System and Organization Controls (SOC) 2 規制コンプライアンスの組み込みイニシアティブの詳細
この記事では、Azure Policy 規制コンプライアンスの組み込みイニシアティブ定義が、System and Organization Controls (SOC) 2 のコンプライアンス ドメインとコントロールにどのように対応するのかについて詳しく説明します。 このコンプライアンス標準の詳細については、「System and Organization Controls (SOC) 2」を参照してください。 "所有権" を理解するには、「ポリシーの種類」と「クラウドでの共有責任」を参照してください。
次のマッピングは、System and Organization Controls (SOC) 2 コントロールに対するものです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、SOC 2 Type 2 規制コンプライアンスの組み込みイニシアティブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
可用性に関する追加条件
キャパシティ管理
ID: SOC 2 Type 2 A1.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
キャパシティ プランニングの実施 | CMA_C1252 - キャパシティ プランニングの実施 | Manual、Disabled | 1.1.0 |
環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ
ID: SOC 2 Type 2 A1.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
自動非常用照明を使用する | CMA_0209 - 自動非常用照明を使用する | Manual、Disabled | 1.1.0 |
代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
侵入テスト方法を実装する | CMA_0306 - 侵入テスト方法を実装する | Manual、Disabled | 1.1.0 |
オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
中断後にリソースを回復して再構成する | CMA_C1295 - 中断後にリソースを回復して再構成する | Manual、Disabled | 1.1.1 |
シミュレーション攻撃の実行 | CMA_0486 - シミュレーション攻撃の実行 | Manual、Disabled | 1.1.0 |
バックアップ情報を個別に保存する | CMA_C1293 - バックアップ情報を個別に保存する | Manual、Disabled | 1.1.0 |
代替ストレージ サイトにバックアップ情報を転送する | CMA_C1294 - 代替ストレージ サイトにバックアップ情報を転送する | Manual、Disabled | 1.1.0 |
復旧計画のテスト
ID: SOC 2 Type 2 A1.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
代替計画テストの修正操作を開始する | CMA_C1263 - 代替計画テストの修正操作を開始する | Manual、Disabled | 1.1.0 |
代替計画テストの結果を確認する | CMA_C1262 - 代替計画テストの結果を確認する | Manual、Disabled | 1.1.0 |
事業継続とディザスター リカバリーの計画をテストする | CMA_0509 - 事業継続とディザスター リカバリーの計画をテストする | Manual、Disabled | 1.1.0 |
機密性に関する追加条件
機密情報の保護
ID: SOC 2 Type 2 C1.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
機密情報の破棄
ID: SOC 2 Type 2 C1.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
制御環境
COSO 原則 1
ID: SOC 2 Type 2 CC1.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
組織の行動規範に関するポリシーを作成する | CMA_0159 - 組織の行動規範に関するポリシーを作成する | Manual、Disabled | 1.1.0 |
プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
不正行為を禁止する | CMA_0396 - 不正行為を禁止する | Manual、Disabled | 1.1.0 |
改訂された行動規範を確認して署名する | CMA_0465 - 改訂された行動規範を確認して署名する | Manual、Disabled | 1.1.0 |
行動規範とアクセス契約を更新する | CMA_0521 - 行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
3 年ごとに行動規範とアクセス契約を更新する | CMA_0522 - 3 年ごとに行動規範とアクセス契約を更新する | Manual、Disabled | 1.1.0 |
COSO 原則 2
ID: SOC 2 Type 2 CC1.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
COSO 原則 3
ID: SOC 2 Type 2 CC1.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
COSO 原則 4
ID: SOC 2 Type 2 CC1.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
ロールベースの実用的な演習を提供する | CMA_C1096 - ロールベースの実用的な演習を提供する | Manual、Disabled | 1.1.0 |
アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
COSO 原則 5
ID: SOC 2 Type 2 CC1.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
正式な制裁プロセスを実装する | CMA_0317 - 正式な制裁プロセスを実装する | Manual、Disabled | 1.1.0 |
承認時に担当者に通知する | CMA_0380 - 承認時に担当者に通知する | Manual、Disabled | 1.1.0 |
コミュニケーションと情報
COSO 原則 13
ID: SOC 2 Type 2 CC2.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
COSO 原則 14
ID: SOC 2 Type 2 CC2.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
COSO 原則 15
ID: SOC 2 Type 2 CC2.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
データ処理者の職務を定義する | CMA_0127 - データ処理者の職務を定義する | Manual、Disabled | 1.1.0 |
セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
サードパーティの担当者のセキュリティ要件を確立する | CMA_C1529 - サードパーティの担当者のセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
セキュリティ評価レポートの生成 | CMA_C1146 - セキュリティ評価レポートの生成 | Manual、Disabled | 1.1.0 |
プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | CMA_C1530 - サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | Manual、Disabled | 1.1.0 |
通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
リスク評価
COSO 原則 6
ID: SOC 2 Type 2 CC3.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報の分類 | CMA_0052 - 情報の分類 | Manual、Disabled | 1.1.0 |
情報保護のニーズを把握する | CMA_C1750 - 情報保護のニーズを把握する | Manual、Disabled | 1.1.0 |
ビジネス分類スキームを作成する | CMA_0155 - ビジネス分類スキームを作成する | Manual、Disabled | 1.1.0 |
基準を満たす SSP の開発 | CMA_C1492 - 基準を満たす SSP の開発 | Manual、Disabled | 1.1.0 |
リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
COSO 原則 7
ID: SOC 2 Type 2 CC3.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
情報の分類 | CMA_0052 - 情報の分類 | Manual、Disabled | 1.1.0 |
情報保護のニーズを把握する | CMA_C1750 - 情報保護のニーズを把握する | Manual、Disabled | 1.1.0 |
ビジネス分類スキームを作成する | CMA_0155 - ビジネス分類スキームを作成する | Manual、Disabled | 1.1.0 |
リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
COSO 原則 8
ID: SOC 2 Type 2 CC3.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
COSO 原則 9
ID: SOC 2 Type 2 CC3.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
監視アクティビティ
COSO 原則 16
ID: SOC 2 Type 2 CC4.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
セキュリティ制御評価の追加テストを選択する | CMA_C1149 - セキュリティ制御評価の追加テストを選択する | Manual、Disabled | 1.1.0 |
COSO 原則 17
ID: SOC 2 Type 2 CC4.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
セキュリティ評価レポートの生成 | CMA_C1146 - セキュリティ評価レポートの生成 | Manual、Disabled | 1.1.0 |
制御アクティビティ
COSO 原則 10
ID: SOC 2 Type 2 CC5.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
COSO 原則 11
ID: SOC 2 Type 2 CC5.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
COSO 原則 12
ID: SOC 2 Type 2 CC5.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
論理アクセス制御と物理アクセス制御
論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ
ID: SOC 2 Type 2 CC6.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
Azure AI サービス リソースでは、カスタマー マネージド キー (CMK) を使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して保存データを暗号化すると、キーのローテーションや管理など、キーのライフサイクルをより詳細に制御できます。 これは、関連するコンプライアンス要件がある組織に特に関係します。 これは既定では評価されず、コンプライアンスで、または制限的なポリシー要件で必要な場合にのみ適用する必要があります。 有効でない場合、データはプラットフォームマネージド キーを使用して暗号化されます。 これを実装するには、該当するスコープのセキュリティ ポリシーの "Effect" パラメーターを更新します。 | Audit、Deny、Disabled | 2.2.0 |
Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 | Audit、Deny、Disabled | 1.1.0 |
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
証明書には最長有効期間を指定する必要がある | キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 | Audit、Deny、Disabled | 1.1.2 |
情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
データ漏えいの管理手順を確立する | CMA_0255 - データ漏えいの管理手順を確立する | Manual、Disabled | 1.1.0 |
ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.1.0 |
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
Key Vault キーには有効期限が必要である | 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
Key Vault シークレットには有効期限が必要である | シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
キー コンテナーで論理的な削除が有効になっている必要がある | 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 | Audit、Deny、Disabled | 3.0.0 |
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、MySQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
特別な情報を保護する | CMA_0409 - 特別な情報を保護する | Manual、Disabled | 1.1.0 |
プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.0 |
SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.1 |
アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある | このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時の Azure Storage 暗号化の詳細については、 https://aka.ms/azurestoragebyok をご覧ください。 | AuditIfNotExists、Disabled | 1.0.0 |
ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Disabled | 1.0.3 |
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
アクセスのプロビジョニングと削除
ID: SOC 2 Type 2 CC6.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
Rol ベースのアクセスと最小の特権
ID: SOC 2 Type 2 CC6.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
ユーザー特権を確認する | CMA_C1039 - ユーザー特権を確認する | Manual、Disabled | 1.1.0 |
必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
Kubernetes Services でロールベースのアクセス制御 (RBAC) を使用する必要がある | ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 | Audit、Disabled | 1.0.4 |
複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
制限された物理的なアクセス
ID: SOC 2 Type 2 CC6.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
物理的な資産に対する論理的および物理的な保護
ID: SOC 2 Type 2 CC6.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
システム境界外の脅威に対するセキュリティ対策
ID: SOC 2 Type 2 CC6.6 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.1.0 |
ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
承認されたユーザーへの情報の移動を制限する
ID: SOC 2 Type 2 CC6.7 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
モバイル デバイスの要件を定義する | CMA_0122 - モバイル デバイスの要件を定義する | Manual、Disabled | 1.1.0 |
メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.1.0 |
ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する
ID: SOC 2 Type 2 CC6.8 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Http 2.0 はクライアント証明書をサポートしていないため、このポリシーは同じ名前の新しいポリシーに置き換えられました。 | Audit、Disabled | 3.1.0 (非推奨) |
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 6.0.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 5.1.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 4.0.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 3.1.0-preview |
[プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートされる Windows 仮想マシンでセキュア ブートを有効にします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | Audit、Disabled | 4.0.0-preview |
[プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 | Audit、Disabled | 2.0.0-preview |
App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある | Azure Arc 用の Azure Policy 拡張機能を使用すると、大規模な適用や、一元化された一貫性のある方法による Arc 対応 Kubernetes クラスターの保護が可能です。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 | AuditIfNotExists、Disabled | 1.1.0 |
Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 | Audit、Disabled | |
USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.0.0 |
関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 | |
コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 | |
Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
Kubernetes クラスターでは既定の名前空間を使用しない | ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
インストールする必要があるのは、許可されている VM 拡張機能のみ | このポリシーは、承認されていない仮想マシン拡張機能を制御します。 | Audit、Deny、Disabled | 1.0.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
脅威に対する保護の状態を毎週確認する | CMA_0479 - 脅威に対する保護の状態を毎週確認する | Manual、Disabled | 1.1.0 |
ストレージ アカウントは、信頼された Microsoft サービスからのアクセスを許可する必要がある | ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。 この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。 | Audit、Deny、Disabled | 1.0.0 |
ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
システムの操作
新しい脆弱性の検出と監視
ID: SOC 2 Type 2 CC7.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
非準拠のデバイスに対するアクションを構成する | CMA_0062 - 非準拠のデバイスに対するアクションを構成する | Manual、Disabled | 1.1.0 |
ベースライン構成を作成して維持する | CMA_0153 - ベースライン構成を作成して維持する | Manual、Disabled | 1.1.0 |
ネットワーク デバイスの検出を有効にする | CMA_0220 - ネットワーク デバイスの検出を有効にする | Manual、Disabled | 1.1.0 |
セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
構成コントロール ボードを設立する | CMA_0254 - 構成コントロール ボードを設立する | Manual、Disabled | 1.1.0 |
構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
システム コンポーネントの異常な動作を監視する
ID: SOC 2 Type 2 CC7.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 | Audit、Disabled | 2.0.1 |
認可または承認されていないネットワーク サービスを検出する | CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する | Manual、Disabled | 1.1.0 |
監査処理アクティビティを管理および監視する | CMA_0289 - 監査処理アクティビティを管理および監視する | Manual、Disabled | 1.1.0 |
Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
セキュリティ インシデントの検出
ID: SOC 2 Type 2 CC7.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
セキュリティ インシデントへの対応
ID: SOC 2 Type 2 CC7.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
実行されたインシデントとアクションのクラスの識別 | CMA_C1365 - 実行されたインシデントとアクションのクラスの識別 | Manual、Disabled | 1.1.0 |
インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
顧客がデプロイしたリソースの動的な再構成を含める | CMA_C1364 - 顧客がデプロイしたリソースの動的な再構成を含める | Manual、Disabled | 1.1.0 |
インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
特定されたセキュリティ インシデントからの復旧
ID: SOC 2 Type 2 CC7.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
インシデント対応テストを実施する | CMA_0060 - インシデント対応テストを実施する | Manual、Disabled | 1.1.0 |
コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
外部組織と連携して組織間の視点を実現する | CMA_C1368 - 外部組織と連携して組織間の視点を実現する | Manual、Disabled | 1.1.0 |
インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
シミュレーション攻撃の実行 | CMA_0486 - シミュレーション攻撃の実行 | Manual、Disabled | 1.1.0 |
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
変更の管理
インフラストラクチャ、データ、およびソフトウェアの変更
ID: SOC 2 Type 2 CC8.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Http 2.0 はクライアント証明書をサポートしていないため、このポリシーは同じ名前の新しいポリシーに置き換えられました。 | Audit、Disabled | 3.1.0 (非推奨) |
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 6.0.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 5.1.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 4.0.0-preview |
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 3.1.0-preview |
[プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートされる Windows 仮想マシンでセキュア ブートを有効にします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | Audit、Disabled | 4.0.0-preview |
[プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 | Audit、Disabled | 2.0.0-preview |
App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある | Azure Arc 用の Azure Policy 拡張機能を使用すると、大規模な適用や、一元化された一貫性のある方法による Arc 対応 Kubernetes クラスターの保護が可能です。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 | AuditIfNotExists、Disabled | 1.1.0 |
Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 | Audit、Disabled | |
セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
非準拠のデバイスに対するアクションを構成する | CMA_0062 - 非準拠のデバイスに対するアクションを構成する | Manual、Disabled | 1.1.0 |
脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
ベースライン構成を作成して維持する | CMA_0153 - ベースライン構成を作成して維持する | Manual、Disabled | 1.1.0 |
セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
構成コントロール ボードを設立する | CMA_0254 - 構成コントロール ボードを設立する | Manual、Disabled | 1.1.0 |
リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.0.0 |
関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.2.0 | |
コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 | |
Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.2.0 |
Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
Kubernetes クラスターでは既定の名前空間を使用しない | ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
インストールする必要があるのは、許可されている VM 拡張機能のみ | このポリシーは、承認されていない仮想マシン拡張機能を制御します。 | Audit、Deny、Disabled | 1.0.0 |
プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
ストレージ アカウントは、信頼された Microsoft サービスからのアクセスを許可する必要がある | ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。 この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。 | Audit、Deny、Disabled | 1.0.0 |
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
リスク軽減
リスク軽減アクティビティ
ID: SOC 2 Type 2 CC9.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報保護のニーズを把握する | CMA_C1750 - 情報保護のニーズを把握する | Manual、Disabled | 1.1.0 |
リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
ベンダーとビジネス パートナーのリスク管理
ID: SOC 2 Type 2 CC9.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
データ処理者の職務を定義する | CMA_0127 - データ処理者の職務を定義する | Manual、Disabled | 1.1.0 |
サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
サードパーティの担当者のセキュリティ要件を確立する | CMA_C1529 - サードパーティの担当者のセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
サードパーティー プロバイダーのコンプライアンスをモニターする | CMA_C1533 - サードパーティー プロバイダーのコンプライアンスをモニターする | Manual、Disabled | 1.1.0 |
サードパーティに対する PII の開示を記録する | CMA_0422 - サードパーティに対する PII の開示を記録する | Manual、Disabled | 1.1.0 |
サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | CMA_C1530 - サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | Manual、Disabled | 1.1.0 |
PII 共有とその結果に関するスタッフのトレーニング | CMA_C1871 - PII 共有とその結果に関するスタッフのトレーニング | Manual、Disabled | 1.1.0 |
プライバシーに関する追加条件
プライバシー通知
ID: SOC 2 Type 2 P1.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
プライバシー ポリシーの文書化と配布 | CMA_0188 - プライバシー ポリシーの文書化と配布 | Manual、Disabled | 1.1.0 |
プライバシー プログラムの情報が一般公開されていることを確認する | CMA_C1867 - プライバシー プログラムの情報が一般公開されていることを確認する | Manual、Disabled | 1.1.0 |
プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
一般ユーザーおよび個人にプライバシーに関する通知を提供する | CMA_C1861 - 一般ユーザーおよび個人にプライバシーに関する通知を提供する | Manual、Disabled | 1.1.0 |
プライバシーに関する同意
ID: SOC 2 Type 2 P2.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
一貫性のある個人情報の収集
ID: SOC 2 Type 2 P3.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
PII を収集する法的権限の決定 | CMA_C1800 - PII を収集する法的権限の決定 | Manual、Disabled | 1.1.0 |
PII の整合性を確保するための手順を文書化する | CMA_C1827 - PII の整合性を確保するための手順を文書化する | Manual、Disabled | 1.1.0 |
PII の保有を定期的に評価して確認する | CMA_C1832 - PII の保有を定期的に評価して確認する | Manual、Disabled | 1.1.0 |
個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
個人情報の明示的な同意
ID: SOC 2 Type 2 P3.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
個人から PII を直接収集する | CMA_C1822 - 個人から PII を直接収集する | Manual、Disabled | 1.1.0 |
個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
個人情報の使用
ID: SOC 2 Type 2 P4.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
個人情報を処理するための法的根拠を文書化する | CMA_0206 - 個人情報を処理するための法的根拠を文書化する | Manual、Disabled | 1.1.0 |
プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
個人情報の保持
ID: SOC 2 Type 2 P4.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
PII の整合性を確保するための手順を文書化する | CMA_C1827 - PII の整合性を確保するための手順を文書化する | Manual、Disabled | 1.1.0 |
個人情報の破棄
ID: SOC 2 Type 2 P4.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
個人情報へのアクセス
ID: SOC 2 Type 2 P5.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
コンシューマー リクエストのためのメソッドを実装する | CMA_0319 - コンシューマー リクエストのためのメソッドを実装する | Manual、Disabled | 1.1.0 |
プライバシーに関する法律の記録にアクセスするルールと規制を公開する | CMA_C1847 - プライバシーに関する法律の記録にアクセスするルールと規制を公開する | Manual、Disabled | 1.1.0 |
個人情報の訂正
ID: SOC 2 Type 2 P5.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
訂正リクエストに応答する | CMA_0442 - 訂正リクエストに応答する | Manual、Disabled | 1.1.0 |
個人情報の第三者への開示
ID: SOC 2 Type 2 P6.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
データ処理者の職務を定義する | CMA_0127 - データ処理者の職務を定義する | Manual、Disabled | 1.1.0 |
サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
契約社員とサービス プロバイダーのプライバシー要件を確立する | CMA_C1810 - 契約社員とサービス プロバイダーのプライバシー要件を確立する | Manual、Disabled | 1.1.0 |
サードパーティに対する PII の開示を記録する | CMA_0422 - サードパーティに対する PII の開示を記録する | Manual、Disabled | 1.1.0 |
PII 共有とその結果に関するスタッフのトレーニング | CMA_C1871 - PII 共有とその結果に関するスタッフのトレーニング | Manual、Disabled | 1.1.0 |
個人情報記録の承認された開示
ID: SOC 2 Type 2 P6.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報の開示を正確に把握する | CMA_C1818 - 情報の開示を正確に把握する | Manual、Disabled | 1.1.0 |
個人情報記録の不正開示
ID: SOC 2 Type 2 P6.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報の開示を正確に把握する | CMA_C1818 - 情報の開示を正確に把握する | Manual、Disabled | 1.1.0 |
サード パーティ契約
ID: SOC 2 Type 2 P6.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
データ処理者の職務を定義する | CMA_0127 - データ処理者の職務を定義する | Manual、Disabled | 1.1.0 |
サード パーティの不正開示通知
ID: SOC 2 Type 2 P6.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
情報セキュリティと個人データの保護 | CMA_0332 - 情報セキュリティと個人データの保護 | Manual、Disabled | 1.1.0 |
プライバシー インシデントの通知
ID: SOC 2 Type 2 P6.6 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
情報セキュリティと個人データの保護 | CMA_0332 - 情報セキュリティと個人データの保護 | Manual、Disabled | 1.1.0 |
個人情報の開示に関する会計処理
ID: SOC 2 Type 2 P6.7 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
情報の開示を正確に把握する | CMA_C1818 - 情報の開示を正確に把握する | Manual、Disabled | 1.1.0 |
開示の会計処理を要求に応じて利用できるようにする | CMA_C1820 - 開示の会計処理を要求に応じて利用できるようにする | Manual、Disabled | 1.1.0 |
プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
個人情報の品質
ID: SOC 2 Type 2 P7.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
PII の品質と整合性を確認する | CMA_C1821 - PII の品質と整合性を確認する | Manual、Disabled | 1.1.0 |
データの品質と整合性を確保するためのガイドラインを発行する | CMA_C1824 - データの品質と整合性を確保するためのガイドラインを発行する | Manual、Disabled | 1.1.0 |
不正確または古くなった PII を確認する | CMA_C1823 - 不正確または古くなった PII を確認する | Manual、Disabled | 1.1.0 |
プライバシーに関する苦情処理とコンプライアンス管理
ID: SOC 2 Type 2 P8.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
プライバシーに関する苦情の手順を文書化して実装する | CMA_0189 - プライバシーに関する苦情の手順を文書化して実装する | Manual、Disabled | 1.1.0 |
PII の保有を定期的に評価して確認する | CMA_C1832 - PII の保有を定期的に評価して確認する | Manual、Disabled | 1.1.0 |
情報セキュリティと個人データの保護 | CMA_0332 - 情報セキュリティと個人データの保護 | Manual、Disabled | 1.1.0 |
苦情、懸念事項、または質問にタイムリーに対応する | CMA_C1853 - 苦情、懸念事項、または質問にタイムリーに対応する | Manual、Disabled | 1.1.0 |
PII 共有とその結果に関するスタッフのトレーニング | CMA_C1871 - PII 共有とその結果に関するスタッフのトレーニング | Manual、Disabled | 1.1.0 |
処理整合性に関する追加条件
データ処理の定義
ID: SOC 2 Type 2 PI1.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
完全性と精度に対するシステム入力
ID: SOC 2 Type 2 PI1.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報入力の検証を実行 | CMA_C1723 - 情報入力の検証を実行 | Manual、Disabled | 1.1.0 |
システム処理
ID: SOC 2 Type 2 PI1.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
エラー メッセージの生成 | CMA_C1724 - エラー メッセージの生成 | Manual、Disabled | 1.1.0 |
データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
情報入力の検証を実行 | CMA_C1723 - 情報入力の検証を実行 | Manual、Disabled | 1.1.0 |
ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
システム出力は完全、正確、タイムリーである
ID: SOC 2 Type 2 PI1.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
入出力を完全、正確、適切に保存する
ID: SOC 2 Type 2 PI1.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
バックアップ情報を個別に保存する | CMA_C1293 - バックアップ情報を個別に保存する | Manual、Disabled | 1.1.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。