スペインの ENS 規制コンプライアンスの組み込みイニシアティブの詳細
この記事では、Azure Policy 規制コンプライアンスの組み込みイニシアティブ定義が、スペインの ENS のコンプライアンス ドメインとコントロールにどのように対応するのかについて詳しく説明します。 このコンプライアンス標準の詳細については、スペインの ENS に関するドキュメントをご覧ください。 "所有権" を理解するには、「ポリシーの種類」と「クラウドにおける共同責任」を確認してください。
以下の対応は、スペインの ENS のコントロールに対するものです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、スペインの ENS 規制コンプライアンスの組み込みイニシアティブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
保護対策
通信の保護
ID: ENS v1 mp.com.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| Azure Attestation プロバイダーでパブリック ネットワーク アクセスを無効にする必要がある | Azure Attestation サービスのセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 aka.ms/azureattestation の説明に従って、パブリック ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
| Azure SignalR Service では公衆ネットワーク アクセスを無効にする必要がある | Azure SignalR Service リソースのセキュリティを強化するには、これがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/asrs/networkacls の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Application Gateway の Azure Web Application Firewall で要求本文の検査を有効にする必要があります | Azure Application Gateway に関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認してください。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door の Azure Web Application Firewall で要求本文の検査を有効にする必要があります | Azure Front Door に関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認してください。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| ファイアウォールを有効にするようにキー コンテナーを構成する | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 その後、特定の IP 範囲を構成して、それらのネットワークにアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Modify、Disabled | 1.1.1 |
| 公衆ネットワーク アクセスを無効にするようにストレージ アカウントを構成する | ストレージ アカウントのセキュリティを強化するには、これらがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/storageaccountpublicnetworkaccess の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Modify、Disabled | 1.0.1 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| レート制限規則を有効にして、Azure Front Door WAF への DDoS 攻撃から保護する | Azure Front Door 用の Azure Web Application Firewall (WAF) のレート制限規則によって、レート制限期間に特定のクライアント IP アドレスからアプリケーションに送信できる要求数が制御されます。 | Audit、Deny、Disabled | 1.0.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| Azure Synapse ワークスペースの IP ファイアウォール規則を削除する必要がある | IP ファイアウォール規則をすべて削除すると、Azure Synapse ワークスペースへのアクセス手段がプライベート エンドポイントに限定され、セキュリティが向上します。 ワークスペースのパブリック ネットワーク アクセスを許可するファイアウォール規則の作成が、この構成によって監査されます。 | Audit、Disabled | 1.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| MariaDB サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for MariaDB へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for MariaDB にあるかどうかを監査する方法が提供されます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Application Gateway で WAF 構成から WAF ポリシーに WAF を移行する | WAF ポリシーではなく WAF 構成がある場合は、新しい WAF ポリシーに移行できます。 今後、ファイアウォール ポリシーでは、WAF ポリシーの設定、マネージド ルール セット、除外、無効になっているルール グループがサポートされます。 | Audit、Deny、Disabled | 1.0.0 |
| 公衆ネットワーク アクセスを無効にするように Azure SignalR Service リソースを変更する | Azure SignalR Service リソースのセキュリティを強化するには、これがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/asrs/networkacls の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Modify、Disabled | 1.1.0 |
| MySQL サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for MySQL へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for MySQL にあるかどうかを監査する方法が提供されます。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure Database for PostgreSQL へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 このポリシーでは、使用されている仮想ネットワーク サービス エンドポイントが Azure Database for PostgreSQL にあるかどうかを監査する方法が提供されます。 | AuditIfNotExists、Disabled | 1.0.2 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| Azure Data Explorer の公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセス プロパティを無効にすると、Azure Data Explorer へのアクセスがプライベート エンドポイントからのみに限定されるため、セキュリティが向上します。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| IoT Central に対してパブリック ネットワーク アクセスを無効にする必要がある | IoT Central のセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/iotcentral-restrict-public-access の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| MySQL フレキシブル サーバーでは、パブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for MySQL フレキシブル サーバーへのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.1.0 |
| MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| PostgreSQL フレキシブル サーバーでは、パブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for PostgreSQL フレキシブル サーバーへのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP ベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 3.1.0 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.1 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントで公衆ネットワーク アクセスを無効にする必要がある | ストレージ アカウントのセキュリティを強化するには、これらがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 https://aka.ms/storageaccountpublicnetworkaccess の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 1.0.1 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 指定されたサブネットからのトラフィックを許可するには、Azure SQL Database の仮想ネットワーク ファイアウォール規則を有効にする必要がある | 仮想ネットワーク ベースのファイアウォール規則を使用すると、特定のサブネットから Azure SQL Database へのトラフィックを有効にしながら、トラフィックを Azure の境界内に留まるようすることができます。 | AuditIfNotExists | 1.0.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
| Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある | Application Gateway のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務付けます。 | Audit、Deny、Disabled | 1.0.0 |
| Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある | Azure Front Door Service のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務づけます。 | Audit、Deny、Disabled | 1.0.0 |
| Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある | Windows マシンの [Windows ファイアウォール プロパティ] カテゴリのファイアウォール状態、接続、ルール管理、通知が、指定されたグループ ポリシーの設定になっている必要があります。 このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
通信の保護
ID: ENS v1 mp.com.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 暗号化モジュールに対して認証する | CMA_0021 - 暗号化モジュールに対して認証する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
通信の保護
ID: ENS v1 mp.com.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | このポリシー定義は、意図を達成するための推奨される方法ではなくなりました。 このポリシーを引き続き使用する代わりに、ポリシー ID 3dc5edcd-002d-444c-b216-e123bbfa37c0 と ca88aadc-6e2b-416c-9de2-5a0f01d1693f でこの置換ポリシーを割り当てることをお勧めします。 ポリシー定義の非推奨の詳細については、aka.ms/policydefdeprecation をご覧ください | AuditIfNotExists、Disabled | 2.1.0 (非推奨) |
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
| 暗号化モジュールに対して認証する | CMA_0021 - 暗号化モジュールに対して認証する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
通信の保護
ID: ENS v1 mp.com.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
機器の保護
ID: ENS v1 mp.eq.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| 個人が戻ったときに不要なセキュリティ セーフガードを確認する | CMA_C1183 - 個人が戻ったときに不要なセキュリティ セーフガードを確認する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| 情報システムが個人と一緒に使用することを許可しない | CMA_C1182 - 情報システムが個人と一緒に使用することを許可しない | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
機器の保護
ID: ENS v1 mp.eq.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
機器の保護
ID: ENS v1 mp.eq.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| 事業継続とディザスター リカバリー計画を作成および文書化する | CMA_0146 - 事業継続とディザスター リカバリー計画を作成および文書化する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| ポリシーと手順の配布 | CMA_0185 - ポリシーと手順の配布 | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 自動化されたトレーニング環境を採用する | CMA_C1357 - 自動化されたトレーニング環境を採用する | Manual、Disabled | 1.1.0 |
| ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | CMA_C1268 - 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| 個人が戻ったときに不要なセキュリティ セーフガードを確認する | CMA_C1183 - 個人が戻ったときに不要なセキュリティ セーフガードを確認する | Manual、Disabled | 1.1.0 |
| 汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ人材の育成と向上プログラムを策定する | CMA_C1752 - 情報セキュリティ人材の育成と向上プログラムを策定する | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| 情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトで潜在的な問題を特定して軽減する | CMA_C1271 - 代替ストレージ サイトで潜在的な問題を特定して軽減する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
| 情報システムが個人と一緒に使用することを許可しない | CMA_C1182 - 情報システムが個人と一緒に使用することを許可しない | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの特殊な動作を報告する | CMA_C1025 - ユーザー アカウントの特殊な動作を報告する | Manual、Disabled | 1.1.0 |
| すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
| トレーニング レコードを保持する | CMA_0456 - トレーニング レコードを保持する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
| 非公開情報の公開に関する職員のトレーニング | CMA_C1084 - 非公開情報の公開に関する職員のトレーニング | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
| 制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
機器の保護
ID: ENS v1 mp.eq.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| 情報の分類 | CMA_0052 - 情報の分類 | Manual、Disabled | 1.1.0 |
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| 事業継続とディザスター リカバリー計画を作成および文書化する | CMA_0146 - 事業継続とディザスター リカバリー計画を作成および文書化する | Manual、Disabled | 1.1.0 |
| ビジネス分類スキームを作成する | CMA_0155 - ビジネス分類スキームを作成する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の配布 | CMA_0185 - ポリシーと手順の配布 | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | CMA_C1268 - 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| セキュリティ分類が承認されていることを確認する | CMA_C1540 - セキュリティ分類が承認されていることを確認する | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトで潜在的な問題を特定して軽減する | CMA_C1271 - 代替ストレージ サイトで潜在的な問題を特定して軽減する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
設備とインフラストラクチャの保護
ID: ENS v1 mp.if.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 資産管理の要件を定義する | CMA_0125 - 資産管理の要件を定義する | Manual、Disabled | 1.1.0 |
| 承認されていないメンテナンス アクティビティを監視する担当者の指定 | CMA_C1422 - 承認されていないメンテナンス アクティビティを監視する担当者の指定 | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | CMA_C1268 - 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトで潜在的な問題を特定して軽減する | CMA_C1271 - 代替ストレージ サイトで潜在的な問題を特定して軽減する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| 承認されたリモート メンテナンス担当者リストの管理 | CMA_C1420 - 承認されたリモート メンテナンス担当者リストの管理 | Manual、Disabled | 1.1.0 |
| セキュアな監視カメラ システムを管理する | CMA_0354 - セキュアな監視カメラ システムを管理する | Manual、Disabled | 1.1.0 |
| メンテナンス担当者の管理 | CMA_C1421 - メンテナンス担当者の管理 | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
設備とインフラストラクチャの保護
ID: ENS v1 mp.if.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 承認されていないメンテナンス アクティビティを監視する担当者の指定 | CMA_C1422 - 承認されていないメンテナンス アクティビティを監視する担当者の指定 | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| 承認されたリモート メンテナンス担当者リストの管理 | CMA_C1420 - 承認されたリモート メンテナンス担当者リストの管理 | Manual、Disabled | 1.1.0 |
| セキュアな監視カメラ システムを管理する | CMA_0354 - セキュアな監視カメラ システムを管理する | Manual、Disabled | 1.1.0 |
| メンテナンス担当者の管理 | CMA_C1421 - メンテナンス担当者の管理 | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
設備とインフラストラクチャの保護
ID: ENS v1 mp.if.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 自動非常用照明を使用する | CMA_0209 - 自動非常用照明を使用する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | CMA_C1268 - 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| インターネット アクセス プロバイダーの要件を確立する | CMA_0278 - インターネット アクセス プロバイダーの要件を確立する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトで潜在的な問題を特定して軽減する | CMA_C1271 - 代替ストレージ サイトで潜在的な問題を特定して軽減する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
設備とインフラストラクチャの保護
ID: ENS v1 mp.if.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| 自動非常用照明を使用する | CMA_0209 - 自動非常用照明を使用する | Manual、Disabled | 1.1.0 |
| インターネット アクセス プロバイダーの要件を確立する | CMA_0278 - インターネット アクセス プロバイダーの要件を確立する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| 代替計画テストの修正操作を開始する | CMA_C1263 - 代替計画テストの修正操作を開始する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 代替計画テストの結果を確認する | CMA_C1262 - 代替計画テストの結果を確認する | Manual、Disabled | 1.1.0 |
| 事業継続とディザスター リカバリーの計画をテストする | CMA_0509 - 事業継続とディザスター リカバリーの計画をテストする | Manual、Disabled | 1.1.0 |
設備とインフラストラクチャの保護
ID: ENS v1 mp.if.5 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | CMA_C1268 - 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトで潜在的な問題を特定して軽減する | CMA_C1271 - 代替ストレージ サイトで潜在的な問題を特定して軽減する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
設備とインフラストラクチャの保護
ID: ENS v1 mp.if.6 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | CMA_C1268 - 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトで潜在的な問題を特定して軽減する | CMA_C1271 - 代替ストレージ サイトで潜在的な問題を特定して軽減する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
設備とインフラストラクチャの保護
ID: ENS v1 mp.if.7 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 承認されていないメンテナンス アクティビティを監視する担当者の指定 | CMA_C1422 - 承認されていないメンテナンス アクティビティを監視する担当者の指定 | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| 承認されたリモート メンテナンス担当者リストの管理 | CMA_C1420 - 承認されたリモート メンテナンス担当者リストの管理 | Manual、Disabled | 1.1.0 |
| メンテナンス担当者の管理 | CMA_C1421 - メンテナンス担当者の管理 | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
情報の保護
ID: ENS v1 mp.info.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| コンプライアンス アクティビティを管理する | CMA_0358 - コンプライアンス アクティビティを管理する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
情報の保護
ID: ENS v1 mp.info.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| 情報の分類 | CMA_0052 - 情報の分類 | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| ビジネス分類スキームを作成する | CMA_0155 - ビジネス分類スキームを作成する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| セキュリティ分類が承認されていることを確認する | CMA_C1540 - セキュリティ分類が承認されていることを確認する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| コラボレーション コンピューティング デバイスの使用を明示的に通知する | CMA_C1649 - コラボレーション コンピューティング デバイスの使用を明示的に通知する | Manual、Disabled | 1.1.1 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | CMA_C1648 - コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
情報の保護
ID: ENS v1 mp.info.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| 暗号化モジュールに対して認証する | CMA_0021 - 暗号化モジュールに対して認証する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| プライバシー ポリシーの文書化と配布 | CMA_0188 - プライバシー ポリシーの文書化と配布 | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
情報の保護
ID: ENS v1 mp.info.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 選択したリソースの種類の診断設定を監査します | 選択したリソースの種類の診断設定の監査。 必ず、診断設定をサポートするリソースの種類のみを選んでください。 | AuditIfNotExists | 2.0.1 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| 監査レコードをシステム全体の監査にコンパイルする | CMA_C1140 - 監査レコードをシステム全体の監査にコンパイルする | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 監査レコードにシステム クロックを使用する | CMA_0535 - 監査レコードにシステム クロックを使用する | Manual、Disabled | 1.1.0 |
情報の保護
ID: ENS v1 mp.info.5 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
情報の保護
ID: ENS v1 mp.info.6 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: 特定のタグの付いたストレージ アカウントの BLOB のバックアップを、同じリージョン内の既存のバックアップ コンテナーに対して行うように構成する | 特定のタグを含むすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: 特定のタグを含まないすべてのストレージ アカウントの BLOB バックアップを、同じリージョン内にあるバックアップ コンテナーに対して行うように構成する | 特定のタグを含まないすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| 情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
| 特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| メンテナンスと修復のアクティビティを制御する | CMA_0080 - メンテナンスと修復のアクティビティを制御する | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| 資産管理の要件を定義する | CMA_0125 - 資産管理の要件を定義する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 事業継続とディザスター リカバリー計画を作成および文書化する | CMA_0146 - 事業継続とディザスター リカバリー計画を作成および文書化する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の配布 | CMA_0185 - ポリシーと手順の配布 | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| トランザクション ベースの回復を実装する | CMA_C1296 - トランザクション ベースの回復を実装する | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
| すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| バックアップ情報を個別に保存する | CMA_C1293 - バックアップ情報を個別に保存する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトにバックアップ情報を転送する | CMA_C1294 - 代替ストレージ サイトにバックアップ情報を転送する | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
スタッフの管理
ID: ENS v1 mp.per.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 機密情報へのアクセス権を持つ職員をクリアする | CMA_0054 - 機密情報へのアクセス権を持つ職員をクリアする | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を文書化する | CMA_0192 - 組織のアクセス契約を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 自動化されたトレーニング環境を採用する | CMA_C1357 - 自動化されたトレーニング環境を採用する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| アクセス契約が署名されているか、または時間内に辞任されていることを確認する | CMA_C1528 - アクセス契約が署名されているか、または時間内に辞任されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムの情報が一般公開されていることを確認する | CMA_C1867 - プライバシー プログラムの情報が一般公開されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ人材の育成と向上プログラムを策定する | CMA_C1752 - 情報セキュリティ人材の育成と向上プログラムを策定する | Manual、Disabled | 1.1.0 |
| 職員のスクリーニングを実装する | CMA_0322 - 職員のスクリーニングを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| ユーザーがアクセス契約に署名することを必須にする | CMA_0440 - ユーザーがアクセス契約に署名することを必須にする | Manual、Disabled | 1.1.0 |
| 定義された頻度で個人を再表示する | CMA_C1512 - 定義された頻度で個人を再表示する | Manual、Disabled | 1.1.0 |
| トレーニング レコードを保持する | CMA_0456 - トレーニング レコードを保持する | Manual、Disabled | 1.1.0 |
| 非公開情報の公開に関する職員のトレーニング | CMA_C1084 - 非公開情報の公開に関する職員のトレーニング | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を更新する | CMA_0520 - 組織のアクセス契約を更新する | Manual、Disabled | 1.1.0 |
スタッフの管理
ID: ENS v1 mp.per.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 離職時に離職者面接を実施する | CMA_0058 - 離職時に離職者面接を実施する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 組織の行動規範に関するポリシーを作成する | CMA_0159 - 組織の行動規範に関するポリシーを作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を文書化する | CMA_0192 - 組織のアクセス契約を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| アクセス契約が署名されているか、または時間内に辞任されていることを確認する | CMA_C1528 - アクセス契約が署名されているか、または時間内に辞任されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムの情報が一般公開されていることを確認する | CMA_C1867 - プライバシー プログラムの情報が一般公開されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 正式な制裁プロセスを実装する | CMA_0317 - 正式な制裁プロセスを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| 承認時に担当者に通知する | CMA_0380 - 承認時に担当者に通知する | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| 不正行為を禁止する | CMA_0396 - 不正行為を禁止する | Manual、Disabled | 1.1.0 |
| 退職する従業員によりデータが盗まれないように保護して防止する | CMA_0398 - 退職する従業員によりデータが盗まれないように保護して防止する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
| ユーザーがアクセス契約に署名することを必須にする | CMA_0440 - ユーザーがアクセス契約に署名することを必須にする | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
| 改訂された行動規範を確認して署名する | CMA_0465 - 改訂された行動規範を確認して署名する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を更新する | CMA_0520 - 組織のアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を更新する | CMA_0521 - 行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 3 年ごとに行動規範とアクセス契約を更新する | CMA_0522 - 3 年ごとに行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
スタッフの管理
ID: ENS v1 mp.per.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 自動化されたトレーニング環境を採用する | CMA_C1357 - 自動化されたトレーニング環境を採用する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ人材の育成と向上プログラムを策定する | CMA_C1752 - 情報セキュリティ人材の育成と向上プログラムを策定する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| トレーニング レコードを保持する | CMA_0456 - トレーニング レコードを保持する | Manual、Disabled | 1.1.0 |
| 非公開情報の公開に関する職員のトレーニング | CMA_C1084 - 非公開情報の公開に関する職員のトレーニング | Manual、Disabled | 1.1.0 |
スタッフの管理
ID: ENS v1 mp.per.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 自動化されたトレーニング環境を採用する | CMA_C1357 - 自動化されたトレーニング環境を採用する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ人材の育成と向上プログラムを策定する | CMA_C1752 - 情報セキュリティ人材の育成と向上プログラムを策定する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| トレーニング レコードを保持する | CMA_0456 - トレーニング レコードを保持する | Manual、Disabled | 1.1.0 |
| 非公開情報の公開に関する職員のトレーニング | CMA_C1084 - 非公開情報の公開に関する職員のトレーニング | Manual、Disabled | 1.1.0 |
サービスの保護
ID: ENS v1 mp.s.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を文書化する | CMA_0192 - 組織のアクセス契約を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 自動化されたトレーニング環境を採用する | CMA_C1357 - 自動化されたトレーニング環境を採用する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| アクセス契約が署名されているか、または時間内に辞任されていることを確認する | CMA_C1528 - アクセス契約が署名されているか、または時間内に辞任されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムの情報が一般公開されていることを確認する | CMA_C1867 - プライバシー プログラムの情報が一般公開されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ人材の育成と向上プログラムを策定する | CMA_C1752 - 情報セキュリティ人材の育成と向上プログラムを策定する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| ユーザーがアクセス契約に署名することを必須にする | CMA_0440 - ユーザーがアクセス契約に署名することを必須にする | Manual、Disabled | 1.1.0 |
| トレーニング レコードを保持する | CMA_0456 - トレーニング レコードを保持する | Manual、Disabled | 1.1.0 |
| 非公開情報の公開に関する職員のトレーニング | CMA_C1084 - 非公開情報の公開に関する職員のトレーニング | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を更新する | CMA_0520 - 組織のアクセス契約を更新する | Manual、Disabled | 1.1.0 |
サービスの保護
ID: ENS v1 mp.s.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| 契約社員とサービス プロバイダーのプライバシー要件を確立する | CMA_C1810 - 契約社員とサービス プロバイダーのプライバシー要件を確立する | Manual、Disabled | 1.1.0 |
| 認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
| コンプライアンス アクティビティを管理する | CMA_0358 - コンプライアンス アクティビティを管理する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウントについて担当者に通知する | CMA_C1009 - カスタマー コントロールのアカウントについて担当者に通知する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
| 変更されたグループとアカウントの認証子を再発行する | CMA_0426 - 変更されたグループとアカウントの認証子を再発行する | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウント資格情報を終了する | CMA_C1022 - カスタマー コントロールのアカウント資格情報を終了する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
サービスの保護
ID: ENS v1 mp.s.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリ スロットを仮想ネットワークに導入する必要がある | App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| App Service アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリを仮想ネットワークに導入する必要がある | App Service アプリを仮想ネットワークに導入すると、App Service の高度なネットワークおよびセキュリティ機能を利用できるようになり、ネットワーク セキュリティの構成をよりよく制御できます。 詳細については、https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet を参照してください。 | Audit、Deny、Disabled | 3.0.0 |
| App Service アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 2.0.1 |
| App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| Azure Application Gateway でリソース ログを有効にする必要がある | Azure Application Gateway (および WAF) のリソース ログを有効にし、Log Analytics ワークスペースにストリームします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Front Door でリソース ログを有効にする必要がある | Azure Front Door (および WAF) のリソース ログを有効にし、Log Analytics ワークスペースにストリームします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Front Door Standard または Premium (Plus WAF) でリソース ログを有効にする必要がある | Azure Front Door Standard または Premium (および WAF) のリソース ログと、Log Analytics ワークスペースへのストリームを有効にします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 | Audit、Disabled | |
| Azure Application Gateway の Azure Web Application Firewall で要求本文の検査を有効にする必要があります | Azure Application Gateway に関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認してください。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door の Azure Web Application Firewall で要求本文の検査を有効にする必要があります | Azure Front Door に関連付けられている Web アプリケーション ファイアウォールで、要求本文の検査が有効になっていることを確認してください。 これにより、WAF では HTTP ヘッダー、Cookie、または URI で評価できない可能性のある HTTP 本文内のプロパティを検査できます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Web PubSub サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Web PubSub サービスがパブリック インターネットに公開されなくなるため、セキュリティが向上します。 プライベート エンドポイントを作成すると、Azure Web PubSub サービスの公開を制限できます。 詳細については、https://aka.ms/awps/networkacls を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Web PubSub サービスで診断ログを有効にする必要がある | 診断ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Web PubSub サービスではローカルの認証方法を無効にする必要がある | ローカルの認証方法を無効にすると、Azure Web PubSub サービスで Azure Active Directory ID のみを認証に使用できるようになるため、セキュリティが向上します。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Web PubSub サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先でパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Web groupID 用のプライベート DNS ゾーン ID を構成する | Web groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| web_secondary groupID 用のプライベート DNS ゾーン ID を構成する | web_secondary groupID プライベート エンドポイントの DNS 解決をオーバーライドするようにプライベート DNS ゾーン グループを構成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Defender for App Service を構成して有効にする | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | DeployIfNotExists、Disabled | 1.0.1 |
| ローカル認証を無効にするように Azure Web PubSub サービスを構成する | ローカルの認証方法を無効にして、Azure Web PubSub サービスで Azure Active Directory ID のみを認証に使用できるようにします。 | Modify、Disabled | 1.0.0 |
| パブリック ネットワーク アクセスを無効にするように Azure Web PubSub サービスを構成する | Azure Web PubSub リソースのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、https://aka.ms/awps/networkacls を参照してください。 | Modify、Disabled | 1.0.0 |
| プライベート DNS ゾーンを使用するように Azure Web PubSub サービスを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンは、仮想ネットワークにリンクされ、Azure Web PubSub サービスに解決されます。 詳細については、https://aka.ms/awps/privatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| プライベート エンドポイントを使用して Azure Web PubSub サービスを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/awps/privatelink を参照してください。 | DeployIfNotExists、Disabled | 1.0.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 自動化されたトレーニング環境を採用する | CMA_C1357 - 自動化されたトレーニング環境を採用する | Manual、Disabled | 1.1.0 |
| Web PubSub サービス (microsoft.signalrservice/webpubsub) のカテゴリ グループごとのイベント ハブへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Web PubSub サービス (microsoft.signalrservice/webpubsub) 用のイベント ハブにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| Web PubSub サービス (microsoft.signalrservice/webpubsub) のカテゴリ グループごとの Log Analytics へのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Web PubSub サービス (microsoft.signalrservice/webpubsub) 用の Log Analytics ワークスペースにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| Web PubSub サービス (microsoft.signalrservice/webpubsub) のカテゴリ グループごとのストレージへのログを有効にする | リソース ログを有効にして、リソースで発生するアクティビティとイベントを追跡し、発生した変更を可視化し、分析情報を提供する必要があります。 このポリシーでは、カテゴリ グループを使用して診断設定をデプロイし、Web PubSub サービス (microsoft.signalrservice/webpubsub) 用のストレージ アカウントにログをルーティングします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| レート制限規則を有効にして、Azure Front Door WAF への DDoS 攻撃から保護する | Azure Front Door 用の Azure Web Application Firewall (WAF) のレート制限規則によって、レート制限期間に特定のクライアント IP アドレスからアプリケーションに送信できる要求数が制御されます。 | Audit、Deny、Disabled | 1.0.0 |
| 情報セキュリティ人材の育成と向上プログラムを策定する | CMA_C1752 - 情報セキュリティ人材の育成と向上プログラムを策定する | Manual、Disabled | 1.1.0 |
| 関数アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| Microsoft マネージド コントロール 1829 - データ整合性とデータ整合性ボード | Web サイトで契約を発行する | このデータの品質と整合性に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1865 - 記録システムに関する通知とプライバシー保護法声明書 | パブリック Web サイトの発行 | この透明性に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 一般向け Web サイトでコンピューターマッチング契約を発行する | CMA_C1829 - 一般向け Web サイトでコンピューターマッチング契約を発行する | Manual、Disabled | 1.1.0 |
| トレーニング レコードを保持する | CMA_0456 - トレーニング レコードを保持する | Manual、Disabled | 1.1.0 |
| 非公開情報の公開に関する職員のトレーニング | CMA_C1084 - 非公開情報の公開に関する職員のトレーニング | Manual、Disabled | 1.1.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
| Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある | Application Gateway のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務付けます。 | Audit、Deny、Disabled | 1.0.0 |
| Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある | Azure Front Door Service のすべての Web アプリケーション ファイアウォール ポリシーで、[検出] または [防止] モードの使用をアクティブにするように義務づけます。 | Audit、Deny、Disabled | 1.0.0 |
サービスの保護
ID: ENS v1 mp.s.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection を有効にする必要があります | パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 | AuditIfNotExists、Disabled | 3.0.1 |
| キャパシティ プランニングの実施 | CMA_C1252 - キャパシティ プランニングの実施 | Manual、Disabled | 1.1.0 |
| DDoS 対応計画の作成と文書化 | CMA_0147 - DDoS 対応計画の作成と文書化 | Manual、Disabled | 1.1.0 |
| レート制限規則を有効にして、Azure Front Door WAF への DDoS 攻撃から保護する | Azure Front Door 用の Azure Web Application Firewall (WAF) のレート制限規則によって、レート制限期間に特定のクライアント IP アドレスからアプリケーションに送信できる要求数が制御されます。 | Audit、Deny、Disabled | 1.0.0 |
| 監査処理アクティビティを管理および監視する | CMA_0289 - 監査処理アクティビティを管理および監視する | Manual、Disabled | 1.1.0 |
| パブリック IP アドレスでは Azure DDoS Protection のリソース ログが有効になっている必要がある | Log Analytics ワークスペースにストリーム配信するために、診断設定でパブリック IP アドレスのリソース ログを有効にします。 通知、レポート、フロー ログを使用して、攻撃のトラフィックと DDoS 攻撃を軽減するために取られた処置に関する詳細を表示します。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 仮想ネットワークを Azure DDoS Protection によって保護する必要がある | Azure DDoS Protection を使用して、仮想ネットワークを帯域幅消費およびプロトコル攻撃から保護します。 詳細については、https://aka.ms/ddosprotectiondocs を参照してください。 | Modify、Audit、Disabled | 1.0.1 |
情報メディアの保護
ID: ENS v1 mp.si.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報の分類 | CMA_0052 - 情報の分類 | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| ビジネス分類スキームを作成する | CMA_0155 - ビジネス分類スキームを作成する | Manual、Disabled | 1.1.0 |
| セキュリティ分類が承認されていることを確認する | CMA_C1540 - セキュリティ分類が承認されていることを確認する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
情報メディアの保護
ID: ENS v1 mp.si.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 暗号化モジュールに対して認証する | CMA_0021 - 暗号化モジュールに対して認証する | Manual、Disabled | 1.1.0 |
| 情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| プライバシー ポリシーの文書化と配布 | CMA_0188 - プライバシー ポリシーの文書化と配布 | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| 個人が戻ったときに不要なセキュリティ セーフガードを確認する | CMA_C1183 - 個人が戻ったときに不要なセキュリティ セーフガードを確認する | Manual、Disabled | 1.1.0 |
| 代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| トランザクション ベースの回復を実装する | CMA_C1296 - トランザクション ベースの回復を実装する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| 情報システムが個人と一緒に使用することを許可しない | CMA_C1182 - 情報システムが個人と一緒に使用することを許可しない | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| バックアップ情報を個別に保存する | CMA_C1293 - バックアップ情報を個別に保存する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトにバックアップ情報を転送する | CMA_C1294 - 代替ストレージ サイトにバックアップ情報を転送する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
情報メディアの保護
ID: ENS v1 mp.si.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| メンテナンスと修復のアクティビティを制御する | CMA_0080 - メンテナンスと修復のアクティビティを制御する | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
| 資産管理の要件を定義する | CMA_0125 - 資産管理の要件を定義する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 自動化されたトレーニング環境を採用する | CMA_C1357 - 自動化されたトレーニング環境を採用する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ人材の育成と向上プログラムを策定する | CMA_C1752 - 情報セキュリティ人材の育成と向上プログラムを策定する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニングの完了を監視する | CMA_0379 - セキュリティとプライバシーに関するトレーニングの完了を監視する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
| トレーニング レコードを保持する | CMA_0456 - トレーニング レコードを保持する | Manual、Disabled | 1.1.0 |
| 非公開情報の公開に関する職員のトレーニング | CMA_C1084 - 非公開情報の公開に関する職員のトレーニング | Manual、Disabled | 1.1.0 |
情報メディアの保護
ID: ENS v1 mp.si.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| 承認されていないメンテナンス アクティビティを監視する担当者の指定 | CMA_C1422 - 承認されていないメンテナンス アクティビティを監視する担当者の指定 | Manual、Disabled | 1.1.0 |
| プライバシー ポリシーの文書化と配布 | CMA_0188 - プライバシー ポリシーの文書化と配布 | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 承認されたリモート メンテナンス担当者リストの管理 | CMA_C1420 - 承認されたリモート メンテナンス担当者リストの管理 | Manual、Disabled | 1.1.0 |
| メンテナンス担当者の管理 | CMA_C1421 - メンテナンス担当者の管理 | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
情報メディアの保護
ID: ENS v1 mp.si.5 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
IT アプリケーションの保護
ID: ENS v1 mp.sw.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ロールと責任を定義する | CMA_C1565 - 情報セキュリティ ロールと責任を定義する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 暗号化されていない静的認証子がないことを確認する | CMA_C1340 - 暗号化されていない静的認証子がないことを確認する | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| セキュリティ ロールと責任を持つ個人を特定する | CMA_C1566 - セキュリティ ロールと責任を持つ個人を特定する | Manual、Disabled | 1.1.1 |
| PII を保護するためのコントロールを実装する | CMA_C1839 - PII を保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| リサーチ処理にセキュリティとデータ プライバシー プラクティスを組み込む | CMA_0331 - リサーチ処理にセキュリティとデータ プライバシー プラクティスを組み込む | Manual、Disabled | 1.1.0 |
| リスク管理プロセスを SDLC に統合する | CMA_C1567 - リスク管理プロセスを SDLC に統合する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| 情報入力の検証を実行 | CMA_C1723 - 情報入力の検証を実行 | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| セキュリティ アーキテクチャの構築を開発者に要求する | CMA_C1612 - セキュリティ アーキテクチャの構築を開発者に要求する | Manual、Disabled | 1.1.0 |
| 正確なセキュリティ機能を説明するよう開発者に要求する | CMA_C1613 - 正確なセキュリティ機能を説明するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | CMA_C1602 - セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | CMA_C1614 - 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 開発プロセス、標準、ツールをレビューする | CMA_C1610 - 開発プロセス、標準、ツールをレビューする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
IT アプリケーションの保護
ID: ENS v1 mp.sw.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| 承認担当者 (AO) を割り当てる | CMA_C1158 - 承認担当者 (AO) を割り当てる | Manual、Disabled | 1.1.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| リスク評価を実施して結果を配布する | CMA_C1544 - リスク評価を実施して結果を配布する | Manual、Disabled | 1.1.0 |
| リスク評価を実施し、その結果を文書化する | CMA_C1542 - リスク評価を実施し、その結果を文書化する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| リソースが承認されていることを確認する | CMA_C1159 - リソースが承認されていることを確認する | Manual、Disabled | 1.1.0 |
| 暗号化されていない静的認証子がないことを確認する | CMA_C1340 - 暗号化されていない静的認証子がないことを確認する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| Python を使用する関数アプリでは、指定された 'Python バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 4.1.0 |
| クラウド サービス プロバイダーのコンプライアンスを管理する | CMA_0290 - クラウド サービス プロバイダーのコンプライアンスを管理する | Manual、Disabled | 1.1.0 |
| PII を保護するためのコントロールを実装する | CMA_C1839 - PII を保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| リサーチ処理にセキュリティとデータ プライバシー プラクティスを組み込む | CMA_0331 - リサーチ処理にセキュリティとデータ プライバシー プラクティスを組み込む | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| セキュリティ評価レポートの生成 | CMA_C1146 - セキュリティ評価レポートの生成 | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | CMA_C1602 - セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| セキュリティ制御評価の追加テストを選択する | CMA_C1149 - セキュリティ制御評価の追加テストを選択する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
| システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
運用フレームワーク
アクセス制御
ID: ENS v1 op.acc.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
| システム識別子の割り当て | CMA_0018 - システム識別子の割り当て | Manual、Disabled | 1.1.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスの検出を有効にする | CMA_0220 - ネットワーク デバイスの検出を有効にする | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
| 認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 認証なしで許可されているアクションを特定する | CMA_0295 - 認証なしで許可されているアクションを特定する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウントについて担当者に通知する | CMA_C1009 - カスタマー コントロールのアカウントについて担当者に通知する | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| 定義された期間に識別子を再利用できないようにする | CMA_C1314 - 定義された期間に識別子を再利用できないようにする | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| 必要に応じてユーザー特権を再割り当てまたは削除する | CMA_C1040 - 必要に応じてユーザー特権を再割り当てまたは削除する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
| 変更されたグループとアカウントの認証子を再発行する | CMA_0426 - 変更されたグループとアカウントの認証子を再発行する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
| ユーザー特権を確認する | CMA_C1039 - ユーザー特権を確認する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
アクセス制御
ID: ENS v1 op.acc.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
| パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
| 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最大有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最小有効期間の既定値は 1 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
| パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスの検出を有効にする | CMA_0220 - ネットワーク デバイスの検出を有効にする | Manual、Disabled | 1.1.0 |
| ログイン試行の連続失敗回数の制限を強制する | CMA_C1044 - ログイン試行の連続失敗回数の制限を強制する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| 認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
| エラー メッセージの生成 | CMA_C1724 - エラー メッセージの生成 | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 認証なしで許可されているアクションを特定する | CMA_0295 - 認証なしで許可されているアクションを特定する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| 認証処理中にフィードバック情報を隠す | CMA_C1344 - 認証処理中にフィードバック情報を隠す | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
| 変更されたグループとアカウントの認証子を再発行する | CMA_0426 - 変更されたグループとアカウントの認証子を再発行する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| エラー メッセージの表示 | CMA_C1725 - エラー メッセージの表示 | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウント資格情報を終了する | CMA_C1022 - カスタマー コントロールのアカウント資格情報を終了する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを自動的に終了する | CMA_C1054 - ユーザー セッションを自動的に終了する | Manual、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
アクセス制御
ID: ENS v1 op.acc.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| アクセス認可を定義して職務の分離をサポートする | CMA_0116 - アクセス認可を定義して職務の分離をサポートする | Manual、Disabled | 1.1.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
| 職務の分離について文書化する | CMA_0204 - 職務の分離について文書化する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウントについて担当者に通知する | CMA_C1009 - カスタマー コントロールのアカウントについて担当者に通知する | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| 必要に応じてユーザー特権を再割り当てまたは削除する | CMA_C1040 - 必要に応じてユーザー特権を再割り当てまたは削除する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
| ユーザー特権を確認する | CMA_C1039 - ユーザー特権を確認する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| 個人の職務を分離する | CMA_0492 - 個人の職務を分離する | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
アクセス制御
ID: ENS v1 op.acc.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウントについて担当者に通知する | CMA_C1009 - カスタマー コントロールのアカウントについて担当者に通知する | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| 必要に応じてユーザー特権を再割り当てまたは削除する | CMA_C1040 - 必要に応じてユーザー特権を再割り当てまたは削除する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
| ユーザー特権を確認する | CMA_C1039 - ユーザー特権を確認する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
アクセス制御
ID: ENS v1 op.acc.5 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスの検出を有効にする | CMA_0220 - ネットワーク デバイスの検出を有効にする | Manual、Disabled | 1.1.0 |
| ログイン試行の連続失敗回数の制限を強制する | CMA_C1044 - ログイン試行の連続失敗回数の制限を強制する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| 認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
| エラー メッセージの生成 | CMA_C1724 - エラー メッセージの生成 | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 認証なしで許可されているアクションを特定する | CMA_0295 - 認証なしで許可されているアクションを特定する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウントについて担当者に通知する | CMA_C1009 - カスタマー コントロールのアカウントについて担当者に通知する | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| 認証処理中にフィードバック情報を隠す | CMA_C1344 - 認証処理中にフィードバック情報を隠す | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| 必要に応じてユーザー特権を再割り当てまたは削除する | CMA_C1040 - 必要に応じてユーザー特権を再割り当てまたは削除する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
| 変更されたグループとアカウントの認証子を再発行する | CMA_0426 - 変更されたグループとアカウントの認証子を再発行する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| エラー メッセージの表示 | CMA_C1725 - エラー メッセージの表示 | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 特権の確認と再評価 | CMA_C1207 - 特権の確認と再評価 | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
| ユーザー特権を確認する | CMA_C1039 - ユーザー特権を確認する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウント資格情報を終了する | CMA_C1022 - カスタマー コントロールのアカウント資格情報を終了する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを自動的に終了する | CMA_C1054 - ユーザー セッションを自動的に終了する | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
アクセス制御
ID: ENS v1 op.acc.6 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | このポリシー定義は、意図を達成するための推奨される方法ではなくなりました。 このポリシーを引き続き使用する代わりに、ポリシー ID 3dc5edcd-002d-444c-b216-e123bbfa37c0 と ca88aadc-6e2b-416c-9de2-5a0f01d1693f でこの置換ポリシーを割り当てることをお勧めします。 ポリシー定義の非推奨の詳細については、aka.ms/policydefdeprecation をご覧ください | AuditIfNotExists、Disabled | 2.1.0 (非推奨) |
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
| 暗号化モジュールに対して認証する | CMA_0021 - 暗号化モジュールに対して認証する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| プライバシー ポリシーの文書化と配布 | CMA_0188 - プライバシー ポリシーの文書化と配布 | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスの検出を有効にする | CMA_0220 - ネットワーク デバイスの検出を有効にする | Manual、Disabled | 1.1.0 |
| ログイン試行の連続失敗回数の制限を強制する | CMA_C1044 - ログイン試行の連続失敗回数の制限を強制する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| エラー メッセージの生成 | CMA_C1724 - エラー メッセージの生成 | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 認証なしで許可されているアクションを特定する | CMA_0295 - 認証なしで許可されているアクションを特定する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| 認証処理中にフィードバック情報を隠す | CMA_C1344 - 認証処理中にフィードバック情報を隠す | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
| エラー メッセージの表示 | CMA_C1725 - エラー メッセージの表示 | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| ユーザー セッションを自動的に終了する | CMA_C1054 - ユーザー セッションを自動的に終了する | Manual、Disabled | 1.1.0 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
サービスの継続性
ID: ENS v1 op.cont.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| シミュレートされたコンティンジェンシー トレーニングを組み込む | CMA_C1260 - シミュレートされたコンティンジェンシー トレーニングを組み込む | Manual、Disabled | 1.1.0 |
| 代替計画テストの修正操作を開始する | CMA_C1263 - 代替計画テストの修正操作を開始する | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1242 - コンティンジェンシー計画ポリシーおよび手順 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1243 - コンティンジェンシー計画ポリシーおよび手順 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1244 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1245 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1246 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1247 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1248 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1249 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1250 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1251 - コンティンジェンシー計画 | 関連する計画との調整 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1252 - コンティンジェンシー計画 | キャパシティ プランニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1253 - コンティンジェンシー計画 | 不可欠なミッション/ビジネス機能の再開 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1254 - コンティンジェンシー計画 | すべてのミッション/ビジネス機能の再開 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1255 - コンティンジェンシー計画 | 不可欠なミッション/ビジネス機能の継続 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1256 - コンティンジェンシー計画 | 重要な資産の識別 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1257 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1258 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1259 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1260 - コンティンジェンシー トレーニング | シミュレートされたイベント | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1261 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1262 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1263 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1264 - コンティンジェンシー計画のテスト | 関連する計画との調整 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1265 - コンティンジェンシー計画のテスト | 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1266 - コンティンジェンシー計画のテスト | 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1267 - 代替ストレージ サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1268 - 代替ストレージ サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1269 - 代替ストレージ サイト | プライマリ サイトからの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1270 - 代替ストレージ サイト | 目標復旧時間/目標復旧時点 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1271 - 代替ストレージ サイト | アクセシビリティ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1272 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1273 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1274 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1275 - 代替処理サイト | プライマリ サイトからの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1276 - 代替処理サイト | アクセシビリティ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1277 - 代替処理サイト | サービスの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1278 - 代替処理サイト | 使用の準備 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1279 - 電気通信サービス | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1280 - 電気通信サービス | サービスのプロビジョニングの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1281 - 電気通信サービス | サービスのプロビジョニングの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1282 - 電気通信サービス | 単一障害点 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1283 - 電気通信サービス | プライマリ/代替プロバイダーの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1284 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1285 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1286 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1287 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1288 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1289 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1290 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1291 - 情報システムのバックアップ | 信頼性/整合性に対するテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1292 - 情報システムのバックアップ | サンプリングを使用した復元のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1293 - 情報システムのバックアップ | 重要な情報用の個別のストレージ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1294 - 情報システムのバックアップ | 代替ストレージ サイトへの転送 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1295 - 情報システムの復旧および再構成 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1296 - 情報システムの復旧および再構成 | トランザクションの回復 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1297 - 情報システムの復旧および再構成 | 期間内の復元 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| 代替計画テストの結果を確認する | CMA_C1262 - 代替計画テストの結果を確認する | Manual、Disabled | 1.1.0 |
| 代替処理を実行する場所で代替計画をテストする | CMA_C1265 - 代替処理を実行する場所で代替計画をテストする | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
サービスの継続性
ID: ENS v1 op.cont.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| シミュレートされたコンティンジェンシー トレーニングを組み込む | CMA_C1260 - シミュレートされたコンティンジェンシー トレーニングを組み込む | Manual、Disabled | 1.1.0 |
| 代替計画テストの修正操作を開始する | CMA_C1263 - 代替計画テストの修正操作を開始する | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1242 - コンティンジェンシー計画ポリシーおよび手順 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1243 - コンティンジェンシー計画ポリシーおよび手順 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1244 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1245 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1246 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1247 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1248 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1249 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1250 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1251 - コンティンジェンシー計画 | 関連する計画との調整 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1252 - コンティンジェンシー計画 | キャパシティ プランニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1253 - コンティンジェンシー計画 | 不可欠なミッション/ビジネス機能の再開 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1254 - コンティンジェンシー計画 | すべてのミッション/ビジネス機能の再開 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1255 - コンティンジェンシー計画 | 不可欠なミッション/ビジネス機能の継続 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1256 - コンティンジェンシー計画 | 重要な資産の識別 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1257 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1258 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1259 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1260 - コンティンジェンシー トレーニング | シミュレートされたイベント | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1261 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1262 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1263 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1264 - コンティンジェンシー計画のテスト | 関連する計画との調整 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1265 - コンティンジェンシー計画のテスト | 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1266 - コンティンジェンシー計画のテスト | 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1267 - 代替ストレージ サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1268 - 代替ストレージ サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1269 - 代替ストレージ サイト | プライマリ サイトからの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1270 - 代替ストレージ サイト | 目標復旧時間/目標復旧時点 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1271 - 代替ストレージ サイト | アクセシビリティ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1272 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1273 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1274 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1275 - 代替処理サイト | プライマリ サイトからの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1276 - 代替処理サイト | アクセシビリティ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1277 - 代替処理サイト | サービスの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1278 - 代替処理サイト | 使用の準備 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1279 - 電気通信サービス | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1280 - 電気通信サービス | サービスのプロビジョニングの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1281 - 電気通信サービス | サービスのプロビジョニングの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1282 - 電気通信サービス | 単一障害点 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1283 - 電気通信サービス | プライマリ/代替プロバイダーの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1284 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1285 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1286 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1287 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1288 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1289 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1290 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1291 - 情報システムのバックアップ | 信頼性/整合性に対するテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1292 - 情報システムのバックアップ | サンプリングを使用した復元のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1293 - 情報システムのバックアップ | 重要な情報用の個別のストレージ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1294 - 情報システムのバックアップ | 代替ストレージ サイトへの転送 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1295 - 情報システムの復旧および再構成 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1296 - 情報システムの復旧および再構成 | トランザクションの回復 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1297 - 情報システムの復旧および再構成 | 期間内の復元 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| 代替計画テストの結果を確認する | CMA_C1262 - 代替計画テストの結果を確認する | Manual、Disabled | 1.1.0 |
| 代替処理を実行する場所で代替計画をテストする | CMA_C1265 - 代替処理を実行する場所で代替計画をテストする | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
サービスの継続性
ID: ENS v1 op.cont.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Recovery Services コンテナーでは、バックアップ データを暗号化するために、カスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、バックアップ データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/AB-CmkEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Recovery Services コンテナーではバックアップのためにプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 | Audit、Disabled | 2.0.0-preview |
| プレビュー: バックアップ用にプライベート DNS ゾーンを使用するよう Recovery Services コンテナーを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: バックアップ用にプライベート エンドポイントを使用するように Recovery Services コンテナーを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート エンドポイント構成の対象となるには、コンテナーが特定の前提条件を満たす必要があります。 詳細については、https://go.microsoft.com/fwlink/?linkid=2187162 を参照してください | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: バックアップ コンテナーのクロス サブスクリプション復元を無効にする | バックアップ コンテナーのクロス サブスクリプション復元を無効または永続的に無効にすると、復元ターゲットはコンテナー サブスクリプションとは異なるサブスクリプションに存在できなくなります。 詳細については、https://aka.ms/csrstatechange を参照してください。 | Modify、Disabled | 1.1.0-preview |
| [プレビュー]: バックアップ コンテナーに対して不変性を有効にする必要がある | このポリシーでは、スコープ内のバックアップ コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、https://aka.ms/AB-ImmutableVaults をご覧ください。 | Audit、Disabled | 1.0.1-preview |
| [プレビュー]: Recovery Services コンテナーに対して不変性を有効にする必要がある | このポリシーでは、スコープ内の Recovery Services コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、https://aka.ms/AB-ImmutableVaults をご覧ください。 | Audit、Disabled | 1.0.1-preview |
| [プレビュー]: バックアップ コンテナーに対して論理的な削除を有効にする必要がある | このポリシーでは、スコープ内のバックアップ コンテナーに対して論理的な削除が有効になっているかどうかを監査します。 論理的な削除では、データが削除された後に復旧させることができます。 詳細については、https://aka.ms/AB-SoftDelete を参照してください | Audit、Disabled | 1.0.0-preview |
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| 情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
| 特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| シミュレートされたコンティンジェンシー トレーニングを組み込む | CMA_C1260 - シミュレートされたコンティンジェンシー トレーニングを組み込む | Manual、Disabled | 1.1.0 |
| 代替計画テストの修正操作を開始する | CMA_C1263 - 代替計画テストの修正操作を開始する | Manual、Disabled | 1.1.0 |
| Azure SQL データベースの長期的な geo 冗長バックアップを有効にする必要がある | このポリシーは、長期的な geo 冗長バックアップが有効になっていないすべての Azure SQL データベースを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft マネージド コントロール 1132 - 監査情報の保護 | 個別の物理システム/コンポーネントのバックアップの監査 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1242 - コンティンジェンシー計画ポリシーおよび手順 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1243 - コンティンジェンシー計画ポリシーおよび手順 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1244 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1245 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1246 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1247 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1248 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1249 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1250 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1251 - コンティンジェンシー計画 | 関連する計画との調整 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1252 - コンティンジェンシー計画 | キャパシティ プランニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1253 - コンティンジェンシー計画 | 不可欠なミッション/ビジネス機能の再開 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1254 - コンティンジェンシー計画 | すべてのミッション/ビジネス機能の再開 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1255 - コンティンジェンシー計画 | 不可欠なミッション/ビジネス機能の継続 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1256 - コンティンジェンシー計画 | 重要な資産の識別 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1257 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1258 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1259 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1260 - コンティンジェンシー トレーニング | シミュレートされたイベント | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1261 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1262 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1263 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1264 - コンティンジェンシー計画のテスト | 関連する計画との調整 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1265 - コンティンジェンシー計画のテスト | 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1266 - コンティンジェンシー計画のテスト | 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1267 - 代替ストレージ サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1268 - 代替ストレージ サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1269 - 代替ストレージ サイト | プライマリ サイトからの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1270 - 代替ストレージ サイト | 目標復旧時間/目標復旧時点 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1271 - 代替ストレージ サイト | アクセシビリティ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1272 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1273 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1274 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1275 - 代替処理サイト | プライマリ サイトからの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1276 - 代替処理サイト | アクセシビリティ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1277 - 代替処理サイト | サービスの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1278 - 代替処理サイト | 使用の準備 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1279 - 電気通信サービス | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1280 - 電気通信サービス | サービスのプロビジョニングの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1281 - 電気通信サービス | サービスのプロビジョニングの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1282 - 電気通信サービス | 単一障害点 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1283 - 電気通信サービス | プライマリ/代替プロバイダーの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1284 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1285 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1286 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1287 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1288 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1289 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1290 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1291 - 情報システムのバックアップ | 信頼性/整合性に対するテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1292 - 情報システムのバックアップ | サンプリングを使用した復元のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1293 - 情報システムのバックアップ | 重要な情報用の個別のストレージ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1294 - 情報システムのバックアップ | 代替ストレージ サイトへの転送 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1295 - 情報システムの復旧および再構成 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1296 - 情報システムの復旧および再構成 | トランザクションの回復 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1297 - 情報システムの復旧および再構成 | 期間内の復元 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| 代替計画テストの結果を確認する | CMA_C1262 - 代替計画テストの結果を確認する | Manual、Disabled | 1.1.0 |
| バックアップ情報を個別に保存する | CMA_C1293 - バックアップ情報を個別に保存する | Manual、Disabled | 1.1.0 |
| SQL データベースでは GRS バックアップ冗長の使用を避ける | データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、データベースの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 | Deny、Disabled | 2.0.0 |
| SQL マネージド インスタンスでは GRS バックアップ冗長の使用を避ける | データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、マネージド インスタンスの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 | Deny、Disabled | 2.0.0 |
| 代替処理を実行する場所で代替計画をテストする | CMA_C1265 - 代替処理を実行する場所で代替計画をテストする | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトにバックアップ情報を転送する | CMA_C1294 - 代替ストレージ サイトにバックアップ情報を転送する | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
サービスの継続性
ID: ENS v1 op.cont.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Recovery Services コンテナーでは、バックアップ データを暗号化するために、カスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、バックアップ データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/AB-CmkEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: Azure Recovery Services コンテナーではバックアップのためにプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 | Audit、Disabled | 2.0.0-preview |
| [プレビュー]: 特定のタグの付いたストレージ アカウントの BLOB のバックアップを、同じリージョン内の既存のバックアップ コンテナーに対して行うように構成する | 特定のタグを含むすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: 特定のタグを含まないすべてのストレージ アカウントの BLOB バックアップを、同じリージョン内にあるバックアップ コンテナーに対して行うように構成する | 特定のタグを含まないすべてのストレージ アカウントにある BLOB のバックアップを、中央バックアップ コンテナーに対して行うように強制します。 これを行うと、複数のストレージ アカウントにわたって含まれる BLOB のバックアップを大規模に管理するのに役立ちます。 詳細については、https://aka.ms/AB-BlobBackupAzPolicies を参照してください | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| プレビュー: バックアップ用にプライベート DNS ゾーンを使用するよう Recovery Services コンテナーを構成する | プライベート DNS ゾーンを使用して、プライベート エンドポイントの DNS 解決をオーバーライドします。 プライベート DNS ゾーンが仮想ネットワークにリンクされ、Recovery Services コンテナーに解決されます。 詳細については、https://aka.ms/AB-PrivateEndpoints を参照してください。 | DeployIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: バックアップ用にプライベート エンドポイントを使用するように Recovery Services コンテナーを構成する | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート エンドポイント構成の対象となるには、コンテナーが特定の前提条件を満たす必要があります。 詳細については、https://go.microsoft.com/fwlink/?linkid=2187162 を参照してください | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: バックアップ コンテナーのクロス サブスクリプション復元を無効にする | バックアップ コンテナーのクロス サブスクリプション復元を無効または永続的に無効にすると、復元ターゲットはコンテナー サブスクリプションとは異なるサブスクリプションに存在できなくなります。 詳細については、https://aka.ms/csrstatechange を参照してください。 | Modify、Disabled | 1.1.0-preview |
| [プレビュー]: バックアップ コンテナーに対して不変性を有効にする必要がある | このポリシーでは、スコープ内のバックアップ コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、https://aka.ms/AB-ImmutableVaults をご覧ください。 | Audit、Disabled | 1.0.1-preview |
| [プレビュー]: Recovery Services コンテナーに対して不変性を有効にする必要がある | このポリシーでは、スコープ内の Recovery Services コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、https://aka.ms/AB-ImmutableVaults をご覧ください。 | Audit、Disabled | 1.0.1-preview |
| [プレビュー]: バックアップ コンテナーに対して論理的な削除を有効にする必要がある | このポリシーでは、スコープ内のバックアップ コンテナーに対して論理的な削除が有効になっているかどうかを監査します。 論理的な削除では、データが削除された後に復旧させることができます。 詳細については、https://aka.ms/AB-SoftDelete を参照してください | Audit、Disabled | 1.0.0-preview |
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| 情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
| 特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| シミュレートされたコンティンジェンシー トレーニングを組み込む | CMA_C1260 - シミュレートされたコンティンジェンシー トレーニングを組み込む | Manual、Disabled | 1.1.0 |
| 代替計画テストの修正操作を開始する | CMA_C1263 - 代替計画テストの修正操作を開始する | Manual、Disabled | 1.1.0 |
| Azure SQL データベースの長期的な geo 冗長バックアップを有効にする必要がある | このポリシーは、長期的な geo 冗長バックアップが有効になっていないすべての Azure SQL データベースを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft マネージド コントロール 1132 - 監査情報の保護 | 個別の物理システム/コンポーネントのバックアップの監査 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1242 - コンティンジェンシー計画ポリシーおよび手順 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1243 - コンティンジェンシー計画ポリシーおよび手順 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1244 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1245 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1246 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1247 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1248 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1249 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1250 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1251 - コンティンジェンシー計画 | 関連する計画との調整 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1252 - コンティンジェンシー計画 | キャパシティ プランニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1253 - コンティンジェンシー計画 | 不可欠なミッション/ビジネス機能の再開 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1254 - コンティンジェンシー計画 | すべてのミッション/ビジネス機能の再開 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1255 - コンティンジェンシー計画 | 不可欠なミッション/ビジネス機能の継続 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1256 - コンティンジェンシー計画 | 重要な資産の識別 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1257 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1258 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1259 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1260 - コンティンジェンシー トレーニング | シミュレートされたイベント | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1261 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1262 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1263 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1264 - コンティンジェンシー計画のテスト | 関連する計画との調整 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1265 - コンティンジェンシー計画のテスト | 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1266 - コンティンジェンシー計画のテスト | 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1267 - 代替ストレージ サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1268 - 代替ストレージ サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1269 - 代替ストレージ サイト | プライマリ サイトからの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1270 - 代替ストレージ サイト | 目標復旧時間/目標復旧時点 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1271 - 代替ストレージ サイト | アクセシビリティ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1272 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1273 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1274 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1275 - 代替処理サイト | プライマリ サイトからの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1276 - 代替処理サイト | アクセシビリティ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1277 - 代替処理サイト | サービスの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1278 - 代替処理サイト | 使用の準備 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1279 - 電気通信サービス | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1280 - 電気通信サービス | サービスのプロビジョニングの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1281 - 電気通信サービス | サービスのプロビジョニングの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1282 - 電気通信サービス | 単一障害点 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1283 - 電気通信サービス | プライマリ/代替プロバイダーの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1284 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1285 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1286 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1287 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1288 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1289 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1290 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1291 - 情報システムのバックアップ | 信頼性/整合性に対するテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1292 - 情報システムのバックアップ | サンプリングを使用した復元のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1293 - 情報システムのバックアップ | 重要な情報用の個別のストレージ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1294 - 情報システムのバックアップ | 代替ストレージ サイトへの転送 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1295 - 情報システムの復旧および再構成 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1296 - 情報システムの復旧および再構成 | トランザクションの回復 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1297 - 情報システムの復旧および再構成 | 期間内の復元 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| 代替計画テストの結果を確認する | CMA_C1262 - 代替計画テストの結果を確認する | Manual、Disabled | 1.1.0 |
| バックアップ情報を個別に保存する | CMA_C1293 - バックアップ情報を個別に保存する | Manual、Disabled | 1.1.0 |
| SQL データベースでは GRS バックアップ冗長の使用を避ける | データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、データベースの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 | Deny、Disabled | 2.0.0 |
| SQL マネージド インスタンスでは GRS バックアップ冗長の使用を避ける | データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、マネージド インスタンスの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 | Deny、Disabled | 2.0.0 |
| 代替処理を実行する場所で代替計画をテストする | CMA_C1265 - 代替処理を実行する場所で代替計画をテストする | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトにバックアップ情報を転送する | CMA_C1294 - 代替ストレージ サイトにバックアップ情報を転送する | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
操作
ID: ENS v1 op.exp.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けされるように Linux Arc 対応マシンを構成する | 指定したデータ収集ルールに Linux Arc 対応マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking と Inventory 用に AMA をインストールするように Linux Arc 対応マシンを構成する | ChangeTracking と Inventory を有効にするための Linux Arc 対応マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 リージョンがサポートされている場合、このポリシーによって拡張機能がインストールされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.3.0-preview |
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Linux Virtual Machines を構成する | 指定したデータ収集ルールに Linux 仮想マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Linux VM を構成する | ChangeTracking と Inventory を有効にするための Linux 仮想マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.5.0-preview |
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Linux VMSS を構成する | 指定したデータ収集ルールに Linux 仮想マシン スケール セットをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Linux VMSS を構成する | ChangeTracking と Inventory を有効にするための Linux 仮想マシン スケール セットへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.4.0-preview |
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けされるように Windows Arc 対応マシンを構成する | 指定したデータ収集ルールに Windows Arc 対応マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所の一覧は、サポートの向上に伴って更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking と Inventory 用に AMA をインストールするように Windows Arc 対応マシンを構成する | ChangeTracking と Inventory を有効にするための Windows Arc 対応マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされていて、システムによって割り当てられたマネージド ID が有効になっている場合、このポリシーは拡張機能をインストールし、それ以外の場合はインストールをスキップします。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Windows Virtual Machines を構成する | 指定したデータ収集ルールに Windows 仮想マシンをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Windows VM を構成する | ChangeTracking と Inventory を有効にするための Windows 仮想マシンへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0-preview |
| [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Windows VMSS を構成する | 指定したデータ収集ルールに Windows 仮想マシン スケール セットをリンクする関連付けをデプロイし、ChangeTracking と Inventory を有効にします。 場所と OS イメージの一覧は、サポートが増加する度に更新されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Windows VMSS を構成する | ChangeTracking と Inventory を有効にするための Windows 仮想マシン スケール セットへの Azure Monitor エージェント拡張機能のデプロイを自動化します。 OS とリージョンがサポートされている場合、このポリシーでは、拡張機能がインストールされ、指定されたユーザー割り当てマネージド ID を使用するようにその拡張機能が構成されます。サポートされていない場合、インストールはスキップされます。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、Disabled | 1.1.0-preview |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| 離職時に離職者面接を実施する | CMA_0058 - 離職時に離職者面接を実施する | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1222 - 情報システム コンポーネント インベントリ | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1223 - 情報システム コンポーネント インベントリ | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1224 - 情報システム コンポーネント インベントリ | インストール/削除中の更新 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1225 - 情報システム コンポーネント インベントリ | メンテナンスの自動化 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1226 - 情報システム コンポーネント インベントリ | 許可されていないコンポーネントの検出の自動化 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1227 - 情報システム コンポーネント インベントリ | 許可されていないコンポーネントの検出の自動化 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1228 - 情報システム コンポーネント インベントリ | 説明責任の情報 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1229 - 情報システム コンポーネント インベントリ | コンポーネントの重複会計処理なし | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1739 - 情報システムのインベントリ | このプログラム管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1854 - 個人を特定できる情報のインベントリ | このセキュリティに関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1855 - 個人を特定できる情報のインベントリ | このセキュリティに関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| 退職する従業員によりデータが盗まれないように保護して防止する | CMA_0398 - 退職する従業員によりデータが盗まれないように保護して防止する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
操作
ID: ENS v1 op.exp.10 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Key Vault マネージド HSM キー コンテナーのキーには有効期限を設定する必要がある | プレビューでこのポリシーを使用するには、まず https://aka.ms/mhsmgovernance で次の手順に従う必要があります。 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.1-preview |
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| 暗号化モジュールに対して認証する | CMA_0021 - 暗号化モジュールに対して認証する | Manual、Disabled | 1.1.0 |
| Azure Container Instance コンテナー グループでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、コンテナーをより柔軟にセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit, Disabled, Deny | 1.0.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 暗号化メカニズムが構成管理の下に存在するようにする | CMA_C1199 - 暗号化メカニズムが構成管理の下に存在するようにする | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| 認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
| 認証なしで許可されているアクションを特定する | CMA_0295 - 認証なしで許可されているアクションを特定する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| 暗号化メカニズムを実装する | CMA_C1419 - 暗号化メカニズムを実装する | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| Key Vault キーには有効期限が必要である | 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| ハードウェア セキュリティ モジュール (HSM) によってキーをサポートする必要がある | HSM は、キーを格納するハードウェア セキュリティ モジュールです。 HSM によって、暗号化キーの物理的な保護レイヤーが提供されます。 暗号化キーは、ソフトウェア キーよりも高いレベルのセキュリティを提供する物理 HSM から離れることはできません。 | Audit、Deny、Disabled | 1.0.1 |
| キーは、特定の暗号化の種類 (RSA または EC) である必要がある | 一部のアプリケーションでは、特定の暗号化の種類によってサポートされるキーを使用する必要があります。 お使いの環境では、特定の暗号化キーの種類 (RSA または EC) を適用してください。 | Audit、Deny、Disabled | 1.0.1 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1133 - 監査情報の保護 | 暗号化による保護 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1345 - 暗号化モジュールの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1419 - リモート メンテナンス | 暗号化による保護 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1641 - 送信の機密性と整合性 | 暗号化または代替の物理的保護 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1643 - 暗号化キーの確立と管理 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1644 - 暗号化キーの確立と管理 | 可用性 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1645 - 暗号化キーの確立と管理 | 対称キー | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1664 - 保存情報の保護 | 暗号化による保護 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを生成、制御、配布する | CMA_C1645 - 対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| Queue Storage では暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に Queue Storage をセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
| 変更されたグループとアカウントの認証子を再発行する | CMA_0426 - 変更されたグループとアカウントの認証子を再発行する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Disabled | 1.0.3 |
| Table Storage では暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に Table Storage をセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
| カスタマー コントロールのアカウント資格情報を終了する | CMA_C1022 - カスタマー コントロールのアカウント資格情報を終了する | Manual、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
操作
ID: ENS v1 op.exp.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 最新のソフトウェア更新プログラムを取得するには、Azure Machine Learning コンピューティング インスタンスを再作成する必要がある | Azure Machine Learning コンピューティング インスタンスが利用可能な最新のオペレーティング システムで実行されていることを確実にします。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、https://aka.ms/azureml-ci-updates/ を参照してください。 | [parameters('effects')] | 1.0.3 |
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender により、Qualys 脆弱性評価プロバイダーをまだインストールしていないサポート対象のコンピューターすべてに、自動でこのエージェントがデプロイされます。 | DeployIfNotExists、Disabled | 4.0.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンの情報を関連付ける | CMA_C1558 - 脆弱性スキャンの情報を関連付ける | Manual、Disabled | 1.1.1 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定する | CMA_C1232 - 構成管理計画を策定する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| ソフトウェア実行特権を適用する | CMA_C1041 - ソフトウェア実行特権を適用する | Manual、Disabled | 1.1.0 |
| 暗号化メカニズムが構成管理の下に存在するようにする | CMA_C1199 - 暗号化メカニズムが構成管理の下に存在するようにする | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | CMA_C1555 - 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1174 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1175 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1219 - 最小限の機能 | 認可されたソフトウェア/ホワイトリスト登録 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1220 - 最小限の機能 | 認可されたソフトウェア/ホワイトリスト登録 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1221 - 最小限の機能 | 認可されたソフトウェア/ホワイトリスト登録 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1230 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1231 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1232 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1233 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1234 - ソフトウェアの使用制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1235 - ソフトウェアの使用制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1236 - ソフトウェアの使用制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1237 - ソフトウェアの使用制限 | オープン ソース ソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1238 - ユーザーがインストールするソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1239 - ユーザーがインストールするソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1240 - ユーザーがインストールするソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1241 - ユーザーがインストールするソフトウェア | 承認されていないインストールに対するアラート | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1546 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1547 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1548 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1549 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1550 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1551 - 脆弱性のスキャン | 更新ツールの機能 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1552 - 脆弱性のスキャン | 頻度による更新/新規スキャンの前の更新/識別時の更新 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1553 - 脆弱性のスキャン | 対象範囲の広さと深さ | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1554 - 脆弱性のスキャン | 検出可能な情報 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1555 - 脆弱性のスキャン | 特権アクセス | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1556 - 脆弱性のスキャン | 自動傾向分析 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1557 - 脆弱性のスキャン | 履歴監査ログの確認 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1558 - 脆弱性のスキャン | スキャン情報の関連付け | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1594 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1595 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1596 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1597 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1598 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1599 - 開発者の構成管理 | ソフトウェア/ファームウェアの整合性の検証 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1606 - 開発者によるセキュリティのテストと評価 | 脅威と脆弱性の分析 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1712 - ソフトウェアと情報の整合性 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1713 - ソフトウェアと情報の整合性 | 整合性チェック | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1714 - ソフトウェアと情報の整合性 | 整合性違反の自動通知 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1715 - ソフトウェアと情報の整合性 | 整合性違反への自動対応 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1716 - ソフトウェアと情報の整合性 | 検出と応答の統合 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1717 - ソフトウェアと情報の整合性 | バイナリ コードまたはマシン実行可能コード | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1718 - ソフトウェアと情報の整合性 | バイナリ コードまたはマシン実行可能コード | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1834 - データの保持と廃棄 | このデータの最小化と保持に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1835 - データの保持と廃棄 | このデータの最小化と保持に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1836 - データの保持と廃棄 | このデータの最小化と保持に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1837 - データの保持と廃棄 | システム構成 | このデータの最小化と保持に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| 承認されていないソフトウェアとファームウェアのインストールを制限する | CMA_C1205 - 承認されていないソフトウェアとファームウェアのインストールを制限する | Manual、Disabled | 1.1.0 |
| オープン ソース ソフトウェアの使用を制限する | CMA_C1237 - オープン ソース ソフトウェアの使用を制限する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 代替脆弱性評価ソリューションに移行するためのサブスクリプションを設定する | クラウドオファー 用 Microsoft Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 このポリシーを有効にすると、Defender for Cloud によって、組み込みの Microsoft Defender 脆弱性管理ソリューションからサポートされているすべてのマシンに調査結果が自動的に伝達されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ソフトウェア ライセンスの使用を追跡する | CMA_C1235 - ソフトウェア ライセンスの使用を追跡する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
| ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Synapse ワークスペースで脆弱性評価を有効にする必要がある | Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 | AuditIfNotExists、Disabled | 1.0.0 |
操作
ID: ENS v1 op.exp.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
| 最新のソフトウェア更新プログラムを取得するには、Azure Machine Learning コンピューティング インスタンスを再作成する必要がある | Azure Machine Learning コンピューティング インスタンスが利用可能な最新のオペレーティング システムで実行されていることを確実にします。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、https://aka.ms/azureml-ci-updates/ を参照してください。 | [parameters('effects')] | 1.0.3 |
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 |
| 情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
| 特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する | 仮想マシンと同じ場所およびリソース グループに復旧サービス コンテナーをデプロイして、すべての仮想マシンにバックアップを適用します。 組織内の異なるアプリケーション チームに別個のリソース グループが割り当てられていて、独自のバックアップと復元を管理する必要がある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMAppCentricBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて含めることができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupIncludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | すべての仮想マシンを仮想マシンと同じ場所およびサブスクリプション内の既存の中央復旧サービス コンテナーにバックアップして、それらのマシンにバックアップを適用します。 組織に、サブスクリプション内のすべてのリソースのバックアップを管理する中央のチームがある場合は、これを行うと便利です。 割り当てのスコープを制御するために、指定したタグを含む仮想マシンを必要に応じて除外することができます。 以下を参照してください。https://aka.ms/AzureVMCentralBackupExcludeTag | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender により、Qualys 脆弱性評価プロバイダーをまだインストールしていないサポート対象のコンピューターすべてに、自動でこのエージェントがデプロイされます。 | DeployIfNotExists、Disabled | 4.0.0 |
| 脆弱性スキャンの情報を関連付ける | CMA_C1558 - 脆弱性スキャンの情報を関連付ける | Manual、Disabled | 1.1.1 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定する | CMA_C1232 - 構成管理計画を策定する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| ソフトウェア実行特権を適用する | CMA_C1041 - ソフトウェア実行特権を適用する | Manual、Disabled | 1.1.0 |
| 暗号化メカニズムが構成管理の下に存在するようにする | CMA_C1199 - 暗号化メカニズムが構成管理の下に存在するようにする | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | CMA_C1555 - 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| Azure SQL データベースの長期的な geo 冗長バックアップを有効にする必要がある | このポリシーは、長期的な geo 冗長バックアップが有効になっていないすべての Azure SQL データベースを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft マネージド コントロール 1132 - 監査情報の保護 | 個別の物理システム/コンポーネントのバックアップの監査 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1174 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1175 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1219 - 最小限の機能 | 認可されたソフトウェア/ホワイトリスト登録 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1220 - 最小限の機能 | 認可されたソフトウェア/ホワイトリスト登録 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1221 - 最小限の機能 | 認可されたソフトウェア/ホワイトリスト登録 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1230 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1231 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1232 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1233 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1234 - ソフトウェアの使用制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1235 - ソフトウェアの使用制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1236 - ソフトウェアの使用制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1237 - ソフトウェアの使用制限 | オープン ソース ソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1238 - ユーザーがインストールするソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1239 - ユーザーがインストールするソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1240 - ユーザーがインストールするソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1241 - ユーザーがインストールするソフトウェア | 承認されていないインストールに対するアラート | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1287 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1288 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1289 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1290 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1291 - 情報システムのバックアップ | 信頼性/整合性に対するテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1292 - 情報システムのバックアップ | サンプリングを使用した復元のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1293 - 情報システムのバックアップ | 重要な情報用の個別のストレージ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1294 - 情報システムのバックアップ | 代替ストレージ サイトへの転送 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1546 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1547 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1548 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1549 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1550 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1551 - 脆弱性のスキャン | 更新ツールの機能 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1552 - 脆弱性のスキャン | 頻度による更新/新規スキャンの前の更新/識別時の更新 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1553 - 脆弱性のスキャン | 対象範囲の広さと深さ | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1554 - 脆弱性のスキャン | 検出可能な情報 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1555 - 脆弱性のスキャン | 特権アクセス | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1556 - 脆弱性のスキャン | 自動傾向分析 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1557 - 脆弱性のスキャン | 履歴監査ログの確認 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1558 - 脆弱性のスキャン | スキャン情報の関連付け | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1594 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1595 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1596 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1597 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1598 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1599 - 開発者の構成管理 | ソフトウェア/ファームウェアの整合性の検証 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1606 - 開発者によるセキュリティのテストと評価 | 脅威と脆弱性の分析 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1712 - ソフトウェアと情報の整合性 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1713 - ソフトウェアと情報の整合性 | 整合性チェック | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1714 - ソフトウェアと情報の整合性 | 整合性違反の自動通知 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1715 - ソフトウェアと情報の整合性 | 整合性違反への自動対応 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1716 - ソフトウェアと情報の整合性 | 検出と応答の統合 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1717 - ソフトウェアと情報の整合性 | バイナリ コードまたはマシン実行可能コード | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1718 - ソフトウェアと情報の整合性 | バイナリ コードまたはマシン実行可能コード | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.1 |
| Microsoft マネージド コントロール 1834 - データの保持と廃棄 | このデータの最小化と保持に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1835 - データの保持と廃棄 | このデータの最小化と保持に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1836 - データの保持と廃棄 | このデータの最小化と保持に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1837 - データの保持と廃棄 | システム構成 | このデータの最小化と保持に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| 承認されていないソフトウェアとファームウェアのインストールを制限する | CMA_C1205 - 承認されていないソフトウェアとファームウェアのインストールを制限する | Manual、Disabled | 1.1.0 |
| オープン ソース ソフトウェアの使用を制限する | CMA_C1237 - オープン ソース ソフトウェアの使用を制限する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| バックアップ情報を個別に保存する | CMA_C1293 - バックアップ情報を個別に保存する | Manual、Disabled | 1.1.0 |
| 代替脆弱性評価ソリューションに移行するためのサブスクリプションを設定する | クラウドオファー 用 Microsoft Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 このポリシーを有効にすると、Defender for Cloud によって、組み込みの Microsoft Defender 脆弱性管理ソリューションからサポートされているすべてのマシンに調査結果が自動的に伝達されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL データベースでは GRS バックアップ冗長の使用を避ける | データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、データベースの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 | Deny、Disabled | 2.0.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| SQL マネージド インスタンスでは GRS バックアップ冗長の使用を避ける | データ所在地の規則によってデータを特定のリージョン内に保持することが求められる場合、マネージド インスタンスの既定の geo 冗長ストレージをバックアップに使用することを避ける必要があります。 注:T-SQL を使用してデータベースを作成する場合、Azure Policy は適用されません。 明示的に指定されていない場合、geo 冗長バックアップ ストレージを備えたデータベースは T-SQL を使用して作成されます。 | Deny、Disabled | 2.0.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ソフトウェア ライセンスの使用を追跡する | CMA_C1235 - ソフトウェア ライセンスの使用を追跡する | Manual、Disabled | 1.1.0 |
| 代替ストレージ サイトにバックアップ情報を転送する | CMA_C1294 - 代替ストレージ サイトにバックアップ情報を転送する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
| ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Synapse ワークスペースで脆弱性評価を有効にする必要がある | Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 | AuditIfNotExists、Disabled | 1.0.0 |
操作
ID: ENS v1 op.exp.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
| Python を使用する App Service アプリでは、指定された 'Python バージョン' を使用する必要があります | セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (該当する場合) や新機能を利用できるように、最新の Python バージョンを App Service アプリに使用することをお勧めします。 このポリシーは Linux アプリにのみ適用されます。 このポリシーでは、要件を満たす Python バージョンを指定する必要があります。 | AuditIfNotExists、Disabled | 4.1.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| リモート メンテナンス アクティビティを自動化する | CMA_C1402 - リモート メンテナンス アクティビティを自動化する | Manual、Disabled | 1.1.0 |
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender により、Qualys 脆弱性評価プロバイダーをまだインストールしていないサポート対象のコンピューターすべてに、自動でこのエージェントがデプロイされます。 | DeployIfNotExists、Disabled | 4.0.0 |
| メンテナンスと修復のアクティビティを制御する | CMA_0080 - メンテナンスと修復のアクティビティを制御する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンの情報を関連付ける | CMA_C1558 - 脆弱性スキャンの情報を関連付ける | Manual、Disabled | 1.1.1 |
| アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定する | CMA_C1232 - 構成管理計画を策定する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| 暗号化メカニズムが構成管理の下に存在するようにする | CMA_C1199 - 暗号化メカニズムが構成管理の下に存在するようにする | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | CMA_C1555 - 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1174 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1175 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1230 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1231 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1232 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1233 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1546 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1547 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1548 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1549 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1550 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1551 - 脆弱性のスキャン | 更新ツールの機能 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1552 - 脆弱性のスキャン | 頻度による更新/新規スキャンの前の更新/識別時の更新 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1553 - 脆弱性のスキャン | 対象範囲の広さと深さ | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1554 - 脆弱性のスキャン | 検出可能な情報 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1555 - 脆弱性のスキャン | 特権アクセス | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1556 - 脆弱性のスキャン | 自動傾向分析 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1557 - 脆弱性のスキャン | 履歴監査ログの確認 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1558 - 脆弱性のスキャン | スキャン情報の関連付け | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1594 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1595 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1596 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1597 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1598 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1599 - 開発者の構成管理 | ソフトウェア/ファームウェアの整合性の検証 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1606 - 開発者によるセキュリティのテストと評価 | 脅威と脆弱性の分析 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| リモート メンテナンス アクティビティの完全なレコードを生成する | CMA_C1403 - リモート メンテナンス アクティビティの完全なレコードを生成する | Manual、Disabled | 1.1.0 |
| タイムリーなメンテナンス サポートを提供する | CMA_C1425 - タイムリーなメンテナンス サポートを提供する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替脆弱性評価ソリューションに移行するためのサブスクリプションを設定する | クラウドオファー 用 Microsoft Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 このポリシーを有効にすると、Defender for Cloud によって、組み込みの Microsoft Defender 脆弱性管理ソリューションからサポートされているすべてのマシンに調査結果が自動的に伝達されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Synapse ワークスペースで脆弱性評価を有効にする必要がある | Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 | AuditIfNotExists、Disabled | 1.0.0 |
操作
ID: ENS v1 op.exp.5 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender により、Qualys 脆弱性評価プロバイダーをまだインストールしていないサポート対象のコンピューターすべてに、自動でこのエージェントがデプロイされます。 | DeployIfNotExists、Disabled | 4.0.0 |
| 脆弱性スキャンの情報を関連付ける | CMA_C1558 - 脆弱性スキャンの情報を関連付ける | Manual、Disabled | 1.1.1 |
| アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定する | CMA_C1232 - 構成管理計画を策定する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| 暗号化メカニズムが構成管理の下に存在するようにする | CMA_C1199 - 暗号化メカニズムが構成管理の下に存在するようにする | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | CMA_C1555 - 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1174 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1175 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1230 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1231 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1232 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1233 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1546 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1547 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1548 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1549 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1550 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1551 - 脆弱性のスキャン | 更新ツールの機能 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1552 - 脆弱性のスキャン | 頻度による更新/新規スキャンの前の更新/識別時の更新 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1553 - 脆弱性のスキャン | 対象範囲の広さと深さ | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1554 - 脆弱性のスキャン | 検出可能な情報 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1555 - 脆弱性のスキャン | 特権アクセス | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1556 - 脆弱性のスキャン | 自動傾向分析 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1557 - 脆弱性のスキャン | 履歴監査ログの確認 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1558 - 脆弱性のスキャン | スキャン情報の関連付け | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1594 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1595 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1596 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1597 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1598 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1599 - 開発者の構成管理 | ソフトウェア/ファームウェアの整合性の検証 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1606 - 開発者によるセキュリティのテストと評価 | 脅威と脆弱性の分析 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替脆弱性評価ソリューションに移行するためのサブスクリプションを設定する | クラウドオファー 用 Microsoft Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 このポリシーを有効にすると、Defender for Cloud によって、組み込みの Microsoft Defender 脆弱性管理ソリューションからサポートされているすべてのマシンに調査結果が自動的に伝達されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Synapse ワークスペースで脆弱性評価を有効にする必要がある | Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 | AuditIfNotExists、Disabled | 1.0.0 |
操作
ID: ENS v1 op.exp.6 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 | Audit、Disabled | 2.0.1 |
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| Cloud Services (延長サポート) ロール インスタンスでは Endpoint Protection ソリューションがインストールされている必要がある | Endpoint Protection ソリューションがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスを脅威と脆弱性から保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for SQL を自動的にインストールするように Arc 対応 SQL Server を構成する | Microsoft Defender for SQL エージェントを自動的にインストールするように Windows Arc 対応 SQL Server を構成します。 Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、Disabled | 1.2.0 |
| Log Analytics ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように Arc 対応 SQL Server を構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループ、データ収集ルールと Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.5.0 |
| ユーザー定義の LA ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように Arc 対応 SQL Server を構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義の Log Analytics ワークスペースと同じリージョンに、リソース グループとデータ収集ルールを作成します。 | DeployIfNotExists、Disabled | 1.7.0 |
| Microsoft Defender for SQL DCR へのデータ収集ルールの関連付けを使用して Arc 対応 SQL Server を構成する | Arc 対応 SQL Server と Microsoft Defender for SQL DCR 間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| Microsoft Defender for SQL ユーザー定義 DCR へのデータ収集ルールの関連付けを使用して Arc 対応 SQL Server を構成する | Arc 対応 SQL Server と Microsoft Defender for SQL ユーザー定義 DCR 間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 | DeployIfNotExists、Disabled | 1.3.0 |
| Azure Defender for App Service を構成して有効にする | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | DeployIfNotExists、Disabled | 1.0.1 |
| Azure Defender for Azure SQL Database を構成して有効にする | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | DeployIfNotExists、Disabled | 1.0.1 |
| オープンソース リレーショナル データベース用 Azure Defender を構成し有効にする | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | DeployIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Resource Manager を構成して有効にする | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | DeployIfNotExists、Disabled | 1.1.0 |
| サーバー用 Azure Defender を構成して有効にする | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | DeployIfNotExists、Disabled | 1.0.1 |
| Azure Defender for SQL servers on machines を構成して有効にする | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | DeployIfNotExists、Disabled | 1.0.1 |
| SQL マネージド インスタンスで Azure Defender を有効にするように構成する | Azure SQL Managed Instance で Azure Defender を有効にし、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 | DeployIfNotExists、Disabled | 2.0.0 |
| Defender プロファイルを有効にするように Azure Kubernetes Service クラスターを構成する | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 お使いの Azure Kubernetes Service クラスターで SecurityProfile.Defender を有効にすると、クラスターにエージェントがデプロイされ、セキュリティ イベント データが収集されます。 Microsoft Defender for Containers の詳細: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | DeployIfNotExists、Disabled | 4.2.0 |
| 基本の Microsoft Defender for Storage を有効にするように構成する (アクティビティ監視のみ) | Microsoft Defender for Storage は、お使いのストレージ アカウントに対する潜在的な脅威を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。 このポリシーでは、基本的な Defender for Storage 機能 (アクティビティ監視) を有効にします。 アップロード時のマルウェア スキャンと機密データ脅威検出も含む、完全な保護を有効にするには、完全な有効化ポリシー (aka.ms/DefenderForStoragePolicy) を使用します。 Defender for Storage の機能と利点の詳細については、aka.ms/DefenderForStorage をご覧ください。 | DeployIfNotExists、Disabled | 1.1.0 |
| 脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender により、Qualys 脆弱性評価プロバイダーをまだインストールしていないサポート対象のコンピューターすべてに、自動でこのエージェントがデプロイされます。 | DeployIfNotExists、Disabled | 4.0.0 |
| Microsoft Defender CSPM を有効にするように構成する | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | DeployIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender for Azure Cosmos DB を有効に構成する | Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。 Microsoft Defender for Azure Cosmos DB では、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者が検出されます。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にするように構成する | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | DeployIfNotExists、Disabled | 1.0.1 |
| Microsoft Defender for Key Vault プランを構成する | Microsoft Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | DeployIfNotExists、Disabled | 1.1.0 |
| Synapse ワークスペースで Microsoft Defender for SQL を有効にするように構成する | Azure Synapse ワークスペースで Microsoft Defender for SQL を有効にして、データベースにアクセスしたり SQL データベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | DeployIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にするように構成する | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | DeployIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender for Storage を有効にするように構成する | Microsoft Defender for Storage は、お使いのストレージ アカウントに対する潜在的な脅威を検出する、Azure ネイティブのセキュリティ インテリジェンス レイヤーです。 このポリシーでは、すべての Defender for Storage 機能 (アクティビティ監視、マルウェア スキャン、機密データ脅威検出) を有効にします。 Defender for Storage の機能と利点の詳細については、aka.ms/DefenderForStorage をご覧ください。 | DeployIfNotExists、Disabled | 1.3.0 |
| Microsoft Defender for SQL を自動的にインストールするように SQL Virtual Machines を構成する | Microsoft Defender for SQL 拡張機能を自動的にインストールするように、Windows SQL Virtual Machines を構成します。 Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、Disabled | 1.4.0 |
| Log Analytics ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように SQL Virtual Machines を構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループ、データ収集ルールと Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.6.0 |
| ユーザー定義の LA ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように SQL Virtual Machines を構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義の Log Analytics ワークスペースと同じリージョンに、リソース グループとデータ収集ルールを作成します。 | DeployIfNotExists、Disabled | 1.7.0 |
| SMicrosoft Defender for SQL Log Analytics ワークスペースを構成する | Microsoft Defender for SQL では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンに、リソース グループと Log Analytics ワークスペースを作成します。 | DeployIfNotExists、Disabled | 1.3.0 |
| メンテナンスと修復のアクティビティを制御する | CMA_0080 - メンテナンスと修復のアクティビティを制御する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントに Defender for Storage (クラシック) をデプロイする | このポリシーを使用すると、ストレージ アカウントで Defender for Storage (クラシック) が有効になります。 | DeployIfNotExists、Disabled | 1.0.1 |
| Microsoft Defender for Cloud のデータについて、信頼されているサービスとしてのイベント ハブへのエクスポートをデプロイする | Microsoft Defender for Cloud データの信頼されているサービスとして、イベント ハブへのエクスポートを有効にします。 このポリシーを使用すると、信頼されているサービスとしてのイベント ハブへのエクスポート構成がデプロイされ、条件と対象イベント ハブは割り当てられたスコープに設定されます。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | DeployIfNotExists、Disabled | 1.0.0 |
| サブスクリプションで Microsoft Defender for Cloud を有効にする | Microsoft Defender for Cloud で監視されていない既存のサブスクリプションを識別し、Defender for Cloud の無料機能で保護します。 既に監視されているサブスクリプションは、"準拠している" と見なされます。 新しく作成されたサブスクリプションを登録するには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 1.0.1 |
| Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| エンドポイント保護をマシンにインストールする必要がある | 脅威と脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 | AuditIfNotExists、Disabled | 1.0.0 |
| エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 脅威と脆弱性から保護するため、お使いの仮想マシン スケール セットでのエンドポイント保護ソリューションの存在と正常性を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| 非ローカル メンテナンスと診断アクティビティを管理する | CMA_0364 - 非ローカル メンテナンスと診断アクティビティを管理する | Manual、Disabled | 1.1.0 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Azure Cosmos DB を有効にする必要がある | Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。 Microsoft Defender for Azure Cosmos DB では、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者が検出されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists、Disabled | 1.0.0 |
| ARC 対応 SQL Server では、Microsoft Defender for SQL の状態を保護する必要がある | Microsoft Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 有効にすると、保護状態により、リソースがアクティブに監視されていることが示されます。 Defender が有効になっている場合でも、エージェント、マシン、ワークスペース、SQL サーバーで複数の構成設定を検証し、アクティブな保護を確認する必要があります。 | Audit、Disabled | 1.0.1 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
| 脅威に対する保護の状態を毎週確認する | CMA_0479 - 脅威に対する保護の状態を毎週確認する | Manual、Disabled | 1.1.0 |
| 代替脆弱性評価ソリューションに移行するためのサブスクリプションを設定する | クラウドオファー 用 Microsoft Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 このポリシーを有効にすると、Defender for Cloud によって、組み込みの Microsoft Defender 脆弱性管理ソリューションからサポートされているすべてのマシンに調査結果が自動的に伝達されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windows マシンで 1 日以内に保護署名を更新するように Windows Defender を構成する必要がある | 新たに現れるマルウェアから適切に保護するには、新たに現れたマルウェアを考慮するために、Windows Defender 保護署名を定期的に更新する必要があります。 このポリシーは Arc で接続されているサーバーには適用されず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることを要求します。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| Windows マシンで Windows Defender リアルタイム保護を有効にする必要がある | 新たに現れるマルウェアから適切に保護するために、Windows マシンで Windows Defender のリアルタイム保護を有効にする必要があります。 このポリシーは Arc で接続されているサーバーには適用されず、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることを要求します。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.0.1 |
操作
ID: ENS v1 op.exp.7 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティの問題に対処する | CMA_C1742 - 情報セキュリティの問題に対処する | Manual、Disabled | 1.1.0 |
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| 情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| インシデント対応テストを実施する | CMA_0060 - インシデント対応テストを実施する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| 侵害のインジケーターを検出する | CMA_C1702 - 侵害のインジケーターを検出する | Manual、Disabled | 1.1.0 |
| セキュリティ アラートを担当者に送信する | CMA_C1705 - セキュリティ アラートを担当者に送信する | Manual、Disabled | 1.1.0 |
| セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
| ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
| 汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 脅威インテリジェンス プログラムを確立する | CMA_0260 - 脅威インテリジェンス プログラムを確立する | Manual、Disabled | 1.1.0 |
| インシデント対応機能と外部プロバイダー間の関係を確立する | CMA_C1376 - インシデント対応機能と外部プロバイダー間の関係を確立する | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| 情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
| 内部セキュリティ アラートを生成する | CMA_C1704 - 内部セキュリティ アラートを生成する | Manual、Disabled | 1.1.0 |
| インシデント対応の担当者を特定する | CMA_0301 - インシデント対応の担当者を特定する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| インシデント処理機能を実装する | CMA_C1367 - インシデント処理機能を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ディレクティブの実装 | CMA_C1706 - セキュリティ ディレクティブの実装 | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| SecurID システム、セキュリティ インシデント管理システムを分離する | CMA_C1636 - SecurID システム、セキュリティ インシデント管理システムを分離する | Manual、Disabled | 1.1.0 |
| 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 | |
| インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
| 機関および専門研究グループの連絡先を管理する | CMA_0359 - 機関および専門研究グループの連絡先を管理する | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1351 - インシデント対応ポリシーおよび手順 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1352 - インシデント対応ポリシーおよび手順 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1353 - インシデント対応トレーニング | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1354 - インシデント対応トレーニング | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1355 - インシデント対応トレーニング | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1356 - インシデント対応トレーニング | シミュレートされたイベント | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1357 - インシデント対応トレーニング | 自動化されたトレーニング環境 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1358 - インシデント対応のテスト | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1359 - インシデント対応のテスト | 関連する計画との調整 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1360 - インシデント処理 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1361 - インシデント処理 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1362 - インシデント処理 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1363 - インシデント処理 | 自動化されたインシデント処理プロセス | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1364 - インシデント処理 | 動的再構成 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1365 - インシデント処理 | 運用の継続性 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1366 - インシデント処理 | 情報の相関関係 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1367 - インシデント処理 | 内部関係者の脅威 - 特定の機能 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1368 - インシデント処理 | 外部組織との相関関係 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1369 - インシデント監視 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1370 - インシデント監視 | 自動化された追跡/データ収集/分析 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1371 - インシデント報告 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1372 - インシデント報告 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1373 - インシデント報告 | 自動化された報告 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1374 - インシデント対応サポート | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1375 - インシデント対応サポート | 情報/サポートの可用性に対する自動化サポート | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1376 - インシデント対応サポート | 外部プロバイダーとの調整 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1377 - インシデント対応サポート | 外部プロバイダーとの調整 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1378 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1379 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1380 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1381 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1382 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1383 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1384 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1385 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1386 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1387 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1388 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1389 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1390 - 情報流出対応 | 責任者 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1391 - 情報流出対応 | トレーニング | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1392 - 情報流出対応 | 流出後の運用 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1393 - 情報流出対応 | 許可されていない職員への公開 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1728 - インシデント処理 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1856 - プライバシー インシデント対応 | このセキュリティに関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1857 - プライバシー インシデント対応 | このセキュリティに関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を保護する | CMA_0405 - インシデント対応計画を保護する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの特殊な動作を報告する | CMA_C1025 - ユーザー アカウントの特殊な動作を報告する | Manual、Disabled | 1.1.0 |
| Azure Key Vault マネージド HSM のリソース ログを有効にする必要がある | セキュリティ インシデントが発生したときやネットワークが侵害されたときに調査目的でアクティビティ証跡を再作成する場合は、マネージド HSM のリソース ログを有効にして監査を行います。 https://docs.microsoft.com/azure/key-vault/managed-hsm/logging の手順に従ってください。 | AuditIfNotExists、Disabled | 1.1.0 |
| Azure Machine Learning ワークスペースのリソース ログを有効にする必要があります | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.1 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| セキュリティ ポリシーと手順を保持する | CMA_0454 - セキュリティ ポリシーと手順を保持する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
| ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
| 制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
操作
ID: ENS v1 op.exp.8 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシンを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1-preview |
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 職員に情報流出のアラートを通知する | CMA_0007 - 職員に情報流出のアラートを通知する | Manual、Disabled | 1.1.0 |
| App Service アプリ スロットでは、リソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| 選択したリソースの種類の診断設定を監査します | 選択したリソースの種類の診断設定の監査。 必ず、診断設定をサポートするリソースの種類のみを選んでください。 | AuditIfNotExists | 2.0.1 |
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| VoIP の承認、監視、制御 | CMA_0025 - VoIP の承認、監視、制御 | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| Azure SignalR サービスで診断ログを有効にする必要がある | 診断ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Web PubSub サービスで診断ログを有効にする必要がある | 診断ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 1.0.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 監査レコードをシステム全体の監査にコンパイルする | CMA_C1140 - 監査レコードをシステム全体の監査にコンパイルする | Manual、Disabled | 1.1.0 |
| ログに記録された特権コマンドのフル テキスト分析を実行する | CMA_0056 - ログに記録された特権コマンドのフル テキスト分析を実行する | Manual、Disabled | 1.1.0 |
| Azure 監査機能を構成する | CMA_C1108 - Azure 監査機能を構成する | Manual、Disabled | 1.1.1 |
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合、仮想マシンを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある | 定義された一覧に仮想マシン イメージがなく、エージェントがインストールされていない場合は、仮想マシン スケール セットを非準拠として報告します。 OS イメージの一覧は、サポートの更新に伴って更新されます。 | AuditIfNotExists、Disabled | 2.0.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| 侵害のインジケーターを検出する | CMA_C1702 - 侵害のインジケーターを検出する | Manual、Disabled | 1.1.0 |
| 個人情報を処理するための法的根拠を文書化する | CMA_0206 - 個人情報を処理するための法的根拠を文書化する | Manual、Disabled | 1.1.0 |
| 二重または共同の認可を有効にする | CMA_0226 - 二重または共同の認可を有効にする | Manual、Disabled | 1.1.0 |
| アクセス制限の適用と監査 | CMA_C1203 - アクセス制限の適用と監査 | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| コンシューマー リクエストのためのメソッドを実装する | CMA_0319 - コンシューマー リクエストのためのメソッドを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシン スケール セットを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| システム アクティビティの監視に関する法的意見を得る | CMA_C1688 - システム アクティビティの監視に関する法的意見を得る | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
| 必要に応じて監視情報を提供する | CMA_C1689 - 必要に応じて監視情報を提供する | Manual、Disabled | 1.1.0 |
| SORNs でアクセス手順を公開する | CMA_C1848 - SORNs でアクセス手順を公開する | Manual、Disabled | 1.1.0 |
| プライバシーに関する法律の記録にアクセスするルールと規制を公開する | CMA_C1847 - プライバシーに関する法律の記録にアクセスするルールと規制を公開する | Manual、Disabled | 1.1.0 |
| Azure Kubernetes Service でリソース ログを有効にする必要がある | Azure Kubernetes Service のリソース ログは、セキュリティ インシデントを調査するときにアクティビティ証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| IoT Hub のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 3.1.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシーと手順を保持する | CMA_0454 - セキュリティ ポリシーと手順を保持する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| AU-02 で定義されているイベントの確認と更新 | CMA_C1106 - AU-02 で定義されているイベントを確認して更新する | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| 承認されていない変更の変更を確認する | CMA_C1204 - 承認されていない変更の変更を確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
| ストレージ アカウント ターゲットに対する Synapse ワークスペースの SQL 監査データの保持期間を 90 日以上でに設定する必要がある | インシデント調査を目的として、Synapse ワークスペースの SQL 監査のストレージ アカウント ターゲットのデータ保持期間を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
| 監査レコードにシステム クロックを使用する | CMA_0535 - 監査レコードにシステム クロックを使用する | Manual、Disabled | 1.1.0 |
操作
ID: ENS v1 op.exp.9 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| 侵害のインジケーターを検出する | CMA_C1702 - 侵害のインジケーターを検出する | Manual、Disabled | 1.1.0 |
| セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
| ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
| 汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| 情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの特殊な動作を報告する | CMA_C1025 - ユーザー アカウントの特殊な動作を報告する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシーと手順を保持する | CMA_0454 - セキュリティ ポリシーと手順を保持する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
| 制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
外部リソース
ID: ENS v1 op.ext.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 組織の行動規範に関するポリシーを作成する | CMA_0159 - 組織の行動規範に関するポリシーを作成する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーを識別する | CMA_C1591 - 外部サービス プロバイダーを識別する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| 不正行為を禁止する | CMA_0396 - 不正行為を禁止する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| 改訂された行動規範を確認して署名する | CMA_0465 - 改訂された行動規範を確認して署名する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を更新する | CMA_0521 - 行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 3 年ごとに行動規範とアクセス契約を更新する | CMA_0522 - 3 年ごとに行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
外部リソース
ID: ENS v1 op.ext.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
外部リソース
ID: ENS v1 op.ext.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1608 - サプライ チェーンの保護 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
外部リソース
ID: ENS v1 op.ext.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
| パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
| Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスの検出を有効にする | CMA_0220 - ネットワーク デバイスの検出を有効にする | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| 認証なしで許可されているアクションを特定する | CMA_0295 - 認証なしで許可されているアクションを特定する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
システム監視
ID: ENS v1 op.mon.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのフロー ログ リソースは有効な状態にする必要がある | フロー ログの状態が有効になっているかどうかを検証するためのフロー ログ リソースの監査です。 フロー ログを有効にすると、流れている IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.1 |
| すべての仮想ネットワークのフロー ログ構成を監査する | 仮想ネットワークを監査して、フロー ログが構成されているかどうかを検証します。 フロー ログを有効にすると、仮想ネットワークを通過する IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.1 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| コラボレーション コンピューティング デバイスの使用を明示的に通知する | CMA_C1649 - コラボレーション コンピューティング デバイスの使用を明示的に通知する | Manual、Disabled | 1.1.1 |
| すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | フロー ログが構成されているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーを識別する | CMA_C1591 - 外部サービス プロバイダーを識別する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1464 - 物理的なアクセスの監視 | 侵入警報装置/監視装置 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1690 - 情報システムの監視 | システム全体の侵入検出システム | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1695 - 情報システムの監視 | ワイヤレス侵入の検出 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1829 - データ整合性とデータ整合性ボード | Web サイトで契約を発行する | このデータの品質と整合性に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1865 - 記録システムに関する通知とプライバシー保護法声明書 | パブリック Web サイトの発行 | この透明性に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | CMA_C1648 - コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| 一般向け Web サイトでコンピューターマッチング契約を発行する | CMA_C1829 - 一般向け Web サイトでコンピューターマッチング契約を発行する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
システム監視
ID: ENS v1 op.mon.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
システム監視
ID: ENS v1 op.mon.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defender により、Qualys 脆弱性評価プロバイダーをまだインストールしていないサポート対象のコンピューターすべてに、自動でこのエージェントがデプロイされます。 | DeployIfNotExists、Disabled | 4.0.0 |
| Microsoft Defender for Azure Cosmos DB を有効に構成する | Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。 Microsoft Defender for Azure Cosmos DB では、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者が検出されます。 | DeployIfNotExists、Disabled | 1.0.0 |
| 脆弱性スキャンの情報を関連付ける | CMA_C1558 - 脆弱性スキャンの情報を関連付ける | Manual、Disabled | 1.1.1 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定する | CMA_C1232 - 構成管理計画を策定する | Manual、Disabled | 1.1.0 |
| 暗号化メカニズムが構成管理の下に存在するようにする | CMA_C1199 - 暗号化メカニズムが構成管理の下に存在するようにする | Manual、Disabled | 1.1.0 |
| 脅威インテリジェンス プログラムを確立する | CMA_0260 - 脅威インテリジェンス プログラムを確立する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | CMA_C1555 - 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| Microsoft Defender for Azure Cosmos DB を有効にする必要がある | Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。 Microsoft Defender for Azure Cosmos DB では、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者が検出されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft マネージド コントロール 1174 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1175 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1230 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1231 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1232 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1233 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1546 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1547 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1548 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1549 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1550 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1551 - 脆弱性のスキャン | 更新ツールの機能 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1552 - 脆弱性のスキャン | 頻度による更新/新規スキャンの前の更新/識別時の更新 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1553 - 脆弱性のスキャン | 対象範囲の広さと深さ | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1554 - 脆弱性のスキャン | 検出可能な情報 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1555 - 脆弱性のスキャン | 特権アクセス | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1556 - 脆弱性のスキャン | 自動傾向分析 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1557 - 脆弱性のスキャン | 履歴監査ログの確認 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1558 - 脆弱性のスキャン | スキャン情報の関連付け | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1594 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1595 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1596 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1597 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1598 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1599 - 開発者の構成管理 | ソフトウェア/ファームウェアの整合性の検証 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1606 - 開発者によるセキュリティのテストと評価 | 脅威と脆弱性の分析 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| Security Center の Standard 価格レベルを選択する必要がある | Standard 価格レベルでは、ネットワークと仮想マシンの脅威検出が可能になり、Azure Security Center で脅威インテリジェンス、異常検出、動作分析が提供されます | Audit、Disabled | 1.1.0 |
| 代替脆弱性評価ソリューションに移行するためのサブスクリプションを設定する | クラウドオファー 用 Microsoft Defender には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 このポリシーを有効にすると、Defender for Cloud によって、組み込みの Microsoft Defender 脆弱性管理ソリューションからサポートされているすべてのマシンに調査結果が自動的に伝達されます。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Synapse ワークスペースで脆弱性評価を有効にする必要がある | Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 | AuditIfNotExists、Disabled | 1.0.0 |
クラウド サービス
ID: ENS v1 op.nub.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| Cloud Services (拡張サポート) ロール インスタンスを安全に構成する必要がある | OS の脆弱性にさらされていないことを確認して、Cloud Services (延長サポート) ロール インスタンスを攻撃から保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Cloud Services (延長サポート) ロール インスタンスでは Endpoint Protection ソリューションがインストールされている必要がある | Endpoint Protection ソリューションがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスを脅威と脆弱性から保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Cloud Services (延長サポート) ロール インスタンスでは、システム更新プログラムがインストールされている必要がある | 最新のセキュリティ更新プログラムと重要な更新プログラムがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスをセキュリティで保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 組織の行動規範に関するポリシーを作成する | CMA_0159 - 組織の行動規範に関するポリシーを作成する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーを識別する | CMA_C1591 - 外部サービス プロバイダーを識別する | Manual、Disabled | 1.1.0 |
| Log Analytics エージェントを Cloud Services (延長サポート) ロール インスタンスにインストールする必要がある | Security Center では、セキュリティの脆弱性と脅威を監視するために、Cloud Services (延長サポート) ロール インスタンスからデータを収集します。 | AuditIfNotExists、Disabled | 2.0.0 |
| 不正行為を禁止する | CMA_0396 - 不正行為を禁止する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 改訂された行動規範を確認して署名する | CMA_0465 - 改訂された行動規範を確認して署名する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を更新する | CMA_0521 - 行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 3 年ごとに行動規範とアクセス契約を更新する | CMA_0522 - 3 年ごとに行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
計画
ID: ENS v1 op.pl.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| リスク指定を割り当てる | CMA_0016 - リスク指定を割り当てる | Manual、Disabled | 1.1.0 |
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| リスク評価を実施して結果を配布する | CMA_C1544 - リスク評価を実施して結果を配布する | Manual、Disabled | 1.1.0 |
| リスク評価を実施し、その結果を文書化する | CMA_C1542 - リスク評価を実施し、その結果を文書化する | Manual、Disabled | 1.1.0 |
| Microsoft Defender CSPM を有効にするように構成する | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | DeployIfNotExists、Disabled | 1.0.2 |
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| 基準を満たす SSP の開発 | CMA_C1492 - 基準を満たす SSP の開発 | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
| リスク管理プロセスを SDLC に統合する | CMA_C1567 - リスク管理プロセスを SDLC に統合する | Manual、Disabled | 1.1.0 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft マネージド コントロール 1026 - アカウント管理 | 危険性の高い個人のアカウントの無効化 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1182 - ベースライン構成 | 危険度の高い領域用のシステム、コンポーネント、またはデバイスの構成 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1183 - ベースライン構成 | 危険度の高い領域用のシステム、コンポーネント、またはデバイスの構成 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1536 - リスク評価のポリシーと手順 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1537 - リスク評価のポリシーと手順 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1538 - セキュリティ分類 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1539 - セキュリティ分類 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1540 - セキュリティ分類 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1541 - リスク評価 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1542 - リスク評価 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1543 - リスク評価 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1544 - リスク評価 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1545 - リスク評価 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1546 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1547 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1548 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1549 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1550 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1551 - 脆弱性のスキャン | 更新ツールの機能 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1552 - 脆弱性のスキャン | 頻度による更新/新規スキャンの前の更新/識別時の更新 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1553 - 脆弱性のスキャン | 対象範囲の広さと深さ | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1554 - 脆弱性のスキャン | 検出可能な情報 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1555 - 脆弱性のスキャン | 特権アクセス | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1556 - 脆弱性のスキャン | 自動傾向分析 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1557 - 脆弱性のスキャン | 履歴監査ログの確認 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1558 - 脆弱性のスキャン | スキャン情報の関連付け | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1589 - 外部の情報システム サービス | リスク評価または組織の承認 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1590 - 外部の情報システム サービス | リスク評価または組織の承認 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1698 - 情報システムの監視 | 重大なリスクをもたらしている個人 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1743 - リスク管理戦略 | このプログラム管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1744 - リスク管理戦略 | このプログラム管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1745 - リスク管理戦略 | このプログラム管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1802 - ガバナンスとプライバシーのプログラム | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1803 - ガバナンスとプライバシーのプログラム | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1804 - ガバナンスとプライバシーのプログラム | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1805 - ガバナンスとプライバシーのプログラム | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1806 - ガバナンスとプライバシーのプログラム | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1807 - ガバナンスとプライバシーのプログラム | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1808 - プライバシーの影響とリスク評価 | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1809 - プライバシーの影響とリスク評価 | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1810 - 契約社員とサービス プロバイダーのプライバシー要件 | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1811 - 契約社員とサービス プロバイダーのプライバシー要件 | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1812 - プライバシーの監視と監査 | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1813 - プライバシーの認識とトレーニング | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1814 - プライバシーの認識とトレーニング | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1815 - プライバシーの認識とトレーニング | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1816 - プライバシー レポート | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1817 - プライバシー - 強化されたシステムの設計と開発 | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1818 - 開示の義務 | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1819 - 開示の義務 | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1820 - 開示の義務 | このアカウンタビリティ、監査、リスク管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1840 - テスト、トレーニング、リサーチで使用される PII の最小化 | リスク最小化手法 | このデータの最小化と保持に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
計画
ID: ENS v1 op.pl.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| エンタープライズ アーキテクチャを開発する | CMA_C1741 - エンタープライズ アーキテクチャを開発する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| 資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1503 - 情報セキュリティ アーキテクチャ | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1504 - 情報セキュリティ アーキテクチャ | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1505 - 情報セキュリティ アーキテクチャ | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1612 - 開発者によるセキュリティ アーキテクチャと設計 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1613 - 開発者によるセキュリティ アーキテクチャと設計 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1614 - 開発者によるセキュリティ アーキテクチャと設計 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1659 - 名前/アドレス解決サービスのアーキテクチャとプロビジョニング | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1741 - エンタープライズ アーキテクチャ | このプログラム管理に関するコントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| 情報入力の検証を実行 | CMA_C1723 - 情報入力の検証を実行 | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| セキュリティ アーキテクチャの構築を開発者に要求する | CMA_C1612 - セキュリティ アーキテクチャの構築を開発者に要求する | Manual、Disabled | 1.1.0 |
| 正確なセキュリティ機能を説明するよう開発者に要求する | CMA_C1613 - 正確なセキュリティ機能を説明するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | CMA_C1614 - 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ アーキテクチャを確認および更新する | CMA_C1504 - 情報セキュリティ アーキテクチャを確認および更新する | Manual、Disabled | 1.1.0 |
| 開発プロセス、標準、ツールをレビューする | CMA_C1610 - 開発プロセス、標準、ツールをレビューする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
計画
ID: ENS v1 op.pl.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ロールと責任を定義する | CMA_C1565 - 情報セキュリティ ロールと責任を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 運用構想書 (CONOPS) を作成する | CMA_0141 - 運用構想書 (CONOPS) を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 基準を満たす SSP の開発 | CMA_C1492 - 基準を満たす SSP の開発 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーを識別する | CMA_C1591 - 外部サービス プロバイダーを識別する | Manual、Disabled | 1.1.0 |
| セキュリティ ロールと責任を持つ個人を特定する | CMA_C1566 - セキュリティ ロールと責任を持つ個人を特定する | Manual、Disabled | 1.1.1 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| リスク管理プロセスを SDLC に統合する | CMA_C1567 - リスク管理プロセスを SDLC に統合する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 情報セキュリティ アーキテクチャを確認および更新する | CMA_C1504 - 情報セキュリティ アーキテクチャを確認および更新する | Manual、Disabled | 1.1.0 |
| 開発プロセス、標準、ツールをレビューする | CMA_C1610 - 開発プロセス、標準、ツールをレビューする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
計画
ID: ENS v1 op.pl.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| キャパシティ プランニングの実施 | CMA_C1252 - キャパシティ プランニングの実施 | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| 監査処理アクティビティを管理および監視する | CMA_0289 - 監査処理アクティビティを管理および監視する | Manual、Disabled | 1.1.0 |
| 可用性と容量を管理する | CMA_0356 - 可用性と容量を管理する | Manual、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1110 - 監査記憶域の容量 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1113 - 監査処理エラーへの対応 | 監査記憶域の容量 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1252 - コンティンジェンシー計画 | キャパシティ プランニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
計画
ID: ENS v1 op.pl.5 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 組織の行動規範に関するポリシーを作成する | CMA_0159 - 組織の行動規範に関するポリシーを作成する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーを識別する | CMA_C1591 - 外部サービス プロバイダーを識別する | Manual、Disabled | 1.1.0 |
| 不正行為を禁止する | CMA_0396 - 不正行為を禁止する | Manual、Disabled | 1.1.0 |
| 改訂された行動規範を確認して署名する | CMA_0465 - 改訂された行動規範を確認して署名する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を更新する | CMA_0521 - 行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 3 年ごとに行動規範とアクセス契約を更新する | CMA_0522 - 3 年ごとに行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
組織フレームワーク
組織フレームワーク
ID: ENS v1 org.1 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
| 暗号化モジュールに対して認証する | CMA_0021 - 暗号化モジュールに対して認証する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| 情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
| 構成プランの保護を作成する | CMA_C1233 - 構成プランの保護を作成する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ロールと責任を定義する | CMA_C1565 - 情報セキュリティ ロールと責任を定義する | Manual、Disabled | 1.1.0 |
| 特定のロールと責任を果たす個人を指定する | CMA_C1747 - 特定のロールと責任を果たす個人を指定する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 事業継続とディザスター リカバリー計画を作成および文書化する | CMA_0146 - 事業継続とディザスター リカバリー計画を作成および文書化する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| ベースライン構成を作成して維持する | CMA_0153 - ベースライン構成を作成して維持する | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 構成項目の識別計画を策定する | CMA_C1231 - 構成項目の識別計画を策定する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定する | CMA_C1232 - 構成管理計画を策定する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の配布 | CMA_0185 - ポリシーと手順の配布 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| プライバシーに関する苦情の手順を文書化して実装する | CMA_0189 - プライバシーに関する苦情の手順を文書化して実装する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者のセキュリティ要件を文書化する | CMA_C1531 - サードパーティの担当者のセキュリティ要件を文書化する | Manual、Disabled | 1.1.0 |
| 二重または共同の認可を有効にする | CMA_0226 - 二重または共同の認可を有効にする | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 情報システムが既知の状態で失敗するようにする | CMA_C1662 - 情報システムが既知の状態で失敗するようにする | Manual、Disabled | 1.1.0 |
| プライバシー プログラムの情報が一般公開されていることを確認する | CMA_C1867 - プライバシー プログラムの情報が一般公開されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| 契約社員とサービス プロバイダーのプライバシー要件を確立する | CMA_C1810 - 契約社員とサービス プロバイダーのプライバシー要件を確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者のセキュリティ要件を確立する | CMA_C1529 - サードパーティの担当者のセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| セキュリティ ロールと責任を持つ個人を特定する | CMA_C1566 - セキュリティ ロールと責任を持つ個人を特定する | Manual、Disabled | 1.1.1 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
| 正式な制裁プロセスを実装する | CMA_0317 - 正式な制裁プロセスを実装する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| トランザクション ベースの回復を実装する | CMA_C1296 - トランザクション ベースの回復を実装する | Manual、Disabled | 1.1.0 |
| リスク管理プロセスを SDLC に統合する | CMA_C1567 - リスク管理プロセスを SDLC に統合する | Manual、Disabled | 1.1.0 |
| コンプライアンス アクティビティを管理する | CMA_0358 - コンプライアンス アクティビティを管理する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ状態を管理する | CMA_C1746 - 情報システムのセキュリティ状態を管理する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| サードパーティー プロバイダーのコンプライアンスをモニターする | CMA_C1533 - サードパーティー プロバイダーのコンプライアンスをモニターする | Manual、Disabled | 1.1.0 |
| 承認時に担当者に通知する | CMA_0380 - 承認時に担当者に通知する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
| 監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 知的財産権の遵守を必須にする | CMA_0432 - 知的財産権の遵守を必須にする | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者の転送または解雇の通知を要求する | CMA_C1532 - サードパーティの担当者の転送または解雇の通知を要求する | Manual、Disabled | 1.1.0 |
| サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | CMA_C1530 - サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | Manual、Disabled | 1.1.0 |
| すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| ソフトウェア ライセンスの使用を追跡する | CMA_C1235 - ソフトウェア ライセンスの使用を追跡する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
組織フレームワーク
ID: ENS v1 org.2 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 離職時に離職者面接を実施する | CMA_0058 - 離職時に離職者面接を実施する | Manual、Disabled | 1.1.0 |
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 侵害のインジケーターを検出する | CMA_C1702 - 侵害のインジケーターを検出する | Manual、Disabled | 1.1.0 |
| セキュリティ アラートを担当者に送信する | CMA_C1705 - セキュリティ アラートを担当者に送信する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
| ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| 個人が戻ったときに不要なセキュリティ セーフガードを確認する | CMA_C1183 - 個人が戻ったときに不要なセキュリティ セーフガードを確認する | Manual、Disabled | 1.1.0 |
| 汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 脅威インテリジェンス プログラムを確立する | CMA_0260 - 脅威インテリジェンス プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| 情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
| 内部セキュリティ アラートを生成する | CMA_C1704 - 内部セキュリティ アラートを生成する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ディレクティブの実装 | CMA_C1706 - セキュリティ ディレクティブの実装 | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| 欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
| 転送アクションまたは再割り当てアクションを開始する | CMA_0333 - 転送アクションまたは再割り当てアクションを開始する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| データ侵害レコードを保持する | CMA_0351 - データ侵害レコードを保持する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
| 機関および専門研究グループの連絡先を管理する | CMA_0359 - 機関および専門研究グループの連絡先を管理する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスの認可を変更する | CMA_0374 - 職員の異動時にアクセスの認可を変更する | Manual、Disabled | 1.1.0 |
| 情報システムが個人と一緒に使用することを許可しない | CMA_C1182 - 情報システムが個人と一緒に使用することを許可しない | Manual、Disabled | 1.1.0 |
| 終了または転送時に通知する | CMA_0381 - 終了または転送時に通知する | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| セキュリティ評価レポートの生成 | CMA_C1146 - セキュリティ評価レポートの生成 | Manual、Disabled | 1.1.0 |
| 退職する従業員によりデータが盗まれないように保護して防止する | CMA_0398 - 退職する従業員によりデータが盗まれないように保護して防止する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を保護する | CMA_0405 - インシデント対応計画を保護する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| 職員の異動時にアクセスを再評価する | CMA_0424 - 職員の異動時にアクセスを再評価する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの特殊な動作を報告する | CMA_C1025 - ユーザー アカウントの特殊な動作を報告する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシーと手順を保持する | CMA_0454 - セキュリティ ポリシーと手順を保持する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
| 制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
組織フレームワーク
ID: ENS v1 org.3 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 組織の行動規範に関するポリシーを作成する | CMA_0159 - 組織の行動規範に関するポリシーを作成する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| 情報システムのドキュメントを配布する | CMA_C1584 - 情報システムのドキュメントを配布する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| 顧客によって定義されたアクションを文書化する | CMA_C1582 - 顧客によって定義されたアクションを文書化する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を文書化する | CMA_0192 - 組織のアクセス契約を文書化する | Manual、Disabled | 1.1.0 |
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 侵入テストに別個のチームを採用する | CMA_C1171 - 侵入テストに別個のチームを採用する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| アクセス契約が署名されているか、または時間内に辞任されていることを確認する | CMA_C1528 - アクセス契約が署名されているか、または時間内に辞任されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
| カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| コラボレーション コンピューティング デバイスの使用を明示的に通知する | CMA_C1649 - コラボレーション コンピューティング デバイスの使用を明示的に通知する | Manual、Disabled | 1.1.1 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーを識別する | CMA_C1591 - 外部サービス プロバイダーを識別する | Manual、Disabled | 1.1.0 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
| 機関および専門研究グループの連絡先を管理する | CMA_0359 - 機関および専門研究グループの連絡先を管理する | Manual、Disabled | 1.1.0 |
| 管理者向けドキュメントを取得する | CMA_C1580 - 管理者向けドキュメントを取得する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| ユーザー セキュリティ機能のドキュメントを取得する | CMA_C1581 - ユーザー セキュリティ機能のドキュメントを取得する | Manual、Disabled | 1.1.0 |
| セキュリティ評価レポートの生成 | CMA_C1146 - セキュリティ評価レポートの生成 | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | CMA_C1648 - コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | Manual、Disabled | 1.1.0 |
| 不正行為を禁止する | CMA_0396 - 不正行為を禁止する | Manual、Disabled | 1.1.0 |
| 管理者とユーザーのドキュメントを保護する | CMA_C1583 - 管理者とユーザーのドキュメントを保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| ユーザーがアクセス契約に署名することを必須にする | CMA_0440 - ユーザーがアクセス契約に署名することを必須にする | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 改訂された行動規範を確認して署名する | CMA_0465 - 改訂された行動規範を確認して署名する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 代替計画のポリシーと手順を確認および更新する | CMA_C1243 - 代替計画のポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| 組織のアクセス契約を更新する | CMA_0520 - 組織のアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を更新する | CMA_0521 - 行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 3 年ごとに行動規範とアクセス契約を更新する | CMA_0522 - 3 年ごとに行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
組織フレームワーク
ID: ENS v1 org.4 所有権: Customer
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
| 提案された変更の承認要求を自動化する | CMA_C1192 - 提案された変更の承認要求を自動化する | Manual、Disabled | 1.1.0 |
| 承認された変更通知の実装を自動化する | CMA_C1196 - 承認された変更通知の実装を自動化する | Manual、Disabled | 1.1.0 |
| 実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
| 未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 未承認の変更の実装を禁止するためにプロセスを自動化する | CMA_C1194 - 未承認の変更の実装を禁止するためにプロセスを自動化する | Manual、Disabled | 1.1.0 |
| 提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| 代替計画の変更を伝達する | CMA_C1249 - 代替計画の変更を伝達する | Manual、Disabled | 1.1.0 |
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| ポータブル ストレージ デバイスの使用を制御する | CMA_0083 - ポータブル ストレージ デバイスの使用を制御する | Manual、Disabled | 1.1.0 |
| 構成プランの保護を作成する | CMA_C1233 - 構成プランの保護を作成する | Manual、Disabled | 1.1.0 |
| 政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ロールと責任を定義する | CMA_C1565 - 情報セキュリティ ロールと責任を定義する | Manual、Disabled | 1.1.0 |
| モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
| 特定のロールと責任を果たす個人を指定する | CMA_C1747 - 特定のロールと責任を果たす個人を指定する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 事業継続とディザスター リカバリー計画を作成および文書化する | CMA_0146 - 事業継続とディザスター リカバリー計画を作成および文書化する | Manual、Disabled | 1.1.0 |
| アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
| システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| ベースライン構成を作成して維持する | CMA_0153 - ベースライン構成を作成して維持する | Manual、Disabled | 1.1.0 |
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 構成項目の識別計画を策定する | CMA_C1231 - 構成項目の識別計画を策定する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定する | CMA_C1232 - 構成管理計画を策定する | Manual、Disabled | 1.1.0 |
| 代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
| コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の配布 | CMA_0185 - ポリシーと手順の配布 | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| プライバシーに関する苦情の手順を文書化して実装する | CMA_0189 - プライバシーに関する苦情の手順を文書化して実装する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者のセキュリティ要件を文書化する | CMA_C1531 - サードパーティの担当者のセキュリティ要件を文書化する | Manual、Disabled | 1.1.0 |
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムの情報が一般公開されていることを確認する | CMA_C1867 - プライバシー プログラムの情報が一般公開されていることを確認する | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 電子署名と証明書の要件を確立する | CMA_0271 - 電子署名と証明書の要件を確立する | Manual、Disabled | 1.1.0 |
| 接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件を確立する | CMA_C1076 - リソースにアクセスするための使用条件を確立する | Manual、Disabled | 1.1.0 |
| リソースにアクセスするための使用条件の確立 | CMA_C1077 - リソースにアクセスするための使用条件の確立 | Manual、Disabled | 1.1.0 |
| サードパーティの担当者のセキュリティ要件を確立する | CMA_C1529 - サードパーティの担当者のセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのコンプライアンスを管理する | CMA_0290 - クラウド サービス プロバイダーのコンプライアンスを管理する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| セキュリティ ロールと責任を持つ個人を特定する | CMA_C1566 - セキュリティ ロールと責任を持つ個人を特定する | Manual、Disabled | 1.1.1 |
| フォールト トレラントなネーム サービスやアドレス サービスを実装する | CMA_0305 - フォールト トレラントなネーム サービスやアドレス サービスを実装する | Manual、Disabled | 1.1.0 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
| リスク管理プロセスを SDLC に統合する | CMA_C1567 - リスク管理プロセスを SDLC に統合する | Manual、Disabled | 1.1.0 |
| 情報システムのセキュリティ状態を管理する | CMA_C1746 - 情報システムのセキュリティ状態を管理する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
| サードパーティー プロバイダーのコンプライアンスをモニターする | CMA_C1533 - サードパーティー プロバイダーのコンプライアンスをモニターする | Manual、Disabled | 1.1.0 |
| システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
| リモート デバイスの分割トンネリングの防止 | CMA_C1632 - リモート デバイスの分割トンネリングの防止 | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラム計画を保護する | CMA_C1732 - 情報セキュリティ プログラム計画を保護する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
| セキュリティで保護された名前とアドレスの解決サービスを提供する | CMA_0416 - セキュリティで保護された名前とアドレスの解決サービスを提供する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| 承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を要求する | CMA_C1151 - 相互接続のセキュリティ契約を要求する | Manual、Disabled | 1.1.0 |
| サードパーティの担当者の転送または解雇の通知を要求する | CMA_C1532 - サードパーティの担当者の転送または解雇の通知を要求する | Manual、Disabled | 1.1.0 |
| サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | CMA_C1530 - サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | Manual、Disabled | 1.1.0 |
| メディアの使用を制限する | CMA_0450 - メディアの使用を制限する | Manual、Disabled | 1.1.0 |
| すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 職員のセキュリティ ポリシーと手順を確認および更新する | CMA_C1507 - 職員のセキュリティ ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 計画ポリシーと手順をレビューし更新する | CMA_C1491 - 計画ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システム メンテナンス ポリシーと手順をレビューし更新する | CMA_C1395 - システム メンテナンス ポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 代替計画を確認する | CMA_C1247 - 代替計画を確認する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
| ユーザーと情報システム管理の機能を区別する | CMA_0493 - ユーザーと情報システム管理の機能を区別する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| 代替計画を更新する | CMA_C1248 - 代替計画を更新する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
| 相互接続のセキュリティ契約を更新する | CMA_0519 - 相互接続のセキュリティ契約を更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
| 管理タスクに専用マシンを使用する | CMA_0527 - 管理タスクに専用マシンを使用する | Manual、Disabled | 1.1.0 |
| 外部情報システムのセキュリティ管理策を検証する | CMA_0541 - 外部情報システムのセキュリティ管理策を検証する | Manual、Disabled | 1.1.0 |
| システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示