Azure ワークロードの Azure セキュリティ ベンチマークの遵守の監視

2020年5月12日 に投稿済み

Director of Program Management, Azure Security

Azure セキュリティ ベンチマーク v1 が 2020 年 1 月にリリース (英語) され、さまざまなお客様がこれを使用して Azure ワークロードのセキュリティおよびコンプライアンス ポリシーを管理しています。このたび、Azure Security Center で、Azure 環境全体にわたって、このベンチマークの遵守を追跡および監視できるようになりました。

Azure セキュリティ ベンチマークは、90 を超えるセキュリティのベスト プラクティスの推奨事項のコレクションであり、それらを採用することで、Azure のすべてのワークロードの全体的なセキュリティとコンプライアンスを向上できます。Azure セキュリティ ベンチマークは、一般的なコンプライアンス フレームワークおよび標準に基づいていますが、クラウドの展開、特に Azure ワークロードに合わせて調整されています。このベンチマークは、これらの一般的なコントロールを Azure に適用する方法、および特にそれらの要件を満たすために Azure で導入する必要があるものに関する具体的なガイダンスを提供します。

ASB1

このたび、Azure 使用条件の基礎となるコンプライアンス フレームワークの要件について理解できるだけでなく、お客様が展開した Azure ワークロードが特定の時点において、これらの要件をどのように満たしているかの評価と追跡がきるようになりました。

Azure Security Center は、さまざまな種類の Azure リソースおよびワークロードにわたって、ベンチマーク コントロールの遵守を監視する組み込みの自動化機能を備え、コントロールの遵守を評価するだけでなく、遵守していないリソースを修復して要件を満たす方法に関する実用的な推奨事項を提示します。ベンチマーク ガイダンスおよび推奨事項は、それぞれの Azure サービスに沿うようにコンテキスト化されているため、お客様が実際に使用している Azure サービス向けのコントロールをより簡単に導入できます。

Azure Security Center の規制コンプライアンス ダッシュボードを使用して、ベンチマークを監視できます。Azure Security Center のコンプライアンス ダッシュボードでは、NIST 800-53、Azure CIS、PCI-DSS、ISO 27001 など、業界主導の一般的なコンプライアンス フレームワークを追跡および監視が可能です。このダッシュボードでベンチマークを監視するには、追跡対象標準として Azure セキュリティ ベンチマークをオンボードする必要があります。オンボード後、現在展開されている Azure 環境がどのようにベンチマーク コントロールを満たしているか明確に把握できるようになります。このダッシュボードを使用することで、ベンチマーク要件に関する Azure リソースの状態を追跡し、要約レポートをダウンロードし、Azure Security Center の修復ガイダンスおよび自動化機能を用いてコンプライアンス体制を向上させることができます。

Azure Security Center のコンプライアンス ダッシュボードにベンチマークをオンボードするには、コンプライアンス ビューに Azure セキュリティ ベンチマークのイニシアティブ パッケージを追加する必要があります。そうすると、ダッシュボードを表示して、ベンチマーク コントロールの遵守状態の追跡を開始できます。

 Azure Security Center のコンプライアンス ダッシュボードの Azure セキュリティ ベンチマーク

Azure セキュリティ ベンチマークの対象範囲の拡大

すでに主要な Azure サービスのすべてが Azure セキュリティ ベンチマークの核となる要件を満たしており、現在、このダッシュボードでこれらのコントロールを監視および追跡することが可能です。Azure サービスで Azure セキュリティ ベンチマークの一連のセキュリティ要件とコンプライアンス要件をすべてサポートする追加機能、およびそれを監視する機能を構築する取り組みが行われる中で、対象範囲が今後さらに拡大する予定です。
セキュリティ ベンチマークの導入に役立つ追加機能を提供する Azure サービスの新たな例をいくつかご紹介します。

  • 機密情報を保存時に暗号化する: 独自の暗号化キーを使用してデータを保護したいという場合もあります。このたび、Azure Cosmos DB や Azure Data Lake を含む 50 の新しいサービスで、お客様管理で保存する際の暗号化キーがサポートされることになりました。
  • 仮想ネットワーク内の Azure リソースを保護する: Private Link は、仮想ネットワークのプライベート エンドポイントを経由した Azure サービスへのセキュアなアクセスを可能にします。このたび、Azure Kubernetes Service や Azure Data Explorer を含む 13 の新しいサービスで、Private Link がサポートされることになりました。

今後、コントロールの大部分が随時サポートされ、ダッシュボードを使用してそれらを監視できるようになります。 

Azure セキュリティ ベンチマークとセキュリティ スコア

Azure Security Center のセキュリティ スコアは、お客様がセキュリティ体制を追跡し、組織にリスクをもたらす可能性が最も高いアクションを優先して、セキュリティを効率的かつ効果的に向上させるのに役立つ指標です。セキュリティ スコアは、一連のコントロールで構成されており、それぞれのコントロールが特定の攻撃対象領域を反映しています。各コントロールには、脆弱性を低下させ、セキュリティを向上させる一連のセキュリティ推奨事項と、その攻撃対象領域の脆弱性を示す関連スコア (ポイント数) があります。そして、すべてのコントロールの累積スコアを使用して、総合セキュリティ スコアを計算します。このスコアは、お客様のセキュリティ体制を示す単一の KPI 指標です。

セキュリティ スコアで規定されている基本的なセキュリティ推奨事項は、Azure セキュリティ ベンチマークのコントロールに関連付けられているものと同じです。これらは同じ一連のアクションで構成されており、最終的に Azure のセキュリティ体制を最大限に向上させるという共通の目的を果たします。セキュリティ スコアは、脅威分析、リスク、および脆弱性の新たな要素をこれらの各推奨事項に追加することで、お客様の環境のリスクを軽減させるのに最も重要となる要因に基づき、アクションの優先順位付けを行えるようにします。そして、このベンチマークは、これらセキュリティの設定と要因をコンプライアンス フレームワークの要件に適用する方法を示しています。また、コンプライアンスに焦点が置かれている一方で、セキュリティ リスクに直接的影響を及ぼさない新たな要件も追加します。
セキュリティ スコアと Azure セキュリティ ベンチマークの相乗効果 

マイクロソフトは、Azure セキュリティ スコア ビューを使用して不適切な構成に対処し、優先度が最も高い推奨事項から開始することを推奨しています。  Azure セキュリティ ベンチマーク ビューは、コンプライアンスの把握に役立ち、スコアへの影響ではなくコントロールで分類されます。

まとめ & 次のステップ

Azure Security Center の Azure セキュリティ ベンチマークのコンプライアンス ダッシュボードを使用することで、Azure のコンプライアンス体制を継続的に追跡し、Azure ワークロードのコンプライアンス要件の遵守を強化できます。

Azure セキュリティ ベンチマークについて学習し、Security Center のコンプライアンス ダッシュボードベンチマークをオンボードして、今すぐ利用を開始しましょう。

コンプライアンス コントロールおよび新たな種類のレポートを管理する拡張機能とともに、新しい自動化機能を備え、ベンチマーク コントロールの対象範囲が拡大したダッシュボードが近日中にリリースされる予定ですのでご期待ください。

皆様からのフィードバックをお待ちしています。こちらのリンクから電子メールを送信できます。