Microsoft Learn「セキュリティとコンプライアンスの概念と方法について説明する」学習しました。

Microsoft365の認定資格「Microsoft Certified: Security, Compliance, and Identity Fundamentals」の学習コンテンツとして提供されている4つのラーニングパスのうちの1つめ、「SC-900 パート 1: セキュリティ、コンプライアンス、ID の概念について説明します」の学習をしています。

1つめのモジュール「セキュリティとコンプライアンスの概念と方法について説明する」を学習しました。

モジュール「セキュリティとコンプライアンスの概念と方法について説明する」

ユニット:ゼロ トラスト方法について説明する

ゼロトラストモデルは、”だれも信頼するな、すべて検証しろ” という原則に基づいて動作する/させるという考え方。セロトラストの原則

「明示的に検証する」、「最小限の特権アクセス」、「侵害を想定する」

基本的な6本の柱
ID、デバイス、アプリケーション、データ、インフラストラクチャ、ネットワーク

モジュール「セキュリティとコンプライアンスの概念と方法について説明する」より

最近よく聞くようになったゼロトラスト。その意味するところや考え方の原則、ゼロトラストモデルを実現する6つの要素がわかりました。6つの要素を考えると、セキュリティ担当は、ITの仕組み全般に精通している必要があるかと。一人でカバーできるとは限らないので弱点が生じないよう、専門家チームを構成することも考えなくてはならないかもしれない。エキスパートを何人もそろえるのは困難だし、一人情シスとか、他の機能部門と兼任とか、厳しい状況で運用しているところもあるかもしれないが、考え方(運用体制)をあらためないと行けないのかもしれない。

先月試用版で構築したMicrosoft365テナントもデフォルトで多要素認証の追加がされていたのも、ゼロトラストの考え方から要求されるようになってきているのでしょうね。

ユニット:共同責任モデルについて説明する

共同責任とは、クラウドサービスを提供するクラウドプロバイダーと、サービスを利用する顧客とで、それぞれがセキュリティタスクとコンプライアンスの実装責任を、分担をして負うという考え方。

これはユーザー企業では、詳細な情報を末端ユーザーまでしっかり共有されていない場合もあるのではないだろうか。自分たちのデータはどこまで守られているのか、クラウドプロバイダーには全部筒抜けなんじゃないか、ほんとうにクラウドは大丈夫なのか、など不安の声を聴くこともある。

オンプレミスなら顧客責任100%だが、IaaS、PaaS、SaaSとサービス範囲が異なれば責任区分も異なる。IaaS、PaaS、SaaSの一般的な定義だけじゃなく利用するサービスの個々の定義も確認しないとご認識する危険がある。基本的な6本の柱(要素)について、それぞれ具体的な分担を明確にしておくのが理想だが、全ユーザーに浸透させるのは難しいかもしれない。リテラシー向上は必須だと思う。

ユニット:多層防御について説明する

「多層防御」という言葉を初めて聞いたのは、Windows Server 2003の頃。Secure by Defaultとともに、Active Directoryのセキュリティテンプレートが提供されたのを覚えている。ごていねいに3つのセキュリティ強度(3種類のテンプレート)が用意され、サーバーの用途やユーザー企業の考え方(セキュリティ優先と利便性優先のバランス)により選択できるようにしていた。

ここでも7つの階層が入れ子のような模式図で示されているが、すべての階層が入れ子になっているとは限らないことに注意したい。

機密性、整合性、可用性 (CIA)
セキュリティのトレードオフについての考え方。
すべてのセキュリティ専門家にとって一般的なモデル。
すべてを100%完全に達成できるわけではないので、トレードオフを行う必要があるかもしれないし、その判断は顧客の責任。

ユニット:一般的な脅威について説明する

データ侵害、辞書攻撃、ランサムウェア、妨害型攻撃などいろいろな脅威について紹介している。たくさんある中から一部を紹介しているだなけので、さらに学習を深める必要アリ。

ユニット:暗号化とハッシュによってデータをセキュリティで保護する方法について説明する

データ暗号化は、いわゆるキーを使って暗号化/複合化するアレですね。対象暗号化と非対称暗号化、使用するキーは、共有キー、公開キーと秘密キーなど、仕組みを理解してデータがどのように守られるのか?ユーザーはキーの取り扱いにおいてどのように気を付けたらよいのか?末端ユーザーまでしっかり共有しておきたいですね。運用スタッフだけががんばっても守れませんよね。

ユニット:クラウド導入フレームワークについて説明する

オンプレミスからクラウドへの移行やその後の運用に関する手法「Microsoft Cloud Adoption Framework for Azure」の紹介。簡単に要点を抜粋メモ。いざ実運用で作業をするときはこれを参考にする。

クラウドで成功するために必要な戦略を企業が実装する場合に役立つよう設計されたドキュメント、実装ガイダンス、ベスト プラクティス、ツールで構成

Microsoft の従業員、顧客、パートナーからのクラウド導入のベスト プラクティスに基づいて慎重に設計

クラウド テクノロジを実装するための、実証済みで一貫した手法

クラウド導入ライフサイクルは
戦略、計画、準備、採用、ガバナンス、管理

モジュール「セキュリティとコンプライアンスの概念と方法について説明する」より

Microsoft Learn
ラーニングパス:
SC-900 パート 1: セキュリティ、コンプライアンス、ID の概念について説明します
モジュール:
セキュリティとコンプライアンスの概念と方法について説明する

コメント

タイトルとURLをコピーしました