セキュリティ制御 v3: ガバナンスと戦略

ガバナンスと戦略では、セキュリティ アシュアランスをガイドし維持するための整合性のあるセキュリティ戦略と文書化されたガバナンス アプローチを実現するためのガイダンスを提供します。たとえば、さまざまなクラウド セキュリティ機能、統一された技術的戦略、およびサポート ポリシーおよび標準に応じたロールと責任を確立します。

GS-1: 組織のロール、責任、責務を整合させる

CIS コントロール v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
14.9 PL-9、PM-10、PM-13、AT-1、AT-3 2.4

Azure ガイダンス: セキュリティ組織における役割と責任に関する明確な戦略を定義して伝えられるようにします。 セキュリティに関する決定についてわかりやすく説明すること、共有される責任モデルについて全員に教育すること、クラウドをセキュリティで保護するテクノロジについて技術チームに教育することを優先とします。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

GS-2: 職務戦略のエンタープライズ セグメント化と分離を定義して実装する

CIS コントロール v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.12 AC-4、SC-7、SC-2 1.2、6.4

Azure ガイダンス: ID、ネットワーク、アプリケーション、サブスクリプション、管理グループ、その他のコントロールを利用し、アセットへのアクセスをセグメント化する企業規模の戦略を確立します。

セキュリティ分離の必要性と、互いと通信し、データにアクセスする必要があるシステムの日常的操作を有効にするという必要性のバランスを慎重に取ります。

セグメント化戦略は、ネットワーク セキュリティ、ID とアクセス モデル、アプリケーション アクセス許可とアクセス モデル、人的プロセスの制御など、ワークロードを対象として確実に一貫性をもって実装します。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

GS-3: データ保護戦略を定義して実装する

CIS コントロール v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
3.1、3.7、3.12 AC-4、SI-4、SC-8、SC-12、SC-17、SC-28、RA-2 3.1、3.2、3.3、3.4、3.5、3.6、3.7、4.1、A3.2

Azure ガイダンス: Azure におけるデータ保護のためのエンタープライズ規模の戦略を確立します。

  • エンタープライズ データの管理基準、および規定遵守に基づいてデータ分類と保護基準を定義して適用することにより、データ分類の各レベルに必要なセキュリティ制御を既定します。
  • 企業のセグメント化戦略に合わせてクラウド リソースの管理階層を設定します。 企業のセグメント化戦略では、機密またはビジネスに重要なデータやシステムの場所からも通知される必要があります。
  • 境界内のネットワークの場所に基づいて信頼することがないよう、適用可能なゼロトラストの原則を定義して、環境に適用します。 代わりに、デバイスとユーザーからの信頼の要求を用いて、データとリソースへのアクセス許可を付与します。
  • 企業全体の機密データのフットプリント (ストレージ、送信、処理) を追跡して最小化し、攻撃面とデータ保護コストを削減します。 機密データをそのままの形で保存、送信することを避けるため、可能な限りワークロードに一方向ハッシュ、切り詰め、トークン化などの手法を用いることを検討してください。
  • データおよびアクセス キーのセキュリティを保証するために必要な、ライフサイクル全体の制御戦略を持つようにします。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

GS-4: ネットワーク セキュリティ戦略を定義して実装する

CIS コントロール v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
12.2、12.4 AC-4、AC-17、CA-3、CM-1、CM-2、CM-6、CM-7、SC-1、SC-2、SC-5、SC-7、SC-20、SC-21、SI-4 1.1、1.2、1.3、1.5、4.1、6.6、11.4、A2.1、A2.2、A2.3、A3.2

Azure ガイダンス: 組織全体におけるアクセス制御のセキュリティ戦略の一環として、Azure ネットワーク セキュリティ戦略を確立します。 この戦略には、次の要素に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。

  • ネットワーク リソースをデプロイおよび管理するための、集中型および分散型のネットワーク管理とセキュリティ責任モデルを設計します。
  • 企業のセグメント化戦略と一致する仮想ネットワーク セグメント化モデル
  • インターネット エッジとイングレスおよびエグレス戦略
  • ハイブリッド クラウドとオンプレミスの相互依存戦略
  • ネットワークの監視とログ記録の戦略
  • 最新のネットワーク セキュリティ成果物 (ネットワーク図、参照ネットワーク アーキテクチャなど)

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

GS-5: セキュリティ態勢の管理戦略を定義して実装する

CIS コントロール v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.1、4.2 CA-1、CA-8、CM-1、CM-2、CM-6、RA-1、RA-3、RA-5、SI-1、SI-2、SI-5 1.1、1.2、2.2、6.1、6.2、6.5、6.6、11.2、11.3、11.5

Azure ガイダンス: クラウド セキュリティの委任において、セキュリティ構成管理と脆弱性管理を確実に行うためのポリシー、手順、標準を確立します。

Azure のセキュリティ構成管理には、以下の領域が含まれている必要があります。

  • Azure portal、管理とコントロール プレーン、IaaS、PaaS、SaaS サービスで実行されているリソースなど、クラウド内のさまざまなリソースの種類ごとにセキュリティで保護された構成ベースラインを定義します。
  • ネットワーク セキュリティ、ID 管理、特権アクセス、データ保護など、さまざまなコントロール領域におけるリスクに対応したセキュリティ ベースラインを設定します。
  • ベースラインから逸脱した構成が行われることを防ぐため、ツールを使用して継続的に構成を測定、監査、適用します。
  • サービスの更新情報を購読するなどして、Azure のセキュリティ機能に関する最新情報を定期的に入手します。
  • Azure Defender for Cloud のセキュリティ スコアを利用して、Azure の構成のセキュリティ体制を定期的に確認し、特定したギャップは修正します。

Azure の脆弱性管理には、以下のセキュリティの側面が含まれている必要があります。

  • Azure ネイティブ サービス、オペレーティング システム、アプリケーション コンポーネントなど、すべてのクラウド リソースの種類の脆弱性を定期的に評価し、修復します。
  • リスクベースのアプローチを採用して、評価と修復の優先順位を決定します。
  • 関連する Microsoft や Azure のセキュリティに関するアドバイザリの通知やブログを購読し、Azure に関する最新のセキュリティ更新情報を入手します。
  • 脆弱性評価と修復 (スケジュール、範囲、手法など) が、組織の規制コンプライアンス要件に適合していることを確認します。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

GS-6: ID および特権アクセス戦略を定義して実装する

CIS コントロール v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
5.6、6.5、6.7 AC-1、AC-2、AC-3、AC-4、AC-5、AC-6、IA-1、IA-2、IA-4、IA-5、IA-8、IA-9、SI-4 7.1、7.2、7.3、8.1、8.2、8.3、8.4、8.5、8.6、8.7、8.8、A3.4

Azure ガイダンス: 組織全体のセキュリティ アクセス制御戦略の一環として、Azure の ID と特権アクセス アプローチを確立します。 この戦略には、以下の側面に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。

  • 一元化された ID と認証システム (Azure AD)、および他の内部および外部 ID システムとのその相互接続
  • 特権 ID およびアクセス ガバナンス (アクセス要求、レビュー、承認など)
  • 緊急時 (非常用) の特権アカウント
  • ユースケースや条件によって異なる強力な認証 (パスワードレス認証、多要素認証) 方法
  • Azure portal、CLI、API を利用した管理操作によるセキュリティで保護されたアクセス。

エンタープライズ システムを利用しない例外的なケースでは、ID、認証、アクセス管理、ガバナンスについて、適切なセキュリティ制御が行われていることを確認します。 これらの例外は、エンタープライズ チームによる承認を受け、定期的にレビューする必要があります。 これらの例外は、通常、次のような場合に該当します。

  • クラウドベースのサードパーティ システムなど、企業が指定していない ID および認証システムを使用した場合 (未知のリスクが発生する可能性があります)
  • ローカルで認証されている、または強力でない認証方法を使用した特権ユーザー

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

GS-7: ログ、脅威検出、インシデント対応戦略を定義して実装する

CIS コントロール v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.1、13.1、17.2、17.4、17.7 AU-1、IR-1、IR-2、IR-10、SI-1、SI-5 10.1、10.2、10.3、10.4、10.5、10.6、10.7、10.8、10.9、12.10、A3.5

Azure ガイダンス: コンプライアンス要件を満たしながら脅威を迅速に検出して修復するための、ログ記録、脅威検出、およびインシデント対応戦略を確立します。 セキュリティ運用 (SecOps / SOC) チームは、ログ統合や手動手順ではなく脅威に集中できるよう、高品質のアラートとシームレスなエクスペリエンスを優先すべきです。

この戦略には、以下の側面に関する文書化されたポリシー、手順、および標準が含まれている必要があります。

  • セキュリティ運用 (SecOps) 組織の役割と責任
  • NIST またはその他の業界のフレームワークに沿った、明確に定義され定期的にテストされるインシデント対応計画および対応プロセス。
  • 顧客、サプライヤー、および関心を持つパブリック パーティに関するコミュニケーションと通知の計画。
  • 様々な領域の脅威を検出するために、Azure Defender の機能のような拡張された検出と対応 (XDR) 機能を優先して使用する。
  • ログ記録と脅威の検出、フォレンジクス、攻撃の修復と根絶など、インシデント処理に対する Azure ネイティブ機能 (Microsoft Defender for Cloud) およびサードパーティのプラットフォームの使用。
  • 主要なシナリオ (脅威の検知、インシデント対応、コンプライアンスなど) を定義し、シナリオの要件を満たすようにログの取得と保存を設定する。
  • SIEM、Azure のネイティブな脅威検出機能、その他のソースを使用した、脅威に関する情報の一元的な可視化と関連付け。
  • 得られた教訓や証拠の保持などの、インシデント後のアクティビティ。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

GS-8: バックアップと回復の戦略を定義して実装する

CIS コントロール v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
11.1 CP-1、CP-9、CP-10 3.4

Azure ガイダンス: 組織の Azure のバックアップと復旧の戦略を確立します。 この戦略には、以下の側面に関する文書化されたガイダンス、ポリシー、標準が含まれている必要があります。

  • ビジネス回復性の目標、および規定遵守の要件に従った目標復旧時間 (RTO) と目標復旧時点 (RPO) の定義。
  • クラウドとオンプレミスの両方におけるアプリケーションとインフラストラクチャの冗長設計 (バックアップ、リストア、レプリケーションを含む)。 リージョン、リージョンペア、リージョン間での復旧、オフサイトの保存場所を戦略の一環として検討する。
  • データ アクセス コントロール、暗号化、ネットワーク セキュリティなどのコントロールを使用して、不正アクセスや改ざんからバックアップを保護する。
  • バックアップと回復を利用して、ランサムウェア攻撃のような新たな脅威からのリスクを軽減する。 また、バックアップと回復のデータ自体もこれらの攻撃から保護します。
  • 監査と警告の目的で、バックアップと回復のデータおよび操作を監視する。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

GS-9: エンドポイント セキュリティ戦略を定義して実装する

CIS コントロール v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.4、10.1 SI-2、SI-3、SC-3 5.1、5.2、5.3、5.4、11.5

Azure ガイダンス: 以下の側面を含む、クラウド エンドポイント セキュリティ戦略を確立します。

  • エンドポイントでの検出と対応、およびマルウェア対策機能をエンドポイントに導入し、脅威の検出と SIEM ソリューション、およびセキュリティ運用プロセスと統合する。
  • エンドポイントを徹底的に保護できるよう、Azure セキュリティ ベンチマークに従って他の各領域 (ネットワーク セキュリティ、体制の脆弱性管理、ID と特権アクセス、ログと脅威の検出など) においてエンドポイント関連のセキュリティ設定が行われいることを確認する。
  • 非運用環境 (DevOps プロセスで使用するテスト環境やビルド環境など) からもマルウェアや脆弱性が運用環境に持ちこまれる場合があるため、運用環境のエンドポイント セキュリティを優先しつつ、非運用環境のセキュリティ保護と監視も行うようにする。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

GS-10: DevOps セキュリティ戦略を定義して実装する

CIS コントロール v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
4.1、4.2、16.1、16.2 SA-12、SA-15、CM-1、CM-2、CM-6、AC-2、AC-3、AC-6、SA-11、AU-6、AU-12、SI-4 2.2、6.1、6.2、6.3、6.5、7.1、10.1、10.2、10.3、10.6、12.2

Azure ガイダンス: 組織の DevOps エンジニアリングおよび運用標準の一部として、セキュリティ制御を義務付けます。 組織内のエンタープライズおよびクラウドのセキュリティ標準に従って、セキュリティ目標、制御要件、ツールの仕様を定義します。

CI/CD ワークフロー全体を通じて、さまざまな種類の自動化機能 (Infrastructure as Code のプロビジョニング、自動 SAST および DAST スキャンなど) を使用して脆弱性を迅速に特定して修復できる利点を活かせるよう、組織内の重要な運用モデルとして DevOps を使用するよう奨励します。 この「Shift left」アプローチにより、デプロイ パイプラインにおいて一貫したセキュリティ チェックを実施するための可視性と能力も向上するため、効果的にセキュリティ ガードレールを環境に早い段階で導入し、セキュリティ上の不測の事態がワークロードを運用環境にデプロイする際に発生することを防ぎます。

セキュリティ管理をデプロイ前のフェーズにシフトするときは、セキュリティ ガードレールを実装して、DevOps プロセス全体を通じて制御がデプロイ、実施されるようにします。 このテクノロジには、IaC (Infrastructure as Code) でガードレールを定義する Azure ARM テンプレート、リソース プロビジョニング、および環境にプロビジョニングできるサービスや構成を監査および制限する Azure Policy が含まれます。

ワークロードのランタイム セキュリティ制御については、Azure セキュリティ ベンチマークに従って、ワークロードのアプリケーションとサービスの内部で、ID と特権アクセス、ネットワーク セキュリティ、エンドポイント セキュリティ、データ保護などの効果的な制御を設計および実装します。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):