Azure Data Box 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Azure Data Box に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、セキュリティ制御によってグループ化されています。これは、Azure セキュリティ ベンチマークと、Azure Data Box に適用できる関連ガイダンスによって定義されています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Azure Data Box に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Azure Data Box を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Azure Data Box セキュリティ ベースライン マッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス: Azure Data Box では、仮想ネットワークへの直接デプロイはサポートされていません。 次のような提供リソースを使用して、特定のネットワーク機能を適用することはできません。

  • ネットワーク セキュリティ グループ (NSG)
  • ルート テーブル
  • Azure Firewall などの、他のネットワーク依存型アプライアンス

既定で、Data Box は TLS 1.2 を使用します。 システムのいずれかで TLS 1.2 が有効になっていない場合は、Data Box を使用すれば、ローカル UI を介して TLS 1.1/1.0 を有効にすることができます。

仮想ネットワークに対するストレージ アカウントがサポートされます。 セキュリティで保護されたストレージ アカウントで Data Box が機能するようにしますか? その場合は、ストレージ アカウント ネットワークのファイアウォール設定内で、信頼されたサービスを有効にします。

責任: Customer

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: DNS セキュリティに関するベストプラクティスに従ってください。 これらのプラクティスによって、次のような一般的な攻撃が軽減されます。

  • ダングリング DNS
  • DNS アンプ攻撃
  • DNS ポイズニングとスプーフィング

権限のある DNS サービスとして Azure DNS を使用する場合は、DNS ゾーンとレコードが、誤った変更または悪意のある変更から保護されていることを確認してください。 Azure ロールベースのアクセス制御 (RBAC) とリソース ロックを使用してください。

Data Box は、独自の証明書を持ち込むことを推奨します。 既定のデバイス生成証明書を使用する場合は、このドキュメントに記載されたガイドラインに従う必要があります。

お客様が管理可能な DNS 構成に関する参照を追加します。

責任: Customer

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Data Box は、次の場合にローカル認証を使用します。

  • デバイスのロック解除パスキーを介してデバイス アクセスを制御する。

  • デバイスとの間でデータをコピーするための SMB 資格情報。

  • REST API を介して Data Box にアクセスするための Azure Storage アカウント キー。

  • NFS アクセス用の IP アドレス構成。

詳細については、次の記事をご覧ください。

責任: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス: Azure Data Box は、Azure Active Directory (Azure AD) を使用して、リソース レベルでアクセス許可が制限されたサービス プリンシパルを作成することを推奨します。 証明書の資格情報を使用してサービス プリンシパルを構成し、クライアント シークレットにフォールバックします。 どちらの場合も、Azure Key Vault を Azure マネージド ID と組み合わせて使用すると、ランタイム環境 (Azure 関数など) でキー コンテナーから資格情報を取得できます。

Data Box では、暗号化に独自のキーを使用できます。 また、デバイスと共有に独自のパスワードを使用することもできます。

責任: 共有

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: Azure Data Box は Azure AD を使用して、次に対する ID およびアクセスの管理を提供します。

  • 管理
  • クラウド アプリケーション
  • オンプレミスのアプリケーション

この管理には次の機能が含まれます。

  • エンタープライズ ID (従業員など)。
  • 外部 ID (パートナー、ベンダー、サプライヤーなど)。

この ID およびアクセスの管理を使用して、シングル サインオン (SSO) で、組織のデータとリソースへのアクセスを管理し、セキュリティで保護することができます。 アクセスは、オンプレミスとクラウドの両方に適用されます。 すべてのユーザー、アプリケーション、デバイスを Azure AD に接続します。 Azure AD は、セキュリティで保護されたシームレスなアクセスに加えて、優れた可視性および制御も提供します。

Data Box リソースを作成するために、Data Box は Azure AD を使用してサブスクリプションを認証します。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス: 既定で、高い特権を持つユーザーは存在しません。 場合によっては、サポート セッションを (昇格された特権で) 開く必要があります。 このサポート セッションでは、Microsoft サポート担当者との調整が必要です。

お客様が、Data Box 用のローカルレベルの管理者アカウントなど、Azure AD の高い特権を持つアカウントを使用および管理する必要はありません。

責任: 共有

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: Data Box リソースを作成および管理するには、お客様が Azure AD ベースのサブスクリプションを使用してサインインする必要があります。

次のような組み込みロールを使用できます。

  • Data Box 閲覧者。 このロールは、スコープで定義されたように注文への読み取り専用アクセス権を持っています。 表示できるのは注文の詳細のみです。 ストレージ アカウントに関連するその他の詳細にはアクセスすることができません。 また、住所などの注文の詳細を編集することもできません。

  • Data Box 共同作成者。 お客様が既にストレージ アカウントへの書き込みアクセス権を持っている場合は、このロールがそのアカウントにデータを転送する注文を作成できます。 ストレージ アカウントへのアクセス権がない場合は、アカウントにデータをコピーするための Data Box 注文を作成できません。 このロールは、ストレージ アカウント関連のアクセス許可を定義しません。 ストレージ アカウントへのアクセスを許可しません。

  • Data Box リソースの作成と管理

  • Data Box の組み込み RBAC ロール

責任: 共有

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス: Azure Data Box は Azure RBAC と統合して、そのリソースを管理します。

Data Box 注文が初めて作成されたときに、それにアクセス可能なユーザーを制御できます。 Data Box 注文へのアクセスを制御するには、さまざまなスコープで Azure ロールを設定できます。

Azure Data Box サービスに対して定義可能な 2 つの組み込みロールは次のとおりです。

  • Data Box 閲覧者。 このロールは、スコープで定義されたように注文への読み取り専用アクセス権を持っています。 表示できるのは注文の詳細のみです。 ストレージ アカウントに関連するその他の詳細にはアクセスすることができません。 また、住所などの注文の詳細を編集することもできません。

  • Data Box 共同作成者。 お客様が既にストレージ アカウントへの書き込みアクセス権を持っている場合は、このロールがそのアカウントにデータを転送する注文を作成できます。 ストレージ アカウントへのアクセス権がない場合は、アカウントにデータをコピーするための Data Box 注文を作成できません。 このロールは、ストレージ アカウント関連のアクセス許可を定義しません。 また、ストレージ アカウントへのアクセスを許可しません。

  • Data Box リソースの組み込み RBAC ロール

責任: 共有

PA-8: Microsoft サポートの承認プロセスを選択する

ガイダンス: Microsoft が顧客データにアクセスする必要があるサポート シナリオでは、Azure Data Box がカスタマー ロックボックスをサポートします。 カスタマー ロックボックスは、お客様が顧客データへのアクセス要求を審査してから、承認または拒否するインターフェイスを提供します。

責任: 共有

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-2:機密データを保護する

ガイダンス: 次を使用してアクセスを制限することで、機密データを保護します。

  • Azure RBAC。
  • ネットワーク ベースのアクセスの制御。
  • Azure サービスの特定のコントロール (暗号化など)。

一貫したアクセス制御を確保するには、自分の企業のセグメント化戦略とすべての種類のアクセス制御を合わせます。 機密性の高いまたはビジネスに不可欠なデータやシステムの場所を使用した会社のセグメント化戦略を通知します。

Microsoft によって管理される基礎となるプラットフォームについては、Microsoft がお客様のすべてのコンテンツを機密として扱います。 顧客データの損失や露出から保護されます。 Microsoft では、Azure 内の顧客データが確実にセキュリティで保護されるように、既定のデータ保護コントロールおよび機能をいくつか使用します。

Data Box は、すべての保存データとすべての転送データを暗号化します。

責任: 共有

DP-4:転送中の機密情報を暗号化する

ガイダンス: Data Box は、SMB 暗号化をサポートします。 NFS もサポートされますが、お客様は、このプロトコルを使用するときはデータを事前に暗号化しておく必要があります。

アクセス制御を補完するには、暗号化を使用して "帯域外" 攻撃 (トラフィック キャプチャなど) から転送中のデータを保護します。 このアクションは、攻撃者がデータを簡単に読み取ったり変更したりできないことを保証します。

Azure Data Box では、TLS v1.2 以降で転送中のデータの暗号化がサポートされます。

この機能は、プライベート ネットワーク上のトラフィックでは省略可能ですが、外部およびパブリックのネットワーク上のトラフィックでは不可欠です。 HTTP トラフィックの場合は、Azure リソースに接続するクライアントが確実に TLS v1.2 以降をネゴシエートできるようにしてください。 リモート管理には、暗号化されていないプロトコルではなく、(Linux の場合) SSH または (Windows の場合) RDP/TLS を使用します。 脆弱な暗号と、次のプロトコルの古いバージョンを無効にします。

  • SSL
  • TLS
  • SSH

既定では Azure によって、Azure のデータ センター間の転送データが暗号化されます。

責任: 共有

DP-5:保存データを暗号化する

ガイダンス: アクセス制御を補完するために、Azure Data Box は保存データを暗号化して、暗号化を使用する "帯域外" 攻撃 (基礎となるストレージへのアクセスなど) から保護します。 このアクションは、攻撃者がデータを簡単に読み取ったり変更したりできないことを保証します。

既定では Azure によって保存データが暗号化されます。 機密性の高いデータの場合は、使用可能なすべての Azure リソースで保存時の追加の暗号化を実装することもできます。 既定では、Azure によって暗号化キーが管理されます。 ただし、規制要件を満たすために、特定の Azure サービス用の独自のキー (カスタマー マネージド キー) を管理することもできます。

責任: 共有

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: Azure テナントおよびサブスクリプションでセキュリティ チームにセキュリティ閲覧者アクセス許可を付与します。 そうすれば、セキュリティ チームは、Microsoft Defender for Cloud を使用してセキュリティ リスクを監視できます。

セキュリティ チームの責任がどのように構成されているかに基づいて、中央のセキュリティ チームまたはローカル チームがセキュリティ リスクの監視を担当することができます。 組織内では、常にセキュリティ分析情報とリスクを一元的に集約します。

セキュリティ閲覧者アクセス許可を、テナント全体 (ルート管理グループ) に幅広く適用できます。 あるいは、このアクセス許可を、管理グループまたは特定のサブスクリプションの範囲に限定できます。

注: ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。

責任: Customer

AM-2:セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス: セキュリティ チームが、Azure Data Box のような、Azure 上の継続的に更新される資産インベントリに確実にアクセスできるようにします。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、このインベントリを必要とすることがよくあります。 また、これらのチームには、継続的なセキュリティ向上のための入力としてインベントリも必要です。

組織の認可済みセキュリティ チームを含めるための Azure AD グループを作成します。 その後で、すべての Azure Data Box リソースへの読み取りアクセス権をグループに割り当てます。 このプロセスは、サブスクリプション内で 1 つの高レベルのロール割り当てに簡略化することができます。

Azure Data Box では、タグが使用されません。 お客様は、リソース メタデータにタグを適用または使用して、分類でそれらを論理的に整理することができません。

Azure 仮想マシンのインベントリを使用して、Virtual Machines 上のソフトウェアに関する情報の収集を自動化します。 Azure portal によって、次の情報フィールドが使用できるようになります。

  • ソフトウェア名
  • バージョン
  • Publisher
  • 更新時刻

インストール日などの情報にアクセスするには、ゲスト レベルの診断を有効にします。 続いて、Windows イベント ログを Log Analytics ワークスペースに取り込みます。

Azure Data Box では、リソースでアプリケーションを実行することも、ソフトウェアをインストールすることもできません。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス: Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成します。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス: Azure Data Box は、脅威検出に使用可能な、顧客向けのリソース ログを生成します。

Azure Data Box は、脅威検出に使用可能なログを生成しません。 これらのログは、SIEM ツールに転送して監視や警告に使うことはできません。

責任: 共有

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にする

ガイダンス: Azure AD は、Azure AD レポートで表示可能な、次のユーザー ログを提供します。 より高度な監視および分析のユース ケースの場合は、Azure Monitor、Microsoft Sentinel、またはその他の SIEM/監視ツールとログを統合できます。

  • サインイン。サインイン レポートでは、マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報が得られます。

  • 監査ログ。 監査ログは、Azure AD 内のさまざまな機能によって実行されたすべての変更の追跡可能性を提供します。 監査ログの例として、以下のような追加と削除など、Azure AD 内のあらゆるリソースに加えられた変更があります。

    • ユーザー
    • アプリ
    • グループ
    • ロール
    • ポリシー
  • 危険なサインイン。危険なサインインとは、ユーザー アカウントの正当な所有者ではないユーザーによって行われたサインイン試行を示します。

  • リスクのフラグ付きユーザー。 危険なユーザーとは、侵害された可能性があるユーザー アカウントを示します。

Microsoft Defender for Cloud では、特定の不審なアクティビティに関するアラートをトリガーすることもできます。 これらのアクティビティには、認証試行の失敗回数が多すぎることや、サブスクリプションでの非推奨アカウントなどが含まれます。 基本的なセキュリティ検疫監視と共に、Microsoft Defender for Cloud の脅威保護モジュールは、より詳細なセキュリティ アラートを次の対象から収集できます。

  • 個別の Azure コンピューティング リソース (仮想マシン、コンテナー、および App Service)。
  • データ リソース (SQL DB とストレージ)。
  • Azure サービス レイヤー。

この機能を使用することにより、個々のリソース内でアカウントの異常を確認できます。

責任: Customer

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス: Azure Data Box は、仮想ネットワークへのデプロイを想定していません。

NSG を使用して、Azure Data Box リソースとの間でやり取りされるトラフィックを強制または通過することはできません。 そのため、Azure Data Box の NSG フロー ログを構成することはできません。

Azure Data Box は、お客様のアクセスのために処理するすべてのネットワーク トラフィックをログに記録します。

Azure Data Box では、DNS ログを構成したり、顧客に公開したりすることはできません。

責任: 共有

LT-4:Azure リソースのログ記録を有効にする

ガイダンス: アクティビティ ログには、Azure Data Box リソースに対するすべての書き込み操作 (PUT、POST、および DELETE) が含まれています。 このログは、自動的に使用可能になりますが、読み取り操作 (GET) は含まれません。 トラブルシューティング時に、アクティビティ ログを使用してエラーを見つけることができます。 または、組織内のユーザーがリソースを変更した方法を監視できます。

Data Box は、次のリソースログを生成します。

  • コピー ログ
  • 監査ログ
  • インポート順の BOM ファイル
  • エクスポート順の詳細ログ

Azure Data Box は、ローカル管理者アカウントに関するセキュリティ監査ログも生成します。

責任: 共有

LT-7:承認された時刻同期ソースを使用する

ガイダンス: Data Box は、既定の Microsoft NTP サーバーを使用します。 既定の NTP サーバーにアクセス可能なネットワークに Azure Data Box を接続します。 そうしなければ、接続が切断された場合に Azure Data Box 時間がずれる可能性があります。

責任: 共有

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: Azure Data Box は、Microsoft Defender for Cloud の特定のポリシーをサポートしていません。

Azure ポリシーを設定して、Azure Data Box の二重暗号化を有効にできます。 または、Data Box を発注するときに、デバイス上の保存データの二重暗号化を有効にするように要求します。

責任: Customer

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Data Box は、注文期間を通して、デバイスのすべてのセキュリティ設定を構成してロックします。

責任: Microsoft

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: 適用外。Azure Data Box は、脆弱性評価をサポートしていません。

Microsoft で Azure Data Box 上の内部脆弱性スキャンが実行されます。

責任: Microsoft

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: Microsoft は、すべてのサードパーティ製ソフトウェア更新プログラムを管理します。

責任: Microsoft

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス: 必要に応じて、Azure リソースに対して侵入テストまたは Red Team アクティビティを実施します。 すべての重大なセキュリティの検出結果を必ず修復してください。

侵入テストが Microsoft のポリシーに違反していないことを保証するには、Microsoft Cloud 侵入テストの実施ルールに従ってください。 Microsoft が管理している次のものに対する Red Teaming およびライブ サイト侵入テストに関する、Microsoft の戦略と実施を活用してください。

  • クラウド インフラストラクチャ
  • サービス
  • アプリケーション

詳細については、次の記事を参照してください。

責任: Customer

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-2: 一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: Azure Data Box では Windows Defender が有効になっています。

責任: Microsoft

ES-3: マルウェア対策ソフトウェアとシグネチャが確実に更新されるようにする

ガイダンス: Microsoft は、Azure Data Box で Windows Defender を有効にし、更新プログラムを維持します。

責任: Microsoft

バックアップと回復

詳細については、Azure セキュリティ ベンチマーク: バックアップと回復に関するページを参照してください。

BR-3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス: バックアップされたカスタマー マネージド キーが復元可能なことを定期的に確認してください。

責任: Customer

BR-4:キー紛失のリスクを軽減する

ガイダンス: キーの紛失を回避および復旧する手段を用意します。 Azure Key Vault で論理的な削除と消去保護を有効にします。 このアクションは、偶発的または悪意のある削除からキーを保護します。

責任: Customer

次のステップ