SC-900を説明したい

Posted at 2024-01-23

1. はじめに

1-1 ご挨拶

初めまして、井村と申します。
Azureの案件に数年参画、資格はAZ-305、400等を取得、Azureの記事を定期的に投稿しています。
ですが、Azureに対する知識が定着していないなぁと感じる場面が多々あります。
本記事の目的は資格試験であるSC-900の試験項目を通して、知識の定着、読者の方が少しでもAzureをご理解してもらえることになります。

1-2 対象読者

Azureに興味がある

1-3 執筆方法

資格試験の出題範囲が記載されている「試験の学習ガイド」の「評価されるスキル」について回答していきます。

試験対策、様々な技術習得を目的としてMicrosoft Learnが存在します。Microsoft Learn から「評価されるスキル」に対する回答を抜粋しつつ、その他ドキュメントも参考にしながら執筆しました。

2. 対象の「試験の学習ガイド」および「評価されるスキル」

2-1 今回の資格試験

対象の資格はSC-900にしました。現在最新バージョンである「2023年11月2日時点の評価されるスキル」を対象とします。

SC-900の説明は以下の通りになります。

この試験は、クラウドベースおよび関連する Microsoft サービス全体のセキュリティ、コンプライアンス、
および ID (SCI) の基礎を理解しようとしている方を対象としています。

この試験は、Microsoft SCI ソリューションに関心がある、次のようなユーザーに適しています。

- ビジネス関係者

- 新規または既存の IT プロフェッショナル

- Student

Microsoft Azure と Microsoft 365 に精通しており、Microsoft の SCI ソリューションにより
これらのソリューション領域全体を通して、包括的かつエンドツーエンドのソリューションを
提供するしくみを理解することを希望している必要があります。

2-2 評価されるスキル

「2023年11月3日時点の評価されるスキル」の説明は以下の通りになります。
全部で61項目になります。

3. 説明

3-1 セキュリティ、コンプライアンス、ID の概念について説明する

3-1-1 セキュリティとコンプライアンスの概念について説明する

1. 共同責任モデルについて説明する
共有責任モデルは、クラウドプロバイダーで処理されるセキュリティタスクと、顧客が処理するセキュリティタスクが特定されます。

次の図は、データが保持される場所に応じて、顧客とクラウドプロバイダー間の責任範囲を示しています。

オンプレミスのデータセンター
オンプレミスのデータセンターでは、ユーザーが物理的なセキュリティから機密データの暗号化までのすべての責任を持ちます。
サービスとしてのインフラストラクチャ (IaaS)
クラウドのお客様は、コンピューターなどの物理的なコンポーネント、ネットワーク、またはデータセンターの物理的なセキュリティについては、責任を負いません。ただし、オペレーティングシステム、ネットワーク制御、アプリケーション、データの保護など、そのコンピューティングインフラストラクチャ上で実行されているソフトウェアコンポーネントについては、引き続きクラウドの顧客が責任を負います。
サービスとしてのプラットフォーム (PaaS)
PaaS では、クラウドプロバイダーがハードウェアとオペレーティングシステムを管理し、顧客はアプリケーションとデータの責任を持ちます。
サービスとしてのソフトウェア (SaaS)
クラウドの顧客による管理の量が最小限に抑えられます。クラウドプロバイダーは、データ、デバイス、アカウント、ID を除くすべてを管理する責任を負います。

2. 多層防御について説明する
多層防御では、単一の境界に依存するのではなく、セキュリティへの複数層アプローチが使用されます。多層防御戦略では、攻撃の進行を遅らせるために、一連のメカニズムが使用されます。

物理的セキュリティ
データセンターへのアクセスが許可された担当者のみに制限するなど。
ID とアクセスセキュリティ
インフラストラクチャと変更制御へのアクセスを制御するために、多要素認証や条件ベースのアクセスなどを制御します。
企業ネットワークの境界セキュリティ
ユーザーに対するサービス拒否が発生する前に大規模な攻撃をフィルター処理する分散型サービス拒否 (DDoS) 保護が含まれます。
リソース間の通信を制限するためのネットワークセキュリティ
セグメント化とネットワークアクセス制御などのネットワーク保護が含まれます。
コンピューティング層セキュリティ
特定のポートを閉じることで、オンプレミスまたはクラウド内の仮想マシンへのアクセスを保護するなど。
アプリケーションセキュリティ
セキュリティの脆弱性がないようにするアプリケーション層のセキュリティ。
ビジネスデータと顧客データへのアクセスセキュリティ
データを保護するための暗号化を管理する制御を含むデータ層のセキュリティ。

機密性(Confidentiality)、整合性(Integrity)、可用性(Availability) (CIA)
多層防御戦略では、攻撃の進行を遅らせるために、一連のメカニズムが使用されます。すべての異なるメカニズム (テクノロジ、プロセス、トレーニング) はサイバーセキュリティ戦略の要素であり、その目標には機密性、整合性、可用性 (CIA と呼ばれることがよくあります) の確保が含まれます。

機密性
顧客情報、パスワード、財務データなどの機密データを保持する必要があることです。データを暗号化して機密性を保つことができますが、暗号化キーの機密性を保つ必要もあります。
整合性
データやメッセージが正しいことです。電子メールメッセージを送信するときに、受信したメッセージが送信されたメッセージと同じであることを確認する必要があります。データをデータベースに格納するときに、取得したデータが格納したデータと同じであることを確認する必要があります。整合性とは、データが改ざんまたは改変されていない確信があることです。
可用性
必要とするユーザーが必要とするときにデータを使用できるようにすることです。組織にとって顧客データの安全性を保つことが重要ですが、同時に、顧客との取引を行う従業員がデータを使用できる必要もあります。暗号化された形式でデータを格納する方が安全である場合もありますが、従業員にはデータの暗号化を解除するアクセス権が必要です。

3. ゼロトラストモデルについて説明する
ゼロトラストでは、信頼されていないオープンなネットワーク上にすべてがあることを前提としています。
ゼロトラストモデルには、セキュリティの実装方法をガイドして支える 3 つの原則があります。

明示的に検証する
常に、使用可能なデータポイント (ユーザー ID、場所、デバイス、サービスまたはワークロード、データ分類、異常など) に基づいて認証と許可を行います。
最小限の特権アクセス
データと生産性の両方を保護するために、JIT/JEA (Just-in-Time and Just-Enough-Access)、リスクベースのアダプティブポリシー、データ保護を使用してユーザーアクセスを制限します。
侵害を想定する
ネットワーク、ユーザー、デバイス、およびアプリケーション別にアクセスをセグメント化します。暗号化を使用してデータを保護し、分析を使用して可視性を取得し、脅威を検出し、セキュリティを強化します。
6 つの基本的な柱
ゼロトラストモデルでは、すべての要素が連携してエンドツーエンドのセキュリティが実現されます。これらの 6 つの要素は、ゼロトラストモデルの基礎となる要素です。
ID
ユーザー、サービス、またはデバイスの場合があります。リソースへのアクセスが試みられたら、強力な認証を使用して ID を検証する必要があり、最小限の特権アクセスの原則に従う必要があります。
デバイス
デバイスからオンプレミスのワークロードとクラウドへのデータフローとして、大規模な攻撃面が作成されます。デバイスの正常性とコンプライアンスを監視することは、セキュリティの重要な側面です。
アプリケーション
データが消費される方法です。すべてのアプリケーションが一元的に管理されているとは限らないため、使用されているすべてのアプリケーションが検出されます。この柱には、アクセス許可とアクセスの管理も含まれます。
データ
その属性に基づいて分類、ラベル付け、および暗号化が行われる必要があります。セキュリティ対策とは、データを保護し、組織で制御されるデバイス、アプリケーション、インフラストラクチャ、ネットワークを離れても安全な状態を保持することです。
インフラストラクチャ
オンプレミスであるのか、クラウドベースであるのかに関係なく、脅威ベクトルを表します。セキュリティを強化するには、バージョン、構成、および JIT アクセスを評価し、テレメトリを使用して攻撃や異常を検出します。これにより、自動的に危険な動作をブロックしたり、危険な動作にフラグを設定したり、保護アクションを実行したりできます。
ネットワーク
セグメント化する必要があります。また、リアルタイムの脅威保護、エンドツーエンドの暗号化、監視、および分析を採用する必要もあります。

基本的な 6 本の柱に関するゼロトラストモデルの 3 つの原則を採用したセキュリティ戦略は、企業が組織全体にセキュリティを提供して適用するのに役立ちます。

4. 暗号化とハッシュについて説明する

暗号化
機密データや貴重なデータ等を承認されていない閲覧者がデータの読み取りと使用を実行できなくするプロセスを指します。暗号化には、対称暗号化と非対称暗号化があり、対称暗号化では、データの暗号化と復号化で同じキーが使用されます。非対称暗号化では公開鍵と秘密鍵のペアが使用されます。たとえば、公開鍵を使用して暗号化すると、対応する秘密鍵のみを使用して暗号化を解除できます。
非対称暗号化は、HTTPS プロトコルと電子データ署名ソリューションを使ったインターネット上のサイトへのアクセスといったことに使われます。
ハッシュ
ハッシュでは、テキストをハッシュと呼ばれる "一意の" 固定長の値に変換するアルゴリズムが使用されます。同じアルゴリズムを使用して同じテキストがハッシュ化されるたびに、同じハッシュ値が生成されます。その後、そのハッシュは関連付けられたデータの一意の識別子として使用できます。
ハッシュは、パスワードを格納するためによく使われます。ユーザーがパスワードを入力すると、格納されたハッシュを作成したときと同じアルゴリズムで、入力されたパスワードのハッシュが作成されます。この値と、格納されているパスワードのハッシュ化バージョンが比較されます。一致した場合は、ユーザーがパスワードを正しく入力したことになります。

5. ガバナンス、リスク、コンプライアンス (GRC) の概念について説明する

ガバナンス
ガバナンスとは、組織でアクティビティの指示と制御に使用されるルール、プラクティス、およびプロセスのシステムです。例として、組織は、アクセス権を持つユーザーとアプリケーション、アクセスできる会社のリソース、場所、タイミング、および管理者特権を持つユーザーとその期間を定義するルールとプロセスを確立します。
リスク
リスク管理とは、会社や顧客の目標に影響を与える可能性がある脅威やイベントを特定し、評価し、対応するプロセスです。組織は、外部と内部の両方のソースからのリスクに直面しています。例として外部のリスクは、政治的および経済的な影響、気象関連のイベント、パンデミック、セキュリティ違反などが原因で生じる可能性があります。内部のリスクとは、組織自体から発生するリスクです。たとえば、機密データの漏洩、知的財産の盗難、詐欺、インサイダー取引などがあります。
コンプライアンス
コンプライアンスとは、組織が従う必要がある国/地域、州、連邦の法令や複数の国の規制を指します。これらの規制では、保護する必要があるデータの種類、法律で必要なプロセス、遵守しない組織に対して課される罰則が定義されます。

コンプライアンスはセキュリティと同じではないです。ただし、有効なセキュリティはコンプライアンス要件であることが多いため、コンプライアンス計画を作成するときはセキュリティを考慮する必要があります。コンプライアンスで必要なのは、法的に義務付けられている最低限の標準を満たすことのみです。一方、データセキュリティは、機密データの処理方法を定義し、侵害から保護する方法を定義するすべてのプロセス、手順、テクノロジを対象としています。

3-1-2 ID の概念を定義する

6. 主要なセキュリティ境界として ID を定義する
ID とは、ユーザー、アプリケーション、デバイスなどを定義または特徴付ける一連のオブジェクトです。たとえば、ユーザーの ID には、ユーザー名とパスワード、および承認のレベルなど、自身の認証に使用する情報が含まれます。

7. 認証の定義
認証とは、ある人物が本人であることを証明するプロセスのことです。

8. 認可を定義する
ユーザーを認証する際には、ユーザーがどこにアクセスできるか、また何を閲覧したりタッチしたりできるかを決定する必要があります。このプロセスは認可と呼ばれます。

9. ID プロバイダーについて説明する
ID プロバイダーは、ID 情報の作成、保守、管理を行う同時に、認証、承認、監査の各サービスを提供します。

先進認証によりクライアントは、認証可能な ID を渡して ID プロバイダーと通信します。 ID が確認されると、ID プロバイダーは "セキュリティトークン" を発行し、これが、クライアントからサーバーに送信されます。

サーバーは、ID プロバイダーとの信頼関係を通じてセキュリティトークンを検証します。ユーザーまたはアプリケーションは、セキュリティトークンとそれに含まれている情報を使用して、サーバー上の必要なリソースにアクセスします。トークンとそれに含まれる情報は、ID プロバイダーによって格納され、管理されます。

10. ディレクトリサービスと Active Directory の概念について説明する

ディレクトリサービス
ディレクトリは、ネットワーク上のオブジェクトに関する情報を格納する階層構造です。ディレクトリサービスは、ディレクトリデータを格納し、ネットワークユーザー、管理者、サービス、およびアプリケーションで使用できるようにします。
Active Directory
オンプレミスのドメインベースのネットワーク用に開発した一連のディレクトリサービスです。この種類で最もよく知られているサービスは Active Directory Domain Services (AD DS) です。ドメインのメンバー (デバイスやユーザーなど) に関する情報が格納され、資格情報が確認され、アクセス権が定義されます。 AD DS を実行するサーバーはドメインコントローラー (DC) です。
AD DS は、先進認証方式を必要とするモバイルデバイス、SaaS アプリケーション、基幹業務アプリをいずれもネイティブではサポートしていません。

11. フェデレーションの概念について説明する
フェデレーションにより、各ドメインの ID プロバイダー間で信頼関係を確立することによって、組織またはドメイン境界を越えてサービスにアクセスすることができます。フェデレーションでは、ユーザーが他のドメインのリソースにアクセスするときに、別のユーザー名とパスワードを保持する必要はありません。

3-2 Microsoft Entra の機能について説明する

3-2-1 Microsoft Entra ID の機能と ID の種類について説明する

12. Microsoft Entra ID について説明する
Microsoft Entra ID は Microsoft のクラウドベースの ID であり、アクセス管理サービスです。組織は Microsoft Entra ID を使用して、従業員やゲストなどのユーザーが、次に示すような必要なリソースにサインインしてアクセスできるようにします。

企業ネットワークとイントラネット上のアプリや、自分の組織で開発したクラウドアプリなどの内部リソース。
Microsoft Office 365、Azure portal、組織で使用される SaaS アプリケーションなどの外部サービス。

Microsoft Entra IDに関する基本的な用語は以下の通りです。

テナント
Microsoft Entra テナントは Microsoft Entra ID のインスタンスであり、この中にはユーザー、グループ、デバイス、アプリケーションの登録などの組織オブジェクトを含む、1 つの組織に関する情報が含まれます。テナントには、ディレクトリに登録されているアプリケーションなどのリソースのアクセスポリシーとコンプライアンスポリシーも含まれています。
ディレクトリ
Microsoft Entra ディレクトリと Microsoft Entra テナントという用語は、よく同じ意味で使用されます。ディレクトリは、ユーザー、グループ、アプリケーション、デバイス、その他のディレクトリオブジェクトなど、ID およびアクセス管理に関連するさまざまなリソースとオブジェクトを保持して整理する、Microsoft Entra テナント内の論理コンテナーです。
マルチテナント
マルチテナント組織は、Microsoft Entra ID の複数のインスタンスを持つ組織です。

13. ID の種類を説明する
Microsoft Entra ID 上の ID は以下の3通りです。

ユーザーID
ユーザー (人間) に割り当てることができます。ユーザーに割り当てられる ID の例としては、通常は内部ユーザーとして構成される組織の従業員と、顧客、コンサルタント、ベンダー、パートナーを含む外部ユーザーがあります。
- Internal member（内部メンバー）
  これらのユーザーは、通常、組織の従業員と見なされます。ユーザーは、その組織の Microsoft Entra ID を介して内部的に認証を行い、リリース Microsoft Entra ディレクトリ内に作成されるユーザーオブジェクトの UserType は Member になります。
- External guest（外部ゲスト）
  コンサルタント、ベンダー、パートナーなどの外部ユーザーまたはゲストは、通常、このカテゴリに分類されます。ユーザーは、外部の Microsoft Entra アカウントまたは外部 ID プロバイダー (ソーシャル ID など) を使用して認証を行います。リソース Microsoft Entra ディレクトリ内に作成されるユーザーオブジェクトの UserType は Guest になり、付与されるアクセス許可は、ゲストレベルに制限されます。
- External member（外部メンバー）
  これは、複数のテナントで構成される組織で一般的なシナリオです。 UserType は Member であり、相手先の組織リソースに対してメンバーレベルのアクセスが許可されます。
- Internal guest（外部ゲスト）
  現在では B2B Collaboration を使用することがより一般的になっているため、これはレガシシナリオと考えられます。
ワークロード ID
アプリケーション、仮想マシン、サービス、コンテナーなどのソフトウェアベースのオブジェクトに割り当てることができます。
- アプリケーションとサービスプリンシパル
  サービスプリンシパルは基本的にアプリケーションの ID です。アプリケーションをMicrosoft Entra ID に登録すると、アプリケーションを使用する各 Microsoft Entra テナントにサービスプリンシパルが作成されます。
- マネージド ID
  マネージド ID は、Microsoft Entra ID で自動的に管理されるサービスプリンシパルの一種であり、開発者が資格情報を管理する必要がなくなります。マネージド ID は、Microsoft Entra 認証をサポートする Azure リソースに接続します。
デバイスID
携帯電話、デスクトップコンピューター、IoT デバイスなどの物理デバイスに割り当てることができます。
- Microsoft Entra 登録済みデバイス
  Microsoft Entra 登録済みデバイスの目標は、Bring Your Own Device (BYOD) またはモバイルデバイスのシナリオのサポートをユーザーに提供することです。
- Microsoft Entra 参加済みデバイス
  Microsoft Entra 参加済みデバイスは、デバイスへのサインインに使用される組織アカウントを介して Microsoft Entra ID に参加したデバイスです。 Microsoft Entra 参加済みデバイスは、通常、組織が所有します。
- Microsoft Entra ハイブリッド参加済みデバイス
  既存のオンプレミスの Active Directory 実装がある組織は、Microsoft Entra ハイブリッド参加済みデバイスを実装すると、Microsoft Entra ID によって提供される機能を活用できます。

14. ハイブリッド ID について説明する
Microsoft の ID ソリューションは、オンプレミスおよびクラウドベースの機能を範囲とします。これらのソリューションは、場所に関係なく、すべてのリソースに対する認証と承認のための共通の ID を作成します。これをハイブリッド ID と呼んでいます。

3-2-2 Microsoft Entra ID の認証機能について説明する

15. 認証方法について説明する
ID プラットフォームの主な機能の 1 つとして、ユーザーがデバイス、アプリケーション、またはサービスにサインインする際の資格情報の確認、つまり "認証" があります。 Microsoft Entra ID には、さまざまな認証方法が用意されています。

パスワード
パスワードは最も一般的な認証形式ですが、問題が多く、1 つの認証形式のみが使用される単一要素認証で使用される場合は特に問題です。
電話番号
Microsoft Entra ID では、電話ベースの認証に 2 つのオプションがサポートされています。
- SMS ベースの認証
  モバイルデバイスのテキストメッセージングで使用されるショートメッセージサービス (SMS) は、第 1 の認証形式として使用できます。
- 音声通話の検証
  ユーザーは、セルフサービスパスワードリセット (SSPR) または Microsoft Entra 多要素認証の際に、音声通話を第 2 の認証形式として使用して本人確認を行うことができます。
OATH
OATH (Open Authentication) は、時間ベースのワンタイムパスワード (TOTP) コードが生成される方法を指定するオープン標準です。ワンタイムパスワードコードを使用して、ユーザーを認証できます。
- ソフトウェア OATH トークン
  通常はアプリケーションです。 Microsoft Entra ID は、各 OTP を生成するためにアプリに入力して使用される秘密鍵 (シード) を生成します。
- OATH TOTP ハードウェアトークン
  キーフォブに似た小型のハードウェアデバイスで、コードが 30 秒または 60 秒ごとに更新されて表示されます。 OATH TOTP ハードウェアトークンには、通常、トークンで事前にプログラミングされた秘密鍵 (シード) が付属しています。
パスワードレスの認証
- Windows Hello for Business
  デバイス上で、パスワードに代わる強力な 2 要素認証機能を実現します。この 2 要素認証は、デバイスに関連付けられたキーまたは証明書と、そのユーザーが知っているもの (PIN) またはそのユーザー自体 (生体認証) を組み合わせています。
- FIDO2
  Fast Identity Online (FIDO) は、パスワードレス認証のオープン標準です。
  FIDO2 は、Web 認証 (WebAuthn) 標準を取り入れた最新の標準であり、Microsoft Entra ID でサポートされています。 FIDO2 セキュリティキーは、フィッシング不可能な標準ベースのパスワードレスの認証方法であり、どのような形式でも使用できます。これらの FIDO2 セキュリティキーは通常は USB デバイスですが、近距離ワイヤレスデータ転送に使用される Bluetooth または近距離通信 (NFC) ベースのデバイスである場合もあります。
- Microsoft Authenticator アプリ
  パスワードレス認証方法として、Microsoft Authenticator アプリは、任意の Microsoft Entra アカウントにサインインするための第 1 の認証形式として、またはセルフサービスパスワードリセット (SSPR) または Microsoft Entra 多要素認証の際の追加の検証オプションとして使用できます。
- 証明書ベースの認証
  Microsoft Entra ID 証明書ベースの認証 (CBA) を使用すると、アプリケーションやブラウザーのサインイン時に、ユーザーに Microsoft Entra ID に対して X.509 証明書による認証を直接、許可または要求することができます。 CBA は、パスワードレス認証の主要な形式としてのみサポートされます。

16. 多要素認証 (MFA) について説明する
多要素認証は、サインインプロセスでユーザーに別の形式の ID (携帯電話に示されるコードや指紋スキャンなど) を求めるプロセスです。

Microsoft Entra の多要素認証が機能するには、次が必要です。

ユーザーが知っているもの
通常はパスワードまたは PIN
ユーザーが持っているもの
携帯電話やハードウェアキーのように簡単に複製されない信頼されたデバイス
ユーザー自身
指紋スキャンや顔面認識などの生体認証

17. パスワード保護機能と管理機能について説明する
パスワード保護は、ユーザーが脆弱なパスワードを設定するリスクを軽減する Microsoft Entra ID の機能です。

グローバル禁止パスワードリスト
既知の脆弱なパスワードが含まれるグローバル禁止パスワードリストは、Microsoft によって自動的に更新および強制されます。ブロックされる可能性のあるパスワードの例として、P@$$w0r や Passw0rd1、およびすべてのバリエーションがあります。
カスタム禁止パスワードリスト
管理者は、特定のビジネスセキュリティのニーズをサポートするカスタム禁止パスワードリストを作成することもできます。カスタム禁止パスワードリストでは、組織名や場所などのパスワードが禁止されています。
- ブランド名
- 製品名
- 場所 (本社など)
- 会社固有の内部用語
- 会社固有の意味を持つ略語
パスワードスプレーに対する保護
Microsoft Entra のパスワード保護は、パスワードスプレー攻撃で使用される可能性が高いすべての既知の脆弱なパスワードを効率的にブロックします。
ハイブリッドセキュリティ
ハイブリッドセキュリティのために、管理者は Microsoft Entra のパスワード保護をオンプレミスの Active Directory 環境内に統合できます。オンプレミス環境にインストールされているコンポーネントは、Microsoft Entra ID からグローバル禁止パスワードリストとカスタムパスワード保護ポリシーを受信します。

3-2-3 Microsoft Entra ID のアクセス管理機能について説明する

18. 条件付きアクセスについて説明する
条件付きアクセスは、認証されたユーザーにデータやその他の資産へのアクセスを許可する前に、追加のセキュリティレイヤーを提供する Microsoft Entra ID の機能です。条件付きアクセスポリシーでは、リソース (アプリとデータ) へのアクセスを許可するかどうかの決定を自動化するために、ユーザー、場所、デバイス、アプリケーション、リスクなどのシグナルが分析されます。

Microsoft Entra ID の条件付きアクセスポリシーは、割り当てとアクセスの制御の 2 つのコンポーネントで構成されます。

割り当て(Assignments)
ポリシーの割り当て部分では、条件付きアクセスポリシーの誰が、何を、どこで、いつを制御します。すべての割り当ては、論理的に AND 処理されます。
- ユーザーとグループ
  ポリシーに対して含めるまたは除外するユーザーを割り当てます。
- クラウドアプリまたはアクション
  ポリシーの対象となるクラウドアプリケーション、ユーザーアクション、または認証コンテキストを含めるか、または除外することができます。
- 条件
  ポリシーが適用される場所とタイミングを定義します。
  - サインインリスクとユーザーリスク
    Microsoft Entra ID Protection と統合することにより、ディレクトリ内のユーザーアカウントに関連する疑わしいアクションを特定し、ポリシーをトリガーできます。サインインリスクは、特定のサインイン、つまり認証要求が ID 所有者によって承認されていない可能性です。ユーザーリスクは、特定の ID またはアカウントが侵害されている可能性です。
  - デバイスプラットフォーム
    デバイスで実行されるオペレーティングシステムによって特徴付けられるデバイスプラットフォームは、条件付きアクセスポリシーを適用するときに使用できます。
  - IP ロケーション情報
    組織は、ポリシーを決定するときに使用できる信頼できる IP アドレスの範囲を定義できます。また、管理者は、国または地域の IP 範囲全体からのトラフィックをブロックするのか、許可するのかを選択することもできます。
  - クライアントアプリ
    クライアントアプリ (ブラウザー、モバイルアプリ、デスクトップクライアントなど、ユーザーがクラウドアプリにアクセスするために使用するソフトウェア) も、アクセスポリシーの決定に使用できます。
  - デバイスのフィルター
    組織は、デバイスのフィルターオプションを使用すると、デバイスのプロパティに基づいてポリシーを適用できます。
アクセス制御(Access controls)
条件付きアクセスポリシーが適用されると、アクセスをブロックする、アクセスを許可する、検証を追加してアクセスを許可する、セッション制御を適用して制限されたエクスペリエンスを有効にするのいずれにするかが、情報に基づいて決定されます。
アクセスのブロック
アクセスの許可
管理者は、制御を追加せずにアクセスを付与することも、アクセスを付与するときに 1 つ以上の制御を適用することを選択することもできます。アクセスの付与に使用される制御の例としては、多要素認証の実行をユーザーに要求する、リソースにアクセスするための特定の認証方法を要求する、特定のコンプライアンスポリシー要件を満たすようにデバイスに要求する、パスワードの変更を要求するなどがあります。
セッション
管理者は、条件付きアクセスポリシー内でセッションコントロールを利用すると、特定のクラウドアプリケーション内でのエクスペリエンスを制限できるようになります。例として、アプリの条件付きアクセス制御は、Microsoft Defender for Cloud Apps からのシグナルを使って、機密性の高いドキュメントのダウンロード、切り取り、コピー、印刷の機能がブロックされたり、機密性の高いファイルのラベル付けが要求されたりします。

19. Microsoft Entra ロールとロールベースのアクセス制御 (RBAC) について説明する

Microsoft Entra ロールは、Microsoft Entra リソースを管理するためのアクセス許可を制御します。たとえば、ユーザーアカウントの作成を許可したり、課金情報を表示したりできます。 Microsoft Entra ID は組み込みとカスタムのロールをサポートしています。

Microsoft Entra RBAC
Microsoft Entra ロールは、ユーザー、グループ、アプリケーションなどの Microsoft Entra リソースへのアクセスを制御します。
Azure RBAC
Azure ロールでは、Azure Resource Management を使用して、仮想マシンやストレージなどの Azure リソースへのアクセスを制御します。

3-2-4 Microsoft Entra の ID の保護およびガバナンスの機能について説明する

20. Microsoft Entra ID Governance について説明する
Microsoft Entra ID Governance を使うと、セキュリティや従業員の生産性に対する組織のニーズと、適切なプロセスや可視性とのバランスを取ることができます。適切なリソースに対する適切なアクセス権を適切なユーザーに付与できるようになります。

ID ライフサイクル
従業員のための ID ライフサイクル管理を計画するときなどに、多くの組織は、"入社、異動、退社" のプロセスをモデル化します。
個人が組織に最初に加入したときは、新しいデジタル ID が作成されます (まだ用意されていない場合)。組織の境界を越えて個人が移動するときは、そのデジタル ID に対して、より多くのアクセス承認の追加または削除が必要になる場合があります。個人が離脱するときは、アクセス許可の削除が必要になり、監査の目的以外では ID が不要になる場合があります。
アクセスのライフサイクル
アクセスのライフサイクルは、ユーザーが組織に属する期間全体を通じてアクセスを管理するプロセスです。
組織は、動的グループなどのテクノロジを使用して、アクセスのライフサイクルプロセスを自動化することができます。動的グループを使用すると、管理者が属性ベースの規則を作成して、グループのメンバーシップを決定することができます。
特権アクセスのライフサイクル
特権アクセスの監視は、ID ガバナンスの重要な部分です。従業員、ベンダー、および請負業者に管理者権限が割り当てられている場合は、不正使用の可能性があるため、ガバナンスプロセスが必要になります。
Microsoft Entra Privileged Identity Management (PIM) により、アクセス権のセキュリティ保護に合わせた管理を追加できます。 PIM は、Microsoft Entra ID、Azure、その他の Microsoft オンラインサービスにわたって、リソースにアクセスできるユーザーの数を最小限に抑えるために役立ちます。

21. アクセスレビューについて説明する
Microsoft Entra アクセスレビューを組織で使うと、グループメンバーシップ、エンタープライズアプリケーションへのアクセス、ロールの割り当てを効率的に管理できます。通常のアクセスレビューにより、適切なユーザーだけがリソースにアクセスできるようになります。

22. Microsoft Entra Privileged Identity Management (PIM) の機能について説明する
Privileged Identity Management (PIM) は、組織内の重要なリソースへのアクセスの管理、制御、監視を可能とする Microsoft Entra ID のサービスです。これには、Microsoft Entra、Azure、その他の Microsoft オンラインサービス (Microsoft 365 や Microsoft Intune など) のリソースが含まれます

PIM の特長は、次のとおりです。

正確なタイミング
必要な時期になるまでは特権アクセスが提供されません。
期限付き
ユーザーがリソースにアクセスできる日時を示す、開始日と終了日が割り当てられます。
承認ベース
権限のアクティブ化に特定の承認が必要です。
可視化
特権ロールがアクティブ化されると、通知が送信されます。
監査可能
完全なアクセス履歴がダウンロード可能です。

23. Entra ID Protection について説明する
Identity Protection は、組織が次の 3 つの主要なタスクを実行できるツールです。

ID ベースのリスクの検出と修復を自動化します。
ポータルのデータを使用してリスクを調査します。
詳細な分析のために、サードパーティ製ユーティリティにリスク検出データをエクスポートします。

24. Microsoft Entra Permissions Management について説明する
Microsoft Entra Permissions Management は、Microsoft Azure、アマゾンウェブサービス (AWS)、Google Cloud Platform (GCP) 内のすべての ID およびリソースのアクセス許可を包括的に可視化および制御できるクラウドインフラストラクチャエンタイトルメント管理 (CIEM) 製品です。

Permissions Management は、組織がインフラストラクチャ全体の検出、最小特権アクセスに合わせて自動的に適切なサイズを設定する修復、未使用および過剰なアクセス許可の有無に関するインフラストラクチャ全体の継続的な監視を行うことで、最小アクセス特権の要件に対処するのに役立ちます。

3-3 Microsoft セキュリティソリューションの機能について説明する

3-3-1 Azure のコアインフラストラクチャセキュリティサービスについて説明する

25. Azure 分散型サービス拒否 (DDoS) 保護について説明する
Azure DDoS Protection サービスは、ネットワークトラフィックを分析し、DDoS 攻撃と思われるものを破棄して、アプリケーションとサーバーを保護できるように設計されています。
Azure DDoS Protection サービスは、レイヤー 3 (ネットワーク層) とレイヤー 4 (トランスポート層) で保護します。主な利点は以下の通りです。

常時接続のトラフィック監視
DDoS 攻撃の兆候を検出するために、アプリケーションのトラフィックパターンが 24 時間 365 日監視されます。 Azure DDoS Protection は、攻撃が検出されると、攻撃を即座に自動的に軽減します。
アダプティブリアルタイムチューニング
インテリジェントトラフィックプロファイリングで一定期間にわたってアプリケーションのトラフィックを学習し、そのサービスに最も適したプロファイルを選択して更新します。
DDoS Protection テレメトリ、監視、アラート
Azure DDoS Protection は、Azure Monitor を介して豊富なテレメトリを公開します。お客様は、DDoS Protection で使用される任意の Azure Monitor メトリックについて、アラートを構成することができます。また、ログを Azure Event Hubs、Azure Monitor ログ、Azure Storage と統合し、Azure Monitor 診断インターフェースを介して高度な分析を行うこともできます。

26. Azure Firewall について説明する
Azure Firewall は、Azure で実行されているクラウドワークロードとリソースに脅威に対する保護を提供する、クラウドベースのマネージドネットワークセキュリティサービスです。

Azure Firewall の主要機能
Azure Firewall は、Standard、Premium、および Basic の 3 つの SKU で提供されています。以下の一覧では、すべての Azure Firewall SKU に含まれる主要な機能の一部を示します。
- 組み込みの高可用性および可用性ゾーン
  高可用性が組み込まれているので、構成するものはありません。
- ネットワークおよびアプリケーションレベルのフィルター処理
  IP アドレス、ポート、プロトコルを使用して、送信 HTTP(S) トラフィックおよびネットワークフィルター処理制御に対する完全修飾ドメイン名のフィルター処理をサポートします。
- インターネットリソースと通信するための送信 SNAT および受信 DNAT
  ネットワークリソースのプライベート IP アドレスを Azure パブリック IP アドレス (送信元ネットワークアドレス変換または SNAT) に変換して、仮想ネットワークからインターネットの送信先に送信されるトラフィックを識別し、許可します。同様に、ファイアウォールのパブリック IP アドレスへの受信インターネットトラフィックは、変換されて (送信先ネットワークアドレス変換または DNAT) 仮想ネットワーク上のリソースのプライベート IP アドレスにフィルター処理されます。
- 複数のパブリック IP アドレス
  これらのアドレスは Azure Firewall に関連付けることができます。
- 脅威インテリジェンス
  ファイアウォール用に脅威インテリジェンスベースのフィルター処理を有効にして、既知の悪意のある IP アドレスやドメインとの間のトラフィックの警告と拒否を行うことができます。
- Azure Monitor との統合
  Azure Monitor と統合して、Azure Firewall ログからテレメトリを収集、分析、および操作できるようにします。

27. Web Application Firewall (WAF) について説明する
Web アプリケーションファイアウォール (WAF) では、一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。
WAF で防御できる脅威の種類の中には、アプリケーション層で発生する分散型サービス拒否 (DDoS) 攻撃があります。 Azure DDoS Protection サービスは、ネットワーク層とトランスポート層で発生する DDoS 攻撃からお客様を保護するのに対し、Azure WAF は、HTTP フラッドなどのアプリケーション層の DDoS 攻撃から Web アプリケーションを保護します。

28. Azure 仮想ネットワークを使用したネットワークのセグメント化について説明する
Azure 仮想ネットワークを使用すると、組織はネットワークをセグメント化できます。組織は、サブスクリプションごとおよびリージョンごとに複数の仮想ネットワークを作成でき、各仮想ネットワーク内に複数の小さなネットワーク (サブネット) を作成できます。

VNet は、既定で、VNet 間または仮想ネットワークへの受信トラフィックを許可しないリソースのネットワークレベルのコンテインメントを提供します。通信は、明示的にプロビジョニングする必要があります。

29. ネットワークセキュリティグループ (NSG) について説明する
ネットワークセキュリティグループ (NSG) を使用すると、たとえば仮想マシンなど、Azure 仮想ネットワーク内に存在する Azure リソースとの間のネットワークトラフィックをフィルタ処理できます。 NSG は、トラフィックのフィルター処理方法を定義する規則から構成されています。

Azure Firewall サービスは、ネットワークセキュリティグループの機能を補完します。全体で、優れた "多層防御" ネットワークセキュリティを実現します。ネットワークセキュリティグループは、分散ネットワーク層トラフィックフィルターを提供して、各サブスクリプションの仮想ネットワーク内にあるリソースへのトラフィックを制限します。

30. Azure Bastion について説明する
Azure Bastion は、ブラウザーと Azure portal を使用して仮想マシンに接続できるようにするサービスで、ユーザーがデプロイします。 Azure Bastion サービスは、お使いの仮想ネットワーク内でプロビジョニングする、フルプラットフォームマネージド PaaS サービスです。 Azure Bastion では、トランスポート層セキュリティ (TLS) を使用して、Azure portal から仮想マシンへのセキュリティで保護されたシームレスな RDP および SSH の直接接続が提供されます。

31. Azure Key Vault について説明する
Azure Key Vault は、シークレットを安全に保管し、それにアクセスするためのクラウドサービスです。シークレットは、API キー、パスワード、証明書、暗号化キーなど、アクセスを厳密に制御する必要がある任意のものです。

Azure Key Vault は、次の問題の解決に役立ちます。

シークレットの管理
Key Vault を使用すると、トークン、パスワード、証明書、アプリケーションプログラミングインターフェイス (API) キー、その他のシークレットを安全に格納し、それらへのアクセスを厳密に制御できます。
キー管理
Key Vault をキー管理ソリューションとして使用できます。 Key Vault により、データの暗号化に使用される暗号化キーの作成と制御が簡単になります。
証明書管理
Key Vault を使用すると、Azure および内部の接続されているリソースでの使用でパブリックおよびプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書をプロビジョニング、管理、デプロイすることができます。

3-3-2 Azure のセキュリティ管理機能について説明する

32. Microsoft Defender for Cloud について説明する
Microsoft Defender for Cloud は、クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) であり、さまざまなサイバー脅威や脆弱性からクラウドベースのアプリケーションを保護するように設計された一連のセキュリティ対策とプラクティスを備えています。

DevSecOps
Defender for Cloud は、ソフトウェア開発プロセス (DevSecOps) の早い段階で適切なセキュリティプラクティスを組み込むのに役立ちます。コード管理環境とコードパイプラインを保護し、開発環境のセキュリティ体制に関する分析情報を 1 つの場所から取得することができます。
CSPM(Cloud security posture management クラウドセキュリティ態勢管理)
クラウドとオンプレミスのリソースのセキュリティは、適切な構成とデプロイにかかっています。クラウドセキュリティ態勢管理 (CSPM) は、システムを評価し、脆弱性が見つかった場合、自動的に IT 部門のセキュリティスタッフに警告します。セキュリティの強化や管理者が環境を保護するために取ることができる機能を監視し、優先順位を付けます。
CWPP(Cloud workload protections クラウドワークロード保護)
プロアクティブなセキュリティ原則では、脅威からワークロードを保護するセキュリティプラクティスを実装する必要があります。クラウドワークロード保護 (CWP) では、ワークロードを保護するための適切なセキュリティ制御につながる、ワークロード固有の推奨事項が提示されます。環境が脅威にさらされると、瞬時にセキュリティアラートによって脅威の性質と重大度が示されるため、対応を計画できます。

33. クラウドセキュリティ態勢管理 (CSPM) について説明する
CSPM により、セキュリティを効率的かつ効果的に改善するのに役立つ強化ガイダンスが得られます。 CSPM を使用すると、現在のセキュリティ状況を把握することもできます。

セキュリティスコア
現在のセキュリティ態勢を可視化する Microsoft Defender for Cloud の中心的な機能は、セキュリティスコアです。
セキュリティ強化の推奨事項
Microsoft Defender for Cloud では、特定されたセキュリティの構成ミスと弱点に基づく強化の推奨事項も提供されます。

これらのセキュリティに関するレコメンデーションを使用して、組織の Azure、ハイブリッド、マルチクラウドのリソースのセキュリティ態勢を強化します。

34. セキュリティポリシーとイニシアチブによってクラウドセキュリティ態勢がどのように改善されるかについて説明する
Microsoft Defender for Cloud を使用すると、組織はクラウドとオンプレミスでリソースとワークロードのセキュリティを管理し、全体的なセキュリティ体制を向上させることができます。これは、ポリシー定義とセキュリティイニシアチブを使用して行うため、これらの用語を理解することが重要です。

Azure Policy で作成される Azure ポリシー定義
制御する特定のセキュリティ条件に関するルールです。 Azure ポリシーでは組み込みの定義がサポートされていますが、独自のカスタムポリシー定義を作成することもできます。
セキュリティイニシアチブ
特定の目標や目的を実現するためにグループ化された Azure Policy の定義またはルールのコレクションです。セキュリティイニシアチブは、一連のポリシーを論理的にグループ化して単一の項目として扱うことで、ポリシーの管理を簡略化します。
ポリシー定義やイニシアティブを実装
管理グループ、サブスクリプション、リソースグループ、個々のリソースなど、サポートされているリソースのスコープに割り当てます。

35. クラウドワークロード保護によって提供される強化されたセキュリティ機能について説明する
Microsoft Defender for Cloud では、クラウドワークロード保護機能を通じて、リソース、ワークロード、およびサービスに対する脅威を検出して解決することができます。クラウドワークロード保護は、サブスクリプション内のリソースの種類に固有の統合された Microsoft Defender プランを通じて提供され、ワークロードに対して強化されたセキュリティ機能を提供します。

Defender プラン
ワークロード保護は、サブスクリプション内のリソースの種類に固有の Microsoft Defender プランを通じて提供されます。選択できる Microsoft Defender for Cloud プランの一部は次のとおりです。
- Microsoft Defender for servers
  Windows および Linux マシンを対象とした脅威検出および高度な防御が追加されます。
- Microsoft Defender for App Service
  App Service で実行されるアプリケーションを対象とした攻撃が特定されます。
- Microsoft Defender for Storage
  Azure Storage アカウントで有害な可能性のあるアクティビティが検出されます。
- Microsoft Defender for SQL
  場所を問わず、データベースとそのデータがセキュリティで保護されます。
- Microsoft Defender for Kubernetes
  クラウドネイティブの Kubernetes セキュリティ環境のセキュリティ強化、ワークロード保護、およびランタイム保護が提供されます。
- Microsoft Defender for container registries
  サブスクリプション内のすべての Azure Resource Manager ベースのレジストリが保護されます。
- Microsoft Defender for Key Vault
  Azure Key Vault の高度な脅威保護機能です。
- Microsoft Defender for Resource Manager
  組織内のリソース管理操作を自動的に監視します。
- Microsoft Defender for DNS
  Azure DNS の Azure で提供される名前解決機能を使用するリソース保護レイヤーを提供します。
- Microsoft Defender for open-source relational protections
  オープンソースリレーショナルデータベースに対する脅威保護を提供します。
強化されたセキュリティ機能
サブスクリプション内のリソースの種類に固有の Microsoft Defender プランによって、ワークロードに対して強化されたセキュリティ機能が提供されます。強化されたセキュリティ機能の一部を次に示します。
- 包括的なエンドポイントでの検出と対応
  Microsoft Defender for servers には、包括的なエンドポイントでの検出と対応 (EDR) のための Microsoft Defender for Endpoint が含まれています。
- 仮想マシン、コンテナーレジストリ、SQL リソースの脆弱性スキャン
  すべての仮想マシンに簡単にスキャナーをデプロイできます。 Microsoft Defender for Cloud 内で直接結果を表示、調査、修復します。
- マルチクラウドのセキュリティ
  アマゾンウェブサービス (AWS) と Google Cloud Platform (GCP) のアカウントを接続して、Microsoft Defender for Cloud のセキュリティフィーチャーの範囲で、それらのプラットフォームのリソースとワークロードを保護できます。
- ハイブリッドセキュリティ
  オンプレミスとクラウドのすべてのワークロードのセキュリティを、統合された 1 つのビューで確認できます。セキュリティポリシーを適用し、ハイブリッドクラウドのワークロードのセキュリティを継続的に評価することで、セキュリティ標準に確実に準拠できます。
- 脅威保護のアラート
  ネットワーク、マシン、クラウドサービスを監視し、攻撃や侵害後のアクティビティを調べます。対話型のツールと状況に応じた脅威インテリジェンスにより、調査を効率化します。
- さまざまな標準への準拠を追跡する
  Microsoft Defender for Cloud では、ハイブリッドクラウド環境を継続的に評価して、Azure セキュリティベンチマークの制御とベストプラクティスに従ってリスク要因を分析します。
- アクセスとアプリケーションの制御 (AAC)
  機械学習を利用して特定のワークロードに適合した推奨事項を適用して許可リストとブロックリストを作成することで、マルウェアや他の望ましくないアプリケーションをブロックします。

3-3-3 Microsoft Sentinel の機能について説明する

36. セキュリティ情報イベント管理 (SIEM)、およびセキュリティオーケストレーションの自動応答 (SOAR) の概念を定義する

セキュリティ情報イベント管理 (SIEM)
SIEM システムは、インフラストラクチャ、ソフトウェア、リソースなど、資産全体からデータを収集するために組織が使用するツールです。分析を行い、相関関係や異常を検索し、アラートとインシデントを生成します。
セキュリティオーケストレーションの自動応答 (SOAR)
SOAR システムは、SIEM システムなどの多くのソースからアラートを受け取ります。次に、SOAR システムは、アクション主導の自動化ワークフローおよびプロセスをトリガーして、問題を軽減するセキュリティタスクを実行します。

37. Microsoft Sentinel の脅威の検出および軽減機能について説明する
Microsoft Sentinel は、スケーラブルなクラウドネイティブ SIEM/SOAR ソリューションであり、インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に提供します。この 1 つのソリューションで、アラートの検出、脅威の可視性、予防的ハンティング、脅威への対応が可能になります。

3-3-4 Microsoft 365 Defender を使用した脅威に対する保護について説明する

38. Microsoft 365 Defender サービスについて説明する
Microsoft 365 Defender は、高度なサイバー攻撃から保護するエンタープライズ防御スイートです。 Microsoft 365 Defender を使用すると、エンドポイント、ID、電子メール、およびアプリケーションにわたって脅威の検出、防止、調査、および対応をネイティブに調整できます。

39. Microsoft Defender for Office 365 について説明する
Microsoft Defender for Office 365 は、Office 365 サブスクリプションにシームレスに統合されており、メールリンク (URL)、添付ファイル、またはコラボレーションツール (SharePoint、Teams、Outlook など) で届くフィッシングやマルウェアなどの脅威からの保護機能を備えています。 Defender for Office 365 では、脅威をリアルタイムで表示できます。また、セキュリティチームが脅威を特定し、優先順位を付け、調査し、対応できるように支援する調査、ハンティング、修復機能も備えています。

40. Microsoft Defender for Endpoint について説明する
Microsoft Defender for Endpoint は、ノート PC、携帯電話、タブレット、PC、アクセスポイント、ルーター、ファイアウォールなどのエンドポイントを企業ネットワークが保護できるように設計されたプラットフォームです。高度な脅威の防止、検出、調査、および対応を行うことで保護されます。

41. Microsoft Defender for Cloud Apps について説明する
Microsoft Defender for Cloud Apps は SaaS アプリケーションを完全に保護し、クラウドアプリデータを監視および保護するのに役立ちます。

42. Microsoft Defender for Identity について説明する
Microsoft Defender for Identity はクラウドベースのセキュリティソリューションです。 (シグナルと呼ばれる) オンプレミスの Active Directory データを使用して、組織を対象とする高度な脅威、侵害された ID、および悪意のある内部関係者によるアクションが特定、検出、調査されます。

43. Microsoft Defender 脆弱性の管理について説明する
Defender 脆弱性の管理は、Windows、macOS、Linux、Android、iOS、ネットワークデバイス用の資産の可視性、インテリジェントな評価、組み込みの修復ツールを提供します。

Defender 脆弱性の管理では、Microsoft の脅威インテリジェンス、侵害の可能性予測、ビジネスコンテキスト、デバイス評価を活用することで、最も重要な資産の最大の脆弱性を迅速かつ継続的に優先順位付けし、リスクを軽減するためのセキュリティに関するレコメンデーションを提供します。

44. Microsoft Defender 脅威インテリジェンス (Defender TI) について説明する
Microsoft Defender 脅威インテリジェンス (Defender TI) は、セキュリティアナリストのトリアージ、インシデント対応、脅威ハンティング、脆弱性管理ワークフローを効率化するのに役立ちます。 Defender TI の使いやすいインターフェイスに重要な脅威情報が集約され、エンリッチされます。

アナリストは、Defender TI の脅威インテリジェンスホームページから新しい注目の記事の内容をすばやく把握し、キーワード、アーティファクト、または共通脆弱性識別子 ID (CVE-ID) の検索を実行して、インテリジェンス収集、トリアージ、インシデント対応、ハンティング作業を開始できます。

45. Microsoft 365 Defender ポータルについて説明する
Microsoft 365 Defender ポータルは、デバイス、ID、エンドポイント、メールとコラボレーション、およびクラウドアプリに対する保護、検出、調査、対応を行うことができる一元的な場所です。 Microsoft 365 Defender ポータルは、セキュリティチームのニーズを満たすように設計されており、情報への迅速なアクセス、よりシンプルなレイアウトに重点が置かれています。

3-4 Microsoft コンプライアンスソリューションの機能について説明する

3-4-1 Microsoft の Service Trust Portal とプライバシーの原則について説明する

46. Service Trust Portal オファリングについて説明する
Service Trust Portal (STP) は、Microsoft のクラウドサービスに関連する監査レポートやその他のコンプライアンス関連情報を公開するための Microsoft の公開サイトです。 STP ユーザーは、外部監査者によって生成された監査レポートをダウンロードし、Microsoft クラウドサービスでデータを保護する方法と、組織のクラウドデータのセキュリティとコンプライアンスを管理する方法の詳細を提供する Microsoft が作成したホワイトペーパーから洞察を得ることができます。

47. Microsoft のプライバシー原則について説明する
プライバシーに対する Microsoft のアプローチは、次の 6 つの原則に基づいています。

コントロール
使いやすいツールとわかりやすい選択肢により、お客様ご自身がデータとプライバシーを管理できるようにすること。データはあなたに関するものなので、いつでもアクセス、変更、削除できます。 Microsoft は、同意なしにお客様のデータを使用しません。
透明性
すべての方が情報に基づいた意思決定を行うことができるように、データの収集と使用に関して透明性があること。お客様のデータは、同意に基づき、契約上合意した厳格なポリシーと手順に従ってのみ処理されます。
セキュリティ
強力なセキュリティと暗号化を使用して、Microsoft に委託されたデータを保護すること。 Microsoft は最新の暗号化により、保存中と転送中の両方のデータを保護します。
厳格な法的保護
地域のプライバシー法を尊重し、基本的人権としてのプライバシーの法的保護のために力を尽くすこと。 Microsoft は、明確に定義され適切に確立された対応ポリシーとプロセス、強力な契約上のコミットメント、そして必要な場合は裁判所を通じて、お客様のデータを守ります。
コンテンツベースのターゲット設定を行わない
広告、チャット、ファイル、またはその他の個人的コンテンツを広告のターゲット設定に使用しないこと。
お客様にとってのメリット
Microsoft がデータを収集するとき、その用途は、お客様のエクスペリエンス向上であること。

48. Microsoft Priva について説明する
Microsoft は組織が Microsoft Priva を使用してプライバシー要件を満たすことを支援します。 Priva は、組織が個人データを保護し、プライバシーに強いワークプレースを構築するのに役立ちます。
Priva の機能は、2 つのソリューションを通じて利用できます。

Priva プライバシーリスク管理
リスクを軽減するために、組織のデータとポリシーテンプレートへの可視性を提供します。
Priva 主体の権利要求
データ要求を満たすための自動化とワークフローツールを提供します。

3-4-2 Microsoft Purview のコンプライアンス管理機能について説明する

49. Microsoft Purview コンプライアンスポータルについて説明する
Microsoft Purview コンプライアンスポータルでは、組織のコンプライアンスニーズの理解と管理の支援に必要なすべてのツールとデータがまとめられています。

管理者が Microsoft Purview コンプライアンスポータルにサインインすると、ホームページのカードセクションに、データコンプライアンスに関する組織の状況、組織で利用できるソリューション、アクティブなアラートの概要が一目でわかるように表示されます。管理者は、カードを移動したり、ホーム画面に表示されるカードを追加または削除したりして、カードセクションをカスタマイズできます。

50. コンプライアンスマネージャーについて説明する
Microsoft Purview コンプライアンスマネージャーは、管理者がより簡単で便利に組織のコンプライアンス要件を管理できるようにする、Microsoft Purview コンプライアンスポータルの機能です。コンプライアンスマネージャーは、データ保護のリスクの評価から、コントロールの実装の複雑さの管理、規制や認定の最新情報の維持、監査者への報告にまで至るコンプライアンス対応作業全体を通じて組織を支援できます。

51. コンプライアンススコアの使用と利点について説明する
コンプライアンススコアは、制御範囲内で、推奨される改善アクションの完了の進行状況を測定します。このスコアは、組織が現在のコンプライアンス状態を把握する場合に役立つことがあります。また、組織がリスクを軽減できる可能性に基づいてアクションの優先度を決めるときにも役立ちます。

全体的なコンプライアンススコアは、アクションに割り当てられているスコアを使用して計算されます。アクションには次の 2 種類があります。

改善されたアクション
組織が管理すると予想されるアクション。
Microsoft アクション
Microsoft が組織に対して管理するアクション。

アクションは、必須、随意、予防、検出、または是正に分類されます。

3-4-3 Microsoft Purview の情報保護、データライフサイクル管理機能、およびデータガバナンス機能について説明する

52. データ分類機能について説明する
コンプライアンスセンターのデータ分類機能は、機密性の高い業務に不可欠なデータを検出、分類、レビュー、監視するのに役立ちます。

53. コンテンツエクスプローラーとアクティビティエクスプローラーの利点について説明する

コンテンツエクスプローラー
コンプライアンスポータルのデータ分類ウィンドウのタブとして使用できます。管理者はそれを使用して、概要ペインに要約されているコンテンツを詳しく調べることができます。
コンテンツエクスプローラーを使用すると、管理者は、組織全体で分類された個々の項目の現在のスナップショットを取得できます。これにより、管理者は、Exchange、SharePoint、OneDrive などのさまざまな場所に保存されているスキャン済みソースコンテンツにアクセスして確認できるようになり、項目をさらにドリルダウンできます。
アクティビティエクスプローラー
検出されてラベル付けされたコンテンツ、およびコンテンツの場所を確認できます。これにより、組織全体でラベル付けされたコンテンツで何が行われているかを監視できるようになります。管理者は、ラベルの変更やラベルのダウングレードなど、ドキュメントレベルのアクティビティを見ることができます

54. 秘密度ラベルと秘密度ラベルポリシーについて説明する

秘密度ラベル
生産性や共同作業に影響を与えることなく、コンテンツのラベル付けや保護を可能とします。組織で秘密度ラベルを使用すると、メールやドキュメントなどのコンテンツに適用するラベルを決定することができます。
次のようなラベルがあります。
- カスタマイズ可能
  管理者は、個人、公開、社外秘、極秘など、組織に固有のさまざまなカテゴリを作成できます。
- クリアテキスト
  各ラベルはコンテンツのメタデータ内にクリアテキストで格納されるため、サードパーティのアプリやサービスでそれを読み取り、必要に応じて独自の保護アクションを適用することができます。
- 永続的
  コンテンツに適用した秘密度ラベルは、そのメールまたはドキュメントのメタデータに格納されます。その後、ラベルは保護設定も含めてコンテンツと共に移動し、このデータはポリシーを適用して強制するための基礎となります。
ラベルポリシー
秘密度ラベルを作成した後は、組織内のユーザーやサービスが使用できるように、それを発行する必要があります。秘密度ラベルは、ラベルポリシーを通じてユーザーまたはグループに発行されます。その後、秘密度ラベルは、それらのユーザーやグループの Office アプリに表示されます。

55. データ損失防止 (DLP) について説明する
Microsoft Purview では、DLP ポリシーを定義して適用することで、データ損失防止を実装します。 DLP ポリシーを使用すると、次に示すものにわたって機密アイテムの特定、監視、および自動的な保護を行うことができます。

Teams、Exchange、SharePoint、OneDrive アカウントなどの Microsoft 365 サービス
Word、Excel、PowerPoint などの Office アプリケーション
Windows 10、Windows 11、macOS (3 つの最新リリースバージョン) エンドポイント
クラウドアプリ
オンプレミスのファイル共有とオンプレミスの SharePoint
Power BI

56. レコード管理について説明する
Microsoft Purview レコード管理は、企業データで規制や法律に関わるレコードやビジネスクリティカルなレコードを管理するための管理ソリューションです。また、規制へのコンプライアンスを示し、維持する必要がなくなった項目、価値がなくなった項目、ビジネス上の目的に不要になった項目を定期的に処理することによって効率を向上させるのにも役立ちます。

57. 保持ポリシー、保持ラベル、保持ラベルポリシーについて説明する
組織で保持ラベルと保持ポリシーを使用すると、コンテンツを必要な期間だけ保持した後、完全に削除することにより、情報の管理とガバナンスを行うことができます。保持ラベルを適用し、保持ポリシーを割り当てることは、組織による次のことに役立ちます。

保持ポリシー
- 保持ポリシーは、サイトレベルまたはメールボックスレベルで同じ保持設定をコンテンツに割り当てるために使用されます。
- 1 つのポリシーを複数の場所に適用することも、特定の場所またはユーザーに適用することもできます。
- 項目は、保持ポリシーで指定されているコンテナーから保持設定を継承します。
保持ラベル
- 保持ラベルは、フォルダー、ドキュメント、メールなどの項目レベルで保持設定を割り当てるために使用されます。
- メールまたはドキュメントには、一度に 1 つの保持ラベルのみを割り当てることができます。
- コンテンツが Microsoft 365 テナント内の別の場所に移動される場合、保持ラベルの保持設定はコンテンツと共に移動します。
- 管理者は、組織内のユーザーが保持ラベルを手動で適用できるようにすることができます。
- 定義された条件に一致する場合は、保持ラベルを自動的に適用できます。
- SharePoint ドキュメントには、既定のラベルを適用できます。
- 保持ラベルでは、完全に削除される前にコンテンツを確認するための、廃棄レビューがサポートされています。

58. Microsoft Purview の統合データガバナンスソリューションについて説明する
Microsoft Purview ガバナンスポータルでは、ご自分のオンプレミスのマルチクラウド、およびサービスとしてのソフトウェア (SaaS) データの管理に役立つ統合データガバナンスサービスが提供されます。 Microsoft Purview ガバナンスポータルでは、次のことができます。

自動化されたデータ検出、機密データ分類、エンドツーエンドのデータ系列によって、データ環境全体の最新のマップを作成できます。
データキュレーターがデータ資産を管理しセキュリティで保護できます。
データコンシューマーは、有益で信頼できるデータを見つけることができます。

3-4-4 Microsoft Purview のインサイダーリスク、電子情報開示、および監査機能について説明する

59. インサイダーリスク管理について説明する
Microsoft Purview のインサイダーリスク管理は、危険なアクティビティや悪意のあるアクティビティの検出と調査を行い、それらに対処できるようにして、組織が社内のリスクを最小限に抑えるために役立つソリューションです。

以下の排除や回避を軽減できます。

機密データの漏洩とデータ流出
機密性違反
知的財産 (IP) の盗難
不正行為
インサイダー取引
法令遵守の違反

60. Microsoft Purview の電子情報開示ソリューションについて説明する
電子情報開示 (eDiscovery) は、訴訟事件で証拠として使用できる電子情報を特定して提供するプロセスです。 Microsoft Purview の電子情報開示ツールを使用して、Exchange Online、OneDrive for Business、SharePoint Online、Microsoft Teams、Microsoft 365 グループ、Yammer のチームでコンテンツを検索できます。同じ電子情報開示の検索でメールボックスとサイトを検索し、検索結果をエクスポートできます。

61. Microsoft Purview の監査ソリューションについて説明する
Microsoft Purview の監査ソリューションによって、セキュリティイベント、フォレンジック調査、内部調査、コンプライアンス義務に組織が効果的に対応できるようになります。 Microsoft 365 の多数のサービスとソリューションで実行されるユーザーや管理者の何千もの操作が、組織の統合監査ログにキャプチャ、記録、保持されます。

4. 終わりに

本記事を最後まで読んで頂きましてありがとうございます。
セキュリティはとても大切な技術なので要復習ですね。
最後の総復習はMicrosoft 認定資格のプラクティス評価にかぎります。

5. 参考記事

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up