セキュリティ コントロール脆弱性の管理
脆弱性管理の推奨事項は、脆弱性を特定して修正し、攻撃者にとって機会がある期間を最小限にするため、新しい情報に対する継続的な取得、評価、および行動に関連する問題を解決することが重視されています。
5.1:自動化された脆弱性スキャン ツールを実行する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 5.1 | 3.1、3.2、3.3 | Customer |
Azure 仮想マシン、コンテナー イメージ、および SQL サーバーに対して脆弱性評価を実行することに関する Azure Security Center の推奨事項に従います。
ネットワーク デバイスと Web アプリケーションで脆弱性評価を実行するためのサードパーティ ソリューションを使用します。 リモート スキャンを実施する場合は、1 つの永続的な管理者アカウントを使用しないでください。 スキャン アカウントには、JIT プロビジョニングの方法論を実装することを検討してください。 スキャン アカウントの資格情報は保護と監視の対象とし、脆弱性のスキャンのためにのみ使用する必要があります。
5.2:自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 5.2 | 3.4 | Customer |
Windows および Linux VM に最新のセキュリティ更新プログラムが確実にインストールされるようにするには、Azure "Update Management" を使用します。 Windows VM については、Windows Update が有効になっていて、自動的に更新するよう設定されていることを確認します。
5.3:サード パーティ ソフトウェア タイトル用の自動化された修正プログラム管理ソリューションをデプロイする
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 5.3 | 3.5 | Customer |
サードパーティの修正プログラム管理ソリューションを使用します。 環境内で既に System Center Configuration Manager を利用しているお客様は、System Center Updates Publisher を利用し、カスタム更新プログラムを Windows Server Update Service に発行可能にすることもできます。 これを実施すれば、サード パーティ ソフトウェアを使用して、System Center Configuration Manager を更新リポジトリとして使用するマシンに Update Management から修正プログラムを適用できます。
5.4:バックツーバックの脆弱性スキャンを比較する
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 5.4 | 3.6 | Customer |
スキャン結果を一定の間隔でエクスポートして結果を比較し、脆弱性が修復されていることを確認します。 Azure Security Center によって提案された脆弱性管理の推奨事項を使用する場合は、選択したソリューションのポータルに切り替えてスキャン データの履歴を表示できます。
5.5:リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける
| Azure ID | CIS IDs | 担当 |
|---|---|---|
| 5.5 | 3.7 | Customer |
一般的なリスク スコアリング プログラム (例: Common Vulnerability Scoring System) またはサードパーティのスキャンツールによって提供された既定のリスク評価を使用します。
次のステップ
- 次のセキュリティ コントロールを参照してください。インベントリと資産の管理