セキュリティ ポリシーを実装して評価する

  • 12 分

Contoso 社のエンジニアリング チームは、Microsoft Defender for Cloud の試用を実施することに決めています。 試用の一環として、保護する VM リソースがいくつかあります。 チーム メンバーは、Microsoft Defender for Cloud[概要] ペインから、セキュリティの全体像を確認します。 チームは、[全体のセキュア スコア] が 38% しかないことに気付きます。 また、[リソース セキュリティの検疫] の見出しの下に、多くの推奨事項があることにも気付きます。 彼らは、リソースのセキュリティ強化を試行することを決定しました。

VM の規制コンプライアンスを監査する

チームは、規制コンプライアンスのレビューを開始します。 [規制コンプライアンス] の見出しの下で、PCI DSS 3.2.1ISO 27001Azure CIS 1.1.0 の測定値を確認します。 チームのメンバーが [規制コンプライアンス] タイルを選択し、追加情報が表示されます。

次の表では、セキュリティを測定するためのコンプライアンス標準について説明します。

コンプライアンス標準 説明
PCI DSS 3.2.1 Payment Card Industry Data Security Standard (PCI DSS) は、クレジット カード支払いを管理する組織のセキュリティ問題に対処し、カード詐欺を減らすことを目的としています。
ISO 27001 国際標準化機構 (ISO) 27000 ファミリ標準の一部である 27001 では、IT システムを管理できるシステムが定義されています。 この標準の条件を満たしていることを証明するために、組織は監査に提出する必要があります。
Azure CIS 1.1.0 Center for Internet Security (CIS) は、IT システムをセキュリティで保護するためのベスト プラクティスの開発に携わる組織です。 Azure CIS 1.1.0 標準は、組織が Azure クラウド内のリソースをセキュリティで保護できるようにするために考案されています。
SOC TSP Service Organization Controls (SOC) フレームワークは、クラウドで保存および処理される情報の機密性とプライバシーの保護に重点を置いているコントロールの標準です。

これらの標準に対する準拠状況を確認するには、次の手順を使用します。

  1. Azure portal の Microsoft Defender for Cloud[規制コンプライアンス] ペインで、[今すぐダウンロード >] を選択します。
  2. [レポートのダウンロード] ウィンドウの [基準をレポート] の一覧で、[コンプライアンス標準] を選択します。 たとえば、[SOC TSP] を選択し、[ダウンロード] を選択します。
  3. ダウンロードした PDF を開き、内容を確認します。

コンプライアンス修復の詳細を確認するには、[規制コンプライアンス] ウィンドウで、次の手順を使用します。

  1. 関連する標準の適切なタブを選択します。 たとえば、[SOC TSP] を選択します。
  2. 推奨事項に関する追加の詳細を確認するには、[評価] 一覧から選択し、[影響を受けるマシンを表示] を選択します。

セキュリティの推奨事項への対応

セキュリティとコンプライアンスの標準に組織の状態を照らして確認するだけで済ませないことが重要です。 また、これらの標準を試して満たすために、セキュリティ強化にも努めることをお勧めします。 セキュリティに関する推奨事項にアクセスして適用するには、Azure portal の Microsoft Defender for Cloud で、[全体のセキュア スコア] タイルを選択します。 サブスクリプションの推奨事項を適用するには、次の手順に従います。

  1. [セキュア スコア ダッシュボード] で、適切なサブスクリプションを選択し、[推奨事項の表示] を選択します。

  2. [推奨事項] ウィンドウで、CSV レポートをダウンロードできます。 また、一覧表示された推奨事項の詳細を展開することもできます。

  3. 特定の推奨事項を選択し、推奨事項のウィンドウ (推奨事項のタイトルに基づいて名前が変わります) で、[修復の手順] を展開して、セキュリティの問題に対処するために必要な手動の手順を確認します。 その後、これらのリソースに切り替えて、修復手順を適用できます。

    ヒント

    状況によっては、特定の推奨事項で [修復] を選択して、クイック修正を適用できます。 これにより、選択したときに自動的に修復が適用されます。

  4. また、ロジック アプリを適用して、一覧表示されているリソースを修正することもできます。 これを行うには、影響を受けるリソースを選択し、[ロジック アプリのトリガー] を選択します。

  5. [ロジック アプリのトリガー] ウィンドウで、ロジック アプリの読み込みが完了したら、適切なロジック アプリを選択して [トリガー] を選択します。

Windows Server IaaS VM に対して脆弱性評価を実行する

Microsoft Defender for Cloud を使用すれば、ご利用の VM に対して脆弱性評価を実行できます。 ただし、まず、必要なリソースに脆弱性評価ソリューションをインストールする必要があります。

脆弱性評価ソリューションをインストールする

Azure には、組み込みの脆弱性評価ソリューションが用意されています。 VM でこれを有効にするには、次の手順に従います。

  1. Microsoft Defender for Cloud を開き、[推奨事項] を選択します。
  2. [推奨事項] ウィンドウで、必要に応じて適切なサブスクリプションを選択します。
  3. [コントロール] の一覧で、[脆弱性を修復する] を展開し、[組み込みの脆弱性評価ソリューションを仮想マシンで有効にします(Qualys を利用)] の推奨事項を選択します。
  4. 評価を適用するすべての VM を選択し、[修復] を選択します。
  5. [リソースの修復] ウィンドウで、[n 個のリソースの修復] を選択します。 修復対象のリソースの数によっては、処理に数分以上かかることがあります。

ヒント

組み込みの脆弱性スキャナーに加えて、サードパーティ製のスキャナーをインストールすることもできます。

脆弱性評価を実行する

脆弱性評価をインストールした後、評価を実行できます。 評価を開始するには、次のようにします。

  1. [組み込みの脆弱性評価ソリューションを仮想マシンで有効にします(Qualys を利用)] ウィンドウで、表示を更新し、すべてのリソースが [正常なリソース] タブに表示されるまで待ちます。(これには数分以上かかることがあります)。
  2. [正常なリソース] タブにリソースが表示されたら、スキャンが自動的に開始されることを確認します。

Note

スキャンは 4 時間間隔で実行されます。 この設定は変更できません。

Microsoft Defender for Cloud によって脆弱性が特定されると、それらは推奨事項として表示されます。 検出結果を確認して特定された脆弱性を修復するには、次の手順を使用します。

  1. Microsoft Defender for Cloud を開き、[推奨事項] ページに移動します。
  2. [脆弱性の修復] を選択し、[仮想マシンの脆弱性を修復する必要があります (Qualys を利用)] を選択します。

Microsoft Defender for Cloud には、現在選択されているサブスクリプションに含まれるすべての VM に関して、すべての検出結果が表示されます。 これらの検出結果は、重大度順に一覧表示されます。 特定の脆弱性の詳細を確認するには、それを選択します。

ヒント

特定の VM を基準に検出結果をフィルター処理するには、[影響を受けたリソース] セクションを開いて VM を選択します。 または、リソースの正常性から VM を選択し、そのリソースに関連するすべての推奨事項を確認できます。

追加の参考資料

詳しくは、次のドキュメントをご覧ください。