Azure セキュリティ ベンチマークによるセキュリティ体制の管理

2025/06/14

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Azure セキュリティ ベンチマーク (ASB) を使用して Azure 環境のセキュリティ体制を管理および改善する方法をガイドすることを目的としています。進化し続けるクラウド環境では、リソースが安全に構成され、ベスト プラクティスに準拠していることを確認することが継続的な課題です。 ASB は、Microsoft Defender for Cloud と連携して、クラウド ワークロードのセキュリティを評価、監視、改善するための包括的なフレームワークを提供します [1]。

はじめに

クラウド セキュリティは、クラウド プロバイダー (Microsoft) と顧客の間の共同責任です。 Microsoft は基盤となるインフラストラクチャを保護しますが、環境内のデータ、アプリケーション、およびネットワーク構成のセキュリティはお客様の責任です。クラウド サービスの複雑さと変化の速さにより、堅牢で一貫したセキュリティ体制を維持することが困難になる場合があります。設定ミス、パッチが適用されていない脆弱性、可視性の欠如は、セキュリティ侵害につながる可能性のある一般的な攻撃ベクトルです [2]。

Azure セキュリティ ベンチマーク (ASB) は、Microsoft によって開発された Azure に固有の一連のセキュリティ ガイドラインであり、CIS (Center for Internet Security) や NIST (National Institute of Standards and Technology) などの業界をリードするフレームワークからのセキュリティのベスト プラクティスとコンプライアンスの推奨事項が組み込まれています。クラウド リソースを保護するための基盤を提供し、ネットワーク セキュリティ、ID 管理、データ保護、脆弱性管理などの分野をカバーします。 Microsoft Defender for Cloud (旧称 Azure Security Center) は、ASB コンプライアンスを評価および監視するための主要なツールです [3]。

この実用的なガイドでは、前提条件、ASB の概念、Microsoft Defender for Cloud を使用して ASB 準拠の評価、セキュリティ推奨事項の解釈、障害の修復、例外の構成、セキュリティ スコアの監視を行う方法について説明します。読者がこれらの機能を実装、テスト、検証できるように、段階的な手順、実践的な例、および簡潔な説明が提供されます。さらに、Azure のセキュリティ体制が自律的かつ専門的に確実に継続的に改善されるようにするための、セキュリティのヒント、コンプライアンス チェック、ベスト プラクティスについても説明します。

Azure セキュリティ ベンチマークがセキュリティ体制にとって重要であるのはなぜですか?

• 包括的なガイドライン: クラウド セキュリティのあらゆる側面をカバーする、Azure サービスのセキュリティに関する詳細な推奨事項を提供します。
• 業界標準との整合: 世界的に認められたセキュリティ フレームワークに基づいており、セキュリティの実践がベスト プラクティスと整合していることが保証されます。
• 継続的評価: Microsoft Defender for Cloud と統合されており、ASB コンプライアンスの継続的な評価を提供し、逸脱を特定します。
• 実用的な推奨事項: セキュリティの問題を解決し、態勢を改善するための明確な推奨事項と修復手順を提供します。
• セキュア スコアのモニタリング: 定量化可能な指標 (セキュア スコア) を通じて、セキュリティ向上の進捗状況を視覚化し、追跡するのに役立ちます。
• 規制順守: ASB 制御を規制基準にマッピングすることで、さまざまなコンプライアンス要件への準拠を促進します。

前提条件

Azure Security Benchmark を使用してセキュリティ体制を管理するには、次のものが必要です。

1. アクティブな Azure サブスクリプション: デプロイされたリソースを含む Azure サブスクリプション。
2. 管理アクセス: サブスクリプションまたはリソース グループに対する「所有者」、「共同作成者」、または「セキュリティ管理者」のロールを持つアカウント。
3. Microsoft Defender for Cloud の有効化: セキュリティ評価と推奨事項を提供するには、サブスクリプションで Defender for Cloud を有効にする必要があります。無料プランではすでに ASB が提供されています [4]。

ステップバイステップ: Azure セキュリティ ベンチマークを使用したセキュリティ体制の管理

Security Center を有効にして、ASB コンプライアンスを評価し、推奨事項を修正しましょう。

1. Microsoft Defender for Cloud および Azure セキュリティ ベンチマークの有効化ASB は自動的に Security Center に組み込まれます。 Defender for Cloud がすでに有効になっている場合、ASB はすでに評価されています。

1. ブラウザーを開き、Azure portal: https://portal.azure.com に移動します。
2. 必要な権限を持つアカウントでログインします。
3. 上部の検索フィールドに「Microsoft Defender for Cloud」と入力し、結果からそれを選択します。
4. [セキュリティ センターの概要] ページで、サブスクリプションが統合されていることを確認します。そうでない場合は、指示に従ってサブスクリプションを統合します。
5. 左側のナビゲーション ペインで、環境設定を選択します。
6. 保護したい署名を選択します。

7. [Defender プラン] ページで、[基本クラウド セキュリティ] プラン (ASB を含む) が [オン] になっていることを確認します。

   • 説明: Defender for Cloud 基本プランでは、Azure セキュリティ ベンチマークの推奨事項を含むセキュリティ体制の評価を無料で提供します。有料プラン (Defender for Servers、Defender for Storage など) では、ワークロード保護 (CWPP) が追加されます。

2. Azure セキュリティ ベンチマークへのコンプライアンスの評価

Defender for Cloud は、規制準拠ダッシュボードを通じて ASB 準拠を表示します。

1. Defender for Cloud の左側のナビゲーション ウィンドウで、規制遵守 を選択します。
2. ダッシュボードに、コンプライアンス標準の 1 つとして「Azure Security Benchmark」が表示されます。

3. 「Azure Security Benchmark」をクリックして、コンプライアンスの詳細を表示します。

   • 説明: このダッシュボードには、合格したコントロールの数、失敗したコントロールの数、手動介入が必要なコントロールの数など、ASB コンプライアンスの概要が表示されます。コントロールをドリルダウンして、特定の推奨事項を確認できます。

3. セキュリティ推奨事項の解釈と修正

推奨事項は、セキュリティ体制を改善するための基盤です。

1. Defender for Cloud の左側のナビゲーション ウィンドウで、推奨事項 を選択します。
2. 推奨事項は「セキュリティ管理」ごとにグループ化されています。 「Standard」=「Azure Security Benchmark」でフィルタリングできます。
3. 「ステータス」 = 「異常」 の推奨事項を見つけます (例: 「管理ポートは信頼できる IP 範囲に制限する必要があります」)。

4. 推奨事項をクリックして詳細を表示します。

   • 説明: セキュリティの問題について説明します。
   • 修復手順: 問題を修正するための手順を段階的に説明します。多くの推奨事項では、シングルクリックの「修正」オプションまたは自動スクリプトが提供されています。
   • 影響を受けるリソース: 準拠していないすべてのリソース (VM、ストレージ アカウント、ネットワークなど) を一覧表示します。
   • コンプライアンス基準: この推奨事項がどの ASB 規制 (およびその他の基準) に対応しているかを示します。

5. 推奨事項の修正 (例: 管理ポートの制限):

   • 「管理ポートは信頼できる IP 範囲に制限する必要がある」という推奨事項については、影響を受けるリソースをクリックします。
   • 各機能について、「修正」をクリックするか、手動の指示に従って、RDP/SSH ポートへのアクセスを特定の信頼できる IP のみに制限するネットワーク セキュリティ グループ (NSG) を構成できます。

   • NSG を更新するための Azure CLI コマンドの例: 「」バッシュ az network nsg ルールの更新\ --resource-group <リソースグループ名> \ --nsg-name \ --name \ --source-address-prefixes \ --destination-port-ranges 3389 # または 22 「」

   • 説明: 修復後、Security Center はリソースを再評価します。修正が成功すると、リソースのステータスが「正常」に変わり、安全スコアが更新されます。

4. 推奨事項の例外の構成

場合によっては、推奨事項が特定のリソースに適用できない場合や、すぐに修正できないビジネス上の理由がある場合があります。例外を作成できます。

1. 推奨事項の詳細ページで、「...」 (その他のオプション) をクリックし、「例外の作成」を選択します。
2. 例外を作成:
   • 範囲: 例外をサブスクリプション全体、リソースのグループ、または特定のリソースのいずれに適用するかを選択します。
   • 理由: 例外の理由を選択します (例: 「許容されたリスク」、「第三者の管理による軽減」)。
   • 有効期限: 例外の有効期限を設定します。
   • コメント: 例外の詳細な理由を提供します。

3. [作成] をクリックします。

   • 説明: 例外は注意して使用し、文書化する必要があります。安全スコアから推奨事項が削除されますが、潜在的なリスクは依然として存在します。例外を定期的に確認します。

5. セキュアスコアの監視

セキュア スコアは、セキュリティ体制を定量化できる尺度です。

1. Defender for Cloud の左側のナビゲーション ウィンドウで、概要 を選択します。
2. 「安全なスコア」が目立つように表示され、現在のスコアと改善の可能性が示されます。

3. 「安全なスコア」をクリックして、スコア向上に最も貢献する推奨事項などの詳細を表示します。

   • 説明: 安全スコアは、解決したセキュリティ推奨事項の割合に基づいて計算されます。スコアに大きな影響を与え、環境にとって最も重要な推奨事項を優先します。

検証とテスト

修復アクションが機能し、セキュリティ体制が改善されていることを検証することが重要です。

1. 推奨事項の修復の検証

1. シナリオ: 推奨事項の修復 (管理ポートの制限など) を適用した後、Security Center がリソースを再評価するまで数分待ちます。
2. 期待されるアクション: その推奨事項のリソースのステータスは、「異常」から「正常」に変更される必要があります。
3. 検証:
   • Microsoft Defender for Cloud > 推奨事項 に移動します。
   • 修正した推奨事項でフィルターし、影響を受けるリソースのステータスを確認します。

2. セキュア スコアの推移を監視する

1. シナリオ: いくつかの推奨事項を修正した後、時間の経過とともに安全スコアがどのように変化するかを観察します。
2. 期待されるアクション: セキュリティ体制の改善を反映して、セキュリティ スコアが増加するはずです。
3. 検証:
   • Microsoft Defender for Cloud > 概要 に移動し、「セキュリティ スコア」の傾向グラフを確認します。

セキュリティのヒントとベスト プラクティス

• 重要な推奨事項を優先する: 安全なスコアに最も大きな影響を与え、環境にとって最も重大なリスクに対処する推奨事項に最初に焦点を当てます。
• 修復の自動化: ワンクリックの「修復」オプションまたは自動化スクリプト (Azure Policy、Azure Automation) を使用して、推奨事項を大規模に修復します。
• Azure Policy との統合: Azure Policy を使用して ASB コンプライアンスを強制し、新しいリソースがすでに準拠してデプロイされ、既存のリソースがポリシーから逸脱しないようにします。
• 定期的なレビュー: セキュリティに関する推奨事項、例外、安全なスコアリングを定期的に確認して、プロアクティブなセキュリティ体制を維持します。
• チームの認識: 開発チームと運用チームが ASB の推奨事項と、その行動がセキュリティ体制にどのような影響を与えるかを認識していることを確認します。
• 有料プランでクラウドを守る: ASB は無料ですが、ワークロード保護 (CWPP) と高度な脅威検出を利用するには、有料の Defender for Cloud プラン (例: Defender for Servers、Defender for Storage、Defender for SQL) を有効にすることを検討してください。

一般的なトラブルシューティング

• 修正後も推奨事項は更新されません:
  • Security Center がリソースを再評価し、ステータスを更新するまでに時間がかかる場合があります。数分待ってからページを更新します。
  • 修復が正しく適用されたことを確認します。場合によっては、修復手順に正確に従う必要がある特定の詳細が含まれる場合があります。
  • Azure アクティビティ ログをチェックして、変更がリソースに適用されたことを確認します。
• 安全スコアが増加しない:
  • セキュア スコアは、解決された推奨事項の割合を反映します。影響の少ないいくつかの推奨事項を修正しただけの場合、増加は最小限に抑えられる可能性があります。
  • 修復を妨げる新しい「不健全な」推奨事項がないことを確認してください。
• リソースは推奨事項に表示されません:
  • リソースが配置されているサブスクリプションに対して Security Center が有効になっていることを確認します。
  • 機能が Security Center と ASB でサポートされていることを確認してください。
  • 新しいリソースの発見には遅れが生じる可能性がありますDefender for Cloud によるコース。
• 特定の推奨事項に関する質問:
  • 各制御と推奨事項の詳細については、Microsoft Learn の Azure セキュリティ ベンチマークの公式ドキュメントを参照してください。
  • Microsoft に質問やコメントを送信するには、Azure portal の「フィードバック」オプションを使用します。

結論

Azure Security Benchmark は、Microsoft Defender for Cloud と連携して、Azure で堅牢で準拠したセキュリティ体制を維持しようとしている組織にとって不可欠なツールです。ベスト プラクティスの明確なフレームワークと、継続的な評価と修復のためのプラットフォームを提供することで、セキュリティ チームがセキュリティ侵害を積極的に特定して解決できるようになります。 ASB を導入し、積極的に維持することは、クラウド資産をサイバー脅威から保護し、運用の整合性を確保するために重要です。この実践的なガイドを使用すると、セキュリティ専門家と IT 管理者は、Azure 環境のセキュリティ体制を自律的、専門的かつ確実に構成、検証、管理するための十分な準備が整います。

参考文献:

[1] Microsoft Learn。 Azure セキュリティ ベンチマーク v3 の概要。入手可能場所: https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3 [2] Microsoft Learn。 Security Control v3: ポスチャと脆弱性の管理。入手可能場所: https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3] Microsoft Learn。 Microsoft Defender for Cloud とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [4] Microsoft Learn。 規制遵守の向上 - Azure。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard [5] Microsoft Learn。 Defender for Cloud セキュリティ スコア。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6] Microsoft Learn。 修復の推奨事項 - Microsoft Defender for Cloud。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations [7] Microsoft Learn。 セキュリティに関する推奨事項を確認します - Azure。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations