セキュリティ コントロール v3: データ保護

  • [アーティクル]

データ保護では、Azure でアクセス制御、暗号化、およびログ記録を使用した機密データ資産の検出、分類、保護、監視など、保存時、転送中、および承認されたアクセス メカニズムを介したデータ保護のコントロールを対象とします。

DP-1:機密データを検出、分類、ラベル付けする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.2、3.7、3.13 RA-2、SC-28 A3.2

セキュリティの原則: 定義された機密データの範囲に基づいて、機密データのインベントリを作成して維持します。 ツールを使用して、機密データの範囲に入るデータを検出、分類し、ラベルを付けます。

Azure ガイダンス: Microsoft Purview、Azure Information Protection、Azure SQL データ検出と分類などのツールを使用して、Azure、オンプレミス、Microsoft 365、その他の場所に存在する機密データを一元的にスキャン、分類、ラベル付けします。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

DP-2: 機密データをターゲットにした異常と脅威を監視する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.13 AC-4、SI-4 A3.2

セキュリティの原則: エンタープライズの視界外や管理下外の場所への不正なデータ転送など、機密データを巡る異常がないか、監視します。 これには通常、不正なデータ流出を示す可能性のある異常な活動 (大規模または異常な転送) の監視が含まれます。

Azure ガイダンス: Azure Information Protection (AIP) を使用して、分類され、ラベル付けされたデータを監視します。

Azure Defender for Storage、Azure Defender for SQL、Azure Cosmos DB を使用して、機密データ情報の不正転送を示す可能性のある異常な情報転送に対してアラートを出します。

注意: データ損失防止 (DLP) に適合するために必要な場合、Azure Marketplace または Microsoft 365 DLP ソリューションのホストベースの DLP ソリューションを使用して、データ流出を防ぐための検出機能や防止策を強化することができます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

DP-3: 転送中の機密データの暗号化

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.10 SC-8 3.5、3.6、4.1

セキュリティの原則: 暗号化を使用して、「アウトオブバンド」攻撃 (トラフィック キャプチャなど) に対して転送中データを保護し、攻撃者がデータを容易に読み取ったり変更したりできないようにします。

転送中データの暗号化がネットワーク内外で必須となる network の境界とサービス範囲を設定します。 これはプライベート ネットワーク上のトラフィックでは省略できますが、外部ネットワークとパブリック ネットワーク上のトラフィックには重要です。

Azure ガイダンス: Azure Storage など、転送中データの暗号化機能が組み込まれているサービスでの安全なデータ転送を実行します。

Azure リソースに接続しているすべてのクライアントが TLS v1.2 以降を使用するように徹底して、ワークロード Web アプリケーションとサービスの HTTPS 使用を強制します。 VM のリモート管理については、非暗号化プロトコルではなく、SSH (Linux の場合) または RDP/TLS (Windows の場合) を使用します。

注意: 転送中データの暗号化は、Azure データセンター間を移動するすべての Azure トラフィックについて有効になっています。 ほとんどの Azure PaaS サービスに対して、TLS v1.2 以降が既定で有効になっています。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

DP-4: 保存データ暗号化を既定で有効にする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.11 SC-28 3.4、3.5

セキュリティの原則: アクセス制御を補完するために、保存データは暗号化を使って「アウトオブバンド」攻撃 (基本ストレージへのアクセスなど) に対して保護される必要があります。 これにより、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。

Azure ガイダンス: 多くの Azure サービスでは、サービスマネージドキーを使用してインフラストラクチャ レイヤーでの保存データの暗号化が既定で有効になっています。

保存データの暗号化が技術的に実装可能で、かつ、既定では有効になっていない場合は、Azure サービスや VM で、ストレージ レベル、ファイル レベル、またはデータベース レベルの保存データ暗号化を有効にできます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.11 SC-12、SC-28 3.4、3.5、3.6

セキュリティの原則: 法規制への適合のために必要な場合は、カスタマー マネージド キー オプションが必要なユースケースとサービス範囲を定義します。 サービスでカスタマー マネージド キーを使用して、保存データ暗号化を有効にして実装します。

Azure ガイダンス: Azure では特定のサービスについて、自分で管理するキー (カスタマー マネージド キー) を使用した暗号化オプションも提供しています。 ただし、カスタマー マネージド キー オプションを使用するには、キーのライフサイクルを管理するために運用上の追加労力が必要になります。 これには暗号化キーの生成、ローテーション、拒否、アクセス制御などが含まれる場合があります。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

DP-6: セキュア キー管理プロセスの使用

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
該当なし IA-5、SC-12、SC-28 3.6

セキュリティの原則: キーのライフサイクルを制御するための、企業の暗号化キー管理基準、プロセス、手順を作成し、実装します。 サービスでカスタマー マネージド キーを使用する必要がある場合は、セキュリティで保護されたキー コンテナーをキーの生成、配布、ストレージに使用します。 キーは定義済みのスケジュールに基づいてローテーションし、また、キーの償却や改ざんがあった場合は取り消します。

Azure ガイダンス: Azure Key Vault を使用して暗号化キーのライフサイクルを作成、制御します (キーの生成、配布、保管を含む)。 定義されたスケジュールに基づいて、Azure Key Vault にあるキーをローテーションし、また、キーの償却や改ざんがあった場合は取り消します。

ワークロード サービスやアプリケーションでカスタマー マネージド キー (CMK) を使用する必要がある場合は、ベスト プラクティスに従ってください。

  • キー階層を使用して、自分のキー暗号化キー (KEK) と共に別のデータ暗号化キー (DEK) をキー コンテナーに生成します。
  • これらのキーが Azure Key Vault に登録されたことを確認し、キーの ID を利用して各サービスやアプリケーションに実装します。

サービスに自分のキー (BYOK) を導入する必要がある場合 (HSM 保護されたキーをオンプレミス HSM から Azure Key Vault にインポートする必要がある場合)、推奨されるガイドラインに従ってキーの生成とキーの転送を実行します。

注意: Azure Key Vault タイプの FIPS 140-2 レベルと FIPS 準拠レベルについては、以下をご覧ください。

  • コンテナー内のソフトウェアで保護されたキー (Premium & Standard SKU): FIPS 140-2 レベル 1
  • コンテナー内の HSM で保護されたキー (Premium SKU): FIPS 140-2 Level 2
  • マネージド HSM 内の HSM で保護されたキー: FIPS 140-2 Level 3

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

DP-7: セキュリティで保護された証明書管理プロセスを使用する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
なし IA-5、SC-12、SC-17 3.6

セキュリティの原則: 企業の証明書管理基準、プロセス、手順を作成し、実装します。これには証明書のライフサイクル管理と証明書ポリシーが含まれます (パブリック キー インフラストラクチャが必要な場合)。

組織の基幹サービスで使用されている証明書が、自動化メカニズムを使用してインベントリに入れられ、追跡され、監視され、タイムリーに更新されることで、サービス中断を回避できるように確保します。

Azure ガイダンス: Azure Key Vault を使用して証明書ライフサイクルを作成し、管理します (証明書の作成/インポート、ローテーション、取り消し、保管、パージを含む)。 証明書が、キーサイズ不足、長すぎる有効期間、セキュリティにより保護されていない暗号化などのセキュアではない特性を使用することなく、定義済みの基準に従って生成されることを確認します。 定義されたスケジュールと証明書期限切れ日に基づいて、Azure Key Vault および Azure サービスでの証明書の自動ローテーションを (サポートされている場合は) セットアップします。 フロント アプリケーションで自動ローテーションがサポートされていない場合は、Azure Key Vault の手動ローテーションを使用します。

自己署名証明書とワイルドカード証明書はセキュリティ保証が限られているため、基幹サービスでは使用しないでください。 代わりに、Azure Key Vault でパブリック署名証明書を作成できます。 以下の CA が現在 Azure Key Vault と提携しているプロバイダーです。

  • DigiCert: Azure Key Vault は DigiCert による OV TLS/SSL 証明書を提供します。
  • GlobalSign: Azure Key Vault は GlobalSighn による OV TLS/SSL 証明書を提供します。

注意: 承認済みの認証局 (CA) だけを使用し、既知の不良 CA ルー/中間証明書およびそうした CA によって発行された証明書が必ず無効になることを確認してください。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

DP-8: キーおよび証明書リポジトリーのセキュリティを確保する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
なし IA-5、SC-12、SC-17 3.6

セキュリティの原則: 暗号化キーと証明書ライフサイクル管理に使用されるキー コンテナー サービスのセキュリティを確保します。 アクセス制御、ネットワーク セキュリティ、ログ記録と監視、バックアップによって、キー コンテナー サービスを強化し、キーと証明書が最大限のセキュリティによって常に保護されていることを保証します。

Azure ガイダンス: 以下の制御機能を使用してお使いの Azure Key Vault サービスを強化することにより、暗号化キーと証明書をセキュリティで保護します。

  • 組み込みのポリシーまたは Azure RBAC を使用して、Azure Key Vault 内のキーと証明書へのアクセスを制限し、管理プレーン アクセスとデータ プレーン アクセスに対する最小許可原則が設定されていることを確認します。
  • Private Link と Azure Firewall を使用して Azure Key Vault をセキュリティで保護し、サービスの露出が最小限になるようにします。
  • 暗号化キーを管理するユーザーが、暗号化データにアクセスする能力を持たない、あるいは暗号化キーを管理しないユーザーが暗号化データにアクセスできないよう、職務分掌が分かれていることを確認します。
  • ワークロード アプリケーションで Azure Key Vault に格納されているキーにアクセスするには、マネージド ID を使用します。
  • Azure Key Vault 以外の場所にプレーンテキスト形式で保存されえいるキーは、絶対に使用しないでください。
  • データをパージする際には、実際のデータ、バックアップ、アーカイブがパージされる前にキーが削除されないようにしてください。
  • Azure Key Vault を使用して、キーと証明書をバックアップします。 偶発的なキーの削除を避けるために、論理的な削除とパージ保護を有効にします。
  • 重要な管理プレーン アクティビティとデータ プレーン アクティビティがログに記録されるように、Azure Key Vault ロギングをオンにしてください。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):