注
Microsoft クラウド セキュリティ ベンチマークは、2022 年 10 月にブランド変更された Azure セキュリティ ベンチマーク (ASB) の後継です。
新しいサービスと機能は、Azure とクラウド サービス プロバイダープラットフォームで毎日リリースされ、開発者はこれらのサービスに基づいて構築された新しいクラウド アプリケーションを迅速に公開しており、攻撃者は誤って構成されたリソースを悪用する新しい方法を常に模索しています。 クラウドは急速に移動し、開発者は高速に移動し、攻撃者も高速に移動します。 どのようにして遅れずについていき、クラウド デプロイがセキュリティで保護されていることを確認すればよいでしょう。 クラウド システムのセキュリティ プラクティスは、オンプレミス システムと異なり、クラウド サービス プロバイダー間でどのように異なりますか? 複数のクラウド プラットフォーム間で一貫性を確保するためにワークロードを監視するにはどうすればよいですか?
Microsoft では、セキュリティ ベンチマークの使用がクラウド デプロイの迅速なセキュリティ保護に役立つことがわかっています。 クラウド サービス プロバイダーの包括的なセキュリティベスト プラクティス フレームワークを使用すると、複数のサービス プロバイダー間で、クラウド環境内の特定のセキュリティ構成設定を選択するための出発点が提供され、1 つの画面を使用してこれらの構成を監視できます。
Microsoft クラウド セキュリティ ベンチマーク (MCSB) には、単一または複数のクラウド環境でクラウド サービスをセキュリティで保護するために使用できる、影響の大きいセキュリティに関する推奨事項のコレクションが含まれています。 MCSB の推奨事項には、次の 2 つの重要な側面が含まれます。
- セキュリティ制御: これらの推奨事項は、一般にクラウド ワークロード全体に適用されます。 各推奨事項では、通常、ベンチマークの計画、承認、または実装に関与している利害関係者の一覧を特定します。
- サービス ベースライン: 個々のクラウド サービスにコントロールを適用して、その特定のサービスのセキュリティ構成に関する推奨事項を提供します。 現在、サービス ベースラインは Azure でのみ使用できます。
Microsoft クラウド セキュリティ ベンチマークの実装
- MCSB の実装を計画するには、エンタープライズ コントロールとサービス固有のベースラインに関するドキュメントを確認して、制御フレームワークを計画し、それが Center for Internet Security (CIS) Controls、アメリカ国立標準技術研究所 (NIST)、Payment Card Industry Data Security Standard (PCI-DSS) フレームワークなどのガイダンスにどのようにマップされるかを確認します。
- マルチクラウド環境の Microsoft Defender for Cloud - 規制コンプライアンス ダッシュボードを使用して、MCSB の状態 (およびその他のコントロール セット) に対するコンプライアンスを監視します。 .
- Azure Blueprints、Azure Policy、または他のクラウド プラットフォームの同等のテクノロジの機能を使用して、セキュリティで保護された構成を自動化し、MCSB (および組織内の他の要件) へのコンプライアンスを適用するためのガードレールを確立します。
一般的なユース ケース
Microsoft クラウド セキュリティ ベンチマークは、多くの場合、次の顧客またはサービス パートナーの一般的な課題に対処するために使用できます。
- Azure (および AWS など、他の主要なクラウド プラットフォーム) を初めて使用し、クラウド サービスと独自のアプリケーション ワークロードのセキュリティで保護されたデプロイを確保するためのセキュリティのベスト プラクティスを探しています。
- 既存のクラウド デプロイのセキュリティ体制を改善し、上位のリスクと軽減策に優先順位を付けることを検討しています。
- マルチクラウド環境 (Azure や AWS など) を使用し、1 つのウィンドウを使用してセキュリティコントロールの監視と評価を調整する上で課題に直面しています。
- クラウド サービス カタログにサービスをオンボード/承認する前に、Azure (および AWS などの他の主要なクラウド プラットフォーム) のセキュリティ機能を評価する。
- 政府、金融、医療など、規制の厳しい業界のコンプライアンス要件を満たす必要があります。 これらのお客様は、CIS、NIST、PCI などのフレームワークで定義されているセキュリティ仕様を満たすために、Azure と他のクラウドのサービス構成を確保する必要があります。 MCSB は、これらの業界ベンチマークに事前にマップされているコントロールを使用して効率的なアプローチを提供します。
用語
"control" と "baseline" という用語は、多くの場合、Microsoft クラウド セキュリティ ベンチマークのドキュメントで使用されます。 MCSB でこれらの用語がどのように使用されているかを理解することが重要です。
| 任期 | 説明 | 例 |
|---|---|---|
| コントロール | コントロールとは、特定のテクノロジや実装のみに限定されない、実行すべき機能やアクティビティの総称です。 | データ保護は、セキュリティ コントロール ファミリの 1 つです。 データ保護には、データを確実に保護するために対処する必要がある特定の操作が含まれています。 |
| ベースライン | ベースラインとは、個々の Azure サービスでのコントロールの実装です。 各組織はベンチマークの推奨事項を決定し、Azure で対応する構成が必要になります。 注: 現在、サービス ベースラインは Azure でのみ使用できます。 | Contoso 社は、Azure SQL のセキュリティ ベースラインで推奨されている構成に従って、Azure SQL のセキュリティ機能を有効にすることを目指しています。 |
Microsoft クラウド セキュリティ ベンチマークに関するフィードバックをお待ちしております。 以下のフィードバック領域でコメントを入力することをお勧めします。 Microsoft クラウド セキュリティ チームとよりプライベートに入力を共有する場合は、 benchmarkfeedback@microsoft.comにメールでお問い合わせください。