Azure Machine Learning の Azure セキュリティ ベースライン

このセキュリティ ベースラインでは、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Microsoft Azure Machine Learning に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、セキュリティ制御によってグループ化されています。これは、Azure セキュリティ ベンチマークと、Azure Machine Learning に適用できる関連ガイダンスによって定義されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

セクションに関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Azure Machine Learning に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Azure Machine Learning を Azure セキュリティ ベンチマークに完全にマップする方法については、完全な Azure Machine Learning セキュリティ ベースライン マッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス: Azure Machine Learning リソースをデプロイする場合は、仮想ネットワークを作成するか、既存のものを使用します。 すべての Azure 仮想ネットワークが、ビジネス リスクに合わせたエンタープライズ セグメント化の原則に従っていることを確認します。 独自の仮想ネットワーク内で組織のリスクを高める可能性のあるシステムを分離します。 ネットワーク セキュリティ グループ (NSG) または Azure Firewall を使用して、システムを十分に保護します。

責任: Customer

NS-2: プライベート ネットワークをまとめて接続する

ガイダンス:Azure ExpressRoute または Azure 仮想プライベート ネットワーク (VPN) を使用して、コロケーション環境内で Azure のデータセンターとオンプレミスのインフラストラクチャ間のプライベート接続を作成できます。

ExpressRoute 接続はパブリック インターネットを経由しないため、一般的なインターネット接続と比べて信頼性が高く、高速で、待ち時間も短くなります。 ポイント/サイト間 VPN とサイト間 VPN の場合は、オンプレミスのデバイスやネットワークを仮想ネットワークに接続できます。 これらの VPN オプションと Azure ExpressRoute を組み合わせて使用します。

2 つ以上の Azure 仮想ネットワークを接続するには、仮想ネットワーク ピアリングを使用します。 ピアリングされた仮想ネットワーク間のトラフィックはプライベートであり、Azure のバックボーン ネットワーク上に留まります。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy の組み込み定義 - Microsoft.MachineLearningServices:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 Audit、Deny、Disabled 1.1.0

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス: Azure Private Link を使用して、インターネットを経由せずに、仮想ネットワークから Azure Machine Learning へのプライベート アクセスを有効にします。 プライベート アクセスは、Azure 認証とトラフィック セキュリティに多層防御手段を追加します。

Azure Machine Learning ではサービス エンドポイントは提供されません。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy の組み込み定義 - Microsoft.MachineLearningServices:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 Audit、Deny、Disabled 1.1.0

NS-4: 外部ネットワーク攻撃からアプリケーションやサービスを保護する

ガイダンス: 外部ネットワークからの攻撃に対して Azure Machine Learning リソースを保護します。 攻撃には次のものが含まれます。

  • 分散型サービス拒否 (DDoS) 攻撃
  • アプリケーション固有の攻撃
  • 未承諾で悪意のある可能性があるインターネット トラフィック

Azure Firewall を使用して、インターネットや他の外部の場所からの、悪意がある可能性のあるトラフィックから、アプリケーションやサービスを保護します。 Azure 仮想ネットワークで DDoS Protection Standard を有効にすることで、DDoS 攻撃から資産を保護します。 Microsoft Defender for Cloud を使用して、ネットワーク関連リソース内の構成の誤りのリスクを検出します。

Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) の Web Application Firewall (WAF) 機能を使用します。 これらの機能により、Azure Machine Learning で実行されるアプリケーションをアプリケーション レイヤーの攻撃から保護します。

責任: Customer

NS-6: ネットワーク セキュリティ規則を簡略化する

ガイダンス: ネットワーク セキュリティ グループまたは Azure Firewall での Azure Machine Learning リソースに対するネットワーク アクセス制御を定義するには、Azure Virtual Network サービス タグを使用します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 サービスのトラフィックを許可または拒否するには、適切なルールのソースまたはターゲットのフィールドに "azuremachinelearning" のようなサービス タグ名を指定します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。

注: リージョン タグ "azuremachinelearning" は現在はサポートされていません。

責任: Customer

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: Azure Machine Learning についての DNS 構成のベスト プラクティスに従います。 詳細については、「カスタム DNS サーバーでワークスペースを使用する方法」を参照してください。

DNS セキュリティのベスト プラクティスに従って、次のような一般的な攻撃を軽減します。

  • ダングリング DNS
  • DNS アンプ攻撃
  • DNS ポイズニングおよびスプーフィング

DNS サービスとして Azure DNS を使用する場合は、Azure のロールベースのアクセス制御 (RBAC) とリソース ロックを使用して、DNS ゾーンとレコードを偶発的な変更や悪意のある変更から保護してください。

責任: Customer

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Azure Machine Learning は、デフォルトの ID およびアクセス管理サービスとして Azure AD を使用します。 Azure AD を標準化して、以下での組織の ID およびアクセス管理を統制します。

  • Microsoft Cloud リソース。 リソースには以下が含まれます。

    • Azure ポータル

    • Azure Storage

    • Azure Linux および Windows 仮想マシン

    • Azure Key Vault

    • サービスとしてのプラットフォーム (PaaS)

    • サービスとしてのソフトウェア (SaaS) アプリケーション

  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位に位置付ける必要があります。 Azure AD により、ID セキュリティ態勢を Microsoft のベスト プラクティスの推奨事項と比較するのに役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

注: Azure AD では、外部 ID がサポートされています。これにより、Microsoft アカウントを持たないユーザーが、アプリケーションやリソースにサインインできるようになります。

責任: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス: Azure Machine Learning では、Azure AD を使用して、リソース レベルでアクセス許可が制限されるサービス プリンシパルを作成します。 証明書の資格情報を使用してサービス プリンシパルを構成し、クライアント シークレットにフォールバックします。

Azure で管理された ID と一緒に Azure Key Vault を使用することで、Azure Functions のようなランタイム環境がキー コンテナーから資格情報を取得できます。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: Azure Machine Learning では Azure AD の ID とアクセスの管理を、Azure リソース、クラウド アプリケーション、オンプレミス アプリケーションに使用します。 ID には、従業員などのエンタープライズ ID と、パートナー、ベンダー、サプライヤーなどの外部 ID が含まれます。

Azure AD は、組織のオンプレミスとクラウドのデータとリソースへのアクセスを管理して保護するためにシングル サインオン (SSO) を提供します。

すべてのユーザー、アプリケーション、デバイスを Azure AD に接続します。 Azure AD は、セキュリティで保護されたシームレスなアクセスと、優れた可視性および制御を提供します。

責任: Customer

IM-7:意図しない資格情報の公開を排除する

ガイダンス: Azure Machine Learning を使用すると、お客様が、コードまたは構成をデプロイして実行したり、ID またはシークレットを含む可能性のあるデータを保持したりすることができます。 資格情報スキャナーを使用して、コード、構成、またはデータでこれらの資格情報を検出します。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などの安全な場所に移動しやすくなります。

GitHub の場合、ネイティブ シークレット スキャン機能を使用して、コード内で資格情報やその他のシークレットを識別できます。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス: 最も重要な組み込み Azure AD ロールは、グローバル管理者と特権ロール管理者です。 この 2 つのロールを持っているユーザーは、管理者ロールを委任できます。

  • グローバル管理者または会社の管理者は、Azure AD ID を使用するすべての Azure AD 管理機能とサービスにアクセスできます。

  • 特権ロール管理者は、Azure AD と Azure AD Privileged Identity Management (PIM) におけるロールの割り当てを管理できます。 このロールは、PIM と管理単位のすべての側面を管理できます。

高い特権を持つアカウントまたはロールの数を制限し、これらのアカウントを昇格されたレベルで保護します。 高い特権を持つユーザーは、すべての Azure リソースを直接的または間接的に読み取って変更できます。

Azure AD PIM を使用して、Azure リソースと Azure AD への Just-In-Time (JIT) の特権アクセスを有効にすることができます。 ユーザーが必要とする場合にのみ特権タスクを実行するための一時的なアクセス許可は、JIT によって付与されます。 PIM を使用すると、Azure AD 組織内の不審な、または安全でないアクティビティに対して、セキュリティ アラートを生成することもできます。

Azure Machine Learning には、新しいワークスペースが作成されるときに使用される 3 つの既定のロールがあります。 所有者アカウントを使用するための標準的な運用手順を作成します。

責任: Customer

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: Azure Machine Learning では、Azure AD アカウントを使用してリソースを管理します。 ユーザー アカウントとアクセス割り当てを定期的に見直して、アカウントとそのアクセス権を適切に保ってください。 Azure AD アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーション アクセス、およびロールの割り当てをレビューすることができます。

Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。 また、Azure AD PIM でアクセス レビュー レポート ワークフローを作成し、レビュー プロセスを簡素化することもできます。

管理者アカウントが多すぎる場合にアラートを出すように、Azure AD PIM を構成できます。 PIM は、古い管理者アカウントや不適切に構成されている管理者アカウントを特定できます。

Azure Machine Learning には、データ科学者と UX サービス ユーザーのための組み込みのロールが用意されています。

注:一部の Azure サービスでは、Azure AD で管理されていないローカル ユーザーとロールがサポートされています。 これらのユーザーは別個に管理します。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス: セキュリティで保護された分離したワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高いロールのセキュリティには非常に重要です。 管理タスクには、高度なセキュリティで保護されたユーザー ワークステーションや Azure Bastion を使用します。

Azure AD、Microsoft Defender ATP、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションを展開します。 セキュリティで保護されたワークステーションを一元的に管理することで、次のようなセキュリティ構成を強制できます。

  • 強力な認証

  • ソフトウェアとハードウェアのベースライン

  • 制限付きの論理アクセスとネットワーク アクセス

詳細については、次のリファレンスを参照してください。

責任: Customer

PA-7: 最小限の特権の原則である Just Enough Administration に従う

ガイダンス: Azure Machine Learning は Azure RBAC と統合して、そのリソースを管理します。 RBAC を使用して、ロールの割り当てによって Azure リソースへのアクセスを管理します。 ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。 特定のリソースには、定義済みの組み込みロールがあります。 Azure CLI、Azure PowerShell、Azure portal などのツールを使用して、これらのロールのインベントリを作成したりクエリを実行できます。

Azure RBAC を使用してリソースに割り当てる特権を、ロールで必要なものに制限します。 この方法は、Azure AD PIM の Just-In-Time (JIT) アプローチを補完します。 ロールと割り当てを定期的に確認します。

組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。

Azure Machine Learning には、データ科学者と UX サービス ユーザーのための組み込みのロールが用意されています。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

ガイダンス: 機密データを検出、分類、ラベル付けします。 組織のテクノロジ システムで機密情報が安全に格納、処理、送信されるように、適切なコントロールを設計します。

Office ドキュメント内の機密情報には、Azure Information Protection (AIP) とそれに関連するスキャン ツールを使います。 AIP は、Azure、Office 365、オンプレミス、またはその他の場所で使用できます。

Azure SQL Information Protection を使って、Azure SQL Database に格納されている情報を分類し、ラベルを付けることができます。

責任: Customer

DP-2:機密データを保護する

ガイダンス: Azure RBAC、ネットワーク ベースのアクセス制御、Azure サービスの特定の制御を使用してアクセスを制限することで、機密データを保護します。 たとえば、SQL やその他のデータベースで暗号化を使用します。

一貫性を確保するために、すべての種類のアクセス制御を自社のセグメント化戦略に合わせて調整します。 機密性の高いまたはビジネスに不可欠なデータやシステムの場所による会社のセグメント化戦略を通知します。

Microsoft は、基礎となる Microsoft が管理するプラットフォーム内のすべてのお客様のコンテンツを機密として扱います。 Microsoft は、お客様のデータを損失や漏洩から保護します。 Microsoft は、Azure のお客様のデータを安全に保つための既定のデータ保護制御および機能を備えています。

責任: Customer

DP-3:機密データの不正転送を監視する

ガイダンス: 企業が可視および制御できる範囲外の場所にデータが不正に転送されるのを監視することができます。 不正なデータ流出を示す可能性のある、大規模な転送や普通と違う転送のような異常な活動を監視します。

Azure Storage ATP と Azure SQL ATP によって、機密情報の不正転送を示す可能性がある、異常な情報転送を警告できます。

AIP には、分類およびラベル付けされた情報を監視する機能があります。

DLP に準拠する必要がある場合は、ホスト ベースの DLP ソリューションを使って、検出と予防のコントロールを適用し、データ流出を防ぐことができます。

責任: Customer

DP-4:転送中の機密情報を暗号化する

ガイダンス: アクセス制御を補完するために、トラフィック キャプチャなどの帯域外攻撃から転送中のデータを保護します。 暗号化を使用して、攻撃者がデータを簡単に読み取ったり変更したりできないようにします。 Azure Machine Learning では、トランスポート層セキュリティ (TLS) v1.2 による転送中のデータの暗号化がサポートされています。

この要件は、プライベート ネットワーク上のトラフィックでは省略できますが、外部ネットワークとパブリック ネットワーク上のトラフィックには不可欠です。 HTTP トラフィックの場合は、Azure リソースに接続するクライアントが確実に TLS v1.2 以降を使用できるようにしてください。

リモート管理では、Linux 用のセキュア シェル (SSH) または Windows 用のリモート デスクトップ プロトコル (RDP) と TLS を使用します。 暗号化されていないプロトコルは使用しないでください。 脆弱な暗号と古い SSL、TLS、および SSH のバージョンとプロトコルを無効にします。

Azure は、Azure データ センター間で転送中のデータを既定で暗号化します。

責任: Microsoft

DP-5:保存データを暗号化する

ガイダンス: Azure Machine Learning は、アクセス制御を補完するために、暗号化を使用して、保存データを "帯域外" 攻撃 (基になっているストレージへのアクセスなど) から保護します。 暗号化により、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。

既定では Azure によって保存データが暗号化されます。 機密性の高いデータの場合は、使用可能な Azure リソースで保存時の暗号化をさらに実装することができます。 Azure では暗号化キーが既定で管理されますが、一部の Azure サービスにはカスタマー マネージド キーのオプションが用意されています。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy の組み込み定義 - Microsoft.MachineLearningServices:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 Audit、Deny、Disabled 1.0.3

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ チームの責任がどのように構造化されているかによって、セキュリティ リスクの監視は中央のセキュリティ チームまたはローカル チームの責任になります。 組織内では、常にセキュリティ分析情報とリスクを一元的に集約します。

セキュリティ閲覧者アクセス許可をテナントのルート管理グループ全体に広範に適用するか、アクセス許可を特定の管理グループまたはサブスクリプションに範囲設定できます。

注: ワークロードとサービスを可視化するには、より多くのアクセス許可が必要になります。

責任: Customer

AM-2:セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス:Azure リソース、リソース グループ、サブスクリプションにタグを適用して、それらを論理的に分類できます。 各タグは名前と値で構成されます。 たとえば、運用環境のすべてのリソースには名前 "環境" と値 "運用" を適用できます。

Azure 仮想マシンのインベントリを使用して、仮想マシン (VM) 上のソフトウェアに関する情報の収集を自動化します。 ソフトウェアの名前、バージョン、発行元、および更新時刻は、Azure portal から入手できます。 インストール日やその他の情報にアクセスするには、ゲストレベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースにインポートします。

Microsoft Defender for Cloud 適応型アプリケーション制御を使用して、ルールを適用するファイルの種類を指定します。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス:Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーする規則を作成することもできます。

責任: Customer

AM-6:コンピューティング リソースで承認済みのアプリケーションのみを使用する

ガイダンス: Azure 仮想マシンのインベントリを使用して、VM 上のすべてのソフトウェアに関する情報の収集を自動化します。 ソフトウェアの名前、バージョン、発行元、および更新時刻は、Azure portal から入手できます。 インストール日やその他の情報にアクセスするには、ゲストレベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースに転送します。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス: Microsoft Defender for Cloud の組み込みの脅威検出機能を使用します。 Azure Machine Learning リソースに対して Microsoft Defender を有効にします。 Azure Machine Learning 用の Microsoft Defender により、追加のセキュリティ インテリジェンス レイヤーが提供されます。 Microsoft Defender によって、通常とは異なる、害を及ぼす可能性のある Azure Machine Learning リソースへのアクセスや悪用の試みが検出されます。

責任: Customer

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にする

ガイダンス: Azure AD には、以下のユーザー ログがあります。 ログは Azure AD レポートで確認できます。 Azure Monitor、Microsoft Sentinel などの SIEM および監視ツールとログを統合して、より高度な監視および分析のユース ケースに対応できます。

  • サインイン - マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報。

  • 監査ログ - Azure AD のさまざまな機能によって行われたすべての変更を、ログにより追跡可能です。 監査ログには、Azure AD 内のすべてのリソースに加えられた変更が含まれます。 変更には、ユーザー、アプリ、グループ、ロール、ポリシーの追加または削除が含まれます。

  • 危険なサインイン - ユーザー アカウントの正当な所有者でない可能性のあるユーザーによるサインイン試行を示します。

  • リスクのフラグ付きユーザー - セキュリティが侵害された可能性のあるユーザー アカウントを示します。

また Microsoft Defender for Cloud は、認証試行の失敗回数が多すぎるなど、特定の不審なアクティビティについても警告することができます。 サブスクリプションの非推奨アカウントも、アラートをトリガーすることがあります。

さらに Microsoft Defender for Cloud は、認証試行の失敗回数が多すぎるなどの不審なアクティビティや、非推奨アカウントについても警告することができます。

基本的なセキュリティ検疫監視に加えて、Microsoft Defender for Cloud の脅威保護モジュールは、より詳細なセキュリティ アラートを次の対象から収集できます。

  • VM、コンテナー、App Service などの個別の Azure コンピューティング リソース

  • Azure SQL Database や Azure Storage などのデータ リソース

  • Azure サービス レイヤー

この機能により、個々のリソースにおけるアカウントの異常を可視化できます。

責任: Customer

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス: セキュリティ分析の目的で、ネットワーク セキュリティ グループ (NSG) リソース ログ、NSG フロー ログ、Azure Firewall ログ、Web アプリケーション ファイアウォール (WAF) ログを有効にして収集します。 ログは、インシデント調査、脅威ハンティング、セキュリティ アラートの生成に役立ちます。 Azure Monitor Log Analytics ワークスペースにフロー ログを送信し、Traffic Analytics を使用して分析情報を提供できます。

他のネットワーク データを関連付けるために、DNS クエリ ログを収集してください。 組織のニーズに応じて、Azure Marketplace からサード パーティの DNS ログ記録ソリューションを実装できます。

責任: Customer

LT-4:Azure リソースのログ記録を有効にする

ガイダンス: アクティビティ ログは自動的に使用可能になります。 ログには、Azure Machine Learning リソースに対するすべての PUT 操作、POST 操作、および DELETE 操作は含まれますが、GET 操作は含まれません。 アクティビティ ログを使用して、トラブルシューティング時にエラーを見つけたり、組織内のユーザーがリソースを変更した方法を監視したりできます。

Azure Machine Learning に対し、Azure リソース ログを有効にします。 リソース ログとログ データの収集は、Microsoft Defender for Cloud と Azure Policy を使用して有効にすることができます。 これらのログは、セキュリティ インシデントの調査やフォレンジックの演習を行うためにきわめて重要となる可能性があります。

Azure Machine Learning で、ローカル管理者アカウントに関するセキュリティ監査ログも生成されます。 これらのローカル管理者監査ログを有効にします。 長期保有と監査のために中央の Log Analytics ワークスペースまたはストレージ アカウントに送信されるように、ログを構成します。

責任: Customer

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス:ログ記録のストレージと分析を一元化して、相関関係を有効にします。 ログ ソースごとに、以下のものがあることを確認します。

  • 任命されたデータ所有者
  • アクセス ガイダンス
  • 保存先
  • データの処理とアクセスに使用するツール
  • データ保持の要件

Azure アクティビティ ログを一元的なログ記録に統合してください。

Azure Monitor を介してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されるセキュリティ データを集計します。 Azure Monitor で、Log Analytics ワークスペースを使用し、クエリを実行して分析を行います。

長期およびアーカイブ ストレージには Azure Storage アカウントを使用します。

Microsoft Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードします。 多くの組織は、使用頻度の高い "ホット" データには Microsoft Sentinel を使い、使用頻度の低い "コールド" データには Azure Storage を使います。

Azure Machine Learning で実行されるアプリケーションの場合、すべてのセキュリティ関連ログが SIEM に転送され、一元的に管理されます。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス: Azure Machine Learning のログを格納するために使用するストレージ アカウントまたは Log Analytics ワークスペースに、組織のコンプライアンス規則に従ってログの保有期間が設定されていることを確認してください。

Azure Monitor で、組織のコンプライアンス規則に従って Log Analytics ワークスペースの保持期間を設定できます。 長期およびアーカイブ ストレージには、Azure Storage、Azure Data Lake、または Log Analytics ワークスペースのアカウントを使用します。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

Guidance: Azure Machine Learning では、独自の時刻同期ソースの構成をサポートしていません。 Azure Machine Learning service は、顧客による構成用には公開されていない Microsoft の時刻同期ソースに依存しています。

責任: Microsoft

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: Azure Machine Learning は、Azure リソースの構成の監査と適用のために Microsoft Defender for Cloud に用意されているサービス固有のポリシーをサポートしています。 これらのポリシーは、Microsoft Defender for Cloud または Azure Policy で構成できます。

Azure Blueprints を使用して、サービスとアプリケーション環境のデプロイと構成を自動化します。 1 つのブループリント定義に、Azure Resource Manager テンプレート、RBAC コントロール、およびポリシーを含めることができます。

責任: Customer

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Microsoft Defender for Cloud を使用して構成基準を監視します。 Azure Policy の [deny] および [deploy if not exist] を使用して、VM やコンテナーなどの Azure コンピューティング リソースにおいてセキュリティで保護された構成を強制します。

責任: Customer

PV-3: コンピューティング リソースにセキュリティで保護された構成を確立する

ガイダンス: Azure Machine Learning では、さまざまなコンピューティング リソース (ユーザー独自のコンピューティング リソース含む) について、さまざまなサポートが提供されています。 組織が所有するコンピューティング リソースの場合、Microsoft Defender for Cloud の推奨事項を使用してセキュリティ構成を維持します。 また、カスタム オペレーティング システム イメージまたは Azure Automation State Configuration を使って、組織に必要なオペレーティング システムのセキュリティ構成を設定できます。

Microsoft Defender for Cloud と Azure Policy を使用して、VM やコンテナーなど、すべてのコンピューティング リソースにセキュリティで保護された構成を確立します。

責任: Customer

PV-4: コンピューティング リソースに対するセキュリティで保護された構成を維持する

ガイダンス: Microsoft Defender for Cloud と Azure Policy を使用して、VM やコンテナーを含む Azure コンピューティング リソースに関する構成リスクを定期的に評価して修復します。 Azure Resource Manager (ARM) テンプレート、カスタム オペレーティング システム イメージ、または Azure Automation State Configuration を使用して、組織に必要なオペレーティング システムのセキュリティ構成を維持できます。

Microsoft VM テンプレートと Azure Automation State Configuration を組み合わせることで、セキュリティ要件を満たして維持するのに役立ちます。
Microsoft は、Azure Marketplace で公開する VM イメージの管理と維持を行います。

Microsoft Defender for Cloud では、コンテナー イメージの脆弱性をスキャンし、CIS Docker Benchmark に対して Docker コンテナー構成を継続的に監視できます。 Microsoft Defender for Cloud の推奨事項ページを使用して、推奨事項を表示したり、問題を修復したりします。

責任: Customer

PV-5: カスタム オペレーティング システムとコンテナーのイメージを安全に格納する

ガイダンス: Azure Machine Learning を使用すると、顧客はコンテナー イメージを管理できます。 Azure RBAC を使用して、確実に承認されたユーザーのみがカスタム イメージにアクセスできます。 Azure Shared Image Gallery を使用して、組織内のさまざまなユーザー、サービス プリンシパル、Azure AD グループに対してイメージを共有できます。 コンテナー イメージを Azure Container Registry に保存し、RBAC を使用して、承認されたユーザーのみがアクセスできるようにします。

責任: Customer

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Azure Machine Learning を使用すると、環境内のコンテナー レジストリを介してサービスをデプロイできます。

ご利用のコンテナー イメージに対して脆弱性評価を実行する際は Microsoft Defender for Cloud の推奨事項に従ってください。 Microsoft Defender for Cloud には、コンテナー イメージ用の組み込み脆弱性スキャナーがあります。

必要に応じて、スキャン結果を一定の間隔でエクスポートします。 以前のスキャンと結果を比較し、脆弱性が修復されていることを確認します。 Microsoft Defender for Cloud によって提案された脆弱性管理の推奨事項を使用する場合は、選択したソリューションのポータルに切り替えてスキャン データの履歴を表示できます。

Azure Machine Learning では、ネットワーク デバイスと Web アプリケーションで脆弱性評価を実行するためのサードパーティ ソリューションを使用できます。 リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントには、JIT プロビジョニングの方法論を実装することを検討してください。 スキャン アカウントの資格情報を保護および監視し、アカウントを脆弱性のスキャンにのみ使用します。

責任: Customer

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: Azure Machine Learning では、Azure Machine Learning service の一部としてオープンソース ソフトウェアが使用されます。

サードパーティ製ソフトウェアの場合は、サードパーティの修正プログラム管理ソリューションまたは Configuration Manager 用の System Center Updates Publisher を使用します。

責任: Customer

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス: 必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。

お客様の侵入テストが Microsoft のポリシーに違反しないようにするには、Microsoft Cloud 侵入テストの実施ルールに従ってください。 Microsoft の Red Teaming の戦略と実行を使用します。 Microsoft が管理するクラウド インフラストラクチャ、サービス、およびアプリケーションに対して、ライブ サイト侵入テストを実行します。

責任: 共有

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-1:エンドポイントでの検出と対応 (EDR) を使用する

ガイダンス: サーバーとクライアントのエンドポイント検出と応答 (EDR) 機能を有効にします。 SIEM およびセキュリティ運用プロセスと統合します。

Microsoft Defender Advanced Threat Protection では、高度な脅威を防御、検出、調査し、それに対応できるように、エンタープライズ エンドポイント セキュリティ プラットフォームの一部として EDR 機能を提供しています。

責任: Customer

ES-2: 一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: Azure Machine Learning とそのリソースを、一元管理された最新のマルウェア対策ソフトウェアで保護します。 リアルタイムスキャンと定期的なスキャンを実行できる、一元管理されたエンドポイントのマルウェア対策ソリューションを使用します。

  • Azure Cloud Services 向けの Microsoft Antimalware は、Windows VM の既定のマルウェア対策ソリューションです。

  • Linux VM の場合は、サードパーティのマルウェア対策ソリューションを使用します。

  • Azure Storage アカウントにアップロードされたマルウェアを検出するには、Microsoft Defender for Cloud のデータ サービス向け脅威検出を使用します。

  • Microsoft Defender for Cloud を使用して次の処理を自動的に行います。

    • ご使用の VM に対応した一般的なマルウェア対策ソリューションを特定する

    • エンドポイント保護の実行状態を報告する

    • 推奨を行います

詳細については、次のリファレンスを参照してください。

責任: Customer

ES-3: マルウェア対策ソフトウェアと署名を確実に更新する

ガイダンス: マルウェア対策の署名を迅速かつ一貫した方法で更新してください。

Microsoft Defender for Cloud の「コンピューティングとアプリ」の推奨事項に従い、すべての VM とコンテナーに最新の署名が適用されている状態にします。

Windows の場合、Microsoft Antimalware により、既定で最新の署名とエンジンの更新プログラムが自動的にインストールされます。 Linux の場合は、サードパーティのマルウェア対策ソリューションを使用します。

責任: Customer

バックアップと回復

詳細については、Azure セキュリティ ベンチマークの「バックアップと回復」を参照してください。

BR-1: 定期的な自動バックアップの実行を確認する

ガイダンス: 予期しないイベントが発生した後もビジネスが継続性されるよう、システムを確実にバックアップします。 目標復旧時間 (RTO) と目標復旧時点 (RPO) のガイダンスを使用します。

Azure Backup を有効にします。 バックアップ ソース (Azure VM、SQL Server、HANA データベース、ファイル共有など) を構成します。 必要な頻度と保持期間を構成します。

geo 冗長ストレージ オプションを有効にして、セカンダリ リージョンにバックアップ データをレプリケートし、リージョン間での復元を使用して復旧されるように、冗長性を高くすることもできます。

責任: Customer

BR-2:バックアップ データを暗号化する

ガイダンス: バックアップを攻撃から保護します。 バックアップ保護には、機密性が失われるのを防ぐための暗号化も含まれます。

Azure Backup を使用するオンプレミスのバックアップによって、指定したパスフレーズを使用した保存時の暗号化が提供されます。 通常の Azure サービスのバックアップでは、バックアップ データは Azure プラットフォーム マネージド キーを使用して自動的に暗号化されます。 バックアップに、カスタマー マネージド キーを選択することもできます。 この場合は、キー コンテナー内のこのカスタマー マネージド キーも確実にバックアップ対象にします。

バックアップおよびカスタマー マネージド キーを保護するには、Azure Backup、Azure Key Vault、およびその他のリソースで RBAC を使用します。 バックアップが変更または削除される前に MFA を求める、高度なセキュリティ機能を有効にすることもできます。

責任: Customer

BR-3: カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス: 定期的にバックアップのデータの復元を実行し、バックアップされたカスタマー マネージド キーを復元できることを確認します。

責任: Customer

BR-4:キー紛失のリスクを軽減する

ガイダンス:キーの紛失を回避および回復する手段を確保します。 Azure Key Vault で論理的な削除と消去保護を有効にして、キーが偶発的または悪意から削除されないようにします。

責任: Customer

次のステップ