Azureにあります、Microsoft Defender for Cloud(以下MDfC)の規制コンプライアンスダッシュボードを利用し、ISO/IEC 27001(以下、ISO 27001) に準拠したシステム環境を構築する方法について記載しました。
MDfCの規制コンプライアンスとは
MDfCは、多くの規制やコンプライアンスフレームワーク( CIS、PCI-DSS、NIST、ISO 27001等)に対応しており、特定のセキュリティ基準をAzure上に適用することで、Azure環境を評価することが可能となります。
今回は規制コンプライアンス機能を利用し、ISO 27001 に準拠したシステム環境を構築する方法についてご紹介いたします。
必要なAzureアクセス権限
本設定を実施するにはAzure RBACの”所有者”権限もしくは”セキュリティ管理者”権限が必要になります。
設定方法
規制コンプライアンスダッシュボード機能の有効化
MDfCには各リソースにて有償版の機能が提供されており、有償版を利用することで規制コンプライアンスのダッシュボードが利用可能となります。
有償版を利用するには、MDfCの設定画面の左ペインにある 「環境設定」 から対象スコープのサブスクリプションを選択します。
「Microsoft Defender for」 のサーバ、App Service など各サービスの中で任意のものをオンにすることで規制コンプライアンスのダッシュボードの機能が利用可能となります。
※本ページではMicrosoft Defender for KeyVaultを有効化しています。
ISO 27001をダッシュボードへ追加
左ペインよりセキュリティポリシーを選択し、以下の「標準をさらに追加」からISO 27001:2013を追加します。
追加ボタンをクリック後、特に設定は不要で、既定のまま作成をクリックしてください。
適用後の確認
Azureポリシーにて左ペインの「割り当て」を確認すると、裏でAzureポリシーが適用されていることが確認できます。
MDfCの規制コンプライアンスダッシュボードにポリシーの適用状況が表示がされていて、準拠状態が確認できるようになります。※反映に3時間ほど要します
適用されたポリシーはISO 27001の各項目ごとにグルーピングされており、準拠しているものはグリーンで表示され、未準拠の物が赤く表示されます。
未準拠ポリシーの対応
規制コンプライアンスの画面にて未準拠ポリシーをクリックし、Remedation Stepsに沿って、対応を実施します。
本記事では、「サブスクリプションに対して、最大3人の所有者を指定する必要がある」ポリシーに対する修正を実際に行ってみます。
説明を見ると、サブスクリプションの所有者が多すぎることが原因のようです。
サブスクリプションには4人が所有者権限を付与されていました。これにより未準拠状況となっているようです。
所有者権限ユーザー数を3人以下とすることで、本ポリシーが準拠状態となりました。
※以下の画面にて所有者権限ユーザーを1人削除しました
未準拠ポリシーをすべてグリーンにすることで、ISO 27001 に準拠したシステム環境と評価することが可能となります。
終わりに
今回、お客様からの要望で本機能をお客様のAzure環境へ導入しました。わからないことばかりで大変でしたが、Microsoft Defender for Cloudについて詳しくなることが出来ました。
Azureを導入する際にはコンプライアンスについても考慮が必要になりますので、本内容が参考になれば幸いです。