Azure Virtual Desktop 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Azure Virtual Desktop に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、セキュリティ制御によってグループ化されています。これは、Azure セキュリティ ベンチマークと、Azure Virtual Desktop に適用できる関連ガイダンスによって定義されています。
Azure Virtual Desktop。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Azure Virtual Desktop に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Azure Virtual Desktop を Azure セキュリティ ベンチマークに完全にマップする方法については、完全な Azure Virtual Desktop セキュリティ ベースライン マッピング ファイルをご覧ください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス: Azure Virtual Desktop に登録する仮想マシンをデプロイする場合は、仮想ネットワークを作成するか、既存のものを使用する必要があります。 すべての Azure 仮想ネットワークが、ビジネス リスクに合わせたエンタープライズ セグメント化の原則に従っていることを確認します。 組織のリスクが高くなる可能性があるシステムは、独自の仮想ネットワーク内に隔離し、ネットワーク セキュリティ グループまたは Azure Firewall で十分に保護する必要があります。

Microsoft Defender for Cloud のアダプティブ ネットワークのセキュリティ強化機能を使用して、外部ネットワーク トラフィック ルールへの参照によってポートとソース IP を制限するネットワーク セキュリティ グループの構成を推奨します。

アプリケーションとエンタープライズのセグメント化戦略に基づき、ネットワーク セキュリティ グループの規則に基づいて、内部リソース間のトラフィックを制限または許可します。 明確に定義された特定のアプリケーション (3 層アプリなど) については、これは高度にセキュリティで保護された "既定で拒否、例外による許可" の方法になります。 相互に対話する多くのアプリケーションとエンドポイントがある場合、これが適切にスケーリングされない可能性があります。 また、多数のエンタープライズ セグメントまたはスポーク (ハブ/スポーク トポロジにおいて) で中央管理が必要な環境では、Azure Firewall を使用することもできます。

(Azure Virtual Desktop の一部である) 仮想マシン サブネットに関連付けられているネットワーク セキュリティ グループについては、特定のエンドポイントへの送信トラフィックを許可する必要があります。

セキュリティ規則を使用してネットワーク セキュリティ グループを作成する方法: /azure/virtual-network/tutorial-filter-network-traffic

Azure Firewall をデプロイおよび構成する方法: /azure/firewall/tutorial-firewall-deploy-portal

責任: Customer

NS-2: プライベート ネットワークをまとめて接続する

ガイダンス: Azure ExpressRoute または Azure 仮想プライベート ネットワークを使用して、コロケーション環境内で Azure のデータセンターとオンプレミスのインフラストラクチャ間のプライベート接続を作成できます。 ExpressRoute 接続はパブリック インターネットを経由しないので、一般的なインターネット接続と比べて信頼性が高く、高速で、待ち時間も短くなります。

ポイント対サイトおよびサイト間仮想プライベート ネットワークでは、仮想プライベート ネットワークのオプションと Azure ExpressRoute の任意の組み合わせを使用して、オンプレミスのデバイスやネットワークを仮想ネットワークに接続できます。

Azure で 2 つ以上の仮想ネットワークを接続するには、Virtual Network ピアリングを使用します。 ピアリングされた仮想ネットワーク間のネットワーク トラフィックはプライベートであり、Azure のバックボーン ネットワーク上に留まります。

責任: Customer

NS-4: 外部ネットワーク攻撃からアプリケーションやサービスを保護する

ガイダンス: Azure Firewall を使用して、インターネットや他の外部の場所からの、悪意がある可能性のあるトラフィックから、アプリケーションやサービスを保護します。 分散型サービス拒否攻撃、アプリ固有の攻撃、未承諾で悪意の可能性があるインターネット トラフィックなど、外部ネットワークからの攻撃に対して Azure Virtual Desktop リソースを保護します。 Azure 仮想ネットワークで DDoS 標準保護を有効にすることで、分散型サービス拒否攻撃から資産を保護します。 Microsoft Defender for Cloud を使用して、ネットワーク関連リソースに関する構成の誤りのリスクを検出します。

Azure Virtual Desktop は Web アプリケーションを実行するためのものではなく、Web アプリケーションを対象とする外部ネットワーク攻撃からこれを保護するために追加で設定を構成したり、追加のネットワーク サービスをデプロイしたりする必要はありません。

責任: Customer

NS-6: ネットワーク セキュリティ規則を簡略化する

ガイダンス: Azure Virtual Desktop リソース用に構成されたネットワーク セキュリティ グループまたは Azure Firewall でのネットワーク アクセス制御を定義するには、Azure Virtual Network サービス タグを使用します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 規則の適切なソースまたはターゲットのフィールドにサービス タグ名 (たとえば AzureVirtualDesktop) を指定することにより、対応するサービスのトラフィックを許可または拒否できます。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。

責任: Customer

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Azure Virtual Desktop では、Azure Active Directory (Azure AD) を既定の ID およびアクセス管理サービスとして使用します。 Azure AD を標準化して、次のリソースでの組織の ID とアクセス管理を統制する必要があります。

  • Azure portal、Azure Storage、Azure 仮想マシン (Linux と Windows)、Azure Key Vault、PaaS、SaaS アプリケーションなどの Microsoft Cloud リソース。

  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位を持つ必要があります。 Azure AD では、Microsoft のベスト プラクティスの推奨事項を基準にした、お客様の ID セキュリティ体制を評価するために役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

Azure AD では、外部 ID もサポートされるため、Microsoft アカウントを持たないユーザーが外部 ID を使用してアプリやリソースにサインインできます。

責任: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス: Azure Virtual Desktop では、サービスや自動化などの人間以外のアカウントのために Azure マネージド ID がサポートされています。 リソースにアクセスしたり実行したりするためのより強力な人間のアカウントを作成するのではなく、Azure マネージド ID 機能を使用することをお勧めします。

Azure Virtual Desktop では、証明書の資格情報を使用してサービス プリンシパルを構成し、クライアント シークレットにフォールバックするため、Azure Active Directory (Azure AD) を使用してリソース レベルのアクセス許可が制限されたサービス プリンシパルを作成することをお勧めします。 どちらの場合も、Azure Key Vault を Azure マネージド ID と組み合わせて使用し、ランタイム環境 (Azure 関数など) でキー コンテナーから資格情報を取得できるようにすることができます。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: Azure Virtual Desktop では、Azure Active Directory (Azure AD) を使用して、Azure リソース、クラウド アプリケーション、オンプレミスのアプリケーションに ID およびアクセスの管理を提供します。 これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。 これにより、オンプレミスおよびクラウド内の組織のデータとリソースへのアクセスを管理し、セキュリティで保護するためのシングルサインオン (SSO) が可能になります。 シームレスで安全なアクセスを実現し、可視性と制御性を高めるため、すべてのユーザー、アプリ、デバイスを Azure AD に接続します。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: Azure Virtual Desktop では、Azure Active Directory (Azure AD) アカウントを使用してそのリソースを管理し、ユーザー アカウントとアクセス割り当てを定期的にレビューして、アカウントとそのアクセスが有効であることを確認します。

Azure AD アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリへのアクセス、およびロールの割り当てをレビューします。 Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。

さらに、過剰な数の管理者アカウントが作成された場合にアラートを発行したり、古い管理者アカウントや不適切に構成されている管理者アカウントを特定するように Azure Privileged Identity Management を構成することもできます。

一部の Azure サービスでは、Azure AD で管理されていないローカル ユーザーとロールがサポートされています。 これらのユーザーは個別に管理する必要があります。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス: セキュリティで保護されて分離されたワークステーションは、管理者、開発者、重要なサービス オペレーターなどの機密性の高い役割のセキュリティにとって非常に重要です。 管理タスクに高度にセキュリティ保護されたユーザー ワークステーションや Azure Bastion を使用します。

Azure Active Directory (Azure AD)、Microsoft Defender Advanced Threat Protection (ATP)、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションを展開します。 セキュリティで保護されたワークステーションを一元管理して、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を実施できます。

責任: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス: Azure Virtual Desktop では、Azure ロールベースのアクセス制御 (Azure RBAC) との統合により、そのリソースを管理します。 Azure RBAC を使用すると、ロールの割り当てによって Azure リソースへのアクセスを管理できます。 これらのロールを、ユーザー、グループ サービス プリンシパル、およびマネージド ID に割り当てることができます。 特定のリソースに対して定義済みの組み込みロールがあります。これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたは照会できます。

Azure RBAC を使用してリソースに割り当てる特権は、常に、ロールで必要なものに制限する必要があります。 これは、Azure Active Directory (Azure AD) による Privileged Identity Management (PIM) の Just-in-Time (JIT) アプローチを補完するものであり、定期的に見直す必要があります。

さらに、組み込みのロールを使用してアクセス許可を割り当て、カスタム ロールは必要な場合にのみ作成します。

責任: Customer

PA-8: Microsoft サポートの承認プロセスを選択する

ガイダンス: Microsoft が顧客データにアクセスする必要があるサポート シナリオでは、顧客データへのアクセス要求を確認し、承認または拒否するためのインターフェイスを提供するために、Azure Virtual Desktop によってカスタマー ロックボックスがサポートされています。

責任: 共有

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

ガイダンス: 機密データを検出、分類、ラベル付けして、適切な制御を設計できるようにします。 これにより、組織の技術システムで機密情報が安全に保存、処理、転送されるようになります。

Azure、オンプレミス、Office 365 などの場所にある Office ドキュメントの機密情報には、Azure Information Protection (およびこれに付随するスキャン ツール) を使用します。

Azure SQL Database に格納されている情報の分類とラベル付けには、Azure SQL Information Protection を使用します。

責任: Customer

DP-2:機密データを保護する

ガイダンス:機密データを保護するには、Azure のロール ベースのアクセス制御 (Azure RBAC)、ネットワーク ベースのアクセス制御、(SQL などのデータベースでの暗号化など) Azure サービスの特定の制御を使用してアクセスを制限します。

一貫したアクセス制御を確保するには、自分の企業のセグメント化戦略にすべての種類のアクセス制御を合わせる必要があります。 企業のセグメント化戦略では、機密またはビジネスに重要なデータやシステムの場所からも通知される必要があります。

Microsoft では、顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護します。 Microsoft では、Azure 内の顧客データが確実にセキュリティで保護されるように、データ保護コントロールおよび機能をいくつか実装しています。

責任: Customer

DP-3:機密データの不正転送を監視する

ガイダンス:企業が可視および制御できる範囲外の場所にデータが不正に転送されるのを監視することができます。 これには通常、不正なデータ流出を示す可能性のある異常な活動 (大規模または異常な転送) の監視が含まれます。

Azure Storage と Azure SQL の両方の Advanced Threat Protection (ATP) 機能を使用すると、機密情報の不正転送を示唆する異常な情報転送のアラートを送信できます。

Azure Information Protection (AIP) には、分類およびラベル付けされた情報を監視する機能があります。

データ損失防止ソリューション (ホスト ベースのものなど) を使用すると、検出および予防コントロールを適用してデータ流出を回避できます。

責任: Customer

DP-4:転送中の機密情報を暗号化する

ガイダンス: アクセス制御を補完するには、転送中のデータが攻撃者に簡単に読み取られたり変更されたりしないよう、暗号化を使用して "帯域外" 攻撃 (トラフィックのキャプチャなど) から保護する必要があります。

Windows Virtual Desktop では、トランスポート層セキュリティ (TLS) v1.2 以降による転送中のデータの暗号化がサポートされています。 これはプライベート ネットワーク上では省略できますが、外部およびパブリック ネットワーク上のトラフィックには重要です。 ご自分の Azure リソースに接続するすべてのクライアントの HTTP トラフィックのネゴシエートには、確実に TLS v1.2 以上を使用してください。 リモート管理では、暗号化されていないプロトコルではなく、(Linux の場合) Secure Shell (SSH) または (Windows の場合) TLS 経由のリモート デスクトップ プロトコル (RDP) を使用してタスクを実行する必要があります。

SSL、TLS、SSH のすべての古いバージョンとプロトコルと、脆弱な暗号は無効にする必要があります。 既定では Azure によって、Azure のデータ センター間の転送データが暗号化されます。

責任: Microsoft

DP-5:保存データを暗号化する

ガイダンス: アクセス制御を補完するため、Windows Virtual Desktop では保存データを暗号化して、"帯域外" 攻撃 (基になるストレージへのアクセスなど) から保護します。 これにより、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。

責任: Microsoft

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ リスクの監視は、セキュリティ チームの責任の構造に応じて、中央のセキュリティ チームまたはローカル チームの責任になります。 ただし、セキュリティ分析情報とリスクは、常に組織内で一元的に集計する必要があります。

セキュリティ閲覧者のアクセス許可は、テナント全体 (ルート管理グループ) に幅広く適用することも、管理グループまたは特定のサブスクリプションにスコープ指定することもできます。

ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。

責任: Customer

AM-2:セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス:Azure リソース、リソース グループ、サブスクリプションにタグを適用して、それらを論理的に分類できます。 各タグは、名前と値のペアで構成されます。 たとえば、運用環境のすべてのリソースには名前 "環境" と値 "運用" を適用できます。

Azure 仮想マシンのインベントリを使用して、Virtual Machines 上のソフトウェアに関する情報の収集を自動化します。 ソフトウェアの名前、バージョン、発行元、および更新時刻は、Azure portal から入手できます。 インストール日やその他の情報にアクセスするには、ゲストレベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースに取り込みます。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス:Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。

責任: Customer

AM-6:コンピューティング リソースで承認済みのアプリケーションのみを使用する

ガイダンス: Azure 仮想マシンのインベントリを使用して、仮想マシン上のすべてのソフトウェアに関する情報の収集を自動化します。 ソフトウェアの名前、バージョン、発行元、および更新時刻は、Azure portal から入手できます。 インストール日やその他の情報にアクセスするには、ゲストレベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースに取り込みます。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス: Microsoft Defender for Cloud の組み込みの脅威検出機能を使用して、Azure Virtual Desktop リソースに対して Microsoft Defender (旧称: Azure Advanced Threat Protection) を有効にします。 Microsoft Defender for Azure Virtual Desktop では、Azure Virtual Desktop リソースに対して通常と異なる潜在的に有害なアクセスまたは悪用が試行されたことを検出するセキュリティ インテリジェンスの追加レイヤーを提供します。

Azure Virtual Desktop のすべてのログを、カスタム脅威検出を設定するために使用できるセキュリティ情報イベント管理 (SIEM) ソリューションに転送します。 潜在的な脅威や異常を検出するために、さまざまな種類の Azure 資産を監視していることを確認してください。 アナリストが選別しやすいように、質の高いアラートを取得して誤検知を減らすことに専念します。 アラートは、ログ データ、エージェント、その他のデータを元に生成できます。

責任: Customer

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にする

ガイダンス: Azure Active Directory (Azure AD) では、次のユーザー ログが記録されます。これらは、Azure AD レポートで確認できるほか、より高度な監視と分析のユース ケースの場合は、Azure Monitor、Microsoft Sentinel、その他のセキュリティ情報イベント管理 (SIEM) または監視ツールと統合できます。

  • サインイン - サインイン レポートでは、マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報が提供されます。

  • 監査ログ - Azure AD 内のさまざまな機能によって行われたすべての変更についてログによる追跡可能性を提供します。 監査ログの例として、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Azure AD 内のあらゆるリソースに加えられた変更があります。

  • リスクの高いサインイン - リスクの高いサインインは、ユーザー アカウントの正当な所有者ではない人によってサインインが試行された可能性があることを示す指標です。

  • リスクのフラグ付きユーザー - リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。

Microsoft Defender for Cloud では、認証試行の失敗回数が多すぎるなどの特定の不審なアクティビティや、サブスクリプションでの非推奨アカウントに対してアラートを生成することもできます。 基本的なセキュリティ検疫監視に加えて、Microsoft Defender for Cloud の脅威防止モジュールでは、個々の Azure コンピューティング リソース (仮想マシン、コンテナー、アプリ サービス)、データ リソース (SQL DB、ストレージ)、Azure サービス レイヤーから、さらに詳細なセキュリティ アラートを収集することもできます。 この機能を使用することにより、個々のリソース内でアカウントの異常を確認できます。

責任: Customer

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス: Azure Virtual Desktop では、ドメイン ネーム サービス (DNS) クエリ ログの生成または処理を行いません。 しかし、サービスに登録されているリソースによってフロー ログが生成されることがあります。

セキュリティ分析で、インシデント調査、脅威ハンティング、セキュリティ アラートの生成をサポートするために、ネットワーク セキュリティ グループのリソースおよびフロー ログ、Azure Firewall ログ、Web アプリ ファイアウォール (WAF) ログを有効にして収集します。 Azure Monitor Log Analytics ワークスペースにフロー ログを送信し、Traffic Analytics を使用して分析情報を提供できます。

責任: Customer

LT-4:Azure リソースのログ記録を有効にする

ガイダンス: 自動的に有効になるアクティビティ ログには、読み取り操作 (GET) を除く、Azure Virtual Desktop リソースに対するすべての書き込み操作 (PUT、POST、DELETE) が含まれています。 アクティビティ ログを使用すると、トラブルシューティング時にエラーを見つけたり、組織内のユーザーがリソースをどのように変更したかを監視したりできます。

責任: 共有

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス:ログ記録のストレージと分析を一元化して、相関関係を有効にします。 ログ ソースごとに、データ所有者、アクセス ガイダンス、ストレージの場所、データの処理とアクセスに使用するツール、データ保持の要件を割り当てたことを確認します。

Azure アクティビティ ログを一元的なログ記録に統合していることを確認します。 Azure Monitor を介してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されたセキュリティ データを集計します。 Azure Monitor で Log Analytics ワークスペースを使用してクエリを発行し、分析を実行して、長期のアーカイブ ストレージには Azure Storage アカウントを使用します。

さらに、Microsoft Sentinel またはサード パーティのセキュリティ情報イベント管理 (SIEM) に対してデータを有効にしてオンボードします。 多くの組織では、頻繁に使用される "ホット" データに対しては Microsoft Sentinel を、使用頻度の低い "コールド" データに対しては Azure Storage を使用することを選択しています。

責任: Customer

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-3: コンピューティング リソースにセキュリティで保護された構成を確立する

ガイダンス: Microsoft Defender for Cloud と Azure Policy を使用して、VM、コンテナーなど、すべてのコンピューティング リソースにセキュリティで保護された構成を確立します。

カスタム オペレーティング システム イメージまたは Azure Automation State Configuration を使用して、組織に必要なオペレーティング システムのセキュリティ構成を確立できます。

責任: Customer

PV-4: コンピューティング リソースに対するセキュリティで保護された構成を維持する

ガイダンス: Microsoft Defender for Cloud と Azure Policy を使用して、仮想マシン、コンテナーなど、Azure コンピューティング リソースの構成上のリスクを定期的に評価し、修復します。 さらに、Azure Resource Manager テンプレート、カスタム オペレーティング システム イメージ、または Azure Automation State Configuration を使用して、組織に必要なオペレーティング システムのセキュリティ構成を維持できます。 Microsoft 仮想マシン テンプレートと Azure Automation State Configuration を組み合わせると、セキュリティ要件を満たし、それを維持するために役立ちます。

Microsoft によって公開された Azure Marketplace の仮想マシン イメージは、Microsoft によって管理および維持されます。

また、Microsoft Defender for Cloud を使用して、コンテナー イメージの脆弱性をスキャンし、Center for Internet Security の Docker ベンチマークに照らしてコンテナー内の Docker 構成の継続的な監視を行うこともできます。 Microsoft Defender for Cloud の推奨事項ページを使用して、推奨事項を表示したり、問題を修復したりします。

責任: Customer

PV-5: カスタム オペレーティング システムとコンテナーのイメージを安全に格納する

ガイダンス: Azure Virtual Desktop では、お客様がオペレーティング システム イメージを管理できます。 Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、確実に承認されたユーザーのみがカスタム イメージにアクセスできます。 Azure Shared Image Gallery を使用すると、組織内のさまざまなユーザー、サービス プリンシパル、Active Directory グループに対してイメージを共有できます。 コンテナー イメージを Azure Container Registry に保存し、RBAC を使用して、承認されたユーザーのみがアクセスできるようにします。

責任: Customer

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Azure Virtual Desktop を使用すると、独自の仮想マシンをデプロイしてサービスに登録できるだけでなく、環境内で SQL データベースを実行することもできます。

Azure Virtual Desktop では、ネットワーク デバイスと Web アプリケーションで脆弱性評価を実行するためのサードパーティ ソリューションを使用できます。 リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントには、JIT プロビジョニングの方法論を実装することを検討してください。 スキャン アカウントの資格情報は保護と監視の対象とし、脆弱性のスキャンのためにのみ使用する必要があります。

Azure 仮想マシン (および SQL Server) に対して脆弱性評価を実行するための Microsoft Defender for Cloud の推奨事項に従います。 Microsoft Defender for Cloud には、仮想マシン、コンテナー イメージ、SQL データベース用の組み込みの脆弱性スキャナーがあります。

必要に応じて、スキャン結果を一定の間隔でエクスポートし、前回のスキャンと結果を比較して、脆弱性が修復されていることを確認します。 Microsoft Defender for Cloud によって提案された脆弱性管理の推奨事項を使用する場合は、選択したソリューションのポータルに切り替えてスキャン データの履歴を表示できます。

責任: Customer

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: Azure Virtual Desktop では、サードパーティ製ソフトウェアを使用せず、要求もしません。 しかし、Azure Virtual Desktop を使用すれば、独自の仮想マシンをデプロイしてサービスに登録できます。

Azure Automation Update Management またはサードパーティのソリューションを使用して、最新のセキュリティ更新プログラムが Windows Server 仮想マシンにインストールされていることを確認します。 Windows 仮想マシンについては、Windows Update が有効になっていて、自動的に更新するよう設定されていることを確認します。

サードパーティ製ソフトウェアにはサードパーティの修正プログラム管理ソリューションを使用し、Configuration Manager には System Center Updates Publisher を使用します。

責任: Customer

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス:必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。 お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-1:エンドポイントでの検出と対応 (EDR) を使用する

ガイダンス: Azure Virtual Desktop では、エンドポイントでの検出と対応 (EDR) プロセスに対する特定の機能が提供されていません。 しかし、サービスに登録されたリソースは、エンドポイントの検出と応答機能を活用できます。

サーバーとクライアントに対してエンドポイントの検出と応答機能を有効にし、セキュリティ情報イベント管理 (SIEM) ソリューションおよびセキュリティ運用プロセスと統合します。

Microsoft Defender の Advanced Threat Protection では、高度な脅威を防御、検出、調査し、それに対応できるように、エンタープライズ エンドポイント セキュリティ プラットフォームの一部としてエンドポイントの検出と応答 (EDR) 機能を提供します。

責任: Customer

ES-2:一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: リアルタイムおよび定期的なスキャンを実行できる一元管理された最新のエンドポイント マルウェア対策ソリューションを使用して、Azure Virtual Desktop を保護します。

Microsoft Defender for Cloud では、お使いの仮想マシンにいくつもの一般的なマルウェア対策ソリューションが使用されていることを自動的に特定し、エンドポイント保護の実行状態を報告したり、推奨事項を提供したりできます。

Azure Cloud Services 向けの Microsoft Antimalware は、Windows 仮想マシン (VM) の既定のマルウェア対策です。 また、Microsoft Defender for Cloud でデータ サービス向け脅威検出を使用して、Azure Storage アカウントにアップロードされたマルウェアを検出することができます。

責任: Customer

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス: マルウェア対策の署名が迅速かつ一貫して更新されるようにします。

Microsoft Defender for Cloud の「コンピューティングとアプリ」の推奨事項に従って、すべての仮想マシンやコンテナーが最新のもので、最新の署名が適用されていることを確認してください。

Microsoft Antimalware では、既定で、最新の署名とエンジンの更新プログラムが自動的にインストールされます。

責任: Customer

バックアップと回復

詳細については、Azure セキュリティ ベンチマークの「バックアップと回復」を参照してください。

BR-1:定期的な自動バックアップを保証する

ガイダンス: 予期しないイベントが発生した後もビジネスが継続性されるよう、システムとデータが確実にバックアップします。 これは、目標復旧時点 (RPO) と目標復旧時間 (RTO) のすべての目標から導き出されたものである必要があります。

Azure Backup を有効にし、(Azure VM、SQL Server、HANA データベースまたはファイル共有などの) バックアップ ソース、希望の頻度および保持期間を構成します。

geo 冗長ストレージ オプションを有効にして、セカンダリ リージョンにバックアップ データをレプリケートし、リージョン間での復元を使用して復旧されるように、冗長性のレベルを高くすることもできます。

責任: Customer

BR-2:バックアップ データを暗号化する

ガイダンス: 攻撃に対し、自分のバックアップが確実に保護されるようにする必要があります。 これには、機密性が失われるのを防ぐためにバックアップを暗号化することも含まれます。

通常の Azure サービスのバックアップでは、バックアップ データは Azure プラットフォーム マネージド キーを使用して自動的に暗号化されます。 バックアップに、カスタマー マネージド キーを選択することもできます。 この場合は、キー コンテナー内のこのカスタマー マネージド キーも確実にバックアップ対象にします。

バックアップおよびカスタマー マネージド キーを保護するには、Azure Backup、Azure Key Vault、またはその他のリソースでロールベースのアクセス制御を使用します。 さらに、バックアップが変更または削除される前に多要素認証を求める、高度なセキュリティ機能を有効にすることもできます。

Azure Backup のセキュリティ機能の概要 (/azure/backup/security-overview)

責任: Customer

BR-3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス: バックアップ メディアのデータ整合性を定期的に検証するため、データ復元プロセスを実行して、バックアップが適切に機能しているかどうか確認することをお勧めします。

責任: Customer

次のステップ