Azure Information Protection 用の Azure のセキュリティベースラインAzure security baseline for Azure Information Protection

このセキュリティベースラインは、 Azure セキュリティベンチマークバージョン 2.0 から Azure Information Protection へのガイダンスを適用します。This security baseline applies guidance from the Azure Security Benchmark version 2.0 to Azure Information Protection. Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。The Azure Security Benchmark provides recommendations on how you can secure your cloud solutions on Azure. コンテンツは、Azure セキュリティベンチマークで定義されている セキュリティコントロール と、Azure Information Protection に適用される関連ガイダンスによってグループ化されています。The content is grouped by the security controls defined by the Azure Security Benchmark and the related guidance applicable to Azure Information Protection. Azure Information Protection に適用できない コントロール は除外されています。Controls not applicable to Azure Information Protection have been excluded.

Azure Information Protection 完全に Azure のセキュリティベンチマークにマップする方法については、「 完全な Azure Information Protection のセキュリティベースラインマッピングファイル」を参照してください。To see how Azure Information Protection completely maps to the Azure Security Benchmark, see the full Azure Information Protection security baseline mapping file.

ネットワークのセキュリティNetwork Security

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。For more information, see the Azure Security Benchmark: Network Security.

NS-6: ネットワーク セキュリティ規則を簡略化するNS-6: Simplify network security rules

ガイダンス: Virtual Network サービスタグを使用して、Azure Information Protection リソース用に構成されているネットワークセキュリティグループまたは Azure Firewall にネットワークアクセス制御を定義します。Guidance: Use Virtual Network service tags to define network access controls on network security groups or Azure Firewall, which is configured for your Azure Information Protection resources.

セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービスタグを使用します。When creating security rules, use service tags in place of specific IP addresses. 対応するサービスのトラフィックを許可または拒否するには、ルールの適切な送信元または送信先のフィールドに、{AzureInformationProtection} などのサービスタグ名を指定します。Specify the service tag name, such as {AzureInformationProtection}, in the appropriate source or destination field of a rule, to allow or deny the traffic for the corresponding service.

サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

ID 管理Identity Management

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。For more information, see the Azure Security Benchmark: Identity Management.

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化するIM-1: Standardize Azure Active Directory as the central identity and authentication system

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、Azure の既定の id およびアクセス管理サービスです。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service. 組織のクラウドセキュリティプラクティスで Azure AD をセキュリティで保護するために、優先度を高く設定します。Make it a high priority to secure Azure AD in your organization’s cloud security practice.

Azure AD id のセキュリティスコアを確認して、Microsoft のベストプラクティスの推奨事項と比較して、id のセキュリティ体制を評価します。Review the Azure AD identity secure score to help you assess your identity security posture relative to Microsoft’s best practice recommendations. スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。Use the score to gauge how closely your configuration matches best practice recommendations, and to make improvements in your security posture.

Azure AD を標準化して、以下での組織の ID とアクセス管理を統制します。Standardize Azure AD to govern your organization’s identity and access management in:

  • Azure portal、Azure Storage、Azure Virtual Machines (Linux と Windows)、Azure Key Vault、サービスとしてのプラットフォーム (PaaS)、サービスとしてのソフトウェア (SaaS) アプリケーションなどの Microsoft Cloud リソースMicrosoft Cloud resources, such as the Azure portal, Azure Storage, Azure Virtual Machines (Linux and Windows), Azure Key Vault, Platform as a Service (PaaS), and Software as a Service (SaaS) applications

  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソースYour organization's resources, such as applications on Azure or your corporate network resources

Azure AD は、Microsoft アカウントを持たないユーザーが、Microsoft 以外のアカウントを使用してアプリケーションやリソースにサインインできるようにするための外部 id をサポートしています。Azure AD supports external identities to allow users without a Microsoft account to sign-in to their applications and resources with their non-Microsoft accounts.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理するIM-2: Manage application identities securely and automatically

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、Azure の id およびアクセス管理サービスです。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's identity and access management service. Azure Rights Management サービスは、Bring Your Own Key (BYOK) シナリオの Azure Key Vault に格納されている顧客のキーにアクセスするときに、Azure AD アプリケーション id を使用します。Azure Rights Management service uses an Azure AD application identity while accessing customers’ keys stored with Azure Key Vault for Bring Your Own Key (BYOK) scenarios. キーにアクセスするために Azure Rights Management サービスを承認するには Azure Key Vault アクセスポリシーを構成します。これは Azure portal を使用するか、PowerShell を使用して行うことができます。Authorizing Azure Rights Management service to access your keys is achieved through configuring Azure Key Vault access policies, which can be done either using the Azure portal or using PowerShell.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用するIM-3: Use Azure AD single sign-on (SSO) for application access

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、Azure の既定の id およびアクセス管理サービスです。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Azure Information Protection は Azure AD を使用して、Azure リソース、クラウドアプリケーション、オンプレミスアプリケーションに id とアクセス管理を提供します。Azure Information Protection uses Azure AD to provide identity and access management to Azure resources, cloud applications, and on-premises applications. これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。This includes enterprise identities such as employees, as well as external identities such as partners, vendors, and suppliers. これにより、シングル サインオン (SSO) で、オンプレミスとクラウド内の組織のデータとリソースへのアクセスを管理し、セキュリティで保護することができます。This enables single sign-on to manage and secure access to your organization’s data and resources on-premises and in the cloud. すべてのユーザー、アプリケーション、デバイスを Azure AD に接続することで、シームレスで安全なアクセスを実現し、可視性と制御性を高めることができます。Connect all your users, applications, and devices to the Azure AD for seamless, secure access and greater visibility and control.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

IM-4:すべての Azure Active Directory ベースのアクセスに強力な認証制御を使用するIM-4: Use strong authentication controls for all Azure Active Directory based access

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、multi-factor authentication による強力な認証をサポートしています。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which supports strong authentication through multi-factor authentication. Azure Information Protection の認証と承認をサポートするには、Azure AD が必要です。To support authentication and authorization for Azure Information Protection, you must have an Azure AD. オンプレミス ディレクター (AD DS) のユーザー アカウントを使用する場合は、ディレクトリ統合も構成する必要があります。To use user accounts from your on-premises director (AD DS), you must also configure directory integration.

  • Azure Information Protection ではシングルサインオンがサポートされているため、ユーザーが資格情報の入力を繰り返し求められることはありません。Single sign-on is supported for Azure Information Protection, so that users are not repeatedly prompted for their credentials. フェデレーションに別のベンダーのソリューションを使用する場合は、そのベンダーで Azure AD 向けの構成方法を確認します。If you use another vendor solution for federation, check with that vendor for how to configure it for Azure AD. WS-Trust は、これらのソリューションでシングル サインオンをサポートするための、一般的な要件です。WS-Trust is a common requirement for these solutions to support single sign-on.

  • 必要なクライアントソフトウェアがあり、multi-factor authentication をサポートするインフラストラクチャが正しく構成されている場合、Azure Information Protection では多要素認証がサポートされます。Multifactor authentication is supported with Azure Information Protection, when you have the required client software and have correctly configured the multi-factor authentication-supporting infrastructure.

詳細については、次のリファレンスを参照してください。For more information, see the following references:

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

IM-5:アカウントの異常を監視してアラートを出すIM-5: Monitor and alert on account anomalies

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、Azure の既定の id およびアクセス管理サービスです。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Azure AD に関するその他のガイダンス:Additional guidance regarding Azure AD:

  • サインイン-サインインレポートには、マネージアプリケーションとユーザーサインインアクティビティの使用状況に関する情報が表示されます。Sign-in - The sign-in report provides information about the usage of managed applications and user sign-in activities.
  • 監査ログ - Azure AD 内のさまざまな機能によって行われたすべての変更についてログによる追跡可能性を提供します。Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. 監査ログの例には、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Azure AD 内のリソースに対して行われた変更が含まれます。Examples of audit logs include changes made to any resources within Azure AD, such as adding or removing users, apps, groups, roles, and policies.
  • リスクの高いサインイン - リスクの高いサインインは、ユーザー アカウントの正当な所有者ではない人によってサインインが試行された可能性があることを示す指標です。Risky sign-in - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.
  • リスクのフラグ付きユーザー - リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。Users flagged for risk - A risky user is an indicator for a user account that might have been compromised. これらのデータ ソースは、Azure Monitor、Azure Sentinel、またはサードパーティの SIEM システムと統合できます。These data sources can be integrated with Azure Monitor, Azure Sentinel or third-party SIEM systems.

また Azure Security Center は、失敗した認証試行の数が多すぎる、サブスクリプションで非推奨のアカウントなど、特定の不審なアクティビティについてもアラートを表示できます。Azure Security Center can also alert on certain suspicious activities, such as an excessive number of failed authentication attempts, or deprecated accounts in the subscription.

セキュリティ ソリューションである Azure Advanced Threat Protection (ATP) では、Active Directory シグナルを使用することで、高度な脅威、セキュリティ侵害を受けた ID、および悪意のある内部関係者のアクションを特定、検出、および調査できます。Azure Advanced Threat Protection (ATP) is a security solution that can use Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

IM-6:条件に基づいて Azure リソースへのアクセスを制限するIM-6: Restrict Azure resource access based on conditions

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、Azure の既定の id およびアクセス管理サービスです。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service. Azure AD で、Azure Information Protection の条件付きアクセスを構成します。Within Azure AD, configure conditional access for Azure Information Protection. 管理者は、標準の条件付きアクセスコントロールに基づいて、Azure Information Protection によって保護されたドキュメントについて、テナント内のユーザーへのアクセスをブロックまたは許可することができます。Administrators can block or grant access to users in their tenant, for documents protected by Azure Information Protection, based on the standard conditional access controls.

多要素認証は、最も一般的に要求される条件の1つであり、構成済みの Intune ポリシーを使用したデバイスコンプライアンスは別のものです。Multifactor authentication is one of the most commonly requested conditions, while device-compliancy with configured Intune policies is another one. モバイルデバイスが組織パスワードの要件を満たしていること、オペレーティングシステムの最小バージョンがあること、および接続されているコンピューターがドメインに参加していることを条件として要求することができます。You can require conditions so that mobile devices meet your organizational-password requirements, have a minimum operating system version, and connected computers are domain-joined.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

特権アクセスPrivileged Access

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。For more information, see the Azure Security Benchmark: Privileged Access.

PA-1:高い特権を持つユーザーを保護および制限するPA-1: Protect and limit highly privileged users

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、Azure の既定の id およびアクセス管理サービスです。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Azure Information Protection には、Azure AD に管理者レベルのロールが含まれています。Azure Information Protection includes an administrator-level role in Azure AD. 管理者ロールに割り当てられたユーザーには、Azure Information Protection サービスでの完全なアクセス許可が付与されます。Users assigned to the Administrator role have full permissions in the Azure Information Protection service. 管理者ロールを使用して、Azure Information Protection ポリシーのラベルの構成、保護テンプレートの管理、保護のアクティブ化を行うことができます。Administrator role can be used to configure labels for the Azure Information Protection policy, managing protection templates, and activating protection. ただし、管理者ロールでは、Identity Protection Center、Privileged Identity Management、Monitor Microsoft 365 Service Health、または Office 365 セキュリティコンプライアンスセンターでのアクセス許可は付与されません & 。However, the Administrator role does not grant any permissions in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health, or Office 365 Security & Compliance Center.

この特権を持つユーザーは、Azure 環境内のすべてのリソースを直接または間接的に読み取り、変更することができるため、高い特権を持つアカウントまたはロールの数を制限し、これらのアカウントを管理者特権で保護することができます。Limit the number of highly privileged accounts or roles and protect these accounts at an elevated level, as users with this privilege can directly or indirectly read and modify every resource in your Azure environment. Privileged Identity Management (PIM) を使用して、Azure リソースへのジャストインタイム (JIT) 特権アクセスと Azure AD を有効にします。Enable just-in-time (JIT) privileged access to Azure resources and Azure AD using Privileged Identity Management (PIM). ジャストインタイムアクセスは、ユーザーが必要とする場合にのみ特権タスクを実行するための一時的なアクセス許可を付与します。Just-in-time access grants temporary permissions to perform privileged tasks only when users need it. PIM を使用すると、Azure AD 組織に不審なアクティビティや安全でないアクティビティがある場合に、セキュリティ アラートを生成することもできます。PIM can also generate security alerts when there is suspicious or unsafe activity in your Azure AD organization.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

PA-2:ビジネス クリティカルなシステムへの管理アクセスを制限するPA-2: Restrict administrative access to business-critical systems

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、Azure の既定の id およびアクセス管理サービスです。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Azure Information Protection には、Azure AD に管理者レベルのロールが含まれています。Azure Information Protection includes an administrator-level role in Azure AD. 管理者ロールに割り当てられたユーザーには、Azure Information Protection サービスでの完全なアクセス許可が付与されます。Users assigned to the Administrator role have full permissions in the Azure Information Protection service. 管理者ロールを使用して、Azure Information Protection ポリシーのラベルの構成、保護テンプレートの管理、保護のアクティブ化を行うことができます。The Administrator role allows configuring labels for the Azure Information Protection policy, managing protection templates, and activating protection. 管理者ロールでは、Identity Protection Center、Privileged Identity Management、Monitor Microsoft 365 Service Health、または Office 365 セキュリティコンプライアンスセンターでのアクセス許可は付与されません & 。The Administrator role does not grant any permissions in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health, or Office 365 Security & Compliance Center.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

PA-3:ユーザー アクセスを定期的に確認して調整するPA-3: Review and reconcile user access regularly

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、Azure の既定の id およびアクセス管理サービスです。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Azure AD を使用してリソースを管理し、ユーザーアカウントを確認し、割り当てを定期的にアクセスして、アカウントとそのアクセスが有効であることを確認します。Use Azure AD to manage resources, review user accounts, and access assignments regularly to ensure that the accounts and their access are valid. Azure AD アクセスレビューを実施して、グループメンバーシップ、エンタープライズアプリケーションへのアクセス、およびロールの割り当てを確認します。Conduct Azure AD access reviews to review group memberships, access to enterprise applications, and role assignments. Azure AD レポートで古いアカウントを検出します。Discover stale accounts with Azure AD reporting. Azure AD の Privileged Identity Management 機能を使用してアクセスレビューレポートワークフローを作成し、レビュープロセスを容易にすることができます。Azure AD's Privileged Identity Management features can be used to create access review report workflow to facilitate the review process.

さらに、過剰な数の管理者アカウントが作成された場合にアラートを発行したり、古い管理者アカウントや不適切に構成されている管理者アカウントを特定するように Azure Privileged Identity Management を構成することもできます。In addition, Azure Privileged Identity Management can also be configured to alert when an excessive number of administrator accounts are created, and to identify administrator accounts that are stale or improperly configured. 一部の Azure サービスでは、Azure AD によって管理されないローカルユーザーとロールがサポートされていることに注意してください。Note that some Azure services support local users and roles that are not managed through Azure AD. これらのユーザーは、お客様が個別に管理する必要があります。Customers will need to manage these users separately.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

PA-4:Azure AD で緊急アクセスを設定するPA-4: Set up emergency access in Azure AD

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) と統合されて、リソースを管理します。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD) to manage its resources. Azure AD 組織から誤ってロックアウトされるのを防ぐために、通常の管理者アカウントを使用できない場合にアクセスするための緊急アクセス用アカウントを設定します。To prevent being accidentally locked out of your Azure AD organization, set up an emergency access account for access when normal administrative accounts cannot be used. 緊急アクセス用アカウントは高い特権を持っており、特定の個人に割り当てることはできません。Emergency access accounts are usually highly privileged, and they should not be assigned to specific individuals. 緊急アクセス用アカウントは、通常の管理者アカウントを使うことができない "緊急事態" に制限されます。Emergency access accounts are limited to emergency or "break glass"' scenarios where normal administrative accounts can't be used.

緊急アクセス用アカウントの資格情報 (パスワード、証明書、スマート カードなど) は安全に保管し、緊急時にのみそれらを使うことを許可された個人のみに知らせる必要があります。You should ensure that the credentials (such as password, certificate, or smart card) for emergency access accounts are kept secure and known only to individuals who are authorized to use them only in an emergency.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

PA-5:エンタイトルメント管理を自動化するPA-5: Automate entitlement management

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD)、Azure の既定の id およびアクセス管理サービスと統合されています。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), Azure's default identity and access management service.

Azure AD には、アクセス権の割り当て、レビュー、有効期限など、アクセス要求ワークフローを自動化するための資格管理機能が用意されています。Azure AD offers entitlement management features to automate access request workflows, including access assignments, reviews, and expiration. 2 段階または複数段階の承認もサポートされています。Dual or multi-stage approval is also supported.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

PA-6:特権アクセス ワークステーションを使用するPA-6: Use privileged access workstations

ガイダンス: Azure Information Protection は、PowerShell を使用して顧客のワークステーションから管理できます。Guidance: Azure Information Protection can be managed from a customer workstation through PowerShell.

保護された分離ワークステーションは、管理者、開発者、重要なサービスオペレーターなど、機密性の高い役割のセキュリティにとって非常に重要です。Secured, isolated workstations are critically important for the security of sensitive roles, such as administrators, developers, and critical service operators.

管理タスクに高度にセキュリティ保護されたユーザー ワークステーションや Azure Bastion を使用します。Use highly secured user workstations and/or Azure Bastion for administrative tasks. Azure Active Directory、Microsoft Defender Advanced Threat Protection (ATP)、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションを展開します。Use Azure Active Directory, Microsoft Defender Advanced Threat Protection (ATP), and/or Microsoft Intune to deploy a secure and managed user workstation for administrative tasks. セキュリティで保護されたワークステーションを一元管理して、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を実施できます。The secured workstations can be centrally managed to enforce secured configuration, including strong authentication, software and hardware baselines, and restricted logical and network access.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従うPA-7: Follow just enough administration (least privilege principle)

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、Azure の既定の id およびアクセス管理サービスです。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

Azure Information Protection には、Azure AD に管理者レベルのロールが含まれています。Azure Information Protection includes an administrator-level role in Azure AD. 管理者ロールに割り当てられたユーザーには、Azure Information Protection サービスでの完全なアクセス許可が付与されます。Users assigned to the Administrator role have full permissions in the Azure Information Protection service. 管理者ロールを使用して、Azure Information Protection ポリシーのラベルの構成、保護テンプレートの管理、保護のアクティブ化を行うことができます。Administrator role can be used to configure labels for the Azure Information Protection policy, managing protection templates, and activating protection. ただし、管理者ロールでは、Identity Protection Center、Privileged Identity Management、Monitor Microsoft 365 Service Health、または Office 365 セキュリティコンプライアンスセンターでのアクセス許可は付与されません & 。However, the Administrator role does not grant any permissions in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health, or Office 365 Security & Compliance Center.

この特権を持つユーザーは、Azure 環境内のすべてのリソースを直接または間接的に読み取り、変更することができるため、高い特権を持つアカウントまたはロールの数を制限し、これらのアカウントを管理者特権で保護することができます。Limit the number of highly privileged accounts or roles and protect these accounts at an elevated level, as users with this privilege can directly or indirectly read and modify every resource in your Azure environment. Privileged Identity Management (PIM) を使用して、Azure リソースへのジャストインタイム (JIT) 特権アクセスと Azure AD を有効にします。Enable just-in-time (JIT) privileged access to Azure resources and Azure AD using Privileged Identity Management (PIM). ジャストインタイムアクセスは、ユーザーが必要とする場合にのみ特権タスクを実行するための一時的なアクセス許可を付与します。Just-in-time access grants temporary permissions to perform privileged tasks only when users need it. PIM を使用すると、Azure AD 組織に不審なアクティビティや安全でないアクティビティがある場合に、セキュリティ アラートを生成することもできます。PIM can also generate security alerts when there is suspicious or unsafe activity in your Azure AD organization.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

PA-8: Microsoft サポートの承認プロセスを選択するPA-8: Choose approval process for Microsoft support

ガイダンス: Azure Information Protection は、Azure カスタマーロックボックスをサポートして、データアクセス要求を確認、承認、および拒否したり、要求を確認したりできるようにします。Guidance: Azure Information Protection supports Azure Customer Lockbox to provide customers with the ability to review, approve, and reject data access requests, as well as review requests being made.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

データ保護Data Protection

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。For more information, see the Azure Security Benchmark: Data Protection.

DP-1:機密データを検出、分類、ラベル付けするDP-1: Discovery, classify and label sensitive data

ガイダンス: Azure Information Protection では、機密情報の検出、分類、およびラベル付けを行うことができます。Guidance: Azure Information Protection provides the ability to discover, classify, and label sensitive information.

Azure Information Protection は、組織がラベルを適用してドキュメントや電子メールを分類および保護できるようにするクラウドベースのソリューションです。Azure Information Protection is a cloud-based solution that enables organizations to classify and protect documents and emails by applying labels. ラベルの適用は、ルールと条件を使用して管理者が自動で実行するか、ユーザーが手動で実行するか、その組み合わせ (ユーザーに提示するレコメンデーションを管理者が定義する) で行うことができます。Labels can be applied automatically by administrators using rules and conditions, manually by users, or by a combination where administrators define the recommendations shown to users.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

DP-2:機密データを保護するDP-2: Protect sensitive data

ガイダンス: Azure Information Protection は、機密情報にラベルを付け、暗号化によってそのデータを保護する機能を提供することによって、データ保護を提供します。Guidance: Azure Information Protection provides data protection by offering the ability to label sensitive information and provide protection on that data through encryption. 保護は、Azure Rights Management サービスによって提供されます。Protection is provided by the Azure Rights Management service.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

DP-3:機密データの不正転送を監視するDP-3: Monitor for unauthorized transfer of sensitive data

ガイダンス: Azure Information Protection を使用すると、追跡と取り消しの機能を使用して、機密データの不正な転送を監視することができます。Guidance: Azure Information Protection provides the ability to monitor for unauthorized transfer of sensitive data through the track and revoke capability. 追跡と取り消しを使用すると、ユーザーが送信したドキュメントをどのように使用しているかを追跡し、ユーザーがアクセスできなくなった場合にアクセスを取り消すことができます。Track and Revoke allows the customer to track how people are using documents they have sent and revoke access if people should no longer be able to read them.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

アセット管理Asset Management

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。For more information, see the Azure Security Benchmark: Asset Management.

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにするAM-1: Ensure security team has visibility into risks for assets

ガイダンス:セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Azure Security Center を使用してセキュリティ上のリスクを監視できるようにします。Guidance: Ensure security teams are granted Security Reader permissions in your Azure tenant and subscriptions so they can monitor for security risks using Azure Security Center.

セキュリティ チームの責任がどのように構造化されているかによって、セキュリティ リスクの監視は中央のセキュリティ チームまたはローカル チームの責任になります。Depending on how security team responsibilities are structured, monitoring for security risks could be the responsibility of a central security team or a local team. ただし、セキュリティ分析情報とリスクは、常に組織内で一元的に集計する必要があります。That said, security insights and risks must always be aggregated centrally within an organization.

セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。Security Reader permissions can be applied broadly to an entire tenant (Root Management Group) or scoped to management groups or specific subscriptions.

注:ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。Note: Additional permissions might be required to get visibility into workloads and services.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

AM-3:承認された Azure サービスのみを使用するAM-3: Use only approved Azure services

ガイダンス: Azure Information Protection は Azure Resource Manager デプロイをサポートしていないか、または "リソースの許可" や "リソースの拒否" などの組み込みの Azure Policy 定義を使用してデプロイを制限する機能をお客様に許可します。Guidance: Azure Information Protection does not support Azure Resource Manager Deployments or allow customers the ability to limit deployments through built-in Azure Policy definitions, such as 'Allow Resources' or 'Deny Resources'. ただし、お客様は、セキュリティとコンプライアンスセンターでポリシーのラベル付けによって、Azure Information Protection の使用を制限することができます。However, customers can limit usage of Azure Information Protection through labeling policies in the Security and Compliance Center.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

ログと脅威検出Logging and Threat Detection

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。For more information, see the Azure Security Benchmark: Logging and Threat Detection.

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にするLT-2: Enable threat detection for Azure identity and access management

ガイダンス: Azure Information Protection は Azure Active Directory (Azure AD) に統合されています。これは、Azure の既定の id およびアクセス管理サービスです。Guidance: Azure Information Protection is integrated with Azure Active Directory (Azure AD), which is Azure's default identity and access management service.

より高度な監視と分析のユースケースを実現するために、Azure AD 提供のユーザーログを Azure AD レポートなどのソリューションや、Azure Monitor、Azure Sentinel などの SIEM/監視ツールと共に表示します。View Azure AD-provided user logs with Azure AD reporting and other solutions such as Azure Monitor, Azure Sentinel, or other SIEM/monitoring tools for more sophisticated monitoring and analytics use cases.

これらは次のとおりです。They are:

  • サインインレポート-サインインレポートには、マネージアプリケーションとユーザーサインインアクティビティの使用状況に関する情報が表示されます。Sign-in report – The sign-in report provides information about the usage of managed applications and user sign-in activities.

  • 監査ログ - Azure AD 内のさまざまな機能によって行われたすべての変更についてログによる追跡可能性を提供します。Audit logs - Provides traceability through logs for all changes done by various features within Azure AD. 監査ログの例には、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Azure AD 内のリソースに対して行われた変更が含まれます。Examples of audit logs include changes made to any resources within Azure AD, such as adding or removing users, apps, groups, roles, and policies.

  • リスクの高いサインイン-リスクの高いサインインは、ユーザーアカウントの正当な所有者ではないユーザーによって実行された可能性があるサインイン試行の指標です。Risky sign-ins - A risky sign in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.

  • リスクのフラグ付きユーザー - リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

また Azure Security Center は、失敗した認証試行の数が多すぎるなど、特定の疑わしいアクティビティについてもアラートを表示し、サブスクリプションでは非推奨のアカウントを警告することもできます。Azure Security Center can also alert on certain suspicious activities, such as an excessive number of failed authentication attempts, and deprecated accounts in the subscription. 基本的なセキュリティの検疫の監視に加えて、Security Center の脅威保護モジュールは、個々の Azure コンピューティングリソース (仮想マシン、コンテナー、app service など)、データリソース (SQL DB やストレージなど)、Azure サービスレイヤーから、さらに詳細なセキュリティアラートを収集することもできます。In addition to the basic security hygiene monitoring, Security Center’s Threat Protection module can also collect more in-depth security alerts from individual Azure compute resources (such as virtual machines, containers, app service), data resources (such as SQL DB and storage), and Azure service layers. この機能を使用すると、個々のリソース内でアカウントの異常を確認できます。This capability allows you to see account anomalies inside the individual resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

LT-4:Azure リソースのログ記録を有効にするLT-4: Enable logging for Azure resources

ガイダンス: Azure Information Protection は、組織のドキュメントと電子メールのデータ保護と、各要求のログを提供します。Guidance: Azure Information Protection provides data protection for an organization's documents and emails, along with a log for each request. これらの要求には、ユーザーがドキュメントや電子メールを保護する場合、このコンテンツを使用する場合、このサービスの管理者によって実行される操作、および Azure Information Protection の展開をサポートするために Microsoft operators によって実行される操作が含まれます。These requests include when users protect documents and emails, when they consume this content, actions performed by administrators for this service, and actions performed by Microsoft operators to support your Azure Information Protection deployment.

Azure Information Protection によって生成されるログの種類は次のとおりです。Types of logs produced by Azure Information Protection include:

  • 管理者ログ-保護サービスの管理タスクをログに記録します。Admin Log - Logs administrative tasks for the protection service. たとえば、このサービスが非アクティブ化されていて、スーパー ユーザー機能が有効で、ユーザーがサービスに対する管理者権限を委任されている場合などです。For example, if the service is deactivated, when the super user feature is enabled, and when users are delegated admin permissions to the service.

  • ドキュメント追跡-ユーザーが Azure Information Protection クライアントで追跡したドキュメントを追跡したり取り消したりできるようにします。Document Tracking - Lets users track and revoke their documents that they have tracked with the Azure Information Protection client. ユーザーに代わって、グローバル管理者がこれらのドキュメントを追跡することもできます。Global administrators can also track these documents on behalf of users.

  • クライアントイベントログ-Azure Information Protection クライアントの使用状況アクティビティ。ローカルの Windows アプリケーションとサービスのイベントログに記録され、Azure Information Protection ます。Client Event Logs - Usage activity for the Azure Information Protection client, logged in the local Windows Applications and Services event log, Azure Information Protection.

  • クライアントログファイル-Azure Information Protection クライアントのトラブルシューティングログClient Log Files- Troubleshooting logs for the Azure Information Protection client

保護の使用状況ログを使用して、保護されたデータにアクセスしているユーザー、' その ' デバイス、および ' where ' を識別できます。The Protection usage logs can be used to identify 'who' is accessing your protected data, from 'which' devices, and from 'where'. ログでは、保護されたコンテンツを正常に読み取ることができるかどうか、および保護された重要なドキュメントを読んだ相手を特定することができます。Logs reveal whether people can successfully read protected content, as well as identify which people have read an important document that was protected.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

LT-5:セキュリティ ログの管理と分析を一元化するLT-5: Centralize security log management and analysis

ガイダンス: サポート担当者は、潜在的なインシデントを調査する際に、多様なデータソースを照会して使用することによって、イベント中に発生した問題の完全なビューを構築できることを確認します。Guidance: Ensure that support personnel can build a full view of what happened during an event, by querying and using diverse data sources, as they investigate potential incidents.

さまざまなログを収集し、それを Azure Sentinel などの中央の SIEM ソリューションに送信することで、ブラインドスポットを回避して、キルチェーン全体で潜在的な攻撃者のアクティビティを追跡します。Avoid blind spots by collecting diverse logs and sending them to a central SIEM solution, such as Azure Sentinel, to track the activities of a potential attacker across the kill chain. ログでは、保護されたコンテンツを正常に読み取ることができるかどうか、および保護されている重要なドキュメントを読んだ相手を特定できます。The logs can reveal whether people can successfully read protected content, as well as identify which people have read an important document that was protected. Insights と学習が他のアナリスト用にキャプチャされ、将来の履歴参照用にキャプチャされていることを確認します。Ensure that insights and learnings are captured for other analysts and for future historical reference.

Azure Sentinel により、事実上すべてのログソースに対して広範な Data Analytics と、インシデントのライフサイクル全体を管理するためのケース管理ポータルが提供されます。Azure Sentinel provides extensive data analytics across virtually any log source and a case management portal to manage the full lifecycle of incidents. 調査中のインテリジェンス情報を、追跡とレポートのためにインシデントに関連付けることができます。Intelligence information during an investigation can be associated with an incident for tracking and reporting purposes.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

LT-6:ログの保持期間を構成するLT-6: Configure log storage retention

ガイダンス: Azure Information Protection 組織のドキュメントと電子メールのデータ保護を提供し、すべての要求のログを記録します。Guidance: Azure Information Protection provides data protection for an organization's documents and emails, with a log for every request to it. これらの要求には、ユーザーがドキュメントや電子メールを保護する場合、このコンテンツを使用する場合、このサービスの管理者によって実行される操作、および Azure Information Protection の展開をサポートするために Microsoft operators によって実行される操作が含まれます。These requests include when users protect documents and emails, when they consume this content, actions performed by your administrators for this service, and actions performed by Microsoft operators to support your Azure Information Protection deployment.

Azure Information Protection ワークスペースに収集して格納されているデータの量とそのリテンション期間は、テナントごとに大きく異なります。これは、エンドポイント探索データを収集するかどうか、スキャナーを展開したかどうか、アクセスする保護されたドキュメントの数などの Azure Information Protection 要因によって異なります。The amount of data collected and stored in your Azure Information Protection workspace, and its retention, will vary significantly for each tenant, depending on factors such as how many Azure Information Protection clients and other supported endpoints you have, whether you're collecting endpoint discovery data, you've deployed scanners, the number of protected documents that are accessed, and so on.

Azure Monitor ログの使用量と推定コスト機能を使用して、格納されているデータの量を見積もり、確認したり、Log Analytics ワークスペースのデータ保有期間を制御したりすることができます。Use Azure Monitor Log's Usage and estimated costs feature to help estimate and review the amount of data stored and also control the data retention period for your Log Analytics workspace.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

インシデント対応Incident Response

詳細については、Azure セキュリティ ベンチマークの「インシデント対応」を参照してください。For more information, see the Azure Security Benchmark: Incident Response.

IR-1: 準備 – インシデント対応プロセスを Azure 用に更新するIR-1: Preparation – update incident response process for Azure

ガイダンス:組織において、セキュリティ インシデントに対応するためのプロセスが用意されていること、Azure のこれらのプロセスが更新されていること、それらのプロセスを定期的に使用して準備されていることを確認します。Guidance: Ensure your organization has processes to respond to security incidents, has updated these processes for Azure, and is regularly exercising them to ensure readiness.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

IR-2: 準備 – インシデント通知をセットアップするIR-2: Preparation – setup incident notification

ガイダンス:Azure Security Center でセキュリティ インシデントの連絡先情報を設定します。Guidance: Set up security incident contact information in Azure Security Center. この連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないユーザーによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。This contact information is used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party. また、インシデント対応のニーズに応じて、異なる Azure サービスでインシデント アラートと通知をカスタマイズするオプションもあります。You also have options to customize incident alert and notification in different Azure services based on your incident response needs.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

IR-3: 検出と分析 – 高品質のアラートに基づいてインシデントを作成するIR-3: Detection and analysis – create incidents based on high quality alerts

ガイダンス:高品質のアラートを作成し、アラートの品質を測定するプロセスがあることを確認します。Guidance: Ensure you have a process to create high-quality alerts and measure the quality of alerts. これにより、過去のインシデントから教訓を学び、アナリストに対するアラートに優先順位を付けることができるので、擬陽性に時間を無駄にすることがありません。This allows you to learn lessons from past incidents and prioritize alerts for analysts, so they don’t waste time on false positives.

高品質のアラートは、過去のインシデントからの経験、検証されたコミュニティ ソース、およびさまざまなシグナル ソースの融合と関連付けによってアラートを生成してクリーンアップするように設計されたツールに基づいて構築できます。High-quality alerts can be built based on experience from past incidents, validated community sources, and tools designed to generate and clean up alerts by fusing and correlating diverse signal sources.

Azure Security Center では、多数の Azure 資産について高品質のアラートが提供されます。Azure Security Center provides high-quality alerts across many Azure assets. ASC データ コネクタを使用してアラートを Azure Sentinel にストリーミングできます。You can use the ASC data connector to stream the alerts to Azure Sentinel. Azure Sentinel を使用すると、高度なアラート ルールを作成し、調査のためにインシデントを自動的に生成できます。Azure Sentinel lets you create advanced alert rules to generate incidents automatically for an investigation.

エクスポート機能を使用して Azure Security Center のアラートと推奨事項をエクスポートし、Azure リソースへのリスクを特定します。Export your Azure Security Center alerts and recommendations using the export feature to help identify risks to Azure resources. アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートします。Export alerts and recommendations either manually or in an ongoing, continuous fashion.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

IR-4: 検出と分析 – インシデントを調査するIR-4: Detection and analysis – investigate an incident

ガイダンス: アナリストが、潜在的なインシデントを調査する際に、さまざまなデータソースを照会して使用することで、何が起こったかを完全に把握できるようにします。Guidance: Ensure that analysts can build a full view of what happened by querying and using diverse data sources as they investigate potential incidents. さまざまなログを収集して、キルチェーン全体で潜在的な攻撃者のアクティビティを追跡することで、ブラインドスポットを回避します。Avoid blind spots by collecting diverse logs to track the activities of a potential attacker across the kill chain. さらに、insights と学習が他のアナリストや今後の履歴参照用にキャプチャされていることを確認します。Additionally, ensure that insights and learnings are captured for other analysts and for future historical reference.

調査のためのデータ ソースには、スコープ内のサービスおよび実行中のシステムから既に収集されている一元化されたログ ソースが含まれますが、次のものも含まれます。The data sources for investigation include the centralized logging sources that are already being collected from the in-scope services and running systems, but can also include:

  • ネットワーク データ - ネットワーク セキュリティ グループのフロー ログ、Azure Network Watcher、Azure Monitor を使用して、ネットワーク フロー ログやその他の分析情報をキャプチャします。Network data – use network security groups' flow logs, Azure Network Watcher, and Azure Monitor to capture network flow logs and other analytics information.

  • 実行中のシステムのスナップショット:Snapshots of running systems:

    • Azure 仮想マシンのスナップショット機能を使用して、実行中のシステムのディスクのスナップショットを作成します。Use Azure virtual machine's snapshot capability to create a snapshot of the running system's disk.

    • オペレーティングシステムの組み込みメモリダンプ機能を使用して、実行中のシステムのメモリのスナップショットを作成します。Use the operating system's built-in memory dump capability to create a snapshot of the running system's memory.

    • Azure サービスのスナップショット機能またはソフトウェア独自の機能を使用して、実行中のシステムのスナップショットを作成します。Use the snapshot feature of the Azure services or your software's own capability to create snapshots of the running systems.

Azure Sentinel により、事実上すべてのログソースに対して広範な Data Analytics と、インシデントのライフサイクル全体を管理するためのケース管理ポータルが提供されます。Azure Sentinel provides extensive data analytics across virtually any log source and a case management portal to manage the full lifecycle of incidents. 調査中のインテリジェンス情報を、追跡とレポートのためにインシデントに関連付けることができます。Intelligence information during an investigation can be associated with an incident for tracking and reporting purposes.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

IR-5: 検出と分析 – インシデントの優先順位を付けるIR-5: Detection and analysis – prioritize incidents

ガイダンス:アラートの重要度と資産の機密性に基づいて、最初に注目するインシデントについてのコンテキストをアナリストに提供します。Guidance: Provide context to analysts on which incidents to focus on first based on alert severity and asset sensitivity.

Azure Security Center によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。Azure Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. 重要度は、アラートの発行に使用された Security Center の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert, as well as the confidence level that there was malicious intent behind the activity that led to the alert.

さらに、タグを使用してリソースをマークし、Azure リソース (特に、機密データを処理するもの) を識別して分類するための命名システムを作成します。Additionally, mark resources using tags and create a naming system to identify and categorize Azure resources, especially those processing sensitive data. インシデントが発生した Azure リソースと環境の重要度に基づいて、アラートの修復に優先順位を付けることは、お客様の責任です。It is your responsibility to prioritize the remediation of alerts based on the criticality of the Azure resources and environment where the incident occurred.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

IR-6: 包含、根絶、復旧 – インシデントの処理を自動化するIR-6: Containment, eradication and recovery – automate the incident handling

ガイダンス:手動による反復タスクを自動化して、応答時間を短縮し、アナリストの負担を軽減します。Guidance: Automate manual repetitive tasks to speed up response time and reduce the burden on analysts. 手動タスクの実行には時間がかかり、各インシデントの速度が低下し、アナリストが処理できるインシデントの数が減少します。Manual tasks take longer to execute, slowing each incident and reducing how many incidents an analyst can handle. 手動タスクではアナリストの疲労も増加します。これにより、遅延が発生する人的エラーのリスクが増加し、複雑なタスクに効果的に焦点を当てるアナリストの能力が低下します。Manual tasks also increase analyst fatigue, which increases the risk of human error that causes delays, and degrades the ability of analysts to focus effectively on complex tasks. Azure Security Center と Azure Sentinel のワークフロー自動化機能を使用して、自動的にアクションをトリガーしたり、プレイブックを実行して受信したセキュリティ アラートに応答したりします。Use workflow automation features in Azure Security Center and Azure Sentinel to automatically trigger actions or run a playbook to respond to incoming security alerts. プレイブックにより、通知の送信、アカウントの無効化、問題のあるネットワークの特定などのアクションが実行されます。The playbook takes actions, such as sending notifications, disabling accounts, and isolating problematic networks.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

体制と脆弱性の管理Posture and Vulnerability Management

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。For more information, see the Azure Security Benchmark: Posture and Vulnerability Management.

PV-1: Azure サービスのセキュリティで保護された構成を確立するPV-1: Establish secure configurations for Azure services

ガイダンス: Azure Information Protection は、セキュリティとコンプライアンスセンターまたは PowerShell を使用して構成できます。Guidance: Azure Information Protection can be configured through the Security and Compliance Center or through PowerShell.

セキュリティとコンプライアンスセンターでは、管理者は、機密ラベルを作成し、各ラベルが実行できる内容を定義し、ラベルを発行できます。Within the Security and Compliance Center, an admin can create sensitivity labels, define what each label can do, and publish the labels.

ラベルを作成します。さまざまな機密レベルのコンテンツに対する組織の分類の分類に従って、機密ラベルを作成して名前を付けます。Create the labels: Create and name your sensitivity labels according to your organization's classification taxonomy for different sensitivity levels of content. ユーザーにとって意味のある共通名または用語を使用してください。Use common names or terms that make sense to your users. まだ設定されていない分類がある場合は、個人用、パブリック、一般、社外秘、非常に機密性の高い社外秘などのラベル名から始めることを検討してください。If you don't already have an established taxonomy, consider starting with label names such as Personal, Public, General, Confidential, and Highly Confidential. その後、サブラベルを使用して、類似したラベルをカテゴリ別にグループ化することができます。You can then use sublabels to group similar labels by category. ラベルを作成するときに、ユーザーが適切なラベルを選択できるように、ツールヒントのテキストを使用します。When you create a label, use the tooltip text to help users select the appropriate label.

各ラベルに対して実行できる操作を定義します。各ラベルに関連付けられている保護設定を構成します。Define what each label can do: Configure the protection settings you want associated with each label. たとえば、低い感度のコンテンツ ("全般" ラベルなど) にヘッダーまたはフッターのみを適用し、より高い感度のコンテンツ ("社外秘" ラベルなど) には透かしと暗号化を設定することができます。For example, you might want lower sensitivity content (such as a "General" label) to have just a header or footer applied, while higher sensitivity content (such as a "Confidential" label) should have a watermark and encryption.

ラベルを発行する: 機密ラベルが構成されたら、ラベルポリシーを使用して公開します。Publish the labels: After your sensitivity labels are configured, publish them by using a label policy. ラベルを持つユーザーとグループ、および使用するポリシー設定を決定します。Decide which users and groups should have the labels and what policy settings to use. 1つのラベルを再利用できます。一度定義すると、別のユーザーに割り当てられた複数のラベルポリシーに含めることができます。A single label is reusable—you define it once, and then you can include it in several label policies assigned to different users. たとえば、少数のユーザーにラベルポリシーを割り当てることによって、機密ラベルをパイロットにすることができます。So for example, you could pilot your sensitivity labels by assigning a label policy to just a few users. 組織全体でラベルを展開する準備ができたら、ラベルの新しいラベルポリシーを作成し、今度は [すべてのユーザー] を指定します。Then when you're ready to roll out the labels across your organization, you can create a new label policy for your labels and this time, specify all users.

PowerShell を使用するには、AIPService PowerShell モジュールをインストールします。In order to use PowerShell, install the AIPService PowerShell Module. PowerShell では、管理者は次のタスクを他のタスクと共に実行できます。Within PowerShell, an admin can perform these tasks along with others:

  • オンプレミスの Rights Management (AD RMS または Windows RMS) から Azure Information Protection への移行Migrate from on-premise Rights Management (AD RMS or Windows RMS) to Azure Information Protection
  • 独自のテナントキーを生成して管理する-独自のキーを持ち込む (BYOK) シナリオGenerate and Manage your own tenant key- the bring your own key (BYOK) scenario
  • 組織の Rights Management サービスをアクティブ化または非アクティブ化するActivate or deactivate the Rights Management service for your organization
  • Azure Rights Management サービスの段階的なデプロイのオンボードコントロールを構成するConfigure onboarding controls for a phased deployment of the Azure Rights Management service
  • 組織の Rights Management テンプレートを作成および管理するCreate and manage Rights Management templates for your organization
  • 組織の Rights Management サービスを管理する権限を持つユーザーとグループを管理するManage users and groups who are authorized to administer Rights Management service for your organization
  • Rights Management の使用状況をログに記録して分析するLog and analyze usage for Rights Management

詳細については、次のリファレンスを参照してください。For more information, see the following references:

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

PV-8: 定期的に攻撃シミュレーションを実施するPV-8: Conduct regular attack simulation

ガイダンス:必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。Guidance: As required, conduct penetration testing or red team activities on your Azure resources and ensure remediation of all critical security findings. お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。Follow the Microsoft Cloud Penetration Testing Rules of Engagement to ensure your penetration tests are not in violation of Microsoft policies. Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。Use Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

バックアップと回復Backup and Recovery

詳細については、Azure セキュリティ ベンチマークの「バックアップと回復」を参照してください。For more information, see the Azure Security Benchmark: Backup and Recovery.

BR-4:キー紛失のリスクを軽減するBR-4: Mitigate risk of lost keys

ガイダンス: Azure Information Protection を使用すると、ユーザーは Bring Your Own Key (byok) を使用して独自のキーを使用してテナントを構成することができます。Guidance: Azure Information Protection provides customers with the ability to configure their tenant with their own key through Bring Your Own Key (BYOK). ユーザーが生成したキーは、保護のために Azure Key Vault に保存する必要があります。Customer-generated keys must be stored in Azure Key Vault for protection. Azure Key Vault を使用すると、論理的な削除、役割の分離、および分離されたセキュリティドメインによってキーが失われるのを防ぐことができます。Azure Key Vault helps prevent the loss of keys through soft delete, role separation, and separated security domains.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

ガバナンスと戦略Governance and Strategy

詳細については、Azure セキュリティ ベンチマークの「ガバナンスと戦略」を参照してください。For more information, see the Azure Security Benchmark: Governance and Strategy.

GS-1: 資産の管理とデータ保護の戦略を定義するGS-1: Define asset management and data protection strategy

ガイダンス:システムとデータを継続的に監視および保護するための明確な戦略が文書化および伝達されるようにします。Guidance: Ensure you document and communicate a clear strategy for continuous monitoring and protection of systems and data. ビジネスに不可欠なデータとシステムの検出、評価、保護、監視の優先順位を決定します。Prioritize discovery, assessment, protection, and monitoring of business-critical data and systems.

この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。This strategy should include documented guidance, policy, and standards for the following elements:

  • ビジネス リスクに応じたデータ分類標準Data classification standard in accordance with the business risks

  • リスクと資産のインベントリに対するセキュリティ組織の可視性Security organization visibility into risks and asset inventory

  • Azure サービスを使用するためのセキュリティ組織の承認Security organization approval of Azure services for use

  • ライフサイクルを通じた資産のセキュリティSecurity of assets through their lifecycle

  • 組織のデータ分類に従った必要なアクセス制御戦略Required access control strategy in accordance with organizational data classification

  • Azure 組み込みおよびサードパーティのデータ保護機能の使用Use of Azure built-in and third-party data protection capabilities

  • 転送中および保存中のユース ケースのデータ暗号化要件Data encryption requirements for in-transit and at-rest use cases

  • 適切な暗号化標準Appropriate cryptographic standards

詳細については、次のリファレンスを参照してください。For more information, see the following references:

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

GS-2: 企業のセグメント化戦略を定義するGS-2: Define enterprise segmentation strategy

ガイダンス:ID、ネットワーク、アプリケーション、サブスクリプション、管理グループ、その他のコントロールを利用し、アセットへのアクセスをセグメント化する企業規模の戦略を確立します。Guidance: Establish an enterprise-wide strategy to segmenting access to assets using a combination of identity, network, application, subscription, management group, and other controls.

セキュリティ分離の必要性と、互いと通信し、データにアクセスする必要があるシステムの日常的操作を有効にするという必要性のバランスを慎重に取ります。Carefully balance the need for security separation with the need to enable daily operation of the systems that need to communicate with each other and access data.

セグメント化戦略は、ネットワーク セキュリティ、ID とアクセス モデル、アプリケーション アクセス許可とアクセス モデル、人的プロセスの制御など、あらゆるコントロールの種類を対象として確実に一貫性をもって実装します。Ensure that the segmentation strategy is implemented consistently across control types including network security, identity and access models, and application permission/access models, and human process controls.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

GS-3: セキュリティ態勢管理の戦略を定義するGS-3: Define security posture management strategy

ガイダンス:個々の資産とそれらがホストされている環境に対するリスクを継続的に測定し、軽減します。Guidance: Continuously measure and mitigate risks to your individual assets and the environment they are hosted in. 高い価値を持つ資産と、攻撃に晒される可能性の高い部分 (公開されたアプリケーション、ネットワークのイングレス ポイントとエグレス ポイント、ユーザーと管理者のエンドポイントなど) を優先します。Prioritize high value assets and highly-exposed attack surfaces, such as published applications, network ingress and egress points, user and administrator endpoints, etc.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

GS-4: 組織の役割、責任、責務を整合させるGS-4: Align organization roles, responsibilities, and accountabilities

ガイダンス:セキュリティ組織における役割と責任に関する明確な戦略が文書化されて伝えられるようにします。Guidance: Ensure you document and communicate a clear strategy for roles and responsibilities in your security organization. セキュリティに関する決定についてわかりやすく説明すること、共有される責任モデルについて全員に教育すること、クラウドをセキュリティで保護するテクノロジについて技術チームに教育することを優先とします。Prioritize providing clear accountability for security decisions, educating everyone on the shared responsibility model, and educate technical teams on technology to secure the cloud.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

GS-5: ネットワーク セキュリティ戦略を定義するGS-5: Define network security strategy

ガイダンス:組織全体のセキュリティ アクセス制御戦略の一環として、Azure ネットワーク セキュリティ アプローチを確立します。Guidance: Establish an Azure network security approach as part of your organization’s overall security access control strategy.

この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。This strategy should include documented guidance, policy, and standards for the following elements:

  • 一元的なネットワーク管理とセキュリティ責任Centralized network management and security responsibility

  • エンタープライズ セグメント化戦略と一致する仮想ネットワーク セグメント化モデルVirtual network segmentation model aligned with the enterprise segmentation strategy

  • さまざまな脅威と攻撃のシナリオにおける修復戦略Remediation strategy in different threat and attack scenarios

  • インターネット エッジとイングレスおよびエグレス戦略Internet edge and ingress and egress strategy

  • クラウドとオンプレミスのハイブリッド相互依存戦略Hybrid cloud and on-premises interconnectivity strategy

  • 最新のネットワーク セキュリティ成果物 (例: ネットワーク図、参照ネットワーク アーキテクチャ)Up-to-date network security artifacts (e.g. network diagrams, reference network architecture)

詳細については、次のリファレンスを参照してください。For more information, see the following references:

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

GS-6: ID と特権アクセス戦略を定義するGS-6: Define identity and privileged access strategy

ガイダンス:組織全体のセキュリティ アクセス制御戦略の一環として、Azure の ID と特権アクセス アプローチを確立します。Guidance: Establish an Azure identity and privileged access approaches as part of your organization’s overall security access control strategy.

この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。This strategy should include documented guidance, policy, and standards for the following elements:

  • 一元化された ID と認証システム、および他の内部および外部 ID システムとのその相互接続A centralized identity and authentication system and its interconnectivity with other internal and external identity systems

  • さまざまなユース ケースおよび条件における強力な認証方法Strong authentication methods in different use cases and conditions

  • 高い特権を持つユーザーの保護Protection of highly privileged users

  • 異常なユーザー アクティビティの監視と処理Anomaly user activities monitoring and handling

  • ユーザー ID とアクセスの確認と調整のプロセスUser identity and access review and reconciliation process

詳細については、次のリファレンスを参照してください。For more information, see the following references:

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

GS-7: ログ記録と脅威対応戦略を定義するGS-7: Define logging and threat response strategy

ガイダンス:コンプライアンス要件を満たしながら脅威を迅速に検出して修復するための、ログ記録と脅威対応戦略を確立します。Guidance: Establish a logging and threat response strategy to rapidly detect and remediate threats while meeting compliance requirements. アナリストが、統合や手動による手順ではなく、脅威の対応に集中できるように、質の高いアラートとシームレスなエクスペリエンスを提供することを優先してください。Prioritize providing analysts with high-quality alerts and seamless experiences so that they can focus on threats rather than integration and manual steps.

この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。This strategy should include documented guidance, policy, and standards for the following elements:

  • セキュリティ運用 (SecOps) 組織の役割と責任The security operations (SecOps) organization’s role and responsibilities

  • NIST または他の業界フレームワークと一致する、明確に定義されたインシデント対応プロセスA well-defined incident response process aligning with NIST or another industry framework

  • 脅威の検出、インシデント対応、コンプライアンスのニーズに対応するためのログのキャプチャと保持Log capture and retention to support threat detection, incident response, and compliance needs

  • 脅威、SIEM、組み込みの Azure 機能、およびその他のソースを使用した、脅威に関する情報の一元的な可視化Centralized visibility of and correlation information about threats, using SIEM, built-in Azure capabilities, and other sources

  • 顧客、サプライヤー、および関心を持つパブリック パーティに関するコミュニケーションと通知の計画Communication and notification plan with your customers, suppliers, and public parties of interest

  • ログ記録と脅威の検出、フォレンジック、攻撃の修復などのインシデント処理に Azure 組み込みおよびサードパーティのプラットフォームを使用Use of Azure built-in and third-party platforms for incident handling, such as logging and threat detection, forensics, and attack remediation and eradication

  • インシデントとインシデント発生後のアクティビティを処理するためのプロセス (教訓や証拠の保持など)Processes for handling incidents and post-incident activities, such as lessons learned and evidence retention

詳細については、次のリファレンスを参照してください。For more information, see the following references:

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

次のステップNext steps