プレイブック

従来の境界モデルからゼロトラストへの移行を開始する。

→「明示的に検証する」という原則を優先します。ID、デバイス、場所、サービス、データ、異常など、利用可能なすべてのデータポイントに基づいて、すべてのアクセス要求を認証および認可します。

理由: 明示的な検証はゼロトラストの基本的な柱です。他のすべての制御（最小権限、侵害を前提とする）は、決して信頼せず常に検証するというこの中核原則に基づいて構築されます。

リファレンス↗

ランサムウェアの攻撃チェーン全体に対する包括的な防御を設計する。

→特権アクセスワークステーション（PAWs）を組み合わせて資格情報の盗難と横方向の移動を防ぎ、回復力のあるリカバリのためにイミュータブルバックアップアーキテクチャ（Azure Backup immutable vaults, MUA）を使用します。

理由: これにより、予防（PAWsが攻撃を妨害）と回復（イミュータブルバックアップが予防失敗時の事業継続を保証）の両方に対処し、真の回復力を提供します。

短いスプリントでのアジャイル開発ライフサイクルに脅威モデリングを統合する。

→STRIDE手法を使用して増分的な脅威モデリングを実装します。スプリント計画に統合し、アーキテクチャの進化に合わせてモデルを更新し、セキュリティレビューのゲートとして使用します。

理由: 脅威モデリングは、アジャイル環境で効果的であるためには、一度限りのイベントではなく継続的である必要があります。増分的な更新により、セキュリティが開発速度と一致します。

短期的な成果を目的とした段階的なアプローチでゼロトラストを実装する。

→ゼロトラスト迅速近代化計画（RaMP）の優先順位に従います: 1. IDとアクセス管理、2. エンドポイントとデバイス、3. アプリケーション、4. ネットワークとインフラストラクチャ。

理由: IDを保護することは、最も重要な即時リスク軽減を提供し、他のすべてのゼロトラストの柱のコントロールプレーンを形成します。

CVSSスコアだけでなく、ビジネスへの影響に基づいて脆弱性修復の優先順位を決定する。

→Microsoft Security Exposure Managementを使用して、特定された重要な資産に対する攻撃パス分析を実行します。高価値ターゲットへの実行可能な攻撃パスを提供する脆弱性の修復を優先します。

理由: 攻撃パス分析は、脆弱性をビジネスリスクと関連付け、組織にとって最大の危険をもたらす脅威に修復の取り組みを集中させることを保証します。

多数のAzureサブスクリプションを持つ大規模なエンタープライズ全体で一貫したセキュリティベースラインを強制する。

→ルート管理グループでMCSBに合わせたAzure Policyイニシアティブを実装します。継承されたすべてのサブスクリプションでMicrosoft Defender for Cloudを使用して継続的なコンプライアンス監視を行います。

理由: 管理グループレベルのポリシー割り当ては、現在および将来のすべてのサブスクリプションにスケーラブルで継承されたガードレールを提供し、デフォルトで一貫したセキュリティベースラインを保証します。

地域のデータレジデンシー要件を持つグローバル企業向けにセキュリティオペレーションセンター（SOC）を設計する。

→マルチワークスペースのMicrosoft Sentinelアーキテクチャを展開します。地域のデータレジデンシー要件を満たすために、データを地域のLog Analyticsワークスペースに保持します。Azure Lighthouseを使用して一元管理を行い、ワークスペース間クエリを使用して統合された脅威ハンティングを行います。

理由: このモデルは、集中型セキュリティ運用とグローバルな可視性を地域のデータレジデンシーコンプライアンスと両立させ、データ転送違反を回避します。

リファレンス↗

Microsoft Defender XDRとMicrosoft Sentinelの両方を使用してSOC運用を最適化する。

→双方向のインシデント同期のためにSentinelでMicrosoft Defender XDRコネクタを有効にします。M365/エンドポイントインシデントの詳細な自動調査にはDefender XDRを使用します。サードパーティソースとのクロスドメイン相関および高度なハンティングにはSentinelを使用します。

理由: この「より良い連携」アプローチは、両プラットフォームの強みを活用します。XDRはMicrosoftエコシステム内での統合された自動応答を、SIEMは広範なクロスプラットフォームの可視性と相関を提供します。

誤検知による過剰なリスクを招くことなく、インシデント対応の自動化を実装する。

→Sentinelで階層型自動化戦略を設計します。低リスクのアクション（エンリッチメント、通知）は完全に自動化します。中リスクのアクション（IPブロック）にはヒューマン・イン・ザ・ループ承認ワークフローを使用します。影響の大きいアクション（アカウント無効化）は手動実行のために予約します。

理由: 階層型自動化は、応答速度と適切な監視のバランスを取り、一般的なタスクに対するSOCの効率を最大化しつつ、自動化されたアクションが重大な運用上の混乱を引き起こすのを防ぎます。

オンプレミス、Azure、AWS、GCPにわたる統合されたセキュリティ監視プレーンを確立する。

→中央SIEMとしてMicrosoft Sentinelを使用します。オンプレミス/マルチクラウドサーバーをAzure Arc経由でオンボーディングします。AWSおよびGCPサービスにはネイティブのSentinelデータコネクタを使用します。すべての環境でMicrosoft Defender for Cloudを有効にします。

理由: Azure ArcはAzureコントロールプレーンをあらゆるインフラストラクチャに拡張し、ハイブリッドおよびマルチクラウド環境全体でセキュリティ管理（Defender for Cloud）と監視（Sentinel）のための単一の管理プレーンを提供します。

コンプライアンスのために、管理監査ログの長期的な改ざん防止保持を確保する。

→診断設定を構成して、Azure Activity Logsを専用のLog AnalyticsワークスペースとイミュータブルなAzure Storageアカウントにエクスポートします。これらのリソースは、別のロックダウンされたセキュリティ/管理サブスクリプションに配置します。

理由: イミュータブルストレージ（WORM）はログの改ざんを防ぎます。個別の管理サブスクリプションは、ワークロード管理者からログを分離し、侵害された管理者が痕跡を隠すのを防ぎます。

可能性のある攻撃パターンに基づいてセキュリティ制御への投資を優先する。

→既存のセキュリティ制御をMITRE ATT&CKフレームワークにマッピングします。業界に関連する脅威インテリジェンスを分析して、可能性のある敵対者が使用する一般的なTTPを特定します。これらの特定のTTPに対する検出/予防のギャップを埋めることを優先します。

理由: この脅威情報に基づいたアプローチは、セキュリティ投資が最も可能性が高く影響の大きい攻撃ベクトルに直接対処することを保証し、リスク軽減を最大化します。

Azure、AWS、GCPにわたるIDの過剰なアクセス許可（パーミッションスプロール）を管理する。

→Microsoft Entra Permissions Management（CIEM）を展開します。アクセス許可の継続的な検出、リスク評価（パーミッションクリープインデックス）、および最小権限を強制するためのアクセス許可の適正化に関する推奨事項の生成に使用します。

理由: CIEMはマルチクラウドのアクセス許可の複雑さに対処するための専門的なソリューションであり、ネイティブのクラウドIAMツールだけでは実現不可能な可視性と自動分析を提供します。

内部従業員によるデータ持ち出しや妨害行為を検出するプログラムを設計する。

→Microsoft Purview Insider Risk Managementを実装します。HRシステムと統合して、雇用イベント（例：退職）に基づいてポリシーをトリガーします。リスクインジケーターに基づいてポリシーを構成し、初期分析中にプライバシーを保護するために仮名化を使用します。

理由: 効果的なインサイダーリスク管理には、技術的な信号（例：大量ダウンロード）と人事のコンテキスト（例：従業員の退職日）を関連付ける必要があり、Purviewはプライバシーを尊重しながらそれを行うように設計されています。

標準的なハブアンドスポークAzureトポロジのネットワークセキュリティを設計する。

→ハブVNetにAzure Firewall Premiumを展開し、中央集中型のトラフィック検査（IDPSおよびTLS検査を含む）を行います。User-Defined Routes (UDRs) を使用して、スポークからのトラフィックを強制トンネルします。スポーク内のマイクロセグメンテーションにはNSGを使用します。ハブでAzure DDoS Protectionを有効にします。

理由: この階層化されたアーキテクチャは、多層防御を提供します。ハブでの集中型脅威保護、スポークでのマイクロセグメンテーション、エッジでの大量攻撃保護です。

リファレンス↗

侵害されたワークステーションから重要なサーバー（Tier 0）への攻撃者の横方向の移動を防ぐアーキテクチャを設計する。

→階層化された管理モデルを実装します。異なる管理層（Tier 0、1、2）用に、個別の専用アカウントと特権アクセスワークステーション（PAWs）を使用します。Tier 0の資格情報が下位層システムで絶対に使用されないように強制します。

理由: これにより、資格情報の分離境界が作成され、下位層資産（ユーザーワークステーションなど）での資格情報の盗難が上位層資産（ドメインコントローラーなど）の侵害につながることを不可能にします。

セキュリティエージェントを実行できないレガシーデバイスを備えた運用技術（OT）環境を保護する。

→パッシブなエージェントレスネットワークセンサーを使用してMicrosoft Defender for IoTを展開します。ITとOTの間にDMZを作成するためにPurdueモデルに基づいたネットワークセグメンテーションを実装します。Defender for IoTのアラートをMicrosoft Sentinelに統合します。

理由: パッシブなネットワーク監視は、機密性の高いレガシー産業システムに影響を与えることなく、OT固有のプロトコルと脅威への可視性を提供します。セグメンテーションは脅威を封じ込め、IT/OTデータフローを制御します。

Azure Kubernetes Service (AKS) ワークロードに対する多層防御セキュリティを設計する。

→Microsoft Defender for Containers（レジストリスキャン、ランタイム脅威検出）と、AKS用Azure Policy（特権コンテナの禁止などのセキュリティ標準を強制するためのアドミッションコントロール）、およびネットワークポリシー（pod間のマイクロセグメンテーション用）を組み合わせます。

理由: コンテナセキュリティには多層的なアプローチが必要です。レジストリでの「シフトレフト」、デプロイ時の予防的ガードレール（アドミッションコントロール）、ランタイムでのネットワーク隔離、およびランタイム脅威検出です。

リファレンス↗

オンプレミスデータセンターとAzure間の高セキュリティかつ高性能な接続を設計する。

→プライベートピアリングを備えたExpressRouteをプライマリ接続として使用し、サイト間VPNをフェイルオーバーバックアップとして使用します。ExpressRoute上でMACsecまたはIPsec暗号化を有効にします。Azure PaaSサービスへのアクセスにはPrivate Endpointsを使用します。

理由: ExpressRouteは、パブリックインターネットをバイパスするプライベートな専用接続を提供します。Private EndpointsはPaaSトラフィックもインターネットから分離することを保証します。ExpressRoute上の暗号化は多層防御を提供します。

機密データを含むAzure Storageアカウントに最大限のセキュリティを設計する。

→パブリックアクセスと匿名アクセスを無効にします。ネットワークアクセスにはPrivate Endpointsを使用します。アプリケーション認証にはマネージドIDを使用します。顧客管理キー（CMK）による暗号化を強制します。脅威検出にはMicrosoft Defender for Storageを有効にします。

理由: この階層化されたアプローチは、ネットワーク露出（Private Endpoints）、資格情報管理（マネージドID）、暗号化制御（CMK）、ランタイム脅威（Defender for Storage）というすべての主要なセキュリティベクトルに対処します。

オンプレミスおよびマルチクラウドサーバーに一貫したセキュリティ管理とガバナンスを適用する。

→サーバーをAzure Arcにオンボーディングします。これによりAzureコントロールプレーンが拡張され、Microsoft Defender for Cloud（CSPM/CWP）による管理、Azure Policy（ゲスト構成を含む）の適用、および更新管理などのサービスの利用が可能になります。

理由: Azure Arcは、ハイブリッドおよびマルチクラウドのサーバー環境全体で単一の管理およびセキュリティプレーンを作成するための基盤となるテクノロジーです。

リファレンス↗

リモートワーカーのインターネット/SaaSアプリおよびプライベート企業アプリケーションへのアクセスを保護する。

→MicrosoftのGlobal Secure Accessを実装します。SaaS/インターネットトラフィックのセキュアWebゲートウェイ（SWG）としてMicrosoft Entra Internet Accessを使用します。従来のVPNを置き換えるゼロトラストネットワークアクセス（ZTNA）ソリューションとしてMicrosoft Entra Private Accessを使用します。

理由: これにより、ユーザーの場所やリソースの種類に関係なく一貫したセキュリティポリシーを適用する、統合されたID中心のSSEソリューションが提供され、現代のゼロトラスト原則に合致します。

Azure仮想マシンに対する包括的な保護を設計する。

→Defender for Endpoint（EDR）を含むMicrosoft Defender for Servers Plan 2を有効にします。Just-in-Time（JIT）VMアクセスを使用して、デフォルトで管理ポートを閉じます。パブリックIPなしで安全なブローカーベースの管理アクセスにはAzure Bastionを使用します。

理由: これにより多層防御が提供されます。JITとBastionは攻撃対象領域を減らし、Defender for Serversはワークロード自体に対する高度な脅威検出と応答（EDR）を提供します。

処理中の非常に機密性の高いデータ（使用中のデータ）を、クラウド管理者を含む特権アクセスから保護する。

→Azure Confidential Computing VM（例：AMD SEV-SNPベース）またはAKS上の機密コンテナを使用します。これにより、データとコードが実行中に暗号化され分離されるハードウェアベースのTrusted Execution Environment (TEE) が作成されます。

理由: 機密コンピューティングは、保存時または転送時の暗号化ではカバーされない最終的なデータ状態（使用中）に対処し、ハイパーバイザーやホストOSからの保護も提供します。

標的型攻撃から複雑なオンプレミスActive Directory環境を強化する。

→横方向の移動を防ぐために、階層型管理モデルの実装を優先します。Protected Usersセキュリティグループと認証ポリシーサイロを展開して、特権アカウントを資格情報の盗難攻撃（例：Pass-the-Hash）から保護します。

理由: これらの制御は、最も一般的で影響の大きいAD攻撃ベクトルである横方向の移動と資格情報の盗難に対処します。これらはLDAP署名のような一般的な強化策よりも重要です。

AzureおよびMicrosoft Entra IDの管理者向けにゼロトラスト特権アクセスを実装する。

→Microsoft Entra Privileged Identity Management (PIM) を展開します。すべての常時割り当てられた特権を「eligible」に変換します。時間制限付きの有効化、重要なロールの承認ワークフロー、および必須のアクセスレビューを構成します。

理由: PIMは、Azure/EntraロールのJust-in-Time（JIT）および最小特権アクセスを実装するためのマイクロソフトの中核サービスであり、常時特権アクセスの重大なリスクを排除します。

リファレンス↗

スケーラブルで管理しやすい条件付きアクセス ポリシー構造を設計する。

→すべてのユーザーに対するベースラインポリシー、機密性の高いアプリケーションに対する強化されたポリシー、特権アクセスに対する厳格なポリシーを備えた階層型フレームワークを実装します。名前付きの場所やデバイスのコンプライアンスなどのシグナルを使用して、信頼できるシナリオでの摩擦を減らします。

理由: 単一のモノリシックポリシーは管理できません。階層型アプローチは、制御の強度をリスクレベルに合わせ、日常業務に過度な摩擦を生じさせることなく、必要な場所で堅牢なセキュリティを提供します。

完全なIDライフサイクル（参加者、異動者、退職者）を自動化し、ガバナンスする。

→Microsoft Entra ID Governanceを使用します。HR主導のプロビジョニング、自動化のためのEntra IDライフサイクルワークフロー、アクセスパッケージ（ロールのアクセス許可をバンドルする）のためのエンタイトルメント管理、および証明のための定期的なアクセスレビューを実装します。

理由: これにより、アクセスが正しく付与され、ロールの変更に伴って変更され、終了時に速やかに取り消されることを保証するエンドツーエンドの自動ガバナンスソリューションが提供され、陳腐化したアカウントや特権クリープのリスクに対処します。

さまざまな種類の外部ユーザー（パートナー、顧客）の安全なアクセスを管理する。

→パートナーおよび請負業者には、クロステナントアクセスポリシーによって管理されるMicrosoft Entra B2Bコラボレーションを使用します。顧客向けアプリケーションには、カスタマイズ可能なユーザーエクスペリエンスを備えた個別のスケーラブルなディレクトリを提供するMicrosoft Entra B2Cを使用します。

理由: B2BとB2Cは、異なる外部IDシナリオのために目的別に構築されています。適切なツールを使用することで、すべての外部ユーザーを同じように扱うこと（例：彼らのために内部アカウントを作成すること）から生じるセキュリティおよびスケーラビリティの問題を回避します。

Microsoft 365とAzure全体で機密データを一貫して保護する。

→Microsoft Purview Information Protectionを展開します。自動分類（機密情報タイプ、トレーニング可能な分類器）を使用して機密ラベルを適用します。データが存在する場所に関わらず、保護（暗号化、アクセス制限）を強制するようにラベルを構成します。

理由: データ中心の保護はデータ自体に追従します。大規模な自動分類は、大規模なデータ環境全体で一貫したラベリングと保護を確保する唯一の実行可能な方法です。

一般的な脅威から内部および外部APIを保護する。

→Azure API Managementを統合ゲートウェイとして展開します。OAuth 2.0による強力な認証を強制します。レート制限とリクエスト検証のためのポリシーを構成します。ランタイム脅威検出のためにMicrosoft Defender for APIsを有効にします。

理由: APIセキュリティには、ポリシー適用ポイントとして機能するゲートウェイが必要です。予防制御（APIMポリシー）と検出制御（Defender for APIs）を組み合わせることで、API固有の攻撃に対する多層防御が提供されます。

CI/CDパイプラインにセキュリティを統合し、脆弱性を早期に発見する（「シフトレフト」）。

→GitHub Advanced Security（またはDefender for DevOps）を実装します。自動SAST（コードスキャン）、依存関係スキャン（SCA）、シークレットスキャンをCIパイプラインおよびプルリクエストプロセスに直接統合します。セキュリティゲートを使用して、重大な脆弱性のあるビルドをブロックします。

理由: 開発者ワークフロー内の自動スキャンは迅速なフィードバックを提供し、脆弱性を最も安価な段階で早期に修正できるようにし、本番前セキュリティレビューでのボトルネックを発生させません。

アプリケーションのシークレット、キー、証明書のための安全で管理しやすいソリューションを設計する。

→Azure Key Vaultを使用します。アプリケーションまたはセキュリティ境界ごとにVaultを分離します。AzureリソースのマネージドIDを使用してVaultにアクセスします（資格情報は保存しません）。ソフトデリートと消去保護を有効にします。Defender for Key Vaultで監視します。

理由: Key Vaultは、集中管理され、ハードウェアで保護され、監査可能なシークレットストアを提供します。マネージドIDを使用することは、Vault自体にアクセスするための資格情報を保護する方法である「シークレットゼロ」問題を解消する上で重要な要素です。

機密性の高いAzure SQLデータベースに対して階層型セキュリティを実装する。

→顧客管理キー（CMK）を使用した透過的データ暗号化（TDE）、特定の機密列に対するAlways Encrypted、非特権ユーザーに対する動的データマスキング、脅威検出のためのMicrosoft Defender for SQL、およびAzure ADのみの認証を組み合わせます。

理由: 単一の制御では十分ではありません。この階層型アプローチは、保存時のデータ（TDE）、使用中のデータ（Always Encrypted）、不正な閲覧（マスキング）、脅威（Defender）からデータを保護し、強力な認証（Azure AD）を保証します。

メール、Teams、SharePoint、およびエンドポイントデバイス全体でのデータ損失を防ぐ。

→Microsoft Purview DLPを展開します。M365サービスとエンドポイント全体に適用される統合ポリシーを作成します。DLPルールを機密ラベルと連携させます。Endpoint DLPを使用して、管理デバイスでのアクション（例：USBへのコピーをブロックする）を制御します。

理由: 統合されたポリシーエンジンは、すべてのデータチャネルで一貫した強制を保証します。Endpoint DLPは、クラウドを超えてユーザーデバイス自体への保護を拡張するために重要です。

Microsoft 365向けCopilotの安全な展開のために組織のデータ環境を準備する。

→展開に先立ち、情報ガバナンスに重点を置きます。SharePoint Advanced Managementなどのツールを使用して、過剰に共有されているサイトとファイルを見つけて修正します。堅牢なデータ分類と機密ラベル付け戦略が導入され、適用されていることを確認します。

理由: Copilotは既存のアクセス許可を尊重します。情報を迅速に表示するその能力は、既存の過剰共有の問題を重大なリスクにします。「データの整理」は、安全なAI展開の前提条件です。

ビジネスに不可欠なWebアプリケーションに対する包括的なセキュリティを設計する。

→予防モードでWeb Application Firewall (WAF) を備えたAzure Application Gatewayを使用します。SAST/DASTスキャンをCI/CDパイプラインに統合します。ランタイム監視のためにMicrosoft Defender for App Serviceを有効にします。App ServiceをPrivate Endpointに配置します。

理由: これにより、エッジ（WAF）、コード内（SAST/DAST）、プラットフォーム上（Defender）、ネットワーク上（Private Endpoint）の複数の層で保護が提供され、広範なWebアプリケーションの脅威に対処します。

保存された資格情報なしで、AKS内のマイクロサービスが相互に、またAzure PaaSサービスにアクセスするための認証を設計する。

→Azure AD Workload Identityを実装して、Kubernetes PodがAzure ADトークンを取得できるようにします。サービスメッシュ（例：Istio、Linkerd）を使用して、クラスター内のすべてのサービス間通信に相互TLS（mTLS）を強制します。

理由: このパターンは、アプリケーション環境から長期存続するシークレット（パスワード、キー）を完全に排除し、セキュリティ体制を大幅に向上させます。Workload IdentityはAzureへの南北認証を処理し、mTLSはクラスター内の東西認証を処理します。

暗号化キーの保存に関する厳格なコンプライアンス要件（例：FIPS 140-2 Level 3）を満たす。

→Azure Key VaultマネージドHSMを使用します。これは、Microsoftによって完全に管理されながら、顧客がセキュリティドメインを完全に制御できる、専用のシングルテナント、FIPS 140-2レベル3検証済みHSMを提供します。

理由: 最高レベルのコンプライアンスとキー制御のためには、共有のマルチテナントHSM（FIPS 140-2レベル2）を使用する標準/プレミアムKey Vault層ではなく、マネージドHSMが必要です。

侵害された依存関係や悪意のあるコードインジェクションなどの脅威からアプリケーション開発プロセスを保護する。

→プライベートパッケージレジストリ（例：Azure Artifacts）、依存関係スキャン（SCA）、ソフトウェア部品表（SBOM）生成、アーティファクト署名、およびプロベナンス検証を使用して安全なパイプラインを設計します。

理由: これは、サプライチェーンの複数の段階に対処します。入力の制御（プライベートレジストリ）、コンポーネントの検証（SCA、SBOM）、および出力の整合性の確保（署名、プロベナンス）です。