この記事では、Microsoft セキュリティ導入モデルのセキュリティ規範の概要について説明します。
セキュリティ規範は、組織がビジネス セキュリティ目標を企業全体で調整されたアクションに変換するのに役立つ 、アカウンタビリティの構造化された領域 です。 リスクを管理し、重要なビジネス成果を保護するための戦略、アーキテクチャ、運用を一貫した方法で整理できます。
セキュリティは、分離されたコントロールや個々のツールとして扱うのではなく、プロセス、スキル、テクノロジを反復可能な機能領域に編成します。 これは、セキュリティ投資が、断片化された改善ではなく、測定可能なエンドツーエンドの結果を提供するのに役立ちます。
まとめて、セキュリティ規範は、以下を可能にする完全なセキュリティ運用モデルを形成します。
- 明確なセキュリティ戦略とガバナンス、
- 一貫性のあるエンドツーエンドのアーキテクチャ。
- 一貫した技術的な実装と運用。
セキュリティ規範は、リモート作業のセキュリティ保護や重要な資産の保護などのビジネス シナリオを通じて適用されます。 これらのシナリオでは、リスクを軽減し、ビジネスをサポートするためにセキュリティの取り組みに重点を置く必要がある場所を定義します。
Tip
Microsoftには、Security Adoption Framework (SAF) ワークショップなど、豊富なセキュリティ導入ワークショップが用意されています。 ここで説明する、セキュリティ規範ガイダンスを含む、構造化された導入モデルは、ワークショップで利用可能な専門家主導のガイダンスと一致します。 私たちのSAFワークショップの詳細をご覧ください。
導入におけるセキュリティ規範
セキュリティ導入モデルでは、セキュリティ規範によって、ビジネス シナリオと技術的な実装の間の組織構造が提供されます。
- ビジネス シナリオでは、 セキュリティ投資が必要な 理由 と、どのような結果が重要かを定義します。
- セキュリティ規範は、チーム全体の所有権と説明 責任を定義 し、組織全体でセキュリティ機能の各領域を提供する責任者を明確にします。
- 技術ソリューションは、特定のテクノロジの柱全体でセキュリティを実装する方法を定義します。
セキュリティ規範の使用方法
セキュリティ規範は、構造化された導入モデル全体で使用されます。 これらは、さまざまな対象ユーザーをサポートするためのゼロ トラストガイダンスに合わせて調整されます。
- ビジネス リーダーとプログラム所有者は、規範を使用して、資産を保護し、ビジネス リスクを管理するためにセキュリティ ビジネス シナリオがどのように実現されるかを理解します。
- セキュリティ リーダーとアーキテクトは、規範を使用してエンドツーエンドの設計を形成し、テクノロジの柱全体の一貫性を確保します。
- 実装チームと運用チームは、規範を使用して、ツールの選択をガイドし、デプロイ、検出、継続的な改善を制御します。
規範カテゴリ
各セキュリティ規範は、サポートされる決定の種類と、セキュリティ ライフサイクルに適用されるタイミングに基づいて、3 つのカテゴリのいずれかに適合します。
- 計画と監視の規範: これらの規範は、セキュリティ プログラム全体の方向性、調整、アカウンタビリティを確立します。 成功の様子と進行状況の測定と管理方法を定義します。
- 技術戦略の規範: これらの規範は、セキュリティがどのように設計され、技術的に実装されるかを定義します。 これらは、複数のテクノロジ領域にわたって選択、ツール、実行を制御するためのアーキテクチャの方向を提供します。
- 運用規範: これらの規範は、脅威や環境の変化に応じて継続的な可視性、検出、対応、改善など、セキュリティが日々どのように実行されるかを定義します。
次の図は、セキュリティカテゴリと規範と、それらがテクノロジの柱間でどのように整合しているかを示しています。
セキュリティ規範
次の表は、規範、所属するカテゴリ、保護に重点を置いているテクノロジの柱を示しています。
| 統制/カテゴリ | Discipline | 柱 |
|---|---|---|
|
セキュリティ戦略、統合、ガバナンス 計画と監視。 |
全体的なセキュリティビジョン、優先順位、ポリシー、成功対策を確立します。 これにより、セキュリティの取り組みがビジネス目標とリスク許容度に合わせて調整され、その進行状況が測定可能で管理されます。 | すべての柱。 |
|
セキュリティ アーキテクチャ 計画と監視。 |
セキュリティ制御、テクノロジ、プロセスがまとまりのあるシステムとして連携することを保証します。 ID、データ、アプリケーション、インフラストラクチャ、運用全体にわたってアーキテクチャの決定を調整し、一貫した結果を提供します。 | すべての柱。 |
|
アクセスと ID 技術的な戦略 |
ユーザー、デバイス、アプリケーション、ワークロードが組織の資産にアクセスする方法をセキュリティで保護します。 この規範は、ネットワークや特権アクセスなど、すべてのアクセス パスでゼロ トラスト原則を使用して、一貫性のある ID 中心のアプローチを推進します。 | ID、ネットワーク、エンドポイント。 |
|
インフラストラクチャのセキュリティ 技術的な戦略 |
新しい開発およびレガシ アプリのために、ビジネスを実行するワークロードとプラットフォームがハイブリッド環境とマルチクラウド環境全体でセキュリティで保護されていることを確認します。 | インフラストラクチャ。 |
|
開発セキュリティ 技術的な戦略 |
DevSecOps アプローチとセキュリティ開発ライフサイクル (SDL) のパターンとして、アプリケーションとサービスが安全に設計、構築、および維持されるようにします。 これには、セキュリティで保護されたコーディングプラクティスとアプリケーションセキュリティテストが含まれます。 | アプリ。 |
|
データ セキュリティ 技術的な戦略 |
知的財産、営業秘密、規制情報などのデータ資産を保護します。 この規範は、データの格納場所や移動方法に関係なく、完全なデータ ライフサイクル全体にわたってセキュリティ制御を適用します。 これは、安全なジェネレーティブ AI の使用を可能にする重要な機能です。 | データ。 |
|
OT/IoT セキュリティ 技術的な戦略 |
産業制御システムや SCADA 環境など、物理プロセスや物理世界と対話する OT/IoT システムをセキュリティで保護します。 | エンドポイント。 |
|
セキュリティ体制管理 運用中 |
セキュリティ リスクを継続的に検出し、対策し、優先順位を付けます。 これは、組織が最も影響の大きい脆弱性と攻撃パスに修復作業を集中するのに役立ちます。 | すべての柱。 |
|
SecOps 運用中 |
アクティブな脅威を検出し、対応し、回復します。 この規範では、迅速な対応に焦点を当て、侵害後に攻撃者がアクセスできる時間を最小限に抑え、ビジネスへの影響を制限します。 | すべての柱 |
次のステップ
- セキュリティの導入を開始します。
- ビジネス シナリオを選択します。
- Microsoftのセキュリティ ワークショップについて学びます