Microsoft Defender for IoT の Azure セキュリティ ベースライン

このセキュリティ ベースラインによって、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Microsoft Defender for IoT に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Azure セキュリティ ベンチマークで定義されているセキュリティ制御と、Microsoft Defender for IoT に適用できる関連ガイダンスでグループ化されています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Microsoft Defender for IoT に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Microsoft Defender for IoT がどのように Azure セキュリティ ベンチマークに完全にマップされているかを確認するには、完全な Microsoft Defender for IoT のセキュリティ ベースライン マッピング ファイルを参照してください。

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Microsoft Defender for IoT は、Azure の既定の ID およびアクセス管理サービスである Azure Active Directory (Azure AD) と統合されています。 Azure AD を標準化して、次のリソースでの組織の ID とアクセス管理を統制する必要があります。

  • Azure portal、Azure Storage、Azure 仮想マシン (Linux と Windows)、Azure Key Vault、PaaS、SaaS アプリケーションなどの Microsoft Cloud リソース。
  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位を持つ必要があります。 Azure AD では、Microsoft のベスト プラクティスの推奨事項を基準にした、お客様の ID セキュリティ体制を評価するために役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

Azure AD では、外部 ID がサポートされます。これにより、Microsoft アカウントを持たないユーザーが、外部 ID を使用してアプリケーションやリソースにサインインできるようになります。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: Microsoft Defender for IoT では、Azure Active Directory (Azure AD) を使用して、Azure リソース、クラウド アプリケーション、オンプレミスのアプリケーションに ID およびアクセスの管理を提供します。 これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。 これにより、オンプレミスおよびクラウド内の組織のデータとリソースへのアクセスを管理し、セキュリティで保護するためのシングルサインオン (SSO) が可能になります。 すべてのユーザー、アプリケーション、デバイスを Azure AD に接続することで、シームレスで安全なアクセスを実現し、可視性と制御性を高めることができます。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス: Microsoft Defender for IoT は、Azure のロールベースのアクセス制御 (RBAC) との統合により、そのリソースを管理します。 Azure RBAC を使用すると、ロールの割り当てによって Azure リソースへのアクセスを管理できます。 これらのロールを、ユーザー、グループ サービス プリンシパル、およびマネージド ID に割り当てることができます。 特定のリソースに対して定義済みの組み込みロールがあります。これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたは照会できます。 Azure RBAC を使用してリソースに割り当てる特権は、常に、ロールで必要なものに制限する必要があります。 これは、Azure Active Directory (Azure AD) Privileged Identity Management (PIM) の Just-in-Time (JIT) アプローチを補完するものであり、定期的に見直す必要があります。

組み込みのロールを使用してアクセス許可を割り当て、カスタム ロールは必要な場合にのみ作成します。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

ガイダンス:お使いの機密データを検出、分類、ラベル付けすると、組織の技術システムで機密情報が安全に保存、処理、および転送されるコントロールを適切に設計できます。 Azure、オンプレミス、Office 365 などの場所にある Office ドキュメントの機密情報には、Azure Information Protection (とこれに付随するスキャン ツール) を使用します。

Azure SQL Database に格納されている情報の分類とラベル付けには、Azure SQL Information Protection を使用します。

責任: Customer

DP-2:機密データを保護する

ガイダンス:機密データを保護するには、Azure のロール ベースのアクセス制御 (Azure RBAC)、ネットワーク ベースのアクセス制御、(SQL などのデータベースでの暗号化など) Azure サービスの特定の制御を使用してアクセスを制限します。 一貫したアクセス制御を確保するには、自分の企業のセグメント化戦略にすべての種類のアクセス制御を合わせる必要があります。 企業のセグメント化戦略では、機密またはビジネスに重要なデータやシステムの場所からも通知される必要があります。

Microsoft によって管理される基になるプラットフォームの場合、Microsoft では顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護します。 Microsoft では、Azure 内の顧客データが確実にセキュリティで保護されるように、データ保護コントロールおよび機能をいくつか実装しています。

責任: Customer

DP-4:転送中の機密情報を暗号化する

ガイダンス:転送中のデータが攻撃者に簡単に読み取られたり変更されたりしないよう、暗号化を使用して "帯域外" 攻撃 (トラフィックのキャプチャなど) から保護し、アクセス制御を補完する必要があります。 これはプライベート ネットワーク上のトラフィックでは省略できますが、外部ネットワークとパブリック ネットワーク上のトラフィックには重要です。 ご自分の Azure リソースに接続するすべてのクライアントの HTTP トラフィックのネゴシエートには、確実に TLS v1.2 以上を使用してください。 リモート管理には、暗号化されていないプロトコルではなく、(Linux の場合) SSH または (Windows の場合) RDP/TLS を使用します。 SSL、TLS、SSH の古いバージョンとプロトコル、および弱い暗号は無効にする必要があります。

既定では Azure によって、Azure のデータ センター間の転送データが暗号化されます。

責任: Customer

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ リスクの監視は、セキュリティ チームの責任の構造に応じて、中央のセキュリティ チームまたはローカル チームの責任になります。 ただし、セキュリティ分析情報とリスクは、常に組織内で一元的に集計する必要があります。

セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。

ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス:Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-7:承認された時刻同期ソースを使用する

ガイダンス: Microsoft Defender for IoT は、独自の時刻同期ソースの構成をサポートしていません。 Microsoft Defender for IoT サービスは Microsoft の時刻同期ソースに依存しており、構成のために顧客に公開されてはいません。

責任: Microsoft

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: 適用できません。Microsoft Defender for IoT をサポートする基になるシステムに対する脆弱性の管理は、Microsoft が行います。

責任: Microsoft

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス:必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。 お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

次のステップ