新しいゼロ トラストのブループリントと Azure 統合によりサイバーセキュリティの「ガードレール」を自動化

2020年5月11日 に投稿済み

General Manager, Azure Global

マイクロソフトでは、お客様が Azure のネイティブ機能を使用してデジタル資産のセキュリティを向上できるように日々取り組んでいます。この取り組みにおいて、Azure を使用して組織のサイバーセキュリティ体制を向上することにより、お客様がより迅速にコンプライアンスを達成する様子をしばしば目にしてきました。

今日、規制産業の多くのお客様はゼロ トラスト アーキテクチャを導入して、最新の複雑な環境により効果的に適合し、モバイル ワーカーを受け入れ、人、デバイス、アプリケーション、およびデータを場所にかかわらず保護することのできるセキュリティ モデルに移行しつつあります。

ゼロ トラストでは、その要求がどこからのもので、どのリソースにアクセスしようとしているかにかかわらず、"決して信頼せず、常に確認する" を習慣づけてくれます。ゼロ トラスト モデルでは、どのアクセス要求も、ポリシー制約内で強力に認証および承認され、異常を検査してから、アクセスが付与されます。このアプローチにより、金融サービス、防衛産業基盤、および政府機関を含む NIST ベースの制御を使用する業界が、コンプライアンスを達成するプロセスを支援できます。

ゼロ トラスト アプローチは、デジタル資産全体を包含すべきであり、3 つの主要な原則に基づいて、統合されたセキュリティ理念およびエンドツーエンドの戦略として機能します。つまり、(1) 明示的に確認し、(2) 最小特権アクセスを使用し、(3) 侵害があるものと考えることです。

Azure ブループリントを使用してゼロ トラストをより迅速に構成

ゼロ トラスト向けの Azure ブループリントにより、アプリケーション開発者とセキュリティ管理者は、アプリケーション ワークロード用に強化した環境をより簡単に作成できるようになります。基本的に、このブループリントは、アイデンティティ、デバイス、アプリケーション、データ、インフラストラクチャ、およびネットワークの 6 つの基礎となる要素にまたがってゼロ トラスト制御を実装します。

Azure Blueprints サービスを使用して、ゼロ トラスト ブループリントではまず VNET を構成して既定ですべてのネットワーク トラフィックを拒否し、それを拡張したり、ビジネス ニーズに基づいて選択したトラフィックにルールを設定したりすることが可能です。さらに、ブループリントは Azure ポリシーを使用して、Azure リソースの行動および構成を特定の NIST SP 800-53 セキュリティ制御要件に準拠させ、維持します。

ブループリントには、仮想ネットワーク、ネットワーク セキュリティ グループ、Azure Key Vault、Azure Monitor、Azure Security Center などの Azure リソースを展開および構成するための Azure Resource Manager テンプレートが含まれます。FedRAMP の High (高) レベルまたは DoD 影響レベル 4 の要件を満たす必要のあるアプリケーションで作業していても、クラウド展開のセキュリティ体制のみを向上させたいとしても、ゼロ トラストのブループリントは、お客様がその目標をより迅速に達成できる支援を目的として設計されています。

現在、ゼロ トラスト向けの Azure Blueprint はサポートに制限がありますが、プレビュー段階にあります。 Azure に展開する方法の詳細については、ゼロ トラスト向けの Azure Blueprint (英語) を参照してください。詳細情報、質問、およびフィードバックについては、ゼロ トラスト ブループリント フィードバック (英語) からお問い合わせください。

この新しいブループリントに加えて、公共部門と規制産業向けにより迅速な承認と柔軟性の向上を提供する、新しい Azure 統合について 2 点発表いたします。

Xacta により Azure 展開のリスク管理を促進

最新化で重要になるのが、クラウドベースのイニシアティブで承認を獲得するスピードを向上することです。このプロセスは多くの場合手動の比率が高く、継続的な監視を実現するための明確な全体像を提供する能力が足りません。

このたび Xacta (英語) は Azure Policy および Azure Blueprints と統合して、お客様がコンプライアンス ポリシーを一元的に管理し、コンプライアンス状況を追跡し、より簡単にポリシーを適用して確実にコンプライアンスを維持できるようにしました。たとえば、Xacta は NIST RMF (Risk Management Framework)、NIST CSF (Cybersecurity Framework)、FedRAMP、および ISO 27001 といった主要なセキュリティ フレームワークに関連する多くの労働集約的なタスクを合理化および自動化します。

この新しい統合で、Azure Policy は自動的に必要な認定パッケージのかなりの部分を Xacta に直接生成して、リスク管理フレームワークをインスタンス化、リスク専門家が行う必要のある手動のタスクを削減し、その時間を重要なリスクに関する意思決定に注力させることができます。

Anchore を使用してコンテナーの継続的な監視を実現

規制された環境でコンテナーを使用して柔軟性を高めようとするお客様は、通常セキュリティとガバナンスの課題に直面します。このような課題に対応するために、Anchore (英語) は最近 Windows コンテナーのサポートを発表し、公共部門の機関および企業がコンテナーベースのアプリケーションを開発し、広範な DevSecOps イニシアティブを実装する上で、より多くの選択肢を提供しました。Anchore Enterprise 2.3 は、Windows コンテナー イメージの詳細なイメージ検査を実行し、チームが速度を犠牲にすることなくコンテナー コンプライアンスに対するポリシーベースのアプローチを確立できるようサポートします。

現在コンテナーを使用しているか、Azure Kubernetes Service のような評価サービスを使用しているかにかかわらず、マイクロソフトは引き続き世界クラスのサイバーセキュリティ テクノロジ、制御、およびベスト プラクティスを提供して、お客様がセキュリティとコンプライアンスの両方を加速できるようサポートしていきます。

詳細情報

Azure でゼロ トラスト アーキテクチャを実装する方法の詳細については、Azure Government Dev ブログで 6 つのパートで構成されるブログ シリーズ (英語) をお読みください。また、セキュリティに問題に関するマイクロソフトの情報を確認されたい場合は、セキュリティ ブログ (英語) をブックマークして、@MSFTSecurity をフォローしてサイバーセキュリティに関する最新のニュースと更新情報をチェックすることもできます。