セキュリティ ツールとポリシー

  • 5 分

Tailwind Traders 社のストーリーでは、同社は Azure ランディング ゾーンに対して「小さく始める」というアプローチを採用しました。 このことは、現在の実装には推奨されるすべてのセキュリティ コントロールが含まれているわけではないことを意味します。 同社が最初から Azure ランディング ゾーン アクセラレータを使用していれば、次のような多くのツールが既にインストールされていたことでしょう。

このユニットでは、同社の環境を Azure ランディング ゾーンの概念アーキテクチャに近づけ、組織のセキュリティ要件を準備するためにどのコントロールを追加すべきかを説明します。

セキュリティ ベースラインを迅速に実現するために、いくつかのツールとコントロールを使用することができます。

  • Microsoft Defender for Cloud: リソースの強化、セキュリティ態勢の追跡、サイバー攻撃からの保護、セキュリティ管理の効率化を行うのに必要なツールが用意されています。
  • Microsoft Entra ID:既定の ID およびアクセス管理サービス。 Microsoft Entra ID では ID セキュリティ スコアが提供されるため、Microsoft の推奨事項と比較して ID セキュリティ態勢を評価することができます。
  • Microsoft Sentinel: AI を活用して、企業全体にクラウド規模のインテリジェントなセキュリティ分析を提供するクラウドネイティブな SIEM です。
  • Azure 分散型サービス拒否 (DDoS) 標準保護プラン (省略可能): DDoS 攻撃から防御するための、強化された DDoS 軽減機能を提供します。
  • Azure Firewall: Azure で実行されているクラウド ワークロードに脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービスです。
  • Web Application Firewall: SQL インジェクションや、クロスサイト スクリプティングなどのセキュリティ脆弱性のような一般的な Web ハッキング手法から Web アプリを保護するクラウドネイティブ サービスです。
  • Privileged Identity Management (PIM):組織内の重要なリソースへのアクセスを管理、制御、監視できる Microsoft Entra ID のサービス。
  • Microsoft Intune: モバイル デバイス管理とモバイル アプリケーション管理を中心にしたクラウドベースのサービスです。

次のセクションでは、Tailwind Traders 社がセキュリティ ベースラインを実現する実際の方法を紹介します。

アクセスの制御のためのベースライン実装

CISO は、顧客ストーリーにより、次の目的を達成したいと考えています。

  • ユーザーが自分の仕事をどこからでも安全に行えるようにする
  • 重大なセキュリティ インシデントによるビジネス上の損害を最小限に抑える

これらの目標が自組織に適合する場合、またはアクセスの制御を強化すべき他の理由がある場合、次のタスクをセキュリティ ベースラインに組み込みます。

  • Microsoft Entra ID を実装して強力な資格情報を有効にする
  • デバイスのセキュリティのために Intune を追加する
  • 特権アカウントの PIM を追加してゼロ トラストの世界に近づく
  • ハブアンドスポーク モデルを、アプリケーション ランディング ゾーン間のブレークグラス コントロールとファイアウォール コントロールと共に使用して、強固なネットワーク セグメンテーションを実装する
  • Defender for Cloud と Azure Policy を追加して、これらの要件への準拠を監視する

コンプライアンスのためのベースライン実装

CISO は、顧客のストーリーにより、次の目的を達成したいと考えています。

  • 規制およびコンプライアンス要件を事前に満たす

この目標が自組織に適合する場合、またはアクセスの制御を強化すべき他の理由がある場合、次のタスクをセキュリティ ベースラインに組み込みます。

  • 特権アカウントの PIM を追加してゼロ トラストの世界に近づく

機密度が高いビジネス データを特定および保護するためのベースライン実装

CISO は、顧客ストーリーにより、次の目的を達成したいと考えています。

  • 機密度の高いビジネス データを特定および保護する
  • 既存のセキュリティ プログラムを迅速に最新化する

これらの目標が自組織に適合する場合、またはアクセスの制御を強化すべき他の理由がある場合、次のタスクをセキュリティ ベースラインに組み込みます。

  • Defender for Cloud を追加して、拡大するデジタル フットプリントに対する一元的で統合された可視性と制御を取得し、どのような露出が存在するのかを理解する
  • Microsoft Sentinel を追加して繰り返し可能なプロセスを自動化し、セキュリティ チームの時間を解放する

適切なツールが整ったら、優れたポリシーを設定することで、これらのツールが適切に使用されるようにします。 オンラインの、および会社に接続されたランディング ゾーンに、いくつかのポリシーが適用されます。

  • ストレージ アカウントへの、HTTPS などのセキュリティで保護されたアクセスを適用する: ストレージ アカウントの [Secure transfer required] (安全な転送が必須) プロパティを設定することで、セキュリティで保護された接続による要求のみを受け入れるように、ストレージ アカウントを構成します。 安全な転送を必須にすると、セキュリティで保護されていない接続で送信される要求はすべて拒否されます。
  • Azure SQL Database の監査を適用する: データベースのイベントが追跡され、Azure のストレージ アカウント、Log Analytics ワークスペース、またはイベント ハブの監査ログに書き込まれます。
  • Azure SQL Database の暗号化を適用する: 透過的なデータ暗号化は、保存データを暗号化することにより、SQL Database、Azure SQL Managed Instance、Azure Synapse Analytics を、悪意のあるオフライン アクティビティの脅威から保護するのに役立ちます。
  • IP 転送の防止: IP 転送を行うと、VM に接続されているネットワーク インターフェイスで、そのネットワーク インターフェイスの IP 構成に割り当てられた IP アドレスには宛てられていないネットワーク トラフィックを受信できるようになります。 また、ネットワーク インターフェイスの IP 構成の 1 つに割り当てられたものとは異なる送信元を使用してネットワーク トラフィックを送信することもできます。 トラフィックを受け取る VM と転送を行う必要がある VM にアタッチされているすべてのネットワーク インターフェイスで、設定を有効にする必要があります。
  • サブネットがネットワーク セキュリティグループ (NSG) に関連付けられていることを確認する: Azure NSG を使用して、Azure 仮想ネットワーク内の Azure リソースへの、および Azure リソースからのネットワーク トラフィックをフィルター処理します。 NSG には、数種類の Azure リソースへの受信ネットワーク トラフィック (またはリソースからの送信ネットワーク トラフィック) を許可または拒否するセキュリティ規則が含まれます。 各規則で、送信元と送信先、ポート、およびプロトコルを指定することができます。

知識を確認

1.

セキュリティ ベースラインを迅速に達成するのに役立つツールではないのは、次のうちどれですか?