Microsoft Defender for Cloud Apps の Azure セキュリティ ベースライン

このセキュリティ ベースラインによって、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Microsoft Defender for Cloud Apps に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Azure セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Microsoft Defender for Cloud に適用できる関連ガイダンスでグループ化されています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Microsoft Defender for Cloud Apps に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Microsoft Defender for Cloud Apps がどのように Azure セキュリティ ベンチマークに完全にマップされているかを確認するには、Microsoft Defender for Cloud Apps のセキュリティ ベースラインの完全なマッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-6: ネットワーク セキュリティ規則を簡略化する

ガイダンス: Azure Virtual Network サービス タグを使用して、Microsoft Defender for Cloud Apps リソース用に構成されたネットワーク セキュリティ グループまたは Azure Firewall に対するネットワーク アクセス制御を定義します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 サービス タグ名 (例: "Microsoft Cloudappsecurity") をルールの適切なソースまたは送信先のフィールドに指定すると、対応するサービスのトラフィックを許可または拒否することができます。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。

責任: Customer

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Microsoft Defender for Cloud Apps では、Azure Active Directory (Azure AD) を既定の ID およびアクセス管理サービスとして使用します。 Azure AD を標準化して、次のリソースでの組織の ID とアクセス管理を統制する必要があります。

  • Azure portal、Azure Storage、Azure 仮想マシン (Linux と Windows)、Azure Key Vault、PaaS、SaaS アプリケーションなどの Microsoft Cloud リソース。
  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位を持つ必要があります。 Azure AD では、Microsoft のベスト プラクティスの推奨事項を基準にした、お客様の ID セキュリティ体制を評価するために役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

注:Azure AD では、外部 ID がサポートされます。これにより、Microsoft アカウントを持たないユーザーが、外部 ID を使用してアプリケーションやリソースにサインインできるようになります。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: Microsoft Defender for Cloud Apps では、Azure Active Directory (Azure AD) を使用して、Azure リソース、クラウド アプリケーション、オンプレミスのアプリケーションに ID およびアクセスの管理を提供します。 これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。 これにより、オンプレミスおよびクラウド内の組織のデータとリソースへのアクセスを管理し、セキュリティで保護するためのシングルサインオン (SSO) が可能になります。 すべてのユーザー、アプリケーション、およびデバイスを Azure AD に接続して、シームレスで安全なアクセスを実現し、可視性と制御を向上させることができます。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス: Microsoft Defender for Cloud Apps には、以下の高い特権を持つアカウントがあります。

  • 全体管理者とセキュリティ管理者: フルアクセス権を持つ管理者は、Microsoft Defender for Cloud Apps で完全なアクセス許可を持っています。 管理者の追加、ポリシーと設定の追加、ログのアップロード、ガバナンス アクションの実行を行うことができます。

  • コンプライアンス管理者: 読み取り専用アクセス許可を持ち、アラートを管理できます。 クラウド プラットフォームのセキュリティに関する推奨事項にはアクセスできません。 ファイル ポリシーの作成と変更、ファイル ガバナンス アクションの許可、データ管理でのすべての組み込みレポートの表示を行うことができます。

  • コンプライアンス データ管理者: 読み取り専用アクセス許可を持ち、ファイル ポリシーの作成と変更、ファイル ガバナンス アクションの許可、すべての検出レポートの表示を行うことができます。 クラウド プラットフォームのセキュリティに関する推奨事項にはアクセスできません。

  • セキュリティ オペレーター: 読み取り専用アクセス許可を持ち、アラートを管理できます。

  • セキュリティ閲覧者: 読み取り専用アクセス許可を持ち、アラートを管理できます。 セキュリティ閲覧者は、以下のアクションを行うことはできません。

  • ポリシーを作成する、または既存のポリシーを編集および変更する

  • ガバナンス アクションを実行する

  • 探索ログをアップロードする

  • サードパーティのアプリの禁止または承認

  • IP アドレス範囲設定ページへのアクセスと表示

  • すべてのシステム設定ページへのアクセスと表示

  • 検出設定へのアクセスと表示

  • アプリ コネクタ ページへのアクセスと表示

  • ガバナンス ログへのアクセスと表示

  • [スナップショット レポートの管理] ページへのアクセスと表示

  • SIEM エージェントへのアクセスと編集

  • グローバル閲覧者: Microsoft Defender for Cloud Apps のすべての側面に対する完全な読み取り専用アクセス権を持ちます。 設定を変更したり、アクションを実行したりすることはできません。

高い特権を持つユーザーは、Azure 環境内のすべてのリソースを直接または間接的に読み取り、変更することができるため、この特権を持つアカウントまたはロールの数を制限し、これらのアカウントを高いレベルで保護してください。

Azure Privileged Identity Management (PIM) を使用して、Azure リソースと Azure Active Directory (Azure AD) への Just-In-Time (JIT) の特権アクセスを有効にすることができます。 ユーザーが必要とする場合にのみ特権タスクを実行するための一時的なアクセス許可は、JIT によって付与されます。 PIM を使用すると、Azure AD 組織に不審なアクティビティや安全でないアクティビティがある場合に、セキュリティ アラートを生成することもできます。

責任: Customer

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: Microsoft Defender for Cloud Apps では、Azure Active Directory (Azure AD) アカウントを使用してそのリソースを管理し、ユーザー アカウントとアクセス割り当てを定期的にレビューして、アカウントとそのアクセスが有効であることを確認します。 Azure AD アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てをレビューすることができます。 Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。 また、Azure AD Privileged Identity Management を使用してアクセス レビュー レポート ワークフローを作成し、レビュー プロセスを容易にすることもできます。

さらに、過剰な数の管理者アカウントが作成された場合にアラートを発行したり、古い管理者アカウントや不適切に構成されている管理者アカウントを特定するように Azure Privileged Identity Management を構成することもできます。

注:一部の Azure サービスでは、Azure AD で管理されていないローカル ユーザーとロールがサポートされています。 これらのユーザーは個別に管理する必要があります。

責任: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス: Microsoft Defender for Cloud Apps は、Azure のロールベースのアクセス制御 (RBAC) との統合により、そのリソースを管理します。 Azure RBAC を使用すると、ロールの割り当てによって Azure リソースへのアクセスを管理できます。 これらのロールを、ユーザー、グループ サービス プリンシパル、およびマネージド ID に割り当てることができます。 特定のリソースに対して定義済みの組み込みロールがあります。これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたは照会できます。 Azure RBAC を使用してリソースに割り当てる特権は、常に、ロールで必要なものに制限する必要があります。 これは、Azure Active Directory (Azure AD) の Privileged Identity Management (PIM) の Just-in-Time (JIT) アプローチを補完するものであり、定期的に見直す必要があります。

組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

ガイダンス: Microsoft Defender for Cloud Apps は、機密データを管理します。すべてのデータ フローは、Microsoft のプライバシー レビューおよび SDL プロセスの対象となります。 お客様がデータを制御することはできません。

責任: Microsoft

DP-2:機密データを保護する

ガイダンス: Microsoft Defender for Cloud Apps は機密データを管理し、Azure Active Directory (Azure AD) のロールを使用して各種データのアクセス許可を制御します。

責任: Customer

DP-4:転送中の機密情報を暗号化する

ガイダンス: Microsoft Defender for Cloud Apps は、TLS v1.2 以上で転送中のデータの暗号化をサポートしています。

これはプライベート ネットワーク上のトラフィックでは省略できますが、外部ネットワークとパブリック ネットワーク上のトラフィックには重要です。 ご自分の Azure リソースに接続するすべてのクライアントの HTTP トラフィックのネゴシエートには、確実に TLS v1.2 以上を使用してください。 リモート管理には、暗号化されていないプロトコルではなく、(Linux の場合) SSH または (Windows の場合) RDP/TLS を使用します。 無効な SSL、TLS、SSH のバージョンとプロトコル、および弱い暗号は無効にする必要があります。

既定では Azure によって、Azure のデータ センター間の転送データが暗号化されます。

責任: 共有

DP-5:保存データを暗号化する

ガイダンス: Microsoft Defender for Cloud Apps は、暗号化を使用して "帯域外" 攻撃 (基になっているストレージへのアクセスなど) から保護するために保存データを暗号化します。 これにより、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。

責任: Microsoft

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ リスクの監視は、セキュリティ チームの責任の構造に応じて、中央のセキュリティ チームまたはローカル チームの責任になります。 ただし、セキュリティ分析情報とリスクは、常に組織内で一元的に集計する必要があります。

セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。

注:ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス: カスタム脅威検出を設定できるよう、Microsoft Defender for Cloud Apps からのログを SIEM に転送します。 潜在的な脅威や異常を検出するために、さまざまな種類の Azure 資産を監視していることを確認してください。 アナリストが選別しやすいように、質の高いアラートを取得して誤検知を減らすことに専念します。 アラートは、ログ データ、エージェント、その他のデータを元に生成できます。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

ガイダンス: 適用できません。Microsoft Defender for Cloud Apps は、独自の時刻同期ソースの構成をサポートしていません。 Microsoft Defender for Cloud Apps サービスは Microsoft の時刻同期ソースに依存しており、構成のために顧客に公開されてはいません。

責任: Microsoft

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Microsoft では、Microsoft Defender for Cloud Apps をサポートする基になるシステムで脆弱性の管理を行います。

責任: Microsoft

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス:必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。 お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

次のステップ