セキュリティ ベースラインを確立するための推奨事項
Azure Well-Architected フレームワーク セキュリティ チェックリストの推奨事項に適用されます。
| SE:01 | コンプライアンス要件、業界標準、プラットフォームの推奨事項に沿ったセキュリティ ベースラインを確立します。 ワークロードのアーキテクチャと運用をベースラインに対して定期的に測定し、長期にわたりセキュリティ態勢を維持または改善します。 |
|---|
このガイドでは、セキュリティ ベースラインを確立するための推奨事項について説明します。 セキュリティ ベースラインは、さまざまな領域にわたる組織の最小限のセキュリティ要件と期待値を明記するドキュメントです。 適切なセキュリティ ベースラインは次のことに役立ちます。
- データとシステムを安全に保つ。
- 規制要件に準拠する。
- 見落としのリスクを最小限に抑える。
- 侵害の可能性と、その後のビジネスへの影響を軽減する。
セキュリティ ベースラインは、すべての利害関係者がその期待値を認識するように、組織全体に広く公開する必要があります。
このガイドでは、内部および外部の要因に基づくセキュリティ ベースラインの設定に関する推奨事項について説明します。 内部要因には、ビジネス要件、リスク、資産評価が含まれます。 外部要因には、業界のベンチマークと規制標準が含まれます。
定義
| 相談 | 定義 |
|---|---|
| ベースライン | 悪用されるのを回避するためにワークロードに必要とされる、セキュリティ アフォーダンスの最小レベル。 |
| ベンチマーク | 組織が目指すセキュリティ態勢を示す標準。 これは時間の経過と共に評価、測定、改善されます。 |
| コントロール | ワークロードに対する技術的または運用上の制御。攻撃を防ぎ、攻撃者のコストを増やすのに役立ちます。 |
| 規制による要件 | 業界標準に基づき、法律や当局によって課される、一連のビジネス要件。 |
主要な設計戦略
セキュリティ ベースラインは、セキュリティを強化するためにワークロードが満たす必要がある一連のセキュリティの基準および機能を定義する、構造化されたドキュメントです。 より成熟した形式においては、ベースラインを拡張し、ガードレールの設定に使用する一連のポリシーを含めることができます。
ベースラインは、セキュリティ態勢を測定するための標準と見なす必要があります。 そのゴールは常に、広いスコープを維持しながらも、すべて達成される必要があります。
セキュリティ ベースラインは、アドホックな取り組みになるべきではありません。 業界標準、コンプライアンス (内部または外部) または規制要件、地域的な要件、クラウド プラットフォーム ベンチマークが、ベースラインの主要な要因です。 例としては、Center for Internet Security (CIS) Controls、アメリカ国立標準技術研究所 (NIST) や、Microsoft クラウド セキュリティ ベンチマーク (MCSB) などのプラットフォーム主導の標準があります。 これらの標準はすべて、ベースラインの出発点と見なされます。 ビジネス要件からセキュリティ要件を取り入れることで、基盤を構築します。
上記の資産へのリンクについては、「関連リンク」を参照してください。
ビジネスおよび技術リーダーの間で合意を得ることで、ベースラインを作成します。 ベースラインは技術的な制御に制限されるべきではありません。 セキュリティ態勢の管理と維持の、運用面も含める必要があります。 そのため、ベースライン ドキュメントは、ワークロードのセキュリティに対する投資への、組織のコミットメントとしても機能します。 セキュリティ ベースライン ドキュメントは、ワークロードのセキュリティ態勢について確実に認識してもらうために、組織内で広く配布する必要があります。
ワークロードが増加し、エコシステムが発展するにつれて、基本的な制御の有効性を引き続き確保するために、変更点とベースラインを同期させることがきわめて重要になります。
ベースラインの作成は、体系的なプロセスです。 このプロセスに関するいくつかの推奨事項を次に示します。
資産インベントリ。 ワークロード資産の利害関係者と、それらの資産のセキュリティ目標を特定します。 資産インベントリ内では、セキュリティ要件と重要度別に分類します。 データ資産については、「データ分類に関する推奨事項」を参照してください。
リスク評価。 各資産に関連する潜在的なリスクを特定し、優先順位を付けます。
コンプライアンス要件。 それらの資産の規制またはコンプライアンスをベースラインに設定し、業界のベスト プラクティスを適用します。
構成標準。 各資産の固有のセキュリティ構成および設定を定義して文書化します。 可能であれば、環境全体で一貫した設定を適用するために、テンプレート化するか、繰り返し可能で自動化された方法を見つけます。
アクセスの制御と認証。 ロールベースのアクセス制御 (RBAC) と多要素認証 (MFA) の要件を明記します。 資産レベルで "Just Enough Access" が表すものを文書化します。 常に最小特権の原則から始めてください。
更新プログラムの管理。 攻撃に対する強化のために、すべてのリソースの種類に対して最新バージョンを適用します。
ドキュメントとコミュニケーション。 すべての構成、ポリシー、手順を文書化します。 関連する利害関係者に詳細を伝えます。
強制とアカウンタビリティ。 セキュリティ ベースラインに準拠していない場合の、明確な強制メカニズムと結果を確立します。 セキュリティ標準を維持するために、個人とチームで責任を負います。
継続的監視。 監視を通じてセキュリティ ベースラインの有効性を評価し、時間の経過と共に改善します。
ベースラインを定義する
ベースラインに含める必要がある一般的なカテゴリをいくつか次に示します。 次の一覧は完全ではありません。 これは、ドキュメントのスコープの概要として意図したものです。
規制コンプライアンス
ワークロードは、固有の業界セグメントの規制コンプライアンスの対象になる場合があり、地域的な制限などがある場合があります。 規制仕様の中に記載されている要件を理解することが重要です。それらは設計の選択に影響を与え、場合によってはアーキテクチャに含める必要があるためです。
ベースラインには、規制要件に対するワークロードの定期的な評価を含める必要があります。 コンプライアンス違反の領域を特定できる、プラットフォームで提供されるツール (Microsoft Defender for Cloud など) を活用します。 組織のコンプライアンス チームと協力し、確実にすべての要件が満たされ、維持されるようにします。
アーキテクチャ コンポーネント
ベースラインには、ワークロードの主要コンポーネントに関する規範的な推奨事項が必要です。 これには通常、ネットワーク、ID、コンピューティング、データの技術的な制御が含まれます。 プラットフォームによって提供されるセキュリティ ベースラインを参照し、不足している制御をアーキテクチャに追加します。
「例」を参照してください。
開発プロセス
ベースラインには、次の推奨事項が必要です。
- システム分類。
- 承認されたリソースの種類のセット。
- リソースの追跡。
- リソースの使用または構成に関するポリシーの適用。
開発チームは、セキュリティ チェックのスコープを明確に理解する必要があります。 たとえば、脅威モデリングは、コード内とデプロイ パイプライン内で潜在的な脅威を確実に特定するための要件です。 パイプライン内での静的なチェックと脆弱性スキャン、およびチームがそれらのスキャンを実行する必要がある頻度について、具体的に説明します。
詳細については、「脅威分析に関する推奨事項」を参照してください。
開発プロセスでは、さまざまなテスト手法とその頻度に関する標準も設定する必要があります。 詳細については、「セキュリティ テストに関する推奨事項」を参照してください。
操作
ベースラインでは、脅威検出機能の使用と、実際のインシデントを示す異常なアクティビティのアラート生成に関する標準を設定する必要があります。 脅威検出には、敵対的なネットワークから到達可能なすべてのエンドポイントなど、ワークロードのすべてのレイヤーを含める必要があります。
ベースラインには、インシデント対応プロセス (コミュニケーションや復旧計画など) を設定するための推奨事項と、検出と分析を迅速化するために自動化できるプロセスが含まれている必要があります。 例については、Azure のセキュリティ ベースラインの概要を参照してください。
インシデント対応には、復旧計画とその計画の要件 (バックアップを定期的に取得して保護するためのリソースなど) も含める必要があります。
プラットフォームによって提供される業界標準と推奨事項を使用して、データ侵害計画を作成します。 次に、チームは侵害が検出された際に従う包括的な計画を立てます。 また、サイバー保険による補償があるかどうかを組織に確認します。
トレーニング
セキュリティ トレーニング プログラムを開発して維持し、ワークロード チームがセキュリティのゴールと要件をサポートするために適切なスキルを確実に身につけるようにします。 チームには基本的なセキュリティ トレーニングが必要ですが、組織でできることを使用して、専門的な役割をサポートします。 ロールベースのセキュリティ トレーニングのコンプライアンスと訓練への参加は、セキュリティ ベースラインの一部です。
ベースラインを適用する
ベースラインを使用して、次のようなイニシアティブを推進します。
設計上の決定に対する準備。 アーキテクチャの設計プロセスを開始する前に、セキュリティ ベースラインを作成して公開します。 確実にチーム メンバーが組織の期待値を早期に十分認識することで、明確さの欠如に起因する、コストのかかるやり直しを回避します。 ベースライン基準は、組織がコミットしたワークロード要件として使用し、それらの制約に対する制御を設計および検証できます。
設計を測定する。 現在のベースラインに対して現在の決定事項を評価します。 ベースラインには、基準の実際のしきい値を設定します。 保留された、または長期的に許容できると見なされた逸脱を文書化します。
改善を推進する。 ベースラインには達成可能なゴールを設定しますが、ギャップは常に生じます。 バックログ内のギャップに優先順位を付け、優先順位に基づいて修復します。
ベースラインに対して進行状況を追跡する。 設定されたベースラインに対するセキュリティ対策の継続的な監視が不可欠です。 傾向分析は、時間の経過と共にセキュリティの進行状況を確認するのに適した方法であり、ベースラインからの一貫した逸脱を明らかにできます。 可能な限り自動化を使用し、内部および外部のさまざまなソースからデータをプルして、現在の問題に対処し、将来の脅威に備えます。
ガードレールを設定する。 可能であれば、ベースライン基準にはガードレールを含める必要があります。 ガードレールでは、内部要因と外部要因に基づいて、必要なセキュリティ構成、テクノロジ、運用が適用されます。 内部要因には、ビジネス要件、リスク、資産評価が含まれます。 外部要因には、ベンチマーク、規制標準、脅威環境が含まれます。 ガードレールは、不注意による見落としやコンプライアンス違反による懲罰的罰金のリスクを最小限に抑えるのに役立ちます。
カスタム オプションについて Azure Policy を確認するか、CIS ベンチマークや Azure セキュリティ ベンチマークなどの組み込みのイニシアティブを使用して、セキュリティ構成とコンプライアンス要件を適用します。 ベースラインから Azure ポリシーとイニシアティブを作成することを検討してください。
ベースラインを定期的に評価する
継続的なリスク削減を確実にするために、セキュリティ標準を徐々に理想的な状態に向けて継続的に改善します。 定期的なレビューを実施して、システムが最新であり、外部の影響に準拠していることを確実にします。 ベースラインに対する変更は、正式で、合意された、適切な変更管理プロセスを通じて依頼する必要があります。
新しいベースラインに対してシステムを測定し、その関連性とワークロードへの影響に基づいて修復に優先順位を付けます。
組織の標準へのコンプライアンスの監査と監視を制定することで、時間の経過と共にセキュリティ態勢が低下しないことを保証します。
Azure ファシリテーション
Microsoft クラウド セキュリティ ベンチマーク (MCSB) は、セキュリティ ベースラインの出発点として使用できる、包括的なセキュリティ ベスト プラクティス フレームワークです。 ベースラインへの入力を提供する他のリソースと共に使用します。
詳細については、「Microsoft クラウド セキュリティ ベンチマークの概要」を参照してください。
Microsoft Defender for Cloud (MDC) の規制コンプライアンス ダッシュボードを使用して、それらのベースラインを追跡し、ベースラインに準拠しないパターンが検出された場合はアラートを受け取ります。 詳細については、規制コンプライアンス ダッシュボード内で標準セットをカスタイマイズするを参照してください。
ベースラインの確立と改善に役立つその他の機能:
例
この論理ダイアグラムは、一般的な IT 環境を安全に保護する方法を示すために、ネットワーク、インフラストラクチャ、エンドポイント、アプリケーション、データ、ID を含むアーキテクチャ コンポーネントのセキュリティ ベースラインの例を示しています。 その他の推奨事項ガイドは、この例に基づいて構築されています。
インフラストラクチャ
基本的なリソースを含むオンプレミス レイヤーを備えた、一般的な IT 環境。
Azure セキュリティ サービス
保護するリソースの種類別の、Azure セキュリティのサービスおよび機能。
Azure セキュリティ監視サービス
セキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動対応 (SOAR) ソリューション、Microsoft Defender for Cloud など、単なる監視サービスを超えた、Azure 上で使用可能な監視サービス。
脅威
このレイヤーは、Mitre Attack マトリックスやサイバー キル チェーンのような手法やマトリックスに関係なく、脅威に関する組織の懸念事項に応じて、それらの脅威を対応付けるという推奨事項とリマインダーを提供します。
関連リンク
コミュニティ リンク
セキュリティ チェックリスト
レコメンデーションの完全なセットを参照してください。