大まかに言えば、Azure VMware Solution は Azure サービスであるため、Azure が従うのと同じポリシーと要件すべてに従う必要があります。 Azure のポリシーと手順により、Azure VMware Solution は セキュリティ開発ライフサイクル (SDL) に従う必要があり、Azure によって約束されているいくつかの規制要件を満たす必要があります。
脆弱性に対する Microsoft のアプローチ
Azure VMware Solution は、脆弱性とリスク管理に対して詳細なアプローチを採用しています。 SDL に従って、最初から安全に構築していることを確認します。 このセキュリティの焦点には、サードパーティ製ソリューションの操作が含まれます。 当社のサービスは、定期的に自動および手動レビューを通じて継続的に評価されます。 また、ソリューション内の脆弱性のセキュリティ強化と早期通知について、サードパーティパートナーと提携しています。
脆弱性の管理
- エンジニアリング チームとセキュリティ チームは、脆弱性のシグナルをトリアージします。
- シグナル内の詳細は裁定され、サービス内の補正コントロールに従って Common Vulnerability Scoring System (CVSS) スコアとリスク評価が割り当てられます。
- リスク評価は、修正プログラムを実装するためのタイムラインを確立するために、内部のバグ バー、内部ポリシー、および規制に対して使用されます。
- 内部エンジニアリングチームは、適切な関係者と協力して、必要な修正プログラム、パッチ、およびその他の構成更新を評価して展開します。
- 通信は、必要に応じてドラフトされ、割り当てられたリスク評価に従って公開されます。
ヒント
通信は、 Azure Service Health ポータル、 既知の問題、または電子メールを通じて表示されます。
脆弱性とリスク管理を管理する規制のサブセット
Azure VMware Solution は、次の認定と規制要件のスコープ内にあります。 記載されている規制は、Azure VMware Solution が保持する認定の完全な一覧ではありません。 代わりに、脆弱性管理に関する特定の要件を含む一覧です。 これらの規制は、同じ目的のために他の規制に依存しません。 たとえば、特定のリージョン認定は、脆弱性管理の ISO 要件を指している場合があります。
注
Service Trust Portal でホストされている次の監査レポートにアクセスするには、アクティブな Microsoft のお客様である必要があります。
- 磯
- PCI: 監査情報については、DSS および 3DS のパッケージを参照してください。
- SOC
- NIST サイバーセキュリティ フレームワーク
- Cyber Essentials Plus