ベスト プラクティスの概要

このモジュールでは、ゼロ トラストと Microsoft サイバーセキュリティ機能のベスト プラクティス フレームワークの記事について説明します。

あなたは大規模な組織のサイバーセキュリティ アーキテクトだとします。 あなたは、組織のサイバーセキュリティの最新化を任されています。 この目標を達成するためにベスト プラクティスが不可欠であることを知っていますが、どのフレームワークを使用するかはわかりません。 ゼロ トラストとその潜在的な利点について聞いたことがありますが、作業を開始する方法がわかりません。 このモジュールは、ベスト プラクティスと、それらをサイバーセキュリティ アーキテクトとして使用する方法を理解するのに役立ちます。 また、ゼロ トラストの概念と、組織内でのゼロ トラストの使用を開始する方法についても説明します。

モジュールは 5 つのユニットに分かれています。

• ベスト プラクティスの概要
• ゼロ トラストの概要
• ゼロトラストの取り組み
• ゼロトラスト技術の柱パート1
• ゼロトラスト技術の柱 パート2

このモジュールを終了すると、サイバーセキュリティ アーキテクトとしてベスト プラクティスを使用する方法、ゼロ トラストの概念を理解する方法、およびゼロ トラストを使用して組織のサイバーセキュリティを最新化する方法、MCRA、CAF、WAF などのさまざまなベスト プラクティス フレームワークを使用するタイミングを理解できるようになります。

学習目標

このモジュールが完了すると、学習者は次のことができるようになります。

• サイバーセキュリティ アーキテクトとしてベスト プラクティスを使用する方法を理解します。
• ゼロ トラストの概念と、それを使って組織のサイバーセキュリティを最新化する方法を理解します。
• MCRA、CAF、WAF などのさまざまなベスト プラクティス フレームワークを使用するタイミングを理解します。

このモジュールの内容は、SC-100: Microsoft Cybersecurity Architect 認定資格試験の準備に役立ちます。

[前提条件]

• セキュリティ ポリシー、要件、ゼロ トラスト アーキテクチャ、ハイブリッド環境の管理の概念に関する知識
• ゼロ トラスト戦略、セキュリティ ポリシーの適用、ビジネス目標に基づくセキュリティ要件の開発に関する実務経験

ベスト プラクティス

ベスト プラクティス は、最も効果的または効率的であることが判明したことを行う推奨される方法です。 ベスト プラクティスは、間違いを回避し、リソースと労力が無駄にならないようにするのに役立ちます。

ベスト プラクティスには、次のような多くの形式があります。

• 何をすべきか、なぜそれを行うべきか、誰がそれをすべきか、そしてそれを行う方法に関する正確な指示
• さまざまな種類の意思決定とアクションに役立つ高レベルの原則
• ソリューションに含める必要があるコンポーネントとその統合方法を説明する参照アーキテクチャの一部であるガイドライン

Microsoft には、次のようなさまざまな形式のガイダンスにセキュリティのベスト プラクティスが組み込まれています。

• Microsoft サイバーセキュリティリファレンスアーキテクチャ
• Microsoft クラウド セキュリティ ベンチマーク
• クラウド導入フレームワーク (CAF)
• Azure Well-Architectedフレームワーク (WAF)
• Microsoft セキュリティのベスト プラクティス

アンチパターン

アンチパターンは、否定的な結果につながる一般的な間違いです。 ベスト プラクティスとは逆です。 多くのベスト プラクティスは、アンチパターンを回避するために設計されています。

多くのアンチパターンを克服するのに役立つベスト プラクティスの例として、セキュリティ パッチを定期的に適用する方法があります。 Microsoft では、この基本的で非常に重要なセキュリティのベスト プラクティスを定期的に適用する方法を利用する複数のアンチパターンを確認しました。

• パッチは適用されません (重要でない限り)。 このアンチパターンは、パッチが重要ではないという暗黙的な前提により、パッチのインストールを回避します。 これの別のバージョンは、パッチが適用されていない脆弱性が以前に起こっていない(または検出されていない)ために悪用されないという信念である「私たちには起こらない」ということです。

• 回復性を構築するのではなく、パッチの完全を待 つ - このアンチパターンは、パッチに問題が発生する恐れがあるため、パッチの適用を回避します。 このアンチパターンにより、攻撃者によるダウンタイムの可能性も高くなります。

• 説明責任モデルの破損 - このアンチパターンは、パッチの負の結果に対してセキュリティの責任を負います。 このアカウンタビリティ モデルにより、他のチームはセキュリティ メンテナンスの優先順位を解除できます

• 修正プログラムの選択を過剰にカスタマイズする - このアンチパターンでは、製造元が推奨するすべてのパッチを適用する代わりに、修正プログラムの適用に固有の基準が使用されます。 このカスタマイズにより、Windows、Linux、アプリケーションのカスタム ビルドが効果的に作成されます。このビルドは、その正確な構成でテストされたことがありません。

• オペレーティング システムのみに焦点を当てる - このアンチパターンパッチは、コンテナー、アプリケーション、ファームウェア、IoT/OT デバイスにも対処することなく、サーバーとワークステーションのみにパッチを適用します

アーキテクトがベスト プラクティスを使用する方法

セキュリティのベスト プラクティスは、ユーザーのスキルと習慣、組織のプロセス、テクノロジのアーキテクチャと実装に統合する必要があります。

サイバーセキュリティ アーキテクトは、セキュリティのベスト プラクティスを統合し、次の手順を実行してアクションを実行できるようにします。

• セキュリティ アーキテクチャとポリシーへのベスト プラクティスの統合
• ビジネス プロセス、技術プロセス、文化にベスト プラクティスを統合する方法について、セキュリティ リーダーにアドバイスします。
• ベスト プラクティスの実装に関する技術チームにアドバイスを提供し、どのテクノロジ機能によってベスト プラクティスを実装しやすくなります。
• エンタープライズ アーキテクト、IT アーキテクト、アプリケーション所有者、開発者など、組織内の他のユーザーに対して、セキュリティのベスト プラクティスを所有権の領域に統合する方法についてアドバイスします。

ベスト プラクティスを回避する理由がない限り、ベスト プラクティスに従ってください。 組織は、明確に定義された適切な理由でベスト プラクティスに従う必要があります。ただし、それを回避する具体的な理由がない限りです。 一部の組織では、適切な理由から特定のベスト プラクティスを無視できますが、Microsoft が提供するような高品質のベスト プラクティスを無視する前に、組織は注意する必要があります。 ベスト プラクティスはすべての状況に完全に適用できるわけではありませんが、他の場所で動作することが証明されているため、正当な理由なく無視したり変更したりしないでください。

適応するが、過剰にカスタマイズしない - ベスト プラクティスは、ほとんどの組織で機能する一般的なガイダンスです。 組織固有の状況に合わせてベスト プラクティスを調整する必要がある場合があります。 元の値が失われる時点までカスタマイズしないように注意する必要があります。 その例として、パスワードレスおよび多要素認証を採用していますが、攻撃者が最も価値を高める影響が最も大きいビジネスアカウントと IT アカウントに対して例外を作成します。

ベスト プラクティスを採用すると、一般的な間違いが減り、全体的なセキュリティの有効性と効率が向上します。 次の図は、重要なアンチパターンとベスト プラクティスをまとめたものです。

どのフレームワークを選択する必要がありますか?