フレームワークについて説明する

  • 5 分

Microsoft は、サイバーセキュリティ アーキテクトが組織全体のセキュリティを設計および評価するために使用するベスト プラクティス フレームワークをいくつか提供しています。 各フレームワークは、異なる目的と対象ユーザーを提供します。 各フレームワークのスコープと意図を理解することは、特定の状況に適したガイダンスを選択するのに役立ちます。

Microsoft クラウド導入フレームワーク

Microsoft クラウド導入フレームワーク (CAF) は、組織が Azure を正常に導入し、それを既存の IT 環境に統合するのに役立つ構造化されたロードマップです。 CAF は、クラウド導入ライフサイクル全体を通してベスト プラクティスとガイダンスを提供します。

CAF では、戦略、計画準備、導入管理セキュリティ保護管理という 7 つの主要な手法にガイダンスが編成されています。 基本的な手法 (戦略、計画、準備、導入) は順次行われ、ビジネス成果の定義、組織と環境の準備、ワークロードのデプロイに役立ちます。 運用手法 (ガバナンス、セキュリティ保護、管理) は、Azure 環境が一定期間にわたって準拠し、保護され、最適化されていることを保証するのに役立ちます。

CAF には、組織の役割と責任、セキュリティのベスト プラクティス、および参照実装に関連するセキュリティ ガイダンスが含まれています。 クラウド導入を進めているすべての業界およびスケールの組織にサービスを提供します。

戦略、計画、準備、導入、ガバナンス、セキュリティ保護、管理などのクラウド導入フレームワークの手法を示す図。

Azure Well-Architected Framework(アジュール ウェルアーキテクテッド フレームワーク)

Azure Well-Architected Framework (WAF) は、ワークロードの品質を向上させる設計フレームワークです。 WAF を使用すると、回復性、セキュリティ保護、コスト最適化、運用上の優れた、効率的なワークロードを設計できます。

WAF は、アーキテクチャの卓越性の 5 つの柱に基づいて設立されています。

  • 信頼性: ワークロードの回復性、使用可能性、回復性を確保します。
  • セキュリティ: 脅威からワークロードを保護します。
  • コストの最適化: ワークロードが十分な投資収益率を確保します。
  • オペレーショナル エクセレンス: 責任ある開発と運用をサポートします。
  • パフォーマンス効率: ワークロードが許容可能な期間内に目的を達成できるようにします。

WAF はワークロードに焦点を当てています。 これは、個々のワークロードを改善し、横断的な設計上の問題に対処する責任を負うチームに適用されます。 一元化された制御によってワークロードのポートフォリオを改善するためのガイダンスを求めている場合は、CAF がより適切なフレームワークです。

信頼性、セキュリティ、コストの最適化、オペレーショナル エクセレンス、パフォーマンス効率など、Azure Well-Architected Framework の柱を示す図。

Microsoft サイバーセキュリティリファレンスアーキテクチャ

Microsoft Cybersecurity Reference Architectures (MCRA) は、ゼロ トラスト原則を使用してエンド ツー エンドのセキュリティを採用できる技術的なアーキテクチャです。 MCRA では、従来の IT、マルチクラウド、モノのインターネット (IoT)、運用テクノロジ (OT)、人工知能 (AI) など、"すべてのハイブリッド" テクノロジ資産のエンドツーエンドのセキュリティについて説明します。

MCRA は、Microsoft のセキュリティ導入フレームワーク (SAF) のコンポーネントであり、次のものが含まれます。

  • アンチパターン (一般的な間違い) とベスト プラクティス。
  • ゼロ トラスト原則を使用してエンドツーエンドのセキュリティ アプローチを正常に採用するためのガイダンス。
  • Microsoft サイバーセキュリティ機能、ゼロ トラスト ユーザー アクセス、セキュリティ運用、運用テクノロジ、マルチクラウド機能などの詳細な図。
  • ゼロ トラスト標準と組織の役割への Microsoft の機能のマッピング。

組織では、通常、セキュリティ アーキテクチャの開始テンプレート、セキュリティ機能の比較リファレンス、Microsoft の機能と統合投資の学習ツール、またはサイバーセキュリティの概念を理解する方法として MCRA を使用します。

Microsoft クラウド セキュリティ ベンチマーク

Microsoft クラウド セキュリティ ベンチマーク バージョン 2 (MCSBv2) は、Azure およびマルチクラウド環境全体のワークロード、データ、サービスのセキュリティを向上させるための規範的なベスト プラクティスと推奨事項を提供します。 MCSBv2 は、クラウド導入フレームワーク、Azure Well-Architected Framework、CIS Controls、NIST SP 800-53、PCI-DSS、ISO 27001 などの業界標準を含む、Microsoft と業界のセキュリティ ガイダンスからの入力に基づいています。

MCSBv2 は、セキュリティ制御を 12 の セキュリティ ドメインに編成します。つまり、セキュリティ上の問題の特定の領域に対処する関連するコントロールの高レベルのグループ化です。 これらのドメインには、ネットワーク セキュリティ (NS)、ID 管理 (IM)、特権アクセス (PA)、データ保護 (DP)、資産管理 (AM)、ログ記録と脅威検出 (LT)、インシデント対応 (IR)、ポスチャと脆弱性管理 (PV)、エンドポイント セキュリティ (ES)、バックアップと回復 (BR)、DevOps セキュリティ (DS)、バージョン 2 で導入された新しいドメイン (人工知能セキュリティ (AI) が含まれます。

各ドメインには、番号付きコントロールとサブコントロールが含まれています。 たとえば、ネットワーク セキュリティ ドメインには、制御 NS-1: ネットワークセグメント化境界を確立します。これにより、セキュリティ原則、リスク分析、MITRE ATT&CK マッピング、NS-1.1 や NS-1.2 などのサブコントロールを介した実装ガイダンスが提供されます。

MCSBv2 は、各コントロールを NIST、PCI-DSS v4、CIS コントロール v8.1 などの複数のコンプライアンス フレームワークにマップします。 組織は MCSBv2 を使用して、セキュリティ体制の計画と監視、規制要件への制御のマップ、420 を超える Azure Policy 組み込み定義を使用してセキュリティで保護された構成を自動化するためのガードレールの確立を行います。 MICROSOFT Defender for Cloud 規制コンプライアンス ダッシュボードを使用して、MCSBv2 コンプライアンスを監視できます。