標準的な企業のガバナンス ガイド:セキュリティ ベースライン規範の改善Standard enterprise governance guide: Improve the Security Baseline discipline

この記事では、保護対象データのクラウドへの移動をサポートするセキュリティ コントロールを追加することによって、ガバナンス戦略の物語を進めます。This article advances the governance strategy narrative by adding security controls that support moving protected data to the cloud.

物語を進めるAdvancing the narrative

IT およびビジネス部門のリーダーたちは、IT、アプリケーション開発、BI の各チームによる初期の実験から得られた結果に満足しています。IT and business leadership are happy with results from early experimentation by the IT, application development, and BI teams. これらの実験から明確なビジネス価値を実現するには、それらのチームが、保護されているデータをソリューションに統合することが許可される必要があります。To realize tangible business values from these experiments, those teams must be allowed to integrate protected data into solutions. この統合は、企業ポリシーに対する変更の契機となります。This integration triggers changes to corporate policy. また、保護されているデータがクラウドに持ち込まれる前に、クラウド ガバナンスの実装を段階的に改善することも必要になります。It also requires incremental improvement of the cloud governance implementations before protected data can land in the cloud.

クラウド ガバナンス チームの変化Changes to the cloud governance team

ここまでの変更の物語と、提供された支援の影響により、クラウド ガバナンス チームは違う目で見られるようになっています。Given the effect of the changing narrative and support provided so far, the cloud governance team is now viewed differently. チームを始めた 2 人のシステム管理者は、今や経験豊富なクラウド アーキテクトと見なされています。The two system administrators who started the team are now viewed as experienced cloud architects. この物語が展開するにつれて、彼らの受け止め方は、クラウド管理人から、むしろクラウド守護者の役割へと変化します。As this narrative develops, the perception of them will shift from that of cloud custodians to more of a cloud guardian role.

その違いは微妙ですが、ガバナンス重視の IT カルチャを作成する際に重要な区別です。The difference is subtle, but it's an important distinction when you're creating a governance-focused IT culture. クラウド管理人は、革新的なクラウド アーキテクトによる混乱を収拾します。A cloud custodian cleans up the messes made by innovative cloud architects. これらの 2 つの役割には、自然な摩擦と、対立する目標があります。The two roles have natural friction and opposing goals. 一方、クラウド守護者がクラウドを安全に保つことを助けているため、他のクラウド アーキテクトはより迅速に動くことができ、残される混乱は少なくなります。On the other hand, a cloud guardian helps keep the cloud safe so other cloud architects can move more quickly, with fewer messes. クラウド守護者は、デプロイと導入を促進するテンプレートの作成に携わります。And a cloud guardian is involved in creating templates that accelerate deployment and adoption. したがって、彼らはクラウド ガバナンスの 5 つの規範を防御する者であると同時に、イノベーションの促進者でもあります。So they're innovation accelerators in addition to being defenders of the Five Disciplines of Cloud Governance.

現在の状態の変化Changes in the current state

この物語の開始時には、アプリケーション開発チームはまだ開発/テストの容量に関する作業をしていて、BI チームはまだ実験フェーズにいました。At the start of this narrative, the application development teams were still working in a dev/test capacity, and the BI team was still in the experimental phase. IT 部門は、ProdDR と呼ばれる 2 つのホスト型インフラストラクチャ環境を運用していました。IT operated two hosted infrastructure environments, referred to as Prod and DR.

その後、以下に示すように、ガバナンスに影響を与えるいくつかの変化がありました。Since then, some things have changed that will affect governance:

  • ユーザー エクスペリエンスが改善されたクラウドネイティブ アプリケーションをデプロイするために、アプリケーション開発チームは、CI/CD パイプラインを実装しました。The application development team has implemented a CI/CD pipeline to deploy a cloud-native application with an improved user experience. そのアプリケーションは保護対象データとまだやり取りしていないため、実稼働の準備はできていません。That application doesn't yet interact with protected data, so it isn't production ready.
  • IT 部門内のビジネス インテリジェンス チームは、ロジスティクス、インベントリ、サードパーティのソースからクラウドへのデータのキュレーションに積極的に取り組んでいます。The business intelligence team within IT actively curates data in the cloud from logistics, inventory, and third-party sources. このデータは、ビジネス プロセスを形成する可能性がある新しい予測を推進するために使用されます。This data is used to drive new predictions, which could shape business processes. 顧客データや財務データをデータ プラットフォームに統合できるようになるまで、これらの予測や分析情報は、アクションにつながるわけではありません。Those predictions and insights aren't actionable until customer and financial data can be integrated into the data platform.
  • IT チームは、DR データセンターを廃止するという CIO と CFO の計画を進めています。The IT team is progressing on the CIO and CFO plans to retire the DR datacenter. DR データ センターの 2,000 項目の資産のうち、1,000 以上が廃止または移行されました。More than 1,000 of the 2,000 assets in the DR datacenter have been retired or migrated.
  • 個人データと財務データに関して大まかに定義されていたポリシーが刷新されました。The loosely defined policies for personal data and financial data have been modernized. 新しい企業ポリシーは、関連するセキュリティ ポリシーおよびガバナンス ポリシーの実施状況に左右されます。The new corporate policies are contingent on the implementation of related security and governance policies. チームはまだ行き詰まっています。Teams are still stalled.

将来の状態を段階的に改善するIncrementally improve the future state

アプリケーション開発チームと BI チームによる初期の実験では、カスタマー エクスペリエンスとデータ ドリブン意思決定の改善の可能性が示されています。Early experiments by the application development and BI teams show potential improvements in customer experiences and data-driven decisions. どちらのチームも、これらのソリューションを運用環境にデプロイすることによって、今後 18 か月にわたってクラウドの導入を拡大したいと考えています。Both teams want to expand adoption of the cloud over the next 18 months by deploying those solutions to production.

残りの 6 か月間に、クラウド ガバナンス チームはセキュリティ要件とガバナンス要件を実装し、クラウド導入チームが保護されるデータをそれらのデータセンターに移行できるようにする予定でます。During the remaining six months, the cloud governance team will implement security and governance requirements to allow the cloud adoption teams to migrate the protected data in those datacenters.

現在および将来の状態が変わると、新しいポリシー ステートメントを必要とする新たなリスクが生じます。The changes to current and future state expose new risks that require new policy statements.

具体的なリスクの変化Changes in tangible risks

データ侵害: 新しいデータ プラットフォームを採用すると、その性質上、データ侵害の可能性に関連した責任が増加します。Data breach: When you adopt any new data platform, there's an inherent increase in liabilities related to potential data breaches. クラウド技術の導入を担当する技術者にとっては、このリスクを低減できるソリューションを実装することへの責任が増加してきています。Technicians adopting cloud technologies have increased responsibility to implement solutions that can reduce this risk. これらの技術者がそうした責任を確実に果たすために、堅牢なセキュリティおよびガバナンス戦略を実装する必要があります。A robust security and governance strategy must be implemented to ensure those technicians fulfill those responsibilities.

このビジネス リスクは、いくつかの技術的リスクへと拡大する可能性があります。This business risk can be expanded into a few technical risks:

  • ミッション クリティカルなアプリケーションまたは保護対象データが意図せずデプロイされる可能性があります。Mission-critical applications or protected data might be deployed unintentionally.
  • 暗号化に関する誤った決定により、保護対象データが保存中に公開されてしまう可能性があります。Protected data might be exposed during storage because of poor encryption decisions.
  • 未承認のユーザーが保護対象データにアクセスする可能性があります。Unauthorized users might access protected data.
  • 外部からの侵入により、保護対象データにアクセスされる可能性があります。External intrusion might result in access to protected data.
  • 外部からの侵入またはサービス拒否攻撃により、ビジネスが中断させられる可能性があります。External intrusion or denial-of-service attacks might cause a business interruption.
  • 組織または人事上の変更により、保護対象データへの未承認のアクセスが許可されてしまう可能性があります。Organization or employment changes might allow unauthorized access to protected data.
  • 新たな悪用によって、新しい攻撃やアクセスの機会が作り出される可能性があります。New exploits could create new intrusion or access opportunities.
  • 一貫性のないデプロイ プロセスによってセキュリティの間隙が発生し、それがデータ流出や中断につながる可能性があります。Inconsistent deployment processes might result in security gaps, which could lead to data leaks or interruptions.
  • 構成ドリフトやパッチの適用漏れによって意図しないセキュリティの間隙が発生し、それがデータ流出または中断につながる可能性があります。Configuration drift or missed patches might result in unintended security gaps, which could lead to data leaks or interruptions.

データ損失: また、新しいプラットフォームにはデータ損失という固有のリスクもあります。Data loss: There's also an inherent risk of data loss in the new platform. セキュリティとガバナンスの戦略では、データ損失が発生する可能性のある次のようなシナリオについて考慮する必要があります。The security and governance strategy should consider the following scenarios in which data loss can happen:

  • ミッション クリティカルなリソースが損失/削除される。A mission-critical resource is lost or deleted.
  • ミッション クリティカルなリソースは存在するが、誤削除によりデータが損失する。A mission-critical resource is present, but the data is lost because of accidental deletion.
  • ミッション クリティカルなリソースは存在するが、悪意のある管理によりデータが損失する。A mission-critical resource is present, but the data is lost because of malicious administration.

ポリシー ステートメントの段階的な改善Incremental improvement of policy statements

ポリシーに対する次の変更は、新しいリスクを修正して導入をガイドするのに役立ちます。The following changes to policy will help remediate the new risks and guide implementation. 多すぎるように見えるかもしれませんが、これらのポリシーの採用はそれほど難しいものではありません。The list looks long, but adopting these policies might be easier than you think.

  • デプロイされたすべての資産を、重要性とデータ機密性によって分類する必要があります。All deployed assets must be categorized by criticality and data classification. クラウド ガバナンス チームとアプリケーション所有者は、クラウドにデプロイする前に、これらの分類をレビューする必要があります。The cloud governance team and the application owner must review these classifications before deployment to the cloud.
  • 保護対象データを格納またはそれにアクセスするアプリケーションは、それ以外のアプリケーションとは異なる方法で管理する必要があります。Applications that store or access protected data must be managed differently than applications that don't. 少なくとも、保護対象データへの意図しないアクセスを避けるために、セグメント化されるべきです。At a minimum, they should be segmented to avoid unintended access of protected data.
  • すべての保護対象データは暗号化した状態で保存される必要があります。All protected data must be encrypted when at rest. この暗号化は、すべての Azure Storage アカウントの既定値です。This encryption is the default for all Azure Storage accounts. ただし、VM で SQL を使用する場合は、ストレージ アカウント内のデータの暗号化、VM の暗号化、データベースレベルの暗号化など、追加の暗号化戦略が必要になることがあります (TDE と列の暗号化)。But you might need additional encryption strategies, including encryption of the data within the storage account, encryption of VMs, and database-level encryption when you use SQL in a VM (TDE and column encryption).
  • ミッション クリティカルなデータが誤って削除される可能性があります。Mission-critical data can be deleted accidentally. このリスクに対処し、削除ポイントの前のデータを復元するためのデータ バックアップ戦略を作成する必要があります。You need to develop a data backup strategy to handle this risk and restore the data from before the deletion point. 悪意のある管理者によって、ミッション クリティカルなデータとそのバックアップも削除される可能性があります。A malicious admin can delete the mission-critical data and its backups as well. このシナリオに対処するために、バックアップ データの削除は、元に戻すことができる論理的な削除にする必要があります。To handle this scenario, deletions of backup data should be soft deletions that can be reversed. Azure Backup は、これらの両方のシナリオに役立ちます。Azure Backup can help with both of these scenarios.
  • 保護対象データが含まれるセグメントでのアクセス許可の昇格は例外とするべきです。Elevated permissions in any segment that contains protected data should be an exception. そのような例外はすべてクラウド ガバナンス チームが記録し、定期的に監査されるものとします。Any such exceptions will be recorded with the cloud governance team and audited regularly.
  • 保護対象データが含まれているネットワーク サブネットは、他のサブネットから分離する必要があります。Network subnets that contain protected data must be isolated from other subnets. 保護対象データ サブネット間のネットワーク トラフィックは定期的に監査されます。Network traffic between protected data subnets will be audited regularly.
  • 保護対象データが含まれているどのサブネットにも、パブリック インターネット経由で、またはデータセンターをまたいで直接アクセスできるようにするべきではありません。No subnet that contains protected data should be directly accessible over the public internet or across datacenters. それらのサブネットへのアクセスは、中間サブネットを介してルーティングされる必要があります。Access to those subnets must be routed through intermediate subnets. それらのサブネットへのアクセスはすべて、パケットのスキャンおよびブロック機能を実行できるファイアウォール ソリューション経由で行われる必要があります。All access into those subnets must come through a firewall solution that can perform packet scanning and blocking functions.
  • ガバナンス ツールは、セキュリティ管理チームによって定義されたネットワーク構成要件を監査し、適用する必要があります。Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  • ガバナンス ツールは、VM のデプロイを承認されたイメージのみに制限する必要があります。Governance tooling must limit VM deployment to only approved images.
  • ミッション クリティカルなアプリケーションと保護されるデータのためのバックアップ、復旧、SLA 準拠が正しく実装されていることを、ガバナンス プロセスで検証する必要があります。Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  • ノード構成管理は、可能であれば常に、どのゲスト オペレーティング システムの構成にもポリシー要件を適用するべきです。Whenever possible, node configuration management should apply policy requirements to the configuration of any guest operating system.
  • ガバナンス ツールでは、すべてのデプロイ済み資産に対して自動更新が有効になるようにする必要があります。Governance tooling must enforce that automatic updates are enabled on all deployed assets. 違反は運用管理チームがレビューし、運用ポリシーに従って修復する必要があります。Violations must be reviewed with operational management teams and remediated in accordance with operations policies. 自動的に更新されない資産は、IT 運用チームが所有者となっているプロセスに含める必要があります。Assets that aren't automatically updated must be included in processes owned by IT operations.
  • ミッション クリティカルなアプリケーションまたは保護対象データ向けに新しいサブスクリプションまたは管理グループを作成する場合、クラウド ガバナンス チームによるレビューを経て、適切なブルー プリントが割り当てられていることを確認する必要があります。Creation of new subscriptions or management groups for any mission-critical applications or protected data will require a review from the cloud governance team to ensure that the proper blueprint is assigned.
  • ミッション クリティカルなアプリケーションまたは保護対象データを含むあらゆる管理グループまたはサブスクリプションに、最小特権アクセス モデルが適用されます。A least-privilege access model will be applied to any management group or subscription that contains mission-critical applications or protected data.
  • クラウドのデプロイに影響を及ぼす可能性があるトレンドおよび悪用をセキュリティ チームが定期的にレビューし、クラウドで使用されるセキュリティ管理ツールの更新を提供するべきです。Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to security management tooling used in the cloud.
  • デプロイされた資産の継続的なガバナンスを保証するために、デプロイ ツールはクラウド ガバナンス チームの承認を受ける必要があります。Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  • デプロイ スクリプトのメンテナンスは、クラウド ガバナンス チームが定期的なレビューと監査のためにアクセスできる中央リポジトリで行われる必要があります。Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  • すべての資産にわたって一貫性を保証するために、デプロイ時点の監査と定期的な監査をガバナンス プロセスに含める必要があります。Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  • カスタマー認証が必要なアプリケーションをデプロイする場合、内部ユーザー用のプライマリ ID プロバイダーと互換性のある承認済み ID プロバイダーを使用する必要があります。Deployment of any applications that require customer authentication must use an approved identity provider that's compatible with the primary identity provider for internal users.
  • クラウド ガバナンス プロセスには、ID 管理チームによる四半期ごとのレビューを含める必要があります。Cloud governance processes must include quarterly reviews with identity management teams. これらのレビューは、悪意のあるアクターや、クラウド資産の構成によって禁止する必要がある使用パターンを特定するのに役立ちます。These reviews can help identify malicious actors or usage patterns that should be prevented by cloud asset configuration.

ガバナンス プラクティスの段階的な改善Incremental improvement of governance practices

ガバナンス MVP の設計は、新しい Azure ポリシーと Azure Cost Management と Billing の実装を含むように変更します。The governance MVP design will change to include new Azure policies and an implementation of Azure Cost Management + Billing. これら 2 つの設計変更を組み合わせることで、会社の新しいポリシー ステートメントを実現します。Together, these two design changes will fulfill the new corporate policy statements.

  • ネットワーク チームと IT セキュリティ チームは、ネットワークの要件を定義します。The networking and IT security teams will define network requirements. クラウド ガバナンスチームは、その会話を支援します。The cloud governance team will support the conversation.
  • ID チームと IT セキュリティ チームは、ID の要件を定義し、ローカルの Active Directory 実装に必要な変更を加えます。The identity and IT security teams will define identity requirements and make any necessary changes to local Active Directory implementation. クラウド ガバナンス チームは変更をレビューします。The cloud governance team will review changes.
  • Azure DevOps でリポジトリを作成し、関連するすべての Azure Resource Manager テンプレートおよびスクリプト化された構成を保存し、バージョン管理を行いますCreate a repository in Azure DevOps to store and version all relevant Azure Resource Manager templates and scripted configurations.
  • Azure Recovery Services コンテナーの実装:Azure Recovery Services vault implementation:
    • バックアップおよび復旧プロセス用に Azure Recovery Services コンテナーを定義してデプロイします。Define and deploy an Azure Recovery Services vault for backup and recovery processes.
    • コンテナーを各サブスクリプションに作成するための Resource Management テンプレートを作成します。Create a Resource Manager template for creation of a vault in each subscription.
  • Azure Security Center の実装:Azure Security Center implementation:
    • 保護対象データの分類が含まれるすべての管理グループについて、Azure Security Center を構成します。Configure Azure Security Center for any management group that contains protected data classifications.
    • 自動プロビジョニングの既定値をオンに設定し、修正プログラム適用のコンプライアンスが確実に行われるようにします。Set automatic provisioning to on by default to ensure patching compliance.
    • OS セキュリティ構成を確立します。Establish OS security configurations. IT セキュリティ チームは構成を定義します。The IT security team will define the configuration.
    • Security Center の使用初期に IT セキュリティ チームを支援します。Support the IT security team in the initial use of Security Center. Security Center の使用を IT セキュリティ チームに移行しますが、ガバナンスの継続的向上の目的でアクセスを維持します。Transition the use of Security Center to the IT security team, but maintain access for the purpose of continually improving governance.
    • サブスクリプション内での Security Center の構成に必要な変更を反映した Resource Manager テンプレートを作成します。Create a Resource Manager template that reflects the changes required for Security Center configuration within a subscription.
  • すべてのサブスクリプションに対して Azure のポリシーを更新します。Update Azure policies for all subscriptions:
    • 保護対象データの分類が含まれるすべてのサブスクリプションを識別するために、すべての管理グループとサブスクリプションにわたってデータの重大性とデータ分類を監査し、実施します。Audit and enforce the criticality of data and data classification across all management groups and subscriptions to identify any subscriptions with protected data classifications.
    • 承認されたイメージだけを使用することを監査し、実施します。Audit and enforce the use of approved images only.
  • 保護対象データの分類が含まれるすべてのサブスクリプションについて、Azure のポリシーを更新します。Update Azure policies for all subscriptions that contain protected data classifications:
    • 標準の Azure RBAC ロールのみの使用を監査し、実施します。Audit and enforce the use of standard Azure RBAC roles only.
    • 個々のノードのすべてのストレージ アカウントと保存中のファイルに対する暗号化を監査し、実施します。Audit and enforce encryption for all storage accounts and files at rest on individual nodes.
    • 1 つの NSG をすべての NIC とサブネットに適用することを監査し、強制します。Audit and enforce the application of an NSG to all NICs and subnets. ネットワーク チームと IT セキュリティ チームは NSG を定義します。The networking and IT security teams will define the NSG.
    • ネットワーク インターフェイスごとに、承認されたネットワーク サブネットおよび仮想ネットワークの使用を監査し、強制します。Audit and enforce the use of approved network subnet and virtual network per network interface.
    • ユーザー定義のルーティング テーブルの制限を監査し、実施します。Audit and enforce the limitation of user-defined routing tables.
    • ゲスト構成用の組み込みポリシーを次のように適用します。Apply the built-in policies for guest configuration as follows:
      • Windows Web サーバーがセキュリティで保護された通信プロトコルを使用していることを監査します。Audit that Windows web servers are using secure communication protocols.
      • Linux マシンと Windows マシン内でパスワード セキュリティ設定が適切に設定されていることを監査します。Audit that password security settings are set correctly inside Linux and Windows machines.
    • Azure Recovery Services コンテナーがサブスクリプションに存在することを監査して適用します。Audit and enforce that Azure Recovery Services vaults exist in the subscription.
  • ファイアウォールの構成:Firewall configuration:
    • 必要なセキュリティ要件を満たす Azure Firewall の構成を特定します。Identify a configuration of Azure Firewall that meets necessary security requirements. または、Azure と互換性があるサードパーティ製互換アプライアンスを特定します。Alternatively, identify a compatible third-party appliance that's compatible with Azure.
    • Resource Manager テンプレートを作成し、必須の構成を持つファイアウォールをデプロイします。Create a Resource Manager template to deploy the firewall with required configurations.
  • Azure Blueprints:Azure Blueprints:
    • protected-data という名前で新しいブループリントを作成します。Create a new blueprint named protected-data.
    • Azure Firewall テンプレート、Azure Security Center テンプレート、Azure Recovery Services コンテナーのテンプレートをブループリントに追加します。Add the Azure Firewall templates, Azure Security Center templates, and Azure Recovery Services vault templates to the blueprint.
    • 保護対象データのサブスクリプション用の新しいポリシーを追加します。Add the new policies for protected data subscriptions.
    • ホスティングに関する現在の計画でデータを保護していたすべての管理グループに、ブループリントを発行します。Publish the blueprint to any management group that currently plans on hosting protected data.
    • 影響を受ける各サブスクリプションに、既存のブループリントと共に新しいブループリントを適用します。Apply the new blueprint to each affected subscription and to existing blueprints.

まとめConclusion

上記のプロセスと変更をガバナンス MVP に追加すると、セキュリティ ガバナンスに関連するリスクの多くを修正するのに役立ちます。Adding the above processes and changes to the governance MVP will help to remediate many of the risks associated with security governance. それらと共に、データを保護するために必要なネットワーク、ID、およびセキュリティ監視ツールが追加されます。Together, they add the network, identity, and security monitoring tools needed to protect data.

次のステップNext steps

クラウド導入が継続し、ビジネス価値が高まる一方で、リスクやクラウド ガバナンスのニーズも変わります。As cloud adoption continues and delivers additional business value, risks and cloud governance needs also change. このガイドの架空の企業の次なるステップは、ミッション クリティカルなワークロードのサポートです。For the fictional company in this guide, the next step is to support mission-critical workloads. この段階で、リソース整合性のコントロールが必要になります。At this point, resource consistency controls are needed.