Microsoft Cloud のリスク評価ガイド
クラウド リスク評価の目標は、クラウドに存在する、またはクラウドへの移行のために考慮されるシステムとデータが、organizationに新しいリスクや未確認のリスクを発生させないようにすることです。 焦点は、情報処理の機密性、整合性、可用性、プライバシーを確保し、特定されたリスクを受け入れられた内部リスクのしきい値以下に保つことです。
共有責任モデルでは、クラウド サービス プロバイダー (CSP) は、プロバイダーとしての クラウドの セキュリティとコンプライアンスの管理を担当します。 お客様は、ニーズとリスク許容度に応じて 、クラウドの セキュリティとコンプライアンスを管理および構成する責任を引き続き負います。
このガイドでは、ベンダーのリスクを効率的に評価する方法と、Microsoft が利用できるリソースとツールを使用する方法に関するベスト プラクティスについて説明します。
クラウドでの共有責任を理解する
クラウドデプロイは、サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、またはサービスとしてのソフトウェア (SaaS) として分類できます。 該当するクラウド サービス モデルに応じて、ソリューションのセキュリティ制御に対する責任レベルが CSP と顧客の間でシフトします。 従来のオンプレミス モデルでは、顧客はスタック全体を担当します。 クラウドに移行する場合、すべての物理的なセキュリティ責任が CSP に転送されます。 organizationのクラウド サービス モデルに応じて、追加の責任が CSP に移行します。 ただし、ほとんどのクラウド サービス モデルでは、organizationは、クラウドへのアクセスに使用されるデバイス、ネットワーク接続、アカウントと ID、およびデータに対して引き続き責任を負います。 Microsoft は、お客様がライフサイクル全体にわたってデータを管理し続けるサービスの作成に多額の投資を行っています。
Microsoft Cloud はハイパースケールで動作し、DevSecOps と自動化を組み合わせて運用モデルを標準化します。 Microsoft の運用モデルは、従来のオンプレミス運用モデルと比較してリスクのアプローチ方法を変更し、リスクを管理するためのさまざまな、時にはなじみのないコントロールの実装につながります。 クラウド リスク評価を実施する場合、Microsoft の目標は、すべてのリスクに対処することですが、必ずしもorganizationが行うのと同じコントロールを実装する必要はありません。 Microsoft は、異なる一連のコントロールで同じリスクに対処する場合があり、クラウド リスク評価に反映する必要があります。 さらに、従来のオンプレミス設計のリスクの一部は、クラウド環境では重大度が低く、その逆もあります。 強力な予防制御を設計して実装すると、探偵や是正措置に必要な作業の多くを削減できます。 その例として、Microsoft による ゼロ スタンディング アクセス (ZSA) の実装があります。
フレームワークを採用する
Microsoft では、お客様が自社の内部リスクと制御フレームワークを、標準化された方法でクラウド リスクに対処する独立したフレームワークにマップすることをお勧めします。 既存の内部リスク評価モデルが、クラウド コンピューティングに伴う特定の課題に対処していない場合は、これらの広範に採用された標準化されたフレームワークの恩恵を受けることができます。 内部コントロール フレームワークは、既に複数の標準化されたフレームワークの集合である可能性があります。これらのコントロールを対応するフレームワークにマップすると、評価中に役立ちます。
2 つ目の利点は、Microsoft が、リスク評価を促進するドキュメントとツールで、これらのフレームワークに対するマッピングを提供することです。 これらのフレームワークの例としては、 ISO 27001 情報セキュリティ標準、 CIS ベンチマーク、 NIST SP 800-53 などがあります。 Microsoft では、あらゆる CSP の最も包括的なコンプライアンス オファリングセットを提供しています。 詳細については、「 Microsoft コンプライアンス オファリング」を参照してください。
Microsoft Purview Compliance Manager を使用して、organizationに適用される業界および地域の規制に対するコンプライアンスを評価する独自の評価を作成します。 評価は、評価テンプレートのフレームワークに基づいて構築されています。このフレームワークには、必要なコントロール、改善アクション、および該当する場合は評価を完了するための Microsoft のアクションが含まれています。 Microsoft のアクションでは、詳細な実装計画と最近の監査結果が提供されます。 これにより、Microsoft によって特定のコントロールがどのように実装されているかを、ファクト検索、マッピング、調査に時間を節約できます。 詳細については、Microsoft Purview コンプライアンス マネージャーに関する記事を参照してください。
データを保護するために Microsoft がどのように動作するかを理解する
お客様は クラウドのセキュリティとコンプライアンスの管理と構成を担当しますが、CSP は クラウドのセキュリティとコンプライアンスの管理を担当します。 CSP が自分の責任に効果的に対処し、その約束を守っていることを検証する 1 つの方法は、ISO や SOC などの外部監査レポートを確認することです。 Microsoft は、認証された対象ユーザーが サービス 信頼ポータル (STP) で外部監査レポートを使用できるようにします。
外部監査レポートに加えて、Microsoft は、Microsoft がどのように動作しているかを理解するために、次のリソースを利用することを強くお勧めします。
オンデマンドラーニングパス: Microsoft Learn では、さまざまなトピックに関する何百ものラーニング パスとモジュールが提供されています。 その中で、「 Microsoft がお客様のデータを保護する方法」を 参照して、Microsoft の基本的なセキュリティとプライバシーのプラクティスを理解してください。
Microsoft コンプライアンスに関するサービス アシュアランス: Microsoft のプラクティスに関する記事は、レビューを容易にするために 14 のドメインに分類されています。 各ドメインには、各領域の一般的なリスク シナリオに対処する概要が含まれています。 監査テーブルには、STP に保存されている最新のレポート、関連セクション、および Microsoft オンライン サービスに対して監査レポートが実行された日付へのリンクが含まれています。 使用可能な場合は、サード パーティの脆弱性評価やビジネス継続性計画の検証レポートなど、制御の実装を示す成果物へのリンクが提供されます。 監査レポートと同様に、これらの成果物は STP でホストされ、アクセスするには認証が必要です。
| ドメイン | 説明 |
|---|---|
| アーキテクチャ | Microsoft オンライン サービスの設計と、その基盤として機能するセキュリティ原則。 |
| 監査ログと監視 | Microsoft がログをキャプチャ、処理、保存、保護、分析して、未承認のアクティビティを検出し、パフォーマンスを監視する方法。 セキュリティとパフォーマンスの監視を可能にします。 |
| データセンターのセキュリティ | Microsoft が世界中で Microsoft オンライン サービスを運用する手段を提供するデータセンターを安全に運用する方法。 |
| 暗号化とキー管理 | 顧客通信の暗号化保護と、クラウドに格納および処理されるデータ。 |
| ガバナンス、リスク、コンプライアンス | Microsoft が、お客様の約束とコンプライアンス要件を満たすためにリスクを作成および管理するセキュリティ ポリシーを適用する方法。 |
| ID とアクセスの管理 | 承認されていないアクセスまたは悪意のあるアクセスからの Microsoft オンライン サービスと顧客データの保護。 |
| セキュリティ インシデントの管理 | Microsoft がすべてのセキュリティ インシデントの準備、検出、対応、通信に使用するプロセス。 |
| ネットワーク セキュリティ | Microsoft が外部攻撃からネットワーク境界を保護し、内部ネットワークを管理して伝達を制限する方法。 |
| 人事管理 | Microsoft での時間を通じて、担当者のスクリーニング プロセス、トレーニング、およびセキュリティで保護された管理。 |
| プライバシーとデータ管理 | Microsoft がお客様のデータを処理して保護し、データの権利を保持する方法。 |
| 回復性および継続性 | サービスの可用性を維持し、ビジネス継続性と復旧を確保するために使用されるプロセスとテクノロジ。 |
| セキュリティ開発と運用 | Microsoft がサービスをライフサイクル全体を通じて安全に設計、実行、管理する方法。 |
| サプライヤー管理 | Microsoft が Microsoft オンライン サービスを支援するサード パーティ企業を画面に表示および管理する方法。 |
| 脅威と脆弱性の管理 | Microsoft が脆弱性とマルウェアのスキャン、検出、対処に使用するプロセス。 |
Compliance Program for Microsoft Cloud (CPMC)
Microsoft では、Microsoft がデータを安全に保ち、コンプライアンス要件を満たす方法をお客様が理解できるように、このサイトの記事などの情報を公開するよう努めています。 ただし、グローバルな規制状況に関する情報を常に把握し、複雑なコンプライアンスとリスクシナリオをナビゲートし、許容されるレベルの保証に到達することは困難な場合があります。 これらの課題を克服するために、Microsoft は Compliance Program for Microsoft Cloud (CPMC) を立ち上げました。 CPMCは、パーソナライズされた規制と業界固有のコンプライアンスサポート、教育、ネットワークの機会を提供する有料のプレミアムプログラムです。 CPMC 固有のオファリングの詳細については、CPMC Web サイトをチェック。