Cost Management 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Microsoft Azure Cost Management に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Cost Management に適用される Azure セキュリティ ベンチマークと関連ガイダンスで定義されているセキュリティ コントロールによってグループ化されています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Cost Management に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Cost Management を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Cost Management セキュリティ ベースライン マッピング ファイルを参照してください。

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス:Azure Cost Management は、Azure の既定の ID およびアクセス管理サービスである Azure Active Directory (Azure AD) と統合されています。 Azure AD で標準化して、次のものでの組織の ID とアクセス管理のガバナンスを行う必要があります。

  • Azure portal、Azure Storage、Azure Virtual Machines (Linux と Windows)、Azure Key Vault、PaaS、SaaS アプリケーションなどの Microsoft クラウド リソース。
  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位を持つ必要があります。 Azure AD により、Microsoft のベスト プラクティスの推奨事項と比較して、ID セキュリティ体制を評価するのに役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

注:Azure AD では、外部 ID プロバイダーがサポートされます。これにより、Microsoft アカウントを持たないユーザーが、外部 ID を使用してアプリケーションやリソースにサインインできるようになります。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス:Azure Cost Management では、Azure Active Directory (Azure AD) を使用して、Azure リソース、クラウド アプリケーション、オンプレミスのアプリケーションに ID とアクセス管理を提供します。 これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。 これにより、オンプレミスおよびクラウド内の組織のデータとリソースへのアクセスを管理し、セキュリティで保護するためのシングルサインオン (SSO) が可能になります。 すべてのユーザー、アプリケーション、デバイスを Azure AD に接続することで、シームレスで安全なアクセスを実現し、可視性と制御性を高めることができます。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス:マイクロソフト エンタープライズ契約 (EA) 向けの Cost Management には、次に示す高度な特権アカウントがあります。

  • エンタープライズ管理者

マイクロソフト エンタープライズ契約 (EA) 内のロールに割り当てられたユーザーを定期的にレビューすることをお勧めします。

また、一般に、高い特権を有するアカウントまたはロールの数は制限し、なおかつ、それらのアカウントは、昇格されたレベルで保護することをお勧めします。そのような特権を持つユーザーは、Azure 環境内のあらゆるリソースを直接的または間接的に読み取ったり変更したりすることができるためです。

Azure AD Privileged Identity Management (PIM) を使用して、Azure リソースと Azure Active Directory (Azure AD) への Just-In-Time (JIT) の特権アクセスを有効にすることができます。 ユーザーが必要とする場合にのみ特権タスクを実行するための一時的なアクセス許可は、JIT によって付与されます。 PIM を使用すると、Azure AD 組織に不審なアクティビティや安全でないアクティビティがある場合に、セキュリティ アラートを生成することもできます。

責任: Customer

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス:Azure Cost Management では、組織のコスト データを表示したり管理したりするために適切なアクセス権が利用されます。 アクセスの制御は、サブスクリプション レベルで Azure ロールベースのアクセス制御 (Azure RBAC) を使用し、マイクロソフト エンタープライズ契約 (EA) または Microsoft 顧客契約 (MCA) の課金スコープを使用した管理者ロールを通じて行われます。 付与されているアクセス権を定期的に監査およびレビューし、ユーザーまたはグループに対して、必要不可欠なアクセス権が割り当てられていることを確認してください。

責任: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス:Azure Cost Management は、リソース (予算、保存したレポートなど) を管理するために、Azure ロールベースのアクセス制御 (RBAC) と統合されています。 Azure RBAC を使用すると、ロールの割り当てによって Azure リソースへのアクセスを管理できます。 これらのロールを、ユーザー、グループ、サービス プリンシパルに割り当てることができます。 特定のリソースに対して定義済みの組み込みロールがあります。これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたは照会できます。 Azure RBAC を使用してリソースに割り当てる特権は、常に、ロールで必要なものに制限する必要があります。 これは、Azure Active Directory (Azure AD) Privileged Identity Management (PIM) の Just-in-Time (JIT) アプローチを補完するものであり、定期的に見直す必要があります。

組み込みのロールを使用してアクセス許可を割り当て、カスタム ロールは必要な場合にのみ作成します。

Azure Cost Management には組み込みロールとして、閲覧者と共同作成者が用意されています。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

ガイダンス:組織の技術システムで機密情報が安全に保存、処理、および転送されるコントロールを適切に設計できるよう、お使いの機密データを検出、分類、ラベル付けすることをお勧めします。

Azure、オンプレミス、Office 365 などの場所にある Office ドキュメントの機密情報には、Azure Information Protection (とこれに付随するスキャン ツール) を使用します。

Azure SQL Database に格納されている情報の分類とラベル付けには、Azure SQL Information Protection を使用します。

責任: Customer

DP-2:機密データを保護する

ガイダンス:Azure ロール ベースのアクセス制御 (Azure RBAC)、ネットワークベースのアクセス制御、(SQL などのデータベースでの暗号化など) Azure サービスの特定の制御を使用してアクセスを制限し、機密データを保護することをお勧めします。

一貫したアクセス制御を確保するには、自分の企業のセグメント化戦略にすべての種類のアクセス制御を合わせる必要があります。 企業のセグメント化戦略では、機密またはビジネスに重要なデータやシステムの場所からも通知される必要があります。

Microsoft によって管理される基になるプラットフォームの場合、Microsoft では顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護します。 Microsoft では、Azure 内の顧客データが確実にセキュリティで保護されるように、データ保護コントロールおよび機能をいくつか実装しています。

責任: Customer

DP-3:機密データの不正転送を監視する

ガイダンス:企業が可視および制御できる範囲外の場所にデータが不正に転送されるのを監視することができます。 これには通常、不正なデータ流出を示す可能性のある異常な活動 (大規模または異常な転送) の監視が含まれます。

Azure Storage Advanced Threat Protection (ATP) と Azure SQL ATP によって、機密情報の不正転送を示唆する、異常な情報転送のアラートを送信できます。

Azure Information Protection (AIP) には、分類およびラベル付けされた情報を監視する機能があります。

データ損失対策 (DLP) に準拠する必要がある場合、ホスト ベースの DLP ソリューションを使用して、検出および予防コントロールを適用してデータ流出を回避できます。

責任: Customer

DP-4:転送中の機密情報を暗号化する

ガイダンス: アクセス制御を補完するには、暗号化を使用して、転送中のデータを "帯域外" 攻撃 (トラフィックのキャプチャなど) から保護し、攻撃者がデータを簡単に読み取ったり変更したりできないようにする必要があります。Azure Cost Management では、TLS v1.2 以降を使用した転送中のデータ暗号化がサポートされています。これはプライベート ネットワーク上のトラフィックでは省略可能ですが、外部およびパブリック ネットワーク上のトラフィックには重要です。 ご自分の Azure リソースに接続するすべてのクライアントの HTTP トラフィックのネゴシエートには、確実に TLS v1.2 以上を使用してください。 リモート管理には、暗号化されていないプロトコルではなく、(Linux の場合) SSH または (Windows の場合) RDP/TLS を使用します。 古い SSL、TLS、SSH のバージョンおよびプロトコルと、脆弱な暗号を無効にする必要があります。既定では、Azure によって Azure データ センター間の転送データが暗号化されます。 Azure での転送中の暗号化の概要 TLS セキュリティに関する情報: /security/engineering/solving-tls1-problem。転送中の Azure データの二重暗号化: /azure/security/fundamentals/double-encryption#data-in-transit

責任: Microsoft

DP-5:保存データを暗号化する

ガイダンス:アクセスの制御を補完し、Microsoft マネージド キー暗号化を使用して "Out of Band" 攻撃 (基になるストレージへのアクセスなど) から保護するために、Azure Cost Management のエクスポート機能は、Azure Storage の保存データの暗号化をサポートしています。 この既定の設定により、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。

詳細情報

責任: Customer

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ リスクの監視は、セキュリティ チームの責任の構造に応じて、中央のセキュリティ チームまたはローカル チームの責任になります。 ただし、セキュリティ分析情報とリスクは、常に組織内で一元的に集計する必要があります。

セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。

注:ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にする

ガイダンス: Azure Active Directory (Azure AD) では、次のユーザー ログが記録され、これは Azure AD レポートで確認できます。また、より高度な監視と分析のユース ケースの場合は、Azure Monitor、Microsoft Sentinel、または他の SIEM/監視ツールと統合できます。

  • サインイン - サインイン レポートは、マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報を提供します。
  • 監査ログ - Azure AD 内のさまざまな機能によって行われたすべての変更についてログによる追跡可能性を提供します。 監査ログの例として、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Azure AD 内のあらゆるリソースに加えられた変更があります。
  • リスクの高いサインイン - リスクの高いサインインは、ユーザー アカウントの正当な所有者ではない人によって行われた可能性があるサインイン試行の指標です。
  • リスクのフラグ付きユーザー - リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。

Microsoft Defender for Cloud では、認証試行の失敗回数が多すぎるなどの特定の不審なアクティビティや、サブスクリプションでの非推奨アカウントに対して警告することもできます。 Microsoft Defender for Cloud の脅威防止モジュールでは、基本的なセキュリティ検疫監視に加えて、個々の Azure コンピューティング リソース (仮想マシン、コンテナー、アプリ サービス)、データ リソース (SQL DB、ストレージ)、Azure サービス レイヤーから、さらに詳細なセキュリティ アラートを収集することもできます。 この機能を使用することにより、個々のリソース内でアカウントの異常を確認できます。

また、マイクロソフト エンタープライズ契約 (EA) 内のロールに割り当てられたユーザーを定期的にレビューすることをお勧めします。

責任: Customer

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: ソフトウェア更新プログラムを速やかにデプロイして、オペレーティング システムとアプリケーションのソフトウェアの脆弱性を修復します。どのアプリケーションが高いセキュリティ リスクをもたらすかや、どのアプリケーションが長いアップタイムを必要とするかを背景に、一般的なリスク スコアリング プログラム (たとえば、一般的な脆弱性スコアリング システム)、またはサード パーティ製のスキャン ツールによって提供される既定のリスク評価を優先度付けし、環境に合わせて調整します。

責任: Customer

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス:必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。 お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

次のステップ