Microsoft Cloud Security Benchmarkから学ぶMicrosoft Defender for Cloud

Transcript

1. Microsoft Cloud Security Benchmark から学ぶ Microsoft Defender for Cloud

2. 2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属

   • 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997～2025) • Microsoft MVP for Security (2006～2024) • https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わるトレーニング • テクニカル ライター (日経 BP, 技術評論社, @IT 等)

3. Microsoft Cybersecurity Reference Architectures と Microsoft Cloud Security Benchmark

4. 4 セキュリティ ガイダンスと MDC の関係性 MDC はトップダウンで行われるセキュリティ施策のうち、インフラ/ネットワーク分野 (など) を対象とした技術上の計画から実装のフェーズで活用します Implementation

   Architects & Technical Managers CIO Technical Leadership CISO Business Leadership CEO Security Strategy and Program Zero Trust Architecture Business and Security Integration Implementation and Operation Technical Planning Architecture and Policy Security Strategy, Programs, and Epics Securing Digital Transformation Secure Identities and Access Modern Security Operations (SecOps/SOC) Infrastructure & Development Security Data Security & Governance IoT and OT Security Microsoft Cybersecurity Reference Architectures (MCRA) Assess current plans, configurations, and operations for Microsoft security capabilities > > > > > > > > > > > > > > Engaging Business Leaders on Security Microsoft Cybersecurity Reference Architectures https://aka.ms/MCRA

5. 5 スクラッチで実装するのもいいけど.. Zero Trust Architecture Security Strategy and Program Security

   Posture Management Infrastructure & Development Security IoT and OT Security Modern Security Operations (SecOps/SOC) Data Security & Governance Secure Identities and Access IDENTIFY PROTECT DETECT RESPOND RECOVER GOVERN Microsoft Cybersecurity Reference Architectures https://aka.ms/MCRA ゼロトラストアーキテクチャを踏まえて、セキュリティポスチャ管理 (CSPM) 分野の 実装を行おうと思った場合、何をすべきか悩みます..

6. 6 サイバーセキュリティ対策として定義されたコントロール サイバーセキュリティ対策として実装すべき機能 (コントロール) が定義されていますが クラウド利用者に関連しないものも多いのが事実です NIST SP 800-53 Rev.

   4.0 PE-13 Fire Protection (防火) 組織は独立した電源で提供される情報システム用の 消火設備・火災検知装置を採用し、維持していること SC-10 Network Disconnect (ネットワーク切断) 情報システムは通信セッションの終了または非アクティブな時間が 続いた場合、通信セッションに関連するネットワーク接続を終了させる SC-18 Mobile Code (モバイル コード) 使用するモバイル コードを策定し、使用する技術に関する使用制限や ガイダンスを確立すること。また、その利用を監視・管理すること

7. 7 • CIS Controls, NIST, PCI-DSS の セキュリティ ベンチマークと一貫性を 保つように作られたセキュリティベンチマーク

   • それぞれのベンチマークから Microsoft Azure, AWS, GCP の 利用に関連する項目を抽出し、 Microsoft Cloud Security Benchmark として定義 Microsoft Cloud Security Benchmark (MCSB) とは CIS Controls AWS Technical Azure Technical GCP Technical Azure Technical GCP Technical GCP Technical AWS Technical AWS Technical Azure Technical MCSB コントロールによるカバー範囲 その他のフレームワーク/コントロールによるカバー範囲 Non- Cloud Non- Technical Non- Cloud Non- Technical Non- Technical Non- Cloud MCSB Controls

8. 8 Microsoft Cloud Security Benchmark のコントロール Microsoft Cloud Security Benchmark

   には実装すべき機能 (コントロール) として次の 12 のドメインを定義しています ネットワーク セキュリティ (NS) アセット管理 (AM) ID 管理 (IM) ログと脅威検出 (LT) 特権アクセス (PA) インシデント対応 (IR) データ保護 (DP) 体制と脆弱性の管理 (PV) エンドポイント セキュリティ (ES) バックアップと回復 (BR) DevOps セキュリティ (DS) ガバナンスと戦略 (GS) Microsoft クラウド セキュリティ ベンチマーク (v1) の概要 https://learn.microsoft.com/ja-jp/security/benchmark/azure/overview

9. 9 Microsoft Cloud Security Benchmark コントロール ドメイン内の要素 Microsoft Cloud Security

   Benchmark コントロール内の個々のドメインでは セキュリティ対策として必要な要素を定義しています

10. 10 Microsoft Cloud Security Baseline Microsoft Cloud Security Baseline は

    Microsoft Cloud Security Benchmark で提示したコントロールを Microsoft Azure / AWS / GCP 上で実装する方法を機能別に定義しています API Management App Service Application Gateway Automation Azure Active Directory Azure Active Directory Domain Services Azure Advisor Azure App Configuration Azure Arc 対応サーバー Azure Backup Azure Bastion Azure Bot Service Azure Cache for Redis Azure クラウド サービス Azure Cognitive Search Azure Cosmos DB Azure DDoS Protection Standard Azure DNS Azure Data Box Azure Data Explorer Azure Data Factory Azure Data Share Azure Database Migration Service Azure Database for MariaDB Azure Database for MySQL Azure Database for PostgreSQL - Hyperscale Azure Database for PostgreSQL - Single Server Azure Databricks Azure DevTest Labs Azure Firewall Azure Firewall Manager Azure Front Door Azure Functions Azure HPC Cache Azure Information Protection Azure IoT Hub Azure Kubernetes Service Azure Lighthouse Azure Load Balancer Azure Machine Learning Azure Managed Applications Azure Media Services Azure Migrate Azure Monitor Azure Policy Azure Private Link Azure パブリック IP Azure Purview Azure Resource Graph Azure Resource Manager Azure SQL データベース Azure SignalR Service Azure Spring Cloud Service Azure Stack Edge Azure Storage Azure Synapse 専用 SQL プール (以前の SQL DW) Azure Synapse Analytics ワークスペース Azure Traffic Manager Azure VMware Solution Azure Virtual Desktop Azure Web アプリケーション ファイアウォール Batch Cloud Shell Cognitive Services Container Instances Container Registry Content Delivery Network Cost Management Microsoft Azure 用カスタマー ロックボックス Data Lake Analytics Event Grid Event Hubs ExpressRoute HDInsight Key Vault Linux Virtual Machines Logic Apps Microsoft Azure Peering Service Microsoft Defender for Cloud Microsoft Defender for Cloud Apps Microsoft Defender for Identity Microsoft Defender for IoT Microsoft Sentinel Network Watcher Power BI Service Bus Service Fabric Site Recovery Stream Analytics VPN Gateway Virtual Machine Scale Sets Virtual Network Virtual Network NAT Virtual WAN Windows Virtual Machines

11. 11 Microsoft Cloud Security Benchmark と Microsoft Cloud Security Baseline

    Microsoft Cloud Security Benchmark ネットワーク セキュリティ (NS) のコントロール セキュリティ原則: 組織のリスクを高める可能性があるワークロードは 分離された仮想ネットワーク内に置く必要があります (一部抜粋)。 Microsoft Cloud Security Baseline で提示する実現方法 (Azure ガイダンスの場合) Application- Security-Groups Virtual-Networks Network- Security-Groups

12. Microsoft Cloud Security Benchmark と Microsoft Defender for Cloud

13. 13 Microsoft Defender for Cloud Microsoft 365 Defender Microsoft Defender

    for Cloud Microsoft Defender for Office 365 Microsoft Defender for Cloud Apps Microsoft Defender for Identity Microsoft Defender for Endpoint SQL Sever VMs Containers Network traffic IoT Apps XDR Microsoft Defender Microsoft Defender for Cloud は組織の資産のうち、Microsoft Azure リソースの脆弱性の検出およびベストプラクティスに基づく保護の実装を行います ID アプリ ネットワーク データ デバイス インフラ

14. 14 Microsoft Defender for Cloud によるインフラ分野の保護ステップ 継続的な評価 セキュリティ ポスチャ (=

    自社の クラウドのセキュリティ状態) を 把握し、脆弱性を追跡、識別 環境の維持 保護 リソースの堅牢化、業界標準や 組織の要求に応じた ベスト プラクティスをビルトイン セキュリティで提供 マルチクラウドおよびオンプレミスの 資産に対する脅威を判別し 自動的に修正 Microsoft Azure マルチ クラウド ハイブリッド クラウド

15. 15 セキュア スコア 38% 62% セキュアスコア Microsoft Cloud Security Benchmark

    Azure リソース

16. 16 セキュア スコアの改善 セキュア スコアの結果から行うべきセキュリティ対策を提案します。それぞれの提案 内容にはスコアとして重要度を提供するため、優先すべき作業がわかりやすいです。 修復することによる スコア上昇の割合から 優先度がわかる 【参考】Microsoft

    Defender for Cloud のセキュリティ体制 (スコアの計算方法などについて) https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/secure-score-security-controls

17. 17 規制コンプライアンスから見る改善内容 セキュア スコアで提示した改善内容は Microsoft Cloud Security Benchmark, ISO 27001などの基準で参照できるのでコンプライアンス対応に何が必要かわかりやすいです

    MCSB ネットワーク セキュリティ ドメインで必要な改善内容

18. 18 規制コンプライアンスから見る改善内容 (続き) コントロールで提示した内容に適合 していないことによる問題点を提起 問題点に対する 具体的な修復方法を提示 修復対象となる Azure リソースを提示

    個別の改善内容は選択すると、要件に対応していないことの問題点や 対応 (修復) 方法を確認できるので、誰にでも簡単に対応することが可能です

19. 19 【参考】ワークロード保護 (CWPP) 「AM-5 適応型アプリケーション制御の利用」では VM で実行するアプリを 監視します。このとき、VM にはエージェントをインストールして監視を行います。 このようにリソースから直接情報を収集して行う監視が

    CWPP に当たります。

20. 20 【参考】評価対象の Azure リソース 評価対象の Azure リソースをカバレッジと呼びます。評価可能なリソース※ は すべてをカバレッジすることも、コストに合わせて一部をカバレッジすることも可能です。

21. 21 【参考】Microsoft Defender for servers Microsoft Defender for cloud での評価および修復は

    Azure リソース種類ごと に Microsoft Defender for... の名称のサービスで提供します。例えば Microsoft Defender for servers では次のようなサービスで防御と脅威検知を行います。

22. ネットワーク セキュリティ ドメインの構成要素

23. 23 ネットワーク セキュリティ (NS) ドメインのコントロール (概要) 仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の 防止と軽減、DNS の保護など、Azure ネットワークをセキュリティで保護するための

    コントロールを定義しています ネットワーク セグメント化の境界を 確立する DDoS 保護をデプロイする ネットワーク制御を使用してクラウド サービスをセキュリティで保護する Web アプリケーション ファイアウォールを デプロイする エンタープライズ ネットワークのエッジで ファイアウォールをデプロイする ネットワーク セキュリティの構成を 簡略化する 侵入検出および侵入防止システム (IDS/IPS) をデプロイする セキュリティで保護されていないサービス とプロトコルを検出して無効にする オンプレミスまたはクラウド ネットワークを プライベートに接続する ドメイン ネーム システム (DNS) の セキュリティを確保する

24. 24 各要素のセキュリティの原則と Azure ガイダンスについて ネットワーク セグメント化の境界を 確立する セキュリティの原則 リスクの高いアプリは分離された 仮想ネットワークに置くこと

    Azure ガイダンス ・ 独立したAzure 仮想ネットワーク ・ 仮想ネットワーク内をサブネットに分離 ・ NSG/ASG を利用したアクセス制御 以降のページでは各要素について、セキュリティの原則と Azure ガイダンスを示しま す。セキュリティの原則では各要素で行うべき事柄、Azure ガイダンスではセキュリ ティの原則を実現するために利用可能な Azure サービスをそれぞれ解説します。 項目名に対する詳しい要素の解説 セキュリティの原則を実現するために 利用すべき Azure のサービス名

25. 25 ネットワーク セキュリティ (NS) ドメインのコントロール (1) ネットワーク セグメント化の境界を 確立する ネットワーク制御を使用してクラウド

    サービスをセキュリティで保護する エンタープライズ ネットワークのエッジで ファイアウォールをデプロイする 侵入検出および侵入防止システム (IDS/IPS) をデプロイする セキュリティの原則 リスクの高いアプリは分離された 仮想ネットワークに置くこと Azure ガイダンス ・ 独立したAzure 仮想ネットワーク ・ 仮想ネットワーク内をサブネットに分離 ・ NSG/ASG を利用したアクセス制御 プライベートなアクセス ポイントを作成し、 特定のネットワーク/エンドポイントからのみ アクセスを許可する ・ Azure Private Link の利用 ファイアウォールを導入し、外部ネットワーク との間でのフィルターを実装する ・ Azure Firewall の利用 IDS/IPS を導入し、トラフィックを検査する ・ Azure Firewall IDPS の利用 ・ Microsoft Defender for Endpoint を 利用したホストベースの検出と防止

26. 26 ネットワーク セキュリティ (NS) ドメインのコントロール (2) セキュリティの原則 DDoS 保護ソリューションを導入し、 パブリックに公開されているリソースを

    保護する Azure ガイダンス ・ Azure 仮想ネットワークで DDoS 標準保護プランを有効にする WAF を導入し、アプリケーション固有の 攻撃からアプリと API を保護する ・ Azure WAF の利用 ネットワーク セキュリティ管理を簡略化する ・ Microsoft Defender for Cloud に よる分析結果に基づくセキュリティ強化 ・ Azure Firewall Manager による ポリシーの一元管理 DDoS 保護をデプロイする Web アプリケーション ファイアウォールを デプロイする ネットワーク セキュリティの構成を 簡略化する

27. 27 ネットワーク セキュリティ (NS) ドメインのコントロール (3) セキュリティの原則 セキュリティで保護されていないサービスや プロトコルを無効にする。無効にできない 場合は補完的な制御を行う

    Azure ガイダンス ・ Microsoft Sentinel でセキュリティ保護 されていないサービス/プロトコルを検出 ネットワーク間接続をセキュリティで保護 された、プライベートな接続にする ・ Azure VPN の利用 DNS を対象とした既知のリスクに対する 保護を行う ・ 安全な再帰 DNS 設定 ・ Azure プライベート DNS の利用 ・ Azure Defender for DNS の利用 セキュリティで保護されていないサービス とプロトコルを検出して無効にする オンプレミスまたはクラウド ネットワークを プライベートに接続する ドメイン ネーム システム (DNS) の セキュリティを確保する

28. 28 現状の Azure リソースの構成 (As is) データベースサーバー (Azure VM) Azure

    仮想ネットワーク Web サーバー (Azure VM) Microsoft Azure テナント Azure サブネット ストレージ アカウント 外部公開された 自社サービスへアクセス 自社で使用する ファイル群にアクセス Azure DNS ゾーン 外部公開された 自社サービスの名前解決

29. 29 MCSB を踏まえた構成 (To be) プライベート エンドポイント 仮想ネットワーク オンプレミス VPN

    または ER (専用線) ストレージアカウント 仮想ネットワーク インターネット Azure DDoS Protection サブネット 仮想ネットワーク Azure Firewall サブネット サブネット Azure WAF 公開サービスに関してはネットワークの分離と Azure Firewallなどのサービス利用、 内部サービスに関しては Azure Private Link でのアクセス制限で運用します。 管理者 RDP プロトコル 利用可能な IP の絞り込み パブリック アクセスの 禁止 Microsoft Defender for DNS ※ ※現在は Microsoft Defender for Servers から提供 Microsoft Defender for Endpoint で監視

30. データ保護の構成要素

31. 31 データ保護 (DP) ドメインのコントロール (概要) Azure でアクセス制御、暗号化、およびログ記録を使用した機密データ資産の 検出、分類、保護、監視など、保存時、転送中、および承認されたアクセス メカニズムを介したデータ保護のコントロールを定義しています 機密データを検出、分類、

    ラベル付けする 保存データ暗号化を既定で有効にする 機密データをターゲットにした 異常と脅威を監視する 必要に応じて保存データ暗号化で カスタマー マネージド キー オプションを 使用する 転送中の機密データの暗号化 セキュア キー管理プロセスの使用 セキュリティで保護された証明書管理 プロセスを使用する キーおよび証明書リポジトリーの セキュリティを確保する

32. 32 データ保護 (DP) ドメインのコントロール (1) セキュリティの原則 定義された機密データの範囲に基づき インベントリを作成し、データに対する 検出・分類・ラベルを設定する Azure

    ガイダンス ・ Microsoft Purview の利用 ・ 秘密度ラベルの利用 ・ Azure SQL Data Discovery の利用 機密データが組織の監視/管理外の領域 に不正に転送されていないか監視する ・秘密度ラベル/DLP の利用 ・ Microsoft Defender for Database の利用 ・ Microsoft Defender for Storage の利用 データを暗号化し、データ転送時の保護と 改ざんを防止する ・ Azure Storage 等に含まれる データ転送時の暗号化機能を利用 機密データを検出、分類、 ラベル付けする 機密データをターゲットにした 異常と脅威を監視する 転送中の機密データの暗号化

33. 33 データ保護 (DP) ドメインのコントロール (2) セキュリティの原則 組織に保存されているデータに対して 暗号化で保護する Azure ガイダンス

    ・ 既定で有効な Azure サービスでの 暗号化の仕組みを利用する 各種法令等の対応に必要なサービスを 把握し、必要に応じて HYOK を採用する ・ (可能な場合) Azure の各サービスで HYOK を採用する 暗号化に使用する鍵の管理プロセスを 策定し、プロセスに沿った運用を行う ・ Azure Key Vault を利用して鍵の ライフサイクル管理を行う 保存データ暗号化を既定で有効にする セキュア キー管理プロセスの使用 必要に応じて保存データ暗号化で カスタマー マネージド キー オプションを 使用する

34. 34 データ保護 (DP) ドメインのコントロール (3) セキュリティの原則 証明書の管理プロセスを策定し、 プロセスに沿った運用を行う Azure ガイダンス

    ・ Azure Key Vault を利用して証明書の ライフサイクル管理を行う 鍵と証明書の管理に使用しているキー コンテナー サービスのセキュリティを強化する ・ Azure Key Vault そのものの セキュリティ対策を行う セキュリティで保護された証明書管理 プロセスを使用する キーおよび証明書リポジトリーの セキュリティを確保する

35. 35 現状の Azure リソースの構成 (As is) リソースグループ ストレージ アカウント Microsoft

    Azure テナント Azure SQL データベース App Service ストレージアカウントに保存された データを利用して Azure 仮想マシンで 業務を遂行 Web アプリ経由で Azure SQL に 保存されたデータへアクセス Azure SQL 仮想マシン Azure SQL Managed Instance Azure 仮想マシン

36. 36 MCSB を踏まえた構成 (To be) リソースグループ Microsoft Azure テナント Azure

    SQL データベース App Service Azure SQL 仮想マシン Azure SQL Managed Instance Azure 仮想マシンのディスクの 暗号化キーを Key Vaultで管理 Azure Key Vault 特定のサブネットからのみストレージ アカウントへのアクセスを許可 Microsoft Defender for Database で監視 Azure ポリシーで 適切な設定の管理 データの管理は情報漏えいと直接つながるため、とても重要な要素です。 構成の管理、アクセス監視などを組み合わせてセキュリティを強化します。 ストレージ アカウント Azure 仮想マシン Microsoft Defender for Storage で監視 Microsoft Defender for Key Vault で監視

37. 37 オンプレミス 【参考】Azure Key Vault × BYOK によるキーの運用 Azure Key

    Vault キーコンテナー アクセス ポリシー DEK Azure Disk Encryption で暗号化された ディスクを利用する Azure 仮想マシン HSM (ハードウェア暗号モジュール) KEK※の生成 キーのエクスポート DEK の登録 管理者 KEK の管理 (生成・失効など) ディスク暗号化に使用するキー (DEK) は Azure Key Vault に保存する 際、KEK で暗号化して保存します。このとき、KEK をオンプレミスの HSM で管理することでキーの管理をオンプレミス側から行うことができます。 ※ KEK = Key Encryption Key

38. 38 【参考】Microsoft Purview Information Protection xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx

    ▪ユーザー認証 クラウドの認証基盤 MEID で認証を実施 ▪暗号化 クラウドから、いつでも どこでも暗号化を設定可能 ▪権限設定 ラベルで事前定義された アクセス許可で簡単に設定 ▪権限設定対象コンテンツ AIP に対応したアプリの コンテンツであればアクセス可能 ▪権限設定対象ユーザー 権限が割り当てられたユーザーで あればライセンスを必要とすること なくアクセス可能 Microsoft Entra ID Microsoft Purview Information Protection ファイル/メール単位でコンテンツを暗号化し、ユーザーごとに権限を細かく制御します

39. 39 【参考】秘密度ラベルとポリシー • コンテンツに対してラベルを選択すると、ラベルに関連付けられたポリシー 設定が適用される ラベル ポリシー コンテンツへの設定 アクセス制御設定 アクセス許可

    オフライン アクセス の許可 コンテンツの期限 コンテンツのマーク設定 ヘッダー設定 フッター設定 暗号化 保護 保護なし Co-Owner Co-Author Reviewer Viewer カスタム ユーザーが内容を確認し、 ラベルを自身で選択 ラベル 個人利用 公開可能な情報 内部情報 機密情報 開発 計画

40. 40 【参考】秘密度ラベル割り当ての自動化 適用範囲 適用タイミング 【参考】 ユーザー選択による 秘密度ラベルの手動設定 すべてのファイル/メール ファイルまたはメールを開き、 そのコンテンツに対してユーザーが

    秘密度ラベルを設定したタイミング ファイルとメールの自動ラベル 付け (ラベル設定オプション) すべてのファイル/メール ファイルまたはメールを開いたタイミングで 自動適用または適用を推奨 自動ラベル付けポリシー すべてのファイル/メール Exchange Online, SharePoint Online, OneDrive for Business 保存時 Microsoft Defender for Cloud Apps (MDA) MDA のアプリコネクタによって監視対象と なっているクラウド内のコンテンツ MDA ファイルポリシー適用時 MIP Scanner Windows Server 内のファイル共有 サービスアカウントによるスキャン時 メールフロールール (Exchange Online) Exchange Online で扱うメール Exchange 組織内でのトランスポート処理時

41. 41 【参考】アクティビティ エクスプローラーによるコンテンツへのアクセス監視 • アクティビティ エクスプローラー ・ ラベルが設定されたコンテンツへの アクセス状況を一元的に確認 ・

    個別のコンテンツに関するアクセス詳細も 参照可能 • 監視対象となるアクティビティ ・ ファイルの印刷, 削除, 名前変更, 作成, 変更, 読み取り ・ リムーバブル メディアへのファイル コピー ・ ネットワーク共有へのファイル コピー ・ クリップボードへのファイル コピー ・ クラウドへのファイル アップロード ・ 強化されていないアプリケーションによる ファイルへのアクセス ・ 各ワークロードにおける DLP ポリシーの一致

42. 42 まとめ セキュリティ対策はトップダウン型アプローチで必要な対策を行いましょう MCSB で提示されているセキュリティ対策への対応状況は Microsoft Defender for Cloud で確認しましょう

    カバレッジ対象にするのが理想だが、そうでなくてもできるセキュリティ対策は多い だから Azure を使う人は MDC を見る習慣をつけるようにしましょう