Microsoft は、Azure セキュリティに関するガイドラインを発行しており、問題がユーザーの問題である場合と Microsoft の問題である場合を明記しています。
レドモンドの問題解決へのアプローチは、2つの文書で説明されています。1つ目は「クラウドコンピューティングにおける責任の共有(PDF)」で、マイクロソフトがセキュリティの責任をどのように分担しているかを説明しています。
レドモンドのアプローチの基本原則は次のとおりです。
- オンプレミスITはすべてあなたの問題です
- Azure を Infrastructure-as-as-Service として使用する場合:
-
- 建物、サーバー、ネットワークハードウェア、ハイパーバイザーはマイクロソフトの問題である
- オペレーティングシステム、ネットワーク構成、アプリケーション、ID、クライアント、データが問題です
- プラットフォーム・アズ・ア・サービスを使用する場合:
-
- ネットワーク制御はマイクロソフトの問題となる
- OS、アプリケーション、アイデンティティ、クライアント、データは依然としてあなたの問題です
- SaaSを使用する場合、データ分類、エンドポイントセキュリティ、ユーザー管理以外はすべてMicrosoftの問題であり、これらはすべてユーザーの問題のままです。
Microsoft はまた、「クラウドにおける Microsoft Azure のセキュリティ対応 (PDF)」と題した新しいホワイト ペーパーもリリースし、クラウドに問題が発生した場合の同社の対応について説明しています。
この文書は、レドモンドが Azure の境界を巡回するために次の 5 つの手順を使用していることを明らかにしています。
- 顧客サポート ポータル経由での、Azure インフラストラクチャに起因する疑わしいアクティビティ (顧客の責任範囲内で発生したアクティビティではない) に関する顧客レポート
- セキュリティの脆弱性は、[email protected] を通じて Microsoft セキュリティ レスポンス センターに報告されます。MSRC は、世界中のパートナーやセキュリティ研究者と連携し、セキュリティ インシデントの防止と Microsoft 製品のセキュリティ強化に取り組んでいます。
- セキュリティのブルーチームとレッドチームの活動。この戦略では、高度なスキルを持つ専門家で構成されるレッドチームがAzureの潜在的な脆弱性を攻撃し、セキュリティレスポンス(ブルーチーム)がレッドチームの活動を明らかにします。レッドチームとブルーチームの両方の活動は、Azureのセキュリティレスポンス活動がセキュリティインシデントに適切に対応していることを確認するための手段として扱われます。セキュリティのレッドチームとブルーチームの活動は、顧客データの保護を確実にするために、責任ある活動として運営されます。
- Azureサービス内の内部監視および診断システムによる不審なアクティビティの検出。これらのアラートは、マルウェア対策や侵入検知などのシグネチャベースのアラーム、あるいは予想されるアクティビティをプロファイリングして異常を検知するよう設計されたアルゴリズムを介して通知される可能性があります。
- Azure サービスのオペレーター向けのエスカレーション。Microsoft の従業員は、潜在的なセキュリティ問題を特定し、エスカレーションするためのトレーニングを受けています。
文書の残りの部分ではそれほど明らかにされていないが、緩和措置に関するセクションでは、レドモンドの Azure 修正の取り組みにより「一時的な停止が発生する可能性がある」と述べられている。
「このような決定は軽々しく行われるものではありません」と文書には記されている。「このような積極的な緩和措置が実施される場合は、お客様にサービス停止と復旧スケジュールを通知するための標準的なプロセスが適用されます。」
レドモンドの対応プロセスの残りは、以下の文書の図と表に記載されています。®
車輪の中に車輪、車輪の中に車輪:マイクロソフトのセキュリティスピン
