セキュリティ ベースライン
組織でセキュリティ ベースラインを使用する
Microsoft は、お客様に、Windows や Windows Server などのセキュリティで保護されたオペレーティング システムと、エンタープライズおよび Microsoft Edge 用の Microsoft 365 アプリなどのセキュリティで保護されたアプリを提供することに専念しています。 Microsoft は、製品のセキュリティ保証だけでなく、お客様にさまざまな構成機能を提供することで、ご利用環境のきめ細かい制御を可能にします。
Windows および Windows Server は追加設定することなく安全に使用できるよう設計されていますが、多くの組織はさらに精密なセキュリティ構成のコントロールを求めています。 これらの多数に及ぶコントロールを操作するには、さまざまなセキュリティ機能を設定するためのガイダンスが必要です。 Microsoft では、セキュリティ ベースラインという形式で、このガイダンスを提供します。
ベースラインを独自に作成するのではなく、広く認知され十分なテストを経た Microsoft セキュリティ ベースラインなど、業界標準の構成を実装するようお勧めします。 この業界標準の構成は、柔軟性を高め、コストを削減するのに役立ちます。
詳細については、次のブログ投稿を参照してください。
セキュリティ基本計画とは?
今や数多くの組織がセキュリティの脅威に直面しています。 ただし、ある組織にとって最も懸念されるセキュリティ上の脅威の種類は、別の組織とは異なる場合があります。 たとえば、電子商取引会社はインターネットに接続する Web アプリの保護に焦点を当て、病院では患者の機密情報の保護に重点を置く場合があります。 そのうえで、すべての組織に共通することは、アプリとデバイスのセキュリティ保護です。 これらのデバイスは、組織によって指定されたセキュリティ基準 (またはセキュリティ基本計画) に準拠する必要があります。
セキュリティ ベースラインは、セキュリティへの影響を説明する Microsoft が推奨する構成設定のグループです。 これらの設定は、Microsoft セキュリティのエンジニアリングチーム、製品グループ、パートナー、および顧客のフィードバックに基づいています。
セキュリティ ベースラインが必要な理由
セキュリティ ベースラインは Microsoft、パートナー、お客様からの専門的な知識を集約しているため、お客様にとって重要なメリットとなります。
たとえば、Windows 10 には 3,000 を超えるグループ ポリシー設定があり、1,800 を超える Internet Explorer 11 設定は含まれていません。 4,800 の設定のうち、セキュリティ関連は一部のみです。 さまざまなセキュリティ機能に関する広範なガイダンスが Microsoft から提供されていますが、それぞれを調べるには時間がかかることがあります。 各設定のセキュリティへの影響を自分で判断する必要があります。 その後も、設定ごとに適切な値を決定する必要があります。
最新の組織では、セキュリティの脅威の状況は絶えず進化しており、IT 担当者とポリシー作成者は、セキュリティの脅威に対応し、これらの脅威を軽減するために必要なセキュリティ設定を変更する必要があります。 より迅速な展開を可能にし、Microsoft 製品の管理を容易にするために、Microsoft は、グループ ポリシー オブジェクトのバックアップなど、使用できる形式で使用できるセキュリティ ベースラインをお客様に提供します。
Windows エディションとライセンスに関する要件
次の表に、セキュリティ ベースラインをサポートする Windows エディションを示します。
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
はい | ○ | ○ | はい |
セキュリティ ベースライン ライセンスの権利は、次のライセンスによって付与されます。
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
はい | はい | ○ | ○ | ○ |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
ベースライン原則
推奨事項は、ベースライン定義に対する合理化された効率的なアプローチに従います。 このアプローチの基礎は、基本的に次のとおりです。
- ベースラインは、標準的なエンド ユーザーが管理者権限を持たない、適切に管理されたセキュリティに配慮した組織向けに設計されています。
- ベースラインは、現代的なセキュリティの脅威を軽減し、軽減するリスクよりも悪い運用上の問題を引き起こさない場合にのみ、設定を適用します。
- ベースラインでは、承認されたユーザーによって安全でない状態に設定される可能性がある場合にのみ、既定値が適用されます。
- 管理者以外が安全でない状態を設定できる場合は、既定値を適用します。
- 安全でない状態を設定するために管理者権限が必要な場合は、誤った形式の管理者が不適切に選択する可能性がある場合にのみ、既定値を適用します。
セキュリティ基本計画を使用するには?
セキュリティ基本計画を使用すれば:
- ユーザーとデバイスの構成設定が基準に準拠していることを確認できます。
- 構成設定の設定ができます。 たとえば、グループ ポリシー、Microsoft Configuration Manager、または Microsoft Intune を使用して、ベースラインで指定された設定値を使用してデバイスを構成できます。
セキュリティ基本計画はどこで入手できますか?
セキュリティ ベースラインを取得して使用するには、いくつかの方法があります。
セキュリティ ベースラインは、Microsoft ダウンロード センターからダウンロードできます。 このダウンロード ページは、 セキュリティ コンプライアンス ツールキット (SCT) 用です。これは、管理者がセキュリティ ベースラインに加えてベースラインを管理するのに役立つツールで構成されています。 SCT には、セキュリティ ベースラインの管理に役立つツールも含まれています。 セキュリティ ベースラインのサポートを受けることもできます
モバイル デバイス管理 (MDM) セキュリティ ベースラインは 、Microsoft グループ ポリシー ベースのセキュリティ ベースラインと同様に機能し、これらのベースラインを既存の MDM 管理ツールに簡単に統合できます。
MDM セキュリティ ベースラインは、Windows 10 と Windows 11 を実行するデバイスで Microsoft Intune で簡単に構成できます。 詳細については、「 Intune の Windows 10/11 MDM セキュリティ ベースラインの設定の一覧」を参照してください。