規制コンプライアンスを向上させる

Microsoft Defender for Cloud は、コンプライアンス コントロールに対してリソースを継続的に評価し、特定のコンプライアンス認定の達成を妨げている問題を特定することで、規制コンプライアンスの要件を満たすのに役立ちます。

[規制コンプライアンス] ダッシュボードでは、コンプライアンス標準を管理および操作します。 割り当てられているコンプライアンス標準の確認、Azure、AWS、GCP に対する標準の有効化と無効化、標準に対する評価の状態の確認などを行うことができます。

Purview と統合する

Defender for Cloud のコンプライアンス データが Microsoft Purview コンプライアンス マネージャーとシームレスに統合されるようになりました。これにより、組織のデジタル資産全体のコンプライアンスを一元的に評価および管理できます。

コンプライアンス ダッシュボードに標準を追加すると (AWS や GCP などの他のクラウドを監視するコンプライアンス標準を含む)、リソース レベルのコンプライアンス データは、同じ標準のコンプライアンス マネージャーに自動的に表示されます。

そのため、コンプライアンス マネージャーは、クラウド インフラストラクチャと、この中央ツール内の他のすべてのデジタル資産全体に関する改善アクションと状態を提供します。 詳細については、Microsoft Purview コンプライアンス マネージャーでのマルチクラウド サポートに関する記事を参照してください。

開始する前に

• 既定では、Azure サブスクリプション、AWS アカウント、GCP プランで Defender for Cloud を有効にすると、MCSB プランが有効になります。
• Defender for Cloud で少なくとも 1 つの有料プランが有効になっている場合は、既定以外のコンプライアンス標準を追加できます。
• ポリシーのコンプライアンス データへの閲覧者アクセス権が付与されたアカウントを使用してサインインする必要があります。 サブスクリプションの閲覧者はポリシー コンプライアンス データにアクセスできますが、セキュリティ閲覧者ロールはアクセスできません。 少なくとも、リソース ポリシーの共同作成者およびセキュリティ管理者のロールが割り当てられている必要があります。

規制コンプライアンスを評価する

[規制コンプライアンス] ダッシュボードには、有効になっているコンプライアンス標準が表示されます。 各標準内のコントロールと、それらのコントロールのセキュリティ評価が表示されます。 これらの評価の状態には、標準へのコンプライアンスが反映されます。

このダッシュボードは、標準のギャップに注目し、時間の経過と共にコンプライアンスを監視するのに役立ちます。

1. Defender for Cloud ポータルで、[規制コンプライアンス] ページを開きます。

   

2. 画像内の番号が付いた項目に従ってダッシュボードを使用します。

   • (1). コンプライアンス標準を選択して、その標準に対するすべてのコントロールの一覧を確認します。
   • (2). コンプライアンス標準が適用されているサブスクリプションを表示します。
   • (3). コントロールを選択して展開し、それに関連付けられている評価を表示します。 評価を選択して、関連するリソースと考えられる修復アクションを表示します。
   • (4). [コントロールの詳細] を選択して、[概要]、[アクション]、[Microsoft アクション] の各タブを表示します。
   • (5) を選択します。 [アクション] では、コントロールに関連付けられている自動および手動の評価を確認できます。
   • (6). 自動評価では、失敗したリソースの数とリソースの種類が表示され、修復情報に直接リンクされます。
   • (7). 手動評価は手動で証明でき、証拠をリンクしてコンプライアンスを示すことができます。

問題を調査する

ダッシュボードの情報を使用して、標準への準拠に影響する可能性のある問題を調査できます。

1. Defender for Cloud ポータルで、[規制コンプライアンス] を開きます。

2. 規制コンプライアンス標準を選択し、コンプライアンス コントロールを選択して展開します。

3. [コントロールの詳細] を選択します。

   

   • [概要] を選択すると、選択したコントロールに関する特定の情報が表示されます。
   • [アクション] を選択すると、コンプライアンス体制を改善するために実行する必要がある自動および手動のアクションの詳細ビューが表示されます。
   • [Microsoft アクション] を選択すると、選択した標準に対する準拠を確保するために Microsoft が実行したすべてのアクションが表示されます。

4. [アクション] では、下向き矢印を選択することで、そのリソースの情報をさらに詳しく表示して、その推奨事項を解決できます。

   

   推奨事項を適用する方法の詳細については、Microsoft Defender For Cloud のセキュリティに関する推奨事項の実装に関する記事を参照してください。

   Note

   "評価は約 12 時間おきに実行されるため、次の関連する評価の実行の後にならないと、コンプライアンス データへの影響を確認できません。"

自動評価を修復する

規制コンプライアンスには、修復が必要になる可能性がある自動評価と手動評価の両方があります。 規制コンプライアンス ダッシュボードの情報を使用して、ダッシュボード内で直接推奨事項を解決することによって、お客様のコンプライアンス体制を強化します。

1. Defender for Cloud ポータルで、[規制コンプライアンス] を開きます。

2. 規制コンプライアンス標準を選択し、コンプライアンス コントロールを選択して展開します。

3. ダッシュボードに表示されている評価のうち、不合格になっているものをどれか選択して、その推奨事項の詳細を表示します。 それぞれの推奨事項には、問題を解決するための一連の修復手順が含まれています。

4. 特定のリソースを選択すると、そのリソースの情報がさらに詳しく表示され、推奨事項を解決することができます。
   たとえば、Azure CIS 1.1.0 標準では、仮想マシンでディスク暗号化を適用する必要があるという推奨事項を選択できます。

   

5. この例では、推奨事項の詳細ページから [アクションの実行] を選択すると、Azure portal の Azure Virtual Machine ページが表示されます。ここで、 [セキュリティ] タブから暗号化を有効にすることができます。

   

   推奨事項を適用する方法の詳細については、Microsoft Defender For Cloud のセキュリティに関する推奨事項の実装に関する記事を参照してください。

6. 推奨事項を解決するためのアクションを実行すると、お客様のコンプライアンス スコアが向上するので、コンプライアンス ダッシュボード レポートに結果が現れます。

評価は約 12 時間おきに実行されます。そのため、お客様のコンプライアンス データに影響が現れるのは、関連する評価を次に実行した後に限られます。

手動評価を修復する

規制コンプライアンスには、修復が必要になる可能性がある自動評価と手動評価があります。 手動評価は、修復するためにお客様からの入力を必要とする評価です。

1. Defender for Cloud ポータルで、[規制コンプライアンス] を開きます。

2. 規制コンプライアンス標準を選択し、コンプライアンス コントロールを選択して展開します。

3. [手動の構成証明と証拠] セクションで、評価を選択します。

4. 関連するサブスクリプションを選択します。

5. [Attest](構成証明) を選択します。

6. 関連情報を入力し、コンプライアンスの証拠を添付します。

7. [保存] を選択します。

コンプライアンス状態レポートと証明書の生成

1. 特定の標準について、現在のコンプライアンスの状態をまとめた PDF レポートを生成するには、 [レポートのダウンロード] を選択します。

   このレポートでは、Defender for Cloud の評価データに基づいて、選択した標準のコンプライアンス状態の概要が提供されます。 レポートは、その特定の標準の制御に従って編成されています。 レポートは直接の利害関係者と共有することができ、内部および外部の監査員に対する証拠を提供するために利用できます。

   

2. お使いのサブスクリプションに適用されている標準の Azure および Dynamics の証明書レポートをダウンロードするには、 [監査レポート] オプションを使用します。

   

3. 関連するレポートの種類 (PCI、SOC、ISO など) のタブを選択し、フィルターを使用して、必要な特定のレポートを見つけます。

   

   たとえば、[PCI] タブでは、Microsoft Azure、Dynamics 365、およびその他のオンライン サービスが ISO22301 フレームワークに準拠していることを示すデジタル署名された証明書と、その証明書を解釈して提示するために必要な付帯品を含む ZIP ファイルをダウンロードできます。

これらの認定レポートのいずれかをダウンロードすると、次のプライバシーに関する声明が表示されます。

このファイルをダウンロードすると、ダウンロード時に現在のユーザーと選んだサブスクリプションを Microsoft が保存することに同意することになります。 このデータは、ダウンロードした監査レポートに変更や更新があった場合にお客様に通知するために使われます。 このデータは、認定資格またはレポートを作成する Microsoft と監査法人によって、通知が必要な場合にのみ使われます。

コンプライアンスの状態を継続的にエクスポートする

環境内で他の監視ツールを使用してコンプライアンス状態を追跡する場合、Defender for Cloud には、これを容易にするためのエクスポート メカニズムが用意されています。 連続エクスポートを構成して、選択したデータを Azure Event Hubs または Log Analytics ワークスペースに送信できます。 詳細については、Defender for Cloud データの継続的なエクスポートに関する記事を参照してください。

次のように連続エクスポートを使用して、データを Azure Event Hubs または Log Analytics ワークスペースにエクスポートします。

1. 連続したストリームとして、規制コンプライアンス データをエクスポートします。

   

2. 規制コンプライアンス データの週単位のスナップショットをエクスポートします。

   

ヒント

また、規制コンプライアンス ダッシュボードから直接、1 つの時点に関するレポートを手動でエクスポートすることもできます。 [レポートのダウンロード] または [監査レポート] ツールバー オプションを使用して、これらの PDF/CSV レポートまたは Azure および Dynamics の証明書レポートを生成します。

評価の変更時にワークフローをトリガーする

Defender for Cloud のワークフロー自動化機能を使用すると、規制コンプライアンス評価のいずれかの状態が変更されるたびに Logic Apps をトリガーできます。

たとえば、コンプライアンス評価が失敗したときに、Defender for Cloud から特定のユーザーにメールが送信されるようにすることができます。 まず、ロジック アプリを作成し (Azure Logic Apps を使用)、次に、Defender for Cloud のトリガーへの応答の自動化に関する記事で説明するように、新しいワークフロー自動化でトリガーを設定する必要があります。

次のステップ

詳細については、次の関連ページを参照してください。

• 「規制コンプライアンス ダッシュボードでの標準セットのカスタイマイズ」 - 規制コンプライアンス ダッシュボードに表示される標準を選択する方法について説明します。
• Defender for Cloud でのセキュリティに関する推奨事項の管理 - Defender for Cloud の推奨事項を使用してマルチクラウド リソースを保護する方法について説明します。
• 規制コンプライアンスに関する一般的な質問をご確認ください。