Stream Analytics 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 1.0 のガイダンスが Stream Analytics に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 その内容は、Azure セキュリティ ベンチマークによって、および Stream Analytics に適用できる関連ガイダンスによって定義されるセキュリティ コントロールでグループ化されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

セクションに関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Stream Analytics に適用されないコントロール、または Microsoft が責任を持つものは、除外されています。 Stream Analytics を Azure セキュリティ ベンチマークに完全にマップする方法については、 完全な Stream Analytics セキュリティ ベースライン マッピング ファイル を参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

1.1:仮想ネットワーク内の Azure リソースを保護する

ガイダンス:Azure Stream Analytics では、ネットワーク セキュリティ グループ (NSG) と Azure Firewall の使用はサポートされていません。

責任: Customer

1.2:仮想ネットワーク、サブネット、ネットワーク インターフェイスの構成とトラフィックを監視してログに記録する

ガイダンス: Azure Stream Analytics では、仮想ネットワークとサブネットの使用はサポートされていません。

責任: Customer

1.3:重要な Web アプリケーションを保護する

ガイダンス: 適用できません。この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。

責任: Customer

1.4:既知の悪意のある IP アドレスとの通信を拒否する

ガイダンス: Microsoft Defender for Cloud の脅威の防止を使用して、既知の悪意のある、または未使用のインターネット IP アドレスとの通信に対して検出とアラート通知を行います。

責任: Customer

1.5:ネットワーク パケットを記録する

ガイダンス: Azure Stream Analytics では、ネットワーク セキュリティ グループが使用されず、Azure Key Vault のフロー ログはキャプチャされません。

責任: Customer

1.6:ネットワーク ベースの侵入検出または侵入防止システム (IDS または IPS) をデプロイする

ガイダンス: Microsoft Defender for Cloud の脅威の防止を使用して、Azure サブスクリプション環境での異常な、または有害な可能性がある操作を検出します。

責任: Customer

1.7:Web アプリケーションへのトラフィックを管理する

ガイダンス: 適用できません。この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。

責任: Customer

1.8:ネットワーク セキュリティ規則の複雑さと管理オーバーヘッドを最小限に抑える

ガイダンス: Azure Stream Analytics では、仮想ネットワークとネットワーク規則の使用はサポートされていません。

責任: Customer

1.9:ネットワーク デバイスの標準的なセキュリティ構成を維持する

ガイダンス: Azure Stream Analytics では、仮想ネットワークとネットワーク デバイスの使用はサポートされていません。

責任: Customer

1.10:トラフィック構成規則を文書化する

ガイダンス: Azure Stream Analytics では、仮想ネットワークとトラフィック構成規則の使用はサポートされていません。

責任: Customer

1.11:自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する

ガイダンス: Azure アクティビティ ログを使用してリソース構成を監視し、Stream Analytics リソースに対する変更を検出します。 重要なリソースへの変更が発生するとトリガーされる Azure Monitor 内のアラートを作成します。

責任: Customer

ログ記録と監視

詳細については、Azure セキュリティ ベンチマークの「ログ記録と監視」を参照してください。

2.2:セキュリティ ログの一元管理を構成する

ガイダンス:Azure Monitor を介してログを取り込み、監査イベントや要求などのセキュリティ データを集計します。 Azure Monitor 内で Log Analytics ワークスペースを使用してクエリを発行し、分析を実行して、長期またはアーカイブ ストレージには Azure Storage アカウントを使用します。必要に応じて、不変ストレージや保有期間の保持の強制などのセキュリティ機能を使用できます。

責任: Customer

2.3:Azure リソースの監査ログ記録を有効にする

ガイダンス:管理、セキュリティ、診断の各ログにアクセスするため、Azure Stream Analytics の診断設定を有効にします。 また、Azure アクティビティ ログの診断設定を有効にし、同じ Log Analytics ワークスペースまたはストレージ アカウントにログを送信することもできます。

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.StreamAnalytics:

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Stream Analytics のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

2.4:オペレーティング システムからセキュリティ ログを収集する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

2.5:セキュリティ ログのストレージ保持を構成する

ガイダンス:Azure Storage アカウントまたは Log Analytics ワークスペースにセキュリティ イベント ログを保存する場合は、組織の要件に従ってアイテム保持ポリシーを設定することができます。

責任: Customer

2.6:ログを監視して確認する

ガイダンス: Stream Analytics のリソースについて、異常な動作がないかログの分析と監視を行い、定期的に結果を確認します。 Azure Monitor の Log Analytics ワークスペースを使用してログを確認し、ログ データに対してクエリを実行します。 または、Microsoft Sentinel またはサードパーティの SIEM に対してデータを有効にしてオンボードすることもできます。

責任: Customer

2.7:異常なアクティビティについてのアラートを有効にする

ガイダンス: Stream Analytics の診断設定を有効にし、Log Analytics ワークスペースにログを送信します。 Log Analytics ワークスペースを Microsoft Sentinel にオンボードします。これは、セキュリティ オーケストレーション自動応答 (SOAR) ソリューションが提供されるためです。 これにより、プレイブック (自動化されたソリューション) を作成して、セキュリティの問題を修復するために使用できます。

責任: Customer

2.8:マルウェア対策のログ記録を一元管理する

ガイダンス: 適用できません。Stream Analytics では、マルウェア対策関連のログの処理や生成を行いません。

責任: Customer

2.9:DNS クエリのログ記録を有効にする

ガイダンス: Azure Monitor の Azure DNS Analytics (プレビュー) ソリューションを使用して、DNS インフラストラクチャのセキュリティ、パフォーマンス、操作に関する分析情報を収集します。 現時点では、Azure Stream Analytics はサポートされていませんが、サードパーティの DNS ログ ソリューションを使用することはできます。

責任: Customer

2.10:コマンドライン監査ログ記録を有効にする

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

ID およびアクセス制御

詳細については、Azure セキュリティ ベンチマークの「ID およびアクセス制御」を参照してください。

3.1: 管理アカウントのインベントリを維持する

ガイダンス: Azure Active Directory (Azure AD) には、明示的に割り当てる必要がある組み込みロールがあります。 ロールを照会してメンバーシップを検出できます。 Azure AD PowerShell モジュールを使用してアドホック クエリを実行し、管理グループのメンバーであるアカウントを検出します。

責任: Customer

3.2: 既定のパスワードを変更する (該当する場合)

ガイダンス: Stream Analytics には既定のパスワードの概念がありません。このサービスを管理するための認証は、Azure Active Directory (Azure AD) によって提供され、Azure ロールベースのアクセス制御 (Azure RBAC) によってセキュリティ保護されるためです。 インジェクション ストリーム サービスと出力サービスによっては、ジョブで構成された資格情報をローテーションする必要があります。

責任: Customer

3.3: 専用管理者アカウントを使用する

ガイダンス: 管理者ロールの最小特権アクセスの原則など、ベスト プラクティスに従って、ID 管理とロールのセキュリティ プランを作成します。 Azure Privileged Identity Management (PIM) を使用して、Azure Active Directory (Azure AD) と Azure のリソースへの Just-In-Time の特権アクセスを提供します。 Azure PIM アラートと監査履歴を使用して、管理者アカウントのアクティビティを監視します。 Azure AD セキュリティ レポートを使用して、セキュリティ侵害された可能性がある管理者アカウントを特定します。

責任: Customer

3.4: Azure Active Directory シングル サインオン (SSO) を使用する

ガイダンス: 可能な限り、サービスごとにスタンドアロン資格情報を構成するのではなく、Azure Active Directory (Azure AD) SSO を使用します。 Microsoft Defender for Cloud の ID およびアクセス管理の推奨事項を使用します。

責任: Customer

3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する

ガイダンス: Azure Active Directory (Azure AD) の多要素認証を有効にし、Stream Analytics リソースを保護するための Microsoft Defender for Cloud ID とアクセス管理の推奨事項に従います。

責任: Customer

3.6: セキュリティで保護された Azure マネージド ワークステーションを管理タスクに使用する

ガイダンス: Stream Analytics リソースへのログインとその構成には、多要素認証が構成された PAW (特権アクセス ワークステーション) を使用します。

責任: Customer

3.7: 管理者アカウントからの疑わしいアクティビティに関するログとアラート

ガイダンス: 環境内で疑わしいアクティビティまたは安全でないアクティビティが発生したときに、Azure Active Directory (Azure AD) セキュリティ レポートを使用して、ログおよびアラートを生成します。 Microsoft Defender for Cloud を使用して ID とアクセスのアクティビティを監視します。

責任: Customer

3.8:承認された場所からのみ Azure リソースを管理する

ガイダンス: 条件付きアクセスのネームド ロケーションを使用して、IP アドレス範囲または国、地域の特定の論理グループからのアクセスのみを許可します。

責任: Customer

3.9: Azure Active Directory を使用する

ガイダンス: Azure Active Directory (Azure AD) を中央認証と承認システムとして使用します。 Azure AD には、Stream Analytics リソースに対するクライアントのアクセスをきめ細かく制御するロールベースのアクセス制御 (Azure RBAC) が用意されています。

責任: Customer

3.10: ユーザー アクセスを定期的に確認して調整する

ガイダンス:Azure Active Directory (Azure AD) ログを確認して、古いアカウントを検出します。これには、ストレージ アカウントの管理者ロールを使用するアカウントが含まれる可能性があります。 また、Azure ID アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理します。 適切なユーザーのみが継続的なアクセス権を持っていることを確認するために、ユーザー アクセスを定期的に確認する必要があります。

責任: Customer

3.11: 非アクティブ化された資格情報へのアクセスの試行を監視する

ガイダンス: Azure Stream Analytics および Azure Active Directory (Azure AD) の診断設定を有効にし、すべてのログを Log Analytics ワークスペースに送信します。 Log Analytics 内で、目的のアラート (無効なシークレットへのアクセスの試行など) を構成します。

責任: Customer

3.12: アカウント サインイン動作の偏差に関するアラートを生成する

ガイダンス: Azure Active Directory (Azure AD) のリスクおよび Identity Protection 機能を使用して、Stream Analytics リソースに関連して検出された疑わしいアクションに対する自動応答を構成します。 Microsoft Sentinel で自動応答を有効にして、組織のセキュリティ対応を実装する必要があります。

責任: Customer

3.13: サポート シナリオで関連する顧客データに Microsoft がアクセスできるようにする

ガイダンス: 適用できません。Azure Stream Analytics ではカスタマー ロックボックスはサポートされていません。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

4.1: 機密情報のインベントリを維持する

ガイダンス: 機密情報を格納または処理する Stream Analytics リソースを追跡しやすくするには、タグを使用します。

責任: Customer

4.2:機密情報を格納または処理するシステムを分離する

ガイダンス: 入力、出力、ストレージ アカウントを同じサブスクリプションに配置して、Stream Analytics ジョブを分離します。 Stream Analytics を制限して、アプリケーションやエンタープライズ環境で必要とされる Stream Analytics リソースへのアクセス レベルを制御できます。 Azure Active Directory (Azure AD) RBAC を使用して、Azure Stream Analytics へのアクセスを制御できます。

責任: Customer

4.3:機密情報の承認されていない転送を監視してブロックする

ガイダンス: データ損失防止機能は、Azure Stream Analytics リソースではまだ使用できません。 コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。

Microsoft によって管理される基になるプラットフォームの場合、Microsoft では顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護します。 Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。

責任: Customer

4.5:アクティブ検出ツールを使用して機密データを特定する

ガイダンス: Azure Stream Analytics リソースでは、データ特定機能をまだ使用できません。 コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。

責任: Customer

4.6:ロールベースのアクセス制御を使用してリソースへのアクセスを制御する

ガイダンス: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、ユーザーがサービスと対話する方法を制御します。

責任: Customer

4.7:ホストベースのデータ損失防止を使用してアクセス制御を実施する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

4.8:機密情報を保存時に暗号化する

ガイダンス:Stream Analytics では、すべての処理はメモリ内で実行されるため、受信データが格納されることはありません。 Stream Analytics で永続化する必要がある、クエリや関数などのプライベート データは、構成済みのストレージ アカウントに格納されます。 カスタマー マネージド キー (CMK) を使用して、ストレージ アカウントに保存されている出力データを暗号化します。 CMK がなくても、Stream Analytics は、データの暗号化とセキュリティ保護のために、最高クラスの暗号化規格をインフラストラクチャ全体で自動的に使用します。

責任: Customer

4.9:重要な Azure リソースへの変更に関するログとアラート

ガイダンス: Azure アクティビティ ログで Azure Monitor を使用して、Azure Stream Analytics リソースの実稼働インスタンスに対して変更が行われたときのアラートを作成します。

責任: Customer

脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「脆弱性の管理」を参照してください。

5.1:自動化された脆弱性スキャン ツールを実行する

ガイダンス: Azure Stream Analytics リソースのセキュリティ保護に関する Microsoft Defender for Cloud の推奨事項に従ってください。

Microsoft では、Azure Stream Analytics をサポートしている基になるシステムで脆弱性の管理を行います。

責任: Customer

5.2:自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

5.3:サード パーティ ソフトウェア タイトル用の自動化された修正プログラム管理ソリューションをデプロイする

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

5.4:バックツーバックの脆弱性スキャンを比較する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

5.5:リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける

ガイダンス: Microsoft Defender for Cloud によって提供される既定のリスク評価 (セキュリティ スコア) を使用します。

責任: Customer

インベントリと資産の管理

詳細については、Azure セキュリティ ベンチマークの「インベントリと資産の管理」を参照してください。

6.1:自動化された資産検出ソリューションを使用する

ガイダンス:Azure Resource Graph を使用して、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) のクエリまたは検出を行います。 テナントで適切な (読み取り) アクセス許可を確認し、サブスクリプション内のリソースだけでなく、すべての Azure サブスクリプションを列挙します。

従来の Azure リソースは Resource Graph で検出できますが、今後は Azure Resource Manager リソースを作成して使用することを強くお勧めします。

責任: Customer

6.2:資産メタデータを保持する

ガイダンス:メタデータを提供する Azure リソースにタグを適用すると、それらのリソースが各分類に論理的に整理されます。

責任: Customer

6.3:承認されていない Azure リソースを削除する

ガイダンス: Azure Stream Analytics リソースを整理および追跡するには、必要に応じて、タグ付け、管理グループ、個別のサブスクリプションを使用します。 定期的にインベントリを調整し、承認されていないリソースがサブスクリプションから適切なタイミングで削除されるようにします。

さらに、Azure Policy を使用し、次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類を制限します。

  • 許可されないリソースの種類

  • 許可されるリソースの種類

詳細については、以下の参照リンクをご覧ください。

責任: Customer

6.4:承認された Azure リソースのインベントリを定義および管理する

ガイダンス:適用できません。この推奨事項は、コンピューティング リソースと Azure 全体を対象にしています。

責任: Customer

6.5:承認されていない Azure リソースを監視する

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。

  • 許可されないリソースの種類

  • 許可されるリソースの種類

さらに、Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。

責任: Customer

6.6:コンピューティング リソース内の承認されていないソフトウェア アプリケーションを監視する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

6.7:承認されていない Azure リソースとソフトウェア アプリケーションを削除する

ガイダンス:適用できません。この推奨事項は、コンピューティング リソースと Azure 全体を対象にしています。

責任: Customer

6.8:承認されたアプリケーションのみを使用する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

6.9:承認された Azure サービスのみを使用する

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。

  • 許可されないリソースの種類
  • 許可されるリソースの種類

詳細については、以下の参照リンクをご覧ください。

責任: Customer

6.10:承認されたソフトウェア タイトルのインベントリを管理する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

6.11:Azure Resource Manager を操作するユーザーの機能を制限する

ガイダンス: Azure 条件付きアクセスを使用して Azure Resource Manager とやりとりするユーザーの機能を制限するには、"Microsoft Azure 管理" アプリに対して [アクセスのブロック] を構成します。

責任: Customer

6.12:コンピューティング リソース内でスクリプトを実行するユーザーの機能を制限する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

6.13:リスクの高いアプリケーションを物理的または論理的に分離する

ガイダンス: 適用できません。この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。

責任: Customer

セキュリティで保護された構成

詳細については、Azure セキュリティ ベンチマークの「セキュリティで保護された構成」を参照してください。

7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する

ガイダンス: Azure Stream Analytics の構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.StreamAnalytics" 名前空間で Azure Policy エイリアスを使用します。 次のような、Azure Stream Analytics に関連する組み込みのポリシー定義を使用することもできます。

責任: Customer

7.2:セキュリティで保護されたオペレーティング システムの構成を確立する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

7.3:セキュリティで保護された Azure リソースの構成を維持する

ガイダンス: Azure リソース全体にセキュリティで保護された設定を適用するには、Azure Policy の [deny] と [deploy if not exist] を使用します。

責任: Customer

7.4:セキュリティで保護されたオペレーティング システムの構成を維持する

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。

責任: Customer

7.5:Azure リソースの構成を安全に格納する

ガイダンス: カスタム Azure ポリシー、Azure Resource Manager テンプレート、Desired State Configuration スクリプト、ユーザー定義の関数、クエリなど、ご利用のコードを安全に格納して管理するには、Azure Repos を使用します。 Azure DevOps で管理するリソースにアクセスするには、Azure Active Directory (Azure AD) で定義された (Azure DevOps に統合されている場合)、または Azure AD で定義された (TFS に統合されている場合) 特定のユーザー、組み込みのセキュリティ グループ、またはグループにアクセス許可を付与したり、そのアクセス許可を拒否したりできます。

責任: Customer

7.6:カスタム オペレーティング システム イメージを安全に格納する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

7.7:Azure リソース用の構成管理ツールをデプロイする

ガイダンス: システム構成を警告処理、監査、適用するためのカスタム ポリシーを作成するには、"Microsoft.StreamAnalytics" 名前空間で Azure Policy エイリアスを使用します。 さらに、ポリシー例外を管理するためのプロセスとパイプラインを作成します。

責任: Customer

7.8:オペレーティング システム用の構成管理ツールをデプロイする

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

7.9:Azure リソースの自動構成監視を実装する

ガイダンス: システム構成を警告処理、監査、適用するためのカスタム ポリシーを作成するには、"Microsoft.StreamAnalytics" 名前空間で Azure Policy エイリアスを使用します。 Azure Stream Analytics リソースの構成を自動的に適用するには、Azure Policy の [audit]、[deny]、[deploy if not exist] を使用します。

責任: Customer

7.10:オペレーティング システムの自動構成監視を実装する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

7.11:Azure シークレットを安全に管理する

ガイダンス:Stream Analytics ジョブによって使用される入力または出力リソースの接続の詳細は、構成済みのストレージ アカウントに格納されます。 ストレージ アカウントを暗号化して、すべてのデータを保護します。 また、Stream Analytics ジョブの入力または出力の資格情報を定期的にローテーションします。

責任: Customer

7.12:ID を安全かつ自動的に管理する

ガイダンス: 出力にマネージド ID 認証を使用すると、Stream Analytics ジョブで、接続文字列を使用せずに、Power BI などのサービスやストレージ アカウントに直接アクセスできます。

責任: Customer

7.13:意図しない資格情報の公開を排除する

ガイダンス: コード内で資格情報を特定する資格情報スキャナーを実装します。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。

責任: Customer

マルウェアからの防御

詳細については、Azure セキュリティ ベンチマークの「マルウェアからの防御」を参照してください。

8.1:一元管理されたマルウェア対策ソフトウェアを使用する

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

8.2:非コンピューティング Azure リソースにアップロードするファイルを事前にスキャンする

ガイダンス: Microsoft のマルウェア対策は、Azure サービス (Azure Stream Analytics など) をサポートしている基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。

App Service、Stream Analytics、Blob Storage などの Azure リソースにアップロードされるすべてのコンテンツを事前にスキャンします。Microsoft は、これらのインスタンス内のデータにアクセスできません。

責任: Customer

手順 8.3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

データの復旧

詳細については、Azure セキュリティ ベンチマークの「データの復旧」を参照してください。

9.1:定期的な自動バックアップを保証する

ガイダンス: 選択された出力サービスの種類に応じて、 出力サービスの推奨ガイドラインに従って、出力データの自動バックアップを実行できます。 ユーザー定義関数、クエリ、データ スナップショットなどの内部データは、構成済みのストレージ アカウントに格納され、定期的にバックアップできます。

Microsoft Azure ストレージ アカウント内のデータは、持続性と高可用性を保証するため、常に自動的にレプリケートされます。 Azure Storage では、計画されたイベントや計画外のイベント (一時的なハードウェア障害、ネットワークの停止または停電、大規模な自然災害など) から保護するためにデータがコピーされます。 同じデータ センター内、同じリージョン内の複数のゾーン データ センター間、または地理的に分離されたリージョン間でデータをレプリケートすることもできます。

また、ライフサイクル管理機能を使用して、アーカイブ層にデータをバックアップすることもできます。 さらに、ストレージ アカウントに格納されているバックアップに対する論理的な削除を有効にします。

責任: Customer

9.2: システムの完全バックアップを実行し、すべてのカスタマー マネージド キーをバックアップする

ガイダンス:ユーザー定義関数、クエリ、データ スナップショットなどの内部データは、構成済みのストレージ アカウントに格納され、定期的にバックアップできます。

ストレージ アカウントでサポートされているサービスからデータをバックアップするには、azcopy やサードパーティ製のツールを使用するなど、複数の方法を使用できます。 Azure Blob Storage の不変ストレージを使用すると、ユーザーはビジネスに不可欠なデータ オブジェクトを WORM (Write Once Read Many) 状態で保存できます。 この状態では、ユーザーが指定した期間、データを消去および変更できなくなります。

顧客が管理または指定するキーは、Azure CLI または PowerShell を使用して Azure Key Vault 内でサポートできます。

責任: Customer

9.3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス:データの整合性をテストするために、バックアップ データのデータ復元を定期的に実行します。

責任: Customer

9.4: バックアップとカスタマー マネージド キーの保護を保証する

ガイダンス: Azure Storage 内に格納されている Stream Analytics バックアップは、既定で暗号化をサポートしており、無効にすることはできません。 バックアップを機密データとして扱い、このベースラインの一部として関連するアクセスとデータ保護制御を適用する必要があります。

責任: Customer

インシデント対応

詳細については、Azure セキュリティ ベンチマークの「インシデント対応」を参照してください。

10.1:インシデント対応ガイドを作成する

ガイダンス: 組織のインシデント対応ガイドを作成します。 要員のすべてのロールを定義するインシデント対応計画が記述されていることと、検出からインシデント後のレビューまでのインシデント対応/管理のフェーズがあることを確認します。

責任: Customer

10.2:インシデントのスコアリングと優先順位付けの手順を作成する

ガイダンス: Microsoft Defender for Cloud によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。 重要度は、アラートの発行に使用された検出内容またはメトリックに対する Microsoft Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼度レベルに基づいて決まります。

さらに、タグを使用してサブスクリプションを明確にマークし (運用、非運用など)、Azure リソース (特に、機密データを処理するもの) を明確に識別して分類するための命名システムを作成します。 インシデントが発生した Azure リソースと環境の重要度に基づいて、アラートの修復に優先順位を付けることは、お客様の責任です。

責任: Customer

10.3:セキュリティ対応手順のテスト

ガイダンス: ご利用のシステムのインシデント対応機能を定期的にテストする演習を実施することで、ご利用の Azure リソースの保護を支援できます。 弱点やギャップを特定し、必要に応じて計画を見直します。

責任: Customer

10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します

ガイダンス:セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないユーザーによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。 事後にインシデントをレビューして、問題が解決されていることを確認します。

責任: Customer

10.5:インシデント対応システムにセキュリティ アラートを組み込む

ガイダンス: Microsoft Defender for Cloud のアラートと推奨事項を連続エクスポート機能を使用してエクスポートし、Azure リソースに対するリスクを特定できます。 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。 Microsoft Defender for Cloud データ コネクタを使用してアラートを Microsoft Sentinel にストリーミングできます。

責任: Customer

10.6:セキュリティ アラートへの対応を自動化する

ガイダンス: Azure リソースを保護するセキュリティ アラートやセキュリティに関する推奨事項に対して「Logic Apps」経由で応答を自動的にトリガーするには、Microsoft Defender for Cloud のワークフローの自動化機能を使用します。

責任: Customer

侵入テストとレッド チーム演習

詳細については、Azure セキュリティ ベンチマークの「侵入テストとレッド チーム演習」を参照してください。

11.1:Azure リソースの通常の侵入テストを実施し、セキュリティに関する重大な調査結果がすべて、確実に修復されるようにする

ガイダンス: 侵入テストが Microsoft のポリシーに違反しないようにするために、Microsoft の実施ルール (https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1) に従ってください。

Microsoft が管理するクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストの Microsoft の戦略と実施について詳しくは、https://download.microsoft.com/download/C/1/9/C1990DBA-502F-4C2A-848D-392B93D9B9C3/Microsoft_Enterprise_Cloud_Red_Teaming.pdf を参照してください

責任: 共有

次のステップ