セキュリティ ベースラインのサンプル ポリシー ステートメントSecurity Baseline sample policy statements

個々のクラウド ポリシー ステートメントは、リスクの評価プロセスで識別された特定のリスクに対処するためのガイドラインとなります。Individual cloud policy statements are guidelines for addressing specific risks identified during your risk assessment process. これらのステートメントでは、リスクとそれらのリスクに対処する計画の簡潔な概要を提供する必要があります。These statements should provide a concise summary of risks and plans to deal with them. 各ステートメント定義には、以下の情報を含める必要があります。Each statement definition should include these pieces of information:

  • 技術的なリスク: このポリシーで対処されるリスクの概要。Technical risk: A summary of the risk this policy will address.
  • ポリシー ステートメント: ポリシーの要件の端的な概要説明です。Policy statement: A clear summary explanation of the policy requirements.
  • 技術的なオプション: 実践的な推奨事項、仕様、または IT チームおよび開発者がポリシーの実装時に使用できるその他のガイダンス。Technical options: Actionable recommendations, specifications, or other guidance that IT teams and developers can use when implementing the policy.

次のポリシー ステートメントのサンプルでは、一般的なセキュリティ関連のビジネス リスクに対処します。The following sample policy statements address common security-related business risks. これらのステートメントの例は、組織のニーズに対応するポリシー ステートメントを作成するときに参照できます。These statements are examples you can reference when drafting policy statements to address your organization's needs. これらの例は規制的になるようには考慮されておらず、識別された各リスクに対処するためのポリシー オプションはいくつか存在する可能性があります。These examples are not meant to be proscriptive, and there are potentially several policy options for dealing with each identified risk. ビジネス、セキュリティ、および IT チームと緊密に協力して、固有の一連のリスクに最適なポリシーを識別してください。Work closely with business, security, and IT teams to identify the best policies for your unique set of risks.

資産の分類Asset classification

技術的なリスク: 資産がミッション クリティカルとして、または機密データを含むものとして正しく識別されていない場合、十分な保護を受けられず、データのリークやビジネスの中断につながる可能性があります。Technical risk: Assets that are not correctly identified as mission-critical or involving sensitive data may not receive sufficient protections, leading to potential data leaks or business disruptions.

ポリシー ステートメント: デプロイされたすべての資産を、重要性とデータ機密性によって分類する必要があります。Policy statement: All deployed assets must be categorized by criticality and data classification. クラウド ガバナンス チームとアプリケーション所有者は、クラウドにデプロイする前に、分類をレビューする必要があります。Classifications must be reviewed by the cloud governance team and the application owner before deployment to the cloud.

使用可能な設計オプション: リソースタグ付け標準を確立し、IT スタッフによってそれがデプロイされるすべてのリソースに Azure リソース タグを使用して一貫して適用されるようにします。Potential design option: Establish resource tagging standards and ensure IT staff apply them consistently to any deployed resources using Azure resource tags.

データの暗号化Data encryption

技術的なリスク: 保管中に、保護されたデータが流出するリスクがあります。Technical risk: There is a risk of protected data being exposed during storage.

ポリシー ステートメント: すべての保護対象データは暗号化した状態で保存される必要があります。Policy statement: All protected data must be encrypted when at rest.

使用可能な設計オプション: Azure プラットフォームで保存データの暗号化を行う方法については、「Azure の暗号化の概要」を参照してください。Potential design option: See the Azure encryption overview article for a discussion of how data at rest encryption is performed on the Azure platform. アカウント データの暗号化やストレージ アカウント設定の変更方法の制御などのその他の制御も考慮する必要があります。Additional controls such as in account data encryption and control over how storage account settings can be changed should also be considered.

ネットワークの分離Network isolation

技術的なリスク: ネットワークとネットワーク内のサブネット間の接続における潜在的な脆弱性により、データのリークや、ミッション クリティカルなサービスの中断が発生する可能性があります。Technical risk: Connectivity between networks and subnets within networks introduces potential vulnerabilities that can result in data leaks or disruption of mission-critical services.

ポリシー ステートメント: 保護対象データが含まれているネットワーク サブネットは、他のサブネットから分離する必要があります。Policy statement: Network subnets containing protected data must be isolated from any other subnets. 保護対象データ サブネット間のネットワーク トラフィックを定期的に監査します。Network traffic between protected data subnets is to be audited regularly.

使用可能な設計オプション: Azure では、ネットワークとサブネットの分離は Azure Virtual Network によって管理されます。Potential design option: In Azure, network and subnet isolation is managed through Azure Virtual Network.

セキュリティで保護された外部アクセスSecure external access

技術的なリスク: パブリック インターネットからワークロードへのアクセスを許可すると、承認されていないデータの漏洩やビジネスの中断の原因になる侵入のリスクが発生します。Technical risk: Allowing access to workloads from the public internet introduces a risk of intrusion resulting in unauthorized data exposure or business disruption.

ポリシー ステートメント: 保護対象データが含まれているどのサブネットにも、パブリック インターネット経由で、またはデータセンターをまたいで直接アクセスすることはできません。Policy statement: No subnet containing protected data can be directly accessed over public internet or across datacenters. それらのサブネットへのアクセスは、中間サブネットを介してルーティングされる必要があります。Access to those subnets must be routed through intermediate subnets. それらのサブネットへのアクセスはすべて、パケットのスキャンおよびブロック機能を実行できるファイアウォール ソリューション経由で行われる必要があります。All access into those subnets must come through a firewall solution capable of performing packet scanning and blocking functions.

使用可能な設計オプション: Azure では、パブリック インターネットとクラウドベースのネットワークの間に境界ネットワークをデプロイすることで、パブリック エンドポイントをセキュリティ保護します。Potential design option: In Azure, secure public endpoints by deploying a perimeter network between the public internet and your cloud-based network. Azure Firewall のデプロイ、構成、および自動化を検討してください。Consider deployment, configuration, and automation of Azure Firewall.

DDoS 保護DDoS protection

技術的なリスク: 分散型サービス拒否 (DDoS) 攻撃により、業務が中断する可能性があります。Technical risk: Distributed denial of service (DDoS) attacks can result in a business interruption.

ポリシー ステートメント: パブリックにアクセス可能なすべてのネットワーク エンドポイントに、自動化された DDoS リスク軽減メカニズムをデプロイします。Policy statement: Deploy automated DDoS mitigation mechanisms to all publicly accessible network endpoints. IaaS によってサポートされる一般向け Web サイトは、DDoS なしでインターネットに公開しないでください。No public-facing web site backed by IaaS should be exposed to the internet without DDoS.

使用可能な設計オプション: Azure DDoS Protection Standard を使用して、DDoS 攻撃による中断を最小限に抑えます。Potential design option: Use Azure DDoS Protection Standard to minimize disruptions caused by DDoS attacks.

オンプレミスの接続をセキュリティ保護するSecure on-premises connectivity

技術的なリスク: パブリック インターネット経由でのクラウド ネットワークとオンプレミスの間の暗号化されていないトラフィックは、傍受に対して脆弱であり、データ漏洩のリスクが生まれます。Technical risk: Unencrypted traffic between your cloud network and on-premises over the public internet is vulnerable to interception, introducing the risk of data exposure.

ポリシー ステートメント: オンプレミスとクラウド ネットワークの間のすべての接続は、セキュリティで保護されて暗号化された VPN 接続または専用のプライベート WAN リンクを通して行う必要があります。Policy statement: All connections between the on-premises and cloud networks must take place either through a secure encrypted VPN connection or a dedicated private WAN link.

使用可能な設計オプション: Azure では、ExpressRoute または Azure VPN を使用して、オンプレミスとクラウド ネットワークの間のプライベート接続を確立します。Potential design option: In Azure, use ExpressRoute or Azure VPN to establish private connections between your on-premises and cloud networks.

ネットワークの監視と適用Network monitoring and enforcement

技術的なリスク: ネットワークの構成を変更すると、新たな脆弱性やデータ漏洩のリスクが発生する可能性があります。Technical risk: Changes to network configuration can lead to new vulnerabilities and data exposure risks.

ポリシー ステートメント: ガバナンス ツールでは、セキュリティ ベースライン チームによって定義されたネットワーク構成要件を監査し、実施する必要があります。Policy statement: Governance tooling must audit and enforce network configuration requirements defined by the security baseline team.

使用可能な設計オプション: Azure では、Azure Network Watcher を使用してネットワーク アクティビティを監視でき、Azure Security Center はセキュリティの脆弱性を識別するのに役立ちます。Potential design option: In Azure, network activity can be monitored using Azure Network Watcher, and Azure Security Center can help identify security vulnerabilities. Azure Policy を使用すると、セキュリティ チームによって定義された制限に従って、ネットワーク リソースとリソース構成ポリシーを制限することができます。Azure Policy allows you to restrict network resources and resource configuration policy according to limits defined by the security team.

セキュリティ レビューSecurity review

技術的なリスク: 時間の経過と共に、新しいセキュリティ脅威や攻撃の種類が発生し、クラウド リソースが流出または中断するリスクが高くなります。Technical risk: Over time, new security threats and attack types emerge, increasing the risk of exposure or disruption of your cloud resources.

ポリシー ステートメント: クラウドのデプロイに影響を及ぼす可能性があるトレンドおよび潜在的悪用をセキュリティ チームが定期的にレビューし、クラウドで使用されるセキュリティ ベースライン ツールの更新を提供する必要があります。Policy statement: Trends and potential exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to Security Baseline tools used in the cloud.

使用可能な設計オプション: 関連する IT およびガバナンス チームのメンバーが参加するセキュリティ レビュー会議を定期的に行います。Potential design option: Establish a regular security review meeting that includes relevant IT and governance team members. 既存のセキュリティ データとメトリックのレビューを行って、現在のポリシーとセキュリティ ベースライン ツールのギャップを確かめ、新しいリスクを修復するようにポリシーを更新します。Review existing security data and metrics to establish gaps in current policy and Security Baseline tools, and update policy to remediate any new risks. Azure AdvisorAzure Security Center を使用して、実際のデプロイに固有の新しい脅威について、アクションにつながる分析情報を入手します。Use Azure Advisor and Azure Security Center to gain actionable insights on emerging threats specific to your deployments.

次のステップNext steps

手始めに、この記事で説明されているサンプルを使用して、クラウドの導入計画に合致する特定のセキュリティ リスクに対処するポリシーを作成します。Use the samples mentioned in this article as a starting point to develop policies that address specific security risks that align with your cloud adoption plans.

独自のカスタム ID ベースライン ポリシー ステートメントの開発を開始するには、セキュリティ ベースライン規範テンプレートをダウンロードします。To begin developing your own custom Security Baseline policy statements, download the Security Baseline discipline template.

この規範の導入を促進するには、ご使用の環境に最も合う実践的なガバナンス ガイドを選択します。To accelerate adoption of this discipline, choose the actionable governance guide that most closely aligns with your environment. その後、設計を変更して、特定の企業ポリシーの決定を組み込みます。Then modify the design to incorporate your specific corporate policy decisions.

リスクと許容度に基づいて、セキュリティ ベースライン ポリシーの順守を管理および伝達するためのプロセスを確立します。Building on risks and tolerance, establish a process for governing and communicating Security Baseline policy adherence.