Azure Advisor 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Azure Advisor に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、セキュリティ制御によってグループ化されています。これは、Azure セキュリティ ベンチマークと、Azure Advisor に適用できる関連ガイダンスによって定義されています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Azure Advisor に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Azure Advisor を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Azure Advisor セキュリティ ベースライン マッピング ファイルを参照してください。

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス:Azure Advisor では、Azure Active Directory (Azure AD) を既定の ID およびアクセス管理サービスとして使用します。 Azure AD を標準化して、以下での組織の ID とアクセス管理を統制します。

  • Azure portal、Azure Storage、Azure 仮想マシン (Linux と Windows)、Azure Key Vault、PaaS、SaaS アプリケーションなどの Microsoft Cloud リソース
  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース

Azure AD を確実にセキュリティで保護することは、組織のクラウド セキュリティ プラクティスにおいて高い優先順位を持っています。 Azure AD では、Microsoft のベスト プラクティスの推奨事項を基準にした、お客様の ID セキュリティ体制を評価するのに役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

Azure AD では外部 ID をサポートしていることに注目してください。これを使用すると、Microsoft アカウントを持たないユーザーが、自分の外部 ID を使用してアプリケーションやリソースにサインインできるようになります。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス:Azure Advisor では、Azure Active Directory を使用して、Azure リソース、クラウド アプリケーション、オンプレミスのアプリケーションに ID とアクセスの管理を提供します。 これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。

シングル サインオンを使用して、オンプレミスとクラウドにある組織のデータとリソースへのアクセスを管理し、セキュリティで保護します。 すべてのユーザー、アプリケーション、デバイスを Azure AD に接続することで、シームレスで安全なアクセスを実現し、可視性と制御性を高めることができます。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス:Azure Advisor では、Azure Active Directory (Azure AD) アカウントを使用してリソースを管理し、ユーザー アカウントとアクセス割り当てを定期的にレビューして、アカウントとそのアクセスが有効であることを確認します。 Azure AD アクセス レビューを実施して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てをレビューします。 Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。

さらに、Azure AD の Privileged Identity Management 機能を使用してアクセス レビュー レポート ワークフローを作成し、レビュー プロセスを容易にすることができます。 Privileged Identity Management を構成して、過剰な数の管理者アカウントが作成されたらアラートを生成すること、古くなったり不適切に構成されている管理者アカウントを識別することもできます。

一部の Azure サービスでは、Azure AD で管理されていないローカル ユーザーとロールがサポートされていることに注意してください。 これらのユーザーは、お客様が個別に管理する必要があります。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス:セキュリティで保護された分離したワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高い役割のセキュリティには非常に重要です。

管理タスクに高度にセキュリティ保護されたユーザー ワークステーションや Azure Bastion を使用します。 Microsoft Intune を含めて Azure Active Directory (Azure AD) と Microsoft Defender Advanced Threat Protection (ATP) を選択して、セキュリティで保護された管理タスク用のマネージド ユーザー ワークステーションを配置します。

セキュリティで保護されたワークステーションを一元管理して、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を適用します。

責任: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス:Azure Advisor は、Azure のロールベースのアクセス制御 (Azure RBAC) と統合されて、そのリソースを管理します。 Azure RBAC を使用して、ロールの割り当てによって Azure リソースへのアクセスを管理します。

ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てます。 特定のリソース用に事前に定義されている組み込みロールがあります。これらは、Azure CLI、Azure PowerShell、Azure portal などのツールでインベントリやクエリの対象にできます。 Azure RBAC を通してリソースに割り当てる特権は、必ず、それらのロールで必要なものに限定する必要があります。 これは、Azure Active Directory (Azure AD) の Privileged Identity Management (PIM) の Just-in-Time (JIT) アプローチを補完するものであり、定期的に見直す必要があります。

組み込みのロールを使用してアクセス許可を割り当て、カスタム ロールは必要な場合にのみ作成します。

Azure ロールベースのアクセス制御 (Azure RBAC) とは /azure/role-based-access-control/overview

責任: Customer

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ リスクの監視は、セキュリティ チームの責任の構造に応じて、中央のセキュリティ チームまたはローカル チームの責任になります。 ただし、セキュリティ分析情報とリスクは、常に組織内で一元的に集計する必要があります。

セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。

注:ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-4:Azure リソースのログ記録を有効にする

ガイダンス:アクティビティ ログは自動的に使用可能になり、読み取り操作 (GET) を除く、Azure Advisor リソースに対するすべての書き込み操作 (PUT、POST、DELETE) が含められます。

アクティビティ ログを使用すると、トラブルシューティング時にエラーを見つけたり、組織内のユーザーがリソースをどのように変更したかを監視したりできます。

責任: Customer

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス:ログ記録のストレージと分析を一元化して、相関関係を有効にします。 ログ ソースごとに、データ所有者、アクセス ガイダンス、ストレージの場所、データの処理とアクセスに使用するツール、データ保持の要件を割り当てたことを確認します。

Azure アクティビティ ログを一元的なログ記録に統合していることを確認します。 Azure Monitor を介してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されたセキュリティ データを集計します。 Azure Monitor で Log Analytics ワークスペースを使用してクエリを発行し、分析を実行して、長期のアーカイブ ストレージには Azure Storage アカウントを使用します。

さらに、Microsoft Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードします。 多くの組織では、頻繁に使用される "ホット" データに対しては Microsoft Sentinel を、使用頻度の低い "コールド" データに対しては Azure Storage を使用することを選択しています。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス:Azure Advisor ログを格納するために使用されるすべてのストレージ アカウントまたは Log Analytics ワークスペースに、組織のコンプライアンス規則に従ったログの保有期間が設定されていることを確認します。 Azure Monitor で、組織のコンプライアンス規則に従って Log Analytics ワークスペースの保持期間を設定できます。 長期ストレージおよびアーカイブ ストレージには、Azure Storage、Data Lake、または Log Analytics ワークスペースのアカウントを使用します。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

ガイダンス: Azure Advisor では、独自の時刻同期ソースの構成はサポートされていません。 Azure Advisor サービスは Microsoft の時刻同期ソースに依存しており、構成のために顧客に公開されてはいません。

責任: Microsoft

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Azure Advisor は、基礎となるサービス インフラストラクチャを公開していません。また、お客様は、このサービスで独自の脆弱性評価ソリューションを使用することはできません。 Microsoft では、Azure Advisor をサポートしている基礎となるシステムで脆弱性の管理を行っています。

責任: Microsoft

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: Azure Advisor は、基礎となるサービス インフラストラクチャを公開していません。また、お客様は、このサービスで独自の脆弱性評価ソリューションを使用することはできません。 Microsoft では、Azure Advisor をサポートしている基礎となるシステムで脆弱性の管理を行っています。

責任: Microsoft

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス:必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。 お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-1:エンドポイントでの検出と対応 (EDR) を使用する

ガイダンス: Azure Advisor は、エンドポイントでの検出と対応 (EDR) の保護が必要な仮想マシンまたはコンテナーを公開していません。 ただし、Advisor を基礎とするインフラストラクチャは Microsoft によって処理されます。これには、マルウェア対策およびエンドポイントでの検出と対応の処理が含まれます。

責任: Microsoft

ES-2:一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: Azure Cloud Services 向けの Microsoft Antimalware は、Windows Virtual Machines の既定のマルウェア対策です。 Linux Virtual Machines の場合は、サードパーティのマルウェア対策ソリューションを使用します。

Azure Storage アカウントにアップロードされたマルウェアを検出するには、Microsoft Defender for Cloud のデータ サービス向け脅威検出を使用します。

責任: Microsoft

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス: Azure Cloud Services 向けの Microsoft Antimalware は、Windows 仮想マシン (VM) の既定のマルウェア対策です。 Linux VM の場合は、サードパーティのマルウェア対策ソリューションを使用します。 また、Microsoft Defender for Cloud のデータ サービス向け脅威検出を使用して、Azure Storage アカウントにアップロードされたマルウェアを検出することができます。

Advisor の基礎となるインフラストラクチャは、Microsoft によって処理されます。これには、頻繁に更新されるマルウェア対策ソフトウェアが含まれます。

責任: Microsoft

次のステップ