CIS Microsoft Azure Foundations Benchmark 1.1.0 (Azure Government) 規制コンプライアンスの組み込みイニシアチブの詳細
次の記事では、Azure Policy 規制コンプライアンスの組み込みイニシアチブの定義が、CIS Microsoft Azure Foundations Benchmark 1.1.0 (Azure Government) のコンプライアンス ドメインとコントロールにどのように対応するのかについて詳しく説明します。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark 1.1.0 に関するページを参照してください。 "所有権" を理解するには、「ポリシーの種類」と「クラウドでの共有責任」を参照してください。
次のマッピングは、CIS Microsoft Azure Foundations Benchmark 1.1.0 コントロールへのマッピングです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、 [CIS Microsoft Azure Foundations Benchmark v1.1.0] 規制コンプライアンスの組み込みイニシアチブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
1 ID およびアクセス管理
特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
特権のないすべてのユーザーに対して多要素認証が有効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
ゲスト ユーザーがいないことを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
2 Security Center
Standard 価格レベルが選択されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
ASC の既定のポリシー設定 [JIT ネットワーク アクセスの監視] が [無効] になっていないことを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.12 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
ASC の既定のポリシー設定 [SQL 監査の監視] が [無効] になっていないことを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.14 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
ASC の既定のポリシー設定 [SQL 暗号化の監視] が [無効] になっていないことを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.15 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
[セキュリティ連絡先の電子メール] が設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.16 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
[重要度 - 高についてアラートの電子メール通知を送信する] が [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.18 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.0.1 |
[サブスクリプションの所有者にもメールを送信する] が [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.19 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.0.0 |
ASC の既定のポリシー設定 [OS 脆弱性の監視] が [無効] になっていないことを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
ASC の既定のポリシー設定 [次世代のファイアウォール (NGFW) 監視を有効にする] が [無効] になっていないことを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.9 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
3 ストレージ アカウント
[安全な転送が必要] が [有効] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
ストレージ アカウントの既定のネットワーク アクセス ルールが拒否に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.7 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.8 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ストレージ アカウントは、信頼された Microsoft サービスからのアクセスを許可する必要がある | ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。 この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。 | Audit、Deny、Disabled | 1.0.0 |
4 データベース サービス
[監査] が [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
SQL Server の TDE 保護機能が BYOK (自分のキーの使用) で暗号化されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.10 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.0 |
SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.1 |
MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.11 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.12 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
PostgreSQL データベース サーバーではログ チェックポイントが有効でなければならない | このポリシーは、log_checkpoints 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.13 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.14 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
PostgreSQL データベース サーバーではログ接続が有効でなければならない | このポリシーは、log_connections 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.15 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
PostgreSQL データベース サーバーの切断はログに記録する必要がある。 | このポリシーは、log_disconnections が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.17 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
PostgreSQL データベース サーバーでは接続の調整が有効でなければならない | このポリシーは、接続の帯域幅調整が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 この設定により、無効なパスワード ログイン エラーが多すぎる場合に、IP ごとに一時的な接続の帯域幅調整を行うことができます。 | AuditIfNotExists、Disabled | 1.0.0 |
SQL Server の "監査" ポリシーの "AuditActionGroups" が適切に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
重要なアクティビティをキャプチャするには、SQL 監査設定に Action-Groups を構成しなければならない | 完全な監査ログを実行するには、AuditActionsAndGroups プロパティに少なくとも SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP を含める必要があります | AuditIfNotExists、Disabled | 1.0.0 |
"監査" 保持期間が "90 日を超える" ことを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 3.0.0 |
SQL Server の "Advanced Data Security" が [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
Azure Active Directory 管理者が構成されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.8 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
SQL Database の [データ暗号化] が [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.9 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
5 ログ記録と監視
ログ プロファイルが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 | このポリシーでは、アクティビティ ログのエクスポートがログ プロファイルで有効になっているかどうかを確認します。 また、ログをストレージ アカウントまたはイベント ハブにエクスポートするためのログ プロファイルが作成されていないかどうかを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
アクティビティ ログのリテンション期間が 365 日以上に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
アクティビティ ログを 1 年以上保持する必要がある | このポリシーは、リテンション期間が 365 日間または無期限 (リテンション日数が 0) に設定されていない場合にアクティビティ ログを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
監査プロファイルによってすべてのアクティビティがキャプチャされることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | このポリシーでは、ログ プロファイルで "書き込み"、"削除"、"アクション" の各カテゴリのログが確実に収集されるようにします | AuditIfNotExists、Disabled | 1.0.0 |
ログ プロファイルによってグローバルを含むすべてのリージョンのアクティビティ ログがキャプチャされることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | このポリシーでは、グローバルを含め、Azure がサポートするすべてのリージョンからアクティビティをエクスポートしない Azure Monitor ログ プロファイルを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.6 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある | このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時の Azure Storage 暗号化の詳細については、 https://aka.ms/azurestoragebyok をご覧ください。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure KeyVault のログ記録が [有効] になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.7 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
"ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
"ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.6 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.7 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.8 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"セキュリティ ポリシーの更新" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.9 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
6 ネットワーク
Network Watcher が [有効] になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 6.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
7 Virtual Machines
承認済みの拡張機能のみがインストールされていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
インストールする必要があるのは、許可されている VM 拡張機能のみ | このポリシーは、承認されていない仮想マシン拡張機能を制御します。 | Audit、Deny、Disabled | 1.0.0 |
8 その他のセキュリティの考慮事項
キー コンテナーが回復可能であることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Kubernetes Services でロールベースのアクセス制御 (RBAC) を使用する必要がある | ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 | Audit、Disabled | 1.0.4 |
9 App Service
Azure App Service に App Service 認証が設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
App Service アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 2.0.1 |
関数アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、トークンを保持するものを関数アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 3.0.0 |
Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.10 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
関数アプリでは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Http 2.0 はクライアント証明書をサポートしていないため、このポリシーは同じ名前の新しいポリシーに置き換えられました。 | Audit、Disabled | 3.1.0 (非推奨) |
App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service で [Azure Active Directory に登録する] が有効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。