インフラストラクチャ セキュリティ規範を確立する

この記事は、セキュリティチームとテクノロジ チームが、会社全体でインフラストラクチャ セキュリティ規範を確立し、最新化するのに役立ちます。 この規範は、組織全体のシステムとデータのセキュリティを支える基本的なシステムとプラットフォームの保護に重点を置いています。

セキュリティ規範 は、関連するセキュリティ作業のグループであり、組織がテクノロジ資産全体にわたって一貫してセキュリティ成果を提供するのに役立ちます。 セキュリティ導入モデル内では、規範によって ビジネス シナリオ技術実装の間の橋渡しが可能になり、セキュリティ投資が セキュリティ導入モデルの一部として実際の測定可能な結果に変換されます。

なぜこの規範?

インフラストラクチャ セキュリティ規範は、機密データとワークロードを格納および処理するデータセンター、サーバー、コンテナー、ネットワーク、ストレージ、クラウド サービス、その他のリソースに対する損害を防止および制限することで、組織が大規模な侵害のリスクを軽減するのに役立ちます。

これは、侵害によって一度に多くのシステムにアクセスできるため、脅威アクターが頻繁に対象とする重要な戦略的優先順位です。 インフラストラクチャ セキュリティに対する最新の規範的なアプローチでは、爆発半径が制限され、回復性が向上し、大規模なセキュリティで保護された運用が可能になります。

インフラストラクチャは、すべてのセキュリティの結果を支えます。 クラウド、コンテナー、仮想化、またはその他のインフラストラクチャ プラットフォームが侵害された場合、攻撃者は組織全体のワークロード、データ、ID に迅速にアクセスできます。

効果的なインフラストラクチャとネットワークセキュリティがなければ、組織では次のことが発生する可能性があります。

  • ランサムウェアと強要攻撃
  • 大規模なデータ侵害
  • 規制違反
  • 運用の停止とサービスの中断

これらの影響は、財務上の損失、評判の損害、顧客や重要なサービスへの損害に直接影響します。 そのため、インフラストラクチャのセキュリティは、技術的な問題だけでなく、戦略的な優先事項です。

ミッションと成果

インフラストラクチャ セキュリティ規範の使命は、オンプレミス、ハイブリッド、マルチクラウド環境全体でワークロードとデータをサポートする基本システムを保護することです。 ミッションの成果は次のとおりです。

  • インフラストラクチャの侵害による爆発半径の削減
  • 環境間で一貫したセキュリティ制御
  • ランサムウェアとサービスの停止に対する回復性の向上
  • 機密性の高いワークロードとデータに対する強力な保護
  • インフラストラクチャ セキュリティとビジネス リスクの整合

インフラストラクチャのセキュリティは、データセンター、サーバー、コンテナー、ネットワーク、ストレージ、クラウド サービスのライフサイクル全体を通して損害を防止、検出、および制限することで、リスクを軽減します。

この規範を適用する方法

インフラストラクチャとネットワーク セキュリティの規範を効果的に適用するには、組織をサポートするプラットフォームと接続をセキュリティで保護するための一貫したアプローチを確立することに重点を置きます。

  • ビジネス リスクに合わせたインフラストラクチャ セキュリティ戦略を定義する
    重要なシステムを保護し、最も重大なリスクを軽減する方法で、プラットフォーム、ワークロード、およびネットワーク環境をセキュリティで保護するための明確なアプローチを確立します。
  1. ハイブリッド環境とマルチクラウド環境間で一貫した保護を確保する
    オンプレミス、クラウド、エッジ環境全体のインフラストラクチャをセキュリティで保護する統合アプローチを適用して、ギャップと不整合を軽減します。
  2. 標準化されたセキュリティ構成とプラクティスを確立する
    インフラストラクチャとネットワーク制御が環境とワークロード間で一貫して実装されるように、明確なガイダンスを提供します。
  3. インフラストラクチャのセキュリティをビジネスクリティカルなサービスとシナリオに合わせる
    重要なビジネス運用と重要なシナリオ (セキュリティで保護されたリモート作業や重要な資産の保護など) をサポートするシステムとサービスの保護に優先順位を付けます。
  4. インフラストラクチャのセキュリティ体制を継続的に監視および改善する
    脆弱性、構成ミス、運用シグナルからの分析情報を使用して、保護を強化し、時間の経過に伴うリスクを軽減します。

変更の管理

インフラストラクチャ セキュリティ テクノロジ戦略では、組織が最新のツールとアーキテクチャを適用して、重要なデータが存在する基本システムを保護する方法を定義します。

  • 戦略では、ハイブリッド環境全体でデータの機密性、整合性、可用性を確保するために、ゼロ トラスト原則、高度な脅威保護、自動修正プログラムの適用、継続的な監視の実装に重点を置いています。
  • 戦略は、テクノロジへの投資をリスク削減の目標に合わせ、セキュリティで保護された接続性、サイバー攻撃に対する回復性、規制基準への準拠を可能にします。
  • 明確な戦略がなければ、組織は断片化したセキュリティ制御、脆弱性の増加、データ侵害、サービスの停止、規制上のペナルティのリスクの増加に直面します。

この規範の最新化は、次の点に重点を置いています。

  • ガバナンス、識別、保護、検出、対応、復旧のライフサイクル全体を通じて、インフラストラクチャのセキュリティを継続的に向上させます。
  • ゼロ トラスト アーキテクチャ、自動修正プログラムの適用、継続的な監視などのセキュリティ制御を実装して、可視性を強化し、進化する脅威/コンプライアンス要件に対処します。

これらの取り組みにより、攻撃対象領域を減らし、承認されていないアクセスを防ぎ、中断に対する回復性を維持することで、データの機密性、整合性、可用性が確保されます。

テクノロジ インフラストラクチャは非常に複雑で、多数の可動部分があり、絶えず進化しており、永続的で進化する脅威に対してセキュリティを維持する必要があります。 つまり、効果的なインフラストラクチャ セキュリティは次のことが必要です。

  • 包括的 - コントロールは、ネットワーク、エンドポイント (サーバー、コンテナーなど)、データ、アプリなど、インフラストラクチャのさまざまな技術的要素に対処して、脅威アクターが悪用できる保護されていないアクセス パスを提供しないようにする必要があります。 これには、よく知っているセキュリティ手法と、高度な自動化とテクノロジの統合を組み合わせて使用する必要があります。
  • 一貫性があり厳格 - 脅威アクターが見過ごされたリソースまたは検出されていないリソースの脆弱性を悪用する機会を提供しないように、各テクノロジのすべてのインスタンスにセキュリティ制御を一貫して厳密に適用する必要があります。
  • 継続的に改善 - インフラストラクチャ自体と脅威アクターの両方が絶えず進化しているため、脅威モデル、セキュリティ アーキテクチャと制御、セキュリティをインフラストラクチャ管理と自動化に統合する方法など、セキュリティのすべての側面を継続的に進化させる必要があります。

変更管理は重要です。 インフラ運用担当者は、早い段階から一貫して関与しなければなりません。運用の実態を無視したセキュリティ管理策は、機能しないか回避されます。

規範の役割とコラボレーター

インフラストラクチャ セキュリティ規範では、通常、技術チームとセキュリティ チーム間の緊密なコラボレーションが必要です。 これらのロールは次の条件を満たしている必要があります:

  • データの機密性、整合性、可用性を維持するために、セキュリティコントロールがインフラストラクチャレイヤー間に埋め込まれるように協力します。
  • 重要なデータが存在する安全な基本システム (ネットワーク、コンピューティング、ストレージ、クラウド プラットフォーム) の計画、設計、運用を担当します。

大規模な組織では、通常、専用の専門家がインフラストラクチャのセキュリティ責任を所有しています。 小規模な組織では、ロールが他の技術的な役割と組み合わされる場合があります。

プライマリ ロール:

  • セキュリティ アーキテクト – オンプレミスおよびクラウド インフラストラクチャのセキュリティで保護されたアーキテクチャを設計し、ゼロ トラスト原則を適用し、ID、ネットワーク、プラットフォームのセキュリティを統合します。
  • インフラストラクチャ エンジニアリングと運用 – サーバー、ネットワーク、クラウド ワークロードのセキュリティで保護された構成、修正プログラムの適用、監視、コンプライアンスを実装および管理します。 セキュリティで保護された構成を維持し、インフラストラクチャ コンポーネント全体にコンプライアンスを適用します。
  • ネットワーク エンジニア – ハイブリッド環境間で転送中のデータのセキュリティで保護された接続、セグメント化、保護に重点を置いています。

主要な内部コラボレーターは次のとおりです。

  • エンタープライズアーキテクトとソリューションアーキテクト - セキュリティ要件がインフラストラクチャ設計と最新化イニシアチブに統合されていることを確認します。
  • セキュリティ戦略、統合、ガバナンス – セキュリティ制御のガバナンスと監視を提供し、インフラストラクチャのセキュリティを組織のリスク管理に合わせます。 組織のリスクと影響に基づいてプロジェクトと脆弱性に優先順位を付けるのに役立ちます。
  • 開発者とアプリケーションチーム – 連携して、インフラが安全なアプリケーションのデプロイとデータ保護を支えられるようにします。
  • CISO とセキュリティ リーダーシップ – インフラストラクチャ セキュリティの戦略的優先順位、リスク許容度、コンプライアンス目標を定義します。

インフラストラクチャ アーキテクトは、ワークロードを効果的に保護するために、ID、ネットワーク、プラットフォームのセキュリティがどのように交差するかを理解する必要があります。

他の規範との連携

インフラストラクチャとネットワークのセキュリティは、他の SAF 規範と連携して機能します。

  • アクセスとアイデンティティ – インフラストラクチャへの特権アクセスとサービスアクセスを保護する
  • セキュリティ運用 (SecOps) – インフラストラクチャ ベースの攻撃を検出して対応します
  • データ セキュリティ – インフラストラクチャでホストおよび処理される機密データを保護します
  • セキュリティ アーキテクチャとガバナンス – コントロールをリスクとビジネスの優先順位に合わせます

この配置により、インフラストラクチャ セキュリティは、分離されたサイロとして動作するのではなく、エンドツーエンドのセキュリティ結果をサポートできます。

テクノロジの柱との連携

インフラストラクチャのセキュリティとテクノロジの柱

インフラストラクチャ セキュリティ規範の戦略を実行するには、複数のテクノロジの柱にわたるセキュリティ制御が必要です。

インフラストラクチャ セキュリティ - テクノロジの柱へのマッピング

テクノロジの柱との連携には、次のものが含まれます。

  • ID: ID コントロールは、すべてのアクセス制御の基盤を形成します。
    • 件名とオブジェクトなしで文を作成できないのと同様に、従業員、パートナー、顧客、AI エージェント、コンピューター、アプリケーション、マイクロサービスなどにアカウントと ID が割り当てられない場合にアクセスできるユーザーを決定する信頼性の高いアクセス ポリシーを確立することはできません。
    • 攻撃者は、組織内のビジネス資産にアクセスするために、アカウント、資格情報、トークン、およびその他の ID アーティファクトを侵害したり悪用したりしようとします (多くの場合、IT 管理者などの特権アカウントに優先順位を付けて、組織内の多くのデジタル資産またはすべてのデジタル資産にアクセスできるようにします)。
  • エンドポイント: アクセス制御保証は、有効にするためにエンドポイント セキュリティに依存します。 エンドポイントを侵害した攻撃者は、エンドポイントにサインオンするアカウントを偽装し、後で攻撃するために資格情報、トークン、およびその他の ID アーティファクトを盗むことができます。 レガシ認証プロトコルと暗号化を廃止するには、多くの場合、エンドポイントの更新と再構成が必要です。
  • Infrastructure: 組織のインフラストラクチャは ID システム (Active Directory ドメイン コントローラー、LDAP サーバー、フェデレーション サーバーなど) をホストするため、これらの資産が侵害された場合、組織内の多くのアカウントと ID が侵害される可能性があります。 さらに、IT 管理者は、インフラストラクチャ資産 (コードとしてのインフラストラクチャ (IAC) やその他の自動化を含む) の管理に使用される特権アカウントの ID とアクセスのベスト プラクティスに従う必要があります。 レガシ認証プロトコルと暗号化を廃止するには、多くの場合、インフラストラクチャの更新と再構成が必要です。
  • アプリ: アプリケーションは組織の価値の重要なストアであり、他の資産にアクセスするために脅威アクターによってエントリ ポイントとして一般的に使用されます。 すべてのアプリは、商用サービスとしてのソフトウェア (SaaS) やモバイル アプリ、カスタム開発アプリ、開発用の CI/CD プロセスなど、アクセスと ID セキュリティのベスト プラクティスに従う必要があります。
  • データ: データは組織にとって重要な価値のストアであり、多くの場合、知的財産の盗難、恐喝やランサムウェアの利用を得るための暗号化、将来の攻撃の計画などの目的で攻撃者の標的になります。 アクセスと ID がデータを保護する主な手段であるため、セキュリティのベスト プラクティスに厳密に従う必要があります。
  • ネットワーク。 ネットワーク制御は、アクセス制御の基礎となります。 かつてはネットワークが主要なアクセス制御テクノロジとスキルでしたが、組織のネットワーク外のクラウド プロバイダー、モバイル デバイス、およびその他の環境で資産が増加するにつれて、ネットワーク制御の有用性と重要性が低下しました。 アクセスと ID は、主にネットワーク制御のみに焦点を当てることはできなくなりましたが、古い攻撃をブロックし、セキュリティ サービス エッジ (SSE) などの最新のコントロールにネットワーク強制を統合するために、基本的な制御を維持する必要があります。
  • AI: AI アプリとエージェントには、アクセスできる内容を管理するための ID が必要です。 ID は、最小限の特権の原則を適用し、異常なアクティビティを監視するように慎重に設計する必要があります。 また、AI はすべての攻撃の量と品質を向上させ、フィッシングに対する耐性のある認証などのセキュリティのベスト プラクティスに従う必要性をさらに高めます。 アクセスと ID は、AI を利用して、ポリシーの構成ミスやその他の問題の検出を自動化することもできます。

Microsoft リソース

ワークショップ

Microsoft Unified では、組織がインフラストラクチャ セキュリティ戦略、アーキテクチャ、テクノロジを最新化するのに役立つ、エキスパート主導のワークショップを提供しています。 これらのワークショップには次のものが含まれます。

  • アーキテクチャと戦略のワークショップ - セキュリティ導入フレームワーク (SAF) - アーキテクチャ設計セッション: インフラストラクチャと開発のセキュリティ ワークショップでは、開発セキュリティの最新化とインフラストラクチャ セキュリティとの統合を加速することに重点を置いています。 このワークショップは、主要な学習とベスト プラクティスに焦点を当てた 4 時間未満の概要/ディスカッションとして利用できます。
  • テクノロジ導入ワークショップ - Microsoft Unified には、組織がMicrosoft EntraやMicrosoft Intuneを含むMicrosoftインフラストラクチャとネットワーク テクノロジの使用について学習、計画、実装、最適化するためのワークショップがあります。

テクノロジ

Microsoftは、インフラストラクチャ セキュリティの最新化を可能にし、加速するテクノロジ ソリューションを提供します。

技術 詳細情報
Microsoft Defender for Cloud 拡張検出と応答 (XDR) とポスチャ管理機能を提供して、Azure、AWS、GCP、オンプレミスのリソース (VM、ネットワーク、Kubernetes/Containers、SQL、Storage、IoT/OT など) 全体の "すべてのハイブリッド" インフラストラクチャを監視およびセキュリティで保護します。 Microsoft Defender for Cloud内の主な機能は次のとおりです。

- Defender for Servers - セキュリティ体制の改善と修復、エンドポイント統合のためのDefenderを使用したリアルタイムのセキュリティの脅威と攻撃からのマシンの保護、脆弱性のエージェントレス スキャンの提供に関する推奨事項を提供します。
- Defender For Containers - コンテナー化された資産 (Kubernetes クラスター、ノード、ワークロード、レジストリ、イメージなど) とそのアプリケーションのセキュリティを強化、監視、維持するためのクラウドネイティブ ソリューションです。
- Defender for SQL - データベースに対する脅威を示す可能性がある異常なアクティビティに対する脆弱性評価とアラートを使用して、潜在的なデータベースの脆弱性を検出して軽減するのに役立ちます。
- Defender for Storage - Azure Blob Storage、Azure Files、およびAzure Data Lake Storageにわたるマルウェア スキャンと機密データの脅威検出を使用して、ストレージ アカウントに対する潜在的な脅威を検出します。
- Defender for Databases - Azure SQL、オープンソース データベース、Cosmos DB の脅威保護とセキュリティ管理を使用して、データベース資産を脅威や脆弱性から保護するのに役立ちます。
- AI セキュリティ体制管理 - 生成型 AI アプリケーションを検出し、脆弱性を識別し、AI ワークロードの組み込みの推奨事項と攻撃パス分析を使用してリスクを軽減します。
Microsoft Sentinel インフラストラクチャ コンポーネントの検出と応答を含むクラウド ネイティブ SIEM + SOAR + Data Lake ソリューション。
Azure Arc 既存の非AzureやオンプレミスのリソースをAzure Resource Managerに投影することで、オンプレミスのデータ センター、複数のクラウド、エッジ コンポーネント間で統一されたガバナンスと管理を可能にします。
Microsoft Entra 開発者向けの強固な ID とアプリケーション用の ID をサポートし、ID 管理や暗号技術の独自実装を回避します
Microsoft Intune モバイル デバイス管理 (MDM) とモバイル アプリケーション管理 (MAM) を使用して開発者ワークステーションをセキュリティで保護するためのクラウドベースのエンドポイント管理ソリューションのサポート
Microsoft Defender XDR セキュリティで保護された開発環境に必要な開発者ワークステーション、CI/CD システム、サーバー、コンテナーなどの検出機能と応答機能をサポートします。
Microsoft Azure Azure Firewall Azure WAFDDoS ProtectionAzure Key VaultAzure BastionAzure Lighthouse、および Azure Backup

次のステップ

方法を確認する OT/IoT セキュリティは、インフラストラクチャとネットワークの規範に統合されます。

  • Last updated on