セキュリティの推奨事項 - リファレンス ガイド

この記事では、Microsoft Defender for Cloud に表示される推奨事項の一覧を示します。 お使いの環境に示される推奨事項は、保護しているリソースとご自分でカスタマイズした構成によって異なります。

Defender for Cloud のレコメンデーションは、Microsoft クラウド セキュリティ ベンチマークに基づいています。 Microsoft クラウド セキュリティ ベンチマークは Microsoft が作成したもので、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関する一連のガイドラインです。 この広く遵守されているベンチマークは、クラウド中心のセキュリティに重点を置いた Center for Internet Security (CIS)National Institute of Standards and Technology (NIST) の統制に基づいています。

これらの推奨事項への対応方法については、Defender For Cloud での推奨事項の修復に関する記事を参照してください。

セキュア スコアは、実施したセキュリティに関する推奨事項の数によって決まります。 最初に解決すべき推奨事項を決定するには、それぞれの重大度と、セキュア スコアに対する潜在的な影響を確認します。

ヒント

推奨事項の説明に "関連ポリシーなし" と表示されている場合、その理由は通常、その推奨事項が別の推奨事項と その ポリシーに依存しているためです。 たとえば、「…で Endpoint Protection の正常性エラーを修復する必要があります」という推奨事項は、エンドポイント保護ソリューションがインストール済みであるかどうかを確認する推奨事項 (「エンドポイント保護ソリューションを...インストールする必要がある」) に依存しています。 基になる推奨事項にはポリシーが存在します。 ポリシーを基本推奨事項のみに制限すると、ポリシー管理が簡単になります。

AppServices の推奨事項

このカテゴリには 31 個の推奨事項があります。

推奨 Description 重大度
API アプリには HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。
(関連ポリシー:API アプリには HTTPS を介してのみアクセスできるようにする)
CORS で API Apps へのアクセスをすべてのリソースには許可しない クロス オリジン リソース共有 (CORS) では、API アプリへのアクセスをすべてのドメインには許可しないでください。 API アプリの操作に必要なドメインのみを許可します。
(関連ポリシー:CORS で API アプリへのアクセスをすべてのリソースには許可しない)
CORS で関数アプリへのアクセスをすべてのリソースには許可しない クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。
(関連ポリシー:CORS で関数アプリへのアクセスをすべてのリソースには許可しない)
CORS で Web アプリケーションへのアクセスをすべてのリソースには許可しない クロス オリジン リソース共有 (CORS) で、Web アプリケーションへのアクセスをすべてのドメインには許可しないでください。 Web アプリの操作に必要なドメインのみを許可します。
(関連ポリシー:CORS で Web アプリケーションへのアクセスをすべてのリソースには許可しない)
App Services における診断ログを有効にする必要がある アプリ上で診断ログが有効になっているかどうかを監査します。
これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシーはありません)
API アプリでクライアント証明書 (着信クライアント証明書) が [オン] に設定されていることを確認する クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。
(関連ポリシー: API アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する)
Medium
API Apps で FTPS を必須とする必要がある セキュリティを強化するために FTPS 強制を有効にします
(関連ポリシー:API アプリでは FTPS のみを必須とする)
関数アプリで FTPS を必須とする必要がある セキュリティを強化するために FTPS 強制を有効にします
(関連ポリシー:関数アプリでは FTPS のみを必須とする)
Web アプリで FTPS を必須とする必要がある セキュリティを強化するために FTPS 強制を有効にします
(関連ポリシー:Web アプリでは FTPS を必須とする)
Function App には HTTPS 経由でのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。
(関連ポリシー:関数アプリに HTTPS を介してのみアクセスできるようにする)
関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。
(関連ポリシー:関数アプリで "クライアント証明書 (着信クライアント証明書)" を有効にする必要がある)
API Apps 用に Java を最新バージョンに更新する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、Java の新しいバージョンが定期的にリリースされます。
最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを API アプリに使用することをお勧めします。
(関連ポリシー:API アプリの一部として使用される "Java のバージョン" が最新であることを確認する)
関数アプリ用に Java を最新バージョンに更新する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。
最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。
(関連ポリシー:関数アプリの一部として使用される "Java のバージョン" が最新であることを確認する)
Web アプリ用に Java を最新バージョンに更新する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。
最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Java バージョンを Web アプリに使用することをお勧めします。
(関連ポリシー:Web アプリの一部として使用される "Java のバージョン" が最新であることを確認する)
API Apps ではマネージド ID を使用する必要がある 認証セキュリティを強化するには、マネージド ID を使用します。
Azure のマネージド ID を使用すれば、開発者が資格情報を管理する必要がなくなります。Azure リソースの ID は Azure AD から提供され、その ID を使用して Azure Active Directory (Azure AD) トークンが取得されます。
(関連ポリシー:API アプリではマネージド ID を使用する必要がある)
関数アプリではマネージド ID を使用する必要がある 認証セキュリティを強化するには、マネージド ID を使用します。
Azure のマネージド ID を使用すれば、開発者が資格情報を管理する必要がなくなります。Azure リソースの ID は Azure AD から提供され、その ID を使用して Azure Active Directory (Azure AD) トークンが取得されます。
(関連ポリシー:関数アプリではマネージド ID を使用する必要がある)
Web アプリではマネージド ID を使用する必要がある 認証セキュリティを強化するには、マネージド ID を使用します。
Azure のマネージド ID を使用すれば、開発者が資格情報を管理する必要がなくなります。Azure リソースの ID は Azure AD から提供され、その ID を使用して Azure Active Directory (Azure AD) トークンが取得されます。
(関連ポリシー:Web アプリではマネージド ID を使用する必要がある)
Microsoft Defender for App Serviceを有効にする必要があります Microsoft Defender for App Service では、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。
Microsoft Defender for App Service では、アプリケーションに対する攻撃を検出したり、新種の攻撃を特定したりできます。

重要:この推奨事項の修復によって、App Service プランを保護するための料金が発生します。 このサブスクリプションに App Service プランがない場合、料金は発生しません。
今後このサブスクリプションに App Service プランを作成すると、それらは自動的に保護され、その時点で料金が発生します。
詳細については、「Web アプリと API の保護」を参照してください。
(関連ポリシー:Azure Defender for App Service を有効にする必要がある)
API Apps 用に PHP を最新バージョンに更新する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。
最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の PHP バージョンを API アプリに使用することをお勧めします。
(関連ポリシー:API アプリの一部として使用される "PHP のバージョン" が最新であることを確認する)
Web アプリ用に PHP を最新バージョンに更新する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。
最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の PHP バージョンを Web アプリに使用することをお勧めします。
(関連ポリシー:Web アプリの一部として使用される "PHP のバージョン" が最新であることを確認する)
API Apps 用に Python を最新バージョンに更新する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。
最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを API アプリに使用することをお勧めします。
(関連ポリシー:API アプリの一部として使用される "Python のバージョン" が最新であることを確認する)
関数アプリ用に Python を最新バージョンに更新する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。
最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。
(関連ポリシー:関数アプリの一部として使用される "Python のバージョン" が最新であることを確認する)
Web アプリ用に Python を最新バージョンに更新する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。
最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを Web アプリに使用することをお勧めします。
(関連ポリシー:Web アプリの一部として使用される "Python のバージョン" が最新であることを確認する)
API アプリでリモート デバッグを無効にする リモート デバッグを実行するには、API アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。
(関連ポリシー:API アプリでリモート デバッグを無効にする)
Function App でリモート デバッグを無効にする リモート デバッグを実行するには、受信ポートが Azure 関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。
(関連ポリシー:関数アプリでリモート デバッグを無効にする)
Web アプリケーションのリモート デバッグを無効にする リモート デバッグを実行するには、受信ポートが Web アプリケーション上で開かれている必要があります。 現在、リモート デバッグが有効になっています。 リモート デバッグを使用する必要がなくなったら、無効にする必要があります。
(関連ポリシー:Web アプリケーションでリモート デバッグを無効にする)
API Apps 用に TLS を最新バージョンに更新する必要がある 最新の TLS バージョンにアップグレードします
(関連ポリシー:API アプリでは最新の TLS バージョンを使用する必要がある)
関数アプリ用に TLS を最新バージョンに更新する必要がある 最新の TLS バージョンにアップグレードします
(関連ポリシー:関数アプリでは最新の TLS バージョンを使用する必要がある)
Web アプリ用に TLS を最新バージョンに更新する必要がある 最新の TLS バージョンにアップグレードします
(関連ポリシー:Web アプリでは最新の TLS バージョンを使用する必要がある)
Web アプリケーションには HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。
(関連ポリシー:Web アプリケーションには HTTPS を介してのみアクセスできるようにする)
Web アプリではすべての受信要求に対して SSL 証明書を要求する必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。
有効な証明書を持つクライアントのみがアプリにアクセスできます。
(関連ポリシー:Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する)

コンピューティングの推奨事項

このカテゴリには 58 個の推奨事項があります。

推奨 Description 重大度
安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Defender for Cloud で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。
(関連ポリシー:安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある)
適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある Defender for Cloud の適応型アプリケーション制御によって監査用に構成されているマシン グループでの動作の変更を監視します。 Defender for Cloud では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。
(関連ポリシー:適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある)
Linux マシンに対する認証では SSH キーを要求する必要がある SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、「詳細な手順: Azure の Linux VM に対する認証用に SSH キーを作成して管理する」を参照してください。
(関連ポリシー: 認証に SSH キーが使用されていない Linux マシンを監査する)
Automation アカウント変数は、暗号化する必要がある 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です。
(関連ポリシー:Automation アカウントの変数は暗号化する必要がある)
仮想マシンに対して Azure Backup を有効にする必要がある Azure Backup を使用して Azure 仮想マシンのデータを保護します。
Azure Backup は、Azure ネイティブで費用対効果の高いデータ保護ソリューションです。
geo 冗長 Recovery コンテナーに保存される復旧ポイントが作成されます。
復旧ポイントから復元するときは、VM 全体を復元するか、特定のファイルを復元することができます。
(関連ポリシー:Virtual Machines に対して Azure Backup を有効にする必要がある)
コンテナーのホストを安全に構成する必要がある Docker がインストールされているマシンでセキュリティ構成の脆弱性を修復し、コンテナーを攻撃から保護します。
(関連ポリシー:コンテナーのセキュリティ構成の脆弱性を修復する必要がある)
Azure Stream Analytics で診断ログを有効にする必要がある ログを有効にし、それらを最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシー:Azure Stream Analytics における診断ログを有効にする必要がある)
Batch アカウントで診断ログを有効にする必要がある ログを有効にし、それらを最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシー:Batch アカウントにおける診断ログを有効にする必要がある)
イベント ハブの診断ログを有効にする必要がある ログを有効にし、それらを最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシー:イベント ハブにおける診断ログを有効にする必要がある)
Kubernetes サービスの診断ログを有効にする必要がある Kubernetes サービスで診断ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシーはありません)
Logic Apps における診断ログを有効にする必要がある セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できるように、ログを有効にします。 Log Analytics ワークスペース、Azure ストレージ アカウント、または Azure Event Hub に診断ログが送信されていない場合は、プラットフォームのメトリックとプラットフォームのログを関連する宛先に送信するように診断設定が構成されていることを確認します。 詳細については、「プラットフォーム ログとメトリックを異なる宛先に送信するための診断設定を作成する」をご覧ください。
(関連ポリシー:Logic Apps における診断ログを有効にする必要がある)
Search サービスにおける診断ログを有効にする必要がある ログを有効にし、それらを最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシー:Search サービスにおける診断ログを有効にする必要がある)
Service Bus で診断ログを有効にする必要がある ログを有効にし、それらを最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシー:Service Bus における診断ログを有効にする必要がある)
仮想マシン スケール セットの診断ログを有効にする必要がある ログを有効にし、それらを最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシー:Virtual Machine Scale Sets における診断ログを有効にする必要がある)
マシンの Endpoint Protection の正常性の問題を解決する必要がある 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Defender for Cloud でサポートされている Endpoint Protection ソリューションEndpoint Protection の評価に関するドキュメントを参照してください。
(関連ポリシーはありません)
マシンの Endpoint Protection の正常性の問題を解決する必要がある Defender for Cloud の完全な保護のために、トラブルシューティング ガイドの手順に従って、マシンの監視エージェントに関する問題を解決します。
(関連ポリシー:エンドポイント保護の不足を Azure Security Center で監視する)
Virtual Machine Scale Sets で Endpoint Protection の正常性の問題を解決する必要がある 脅威と脆弱性から保護するため、仮想マシン スケール セット上で発生したエンドポイントの保護の正常性エラーを修復します。
(関連ポリシー:Virtual Machine Scale Sets にエンドポイント保護ソリューションをインストールする必要がある)
マシンに Endpoint Protection をインストールする必要がある 脅威と脆弱性からマシンを保護するには、サポートされている Endpoint Protection ソリューションをインストールします。
マシンの Endpoint Protection の評価方法の詳細については、「Microsoft Defender for Cloud での Endpoint Protection に関する評価と推奨事項」を参照してください。
(関連ポリシーはありません)
マシンに Endpoint Protection をインストールする必要がある お使いの Windows または Linux マシンにエンドポイント保護ソリューションをインストールし、脅威と脆弱性から仮想マシンを保護します。
(関連ポリシーはありません)
Virtual Machine Scale Sets に Endpoint Protection をインストールする必要がある 脅威と脆弱性から保護するために、仮想マシン スケール セットにエンドポイント保護ソリューションをインストールします。
(関連ポリシー:Virtual Machine Scale Sets にエンドポイント保護ソリューションをインストールする必要がある)
マシンでファイルの整合性の監視を有効にする必要がある Defender for Cloud によって、ファイルの整合性の監視ソリューションがないマシンが特定されました。 サーバー上の重要なファイルやレジストリ キーなどの変更を監視するには、ファイルの整合性の監視を有効にします。
ファイル整合性監視ソリューションが有効になっている場合は、監視するファイルを定義するデータ収集ルールを作成します。 ルールを定義するには、または既存のルールによってマシンで変更されるファイルを確認するには、ファイルの整合性監視の管理ページ>に移動します
(関連ポリシーはありません)
サポートされている Linux 仮想マシンのスケール セットに Guest Attestation 拡張機能をインストールする必要がある サポートしている Linux Virtual Machine Scale Sets に Guest Attestation 拡張機能をインストールし、Microsoft Defender for Cloud でブート整合性を予防的に証明、監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な Linux 仮想マシン スケール セットのみです。

重要:
トラステッド起動を使用するには、新しい仮想マシンを作成する必要があります。
最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。
詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。
(関連ポリシーはありません)
Guest Attestation 拡張機能を、サポートしている Linux 仮想マシンにインストールする必要があります サポートしている Linux Virtual Machines に Guest Attestation 拡張機能をインストールし、Microsoft Defender for Cloud でブート整合性を予防的に証明、監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な Linux 仮想マシンのみです。

重要:
トラステッド起動を使用するには、新しい仮想マシンを作成する必要があります。
最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。
詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。
(関連ポリシーはありません)
サポートされている Windows 仮想マシンのスケール セットに Guest Attestation 拡張機能をインストールする必要がある サポートしている Virtual Machine Scale Sets に Guest Attestation 拡張機能をインストールし、Microsoft Defender for Cloud でブート整合性を予防的に証明、監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な仮想マシン スケール セットのみです。

重要:
トラステッド起動を使用するには、新しい仮想マシンを作成する必要があります。
最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。
詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。
(関連ポリシーはありません)
Guest Attestation 拡張機能を、サポートしている Windows 仮想マシンにインストールする必要があります サポートしている Virtual Machines に Guest Attestation 拡張機能をインストールし、Microsoft Defender for Cloud でブート整合性を予防的に証明、監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。

重要:
トラステッド起動を使用するには、新しい仮想マシンを作成する必要があります。
最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。
詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。
(関連ポリシーはありません)
マシンにゲスト構成拡張機能がインストールされている必要がある マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、こちらを参照してください
(関連ポリシー:仮想マシンにはゲスト構成拡張機能が必要である)
仮想マシンにエンドポイント保護ソリューションをインストールする 仮想マシンにエンドポイント保護ソリューションをインストールし、脅威と脆弱性から仮想マシンを保護します。
(関連ポリシー:エンドポイント保護の不足を Azure Security Center で監視する)
Linux 仮想マシンでカーネル モジュール署名の検証を強制する必要がある カーネル モードでの悪意のある、または承認されていないコードの実行を軽減するのに役立つように、サポートされている Linux 仮想マシンにカーネル モジュール署名検証を強制します。 カーネル モジュール署名の検証により、信頼されたカーネル モジュールのみの実行が許可されるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。
(関連ポリシーはありません)
Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある セキュア ブートが有効になっていると、すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloud によって、お客様が所有する 1 台以上の Linux マシンで信頼されていない OS ブート コンポーネントが特定されました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。
(関連ポリシーはありません)
Linux 仮想マシンではセキュア ブートを使用する必要がある マルウェアベースのルートキットおよびブート キットのインストールから保護するために、サポートされている Linux 仮想マシンでセキュア ブートを有効にします。 セキュア ブートにより、署名されたオペレーティング システムとドライバーのみを確実に実行できるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。
(関連ポリシーはありません)
Linux ベースの Azure Arc 対応マシンに Log Analytics エージェントをインストールする必要がある Defender for Cloud では、Log Analytics エージェント (OMS とも呼ばれます) を使用して、Azure Arc マシンからセキュリティ イベントを収集します。 すべての Azure Arc マシンにエージェントをデプロイするには、修復手順に従います。
(関連ポリシーはありません)
Virtual Machine Scale Sets に Log Analytics エージェントをインストールする必要がある Defender for Cloud では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 データは、Log Analytics エージェント (旧称 Microsoft Monitoring Agent (MMA)) を使用して収集されます。エージェントがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータをワークスペースにコピーします。 Azure Kubernetes Service や Azure Service Fabric などの Azure 管理サービスによって VM が使用されている場合は、その手順に従う必要もあります。 Azure 仮想マシン スケール セットのためにエージェントの自動プロビジョニングを構成することはできません。 エージェントを仮想マシン スケール セット (Azure Kubernetes Service や Azure Service Fabric など、Azure 管理サービスで使用されるものを含む) にデプロイするには、修復手順の方法に従ってください。
(関連ポリシー:Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある)
仮想マシンに Log Analytics エージェントをインストールする必要がある Defender for Cloud では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 データは、Log Analytics エージェント (旧称 Microsoft Monitoring Agent (MMA)) を使用して収集されます。エージェントがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 Azure Kubernetes Service や Azure Service Fabric などの Azure 管理サービスによって VM が使用されている場合にも、このエージェントが必要になります。 自動プロビジョニングを構成して、エージェントを自動的にデプロイすることをお勧めします。 自動プロビジョニングを使用しないことを選択する場合は、修復手順の指示に従って手動でエージェントを VM にデプロイします。
(関連ポリシー:Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある)
Windows ベースの Azure Arc 対応マシンに Log Analytics エージェントをインストールする必要がある Defender for Cloud では、Log Analytics エージェント (MMA とも呼ばれます) を使用して、Azure Arc マシンからセキュリティ イベントを収集します。 すべての Azure Arc マシンにエージェントをデプロイするには、修復手順に従います。
(関連ポリシーはありません)
マシンを安全に構成する必要がある マシンでセキュリティ構成の脆弱性を修復し、マシンを攻撃から保護します。
(関連ポリシー:マシンのセキュリティ構成の脆弱性を修復する必要がある)
セキュリティ構成の更新を適用するにはマシンを再起動する必要がある セキュリティ構成の更新を適用し、脆弱性から保護するには、マシンを再起動します。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。
(関連ポリシーはありません)
マシンに脆弱性評価ソリューションを導入する必要がある 接続されているマシンで脆弱性評価ツールが確実に実行されるように、Defender for Cloud によって定期的にチェックされます。 脆弱性評価ソリューションをデプロイするには、この推奨事項を使用します。
(関連ポリシー:脆弱性評価ソリューションを仮想マシンで有効にする必要がある)
マシンでは、脆弱性の検出結果が解決されている必要がある 仮想マシン上の脆弱性評価ソリューションの結果を解決します。
(関連ポリシー:脆弱性評価ソリューションを仮想マシンで有効にする必要がある)
仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります Defender for Cloud によって、ネットワーク セキュリティ グループの管理ポートに対する受信規則の一部が過度に寛大であることが確認されました。 Just-In-Time のアクセス制御を有効にして、インターネットベースのブルートフォース攻撃から VM を保護します。 詳細については、「Just-In-Time (JIT) VM アクセスについて」を参照してください。
(関連ポリシー:仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある)
Microsoft Defender for servers を有効にする必要があります Microsoft Defender for servers では、サーバーのワークロードが脅威からリアルタイムに保護され、セキュリティ強化の推奨事項と、疑わしいアクティビティに関するアラートが生成されます。
この情報を使用して、セキュリティの問題を迅速に修復し、サーバーのセキュリティを強化できます。

重要:この推奨事項の修復によって、サーバーを保護するための料金が発生します。 このサブスクリプションにサーバーがない場合、料金は発生しません。
今後、このサブスクリプションにサーバーを作成すると、それらは自動的に保護され、その時点で料金が発生します。
詳細については、「Microsoft Defender for servers の概要」を参照してください。
(関連ポリシー:サーバー用 Azure Defender を有効にする必要がある)
Microsoft Defender for servers をワークスペース上で有効にする必要がある Microsoft Defender for servers を使用すると、お使いの Windows マシンと Linux マシンを対象とした脅威検出および高度な防御が追加されます。
ワークスペースではなくサブスクリプションでこの Defender プランを有効にすると、Microsoft Defender for servers の全機能に対する料金がかかりますが、一部のメリットが得られません。
ワークスペースで Microsoft Defender for servers を有効にすると、そのワークスペースに対して報告を行うすべてのマシンに対して Microsoft Defender for servers の料金が発生します (Defender プランを有効にしていないサブスクリプションであっても同様です)。 サブスクリプションで Microsoft Defender for servers も有効にしない限り、それらのマシンでは、Just-In-Time VM アクセス、適応型アプリケーション制御、Azure リソースのネットワーク検出を利用することができません。
詳細については、「Microsoft Defender for servers の概要」を参照してください。
(関連ポリシーはありません)
Medium
実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある コンテナー イメージの脆弱性評価では、Kubernetes クラスターで実行されているコンテナー イメージのセキュリティの脆弱性をスキャンし、各イメージの詳細な結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。
(関連ポリシーはありません)
セキュア ブートを、サポートしている Windows 仮想マシンで有効にする必要があります サポートしている Windows 仮想マシンでセキュア ブートを有効にし、ブート チェーンに対する悪意ある、および未認可の変更を対策します。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価が適用されるのは、トラステッド起動が有効な Windows 仮想マシンのみです。

重要:
トラステッド起動を使用するには、新しい仮想マシンを作成する必要があります。
最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。
詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。
(関連ポリシーはありません)
Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します。
(関連ポリシー:Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある)
Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある Service Fabric では、Azure Active Directory によるクライアント認証のみを実行します。
(関連ポリシー:Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある)
仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある 不足しているシステム セキュリティの更新プログラムと重要な更新プログラムをインストールして、Windows と Linux の仮想マシン スケール セットをセキュリティで保護します。
(関連ポリシー:Virtual Machine Scale Sets のシステム更新プログラムをインストールする必要がある)
システム更新プログラムをマシンにインストールする必要がある 不足しているシステム セキュリティの更新プログラムと重要な更新プログラムをインストールして、Windows と Linux の仮想マシンとコンピューターをセキュリティで保護します
(関連ポリシー:システムの更新プログラムをマシンにインストールする必要がある)
システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。
(関連ポリシーはありません)
Virtual Machine Scale Sets を安全に構成する必要がある 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復し、攻撃から保護します。
(関連ポリシー:仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある)
仮想マシンのゲスト構成証明の状態は正常である必要がある ゲスト構成証明は、信頼されているログ (TCGLog) を構成証明サーバーに送信することによって実行されます。 このサーバーでこれらのログが使用されて、ブート コンポーネントが信頼できるかどうかが判断されます。 この評価は、ブートキットまたはルートキットの感染結果である可能性があるブート チェーンの侵害を検出するためのものです。
この評価は、ゲスト構成証明の拡張機能がインストールされている、トラステッド起動が有効な仮想マシンのみに適用されます。
(関連ポリシーはありません)
Medium
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細情報
(関連ポリシー:ゲスト構成拡張機能はシステム割り当てマネージド ID を持つ Azure 仮想マシンにデプロイする必要がある)
Medium
仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 仮想マシン (クラシック) は非推奨になったので、これらの VM を Azure Resource Manager に移行する必要があります。
Azure Resource Manager には現在、完全な IaaS 機能とその他の強化機能が含まれるため、2020 年 2 月 28 日に Azure Service Manager (ASM) を介した IaaS 仮想マシン (VM) の管理を非推奨にしました。 この機能は、2023 年 3 月 1 日に完全に廃止される予定です。

影響を受けるすべてのクラシック VM を表示するには、[ディレクトリ + サブスクリプション] タブですべての Azure サブスクリプションを選択してください。

このツールと移行に関する利用可能なリソースと情報は次のとおりです。
仮想マシン (クラシック) の非推奨の概要、移行の段階的なプロセス、利用可能な Microsoft リソース。
Azure Resource Manager 移行ツールへの移行に関する詳細情報。
PowerShell を使用して Azure Resource Manager 移行ツールに移行します。
(関連ポリシー:仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある)
コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。
一時ディスクとデータ キャッシュは暗号化されません。また、データはコンピューティング リソースとストレージ リソースの間を流れるときは暗号化されません。
Azure でのさまざまなディスク暗号化テクノロジの比較については、 https://aka.ms/diskencryptioncomparison を参照してください。
Azure Disk Encryption を使用してこのデータをすべて暗号化します。
次のような場合は、この推奨事項を無視してください。
1. ホストでの暗号化機能を使用している場合、または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている。
詳細については、「Azure Disk Storage のサーバー側暗号化」を参照してください。
(関連ポリシー:仮想マシンにディスク暗号化を適用する必要がある)
vTPM を、サポートしている仮想マシンで有効にする必要があります サポートしている仮想マシンで仮想 TPM デバイスを有効にし、メジャー ブートなど、TPM が必要な OS のセキュリティ機能を使用できるようにします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。

重要:
トラステッド起動を使用するには、新しい仮想マシンを作成する必要があります。
最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。
詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。
(関連ポリシーはありません)
Linux マシンのセキュリティ構成の脆弱性を修復する必要がある (Powered by ゲスト構成) Linux マシン上のセキュリティ構成の脆弱性を修復し、攻撃から保護します。
(関連ポリシー: Linux マシンでは Azure セキュリティ ベースラインの要件を満たしている必要がある)
Windows マシンのセキュリティ構成の脆弱性を修復する必要がある (Powered by ゲスト構成) Windows マシン上のセキュリティ構成の脆弱性を修復し、攻撃から保護します。
(関連ポリシーはありません)
マシンで Windows Defender Exploit Guard を有効にする必要がある Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。
(関連ポリシー:Windows Defender Exploit Guard が有効になっていない Windows マシンを監査する)
Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある インターネット経由で通信する情報のプライバシーを保護するために、お客様の Web サーバーでは業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使用する必要があります。 TLS によって、セキュリティ証明書を使用してマシン間の接続が暗号化されることにより、ネットワーク経由の通信がセキュリティで保護されます。
(関連ポリシー: セキュリティで保護された通信プロトコルを使用していない Windows Web サーバーを監査する)

コンテナーの推奨事項

このカテゴリには 27 個の推奨事項があります。

推奨 Description 重大度
[必要に応じて有効にする] コンテナー レジストリはカスタマー マネージド キー (CMK) を使用して暗号化する必要がある 保存データの暗号化にカスタマー マネージド キーを使用するという推奨事項は、既定では評価されませんが、適用可能なシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。
この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。
カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 CMK 暗号化の詳細については、https://aka.ms/acr/CMK を参照してください。
(関連ポリシー:コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある
Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある Kubernetes 用の Azure Policy 拡張機能では、Open Policy Agent (OPA) 用のアドミッション コントローラー Webhook である Gatekeeper v3 を拡張して、一元化された一貫した方法で、大規模な強制と保護をクラスターに適用します。
(関連ポリシーはありません)
Azure Arc 対応 Kubernetes クラスターには、Defender の拡張機能がインストールされている必要がある Defender の Azure Arc 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのコントロール プレーン (マスター) ノードからデータを収集し、それをクラウドの Microsoft Defender for Kubernetes のバックエンドに送信して、さらなる分析を行うことができます。 詳細については、こちらを参照してください
(関連ポリシーはありません)
Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある Kubernetes 用の Azure Policy アドオンでは、Open Policy Agent (OPA) 用のアドミッション コントローラー Webhook である Gatekeeper v3 を拡張して、一元化された一貫した方法で、大規模な強制と保護をクラスターに適用します。

Defender for Cloud では、クラスター内のセキュリティ機能とコンプライアンスを監査および適用するためにこのアドオンが必要です。 詳細をご覧ください

Kubernetes v1.14.0 以降が必要です。


(関連ポリシー:Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある)
コンテナーの CPU とメモリの制限を強制する必要がある CPU とメモリの制限を適用すると、リソース枯渇攻撃 (サービス拒否攻撃の一種) を防ぐことができます。

コンテナーに制限を設定し、設定された制限を超えてリソースがコンテナーで使用されないように、ランタイムによって防ぐことをお勧めします。


(関連ポリシー:コンテナーの CPU およびメモリのリソース制限が、Kubernetes クラスター内の指定された制限を超えないようにする)
コンテナー イメージは信頼されたレジストリからのみデプロイする必要がある Kubernetes クラスターで実行されているイメージは、監視対象になっている既知のコンテナー イメージ レジストリのものである必要があります。 信頼できるレジストリにより、不明な脆弱性、セキュリティの問題、悪意のあるイメージが持ち込まれる可能性が制限され、クラスターが危険にさらされるリスクが減ります。
(関連ポリシー:Kubernetes クラスター内で許可されたコンテナー イメージのみを実行する)
コンテナー レジストリでは無制限のネットワーク アクセスを許可しない 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のパブリック IP アドレスまたはアドレス範囲のみからのアクセスを許可します。 レジストリに IP またはファイアウォール規則、あるいは構成済みの仮想ネットワークがない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet を参照してください。
(関連ポリシー:コンテナー レジストリでは無制限のネットワーク アクセスを許可しない)
Medium
コンテナー レジストリではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。
(関連ポリシー:コンテナー レジストリではプライベート リンクを使用する必要がある)
Medium
コンテナー レジストリ イメージでは脆弱性の検出結果が解決されている必要がある コンテナー イメージの脆弱性評価では、レジストリをスキャンしてセキュリティの脆弱性を調べ、各イメージの詳細な調査結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。
(関連ポリシー:Azure Container Registry イメージの脆弱性を修復する必要がある)
特権エスカレーションを含むコンテナーは避ける必要がある お使いの Kubernetes クラスターでは、ルートへの特権エスカレーションでコンテナーを実行しないでください。
プロセスが親プロセスよりも多くの特権を取得できるかどうかは、AllowPrivilegeEscalation 属性によって制御されます。
(関連ポリシー:Kubernetes クラスターでコンテナーの特権エスカレーションを許可しない)
機密性の高いホストの名前空間を共有するコンテナーは避ける必要がある コンテナー外の特権エスカレーションから保護するには、Kubernetes クラスター内の機密性の高いホストの名前空間 (ホスト プロセス ID とホスト IPC) へのポッド アクセスを回避します。
(関連ポリシー:Kubernetes クラスター コンテナーはホスト プロセス ID またはホスト IPC 名前空間を共有しない)
コンテナーでは、許可されている AppArmor プロファイルのみを使用する Kubernetes クラスターで実行されているコンテナーは、許可されている AppArmor プロファイルのみに制限してください。
;AppArmor (Application Armor) は、オペレーティング システムとそのアプリケーションをセキュリティの脅威から保護する Linux セキュリティ モジュールです。 これを使用するには、システム管理者が AppArmor セキュリティ プロファイルを各プログラムに関連付けます。
(関連ポリシー:Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する)
コンテナーで不変 (読み取り専用) のルート ファイル システムを適用する必要がある お使いの Kubernetes クラスターでは、読み取り専用のルート ファイル システムを使用してコンテナーを実行してください。 不変のファイル システムは、PATH に追加された悪意のあるバイナリによる実行時の変更から、コンテナーを保護します。
(関連ポリシー:Kubernetes クラスター コンテナーを読み取り専用のルート ファイル システムで実行する)
Kubernetes API サーバーは制限付きアクセスで構成する必要がある 許可されたネットワーク、マシン、またはサブネットのアプリケーションしかクラスターにアクセスできないようにするには、Kubernetes API サーバーへのアクセスを制限します。 許可された IP 範囲を定義するか、API サーバーをプライベート クラスター (「プライベート Azure Kubernetes Service クラスターを作成する」を参照) として設定することにより、アクセスを制限することができます。
(関連ポリシー:Kubernetes Services では許可された IP 範囲を定義する必要がある)
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS) と、AKS Engine および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。
(関連ポリシー: Kubernetes クラスターで HTTPS イングレスを強制する)
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。
(関連ポリシー: Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある)
Kubernetes クラスターで、脆弱性のあるイメージのデプロイを制限する必要がある 脆弱なソフトウェア コンポーネントを使用してコンテナー イメージのデプロイを制限することで、Kubernetes クラスターとコンテナー ワークロードを潜在的な脅威から保護します。 Defender for Cloud の CI/CD スキャンMicrosoft Defender for container registries を使用して、デプロイ前に脆弱性を特定して修正プログラムを適用します。
評価の前提条件: Azure Policy アドオンまたは拡張機能と Defender プロファイルまたは拡張機能。
プライベート プレビューのお客様にのみ適用されます。
(関連ポリシーはありません)
Kubernetes クラスターでは、CAPSYSADMIN セキュリティ機能を許可しない コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。
(関連ポリシーはありません)
Kubernetes クラスターでは既定の名前空間を使用しない ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。
(関連ポリシー: Kubernetes クラスターでは既定の名前空間を使用しない)
コンテナーで最小限の特権を持つ Linux 機能を適用する必要がある コンテナーの攻撃面を減らすには、Linux の機能を制限し、ルート ユーザーのすべての特権をコンテナーに付与するのではなく、特定の特権を付与してください。 すべての機能を削除してから、必要なものを追加することをお勧めします。
(関連ポリシー:Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある)
Microsoft Defender for Containers を有効にする必要がある Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。
ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。

重要:この推奨事項の修復によって、Kubernetes クラスターを保護するための料金が発生します。 このサブスクリプションに Kubernetes クラスターがない場合、料金は発生しません。
今後、このサブスクリプションに Kubernetes クラスターを作成すると、それらは自動的に保護され、その時点で料金が発生します。
詳細については、「Microsoft Defender for Containers の概要」を参照してください。
(関連ポリシーはありません)
特権コンテナーの使用を避ける必要がある 無制限のホスト アクセスを制限するには、できる限り特権コンテナーは使わないようにします。

特権コンテナーには、ホスト マシンのすべてのルート機能が含まれています。 これらは攻撃のエントリ ポイントとして使用されたり、侵害されたアプリケーション、ホスト、ネットワークに悪意のあるコードやマルウェアを拡散させるために使用されたりする可能性があります。


(関連ポリシー:Kubernetes クラスターで特権コンテナーを許可しない)
Kubernetes Services ではロールベースのアクセス制御を使用する必要がある ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 詳細については、Azure のロールベースのアクセス制御に関するページを参照してください。
(関連ポリシー:Kubernetes Services ではロールベースのアクセス制御 (RBAC) を使用する必要がある)
コンテナーをルート ユーザーとして実行しない お使いの Kubernetes クラスターでは、ルート ユーザーとしてコンテナーを実行しないでください。 コンテナー内でプロセスをルート ユーザーとして実行すると、それはホスト上のルートとして実行されます。 侵害を受けた場合、攻撃者はコンテナーのルート権限を持つことになり、構成ミスを悪用しやすくなります。
(関連ポリシー:Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーおよびグループ ID のみを使用して実行する必要がある)
サービスは許可されたポートでのみリッスンする必要がある Kubernetes クラスターの攻撃面を減らすために、サービスのアクセスを構成済みポートに制限して、クラスターへのアクセスを制限します。
(関連ポリシー:サービスが Kubernetes クラスター内の許可されたポートでのみリッスンするようにする)
ホスト ネットワークとポートの使用を制限する必要がある ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 hostNetwork 属性を有効にして作成されたポッドの間では、ノードのネットワーク領域が共有されます。 セキュリティ侵害を受けたコンテナーによってネットワーク トラフィックがスニッフィングされるのを防ぐため、ホスト ネットワークにはポッドを配置しないことをお勧めします。 コンテナー ポートをノード ネットワークに公開する必要があり、Kubernetes Service ノード ポートを使用してもニーズが満たされない場合は、ポッド仕様のコンテナーに対して hostPort を指定することもできます。
(関連ポリシー:Kubernetes クラスター ポッドは、承認されたホスト ネットワークとポート範囲のみを使用する必要がある)
ポッドの HostPath ボリューム マウントの使用を既知のリストに制限して、侵害されたコンテナーからのノード アクセスを制限する必要がある Kubernetes クラスター内のポッドの HostPath ボリューム マウントを、構成済みの許可されているホスト パスに制限することをお勧めします。 侵害を受けた場合は、コンテナーからのコンテナー ノード アクセスを制限する必要があります。
(関連ポリシー:Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある)

データの推奨事項

このカテゴリには 78 個の推奨事項があります。

推奨 Description 重大度
[必要に応じて有効にする] Azure Cosmos DB アカウントでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある 保存データの暗号化にカスタマー マネージド キーを使用するという推奨事項は、既定では評価されませんが、適用可能なシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。
この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。
カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 CMK 暗号化の詳細については、https://aka.ms/cosmosdb-cmk を参照してください。
(関連ポリシー:Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある)
[必要に応じて有効にする] Azure Machine Learning ワークスペースは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある 保存データの暗号化にカスタマー マネージド キーを使用するという推奨事項は、既定では評価されませんが、適用可能なシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。
この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。
カスタマー マネージド キー (CMK) を使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすためには一般に、CMK が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 CMK 暗号化の詳細については、https://aka.ms/azureml-workspaces-cmk を参照してください。
(関連ポリシー:Azure Machine Learning ワークスペースは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある)
[必要に応じて有効にする] Cognitive Services アカウントでは、カスタマー マネージド キー (CMK) によるデータ暗号化を有効にする必要がある 保存データの暗号化にカスタマー マネージド キーを使用するという推奨事項は、既定では評価されませんが、適用可能なシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。
この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。
カスタマー マネージド キー (CMK) は一般に、規制コンプライアンス基準を満たすために必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーで、Cognitive Services に格納されているデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 CMK 暗号化の詳細については、https://aka.ms/cosmosdb-cmk を参照してください。
(関連ポリシー: Cognitive Services アカウントでカスタマー マネージド キー (CMK) によるデータ暗号化を有効にする必要がある?)
[必要に応じて有効にする] MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 保存データの暗号化にカスタマー マネージド キーを使用するという推奨事項は、既定では評価されませんが、適用可能なシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。
この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。
カスタマー マネージド キーを使用して、MySQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。
(関連ポリシー:MySQL サーバーに対して Bring Your Own Key データ保護を有効にする必要がある)
[必要に応じて有効にする] PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 保存データの暗号化にカスタマー マネージド キーを使用するという推奨事項は、既定では評価されませんが、適用可能なシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。
この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。
カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。
(関連ポリシー:PostgreSQL サーバーに対して Bring Your Own Key データ保護を有効にする必要がある)
[必要に応じて有効にする] SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 保存データの暗号化にカスタマー マネージド キーを使用するという推奨事項は、既定では評価されませんが、適用可能なシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。
この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。
独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。
(関連ポリシー:SQL マネージド インスタンスでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある)
[必要に応じて有効にする] SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 保存データの暗号化にカスタマー マネージド キーを使用するという推奨事項は、既定では評価されませんが、適用可能なシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。
この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。
独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。
(関連ポリシー:SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある)
[必要に応じて有効にする] ストレージ アカウントでは暗号化にカスタマー マネージド キー (CMK) を使用する必要がある 保存データの暗号化にカスタマー マネージド キーを使用するという推奨事項は、既定では評価されませんが、適用可能なシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。
この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。
カスタマー マネージド キー (CMK) を使用して、より柔軟にストレージ アカウントを保護します。 CMK を指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 CMK を使用することで、主要な暗号化キーのローテーションを制御するか、暗号的にデータを消去することができます。
(関連ポリシー:ストレージ アカウントでは暗号化にカスタマー マネージド キー (CMK) を使用する必要がある)
SQL マネージド インスタンスの Advanced Data Security 設定で、Advanced Threat Protection のすべての種類を有効にする必要がある お使いの SQL マネージド インスタンスで Advanced Threat Protection のすべての種類を有効にすることをお勧めします。 すべての種類を有効にすると、SQL インジェクション、データベースの脆弱性、その他の異常なアクティビティから保護されます。
(関連ポリシーはありません)
Medium
SQL Server の Advanced Data Security 設定では、Advanced Threat Protection のすべての種類を有効にする必要があります お使いの SQL サーバーで Advanced Threat Protection のすべての種類を有効にすることをお勧めします。 すべての種類を有効にすると、SQL インジェクション、データベースの脆弱性、その他の異常なアクティビティから保護されます。
(関連ポリシーはありません)
API Management サービスには仮想ネットワークが使用されている必要がある Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。
(関連ポリシー: API Management サービスでは仮想ネットワークを使用する必要がある)
Medium
App Configuration ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。
(関連ポリシー:App Configuration ではプライベート リンクを使用する必要がある)
Medium
SQL サーバーの監査のリテンション期間は少なくとも 90 日に設定する必要がある 監査期間が 90 日未満に構成されている SQL サーバーを監査します。
(関連ポリシー:SQL サーバーでは、90 日以上の監査リテンション期間を構成する必要がある。)
SQL Server の監査を有効にする必要があります SQL サーバーに対する監査を有効にすることで、サーバー上のすべてのデータベースについてそのアクティビティを追跡し、監査ログに保存します。
(関連ポリシー:SQL サーバーの監査を有効にする必要がある)
自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある Microsoft Defender for Cloud では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。
(関連ポリシー:自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある)
Azure Cache for Redis は仮想ネットワーク内に存在しなければならない Azure Virtual Network (VNet) のデプロイにより、Azure Cache for Redis のセキュリティと分離が強化されると共に、サブネット、アクセス制御ポリシー、アクセスをさらに制限する他の機能も提供されます。 VNet を使用して Azure Cache for Redis インスタンスを構成する場合、パブリックにアドレスを指定することはできないため、VNet 内の仮想マシンとアプリケーションからしかアクセスできません。
(関連ポリシー:Azure Cache for Redis は仮想ネットワーク内に存在しなければならない)
Medium
Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。
(関連ポリシー: Azure Cosmos DB アカウントにはファイアウォール規則を含める必要がある)
Medium
Azure Event Grid ドメインではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。
(関連ポリシー:Azure Event Grid ドメインではプライベート リンクを使用する必要がある)
Medium
Azure Event Grid トピックではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。
(関連ポリシー:Azure Event Grid トピックではプライベート リンクを使用する必要がある)
Medium
Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。
Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender プロファイルを有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。
詳細については、「Microsoft Defender for Containers の概要」を参照してください。
(関連ポリシーはありません)
Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure Machine Learning ワークスペースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/azureml-workspaces-privatelink を参照してください。
(関連ポリシー:Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある)
Medium
Azure SignalR Service ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、SignalR リソースにプライベート エンドポイントをマッピングすると、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/asrs/privatelink を参照してください。
(関連ポリシー:Azure SignalR Service ではプライベート リンクを使用する必要がある)
Medium
Azure Spring Cloud でネットワークの挿入を使用する必要がある Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。
(関連ポリシー:Azure Spring Cloud ではネットワークの挿入を使用する必要がある)
Medium
コード リポジトリでコード スキャンの検出結果を解決する必要がある Defender for DevOps によって、コード リポジトリで脆弱性が検出されました。 リポジトリのセキュリティ態勢を改善するために、これらの脆弱性を修復することを強くお勧めします。
(関連ポリシーはありません)
Medium
コード リポジトリで Dependabot スキャンの検出結果を解決する必要がある Defender for DevOps によって、コード リポジトリで脆弱性が検出されました。 リポジトリのセキュリティ態勢を改善するために、これらの脆弱性を修復することを強くお勧めします。
(関連ポリシーはありません)
Medium
コード リポジトリでコードとしてのインフラストラクチャ スキャンの検出結果を解決する必要がある Defender for DevOps によって、リポジトリでコードとしてのインフラストラクチャのセキュリティ構成の問題が検出されました。 次に示す問題が、テンプレート ファイルで検出されました。 関連するクラウド リソースのセキュリティ態勢を改善するために、これらの問題を修復することを強くお勧めします。
(関連ポリシーはありません)
Medium
コード リポジトリでシークレット スキャンの検出結果を解決する必要がある Defender for DevOps によって、コード リポジトリでシークレットが検出されました。 セキュリティ侵害を防ぐために、ただちにこれを修復する必要があります。 リポジトリで検出されたシークレットは、漏洩する可能性や、敵対者が見つける可能性があり、それによってアプリケーションやサービスが侵害される可能性があります。 Azure DevOps では、Microsoft Security DevOps CredScan ツールによって、このツールが実行されるように構成されているビルドのみがスキャンされます。 そのため、リポジトリ内のシークレットの完全な状態が結果に反映されていない場合があります。
(関連ポリシーはありません)
Cognitive Services アカウントでデータ暗号化を有効にする必要がある このポリシーでは、データ暗号化を使用していない Cognitive Services アカウントを監査します。 ストレージがある Cognitive Services アカウントについてはそれぞれ、カスタマー マネージドまたは Microsoft マネージドいずれかのキーによるデータ暗号化を有効にする必要があります。
(関連ポリシー: Cognitive Services アカウントではデータ暗号化を有効にする必要がある)
Cognitive Services アカウントでネットワーク アクセスを制限する必要がある Cognitive Services アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみが Cognitive Services アカウントにアクセスできるように、ネットワーク ルールを構成します。 特定のインターネットまたはオンプレミスのクライアントからの接続を許可するため、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に、アクセス権を付与できます。
(関連ポリシー: Cognitive Services アカウントでネットワーク アクセスを制限する必要がある)
Medium
Cognitive Services アカウントで、顧客所有のストレージを使用するか、データ暗号化を有効にする必要がある このポリシーでは、顧客所有のストレージもデータ暗号化も使用していない Cognitive Services アカウントを監査します。 ストレージがある Cognitive Services アカウントについてはそれぞれ、顧客所有のストレージを使用するか、データ暗号化を有効にします。
(関連ポリシー: Cognitive Services アカウントで、顧客所有のストレージを使用するか、データ暗号化を有効にする必要がある)
Azure Data Lake Store の診断ログを有効にする必要があります ログを有効にし、それらを最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシー:Azure Data Lake Store の診断ログを有効にする必要がある)
Data Lake Analytics の診断ログを有効にする必要があります ログを有効にし、それらを最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシー:Data Lake Analytics の診断ログを有効にする必要がある)
重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Defender for Cloud で重要度の高いアラートに関するメール通知を有効にします。
(関連ポリシー:重要度が高いアラートの電子メール通知を有効にする必要がある)
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Defender for Cloud で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。
(関連ポリシー:重要度が高いアラートについて、サブスクリプション所有者に対する電子メール通知を有効にする必要がある)
Medium
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。
お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。
この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。
(関連ポリシー:MySQL データベース サーバーでは [SSL 接続を強制する] を有効にする必要がある)
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。
お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。
この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。
(関連ポリシー:PostgreSQL データベース サーバーでは [SSL 接続を強制する] を有効にする必要がある)
関数アプリでは、脆弱性の検出結果が解決されている必要がある 関数のランタイム脆弱性スキャンでは、関数アプリのセキュリティの脆弱性がスキャンされ、詳細な結果が公開されます。 この脆弱性を解決することで、サーバーレス アプリケーションのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。
(関連ポリシーはありません)
Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。
これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。
バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。
(関連ポリシー:Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある)
Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。
これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。
バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。
(関連ポリシー:Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある)
Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。
これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。
バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。
(関連ポリシー:Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある)
GitHub リポジトリでコード スキャンを有効にする必要がある GitHub では、コード内のセキュリティの脆弱性とエラーを検出するために、コード スキャンを使用してコードが分析されます。 コード スキャンを使用すると、コード内の既存の問題を検出、トリアージして、その修正に優先度を付けることができます。 また、コード スキャンによって、開発者が新しい問題を混入するのを防ぐことができます。 特定の日時にスキャンを実行するようにスケジュールすることや、リポジトリで特定のイベント (プッシュなど) が発生した場合にスキャンをトリガーすることができます。 コード スキャンによって、コード内で潜在的な脆弱性やエラーが検出された場合、GitHub では、リポジトリにアラートが表示されます。 脆弱性とは、プロジェクトの秘密性、一貫性、または可用性を損なうために悪用される可能性のある、プロジェクトのコードの問題です。
(関連ポリシーはありません)
Medium
GitHub リポジトリで Dependabot スキャンを有効にする必要がある GitHub では、リポジトリに影響するコード依存関係の脆弱性が検出されると、Dependabot アラートが送信されます。 脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。 セキュリティの脆弱性があるパッケージにコードが依存している場合、この脆弱性のある依存関係が原因で、さまざまな問題が発生する可能性があります。
(関連ポリシーはありません)
Medium
GitHub リポジトリでシークレット スキャンを有効にする必要がある GitHub では、リポジトリに誤ってコミットされたシークレットの不正使用を防ぐために、リポジトリで既知の種類のシークレットがスキャンされます。 シークレット スキャンでは、GitHub リポジトリ内に存在するすべてのブランチで Git 履歴全体がスキャンされ、シークレットが探されます。 シークレットの例として、サービス プロバイダーが認証のために発行する場合があるトークンと秘密キーがあります。 シークレットがリポジトリにチェックインされると、リポジトリへの読み取りアクセス権を持つすべてのユーザーは、そのシークレットを使用して、それらの権限で外部サービスにアクセスできます。 シークレットは、プロジェクトのリポジトリの外部にある専用の安全な場所に保存する必要があります。
(関連ポリシーはありません)
Microsoft Defender for Azure SQL Database サーバーを有効にする必要があります Microsoft Defender for SQL は、高度な SQL セキュリティ機能を備えた統合パッケージです。
データベースの潜在的な脆弱性の検出と軽減、データベースへの脅威を示す可能性がある異常なアクティビティの検出、機密データの検出と分類を行う機能が含まれています。
重要: このプランの保護は、Defender プラン ページに示されているとおりに課金されます。 このサブスクリプションに Azure SQL Database サーバーがない場合、課金されることはありません。 後でこのサブスクリプションに Azure SQL Database サーバーを作成した場合は、自動的に保護され、課金が開始されます。 詳細については、リージョン別の価格の詳細を参照してください。
詳細については、「Microsoft Defender for SQL の概要」を参照してください。
(関連ポリシー:Azure Defender for Azure SQL Database サーバーを有効にする必要がある)
Microsoft Defender for DNSを有効にする必要があります Microsoft Defender for DNS では、Azure リソースからすべての DNS クエリを継続的に監視することにより、クラウド リソースに対して追加の保護層を提供します。 Defender for DNS では、DNS 層での不審なアクティビティについて警告します。 詳細については、「Microsoft Defender for DNS の概要」を参照してください。 この Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Defender for Cloud の価格に関するページ https://azure.microsoft.com/services/defender-for-cloud/#pricing を参照してください。
(関連ポリシーはありません)
Microsoft Defender for open-source relational databases を有効にする必要がある オープンソース リレーショナル データベース用 Microsoft Defender によって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 詳細については、「Microsoft Defender for open-source relational databases の概要」を参照してください。

重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 このサブスクリプションにオープンソース リレーショナル データベースがない場合、料金は発生しません。 今後このサブスクリプションにオープンソース リレーショナル データベースを作成すると、それらは自動的に保護され、その時点で料金が発生します。
(関連ポリシーはありません)
Microsoft Defender for Resource Managerを有効にする必要があります Microsoft Defender for Resource Manager では、組織内のリソース管理操作を自動的に監視します。 Defender for Cloud では、脅威を検出し、疑わしいアクティビティについて警告します。 詳細については、「Microsoft Defender for Resource Manager の概要」を参照してください。 この Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Defender for Cloud の価格に関するページ https://azure.microsoft.com/services/defender-for-cloud/#pricing を参照してください。
(関連ポリシーはありません)
Microsoft Defender for SQL on machines をワークスペース上で有効にする必要がある Microsoft Defender for servers を使用すると、お使いの Windows マシンと Linux マシンを対象とした脅威検出および高度な防御が追加されます。
ワークスペースではなくサブスクリプションでこの Defender プランを有効にすると、Microsoft Defender for servers の全機能に対する料金がかかりますが、一部のメリットが得られません。
ワークスペースで Microsoft Defender for servers を有効にすると、そのワークスペースに対して報告を行うすべてのマシンに対して Microsoft Defender for servers の料金が発生します (Defender プランを有効にしていないサブスクリプションであっても同様です)。 サブスクリプションで Microsoft Defender for servers も有効にしない限り、それらのマシンでは、Just-In-Time VM アクセス、適応型アプリケーション制御、Azure リソースのネットワーク検出を利用することができません。
詳細については、「Microsoft Defender for servers の概要」を参照してください。
(関連ポリシーはありません)
マシン上の Microsoft Defender for SQL サーバーを有効にする必要があります Microsoft Defender for SQL は、高度な SQL セキュリティ機能を備えた統合パッケージです。
データベースの潜在的な脆弱性の検出と軽減、データベースへの脅威を示す可能性がある異常なアクティビティの検出、機密データの検出と分類を行う機能が含まれています。

重要:この推奨事項の修復によって、マシン上の SQL サーバーを保護するための料金が発生します。 このサブスクリプションにマシン上の SQL サーバーがない場合、料金は発生しません。
今後このサブスクリプションにマシン上の SQL サーバーを作成すると、それらは自動的に保護され、その時点で料金が発生します。
詳細については、マシン上の Microsoft Defender for SQL サーバーに関する記事を参照してください。
(関連ポリシー:マシン上の Azure Defender for SQL サーバーを有効にする必要がある)
保護されていない Azure SQL サーバーに対して Microsoft Defender for SQLを有効にする必要があります Microsoft Defender for SQL は、高度な SQL セキュリティ機能を備えた統合パッケージです。 潜在的なデータベースの脆弱性を発見して軽減し、データベースに対する脅威となりうる異常なアクティビティを検出します。 Microsoft Defender for SQL は、リージョンごとの価格の詳細に記載されているとおりに請求されます。
(関連ポリシー:SQL サーバーで Advanced Data Security を有効にする必要がある)
保護されていない SQL マネージド インスタンスに対して Microsoft Defender for SQL を有効にする必要がある Microsoft Defender for SQL は、高度な SQL セキュリティ機能を備えた統合パッケージです。 潜在的なデータベースの脆弱性を発見して軽減し、データベースに対する脅威となりうる異常なアクティビティを検出します。 Microsoft Defender for SQL は、リージョンごとの価格の詳細に記載されているとおりに請求されます。
(関連ポリシー:SQL マネージド インスタンスで Advanced Data Security を有効にする必要がある)
Microsoft Defender for Storageを有効にする必要があります Microsoft Defender for Storage では、ストレージ アカウントにアクセスしたり、ストレージ アカウントを利用したりする試みに通常と異なるところがあり、有害な性質が疑われる場合に、そのような試みを検出できます。
重要: このプランの保護は、Defender プラン ページに示されているとおりに課金されます。 このサブスクリプションに Azure Storage アカウントがない場合、課金されることはありません。 後でこのサブスクリプションに Azure Storage アカウントを作成した場合は、自動的に保護され、課金が開始されます。 詳細については、リージョン別の価格の詳細を参照してください。
詳細については、「Microsoft Defender for Storage の概要」を参照してください。
(関連ポリシー:Azure Defender for Storage を有効にする必要がある)
Network Watcher を有効にする必要がある Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンドツーエンドのネットワーク レベル ビューで問題を診断できます。 Network Watcher に搭載されているネットワークの診断および監視ツールを使用して、Azure 内のネットワークを把握および診断し、洞察を得ることができます。
(関連ポリシー: Network Watcher を有効にする必要がある)
サブスクリプションで過剰にプロビジョニングされた ID を調査して、アクセス許可クリープ インデックス (PCI) を削減する必要がある アクセス許可クリープ インデックス (PCI) を削減するため、およびインフラストラクチャを保護するために、サブスクリプションで過剰にプロビジョニングされた ID を調査する必要があります。 未使用の危険度の高いアクセス許可の割り当てを削除して、PCI を削減します。 PCI が高い場合、アクセス許可を持つ ID が通常または必要以上に使用されており、それに関連したリスクがあることを示します
(関連ポリシーはありません)
Medium
Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。
(関連ポリシー: Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある)
Medium
MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。
既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。
(関連ポリシー:MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある)
MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。
既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。
(関連ポリシー:MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある)
PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。
既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。
(関連ポリシー:PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある)
Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。
(関連ポリシー: Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある)
Medium
Cognitive Services アカウントでは公衆ネットワーク アクセスを無効にする必要がある このポリシーは、環境内で公衆ネットワーク アクセスが有効になっている Cognitive Services アカウントを監査します。 プライベート エンドポイントからの接続のみが許可されるように、公衆ネットワーク アクセスを無効にする必要があります。
(関連ポリシー: Cognitive Services アカウントではパブリック ネットワーク アクセスを無効にする必要がある)
MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。
(関連ポリシー:MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある)
Medium
MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。
(関連ポリシー:MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある)
Medium
PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。
(関連ポリシー:PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある)
Redis Cache で SSL 経由のアクセスのみを許可する必要がある Redis Cache に対して SSL 経由の接続のみを有効にします。 セキュリティで保護された接続を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します。
(関連ポリシー:Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある)
SQL データベースでは脆弱性の検出結果を解決する必要がある SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 詳細情報
(関連ポリシー:SQL データベースの脆弱性を修復する必要がある)
SQL マネージド インスタンスでは脆弱性評価を構成する必要がある 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。
(関連ポリシー:SQL Managed Instance で脆弱性評価を有効にする必要がある)
マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 詳細情報
(関連ポリシー:マシン上の SQL サーバーの脆弱性を修復する必要がある)
SQL サーバーに対して Azure Active Directory の管理者をプロビジョニングする必要がある SQL Server に Azure AD 管理者をプロビジョニングして、Azure AD 認証を有効にします。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます。
(関連ポリシー:SQL サーバーに対して Azure Active Directory 管理者をプロビジョニングする必要がある)
SQL サーバーに脆弱性評価を構成する必要がある 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。
(関連ポリシー:SQL サーバーで脆弱性評価を有効にする必要がある)
ストレージ アカウントではプライベート リンク接続を使用する必要がある プライベート リンクは、ストレージ アカウントへのプライベート接続を提供することにより、セキュリティで保護された通信を強制します
(関連ポリシー:ストレージ アカウントではプライベート リンク接続を使用する必要がある)
Medium
ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある Azure Resource Manager の新機能を活用するには、クラシック デプロイ モデルから既存のデプロイを移行します。 Resource Manager を使用すると、次のようなセキュリティの拡張機能を有効にできます: 強化されたアクセス制御 (RBAC)、強化された監査、ARM ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット用のキー コンテナーへのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポート。 詳細情報
(関連ポリシー:ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある)
ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。
(関連ポリシー:ストレージ アカウントでは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある)
Medium
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Defender for Cloud からのメール通知を受信するためのセキュリティ連絡先を設定します。
(関連ポリシー:サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある)
Transparent Data Encryption を SQL データベース上で有効にする必要がある Transparent Data Encryption を有効にすることで、保存データを保護し、コンプライアンス要件を満たします
(関連ポリシー:SQL データベースで Transparent Data Encryption を有効にする必要がある)
VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある 仮想ネットワークが構成されていない VM Image Builder テンプレートを監査します。 仮想ネットワークが構成されていない場合は、代わりにパブリック IP が作成されて使用されるため、リソースがインターネットに直接公開され、潜在的な攻撃対象領域が増える可能性があります。
(関連ポリシー:VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある)
Medium
Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。
(関連ポリシー:Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある)
Azure Front Door Service サービスに対して Web Application Firewall (WAF) を有効にする必要がある 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。
(関連ポリシー:Azure Front Door Service? サービスに対して Web Application Firewall (WAF) を有効にする必要がある)

DevOps の推奨事項

推奨 Description 重大度
(プレビュー) コード リポジトリでコード スキャンの検出結果を解決する必要がある Defender for DevOps によって、コード リポジトリで脆弱性が検出されました。 リポジトリのセキュリティ態勢を改善するために、これらの脆弱性を修復することを強くお勧めします。 (関連ポリシーはありません) Medium
(プレビュー) コード リポジトリでシークレット スキャンの検出結果を解決する必要がある Defender for DevOps によって、コード リポジトリでシークレットが検出されました。  セキュリティ侵害を防ぐために、ただちにこれを修復する必要があります。  リポジトリで検出されたシークレットは、漏洩する可能性や、敵対者が見つける可能性があり、それによってアプリケーションやサービスが侵害される可能性があります。 Azure DevOps では、Microsoft Security DevOps CredScan ツールによって、このツールが実行されるように構成されているビルドのみがスキャンされます。 そのため、リポジトリ内のシークレットの完全な状態が結果に反映されていない場合があります。 (関連ポリシーはありません)
(プレビュー) コード リポジトリで Dependabot スキャンの検出結果を解決する必要がある Defender for DevOps によって、コード リポジトリで脆弱性が検出されました。 リポジトリのセキュリティ態勢を改善するために、これらの脆弱性を修復することを強くお勧めします。 (関連ポリシーはありません) Medium
(プレビュー) コード リポジトリでコードとしてのインフラストラクチャ スキャンの検出結果を解決する必要がある Defender for DevOps によって、リポジトリでコードとしてのインフラストラクチャのセキュリティ構成の問題が検出されました。 次に示す問題が、テンプレート ファイルで検出されました。 関連するクラウド リソースのセキュリティ態勢を改善するために、これらの問題を修復することを強くお勧めします。 (関連ポリシーはありません) Medium
(プレビュー) GitHub リポジトリでコード スキャンを有効にする必要がある GitHub では、コード内のセキュリティの脆弱性とエラーを検出するために、コード スキャンを使用してコードが分析されます。 コード スキャンを使用すると、コード内の既存の問題を検出、トリアージして、その修正に優先度を付けることができます。 また、コード スキャンによって、開発者が新しい問題を混入するのを防ぐことができます。 特定の日時にスキャンを実行するようにスケジュールすることや、リポジトリで特定のイベント (プッシュなど) が発生した場合にスキャンをトリガーすることができます。 コード スキャンによって、コード内で潜在的な脆弱性やエラーが検出された場合、GitHub では、リポジトリにアラートが表示されます。 脆弱性とは、プロジェクトの秘密性、一貫性、または可用性を損なうために悪用される可能性のある、プロジェクトのコードの問題です。 (関連ポリシーはありません) Medium
(プレビュー) GitHub リポジトリでシークレット スキャンを有効にする必要がある GitHub では、リポジトリに誤ってコミットされたシークレットの不正使用を防ぐために、リポジトリで既知の種類のシークレットがスキャンされます。 シークレット スキャンでは、GitHub リポジトリ内に存在するすべてのブランチで Git 履歴全体がスキャンされ、シークレットが探されます。 シークレットの例として、サービス プロバイダーが認証のために発行する場合があるトークンと秘密キーがあります。 シークレットがリポジトリにチェックインされると、リポジトリへの読み取りアクセス権を持つすべてのユーザーは、そのシークレットを使用して、それらの権限で外部サービスにアクセスできます。 シークレットは、プロジェクトのリポジトリの外部にある専用の安全な場所に保存する必要があります。 (関連ポリシーはありません)
(プレビュー) GitHub リポジトリで Dependabot スキャンを有効にする必要がある GitHub では、リポジトリに影響するコード依存関係の脆弱性が検出されると、Dependabot アラートが送信されます。 脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。 セキュリティの脆弱性があるパッケージにコードが依存している場合、この脆弱性のある依存関係が原因で、さまざまな問題が発生する可能性があります。 (関連ポリシーはありません) Medium

IdentityAndAccess の推奨事項

このカテゴリには 29 個の推奨事項があります。

推奨 Description 重大度
サブスクリプションに対して、最大 3 人の所有者を指定する必要がある セキュリティ侵害を受けた所有者アカウントによる侵害の可能性を低減するために、所有者アカウントの数を最大 3 つに制限することをお勧めします。
(関連ポリシー:サブスクリプションには最大 3 人の所有者を指定する必要がある)
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 ユーザーの認証にパスワードのみを使用している場合、攻撃経路が開かれたままになっています。 ユーザーは、複数のサービスに対して脆弱なパスワードを使用していることがよくあります。 多要素認証 (MFA) を有効にすることで、アカウントのセキュリティを強化でき、その一方で、ユーザーは、ほとんどのアプリケーションに対してシングル サインオン (SSO) で認証を行うことができます。 多要素認証とは、サインイン プロセス中に、ユーザーに対して別の形式の本人確認を求めるプロセスです。 たとえば、コードを携帯電話に送信する場合や、ユーザーに指紋スキャンを求める場合があります。 侵害や攻撃を防ぐために、Azure リソースの所有者アクセス許可を持つすべてのアカウントに対して MFA を有効にすることをお勧めします。
詳細とよく寄せられる質問については、「サブスクリプションでの多要素認証 (MFA) の実施を管理する」を参照してください
(関連ポリシーはありません)
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 ユーザーの認証にパスワードのみを使用している場合、攻撃経路が開かれたままになっています。 ユーザーは、複数のサービスに対して脆弱なパスワードを使用していることがよくあります。 多要素認証 (MFA) を有効にすることで、アカウントのセキュリティを強化でき、その一方で、ユーザーは、ほとんどのアプリケーションに対してシングル サインオン (SSO) で認証を行うことができます。 多要素認証とは、サインイン プロセス中に、ユーザーに対して別の形式の本人確認を求めるプロセスです。 たとえば、コードを携帯電話に送信する場合や、ユーザーに指紋スキャンを求める場合があります。 侵害や攻撃を防ぐために、Azure リソースの読み取りアクセス許可を持つすべてのアカウントに対して MFA を有効にすることをお勧めします。
詳細とよく寄せられる質問については、「サブスクリプションでの多要素認証 (MFA) の実施を管理する」を参照してください
(関連ポリシーはありません)
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 ユーザーの認証にパスワードのみを使用している場合、攻撃経路が開かれたままになっています。 ユーザーは、複数のサービスに対して脆弱なパスワードを使用していることがよくあります。 多要素認証 (MFA) を有効にすることで、アカウントのセキュリティを強化でき、その一方で、ユーザーは、ほとんどのアプリケーションに対してシングル サインオン (SSO) で認証を行うことができます。 多要素認証とは、サインイン プロセス中に、ユーザーに対して別の形式の本人確認を求めるプロセスです。 たとえば、コードを携帯電話に送信する場合や、ユーザーに指紋スキャンを求める場合があります。 侵害や攻撃を防ぐために、Azure リソースの書き込みアクセス許可を持つすべてのアカウントに対して MFA を有効にすることをお勧めします。
詳細とよく寄せられる質問については、「サブスクリプションでの多要素認証 (MFA) の実施を管理する」を参照してください
(関連ポリシーはありません)
Azure Cosmos DB アカウントで、Azure Active Directory を唯一の認証方法として使用する必要がある Azure サービスに対して認証を行う最適な方法は、ロールベースのアクセス制御 (RBAC) を使用する方法です。 RBAC を使用すると、最小特権の原則を維持でき、侵害が発生した場合の効果的な対処法としてアクセス許可を取り消す機能をサポートできます。 唯一の認証方法として RBAC を実施するように Azure Cosmos DB アカウントを構成できます。 実施が構成されると、他のすべてのアクセス方法 (プライマリ/セカンダリ キーとアクセス トークン) が拒否されます。
(関連ポリシーはありません)
Medium
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 Active Directory へのサインインがブロックされているアカウントは、Azure リソースから削除する必要があります。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。
(関連ポリシーはありません)
Azure リソースの読み取りおよび書き込みアクセス許可を持つブロックされたアカウントは削除する必要がある Active Directory へのサインインがブロックされているアカウントは、Azure リソースから削除する必要があります。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。
(関連ポリシーはありません)
非推奨のアカウントはサブスクリプションから削除する必要がある サインインがブロックされているユーザー アカウントは、サブスクリプションから削除する必要があります。
これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。
(関連ポリシー:非推奨のアカウントをサブスクリプションから削除する必要がある)
所有者アクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要がある サインインがブロックされているユーザー アカウントは、サブスクリプションから削除する必要があります。
これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。
(関連ポリシー:所有者アクセス許可を持つ非推奨のアカウントをサブスクリプションから削除する必要がある)
Key Vault で診断ログを有効にする必要がある ログを有効にし、それらを最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシー:Key Vault における診断ログを有効にする必要がある)
所有者のアクセス許可がある外部アカウントは、サブスクリプションから削除する必要がある 所有者アクセス許可を持つ、ドメイン名が異なるアカウント (外部アカウント) は、サブスクリプションから削除する必要があります。 これにより、監視されていないアクセスを防止できます。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。
(関連ポリシー:所有者アクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある)
読み取りアクセス許可がある外部アカウントは、サブスクリプションから削除する必要がある 読み取りアクセス許可を持つ、ドメイン名が異なるアカウント (外部アカウント) は、サブスクリプションから削除する必要があります。 これにより、監視されていないアクセスを防止できます。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。
(関連ポリシー:読み取りアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある)
書き込みアクセス許可がある外部アカウントは、サブスクリプションから削除する必要がある 書き込みアクセス許可を持つ、ドメイン名が異なるアカウント (外部アカウント) は、サブスクリプションから削除する必要があります。 これにより、監視されていないアクセスを防止できます。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。
(関連ポリシー:書き込みアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある)
キー コンテナーでファイアウォールを有効にする必要がある キー コンテナーのファイアウォールを使用すると、承認されていないトラフィックはご使用のキー コンテナーに到達できなくなり、シークレットを保護するためのレイヤーが追加されます。 このファイアウォールを有効にして、許可されたネットワークからのトラフィックのみがキー コンテナーにアクセスできるようにします。
(関連ポリシー:キー コンテナーでファイアウォールを有効にする必要がある
Medium
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 Azure Active Directory テナント (異なるドメイン名) の外部でプロビジョニングされた所有者アクセス許可を持つアカウントは、Azure リソースから削除する必要があります。ゲスト アカウントは、エンタープライズ テナント ID と同じ標準では管理されません。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。
(関連ポリシーはありません)
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 Azure Active Directory テナント (異なるドメイン名) の外部でプロビジョニングされた読み取りアクセス許可を持つアカウントは、Azure リソースから削除する必要があります。ゲスト アカウントは、エンタープライズ テナント ID と同じ標準では管理されません。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。
(関連ポリシーはありません)
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 Azure Active Directory テナント (異なるドメイン名) の外部でプロビジョニングされた書き込みアクセス許可を持つアカウントは、Azure リソースから削除する必要があります。ゲスト アカウントは、エンタープライズ テナント ID と同じ標準では管理されません。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。
(関連ポリシーはありません)
Key Vault キーには有効期限が必要である 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。
(関連ポリシー:Key Vault キーには有効期限が必要である)
Key Vault シークレットには有効期限が必要である シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。
(関連ポリシー:Key Vault シークレットには有効期限が必要である)
キー コンテナーで消去保護が有効になっている必要がある 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 組織内の悪意のある内部関係者が、キー コンテナーの削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。
(関連ポリシー:キー コンテナーで消去保護が有効になっている必要がある)
Medium
キー コンテナーで論理的な削除が有効になっている必要がある 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。
(関連ポリシー:キー コンテナーで論理的な削除が有効になっている必要がある)
サブスクリプションに対して所有者アクセス許可があるアカウントでは、MFA を有効にする必要がある アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。
(関連ポリシー:サブスクリプションで所有者アクセス許可を持つアカウントに対して MFA を有効にする必要がある)
サブスクリプションに対して読み取りアクセス許可があるアカウントでは、MFA を有効にする必要がある アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。
(関連ポリシー:サブスクリプションに対する読み取りアクセス許可を持つアカウントに対して MFA を有効にする必要がある)
サブスクリプションに対して書き込みアクセス許可があるアカウントでは、MFA を有効にする必要がある アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。
(関連ポリシー:サブスクリプションに対する書き込みアクセス許可を持つアカウントに対して MFA を有効にする必要がある)
Microsoft Defender for Key Vaultを有効にする必要があります Microsoft Defender for Cloud には、Microsoft Defender for Key Vault が含まれており、セキュリティ インテリジェンスの追加レイヤーを提供します。
Microsoft Defender for Key Vault によって、異常であり、害を及ぼす可能性のある、Key Vault アカウントに対するアクセスまたは悪用の試みが検出されます。
重要: このプランの保護は、Defender プラン ページに示されているとおりに課金されます。 このサブスクリプションにキー コンテナーがない場合、課金されることはありません。 後でこのサブスクリプションにキー コンテナーを作成した場合は、自動的に保護され、課金が開始されます。 詳細については、リージョン別の価格の詳細を参照してください。
詳細については、「Microsoft Defender for Key Vault の概要」を参照してください。
(関連ポリシー:Azure Defender for Key Vault を有効にする必要がある)
Key Vault 用にプライベート エンドポイントを構成する必要がある プライベート リンクを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Key Vault を Azure リソースに接続できます。 プライベート リンクにより、データ流出に対する徹底的な防御が提供されます。
(関連ポリシー:キー コンテナー用にプライベート エンドポイントを構成する必要がある)
Medium
ストレージ アカウントのパブリック アクセスを禁止する必要がある Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。
(関連ポリシー:ストレージ アカウントのパブリック アクセスを禁止する必要がある)
サブスクリプションに複数の所有者が割り当てられている必要がある 管理者アクセスの冗長性を確保するために、複数のサブスクリプション所有者を指定します。
(関連ポリシー:サブスクリプションに複数の所有者が割り当てられている必要がある)
Azure Key Vault に保存されている証明書の有効期間は 12 か月以内にする必要がある 証明書の有効期間が 12 か月を超えていないことを確認します。
(関連ポリシー:証明書には最長有効期間を指定する必要がある)

IoT の推奨事項

このカテゴリには 4 個の推奨事項があります。

推奨 Description 重大度
既定の IP フィルター ポリシーを拒否にする必要がある IP フィルター構成では、許可されるトラフィックを定義するルールを設定し、その他のトラフィックはすべて既定で拒否する必要があります
(関連ポリシーはありません)
IoT Hub の診断ログを有効にする必要があります ログを有効にし、それらを最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。
(関連ポリシー: IoT Hub における診断ログを有効にする必要がある)
認証の資格情報が同一 IoT Hub に対し、複数のデバイスで同一の認証資格情報が使われています。 これは、不正なデバイスが正当なデバイスを偽装していることを示している場合があります。 攻撃者によってデバイスが偽装されているおそれもあります。
(関連ポリシーはありません)
IP フィルター ルールの IP 範囲が広い 許可 IP フィルター ルールのソース IP 範囲が広すぎます。 ルールの許可が緩すぎると、IoT ハブが悪意のある攻撃者に利用される可能性があります
(関連ポリシーはありません)

ネットワークの推奨事項

このカテゴリには 13 個の推奨事項があります。

推奨 Description 重大度
ファイアウォールと仮想ネットワークの構成があるストレージ アカウントへのアクセスを制限する必要がある ストレージ アカウントのファイアウォール設定で、ネットワーク アクセスの設定を確認します。 許可されているネットワークからのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成することをお勧めします。 特定のインターネットまたはオンプレミスのクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲にアクセス権を付与できます。
(関連ポリシー:ストレージ アカウントではネットワーク アクセスを制限する必要がある)
アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある Defender for Cloud が、以下に示した仮想マシンのインターネット トラフィック通信方式を分析したところ、これらの仮想マシンに関連付けられた NSG の既存のルールによる制限が緩すぎて、潜在的な攻撃面が増えたことがわかりました。
これは通常、この IP アドレスがこのリソースと定期的に通信していない場合に発生します。 または、Defender for Cloud の脅威インテリジェンス ソースによって、その IP アドレスが悪意のあるものとしてフラグが付けられています。 詳細については、「アダプティブ ネットワークのセキュリティ強化により、ネットワークのセキュリティ体制を向上させる」を参照してください。
(関連ポリシー:アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある Defender for Cloud により、お使いのネットワーク セキュリティ グループの一部のインバウンド規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。
(関連ポリシー:仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある)
Azure DDoS Protection Standard を有効にする必要がある Defender for Cloud により、Application Gateway リソースが DDoS 保護サービスによって保護されていない仮想ネットワークが検出されました。 これらのリソースには、パブリック IP が含まれています。 ネットワークに対する帯域幅消費型攻撃およびプロトコル攻撃の軽減を有効にします。
(関連ポリシー:Azure DDoS Protection Standard を有効にする必要がある)
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することで、潜在的な脅威から VM を保護します。 NSG には、同じサブネット内外の他のインスタンスから VM へのネットワーク トラフィックを許可または拒否するアクセス制御リスト (ACL) ルールの一覧が含まれています。
マシンのセキュリティを可能な限り維持するには、インターネットへの VM のアクセスを必ず制限し、サブネットで NSG を有効にする必要があります。
重大度が "高" の VM は、インターネットに接続する VM です。
(関連ポリシー:インターネットに接続されている仮想マシンをネットワーク セキュリティ グループで保護する必要がある)
仮想マシンでの IP 転送を無効にする必要がある Defender for Cloud により、一部の仮想マシンで IP 転送が有効になっていることが検出されました。 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。
(関連ポリシー:仮想マシン上の IP 転送を無効にする必要がある
マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要があります Azure の利用規約では、Microsoft サーバーまたはネットワークを破損、無効化、過大な過大、または損なう可能性のある方法で Azure サービスを使用することを禁止しています。 この推奨事項には、セキュリティを維持するために閉じる必要がある公開ポートが列挙されます。 また、各ポートに対する潜在的な脅威も示されます。
(関連ポリシーはありません)
仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります Defender for Cloud によって、ネットワーク セキュリティ グループの管理ポートに対する受信規則の一部が過度に寛大であることが確認されました。 Just-In-Time のアクセス制御を有効にして、インターネットベースのブルートフォース攻撃から VM を保護します。 詳細については、「Just-In-Time (JIT) VM アクセスについて」を参照してください。
(関連ポリシー:仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある)
仮想マシンの管理ポートを閉じておく必要がある リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。
(関連ポリシー:仮想マシンで管理ポートを閉じる必要がある)
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することで、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG には、同じサブネット上にあるかどうかに関係なく、他のインスタンスから VM へのネットワーク トラフィックを許可または拒否するアクセス制御リスト (ACL) ルールの一覧が含まれています。
マシンのセキュリティを可能な限り維持するには、インターネットへの VM のアクセスを必ず制限し、サブネットで NSG を有効にする必要があります。
(関連ポリシー:インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある)
ストレージ アカウントへの安全な転送を有効にする必要がある 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します。
(関連ポリシー:ストレージ アカウントへの安全な転送を有効にする必要がある)
サブネットはネットワーク セキュリティ グループに関連付けられている必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 NSG がサブネットに関連付けられている場合、ACL ルールはそのサブネット内のすべての VM インスタンスと統合サービスに適用されますが、サブネット内の内部トラフィックには適用されません。 同じサブネット内のリソースを相互にセキュリティで保護するには、リソースでも直接 NSG を有効にします。
適用なしとして表示されるサブネットの種類は、GatewaySubnet、AzureFirewallSubnet、AzureBastionSubnet です。
(関連ポリシー:サブネットはネットワーク セキュリティ グループに関連付けられている必要がある)
仮想ネットワークは、Azure Firewall によって保護する必要がある 一部の仮想ネットワークがファイアウォールで保護されていません。 Azure Firewall を使用して、仮想ネットワークへのアクセスを制限し、潜在的な脅威を防ぎます。 Azure Firewall の詳細については、こちらをご覧ください。
(関連ポリシー:すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする必要がある)

非推奨のレコメンデーション

推奨 説明および関連するポリシー 重大度
App Services へのアクセスを制限する必要がある ネットワーク構成を変更することによって App Services へのアクセスを制限し、広すぎる範囲からの受信トラフィックを拒否します。
(関連ポリシー: [プレビュー]App Services へのアクセスを制限する必要がある)
IaaS NSG 上の Web アプリケーションに対する規則を強化する必要がある Web アプリケーションを実行していて、Web アプリケーション ポートに関する NSG 規則の制限が緩すぎる仮想マシンのネットワーク セキュリティ グループ (NSG) を強化します。
(関連ポリシー:IaaS 上の Web アプリケーションに対する NSG 規則を強化する必要がある)
Pod Security Policies should be defined to reduce the attack vector by removing unnecessary application privileges(不要なアプリケーション特権を削除してポッドのセキュリティ ポリシーを定義し攻撃ベクトルを減らす必要がある) (プレビュー) 不要なアプリケーション特権を削除してポッドのセキュリティ ポリシーを定義し、攻撃ベクトルを減らす必要があります。 アクセスが許可されているリソースにのみポッドがアクセスできるようポッドのセキュリティ ポリシーを定義し、構成することが推奨されます。
(関連ポリシー: [プレビュー]Kubernetes Services ではポッドのセキュリティ ポリシーを定義する必要がある)
Medium
IoT デバイスの可視性を向上させるために、IoT セキュリティ モジュールの Azure Security Center をインストールする IoT デバイスの可視性を向上させるために、IoT セキュリティ モジュールの Azure Security Center をインストールします。
システムの更新プログラムを適用するには、マシンを再起動する必要があります マシンを再起動してシステムの更新プログラムを適用し、マシンを脆弱性からセキュリティで保護します。 (関連ポリシー:システム更新プログラムをマシンにインストールする必要がある) Medium
お使いのマシンに監視エージェントをインストールする必要があります この操作により、選択した仮想マシンに監視エージェントがインストールされます。 エージェントが報告する先のワークスペースを選択します。 (関連ポリシーはありません)

次のステップ

推奨事項の詳細については、以下を参照してください。