セキュリティ コントロール V2:ガバナンスと戦略
注意
最新の Azure セキュリティ ベンチマークはこちらからご利用いただけます。
ガバナンスと戦略では、セキュリティ アシュアランスをガイドし維持するための整合性のあるセキュリティ戦略と文書化されたガバナンス アプローチを実現するためのガイダンスを提供します。たとえば、さまざまなクラウド セキュリティ機能、統一された技術的戦略、およびサポート ポリシーおよび標準に応じたロールと責任を確立します。
GS-1: 資産の管理とデータ保護の戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NNIST SP 800-53 r4 ID |
|---|---|---|
| GS-1 | 2、13 | SC、AC |
システムとデータを継続的に監視および保護するための明確な戦略が文書化および伝達されるようにします。 ビジネスに不可欠なデータとシステムの検出、評価、保護、監視の優先順位を決定します。
この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。
ビジネス リスクに応じたデータ分類標準
リスクと資産のインベントリに対するセキュリティ組織の可視性
Azure サービスを使用するためのセキュリティ組織の承認
ライフサイクルを通じた資産のセキュリティ
組織のデータ分類に従った必要なアクセス制御戦略
Azure ネイティブおよびサードパーティのデータ保護機能の使用
転送中および保存中のユース ケースのデータ暗号化要件
適切な暗号化標準
詳細については、次のリファレンスを参照してください。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
GS-2: 企業のセグメント化戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NNIST SP 800-53 r4 ID |
|---|---|---|
| GS-2 | 4、9、16 | AC、CA、SC |
ID、ネットワーク、アプリケーション、サブスクリプション、管理グループ、その他のコントロールを利用し、アセットへのアクセスをセグメント化する企業規模の戦略を確立します。
セキュリティ分離の必要性と、互いと通信し、データにアクセスする必要があるシステムの日常的操作を有効にするという必要性のバランスを慎重に取ります。
セグメント化戦略は、ネットワーク セキュリティ、ID とアクセス モデル、アプリケーション アクセス許可とアクセス モデル、人的プロセスの制御など、あらゆるコントロールの種類を対象として確実に一貫性をもって実装します。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
GS-3: セキュリティ態勢管理の戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NNIST SP 800-53 r4 ID |
|---|---|---|
| GS-3 | 20、3、5 | RA、CM、SC |
個々の資産とそれらがホストされている環境に対するリスクを継続的に測定し、軽減します。 高い価値を持つ資産と、攻撃に晒される可能性の高い部分 (公開されたアプリケーション、ネットワークのイングレス ポイントとエグレス ポイント、ユーザーと管理者のエンドポイントなど) を優先します。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
GS-4: 組織の役割、責任、責務を整合させる
| Azure ID | CIS コントロール v7.1 ID | NNIST SP 800-53 r4 ID |
|---|---|---|
| GS-4 | N/A | PL、PM |
セキュリティ組織における役割と責任に関する明確な戦略が文書化されて伝えられるようにします。 セキュリティに関する決定についてわかりやすく説明すること、共有される責任モデルについて全員に教育すること、クラウドをセキュリティで保護するテクノロジについて技術チームに教育することを優先とします。
Azure のセキュリティのベスト プラクティス 1 – 人: クラウド セキュリティに関する取り組みについてチームを教育する
Azure のセキュリティのベスト プラクティス 2 - 人: クラウド セキュリティ テクノロジについてチームを教育する
Azure のセキュリティのベスト プラクティス 3 - プロセス: クラウドのセキュリティに関する意思決定のアカウンタビリティを割り当てる
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
GS-5: ネットワーク セキュリティ戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NNIST SP 800-53 r4 ID |
|---|---|---|
| GS-5 | 9 | CA、SC |
組織全体のセキュリティ アクセス制御戦略の一環として、Azure ネットワーク セキュリティ アプローチを確立します。
この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。
一元的なネットワーク管理とセキュリティ責任
エンタープライズ セグメント化戦略と一致する仮想ネットワーク セグメント化モデル
さまざまな脅威と攻撃のシナリオにおける修復戦略
インターネット エッジとイングレスおよびエグレス戦略
クラウドとオンプレミスのハイブリッド相互依存戦略
最新のネットワーク セキュリティ成果物 (ネットワーク図、参照ネットワーク アーキテクチャなど)
詳細については、次のリファレンスを参照してください。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
GS-6: ID と特権アクセス戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NNIST SP 800-53 r4 ID |
|---|---|---|
| GS-6 | 16、4 | AC、AU、SC |
組織全体のセキュリティ アクセス制御戦略の一環として、Azure の ID と特権アクセス アプローチを確立します。
この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。
一元化された ID と認証システム、および他の内部および外部 ID システムとのその相互接続
さまざまなユース ケースおよび条件における強力な認証方法
高い特権を持つユーザーの保護
異常なユーザー アクティビティの監視と処理
ユーザー ID とアクセスの確認と調整のプロセス
詳細については、次のリファレンスを参照してください。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
GS-7: ログ記録と脅威対応戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NNIST SP 800-53 r4 ID |
|---|---|---|
| GS-7 | 19 | IR、AU、RA、SC |
コンプライアンス要件を満たしながら脅威を迅速に検出して修復するための、ログ記録と脅威対応戦略を確立します。 統合と手動手順ではなく脅威に集中できるように、高品質のアラートとシームレスなエクスペリエンスをアナリストに提供することを優先します。
この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。
セキュリティ運用 (SecOps) 組織の役割と責任
NIST または他の業界フレームワークと一致する、明確に定義されたインシデント対応プロセス
脅威の検出、インシデント対応、コンプライアンスのニーズに対応するためのログのキャプチャと保持
SIEM、Azure のネイティブ機能、その他のソースを使用した、脅威に関する情報の一元的な可視化と関連付け
顧客、サプライヤー、および関心を持つパブリック パーティに関するコミュニケーションと通知の計画
ログ記録と脅威の検出、フォレンジクス、攻撃の修復と根絶など、インシデント処理に対する Azure ネイティブおよびサードパーティのプラットフォームの使用
インシデントとインシデント発生後のアクティビティを処理するためのプロセス (教訓や証拠の保持など)
詳細については、次のリファレンスを参照してください。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):
GS-8:バックアップと復旧の戦略を定義する
| Azure ID | CIS コントロール v7.1 ID | NNIST SP 800-53 r4 ID |
|---|---|---|
| GS-8 | 10 | CP |
組織の Azure のバックアップと復旧の戦略を確立します。
この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。
ビジネス回復性の目標に従った目標復旧時間 (RTO) と目標復旧時点 (RPO) の定義
アプリケーションとインフラストラクチャのセットアップにおける冗長性の設計
アクセスの制御とデータ暗号化を使用したバックアップの保護
詳細については、次のリファレンスを参照してください。
責任: Customer
顧客のセキュリティ上の利害関係者 (詳細):