セキュリティ ベースライン ポリシーのコンプライアンス プロセスSecurity Baseline policy compliance processes

この記事では、セキュリティ ベースライン規範を統制するポリシー準拠プロセスに対するアプローチについて説明します。This article discusses an approach to policy adherence processes that govern the Security Baseline discipline. クラウド セキュリティの効果的なガバナンスは、脆弱性を検出し、それらのセキュリティ リスクを修正するためのポリシーを適用するように設計された手動プロセスを繰り返すことから始まります。Effective governance of cloud security starts with recurring manual processes designed to detect vulnerabilities and impose policies to remediate those security risks. この場合、ポリシーをレビューして更新し、ポリシーのコンプライアンスを確実にするには、クラウドのガバナンス チームと、関心のあるビジネス/IT 関係者の定期的な関与が必要です。This requires regular involvement of the cloud governance team and interested business and IT stakeholders to review and update policy and ensure policy compliance. また、進行中の監視と適用のプロセスの多くは、ガバナンスのオーバーヘッドを減らし、ポリシーの逸脱に即座に反応できるツールを使用して自動化したり、補助を受けたりすることができます。In addition, many ongoing monitoring and enforcement processes can be automated or supplemented with tooling to reduce the overhead of governance and allow for faster response to policy deviation.

計画、レビュー、レポート作成のプロセスPlanning, review, and reporting processes

クラウドのセキュリティ ベースライン ツールの優秀さは、そのツールがサポートするプロセスとポリシーの優秀さによって決まります。The best Security Baseline tools in the cloud are only as good as the processes and policies that they support. 以下に、セキュリティ ベースラインの規範において必要とされる場合が多い一連のプロセスの例を示します。The following is a set of example processes commonly involved in the Security Baseline discipline. これらの例は、プロセスを計画するときの開始点として利用してください。そうしたプロセスで、ビジネスの変化や、ガバナンスの手引きを実行に移す作業を担うセキュリティと IT のチームからのフィードバックに基づいて、セキュリティ ポリシーを更新し続けることが可能になります。Use these examples as a starting point when planning the processes that will allow you to continue to update security policy based on business change and feedback from the security and IT teams tasked with turning governance guidance into action.

初期のリスク評価と計画: セキュリティ ベースラインの規範の初期導入の一環として、クラウド セキュリティに関連する、中心的なビジネス リスクと許容範囲を特定します。Initial risk assessment and planning: As part of your initial adoption of the Security Baseline discipline, identify your core business risks and tolerances related to cloud security. この情報を利用して、IT およびセキュリティのチーム メンバーと具体的な技術的リスクについて意見を交わします。そして、そのようなリスクを軽減するためのセキュリティ ポリシーのベースライン セットを作成し、初期のガバナンス戦略を確立します。Use this information to discuss specific technical risks with members of your IT and security teams and develop a baseline set of security policies for mitigating these risks to establish your initial governance strategy.

デプロイ計画:ワークロードまたは資産をデプロイする前に、セキュリティ レビューを実行して、新しいリスクがあれば特定し、アクセスとデータ セキュリティのポリシー要件が確実にすべて満たされるようにします。Deployment planning: Before deploying any workload or asset, perform a security review to identify any new risks and ensure all access and data security policy requirements are met.

デプロイのテスト: クラウド ガバナンス チームは、ワークロードや資産のデプロイ プロセスの一環として、企業セキュリティ チームと連携してデプロイのレビューを実施し、セキュリティ ポリシーのコンプライアンスを検証する役割を担います。Deployment testing: As part of the deployment process for any workload or asset, the cloud governance team, in cooperation with your corporate security teams, will be responsible for reviewing the deployment to validate security policy compliance.

年単位の計画:セキュリティ ベースライン戦略の大枠のレビューは、年単位で実行します。Annual planning: On an annual basis, perform a high-level review of Security Baseline strategy. 企業の将来的な優先順位と、更新されたクラウド導入戦略について検討し、潜在的なリスクの増加や表面化してくるその他のセキュリティ ニーズを特定します。Explore future corporate priorities and updated cloud adoption strategies to identify potential risk increase and other emerging security needs. また、この時機を利用して、セキュリティ ベースラインの最新のベスト プラクティスを確認し、それらを自社のポリシーとレビュー プロセスに統合します。Also use this time to review the latest security baseline best practices and integrate these into your policies and review processes.

四半期ごとのレビューと計画: セキュリティ監査データとインシデント レポートのレビューを四半期単位で実行し、セキュリティ ポリシーに必要な変更を特定します。Quarterly review and planning: On a quarterly basis perform a review of security audit data and incident reports to identify any changes required in security policy. このプロセスの一環として、現在のサイバー セキュリティ環境のレビューを行い、新たな脅威を事前に予期し、それに応じてポリシーを更新します。As part of this process, review the current cybersecurity landscape to proactively anticipate emerging threats, and update policy as appropriate. レビューが完了したら、設計ガイダンスを、更新されたポリシーに合わせて改訂します。After the review is complete, align design guidance with updated policy.

この計画プロセスは、新しいポリシーや変化しているポリシーに関する知識のギャップと、セキュリティ関連のリスクについて、クラウド ガバナンス チームの現在のメンバーシップを評価するのに適した機会でもあります。This planning process is also a good time to evaluate the current membership of your cloud governance team for knowledge gaps related to new or changing policy and risks related to security. 適切な IT スタッフを招き、チームの一時的な技術アドバイザーまたは永続的メンバーのいずれかとして、レビューと計画に参加してもらいます。Invite relevant IT staff to participate in reviews and planning as either temporary technical advisors or permanent members of your team.

教育とトレーニング: IT スタッフと開発者がセキュリティ ポリシーの最新の要件を把握できるように、2 か月に 1 回の単位でトレーニング セッションを設けます。Education and training: On a bimonthly basis, offer training sessions to make sure IT staff and developers are up-to-date on the latest security policy requirements. このプロセスの一環として、最新の企業ポリシー ステートメントに適合するように、すべてのドキュメント、ガイダンス、その他のトレーニング資産のレビューと更新を行います。As part of this process review and update any documentation, guidance, or other training assets to ensure they're in sync with the latest corporate policy statements.

月単位の監査とレポートのレビュー: すべてのクラウド デプロイに対して月単位で監査を実行し、継続的にセキュリティ ポリシーへの準拠が実現されるようにします。Monthly audit and reporting reviews: On a monthly basis, perform an audit on all cloud deployments to assure their continued alignment with security policy. IT スタッフと共に、セキュリティ関連アクティビティをレビューし、まだ継続的な監視と適用のプロセスの一部として処理されていないコンプライアンスの問題があれば、それを特定します。Review security related activities with IT staff and identify any compliance issues not already handled as part of the ongoing monitoring and enforcement process. このレビューの成果が、ポリシーに対する全体的な準拠状況を伝える、クラウド戦略チームと各クラウド導入チームに向けたレポートとなります。The result of this review is a report for the cloud strategy team and each cloud adoption team to communicate overall adherence to policy. レポートの保存は、監査と法的な目的のためでもあります。The report is also stored for auditing and legal purposes.

継続的な監視のためのプロセスProcesses for ongoing monitoring

セキュリティ ベースライン戦略の成功は、クラウド インフラストラクチャの現在と過去の状態に対する可視性に左右されます。A successful Security Baseline strategy is successful depends on visibility into the current and past state of your cloud infrastructure. クラウド リソースのセキュリティの正常性とアクティビティについて、関連するメトリックやデータを分析する機能がなければ、リスクの変化を識別したり、リスクの許容範囲に違反があることを検出したりすることができません。Without the ability to analyze the relevant metrics and data of your cloud resources security health and activity, you cannot identify changes in your risks or detect violations of your risk tolerances. 上で説明した継続的なガバナンス プロセスには、品質データが必要です。これは、ポリシーを変更して、変化する脅威とセキュリティ要件に対するインフラストラクチャの保護を強化できるようにするためです。The ongoing governance processes discussed above require quality data to ensure policy can be modified to better protect your infrastructure against changing threats and security requirements.

セキュリティ チームと IT チームが、自動化された監視システムをクラウド インフラストラクチャに実装し、リスクを評価するために必要な関連ログ データが取り込まれるようにします。Ensure that your security and IT teams have implemented automated monitoring systems for your cloud infrastructure that capture the relevant logs data you need to evaluate risk. 先を見越してこれらのシステムの監視を行って、潜在的なポリシー違反の迅速な検出と軽減を可能とします。そして、監視戦略がセキュリティ ニーズに沿っているようにします。Be proactive in monitoring these systems to ensure prompt detection and mitigation of potential policy violation, and ensure your monitoring strategy is in line with security needs.

違反のトリガーと適用のアクションViolation triggers and enforcement actions

セキュリティ コンプライアンス違反は、重大なデータ露出やサービス中断のリスクにつながるおそれがあるため、クラウド ガバナンス チームは、深刻なポリシー違反に対する可視性を持っている必要があります。Because security noncompliance can lead to critical and data exposure and service disruption risks, the cloud governance team should have visibility into serious policy violations. IT スタッフには明白なエスカレーション パスを用意するようにします。それにより、そうしたポリシーの問題を特定し、それが軽減されたことを確認するのに適任であるガバナンス チームのメンバーに、セキュリティの問題を報告します。Ensure IT staff have clear escalation paths for reporting security issues to the governance team members best suited to identify and verify that policy issues are mitigated.

違反が検出されたら、できるだけ早く策を講じてポリシーを使って再調整する必要があります。When violations are detected, you should take actions to realign with policy as soon as possible. IT チームは Azure 用のセキュリティ ベースライン ツールチェーンに記載されたツールを使用して、ほとんどの違反のトリガーを自動化することができます。Your IT team can automate most violation triggers using the tools outlined in the Security Baseline toolchain for Azure.

次のトリガーと適用のアクションは、監視データを使用してポリシーの違反を解決する方法を計画する際に参照できる例を示しています。The following triggers and enforcement actions provide examples you can reference when planning how to use monitoring data to resolve policy violations:

  • 検出された攻撃数の増加。Increase in attacks detected. いずれかのリソースでブルート フォース攻撃や DDoS 攻撃が 25% 増加した場合は、IT セキュリティ スタッフおよびワークロードの所有者と相談し、対策を決定します。If any resource experiences a 25% increase in brute force or DDoS attacks, discuss with IT security staff and workload owner to determine remedies. 将来のインシデントを防止するためにポリシーの改訂が必要な場合は、問題を追跡し、ガイダンスを更新します。Track issue and update guidance if policy revision is necessary to prevent future incidents.
  • 未分類データが検出された。Unclassified data detected. プライバシー、セキュリティ、またはビジネス上の影響に関して適切な分類が行われていないデータ ソースがあると、データ所有者によって分類が適用され、適切なレベルのデータ保護が適用されるまで、外部アクセスが拒否されます。Any data source without an appropriate privacy, security, or business impact classification will have external access denied until the classification is applied by the data owner and the appropriate level of data protection applied.
  • セキュリティ正常性の問題が検出された。Security health issue detected. 既知のアクセス脆弱性またはマルウェア脆弱性がある仮想マシン (VM) へのアクセスは、適切な修正プログラムまたはセキュリティ ソフトウェアがインストールされるまで無効にします。Disable access to any virtual machines (VMs) that have known access or malware vulnerabilities identified until appropriate patches or security software can be installed. 新しく検出された脅威に対応するように、ポリシーのガイダンスを更新します。Update policy guidance to account for any newly detected threats.
  • ネットワーク脆弱性が検出された。Network vulnerability detected. ネットワーク アクセス ポリシーによって明示的に許可されていないリソースへのアクセスがあった場合、IT セキュリティ担当者と、関連したワークロード所有者に対して、アラートをトリガーする必要があります。Access to any resource not explicitly allowed by the network access policies should trigger an alert to IT security staff and the relevant workload owner. 将来のインシデントの影響を軽減するためにポリシーの改訂が必要な場合は、問題を追跡し、ガイダンスを更新します。Track issue and update guidance if policy revision is necessary to mitigate future incidents.

次のステップNext steps

セキュリティ ベースライン規範テンプレートを使用して、現在のクラウド導入計画に適合するプロセスとトリガーを文書化します。Use the Security Baseline discipline template to document the processes and triggers that align to the current cloud adoption plan.

導入計画に適合したクラウド管理ポリシーを実行する場合のガイダンスについては、規範の改善に関する記事を参照してください。For guidance on executing cloud management policies in alignment with adoption plans, see the article on discipline improvement.