Microsoft Azure 用カスタマー ロックボックスの Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 1.0 のガイダンスがカスタマー ロックボックスに適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Customer Lockbox に適用される Azure セキュリティ ベンチマークと関連ガイダンスで定義されているセキュリティ コントロールによってグループ化されています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Microsoft Azure 向けのカスタマー ロックボックスに適用されないコントロール、または Microsoft が責任を持つものは、除外されています。 Microsoft Azure 向けのカスタマー ロックボックスを完全に Azure セキュリティ ベンチマークにマップする方法については、Microsoft Azure 向けカスタマー ロックボックスの完全なセキュリティ ベースライン マッピング ファイルを参照してください。

ログ記録と監視

詳細については、Azure セキュリティ ベンチマークの「ログ記録と監視」を参照してください。

2.2:セキュリティ ログの一元管理を構成する

ガイダンス: カスタマー ロックボックスの監査ログは、Azure アクティビティ ログで自動的に有効にされ、管理されます。 このデータを表示するには、Azure アクティビティ ログから Log Analytic ワークスペースにそれをストリーミングし、そこでそれに関する調査と分析を実行できます。

カスタマー ロックボックスによって生成されたアクティビティ ログを Microsoft Sentinel または別の SIEM にオンボードして、中央のログの集計と管理を有効にします。

責任: Customer

2.3:Azure リソースの監査ログ記録を有効にする

ガイダンス: カスタマー ロックボックスの監査ログは、Azure アクティビティ ログで自動的に有効にされ、管理されます。 このデータを表示するには、Azure アクティビティ ログから Log Analytic ワークスペースにそれをストリーミングし、そこでそれに関する調査と分析を実行できます。

責任: Customer

2.5:セキュリティ ログのストレージ保持を構成する

ガイダンス: Azure Monitor で、組織のコンプライアンス規則に従って、カスタマー ロックボックスに関連付けられている Log Analytics ワークスペースのログの保持期間を設定します。

責任: Customer

2.6:ログを監視して確認する

ガイダンス: カスタマー ロックボックスの監査ログは、Azure アクティビティ ログで自動的に有効にされ、管理されます。 このデータを表示するには、Azure アクティビティ ログから Log Analytic ワークスペースにそれをストリーミングし、そこでそれに関する調査と分析を実行できます。 異常な動作について、カスタマー ロックボックス要求からのログを分析し、監視します。 Microsoft Sentinel ワークスペースの "ログ" セクションを使用して、クエリを実行したり、カスタマー ロックボックス ログに基づいてアラートを作成したりします。

責任: Customer

2.7:異常なアクティビティについてのアラートを有効にする

ガイダンス: カスタマー ロックボックスの監査ログは、Azure アクティビティ ログで自動的に有効にされ、管理されます。 このデータを表示するには、Azure アクティビティ ログから Log Analytic ワークスペースにそれをストリーミングし、そこでそれに関する調査と分析を実行できます。 異常な動作について、カスタマー ロックボックス要求からのログを分析し、監視します。 Microsoft Sentinel ワークスペースの "ログ" セクションを使用して、クエリを実行したり、カスタマー ロックボックス ログに基づいてアラートを作成したりします。

責任: Customer

ID およびアクセス制御

詳細については、Azure セキュリティ ベンチマークの「ID およびアクセス制御」を参照してください。

3.1: 管理アカウントのインベントリを維持する

ガイダンス: カスタマー ロックボックス要求への管理アクセス権を持つユーザー アカウントのインベントリを保持します。 サブスクリプションの Azure portal にある ID およびアクセス管理 (IAM) ウィンドウを使用して、Azure ロールベースのアクセス制御 (Azure RBAC) を構成できます。 ロールは、Azure Active Directory (Azure AD) 内のユーザー、グループ、サービス プリンシパル、およびマネージド ID に適用されます。

お客様の組織で、Azure サブスクリプションの所有者ロールを持つユーザーに、保留中のアクセス要求について通知するメールが Microsoft から送信されます。 カスタマー ロックボックス要求では、このユーザーが承認者に指定されます。

責任: Customer

3.2: 既定のパスワードを変更する (該当する場合)

ガイダンス: Azure Active Directory (Azure AD) には、既定のパスワードの概念がありません。 パスワードを必要とする他の Azure リソースでは、パスワードが強制的に作成されます。これには複雑な要件と、サービスによって異なるパスワードの最小文字数が適用されます。 既定のパスワードが使用される可能性があるサードパーティ製のアプリケーションとマーケットプレース サービスについては、お客様が責任を負うものとします。

責任: Customer

3.3: 専用管理者アカウントを使用する

ガイダンス: 専用管理者アカウントの使用に関する標準的な操作手順を作成します。 Microsoft Defender for Cloud の ID およびアクセス管理を使用して、管理アカウントの数を監視します。

さらに、専用管理者アカウントを追跡できるように、Microsoft Defender for Cloud または組み込みの Azure Policy の次のような推奨事項を使用することもできます。

責任: Customer

3.4: Azure Active Directory シングル サインオン (SSO) を使用する

ガイダンス: 適用できません。カスタマー ロックボックスへのアクセスは、Azure portal から行い、所有者のテナント ロールを持つアカウント用に予約されています。 シングル サインオンはサポートされていません。

責任: Customer

3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する

ガイダンス: Azure AD 多要素認証を有効にし、Microsoft Defender for Cloud の ID およびアクセス管理の推奨事項に従います。

責任: Customer

3.6: セキュリティで保護された Azure マネージド ワークステーションを管理タスクに使用する

ガイダンス: Azure AD Multi-Factor Authentication 対応の特権アクセス ワークステーション (PAW) を使用して、ログインし、カスタマー ロックボックス要求を構成します。

責任: Customer

3.7: 管理者アカウントからの疑わしいアクティビティに関するログとアラート

ガイダンス: Azure Active Directory (Azure AD) Privileged Identity Management (PIM) を使用して、環境内で疑わしいアクティビティまたは安全ではないアクティビティが発生したときにログとアラートを生成します。

また、Azure AD のリスク検出を使用して、危険なユーザーの行動に関するアラートとレポートを表示します。

責任: Customer

3.8:承認された場所からのみ Azure リソースを管理する

ガイダンス:条件付きアクセスのネームド ロケーションを使用して、IP アドレスの範囲、国、またはリージョンの特定の論理グループからのみ Azure portal へのアクセスを許可します。

責任: Customer

3.9: Azure Active Directory を使用する

ガイダンス:Azure Active Directory (Azure AD) を中央認証および承認システムとして使用します (該当する場合)。 Azure AD でデータを保護するには、保存データと転送中のデータに強力な暗号化を使用します。 また、Azure AD では、ユーザーの資格情報がソルト化およびハッシュされ、安全に格納されます。

責任: Customer

3.10: ユーザー アクセスを定期的に確認して調整する

ガイダンス: Azure Active Directory (Azure AD) では、古いアカウントの検出に役立つログが提供されます。 また、Azure AD アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理します。 ユーザー アクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。

責任: Customer

3.11: 非アクティブ化された資格情報へのアクセスの試行を監視する

ガイダンス: Azure Active Directory (Azure AD) を中央認証および承認システムとして使用します (該当する場合)。 Azure AD でデータを保護するには、保存データと転送中のデータに強力な暗号化を使用します。 また、Azure AD では、ユーザーの資格情報がソルト化およびハッシュされ、安全に格納されます。

Azure AD サインイン アクティビティ、監査、リスク イベント ログのソースにアクセスできるため、Microsoft Sentinel またはサードパーティの SIEM と統合することができます。

このプロセスを効率化するには、Azure AD ユーザー アカウントの診断設定を作成し、監査ログとサインイン ログを Log Analytics ワークスペースに送信します。 Log Analytics 内で必要なログ アラートを構成できます。

責任: Customer

3.12: アカウント サインイン動作の偏差に関するアラートを生成する

ガイダンス: コントロール プレーン (例: Azure portal) でのアカウント ログイン動作の偏差について、Azure Active Directory (Azure AD) ID 保護とリスク検出機能を使用して、ユーザー ID に関連して検出された疑わしいアクションへの自動応答を構成します。 Microsoft Sentinel にデータを取り込んで、さらに詳しく調査することもできます。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

4.6:ロールベースのアクセス制御を使用してリソースへのアクセスを制御する

ガイダンス:カスタマー ロックボックス要求の承認は、テナント レベルで所有者ロールを保持しているユーザーに付与されます。

責任: Customer

4.9:重要な Azure リソースへの変更に関するログとアラート

ガイダンス: カスタマー ロックボックスの監査ログは、Azure アクティビティ ログで自動的に有効にされ、管理されます。 Azure アクティビティ ログを使用して、Azure カスタマー ロックボックス リソースへの変更を監視し、検出します。 重要なリソースへの変更が発生するとトリガーされる Azure Monitor 内のアラートを作成します。

責任: Customer

インベントリと資産の管理

詳細については、Azure セキュリティ ベンチマークの「インベントリと資産の管理」を参照してください。

6.1:自動化された資産検出ソリューションを使用する

ガイダンス:Azure Resource Graph を使用して、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) のクエリまたは検出を行います。 テナントで適切な (読み取り) アクセス許可を確認し、サブスクリプション内のリソースだけでなく、すべての Azure サブスクリプションを列挙します。

従来の Azure リソースは Azure Resource Graph で検出できますが、Azure Resource Manager リソースを作成して使用することを強くお勧めします。

責任: Customer

6.3:承認されていない Azure リソースを削除する

ガイダンス: Azure リソースを整理および追跡するには、必要に応じて、タグ付け、管理グループ、個別のサブスクリプションを使用します。 定期的にインベントリを調整し、承認されていないリソースがサブスクリプションから適切なタイミングで削除されるようにします。

さらに、Azure Policy を使用し、次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類を制限します。

  • 許可されないリソースの種類
  • 許可されるリソースの種類

詳細については、次のリファレンスを参照してください。

責任: Customer

6.5:承認されていない Azure リソースを監視する

ガイダンス: Azure Policy を使用して、サブスクリプションで作成できるリソースの種類に制限を設けます。

Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 環境に存在するすべての Azure リソースが承認されていることを確認します。

責任: Customer

6.9:承認された Azure サービスのみを使用する

ガイダンス: 次の組み込みのポリシー定義を使用して、サブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。

  • 許可されないリソースの種類
  • 許可されるリソースの種類

詳細については、次のリファレンスを参照してください。

責任: Customer

6.11:Azure Resource Manager を操作するユーザーの機能を制限する

ガイダンス: Azure 条件付きアクセスを使用して Azure Resource Manager とやりとりするユーザーの機能を制限するには、"Microsoft Azure 管理" アプリに対して [アクセスのブロック] を構成します。

責任: Customer

セキュリティで保護された構成

詳細については、Azure セキュリティ ベンチマークの「セキュリティで保護された構成」を参照してください。

7.13:意図しない資格情報の公開を排除する

ガイダンス: コード内で資格情報を特定する資格情報スキャナーを実装します。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。

責任: Customer

マルウェアからの防御

詳細については、Azure セキュリティ ベンチマークの「マルウェアからの防御」を参照してください。

8.2:非コンピューティング Azure リソースにアップロードするファイルを事前にスキャンする

ガイダンス: カスタマー ロックボックスなどの Azure サービスをサポートする基になるホストで、Microsoft Antimalware が有効にされています。

非コンピューティング Azure リソースにアップロードされている任意のコンテンツを事前にスキャンするのは、お客様の責任となります。 Microsoft は、お客様のデータにアクセスできないため、お客様に代わってお客様のコンテンツのマルウェア対策スキャンを実行することはできません。

責任: Customer

インシデント対応

詳細については、Azure セキュリティ ベンチマークの「インシデント対応」を参照してください。

10.1:インシデント対応ガイドを作成する

ガイダンス: 組織のインシデント対応ガイドを作成します。 要員のすべてのロールを定義するインシデント対応計画が記述されていることと、検出からインシデント後のレビューまでのインシデント対応/管理のフェーズがあることを確認します。

責任: Customer

10.2:インシデントのスコアリングと優先順位付けの手順を作成する

ガイダンス: Microsoft Defender for Cloud によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。 重要度は、アラートの発行に使用された検出内容またはメトリックに対する Microsoft Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。

さらに、サブスクリプション (運用、非運用など) を明確にマークし、Azure リソースを明確に識別および分類するための命名システムを作成します。

責任: Customer

10.3:セキュリティ対応手順のテスト

ガイダンス:定期的にシステムのインシデント対応機能をテストする演習を実施します。 弱点やギャップを特定し、必要に応じて計画を見直します。

責任: Customer

10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します

ガイダンス:セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) で、不正なユーザーまたは権限のないユーザーによるお客様のデータへのアクセスが検出された場合に、Microsoft からの連絡先として使用されます。 事後にインシデントをレビューして、問題が解決されていることを確認します。

責任: Customer

10.5:インシデント対応システムにセキュリティ アラートを組み込む

ガイダンス: 連続エクスポート機能を使用して Microsoft Defender for Cloud のアラートと推奨事項をエクスポートします。 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。 Microsoft Defender for Cloud データ コネクタを使用してアラートを Microsoft Sentinel にストリーミングできます。

責任: Customer

10.6:セキュリティ アラートへの対応を自動化する

ガイダンス: セキュリティ アラートや推奨事項に対して「Logic Apps」経由で応答を自動的にトリガーするには、Microsoft Defender for Cloud のワークフローの自動化機能を使用します。

責任: Customer

侵入テストとレッド チーム演習

詳細については、Azure セキュリティ ベンチマークの「侵入テストとレッド チーム演習」を参照してください。

11.1:Azure リソースの通常の侵入テストを実施し、セキュリティに関する重大な調査結果がすべて、確実に修復されるようにする

ガイダンス: お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

次のステップ