クラウド導入を成功させるには、適切に設計されたセキュリティ戦略が必要です。 組織で従来のオンプレミス環境を使用している場合は、クラウドの専門知識を評価し、特にクラウド セキュリティに重点を置く必要があります。 クラウドでセキュリティを管理するには、セキュリティ チームの構造と全体的なセキュリティ アプローチを大幅に変更することが必要になる場合があります。
組織に対する潜在的な変更により、ストレスや競合が発生する可能性があります。 クラウド導入を成功させるには、管理チームがサポートを提供し、他のチームに変更を明確に提示するようにしてください。
一般的な課題に対処する
考え方を進化させます。 通常、オンプレミスのセキュリティは、小規模なエンジニアと運用管理者のチームが処理する可能性がある、狭い焦点を絞ったプラクティスです。 クラウド セキュリティには組織全体からの参加が必要であり、セキュリティ チームの範囲は大幅に拡大します。 オンプレミス環境の攻撃対象領域は、主に境界にあります。 クラウド環境では、すべてのリソースが潜在的な攻撃ベクトルであるため、セキュリティ チームはそれに応じてアプローチを調整する必要があります。
チームとロールを調整します。 特に大規模な組織向けのクラウド セキュリティには、特殊な役割が伴います。 セキュリティ管理のギャップを回避するには、新しいチームを追加したり、既存のチームを再構成したりする必要がある場合があります。
Recommendations:
セキュリティの会話を早期に導入します。 クラウド導入プロセスの早い段階で、適切な利害関係者とのセキュリティ会話を開始します。 このアプローチは、早い段階で組織を調整するのに役立ちます。
最新のセキュリティ チーム、役割、機能について理解します。 セキュリティ チーム、役割、および機能に関するクラウド導入フレームワークガイダンスを確認します。 このガイダンスでは、エンドツーエンドのセキュリティを実装する方法について説明します。
クラウド導入フレームワークセキュア手法を採用する。 クラウド導入フレームワーク Secure の手法を使用して、クラウド導入体験の各段階で Microsoft のセキュリティのベスト プラクティスを適用します。 各フェーズのガイダンスには、セキュリティ体制の最新化、インシデントの準備と対応、セキュリティの維持、機密性、整合性、可用性 (CIA) のトライアドなど、いくつかのセキュリティ アプローチが含まれています。
Microsoft Secure Future Initiative について
世界中のクラウド プロバイダーとして、Microsoft は他のすべての懸念事項よりもセキュリティに優先順位を付け、セキュリティ侵害を防ぐための重要なニーズを認識しています。 Microsoft Secure Future Initiative は、これらの懸念事項に対処し、Microsoft 製品の構築と保守に関するガイダンスを提供します。
信頼性、パフォーマンス、コストなど、他の懸念事項よりもセキュリティに優先順位を付ける範囲は、多くの要因によって異なります。 これらの要因は、全体的な導入戦略を作成するときに定義します。 優先順位に関係なく、Microsoft Secure Future Initiative の柱を理解して、クラウド資産で強化する主要なセキュリティ領域に重点を置きます。
ゼロ トラスト戦略を採用する
ゼロ トラスト原則により、Microsoft のセキュリティ戦略の基礎が作成されます。 ゼロ トラストは、3 つの主要な原則で構成されるクラウド対応のセキュリティ戦略です。
明示的に確認する: 使用可能なすべてのデータ ポイントに基づいて常に認証と承認を行います。
最小限の特権を使用する: Just-In-Time および Just-enough アクセス、リスクベースのアダプティブ ポリシー、およびデータ保護を使用してユーザー アクセスを制限します。
侵害を想定する: 影響範囲を最小限に抑えるためにアクセスをセグメント化します。 エンドツーエンドの暗号化を検証し、分析を使用して可視性を取得し、脅威検出を推進し、防御を改善します。
ゼロ トラスト原則は、クラウド資産を設計、実装、運用する際の決定を導きます。 これらは、チェックする明確な参照ポイントを提供します。これにより、選択がセキュリティを損なわないようにするのに役立ちます。
Microsoft ゼロ トラスト ガイダンスを使用して、セキュリティ戦略へのゼロ トラストアプローチの統合を効率化します。 ゼロ トラストガイダンス:
Azureのクラウド導入フレームワークの導入フェーズに合わせて、厳密に重点を置いた構造化された adoption フレームワークを提供します。 このガイダンスを使用して、クラウド導入全体をゼロ トラストアプローチに合わせます。
Azure、Microsoft 365、および AI サービスがゼロ トラスト原則に合わせてクラウド資産を調整する方法について説明します。
開発プラクティスをゼロ トラスト原則に合わせる方法について説明します。
Recommendations:
- ゼロ トラストを採用します。 Microsoft ゼロ トラスト ガイダンスを使用して、セキュリティ優先の考え方を推進するゼロ トラスト原則を実装します。
CISO と MCRA のワークショップを使用する
Microsoft では、意思決定者やアーキテクトがクラウド導入にベスト プラクティスを適用するためのワークショップを提供しています。 最高情報セキュリティ責任者 (CISO) ワークショップでは、CISO やその他の上級リーダーの役割の観点から、サイバーセキュリティプラクティスを徹底的に最新化することに重点を置いています。
Microsoft サイバーセキュリティ参照アーキテクチャ (MCRA) ワークショップでは、アーキテクチャのベスト プラクティスをクラウド環境設計に適用することに重点を置いています。 ゼロ トラスト原則は、CISO および MCRA ワークショップのガイダンスの基礎を作成します。 また、このワークショップは、クラウド導入フレームワーク、Azure Well-Architected Framework、およびゼロ トラストセキュリティに関する推奨事項に関する Microsoft のベスト プラクティスにも準拠しています。
Recommendations:
- CISO および MCRA ワークショップについてチーム リーダーに相談します。 1 つ以上の Microsoft 主導のワークショップへの投資を検討してください。 特に、CISO と MCRA のワークショップを活用してください。 Microsoft 主導のワークショップ資料については、セキュリティ導入リソースを参照してください。
次の手順
持続可能性に関する考慮事項