ランディング ゾーンのセキュリティの向上

  • [アーティクル]

ワークロードまたはそれらがホストされているランディング ゾーンで、機密データや重要なシステムにアクセスする必要がある場合は、データと資産を保護することが重要です。

セキュリティで保護

準備完了状態を抜けると、環境のセキュリティを維持する現在進行形の責任があります。 クラウド セキュリティは、単なる静的な目的地ではなく、増分プロセスでもあります。 セキュリティの最終的な状態を想定するときは、目標と主要な結果に焦点をあてます。 人間の規範に対する役割と責任へのマッピングと並行して、CAF のセキュリティ保護手法の規範に概念、フレームワーク、標準をマップします。 セキュリティ保護手法によって、ガイダンスが示されます。

以下に、このガイダンスの概要と、詳細へのリンクを示します。

リスクの分析情報

ビジネス運用にはセキュリティ上のリスクがあります。 セキュリティ チームは、ビジネスを理解し、アクションを適切に計画して実行するリスクを認識するためのセキュリティ プラクティスを使用して、セキュリティ リスクがフレームワークにどのように適合するかを意思決定者に伝え、助言する必要があります。

  • サイバーセキュリティのリスクの概要: 人間の攻撃者が通貨、内部情報、またはテクノロジを盗もうとすることによって引き起こされる可能性があるビジネスの損害や破壊すべて。
  • セキュリティ リスク管理を調整する: サイバーセキュリティと組織のリーダーシップの橋渡しに投資して、ビジネス向けの用語を使用してセキュリティの脅威を説明し、ビジネス全体のすべてのユーザーに積極的に耳を傾け、対話します。
  • サイバーセキュリティのリスクを理解する: 金銭、情報、またはテクノロジを盗む人間の攻撃者の動機と行動パターンを理解し、さまざまな種類の攻撃の潜在的な影響を特定します。

セキュリティの統合

セキュリティが組織の関心事であり、1 つのグループにサイロ化されていないことを確認します。 セキュリティの統合により、ビジネス プロセスとの摩擦を最小限に抑えながら、セキュリティをすべてのユーザーの役割に統合する方法に関するガイダンスが提供されます。 具体的なガイダンスには、次のものが含まれます。

  • 関係を正規化する: すべてのチームがセキュリティ チームと統合され、セキュリティ目標に対する共通の理解があることを確認します。 さらに、適切なレベルのセキュリティ制御を探り出し、その制御がビジネス価値より優先されることがないようにします。
  • IT およびビジネス運用と統合する: セキュリティ更新プログラムの実装、すべてのセキュリティ プロセスによる現在のビジネスへの影響のマッピング、および将来の潜在的なセキュリティ リスクのバランスを取ります。
  • セキュリティ チームを統合する: アクティブな脅威に対応し、動的な規範としてセキュリティを実践することで組織のセキュリティ体制を継続的に改善することで、サイロ化された運用を回避します。

ビジネスの回復力

組織が完全なセキュリティを持つことは不可能ですが、それでもインシデントの前、中、および後で、セキュリティ リスクの全ライフサイクルを投資するという、ビジネスの回復力の実用的なアプローチがあります。

  • 回復性の目標: ビジネスが迅速にイノベーションを行い、影響を限定し、常に安全な方法でテクノロジを採用できるようにすることに集中します。
  • セキュリティの回復力と侵害の想定: ゼロ トラストの主要原則に従って侵害や漏えいを想定し、攻撃を防ぎ、損害を限定し、それらから迅速に復旧するための実用的なセキュリティ行動を実践します。

アクセス制御

ユーザー エクスペリエンスとセキュリティ保証の両方を調整するアクセス制御戦略を作成します。

  • セキュリティ境界からゼロ トラストへ:クラウドで作業し、新しいテクノロジを使用するときにセキュリティ保証を確立および改善するためのアクセス制御に対してゼロ トラスト アプローチを採用します。
  • 最新のアクセス制御: 包括的で一貫性があり、柔軟なアクセス制御戦略を作成します。 複数のワークロード、クラウド、およびさまざまなビジネスの機密レベルに対する戦術やテクノロジは 1 つにとどまりません。
  • 既知、信頼、許可: 動的な 3 段階のプロセスに従って、既知の認証を確認し、ユーザーまたはデバイスを信頼し、アプリケーション、サービス、またはデータに対する適切な権限と特権を許可します。
  • データドリブンアクセスの決定: 明示的な検証を実現するために、ユーザーとデバイス上の多様なデータの情報に基づいた意思決定を行います。
  • セグメント化: 分離と保護: 内部環境の個別のセグメントとして境界を作成し、成功した攻撃による損害を阻止します。
  • 分離: ファイアウォールを避け、後は放置: 人、プロセス、テクノロジで構成されるビジネス クリティカルな資産のセグメント化の極端な形を設計します。

セキュリティ運用

リスクを軽減し、迅速に対応して、復旧させるというセキュリティ運用を確立して、組織を保護し、DevOps プロセスのセキュリティ規範に従います。

  • 人とプロセス:フォレンジック調査の役割に強固なバックグラウンドを持つ非技術系の人々を含めてトレーニングすることで、ツールにより、人々が最も貴重な資産になり、思考ポートフォリオが多様化される文化を醸成します。
  • セキュリティ運用のモデル: インシデントの管理、インシデントに対する準備、脅威に関するインテリジェンスの成果に集中します。 サブチーム間で成果を分担して、大量および複雑なインシデントのトリアージ、調査、および検出を行います。
  • SecOps のビジネス タッチポイント: 主要なインシデントを通知し、重要なシステムの影響を判別するために、ビジネス リーダーと対話します。 継続的に共同で対応し、組織のリスクを軽減します。
  • SecOps の最新化: プラットフォームのカバレッジ、ID 中心のセキュリティ、IoT および OT デバイス、およびクラウドからの関連テレメトリなどの傾向に従って、セキュリティ運用を進化させます。

資産の保護

各資産の種類に固有のセキュリティ制御を実装することで、すべての物理項目と仮想項目が含まれるビジネス クリティカルな資産をセキュリティで保護します。 ポリシー、標準、アーキテクチャを満たすために、予防と検出の保護を一貫して実行します。

  • セキュリティを確保する: ブラウンフィールド資産に現在の制御を適用し、グリーンフィールド資産が最新の標準に設定されていることを確認することで、組織の最新のセキュリティ標準とポリシーにリソースを引き上げます。
  • セキュリティを維持する: 継続的なクラウドの改善を実践し、ビジネス、テクノロジ、セキュリティの要件が急速に変化するのに合わせて、サポート終了のソフトウェアのアップグレードまたは廃止を計画します。
  • 作業の開始: まず、よく知られているクラウド リソースに集中して資産の保護を開始し、よく知られている実績のあるベンダー/業界ベースラインをセキュリティ構成に使用します。
  • 重要な情報: 説明と実行の責任を負うチームの重要な要素を使用して、クラウドの弾力性ワークロードなどのエンタープライズ全体の資産のニーズを管理し、ベスト プラクティスを特定するための制御を設計します。 資産保護のビジネス価値を測定し、コストと手動の繰り返しを回避するために自動ポリシーを優先します。

セキュリティ ガバナンス

ビジネス目標とリスクを使用してセキュリティの最適な方向性を決定することで、セキュリティ ガバナンスを使用して監督と監視を実行し、一定期間にわたってセキュリティ体制を維持および改善します。

  • コンプライアンスとレポート: 外部と内部の両方のセキュリティ ポリシーが、特定の業界の必須要件を満たしていることを確認します。
  • アーキテクチャと標準: ほとんどの企業はオンプレミスとクラウドの両方のリソースを含むハイブリッド環境であるため、エンタープライズ資産全体で統一された見解を作成します。
  • セキュリティ体制管理: セキュリティ標準を監視し、ガイダンスを提供し、プロセスを改善するためのガバナンスを計画します。 ポリシーと継続的な改善によって主導されるガバナンスで機敏性を維持します。
  • ガバナンスと保護の規範: セキュリティ制御を適用し、フィードバックを提供して最適なソリューションを特定します。
  • ガバナンスとセキュリティの運用: インシデントから学んだ教訓が、セキュリティ運用とガバナンスに統合されていることを確認します。

イノベーションのセキュリティ

イノベーションのセキュリティを念頭に置いて新しいアプリケーションを開発するときに、サイバー攻撃からイノベーションのプロセスとデータを保護します。

  • DevSecOps とは: DevOps の既に組み合わされた開発と運用のプロセスにセキュリティを統合して、イノベーション プロセスのリスクを軽減します。
  • セキュリティ バイ デザインおよびシフト レフト: DevOps ライフサイクルのすべての段階でセキュリティを関与させ、チームをイノベーションの速度、信頼性、回復力に合わせます。
  • DevSecOps を選択する理由:: 組織内のすべての IT インフラストラクチャの弱点を悪用する攻撃者から保護する DevOps プロセスをセキュリティで保護することで、顧客を保護します。
  • DevSecOps の推移: アイデア培養と DevOps を、ほとんどの組織と同様の 2 フェーズ プロセスとして使用します。 MVP (実用最小限の製品) 要件を特定し、リーダーシップ手法を使用してチームの競合を解決し、既存のプロセスとツールにセキュリティを統合します。
  • 取り組みのナビゲートに関するヒント: セキュリティを変革するときは、教育、時間、リソース、IT 運用の全体的な性質のシフトなどの一般的な課題があります。

DevSecOps の制御

DevSecOps の制御を作成するときは、継続的インテグレーションと継続的デリバリー (CI/CD) の各ステージにセキュリティを追加します。

  • 計画と開発: 脅威モデリング、IDE セキュリティ プラグイン/プリコミット、ピア レビューを実装するための最新の開発手法の計画フェーズにセキュリティを導入します。
  • コードをコミットする: 脆弱性スキャン機能を評価して一元化されたリポジトリに実装することで、リスクを検出し、修復を実行します。
  • ビルドおよびテスト: ビルドとリリースのパイプラインを使用して、既存の環境の再デプロイやアップグレードに大量の時間を費やすことなく、セキュリティで保護されたコードを構築およびデプロイするプロセスの自動化と標準化を行います。
  • 実稼働環境に移動して運用する: ソリューションが実稼働環境に移行されたときに、セキュリティの状態を監視および管理します。 インフラストラクチャ スキャン ツールと侵入テスト方法を使用して、チームが対処するリスクと脆弱性を検出できるようにします。

テスト駆動開発サイクル

セキュリティの強化を始める前に、"完了の定義" とすべての "受け入れ基準" を理解しておくことが重要です。 詳細については、ランディング ゾーンのテスト駆動開発および Azure でのテスト駆動開発に関する記事をご覧ください。

次のステップ

重要なアプリケーションをサポートするためにランディング ゾーンの運用の改善方法について説明します。

ランディング ゾーンの運用の改善