機密性を保護する設計
 アクセス制限と難読化手法を使用して、プライバシー、規制、アプリケーション、専有情報の露出を防止します。 |
|---|
ワークロード データは、ユーザー、使用状況、構成、コンプライアンス、知的財産権などによって分類できます。 確立された信頼の境界を超えて、ワークロード データ共有やアクセスを行ってはなりません。 機密性を保護するための取り組みでは、アクセス制御、不透明度、およびデータとシステムに関連するアクティビティの監査証跡の維持に重点を置く必要があります。
サンプル シナリオ
Contoso Rise Up は、非営利団体の資金調達と寄付活動の支援に特化したマルチテナントの SaaS (サービスとしてのソフトウェア) オファリングを提供しています。 同社は数年前に市場に参入し、健全な顧客基盤を築いてきました。 このソリューションは、Azure Red Hat OpenShift (ARO) と Azure Database for PostgreSQL 上に構築されています。 分離されたテナントと併置されたテナントの両方が、より手頃な価格のオファリングとして提供されます。
アクセスを厳密に制限する
知る必要性に基づいてのみアクセスを許可する強力なアクセス制御を実装します。
ワークロードは、未承認のアクセスと禁止されたアクティビティから保護されます。 信頼された ID からのアクセスでも、通信パスが開くのは限られた期間だけであるため、アクセス許可と露出時間が最小限に抑えられます。
Contoso の課題
- Contoso Rise Up は、優れたカスタマーサポートを常に誇りとしてきました。 サポート チーム全員が顧客データにすぐにアクセスでき、トラブルシューティングとアドバイスをリアルタイムで行うことができます。
- サポート チームは、倫理的アクセスに関するトレーニングを定期的に受けています。
- 残念なことに、不満を持つ 1 人のサポート従業員が組織の寄付者リストをコピーして公開し、顧客の機密性を侵害しました。 その従業員は解雇されましたが、Contoso Rise Up に対する評判は既に悪化していました。
アプローチの適用と結果
- Contoso Rise Up は、ユーザーを Microsoft Entra ID グループに厳密にセグメント化し、そのグループに対して、さまざまなリソース グループとリソースに対する RBAC を定義しました。
- データへのアクセスはすべて時間に制限があり、承認と監査プロセスを経ます。
- これらの標準は、ワークロードとカスタマーサポート チーム全体に適用されています。 Contoso Rise Up は現在、顧客データへの永続的なアクセスはないと確信しています。
分類を使用して機密データを識別する
データを種類、秘密度、潜在的なリスクに基づいて分類します。 それぞれに秘密度のレベルを割り当てます。 識別されたレベルのスコープ内にあるシステム コンポーネントを含めます。
この評価により、適切な規模のセキュリティ対策を設定することができます。 また、影響を受けたりリスクにさらされたりする可能性高いデータやコンポーネントを特定することもできます。 この演習は情報保護戦略を明確にするほか、合意を確保するのに役立ちます。
Contoso の課題
- 寄付者管理システムには、Contoso Rise Up の機密情報 (顧客リストなど) から、顧客の機密情報 (寄付者リストなど)、顧客の寄付者の機密情報 (メーリング アドレスなど) まで、さまざまな種類のデータが保存されます。
- また、ストック イメージやドキュメント テンプレートなどの機密データ以外も保持されています。
- ワークロード チームは、データ分類の時間をとったことがなく、ただデータセット全体に対して広くセキュリティを適用しています。
アプローチの適用と結果
- ワークロード チームは、Contoso 組織の分類リーダーに後に、データストア、列、ストレージ アカウント、およびその他のストレージ リソースに、どのようなデータの種類と機密性が存在するかを示すメタデータのフラグを設定する時間をとります。
- このアクティビティにより、チームは、ログ ステートメントやバックアップなど、システム全体で、機密データが必要なレベルで扱われることを検証する機会を得られます。
- チームは、比較的機密性の高いデータが、セキュリティ レベルの低いデータベースに存在し、機密データ以外が、セキュリティ レベルの高いデータベースに存在することに気付きます。 保護対象のデータとセキュリティ コントロールが一致するように、ストレージの場所を調整します。
- また、承認されたスタッフがシステムにアクセスするときにも、データの機密性がより適切に保護されるように、キー フィールドにはデータ マスキングを実装する予定です。
データ ライフサイクルのすべてのステップで暗号化を適用する
暗号化を使用して、保存データ、転送中および処理中のデータを保護します。 割り当てられた機密性レベルに基づいて戦略を立てます。
このアプローチに従うことで、攻撃者がアクセスを取得しても、機密データは暗号化されているため正しく読み取ることができません。
機密データには、システム内にさらにアクセスするために使用される構成情報などがあります。 データ暗号化は、リスクを封じ込めるのに役立ちます。
Contoso の課題
- Contoso Rise Up は、PostgreSQL データベースのテナントごとのバックアップを、組み込みのポイントインタイム リストアを使用して取得しています。 さらに、安心感をより高めるために、完全なディザスター リカバリー (DR) の準備として、トランザクションに一貫性があるバックアップを 1 日に 1 つ分離ストレージ アカウントに作成します。
- DR に使用されるストレージ アカウントは Just-In-Time アクセスによって制限されており、そこへのアクセスが許可されている Microsoft Entra ID アカウントはほとんどありません。
- 復旧訓練中、バックアップにアクセスするプロセスを実行した従業員が、Contoso 組織内のネットワーク共有に誤ってバックアップをコピーしました。
- このバックアップは数か月後に検出され、Contoso のプライバシー チームに報告されました。そして、そのインシデントが発生してから検出されるまでの間に、どのようにアクセスされたかに関する調査が開始されました。 幸いなことに、機密性の侵害は検出されず、ファイルは、フォレンジクスと監査レビューが完了した後に削除されました。
アプローチの適用と結果
- チームは、すべてのバックアップを保存時に暗号化し、暗号化キーを Key Vault で保護する必要があるという新しいプロセスを正式なものしました。
- バックアップ ファイルに含まれるデータは復号化できなければ役に立たないため、このようなインシデントがプライバシー侵害につながる可能性は低くなります。
- さらに DR プランには現在、バックアップを安全に復号化する方法とタイミングなど、バックアップの適切な処理を指示する標準的なガイダンスが含まれています。