セキュリティ ベースライン規範の改良Security Baseline discipline improvement

セキュリティ ベースライン規範は、ネットワーク、資産、および最も重要なものとしてクラウド プロバイダーのソリューションに存在するデータを保護するポリシーを確立する方法に重点を置いています。The Security Baseline discipline focuses on ways of establishing policies that protect the network, assets, and most importantly the data that will reside on a cloud provider's solution. クラウド ガバナンスの 5 つの規範のうち、セキュリティ ベースライン規範にはデジタル資産とデータの分類が含まれます。Within the Five Disciplines of Cloud Governance, the Security Baseline discipline includes classification of the digital estate and data. また、リスク、ビジネスの許容度、およびデータ、資産、ネットワークのセキュリティに関連付けられた軽減戦略のドキュメントも含まれます。It also includes documentation of risks, business tolerance, and mitigation strategies associated with the security of the data, assets, and network. 技術的な観点から、これには、暗号化ネットワークの要件ハイブリッド ID 戦略、およびクラウド用のセキュリティ ベースライン ポリシーを開発するために使用されるプロセスに関連した決定への関与も含まれます。From a technical perspective, this also includes involvement in decisions regarding encryption, network requirements, hybrid identity strategies, and the processes used to develop Security Baseline policies for the cloud.

この記事では、会社がセキュリティ ベースライン規範をより適切に開発し、成熟させるために実行できるいくつかの潜在的なタスクの概要について説明します。This article outlines some potential tasks your company can engage in to better develop and mature the Security Baseline discipline. これらのタスクは、クラウド ソリューション実装の計画、構築、導入、および運用フェーズに分類できます。これらのフェーズは繰り返され、クラウド ガバナンスへの増分アプローチを開発できるようになります。These tasks can be broken down into planning, building, adopting, and operating phases of implementing a cloud solution, which are then iterated on allowing the development of an incremental approach to cloud governance.

クラウド ガバナンスに対する増分型アプローチのフェーズ

"図 1:クラウド ガバナンスに対する増分型アプローチのフェーズ。 "Figure 1: Phases of an incremental approach to cloud governance.

1 つのドキュメントですべての企業の要件を説明することはできません。It's impossible for any one document to account for the requirements of all businesses. そのため、この記事ではガバナンス成熟プロセスのフェーズごとに、推奨される最小限のアクティビティと、考えられるアクティビティの例を示します。As such, this article outlines suggested minimum and potential example activities for each phase of the governance maturation process. これらのアクティビティの最初の目標は、お客様がポリシーの MVP を構築し、漸進的にポリシーを向上させるためのフレームワークを確立できるように支援することです。The initial objective of these activities is to help you build a policy MVP and establish a framework for incremental policy improvement. クラウド ガバナンス チームは、セキュリティ ベースライン規範を改善するために、これらのアクティビティにどれだけ投資するかを決定する必要があります。Your cloud governance team will need to decide how much to invest in these activities to improve your Security Baseline discipline.

注意事項

この記事で概要を説明する最小限のアクティビティと潜在的なアクティビティのどちらも、特定の企業ポリシーやサードパーティのコンプライアンス要件には整合していません。Neither the minimum or potential activities outlined in this article are aligned to specific corporate policies or third-party compliance requirements. このガイダンスは、両方の要件とクラウド ガバナンス モデルの整合に導く会話の促進に役立つように設計されています。This guidance is designed to help facilitate the conversations that will lead to alignment of both requirements with a cloud governance model.

計画と準備状況Planning and readiness

ガバナンス成熟のこのフェーズは、ビジネス成果とアクションにつながる戦略の間にあるギャップの橋渡しをします。This phase of governance maturity bridges the divide between business outcomes and actionable strategies. このプロセス中に、リーダーシップ チームは具体的なメトリックを定義し、そのメトリックをデジタル資産にマップして、全体的な移行作業の計画を開始します。During this process, the leadership team defines specific metrics, maps those metrics to the digital estate, and begins planning the overall migration effort.

最小限の推奨されるアクティビティ:Minimum suggested activities:

  • セキュリティ ベースライン ツールチェーン オプションを評価します。Evaluate your Security Baseline toolchain options.
  • アーキテクチャ ガイドライン ドキュメントのドラフトを作成し、主な利害関係者に配布します。Develop a draft architecture guidelines document and distribute to key stakeholders.
  • アーキテクチャ ガイドラインの開発によって影響を受ける人とチームを教育し、関与させます。Educate and involve the people and teams affected by the development of architecture guidelines.
  • 優先順位が付けられたセキュリティ タスクを移行バックログに追加します。Add prioritized security tasks to your migration backlog.

潜在的なアクティビティ:Potential activities:

  • データ分類スキーマを定義します。Define a data classification schema.
  • ビジネス プロセスを強化し、運用をサポートしている現在の IT 資産のインベントリを作成するために、デジタル資産計画プロセスを実行します。Conduct a digital estate planning process to inventory the current IT assets powering your business processes and supporting operations.
  • 既存の企業 IT セキュリティ ポリシーを最新化するプロセスを開始し、既知のリスクに対応した MVP ポリシーを定義するために、ポリシー レビューを実行します。Conduct a policy review to begin the process of modernizing existing corporate IT security policies, and define MVP policies addressing known risks.
  • クラウド プラットフォームのセキュリティ ガイドラインをレビューします。Review your cloud platform's security guidelines. Azure の場合、これらは Microsoft Service Trust Portal にあります。For Azure these can be found in the Microsoft Service Trust Portal.
  • セキュリティ ベースライン ポリシーにセキュリティ開発ライフサイクルが含まれているかどうかを判定します。Determine whether your Security Baseline policy includes a security development lifecycle.
  • 次の 1 つから 3 つのリリースに基づいてネットワーク、データ、および資産関連のビジネス リスクを評価し、これらのリスクに対する組織の許容度を測定します。Evaluate network, data, and asset-related business risks based on the next one to three releases, and gauge your organization's tolerance for those risks.
  • 現在のセキュリティ ランドスケープの概要について、Microsoft のサイバーセキュリティにおける上位の傾向に関するレポートを確認します。Review Microsoft's top trends in cybersecurity report for an overview of the current security landscape.
  • 組織内の DevSecOps ロールの開発を検討します。Consider developing a DevSecOps role in your organization.

構築とデプロイ前準備Build and predeployment

環境を適切に移行するには、いくつかの技術的な前提条件と技術面以外の前提条件が必要です。Several technical and nontechnical prerequisites are required to successful migrate an environment. このプロセスでは、移行を進める意思決定、準備状況、およびコア インフラストラクチャに重点を置いています。This process focuses on the decisions, readiness, and core infrastructure that proceeds a migration.

最小限の推奨されるアクティビティ:Minimum suggested activities:

  • デプロイ前フェーズでロールアウトすることによって、セキュリティ ベースライン ツールチェーンを実装します。Implement your Security Baseline toolchain by rolling out in a predeployment phase.
  • アーキテクチャ ガイドライン ドキュメントを更新し、主な利害関係者に配布します。Update the architecture guidelines document and distribute to key stakeholders.
  • 優先順位が付けられた移行バックログでセキュリティ タスクを実装します。Implement security tasks on your prioritized migration backlog.
  • ユーザー導入の促進に役立つ教材やドキュメント、認識の伝達、インセンティブなどのプログラムを開発します。Develop educational materials and documentation, awareness communications, incentives, and other programs to help drive user adoption.

潜在的なアクティビティ:Potential activities:

  • クラウドでホストされたデータのための組織の暗号化戦略を決定します。Determine your organization's encryption strategy for cloud-hosted data.
  • クラウド デプロイの ID 戦略を評価します。Evaluate your cloud deployment's identity strategy. クラウド ベースの ID ソリューションがオンプレミスの ID プロバイダーと共存または統合する方法を決定します。Determine how your cloud-based identity solution will coexist or integrate with on-premises identity providers.
  • ソフトウェア定義ネットワーク (SDN) 設計で仮想ネットワーク機能を確実にセキュリティで保護するためのネットワーク境界ポリシーを決定します。Determine network boundary policies for your Software Defined Networking (SDN) design to ensure secure virtualized networking capabilities.
  • 組織の最小特権アクセス ポリシーを評価し、タスク ベースのロールを使用して特定のリソースへのアクセスを提供します。Evaluate your organization's least-privilege access policies, and use task-based roles to provide access to specific resources.
  • すべてのクラウド サービスと仮想マシンにセキュリティおよび監視メカニズムを適用します。Apply security and monitoring mechanisms to all cloud services and virtual machines.
  • 可能な場合は、セキュリティ ポリシーを自動化します。Automate security policies where possible.
  • セキュリティ ベースライン ポリシーをレビューし、セキュリティ開発ライフサイクルで概要が説明されているようなベスト プラクティス ガイダンスに従って計画を変更する必要があるかどうかを判定します。Review your Security Baseline policy and determine whether you need to modify your plans according to best practices guidance such as those outlined in the security development lifecycle.

導入と移行Adopt and migrate

移行は増分型のプロセスであり、その焦点は既存のデジタル資産の中のアプリケーションまたはワークロードの移動、テスト、導入です。Migration is an incremental process that focuses on the movement, testing, and adoption of applications or workloads in an existing digital estate.

最小限の推奨されるアクティビティ:Minimum suggested activities:

  • セキュリティ ベースライン ツールチェーンをデプロイ前準備から運用環境に移行します。Migrate your Security Baseline toolchain from predeployment to production.
  • アーキテクチャ ガイドライン ドキュメントを更新し、主な利害関係者に配布します。Update the architecture guidelines document and distribute to key stakeholders.
  • ユーザー導入の促進に役立つ教材やドキュメント、認識の伝達、インセンティブなどのプログラムを開発します。Develop educational materials and documentation, awareness communications, incentives, and other programs to help drive user adoption.

潜在的なアクティビティ:Potential activities:

  • 最新のセキュリティ ベースラインと脅威情報をレビューして、新しいビジネス リスクを識別します。Review the latest security baseline and threat information to identify any new business risks.
  • 発生する可能性のある新しいセキュリティ上のリスクを処理するための組織の許容度を測定します。Gauge your organization's tolerance to handle new security risks that may arise.
  • ポリシーからの逸脱を識別し、修正を適用します。Identify deviations from policy, and enforce corrections.
  • ポリシーのコンプライアンスを最大化するようにセキュリティとアクセス制御の自動化を調整します。Adjust security and access control automation to ensure maximum policy compliance.
  • 構築およびデプロイ前フェーズ中に定義されたベスト プラクティスが正しく実行されていることを検証します。Validate that the best practices defined during the build and predeployment phases are properly executed.
  • 最小特権アクセス ポリシーをレビューし、セキュリティを最大化するようにアクセス制御を調整します。Review your least-privilege access policies and adjust access controls to maximize security.
  • 脆弱性をすべて識別して解決するために、セキュリティ ベースライン ツールチェーンをワークロードに対してテストします。Test your Security Baseline toolchain against your workloads to identify and resolve any vulnerabilities.

運用と実装後Operate and post-implementation

変換が完了したら、アプリケーションまたはワークロードの自然なライフサイクルに対してガバナンスと運用を続行する必要があります。Once the transformation is complete, governance and operations must live on for the natural lifecycle of an application or workload. ガバナンス成熟のこのフェーズの焦点は、ソリューションが実装されて変換サイクルが安定し始めた後に一般的に行われるアクティビティです。This phase of governance maturity focuses on the activities that commonly come after the solution is implemented and the transformation cycle begins to stabilize.

最小限の推奨されるアクティビティ:Minimum suggested activities:

  • セキュリティ ベースライン ツールチェーンを検証および改良します。Validate and refine your Security Baseline toolchain.
  • 潜在的なセキュリティの問題をユーザーに通知するように通知とレポートをカスタマイズします。Customize notifications and reports to alert you of potential security issues.
  • 将来の導入プロセスのガイドとなるようにアーキテクチャ ガイドラインを改良します。Refine the architecture guidelines to guide future adoption processes.
  • アーキテクチャ ガイドラインへの遵守を引き続き確実にするために、影響を受けるチームを定期的に伝達および教育します。Communicate and educate the affected teams periodically to ensure ongoing adherence to architecture guidelines.

潜在的なアクティビティ:Potential activities:

  • ワークロードのパターンや動作を検出し、異常なアクティビティ、アクセス、またはリソース使用状況をすべて識別してユーザーに通知するように監視およびレポート作成ツールを構成します。Discover patterns and behavior for your workloads and configure your monitoring and reporting tools to identify and notify you of any abnormal activity, access, or resource usage.
  • 最新の脆弱性、エクスプロイト、および攻撃を検出するように監視およびレポート作成ポリシーを継続的に更新します。Continuously update your monitoring and reporting policies to detect the latest vulnerabilities, exploits, and attacks.
  • 承認されていないアクセスをすばやく停止し、攻撃者によって侵害された可能性のあるリソースを無効にするための手順を確立します。Have procedures in place to quickly stop unauthorized access and disable resources that may have been compromised by an attacker.
  • セキュリティに関する最新のベスト プラクティスを定期的にレビューし、可能な場合は、推奨事項をセキュリティ ポリシー、自動化、および監視機能に適用します。Regularly review the latest security best practices and apply recommendations to your security policy, automation, and monitoring capabilities where possible.

次のステップNext steps

ここまでで、クラウド セキュリティ ガバナンスの概念を理解したので、Azure に関して Microsoft が提供するセキュリティおよびベスト プラクティス ガイダンスに関するページに進んでください。Now that you understand the concept of cloud security governance, move on to learn more about what security and best practices guidance Microsoft provides for Azure.