NIST SP 800-171 R2 規制コンプライアンスの組み込みイニシアチブの詳細
この記事では、Azure Policy 規制コンプライアンスの組み込みイニシアチブの定義が、NIST SP 800-171 R2 のコンプライアンス ドメインとコントロールにどのように対応するのかを詳しく説明します。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。 "所有権" を理解するには、「ポリシーの種類」と「クラウドでの共有責任」を参照してください。
以下のマッピングは、NIST SP 800-171 R2 のコントロールに対するものです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、[NIST SP 800-171 Rev. 2] 規制コンプライアンスの組み込みイニシアチブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
アクセス制御
承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。
[ID] :NIST SP 800-171 R2 3.1.1 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.1 (非推奨) |
| [非推奨]: Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.1 (非推奨) |
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
| パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Spring Cloud でネットワークの挿入を使用する必要がある | Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 | Audit, Disabled, Deny | 1.2.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
定義された条件が成立した場合にユーザー セッションを (自動的に) 終了する。
[ID]: NIST SP 800-171 R2 3.1.11 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ユーザー セッションを自動的に終了する | CMA_C1054 - ユーザー セッションを自動的に終了する | Manual、Disabled | 1.1.0 |
リモート アクセス セッションの監視および制御を行う。
[ID] :NIST SP 800-171 R2 3.1.12 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.1 (非推奨) |
| [非推奨]: Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.1 (非推奨) |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
| Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Spring Cloud でネットワークの挿入を使用する必要がある | Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 | Audit, Disabled, Deny | 1.2.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
リモート アクセス セッションの機密性を保護するため暗号化メカニズムを採用する。
[ID]: NIST SP 800-171 R2 3.1.13 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.1 (非推奨) |
| [非推奨]: Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.1 (非推奨) |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Spring Cloud でネットワークの挿入を使用する必要がある | Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 | Audit, Disabled, Deny | 1.2.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
管理対象のアクセス制御ポイントを介してリモート アクセスをルーティングする。
[ID]: NIST SP 800-171 R2 3.1.14 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.1 (非推奨) |
| [非推奨]: Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.1 (非推奨) |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Spring Cloud でネットワークの挿入を使用する必要がある | Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 | Audit, Disabled, Deny | 1.2.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。
[ID]: NIST SP 800-171 R2 3.1.15 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| 特権コマンドへのリモート アクセスを承認する | CMA_C1064 - 特権コマンドへのリモート アクセスを承認する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
ワイヤレス アクセスの接続を許可する前に、ワイヤレス アクセスを認可する
[ID]: NIST SP 800-171 R2 3.1.16 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
認証および暗号を使用してワイヤレス アクセスを保護する
[ID]: NIST SP 800-171 R2 3.1.17 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
モバイル デバイスの接続を制御する。
[ID]: NIST SP 800-171 R2 3.1.18 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
モバイル デバイスとモバイル コンピューティング プラットフォームで CUI を暗号化する
[ID]: NIST SP 800-171 R2 3.1.19 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
システム アクセスを、認可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。
[ID]: NIST SP 800-171 R2 3.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| すべてのアカウントの適切な使用の強制 | CMA_C1023 - すべてのアカウントの適切な使用の強制 | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
外部システムへの接続と外部システムの使用を検証および制御/制限する。
[ID] :NIST SP 800-171 R2 3.1.20 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
外部システムでのポータブル ストレージ デバイスの使用を制限する。
[ID] :NIST SP 800-171 R2 3.1.21 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
公的にアクセス可能なシステムで掲載または処理される CUI を制御する。
[ID]: NIST SP 800-171 R2 3.1.22 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | CMA_C1083 - 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | Manual、Disabled | 1.1.0 |
| 公的にアクセス可能な情報を投稿する前にコンテンツを確認する | CMA_C1085 - 公的にアクセス可能な情報を投稿する前にコンテンツを確認する | Manual、Disabled | 1.1.0 |
| 公開されていない情報の公的にアクセス可能なコンテンツを確認する | CMA_C1086 - 公開されていない情報の公的にアクセス可能なコンテンツを確認する | Manual、Disabled | 1.1.0 |
| 非公開情報の公開に関する職員のトレーニング | CMA_C1084 - 非公開情報の公開に関する職員のトレーニング | Manual、Disabled | 1.1.0 |
承認された認可に従って CUI のフローを制御する。
[ID] :NIST SP 800-171 R2 3.1.3 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.1 (非推奨) |
| [非推奨]: Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.1 (非推奨) |
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | Audit、Disabled | 2.0.1 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については以下を参照してください: https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。
[ID] :NIST SP 800-171 R2 3.1.4 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれていない場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 ポリシー パラメーターに指定されたメンバーがローカルの Administrators グループに含まれている場合、マシンは非準拠となります。 | auditIfNotExists | 2.0.0 |
| アクセス認可を定義して職務の分離をサポートする | CMA_0116 - アクセス認可を定義して職務の分離をサポートする | Manual、Disabled | 1.1.0 |
| 職務の分離について文書化する | CMA_0204 - 職務の分離について文書化する | Manual、Disabled | 1.1.0 |
| 個人の職務を分離する | CMA_0492 - 個人の職務を分離する | Manual、Disabled | 1.1.0 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。
[ID]: NIST SP 800-171 R2 3.1.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。
[ID]: NIST SP 800-171 R2 3.1.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| ログに記録された特権コマンドのフル テキスト分析を実行する | CMA_0056 - ログに記録された特権コマンドのフル テキスト分析を実行する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
失敗したログオンの試行を制限する。
[ID]: NIST SP 800-171 R2 3.1.8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ログイン試行の連続失敗回数の制限を強制する | CMA_C1044 - ログイン試行の連続失敗回数の制限を強制する | Manual、Disabled | 1.1.0 |
物理的な保護
組織のシステム、機器、それぞれの運用環境への物理的なアクセスを、許可された個人に限定する。
[ID]: NIST SP 800-171 R2 3.10.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
組織のシステムの物理的な施設とサポート インフラストラクチャを保護および監視する。
[ID]: NIST SP 800-171 R2 3.10.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| セキュアな監視カメラ システムを管理する | CMA_0354 - セキュアな監視カメラ システムを管理する | Manual、Disabled | 1.1.0 |
訪問者に同伴し、その行動を監視する。
[ID]: NIST SP 800-171 R2 3.10.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
物理的なアクセスの監査ログを維持する。
[ID]: NIST SP 800-171 R2 3.10.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
物理的なアクセス デバイスを制御および管理する。
[ID]: NIST SP 800-171 R2 3.10.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
代替の作業場所における CUI の保全措置を適用する。
[ID]: NIST SP 800-171 R2 3.10.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
リスク評価
組織のシステム運用と、関連する CUI の処理、保存、または伝送から生じる、組織運営、組織の資産、個人に対するリスクを定期的に評価する
[ID]: NIST SP 800-171 R2 3.11.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。
[ID] :NIST SP 800-171 R2 3.11.2 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | CMA_C1555 - 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | Manual、Disabled | 1.1.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Synapse ワークスペースで脆弱性評価を有効にする必要がある | Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 | AuditIfNotExists、Disabled | 1.0.0 |
リスク評価に従って脆弱性を修復する。
[ID]: NIST SP 800-171 R2 3.11.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Synapse ワークスペースで脆弱性評価を有効にする必要がある | Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 | AuditIfNotExists、Disabled | 1.0.0 |
セキュリティ評価
組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。
[ID]: NIST SP 800-171 R2 3.12.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
| セキュリティ評価レポートの生成 | CMA_C1146 - セキュリティ評価レポートの生成 | Manual、Disabled | 1.1.0 |
組織のシステムの不備を修正し、脆弱性を削減または排除できるよう設計された行動計画を作成および実装する。
[ID]: NIST SP 800-171 R2 3.12.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| セキュリティ プログラム プロセスのためのアクション計画とマイルストーンを実装する | CMA_C1737 - セキュリティ プログラム プロセスのためのアクション計画とマイルストーンを実装する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。
[ID] :NIST SP 800-171 R2 3.12.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
システムの境界、運用のシステム環境、セキュリティ要件の実装方法、他のシステムとの関係性または他のシステムへの接続について説明したシステム セキュリティ計画の作成、文書化、定期的な更新を行う。
[ID]: NIST SP 800-171 R2 3.12.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 基準を満たす SSP の開発 | CMA_C1492 - 基準を満たす SSP の開発 | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
システムと通信の保護
組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。
[ID] :NIST SP 800-171 R2 3.13.1 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.1 (非推奨) |
| [非推奨]: Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.1 (非推奨) |
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | Audit、Disabled | 2.0.1 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については以下を参照してください: https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。
[ID]: NIST SP 800-171 R2 3.13.10 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Recovery Services コンテナーでは、バックアップ データを暗号化するために、カスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、バックアップ データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/AB-CmkEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: IoT Hub デバイス プロビジョニング サービスのデータはカスタマー マネージド キー (CMK) を使用して暗号化する必要がある | カスタマー マネージド キーを使用して、IoT Hub Device Provisioning Service の保存時の暗号化を管理します。 データはサービス マネージド キーを使用して保存時に自動的に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 CMK 暗号化の詳細については、https://aka.ms/dps/CMK を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure AI サービス リソースでは、カスタマー マネージド キー (CMK) を使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して保存データを暗号化すると、キーのローテーションや管理など、キーのライフサイクルをより詳細に制御できます。 これは、関連するコンプライアンス要件がある組織に特に関係します。 これは既定では評価されず、コンプライアンスで、または制限的なポリシー要件で必要な場合にのみ適用する必要があります。 有効でない場合、データはプラットフォームマネージド キーを使用して暗号化されます。 これを実装するには、該当するスコープのセキュリティ ポリシーの "Effect" パラメーターを更新します。 | Audit、Deny、Disabled | 2.2.0 |
| Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure API for FHIR に格納されるデータの保存時の暗号化を制御します (これが規制またはコンプライアンスの要件である場合)。 カスタマー マネージド キーを使用すると、サービス マネージド キーで実行される既定の暗号化レイヤーの上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されることにもなります。 | audit、Audit、disabled、Disabled | 1.1.0 |
| Azure Automation アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Automation アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/automation-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Batch アカウントではデータの暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Batch アカウントのデータの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/Batch-CMK をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Container Instance コンテナー グループでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、コンテナーをより柔軟にセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit, Disabled, Deny | 1.0.0 |
| Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Data Box ジョブは、カスタマー マネージド キーを使用してデバイスのロック解除パスワードを暗号化する必要がある | Azure Data Box に使用するデバイスのロック解除パスワードの暗号化は、カスタマー マネージド キーを使用して管理してください。 また、デバイスの準備とデータのコピーを自動化する目的で、デバイスのロック解除パスワードに対する Data Box サービスのアクセスを管理する際にも、カスタマー マネージド キーが役立ちます。 デバイス上の保存データ自体は、あらかじめ Advanced Encryption Standard 256 ビット暗号化を使用して暗号化されており、また、デバイスのロック解除パスワードも既定で Microsoft マネージド キーを使用して暗号化されています。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Explorer における保存時の暗号化でカスタマー マネージド キーを使用する必要がある | Azure Data Explorer クラスターでカスタマー マネージド キーを使用した保存時の暗号化を有効にすると、保存時の暗号化で使用されるキーをさらに制御できるようになります。 この機能は、多くの場合、特別なコンプライアンス要件を持つ顧客に適用でき、キーの管理に Key Vault を必要とします。 | Audit、Deny、Disabled | 1.0.0 |
| Azure データ ファクトリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure データ ファクトリの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/adf-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure HDInsight クラスターでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して、Azure HDInsight クラスターの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/hdi.cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure HDInsight クラスターでは、ホストでの暗号化を使用して保存データを暗号化する必要がある | ホストでの暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 ホストでの暗号化を有効にすると、VM ホスト上の格納データは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Monitor ログ クラスターは、カスタマー マネージド キーを使用して暗号化する必要がある | Azure Monitor ログ クラスターは、カスタマー マネージド キー暗号化を使用して作成します。 既定では、ログ データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンスを満たすには、一般にカスタマー マネージド キーが必要です。 Azure Monitor にカスタマー マネージド キーを使用することで、データへのアクセスをより細かく制御することができます。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Stream Analytics ジョブでは、データの暗号化にカスタマー マネージド キーを使用する必要がある | ストレージ アカウントに Stream Analytics ジョブのメタデータとプライベート データ資産を安全に格納したい場合は、カスタマー マネージド キーを使用します。 これで、Stream Analytics データが暗号化される方法を完全に制御できるようになります。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーは、Azure Synapse ワークスペースに格納されているデータの保存時の暗号化を制御するために使用されます。 カスタマー マネージド キーを使用すると、サービス マネージド キーによる既定の暗号化の上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
| Bot Service は、カスタマー マネージド キーを使用して暗号化する必要がある | Azure Bot Service は、リソースを自動的に暗号化してデータを保護し、組織のセキュリティとコンプライアンスのコミットメントを満たします。 既定では、Microsoft マネージド暗号化キーが使用されます。 キーの管理やサブスクリプションへのアクセスの制御の柔軟性を高めるには、カスタマー マネージド キーを選択します。これは、Bring Your Own Key (BYOK) とも呼ばれます。 Azure Bot Service 暗号化の詳細については、https://docs.microsoft.com/azure/bot-service/bot-service-encryption を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して OS とデータ ディスクを暗号化することで、キー管理をより細かく制御し、柔軟性を高めることができます。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
| コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 | Audit、Deny、Disabled | 1.1.2 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| イベント ハブの名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある | Azure Event Hubs では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するためにイベント ハブで使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 イベント ハブでは、専用クラスター内の名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 | Audit、Disabled | 1.0.0 |
| HPC Cache アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure HPC Cache の保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit, Disabled, Deny | 2.0.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| Logic Apps 統合サービス環境は、カスタマー マネージド キーを使用して暗号化する必要がある | 統合サービス環境にデプロイし、カスタマー マネージド キーを使用して Logic Apps データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit、Deny、Disabled | 1.0.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | セキュリティに対する要件が高く、特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているお客様は、プラットフォーム マネージド暗号化キーを使用してインフラストラクチャ レイヤーに異なる暗号化アルゴリズムまたはモードを使用することにより、暗号化の追加レイヤーを設けることを選ぶことができます。 二重暗号化を使用するには、ディスク暗号化セットが必要です。 詳細については、https://aka.ms/disks-doubleEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、MySQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
| OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して、マネージド ディスクのコンテンツ保存時の暗号化を管理します。 既定では、データはプラットフォーム マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/disks-cmk をご覧ください。 | Audit、Deny、Disabled | 3.0.0 |
| PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| Azure Monitor 内の保存されたクエリはログ暗号化のためにカスタマー ストレージ アカウントに保存する必要があります | 保存済みのクエリをストレージ アカウントの暗号化によって保護するには、Log Analytics ワークスペースにストレージ アカウントをリンクします。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor の保存済みのクエリに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 上記の点について詳しくは、https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Service Bus Premium の名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある | Azure Service Bus では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するために Service Bus で使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 Service Bus では、Premium 名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 | Audit、Disabled | 1.0.0 |
| SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.0 |
| SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウントの暗号化スコープでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | ストレージ アカウントの暗号化スコープの保存データを管理するには、カスタマー マネージド キーを使用します。 カスタマー マネージド キーを使用すると、自分で作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 ストレージ アカウントの暗号化スコープの詳細については、https://aka.ms/encryption-scopes-overview を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Disabled | 1.0.3 |
CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。
[ID]: NIST SP 800-171 R2 3.13.11 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
共同コンピューティング デバイスのリモートからのアクティブ化を禁止し、デバイスに存在するユーザーに対して使用中のデバイスを表示する
[ID]: NIST SP 800-171 R2 3.13.12 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コラボレーション コンピューティング デバイスの使用を明示的に通知する | CMA_C1649 - コラボレーション コンピューティング デバイスの使用を明示的に通知する | Manual、Disabled | 1.1.1 |
| コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | CMA_C1648 - コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | Manual、Disabled | 1.1.0 |
モバイル コードの使用を制御および監視する。
[ID]: NIST SP 800-171 R2 3.13.13 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| モバイル コード テクノロジの使用を承認、監視、制御する | CMA_C1653 - モバイル コード テクノロジの使用を承認、監視、制御する | Manual、Disabled | 1.1.0 |
| 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | CMA_C1651 - 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | Manual、Disabled | 1.1.0 |
| モバイル コード テクノロジの使用制限を確立する | CMA_C1652 - モバイル コード テクノロジの使用制限を確立する | Manual、Disabled | 1.1.0 |
ボイス オーバー IP (VoIP) 技術の使用を制御および監視する。
[ID]: NIST SP 800-171 R2 3.13.14 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| VoIP の承認、監視、制御 | CMA_0025 - VoIP の承認、監視、制御 | Manual、Disabled | 1.1.0 |
| VoIP の使用制限を確立する | CMA_0280 - VoIP の使用制限を確立する | Manual、Disabled | 1.1.0 |
通信セッションの信頼性を保護する。
[ID] :NIST SP 800-171 R2 3.13.15 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| ランダムな一意のセッション識別子を適用する | CMA_0247 - ランダムな一意のセッション識別子を適用する | Manual、Disabled | 1.1.0 |
保存時の CUI の機密性を保護する。
[ID] :NIST SP 800-171 R2 3.13.16 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service Environment では内部暗号化を有効にする必要がある | InternalEncryption を true に設定すると、App Service Environment のフロント エンドと worker の間で、ページファイル、worker ディスク、内部ネットワーク トラフィックが暗号化されます。 詳細については、https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption を参照してください。 | Audit、Disabled | 1.0.1 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| Azure Data Box ジョブは、デバイス上の保存データに対する二重暗号化を有効にする必要がある | デバイス上の保存データに対し、ソフトウェアベースの暗号化の第 2 のレイヤーを有効にしてください。 デバイスの保存データはあらかじめ、Advanced Encryption Standard 256 ビット暗号化で保護されています。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Monitor ログ クラスターはインフラストラクチャ暗号化を有効にして作成する必要がある (二重暗号化) | 2 種類の暗号化アルゴリズムと 2 種類のキーを使用を使用して、サービス レベルおよびインフラストラクチャ レベルでデータ暗号化の安全を確保するには、Azure Monitor 専用クラスターを使用します。 このオプションは、リージョンでサポートされていれば既定で有効になります。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Stack Edge デバイスは二重暗号化を使用する必要がある | デバイス上の保存データのセキュリティを確保するには、そのデータが二重に暗号化されていること、データへのアクセスが制御されていること、また、デバイスが非アクティブになったときにデータがデータ ディスクから安全な方法で消去されることが必要です。 二重暗号化とは、2 つの暗号化レイヤーを使用することです (データ ボリュームに対する BitLocker XTS-AES 256 ビット暗号化と、ハード ドライブに対する組み込みの暗号化)。 詳細については、特定の Stack Edge デバイスのセキュリティの概要ドキュメントを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Data Explorer でディスク暗号化を有効にする必要がある | ディスク暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 | Audit、Deny、Disabled | 2.0.0 |
| Azure Data Explorer で二重暗号化を有効にする必要がある | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | Audit、Deny、Disabled | 2.0.0 |
| データ漏えいの管理手順を確立する | CMA_0255 - データ漏えいの管理手順を確立する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| Azure Database for MySQL サーバーでは、インフラストラクチャ暗号化を有効にする必要がある | Azure Database for MySQL のインフラストラクチャ暗号化を有効にして、データが安全であるというより高いレベルの保証を確保します。 インフラストラクチャ暗号化が有効になっている場合、保存データは、FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Database for PostgreSQL サーバーでは、インフラストラクチャ暗号化を有効にする必要がある | Azure Database for PostgreSQL のインフラストラクチャ暗号化を有効にして、データが安全であるというより高いレベルの保証を確保します。 インフラストラクチャ暗号化が有効になっている場合、保存データは、FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます | Audit、Deny、Disabled | 1.0.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 特別な情報を保護する | CMA_0409 - 特別な情報を保護する | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントはインフラストラクチャ暗号化を行う必要がある | インフラストラクチャ暗号化を有効にして、データが安全であることをより高いレベルで保証します。 インフラストラクチャ暗号化が有効な場合、ストレージ アカウントのデータは 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある | データ セキュリティを強化するために、Azure Kubernetes Service ノード仮想マシン (VM) の VM ホストに格納されているデータは、保存時に暗号化する必要があります。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。
[ID]: NIST SP 800-171 R2 3.13.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.1 (非推奨) |
| [非推奨]: Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.1 (非推奨) |
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | Audit、Disabled | 2.0.1 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については以下を参照してください: https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
ユーザー機能をシステム管理機能から分離する。
[ID]: NIST SP 800-171 R2 3.13.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。
[ID] :NIST SP 800-171 R2 3.13.5 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.1 (非推奨) |
| [非推奨]: Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.1 (非推奨) |
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | Audit、Disabled | 2.0.1 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。 詳細については、https://aka.ms/fhir-privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については以下を参照してください: https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。
[ID]: NIST SP 800-171 R2 3.13.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | Audit、Disabled | 2.0.1 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については以下を参照してください: https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
リモート デバイスが、組織のシステムとの非リモート接続を確立することと、別の接続を介して外部ネットワークのリソースと通信することを同時に行う (すなわち、スプリット トンネリング) のを防止する。
[ID]: NIST SP 800-171 R2 3.13.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。
[ID] :NIST SP 800-171 R2 3.13.8 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
| App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| Azure HDInsight クラスターでは、転送中の暗号化を使用して、Azure HDInsight クラスター ノード間の通信を暗号化する必要がある | Azure HDInsight クラスター ノード間での転送中に、データが改ざんされる可能性があります。 転送中の暗号化を有効にすると、この転送中の悪用や改ざんの問題に対処できます。 | Audit、Deny、Disabled | 1.0.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| 関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
| 関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
通信セッション終了時、または定められた非アクティブな期間の経過後に、そのセッションに関連付けされたネットワーク接続を終了する。
[ID]: NIST SP 800-171 R2 3.13.9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
システムと情報の整合性
システムの欠陥を適切なタイミングで特定、報告、修正する。
[ID] :NIST SP 800-171 R2 3.14.1 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 現在の Kubernetes バージョンの既知の脆弱性から保護するため、Kubernetes Service クラスターを新しい Kubernetes バージョンにアップグレードしてください。 脆弱性 CVE-2019-9946 は、Kubernetes バージョン 1.11.9 以上、1.12.7 以上、1.13.5 以上、および 1.14.0 以上でパッチが適用されています | Audit、Disabled | 1.0.2 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。
[ID] :NIST SP 800-171 R2 3.14.2 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | このポリシーは、Microsoft Antimalware 保護定義の自動更新が構成されていないすべての Windows 仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | このポリシーは、Microsoft IaaSAntimalware 拡張機能がデプロイされていないすべての Windows Server VM を監査します。 | AuditIfNotExists、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
| 脅威に対する保護の状態を毎週確認する | CMA_0479 - 脅威に対する保護の状態を毎週確認する | Manual、Disabled | 1.1.0 |
| ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。
[ID]: NIST SP 800-171 R2 3.14.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| セキュリティ アラートを担当者に送信する | CMA_C1705 - セキュリティ アラートを担当者に送信する | Manual、Disabled | 1.1.0 |
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
| 脅威インテリジェンス プログラムを確立する | CMA_0260 - 脅威インテリジェンス プログラムを確立する | Manual、Disabled | 1.1.0 |
| セキュリティ ディレクティブの実装 | CMA_C1706 - セキュリティ ディレクティブの実装 | Manual、Disabled | 1.1.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。
[ID]: NIST SP 800-171 R2 3.14.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | このポリシーは、Microsoft Antimalware 保護定義の自動更新が構成されていないすべての Windows 仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | このポリシーは、Microsoft IaaSAntimalware 拡張機能がデプロイされていないすべての Windows Server VM を監査します。 | AuditIfNotExists、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
| ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
組織のシステムの定期的なスキャンを実行すると共に、外部ソースからのファイルのリアルタイム スキャンを、ファイルがダウンロードされる、開かれる、または実行されるときに行う。
[ID]: NIST SP 800-171 R2 3.14.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | このポリシーは、Microsoft Antimalware 保護定義の自動更新が構成されていないすべての Windows 仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | このポリシーは、Microsoft IaaSAntimalware 拡張機能がデプロイされていないすべての Windows Server VM を監査します。 | AuditIfNotExists、Disabled | 1.1.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。
[ID] :NIST SP 800-171 R2 3.14.6 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Linux Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Windows Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 認可または承認されていないネットワーク サービスを検出する | CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する | Manual、Disabled | 1.1.0 |
| 侵害のインジケーターを検出する | CMA_C1702 - 侵害のインジケーターを検出する | Manual、Disabled | 1.1.0 |
| セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
組織のシステムの不正使用を特定する。
[ID]: NIST SP 800-171 R2 3.14.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Linux Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Windows Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
認識とトレーニング
マネージャー、システム管理者、組織のシステムのユーザーが、自身の活動に関連するセキュリティ リスクと、組織のシステムのセキュリティに関連する適用可能なポリシー、標準、手続きについて認識していることを確実にする。
[ID]: NIST SP 800-171 R2 3.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
職員が割り当てられた情報セキュリティ関連の職務および責任を遂行するためのトレーニングを受けていることを確認する。
[ID]: NIST SP 800-171 R2 3.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
内部関係者による脅威の潜在的兆候を認識および報告するための、セキュリティの認識に関するトレーニングを提供する。
[ID]: NIST SP 800-171 R2 3.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 内部関係者の脅威プログラムを実装する | CMA_C1751 - 内部関係者の脅威プログラムを実装する | Manual、Disabled | 1.1.0 |
| 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | CMA_0417 - 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | Manual、Disabled | 1.1.0 |
監査とアカウンタビリティ
違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する
[ID] :NIST SP 800-171 R2 3.3.1 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Linux Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Windows Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure 監査機能を構成する | CMA_C1108 - Azure 監査機能を構成する | Manual、Disabled | 1.1.1 |
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| IoT Hub のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 3.1.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| セキュリティ ポリシーと手順を保持する | CMA_0454 - セキュリティ ポリシーと手順を保持する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
| ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の Virtual Machine Scale Sets を監査します。 | AuditIfNotExists、Disabled | 1.0.1 |
| 仮想マシンは、指定されたワークスペースに接続する必要がある | ポリシーまたはイニシアティブ割り当てで指定されている Log Analytics ワークスペースに仮想マシンがログを記録していない場合、それらを非準拠として報告します。 | AuditIfNotExists、Disabled | 1.1.0 |
| 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。
[ID] :NIST SP 800-171 R2 3.3.2 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Linux Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Windows Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| IoT Hub のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 3.1.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の Virtual Machine Scale Sets を監査します。 | AuditIfNotExists、Disabled | 1.0.1 |
| 仮想マシンは、指定されたワークスペースに接続する必要がある | ポリシーまたはイニシアティブ割り当てで指定されている Log Analytics ワークスペースに仮想マシンがログを記録していない場合、それらを非準拠として報告します。 | AuditIfNotExists、Disabled | 1.1.0 |
| 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
ログに記録されたイベントを確認して更新する。
[ID]: NIST SP 800-171 R2 3.3.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| AU-02 で定義されているイベントの確認と更新 | CMA_C1106 - AU-02 で定義されているイベントを確認して更新する | Manual、Disabled | 1.1.0 |
監査ログ プロセス エラーが発生した場合にアラートを出す。
[ID] :NIST SP 800-171 R2 3.3.4 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 監査処理アクティビティを管理および監視する | CMA_0289 - 監査処理アクティビティを管理および監視する | Manual、Disabled | 1.1.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| 監査イベント エラーのリアルタイム アラートを提供する | CMA_C1114 - 監査イベント エラーのリアルタイム アラートを提供する | Manual、Disabled | 1.1.0 |
違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。
[ID]: NIST SP 800-171 R2 3.3.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 監査レコード分析の統合 | CMA_C1120 - 監査レコード分析の統合 | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
オンデマンドでの分析と報告をサポートするための、監査レコードの削減およびレポート生成機能を提供する。
[ID]: NIST SP 800-171 R2 3.3.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| 監査レコードをシステム全体の監査にコンパイルする | CMA_C1140 - 監査レコードをシステム全体の監査にコンパイルする | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポート機能の提供 | CMA_C1124 - 監査レビュー、分析、レポート機能の提供 | Manual、Disabled | 1.1.0 |
| 顧客が管理する監査レコードを処理する機能の提供 | CMA_C1126 - 顧客が管理する監査レコードを処理する機能の提供 | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
監査レコードのタイム スタンプを生成するために、内部のシステム時計と信頼できるソースを比較および同期するシステム機能を提供する
[ID]: NIST SP 800-171 R2 3.3.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査レコードにシステム クロックを使用する | CMA_0535 - 監査レコードにシステム クロックを使用する | Manual、Disabled | 1.1.0 |
未承認のアクセス、変更、削除から、監査情報と監査ログ ツールを保護する。
[ID]: NIST SP 800-171 R2 3.3.8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 二重または共同の認可を有効にする | CMA_0226 - 二重または共同の認可を有効にする | Manual、Disabled | 1.1.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| 監査システムの整合性を維持する | CMA_C1133 - 監査システムの整合性を維持する | Manual、Disabled | 1.1.0 |
| 監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
監査ログ機能の管理を特権ユーザーの一部に限定する。
[ID]: NIST SP 800-171 R2 3.3.9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
構成管理
それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。
[ID]: NIST SP 800-171 R2 3.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Http 2.0 はクライアント証明書をサポートしていないため、このポリシーは同じ名前の新しいポリシーに置き換えられました。 | Audit、Disabled | 3.1.0 (非推奨) |
| App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 | Audit、Disabled | 1.0.2 |
| 非準拠のデバイスに対するアクションを構成する | CMA_0062 - 非準拠のデバイスに対するアクションを構成する | Manual、Disabled | 1.1.0 |
| データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
| ベースライン構成を作成して維持する | CMA_0153 - ベースライン構成を作成して維持する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| 構成コントロール ボードを設立する | CMA_0254 - 構成コントロール ボードを設立する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.0.0 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
| Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
| ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 | |
| コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
| Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
| 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 | |
| Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
| Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
| 以前のバージョンのベースライン構成を保持する | CMA_C1181 - 以前のバージョンのベースライン構成を保持する | Manual、Disabled | 1.1.0 |
| Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。
[ID]: NIST SP 800-171 R2 3.4.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Http 2.0 はクライアント証明書をサポートしていないため、このポリシーは同じ名前の新しいポリシーに置き換えられました。 | Audit、Disabled | 3.1.0 (非推奨) |
| App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 | Audit、Disabled | 1.0.2 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.0.0 |
| クラウド サービス プロバイダーのコンプライアンスを管理する | CMA_0290 - クラウド サービス プロバイダーのコンプライアンスを管理する | Manual、Disabled | 1.1.0 |
| Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
| ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 | |
| コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
| Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
| 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 | |
| Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
| Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
| Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
| Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。
[ID]: NIST SP 800-171 R2 3.4.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 制御を変更するために情報セキュリティ担当者を割り当てる | CMA_C1198 - 制御を変更するために情報セキュリティ担当者を割り当てる | Manual、Disabled | 1.1.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
変更の実装前に、セキュリティへの影響を分析する。
[ID]: NIST SP 800-171 R2 3.4.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
組織のシステムの変更に関連する物理的および論理的アクセス制限を定義、文書化、承認、適用する。
[ID]: NIST SP 800-171 R2 3.4.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制限の適用と監査 | CMA_C1203 - アクセス制限の適用と監査 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| 承認されていないソフトウェアとファームウェアのインストールを制限する | CMA_C1205 - 承認されていないソフトウェアとファームウェアのインストールを制限する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| 承認されていない変更の変更を確認する | CMA_C1204 - 承認されていない変更の変更を確認する | Manual、Disabled | 1.1.0 |
不可欠な機能だけを提供するように組織のシステムを構成して最小限の機能の原則を採用する。
[ID]: NIST SP 800-171 R2 3.4.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
識別と認証
システム ユーザー、ユーザーの代わりに動作するプロセス、およびデバイスを特定する。
[ID] :NIST SP 800-171 R2 3.5.1 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| システム識別子の割り当て | CMA_0018 - システム識別子の割り当て | Manual、Disabled | 1.1.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| 個々の認証子の使用を要求する | CMA_C1305 - 個々の認証子の使用を要求する | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
暗号で保護されたパスワードのみを格納して送信する。
[ID] :NIST SP 800-171 R2 3.5.10 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| 承認されたユーザーが指定された認証子を保護するようにする | CMA_C1339 - 承認されたユーザーが指定された認証子を保護するようにする | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | Windows マシンには、ローカル システムの動作、PKU2U、LAN Manager、LDAP クライアント、NTLM SSP の包含について、カテゴリ [セキュリティ オプション - ネットワーク セキュリティ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
認証情報のフィードバックを覆い隠す
[ID]: NIST SP 800-171 R2 3.5.11 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 認証処理中にフィードバック情報を隠す | CMA_C1344 - 認証処理中にフィードバック情報を隠す | Manual、Disabled | 1.1.0 |
組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。
[ID] :NIST SP 800-171 R2 3.5.2 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
| Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| 証明書には最長有効期間を指定する必要がある | キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| 認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Key Vault キーには有効期限が必要である | 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault シークレットには有効期限が必要である | シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
特権アカウントへのローカルおよびネットワーク アクセス、および非特権アカウントへのネットワーク アクセスに多要素認証を使用する
[ID] :NIST SP 800-171 R2 3.5.3 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
特権および非特権アカウントによるネットワーク アクセスに、リプレイ耐性のある認証メカニズムを採用する。
[ID]: NIST SP 800-171 R2 3.5.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | Windows マシンには、ローカル システムの動作、PKU2U、LAN Manager、LDAP クライアント、NTLM SSP の包含について、カテゴリ [セキュリティ オプション - ネットワーク セキュリティ] で指定されたグループ ポリシー設定が必要です。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
定義された期間、識別子 の再利用を防止する。
[ID]: NIST SP 800-171 R2 3.5.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| 定義された期間に識別子を再利用できないようにする | CMA_C1314 - 定義された期間に識別子を再利用できないようにする | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
定義された非アクティブな期間の経過後に識別子を無効にする。
[ID]: NIST SP 800-171 R2 3.5.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。
[ID] :NIST SP 800-171 R2 3.5.7 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
| パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
指定された生成回数についてパスワードの再利用を禁止する。
[ID] :NIST SP 800-171 R2 3.5.8 所有権:共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
インシデント対応
準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。
[ID]: NIST SP 800-171 R2 3.6.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 外部組織と連携して組織間の視点を実現する | CMA_C1368 - 外部組織と連携して組織間の視点を実現する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
| ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
| 汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
| 情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
インシデントを追跡および文書化し、組織内外の指定された職員および/または機関に報告する。
[ID]: NIST SP 800-171 R2 3.6.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
組織のインシデント対応機能をテストする。
[ID]: NIST SP 800-171 R2 3.6.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| インシデント対応テストを実施する | CMA_0060 - インシデント対応テストを実施する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| シミュレーション攻撃の実行 | CMA_0486 - シミュレーション攻撃の実行 | Manual、Disabled | 1.1.0 |
メンテナンス
組織のシステムのメンテナンスを実行する。[26]。
[ID]: NIST SP 800-171 R2 3.7.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メンテナンスと修復のアクティビティを制御する | CMA_0080 - メンテナンスと修復のアクティビティを制御する | Manual、Disabled | 1.1.0 |
システムのメンテナンスを実行するために使用するツール、技法、メカニズム、職員の管理策を提供する。
[ID]: NIST SP 800-171 R2 3.7.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メンテナンスと修復のアクティビティを制御する | CMA_0080 - メンテナンスと修復のアクティビティを制御する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
施設外で行われるメンテナンスのために取り外される機器からすべての CUI が確実にサニタイズされるようにする。
[ID]: NIST SP 800-171 R2 3.7.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
診断および試験プログラムを含むメディアを組織のシステムで使用する前に、悪意のあるコードの有無を検査する。
[ID]: NIST SP 800-171 R2 3.7.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メンテナンスと修復のアクティビティを制御する | CMA_0080 - メンテナンスと修復のアクティビティを制御する | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
外部ネットワーク接続を介した非ローカル メンテナンス セッションの確立に多要素認証を要求し、非ローカル メンテナンスの完了時にその接続を終了する。
[ID]: NIST SP 800-171 R2 3.7.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
必要なアクセス権限を持たないメンテナンス要員のメンテナンス活動を監督する。
[ID]: NIST SP 800-171 R2 3.7.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 承認されていないメンテナンス アクティビティを監視する担当者の指定 | CMA_C1422 - 承認されていないメンテナンス アクティビティを監視する担当者の指定 | Manual、Disabled | 1.1.0 |
| 承認されたリモート メンテナンス担当者リストの管理 | CMA_C1420 - 承認されたリモート メンテナンス担当者リストの管理 | Manual、Disabled | 1.1.0 |
| メンテナンス担当者の管理 | CMA_C1421 - メンテナンス担当者の管理 | Manual、Disabled | 1.1.0 |
メディア保護
紙およびデジタルの CUI の両方を含むシステム メディアを保護する (物理的に管理し、安全に保存する、など)。
[ID]: NIST SP 800-171 R2 3.8.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
システム メディア上の CUI へのアクセスを、許可されたユーザーに限定する
[ID]: NIST SP 800-171 R2 3.8.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
CUI を含むシステム メディアを廃棄または再利用する前にサニタイズまたは破壊する。
[ID]: NIST SP 800-171 R2 3.8.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
CUI の標記と配布制限が必要なメディアにはその旨を標記する。[27]
[ID]: NIST SP 800-171 R2 3.8.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
CUI を含むメディアへのアクセスを制御し、管理区域外での輸送中は、記憶媒体に関する説明責任を維持する。
[ID]: NIST SP 800-171 R2 3.8.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
代替の物理的保全措置によって保護されている場合を除き、デジタル メディアに格納された CUI の機密性を輸送時に保護するために暗号メカニズムを実装する。
[ID]: NIST SP 800-171 R2 3.8.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
システム コンポーネントでのリムーバブル メディアの使用を制御する。
[ID]: NIST SP 800-171 R2 3.8.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
ポータブル ストレージ デバイスの所有者を識別できない場合に、そうしたデバイスの使用を禁止する。
[ID]: NIST SP 800-171 R2 3.8.8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
保存場所にあるバックアップ CUI の機密性を保護する。
[ID]: NIST SP 800-171 R2 3.8.9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
| キー コンテナーで論理的な削除が有効になっている必要がある | 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 | Audit、Deny、Disabled | 3.0.0 |
人的セキュリティ
CUI を含む組織のシステムへのアクセスを認可する前に個人を審査する。
[ID]: NIST SP 800-171 R2 3.9.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 機密情報へのアクセス権を持つ職員をクリアする | CMA_0054 - 機密情報へのアクセス権を持つ職員をクリアする | Manual、Disabled | 1.1.0 |
| 職員のスクリーニングを実装する | CMA_0322 - 職員のスクリーニングを実装する | Manual、Disabled | 1.1.0 |
退職や異動などの人事措置の最中および後に、CUI を含む組織のシステムが確実に保護されるようにする
[ID]: NIST SP 800-171 R2 3.9.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 離職時に離職者面接を実施する | CMA_0058 - 離職時に離職者面接を実施する | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| 退職する従業員によりデータが盗まれないように保護して防止する | CMA_0398 - 退職する従業員によりデータが盗まれないように保護して防止する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。