はじめに

• 3 分

Microsoft Defender for Cloud では、リソースの構成と業界標準、規制、ベンチマークの要件が継続的に比較されます。

セキュリティ態勢管理において環境をどのように評価されるかを理解するには、セキュリティ ポリシーとイニシアティブを理解することが重要です。

セキュリティ ポリシーおよびイニシアチブとは

Microsoft Defender for Cloud は、セキュリティイニシアチブをサブスクリプションに適用します。 これらのイニシアチブには、1 つ以上のセキュリティ ポリシーが含まれています。 各ポリシーが、セキュリティ対策を強化するための推奨事項となります。

セキュリティ ポリシーとは何ですか。

Azure Policy で作成される Azure ポリシー定義は、制御する特定のセキュリティ条件に関するルールです。 組み込みの定義には、展開を許可するリソースの種類の制御や、すべてのリソースでのタグ使用の強制などが含まれます。 独自のカスタム ポリシー定義を作成することもできます。

これらのポリシー定義 (組み込みまたはカスタムを問わず) を実装するには、それらを割り当てる必要があります。 こうしたポリシーを割り当てるには、Azure portal、PowerShell、または Azure CLI を使用します。 Azure Policy では、ポリシーを無効または有効にすることができます。

Azure Policy には、さまざまな種類のポリシーがあります。 クラウドの Defender は、主に、特定の条件と構成を確認し、コンプライアンスを報告する "監査" ポリシーを使用します。 セキュリティ設定を適用するために使用できる "強制" ポリシーもあります。

セキュリティ イニシアチブとは

Azure Policy イニシアチブは、Azure Policy の定義、つまり特定の目標や目的を実現するためにグループ化されたルールのコレクションです。 Azure イニシアチブは、一連のポリシーを論理的にグループ化して単一の項目として扱うことで、ポリシーの管理を簡略化します。

セキュリティ イニシアチブは、ワークロードの必要な構成を定義し、会社や規制当局のセキュリティ要件に確実に準拠できるようにします。

セキュリティポリシーと同様に、クラウドイニシアチブの Defender は Azure Policy でも作成されます。 Azure Policy を使用すると、ポリシーを管理し、イニシアチブを構築し、複数のサブスクリプションまたは管理グループ全体に対してイニシアチブを割り当てることができます。

Microsoft Defender for Cloud のすべてのサブスクリプションに自動的に割り当てられる既定のイニシアチブは、Azure のセキュリティベンチマークです。 このベンチマークは Microsoft が作成したもので、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関する Azure 固有のガイドラインのセットです。 この広く遵守されているベンチマークは、クラウド中心のセキュリティに重点を置いた Center for Internet Security (CIS) と National Institute of Standards and Technology (NIST) の統制に基づいています。

Defender for Cloud は、セキュリティイニシアチブとポリシーを操作するための次のオプションを提供します。

• 組み込みの既定のイニシアチブを表示および編集 する-クラウドに対して defender を有効にすると、"Azure セキュリティベンチマーク" という名前のイニシアチブがクラウド登録サブスクリプションのすべての defender に自動的に割り当てられます。 このイニシアチブをカスタマイズするには、ポリシーのパラメーターを編集して、イニシアチブ内の個々のポリシーを有効または無効にします。 組み込みのセキュリティ ポリシーの一覧を参照して、すぐに使用できるオプションを確認してください。

• 独自のカスタムイニシアチブを追加 する-サブスクリプションに適用されるセキュリティイニシアチブをカスタマイズする場合は、Defender for Cloud で実行できます。 マシンが作成したポリシーに従っていない場合は、推奨事項を受け取ります。 カスタム ポリシーを作成して割り当てる手順については、カスタム セキュリティ イニシアチブの使用に関する記事をご覧ください。

• 規制遵守基準をイニシアチブとして追加する - Defender for Cloud の法令順守ダッシュボードには、環境内のすべての評価の状態が、特定の標準または規制 (Azure CIS、NIST SP 800-53 R4、SWIFT CSP CSCF-v2020) のコンテキストで表示されます。

セキュリティに関する推奨事項とは

Defender for Cloud では、潜在的なセキュリティ構成の誤りや弱点を識別するために、ポリシーを使用してリソースのコンプライアンス状態を定期的に分析します。 その後、これらの問題を修正する方法に関する推奨事項が提供されます。 推奨事項は、関連するポリシーに対してリソースを評価し、定義された要件を満たしていないリソースを特定した結果です。

Defender for Cloud は、選択したイニシアチブに基づいて、セキュリティに関する推奨事項を作成します。 そのイニシアティブのポリシーがリソースと比較され、準拠していないものが 1 つ以上見つかると、それが Defender for Cloud に推奨事項として表示されます。

推奨事項とは、リソースをセキュリティで保護および強化するために実行する操作です。 各推奨事項には、次の情報が記載されています。

• 問題の簡単な説明
• 推奨事項を実装するために実行する修復手順
• 影響を受けるリソース

Azure のセキュリティベンチマークは、要件を含む "イニシアチブ" です。

たとえば、Azure Storage アカウントはネットワークアクセスを制限して、攻撃対象領域を減らす必要があります。

このイニシアチブには複数の "ポリシー" が含まれており、それぞれに特定のリソースの種類の要件があります。 これらのポリシーによって、イニシアチブの要件が適用されます。

この例を続行するには、"Storage アカウントは、仮想ネットワークルールを使用してネットワークアクセスを制限する必要があります" というポリシーを適用します。

Microsoft Defender for Cloud は、接続されているサブスクリプションを継続的に評価します。 ポリシーを満たしていないリソースが見つかった場合は、その状況を修正し、セキュリティ要件を満たしていないリソースのセキュリティを強化するための "推奨事項" が表示されます。

たとえば、保護されたサブスクリプションのいずれかの Azure Storage アカウントが仮想ネットワークルールで保護されていない場合は、それらのリソースを強化するための推奨事項が表示されます。

(1) イニシアチブには、(3) 環境固有の推奨事項を生成する (2) ポリシーが含まれています。

あなたは、Microsoft Defender for Cloud を使用している会社で働いているセキュリティ運用アナリストです。 ハイブリッド クラウド リソースの規制コンプライアンスを担当しています。

あなたは、Microsoft Defender for Cloud に表示される、Azure セキュリティ ベンチマークに合格したコントロールの数を改善する必要があります。

Microsoft Defender for Cloud セキュリティ ポリシー、イニシアチブ、推奨事項について理解したので、これらが実際に動作するところを見てみましょう。