cloud security team defines the security baselines, those requirements should be audited to ensure they're applied consistently to all cloud environments (and enforced where applicable).

    成果物:Deliverables:

    • 組織のセキュリティ ベースラインが、関連するすべてのシステムに確実に適用されるようにします。Ensure that the organization's security baselines are applied to all relevant systems. セキュリティ スコアまたは同様のメカニズムを使用して異常を監査します。Audit anomalies by using a secure score or a similar mechanism.
    • セキュリティ ベースライン規範テンプレートで、セキュリティ ベースラインのポリシー、プロセス、設計ガイダンスを文書化します。Document your Security Baseline policies, processes, and design guidance in the Security Baseline discipline template.

    成果物の完遂をサポートするうえでのガイダンス:Guidance to support deliverable completion:


    説明責任チームAccountable team 実行責任チームとサポート チームResponsible and supporting teams
  • クラウド ガバナンス チームCloud governance team
  • クラウド戦略チームCloud strategy team
  • クラウド セキュリティ チームCloud security team
  • クラウドのセンター オブ エクセレンスまたは中央 IT チームCloud center of excellence or central IT team
  • 次のステップNext steps

    このガイドでは、企業全体のセキュリティ リスクを一貫して管理するために必要な戦略、制御、プロセス、スキル、文化を導入する手順を説明しました。The steps in this guide have helped you implement the strategy, controls, processes, skills, and culture needed to consistently manage security risks across the enterprise.

    手順の完了後、クラウド セキュリティの運用モードに入るときは、以下に示す次のステップを検討してください。As you continue into the operations mode of cloud security, consider these next steps: