Azure セキュリティ ベンチマークの概要
Azure では新しいサービスや機能が毎日リリースされており、開発者はこれらのサービス上に構築される新しいクラウド アプリケーションを迅速に公開しており、攻撃者は常に、構成に誤りのあるリソースを悪用する新しい方法を探しています。 クラウドは急速に進展し、開発者は迅速に動き、攻撃者は常に活動しています。 どのようにして遅れずについていき、クラウド デプロイがセキュリティで保護されていることを確認すればよいでしょう。 クラウド システムのセキュリティ プラクティスは、オンプレミス システムの場合とどのように異なっているでしょう。 多数の独立した開発チーム間の整合性をどのようにして監視すればよいでしょう。
Microsoft では、セキュリティ ベンチマークの使用がクラウド デプロイの迅速なセキュリティ保護に役立つことがわかっています。 クラウド サービス プロバイダーからのベンチマークの推奨事項は、環境内で特定のセキュリティ構成設定を選択するための開始点となり、組織のリスクの迅速な軽減に役立ちます。
Azure セキュリティ ベンチマークには、Azure で使用するサービスをセキュリティで保護するために使用できる、影響力の高いセキュリティに関する推奨事項のコレクションが含まれています。
- セキュリティ制御: これらの推奨事項は、一般に Azure テナントと Azure サービス全体に適用されます。 各推奨事項では、通常、ベンチマークの計画、承認、または実装に関与している利害関係者の一覧を特定します。
- サービス ベースライン: これらは、個々の Azure サービスにコントロールを適用し、そのサービスのセキュリティ構成に関する推奨事項を提供します。
Azure セキュリティ ベンチマークを実装する
- 企業のコントロールおよびサービス固有のベースラインに関するドキュメントを参照して、コントロール フレームワークと、それを Center for Internet Security (CIS) コントロール、National Institute of Standards and Technology (NIST)、Payment Card Industry Data Security Standard (PCI-DSS) フレームワークなどのガイダンスにマップする方法を計画することにより、Azure セキュリティ ベンチマークの実装を計画します。
- Microsoft Defender for Cloud の規制へのコンプライアンス ダッシュボードを使用して、Azure セキュリティ ベンチマークの状態 (および他のコントロール セット) とのコンプライアンスを監視します。
- Azure Blueprints と Azure Policy を使用して、セキュリティ保護された構成を自動化し、Azure セキュリティ ベンチマーク (および組織での他の要件) とのコンプライアンスを強制するためのガードレールを確立します。
一般的なユース ケース
Azure セキュリティ ベンチマークは、次のようなお客様またはサービス パートナーの一般的な課題に対処するためによく使用されます。
- Azure を初めて使用する場合、および Azure サービスや独自のアプリケーション ワークロードのセキュリティ保護されたデプロイを確保するためにセキュリティのベスト プラクティスを求めている場合。
- 上位のリスクや軽減策を優先するように既存の Azure デプロイのセキュリティ体制の改善を考えている場合。
- クラウド サービス カタログへの Azure サービスのオンボードや承認の前に、Azure サービスのセキュリティ機能を評価する場合。
- 政府、金融、医療など、規制の厳しい業界でコンプライアンス要件を満たす必要がある場合。 これらのお客様は、Azure のサービス構成が、CIS、NIST、PCI などのフレームワークで定義されているセキュリティ仕様を満たしていることを確認する必要があります。 Azure セキュリティ ベンチマークでは、これらの業界ベンチマークに事前にマップされているコントロールを備えた効率的なアプローチを提供します。
用語
"control" と "baseline" という用語は、Azure セキュリティ ベンチマークのドキュメントでよく使用されており、Azure セキュリティ ベンチマークでこれらの用語がどのように使用されているかを理解することが重要です。
用語 | 説明 | 例 |
---|---|---|
コントロール | コントロールとは、特定のテクノロジや実装のみに限定されない、実行すべき機能やアクティビティの総称です。 | データ保護は、セキュリティ コントロール ファミリの 1 つです。 データ保護には、データを確実に保護するために対処する必要がある特定の操作が含まれています。 |
ベースライン | ベースラインとは、個々の Azure サービスでのコントロールの実装です。 各組織がベンチマークの推奨事項を決定し、対応する構成が Azure 実装スコープで必要になります。 | Contoso 社は、Azure SQL のセキュリティ ベースラインで推奨されている構成に従って、Azure SQL のセキュリティ機能を有効にすることを目指しています。 |
Azure セキュリティ ベンチマークに関する皆様のフィードバックをお待ちしております。 下のフィードバック領域からぜひご意見をお寄せください。 Azure セキュリティ ベンチマーク チームと非公開での情報共有を希望される場合は、 https://aka.ms/AzSecBenchmark にあるフォームに入力してください。