Microsoft クラウド セキュリティ ベンチマーク (MCSB) は、Azure とマルチクラウド環境でのワークロード、データ、サービスのセキュリティを向上させるための規範的なベスト プラクティスと推奨事項を提供します。 このベンチマークでは、次のような包括的な Microsoft と業界のセキュリティ ガイダンスのセットからの入力を使用して、クラウド中心のコントロール領域に焦点を当てます。
- クラウド導入フレームワーク: 戦略、ロールと責任、Azure Top 10 セキュリティのベスト プラクティス、参照実装など、セキュリティに関するガイダンス。
- Azure Well-Architected Framework: Azure でのワークロードのセキュリティ保護に関するガイダンス。
- 最高情報セキュリティ責任者 (CISO) ワークショップ: ゼロ トラスト原則を使用してセキュリティの最新化を促進するためのプログラム ガイダンスと参照戦略。
- その他の業界およびクラウド サービス プロバイダーのセキュリティのベスト プラクティスの標準とフレームワーク: Amazon Web Services (AWS) Well-Architected Framework、Center for Internet Security (CIS) Controls、National Institute of Standards and Technology (NIST)、Payment Card Industry Data Security Standard (PCI-DSSなど)。
Microsoft クラウド セキュリティ ベンチマーク v1 の新機能
注
Microsoft クラウド セキュリティ ベンチマークは、2022 年 10 月にブランド変更された Azure セキュリティ ベンチマーク (ASB) の後継です。
MCSB での Google Cloud Platform のサポートは、MCSB ベンチマーク ガイダンスと Microsoft Defender for Cloud の両方でプレビュー機能として利用できるようになりました。
Microsoft クラウド セキュリティ ベンチマーク v1 の新機能を次に示します。
包括的なマルチクラウド セキュリティ フレームワーク: 組織は、多くの場合、複数のクラウド プラットフォーム間でセキュリティ制御を調整して、それぞれのセキュリティとコンプライアンスの要件を満たすために、内部セキュリティ標準を構築する必要があります。 多くの場合、セキュリティ チームは、異なるクラウド環境で同じ実装、監視、評価を繰り返す必要があります (多くの場合、異なるコンプライアンス標準について)。 これにより、不要なオーバーヘッド、コスト、労力が生じます。 この問題に対処するために、ASB を MCSB に拡張し、次の方法でさまざまなクラウドをすばやく操作できるようにしました。
- クラウド間のセキュリティ制御を簡単に満たすための単一制御フレームワークの提供
- Defender for Cloud でマルチクラウド セキュリティ ベンチマークを監視および適用するための一貫したユーザー エクスペリエンスを提供する
- 業界標準 (CIS、NIST、PCI など) への準拠の維持
Microsoft Defender for Cloud での AWS の自動制御監視: Microsoft Defender for Cloud 規制コンプライアンス ダッシュボード を使用して、Azure 環境を監視する方法と同様に、MCSB に対して AWS 環境を監視できます。 MCSB の新しい AWS セキュリティ ガイダンスについては、約 180 個の AWS チェックを開発しました。これにより、Microsoft Defender for Cloud で AWS 環境とリソースを監視できます。
既存の Azure のガイダンスとセキュリティの原則の更新: また、最新の Azure の機能を最新の状態に保てるように、この更新中に既存の Azure セキュリティ ガイダンスとセキュリティ原則の一部を更新しました。
コントロール
| コントロール ドメイン | 説明 |
|---|---|
| ネットワーク セキュリティ (NS) | ネットワーク セキュリティには、仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部攻撃の防止と軽減、DNS のセキュリティ保護など、ネットワークをセキュリティで保護するための制御が含まれます。 |
| ID 管理 (IM) | Identity Management では、シングル サインオンの使用、強力な認証、アプリケーションのマネージド ID (およびサービス プリンシパル)、条件付きアクセス、アカウントの異常の監視など、ID およびアクセス管理システムを使用してセキュリティで保護された ID とアクセス制御を確立するための制御について説明します。 |
| 特権アクセス(PA) | 特権アクセスでは、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的なリスクと偶発的なリスクから保護するためのさまざまなコントロールなど、テナントとリソースへの特権アクセスを保護するためのコントロールを対象とします。 |
| データ保護 (DP) | データ保護は、保存時、転送中、および承認されたアクセス メカニズムを介して、アクセス制御、暗号化、キー管理、証明書管理を使用して機密データ資産を検出、分類、保護、監視するなどの制御を対象とします。 |
| 資産管理 (AM) | 資産管理では、セキュリティ担当者のアクセス許可に関する推奨事項、資産インベントリへのセキュリティ アクセス、サービスとリソースの承認の管理 (インベントリ、追跡、修正) など、リソースに対するセキュリティの可視性とガバナンスを確保するための制御が含まれます。 |
| ログと脅威の検出 (LT) | ログと脅威の検出には、クラウド上の脅威を検出するための制御と、クラウド サービスの監査ログの有効化、収集、および格納が含まれます。これには、クラウド サービスでネイティブの脅威検出を使用して高品質のアラートを生成するコントロールを使用した検出、調査、修復プロセスの有効化が含まれます。また、クラウド監視サービスを使用したログの収集、SIEM を使用したセキュリティ分析の一元化、時刻同期、ログリテンション期間も含まれます。 |
| インシデント対応 (IR) | インシデント対応は、インシデント対応のライフ サイクルにおける制御 (Azure サービス (Microsoft Defender for Cloud や Sentinel など) や他のクラウド サービスを使用してインシデント対応プロセスを自動化するなど、準備、検出と分析、封じ込め、インシデント後のアクティビティなど) について説明します。 |
| 姿勢および脆弱性管理 (PV) | ポスチャと脆弱性管理では、脆弱性スキャン、侵入テストと修復、クラウド リソースのセキュリティ構成の追跡、レポート、修正など、クラウド のセキュリティ体制を評価および改善するための制御に重点を置いています。 |
| エンドポイント セキュリティ (ES) | エンドポイント セキュリティでは、クラウド環境でのエンドポイントに対するエンドポイントの検出と応答 (EDR)、マルウェア対策サービスの使用など、エンドポイントの検出および応答でのコントロールを対象とします。 |
| バックアップと回復 (BR) | バックアップと回復では、さまざまなサービス レベルでのデータと構成のバックアップが実行、検証、保護されるようにするための制御が含まれます。 |
| DevOps セキュリティ (DS) | DevOps Security は、DevOps プロセス全体のセキュリティを確保するために、デプロイ フェーズ前の重要なセキュリティ チェック (静的アプリケーション セキュリティ テスト、脆弱性管理など) のデプロイを含む、DevOps プロセスのセキュリティ エンジニアリングと運用に関連するコントロールを対象としています。また、脅威モデリングやソフトウェア供給のセキュリティなどの一般的なトピックも含まれています。 |
| ガバナンスと戦略 (GS) | ガバナンスと戦略では、さまざまなクラウド セキュリティ機能の役割と責任の確立、統合された技術戦略、ポリシーと標準のサポートなど、セキュリティ保証をガイドして維持するための一貫性のあるセキュリティ戦略と文書化されたガバナンス アプローチを確保するためのガイダンスが提供されます。 |
Microsoft クラウド セキュリティ ベンチマークの推奨事項
各推奨事項には次の情報が含まれます。
- ID: 推奨事項に対応するベンチマーク ID。
- CIS コントロール v8 ID: 推奨事項に対応する CIS コントロール v8 コントロール。
- CIS コントロール v7.1 ID: 推奨に対応する CIS コントロール v7.1 コントロール (書式設定の理由により、Web では使用できません)。
- PCI-DSS v3.2.1 ID(s): 推奨事項に対応する PCI-DSS v3.2.1 コントロール。
- NIST SP 800-53 r4 ID:NIST SP 800-53 r4 (Moderate および High) コントロールは、この推奨事項に対応しています。
- セキュリティ原則: 推奨事項は、テクノロジに依存しないレベルでコントロールを説明する "何" に焦点を当てたものです。
- Azure ガイダンス: 推奨事項では、Azure の技術的な機能と実装の基本について説明する"方法" に重点を置いて説明しました。
- AWS ガイダンス: 推奨事項は、AWS の技術的な機能と実装の基本を説明する "方法" に焦点を当てています。
- 実装と追加のコンテキスト: 実装の詳細と、ドキュメント記事を提供する Azure および AWS サービスにリンクするその他の関連コンテキスト。
- 顧客のセキュリティ利害関係者: 顧客組織において、責任を担う、あるいは説明責任を果たすまたは相談を受ける可能性のある セキュリティ機能。 会社のセキュリティ組織の構造や、Azure セキュリティに関連して設定した役割と責任によって、組織によって異なる場合があります。
MCSB と業界ベンチマーク (CIS、NIST、PCI など) の間の制御マッピングは、特定の Azure 機能を使用して、これらの業界ベンチマークで定義されている制御要件に完全または部分的に対処できることを示すだけです。 このような実装は、必ずしもこれらの業界ベンチマークの対応するコントロールの完全なコンプライアンスに変換されるわけではないことに注意してください。
Microsoft クラウド セキュリティ ベンチマークの取り組みに関する詳細なフィードバックと積極的な参加をお待ちしております。 直接入力をご希望の場合は、 benchmarkfeedback@microsoft.comまでお問い合わせください。
ダウンロード
ベンチマークとベースラインのオフライン コピーは スプレッドシート形式でダウンロードできます。
次のステップ
- 最初のセキュリティ 制御を参照してください: ネットワーク セキュリティ
- Microsoft クラウド セキュリティ ベンチマークの概要を読む
- Azure セキュリティの基礎について