セキュリティに関する推奨事項
この記事では、Microsoft Defender for Cloud に表示されるすべてのセキュリティに関する推奨事項を示します。 環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。
Defender for Cloud の推奨事項は、Microsoft クラウド セキュリティ ベンチマークに基づいています。 Microsoft クラウド セキュリティ ベンチマークは、セキュリティとコンプライアンスのベスト プラクティスに関する Microsoft が作成した一連のガイドラインです。 この広く評価されているベンチマークは、クラウド中心のセキュリティに重点を置いて、インターネット セキュリティセンター (CIS) と国立標準技術研究所 (NIST) のコントロールに基づいています。
これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud での推奨事項の修復」を参照してください。
セキュリティ スコアは、完了したセキュリティに関する推奨事項の数に基づいています。 最初に解決する推奨事項を決定するには、各推奨事項の重大度と、セキュリティ スコアに対する潜在的な影響を確認します。
ヒント
推奨事項の説明に [関連ポリシーなし] と表示されている場合、通常は、その推奨事項が別の推奨事項とそのポリシーに依存しているためです。
たとえば、Endpoint Protection の正常性エラーを修復する必要がある推奨事項は、エンドポイント保護ソリューションがインストールされているかどうかをチェックする推奨事項に依存します (Endpoint Protection ソリューションをインストールする必要があります)。 基になる推奨事項にはポリシーが存在します。 ポリシーを基本推奨事項のみに制限すると、ポリシー管理が簡単になります。
AppServices の推奨事項
API アプリには HTTPS を介してのみアクセスできるようにする
説明: HTTPS を使用すると、サーバー/サービス認証が保証され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 (関連ポリシー: API アプリには HTTPS 経由でのみアクセスできます)。
重大度: 中
CORS で API Apps へのアクセスをすべてのリソースには許可しない
説明: クロスオリジン リソース共有 (CORS) では、すべての操作メインが API アプリにアクセスできないようにする必要があります。 API アプリの操作に必要なドメインのみを許可します。 (関連ポリシー: CORS では、すべてのリソースが API アプリにアクセスできるわけではありません)。
重大度: 低
CORS で関数アプリへのアクセスをすべてのリソースには許可しない
説明: クロスオリジン リソース共有 (CORS) では、すべての操作メインが関数アプリにアクセスできないようにする必要があります。 関数アプリの操作に必要なドメインのみを許可します。 (関連ポリシー: CORS では、すべてのリソースが Function Apps にアクセスできるわけではありません)。
重大度: 低
CORS で Web アプリケーションへのアクセスをすべてのリソースには許可しない
説明: クロスオリジン リソース共有 (CORS) では、すべての操作メインが Web アプリケーションにアクセスできないようにする必要があります。 Web アプリの操作に必要なドメインのみを許可します。 (関連ポリシー: CORS では、すべてのリソースが Web アプリケーションにアクセスできるわけではありません)。
重大度: 低
App Services における診断ログを有効にする必要がある
説明: アプリでの診断ログの有効化を監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合 (関連ポリシーなし) に関する調査目的でアクティビティ 証跡を再作成できます。
重大度: 中
API アプリでクライアント証明書 (着信クライアント証明書) が [オン] に設定されていることを確認する
説明: クライアント証明書を使用すると、アプリが受信要求の証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 (関連ポリシー: API アプリの [クライアント証明書 (受信クライアント証明書)]が [オン] に設定されていることを確認します。
重大度: 中
API Apps で FTPS を必須とする必要がある
説明: セキュリティ強化のために FTPS の適用を有効にします (関連ポリシー: FTPS は API アプリでのみ必要です)。
重大度: 高
関数アプリで FTPS を必須とする必要がある
説明: セキュリティ強化のために FTPS の適用を有効にします (関連ポリシー: FTPS は関数アプリでのみ必要です)。
重大度: 高
Web アプリで FTPS を必須とする必要がある
説明: セキュリティ強化のために FTPS の適用を有効にします (関連ポリシー: Web アプリでは FTPS が必要です)。
重大度: 高
Function App には HTTPS 経由でのみアクセスできるようにする
説明: HTTPS を使用すると、サーバー/サービス認証が保証され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 (関連ポリシー: 関数アプリには HTTPS 経由でのみアクセスできます)。
重大度: 中
関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある
説明: クライアント証明書を使用すると、アプリが受信要求の証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 (関連ポリシー: 関数アプリでは、"クライアント証明書 (受信クライアント証明書)" が有効になっている必要があります。
重大度: 中
API Apps 用に Java を最新バージョンに更新する必要がある
説明: セキュリティ上の欠陥のため、または追加機能を含めるために、新しいバージョンが Java 用に定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを API アプリに使用することをお勧めします。 (関連ポリシー: API アプリの一部として使用する場合は、"Java バージョン" が最新であることを確認します)。
重大度: 中
API Apps ではマネージド ID を使用する必要がある
説明: 認証セキュリティを強化するために、マネージド ID を使用します。 Azure のマネージド ID を使用すれば、開発者が資格情報を管理する必要がなくなります。Azure リソースの ID は Azure AD から提供され、その ID を使用して Azure Active Directory (Azure AD) トークンが取得されます。 (関連ポリシー: マネージド ID は API アプリで使用する必要があります)。
重大度: 中
関数アプリではマネージド ID を使用する必要がある
説明: 認証セキュリティを強化するために、マネージド ID を使用します。 Azure のマネージド ID を使用すれば、開発者が資格情報を管理する必要がなくなります。Azure リソースの ID は Azure AD から提供され、その ID を使用して Azure Active Directory (Azure AD) トークンが取得されます。 (関連ポリシー: マネージド ID は、Function App で使用する必要があります)。
重大度: 中
Web アプリではマネージド ID を使用する必要がある
説明: 認証セキュリティを強化するために、マネージド ID を使用します。 Azure のマネージド ID を使用すれば、開発者が資格情報を管理する必要がなくなります。Azure リソースの ID は Azure AD から提供され、その ID を使用して Azure Active Directory (Azure AD) トークンが取得されます。 (関連ポリシー: マネージド ID は Web アプリで使用する必要があります)。
重大度: 中
Microsoft Defender for App Serviceを有効にする必要があります
説明: Microsoft Defender for App Service では、クラウドの規模と、Azure がクラウド プロバイダーとして持つ可視性を活用して、一般的な Web アプリ攻撃を監視します。 Microsoft Defender for App Service では、アプリケーションに対する攻撃を検出したり、新種の攻撃を特定したりできます。
重要:この推奨事項の修復によって、App Service プランを保護するための料金が発生します。 このサブスクリプションに App Service プランがない場合、料金は発生しません。 今後このサブスクリプションに App Service プランを作成すると、それらは自動的に保護され、その時点で料金が発生します。 詳細については、「Web アプリと API の保護」を参照してください。 (関連ポリシー: Azure Defender for App Service を有効にする必要があります)。
重大度: 高
API Apps 用に PHP を最新バージョンに更新する必要がある
説明: セキュリティ上の欠陥または追加機能が含まれるため、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の PHP バージョンを API アプリに使用することをお勧めします。 (関連ポリシー: API アプリの一部として使用する場合は、'PHP バージョン' が最新であることを確認します)。
重大度: 中
API Apps 用に Python を最新バージョンに更新する必要がある
説明: セキュリティ上の欠陥のため、または追加機能を含めるために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを API アプリに使用することをお勧めします。 (関連ポリシー: API アプリの一部として使用する場合は、'Python バージョン' が最新であることを確認します)。
重大度: 中
API アプリでリモート デバッグを無効にする
説明: リモート デバッグでは、API アプリで受信ポートを開く必要があります。 リモート デバッグを無効にする必要があります。 (関連ポリシー: API Apps ではリモート デバッグをオフにする必要があります)。
重大度: 低
Function App でリモート デバッグを無効にする
説明: リモート デバッグでは、Azure 関数アプリで受信ポートを開く必要があります。 リモート デバッグを無効にする必要があります。 (関連ポリシー: Function Apps ではリモート デバッグをオフにする必要があります)。
重大度: 低
Web アプリケーションのリモート デバッグを無効にする
説明: リモート デバッグでは、Web アプリケーションで受信ポートを開く必要があります。 現在、リモート デバッグが有効になっています。 リモート デバッグを使用する必要がなくなったら、無効にする必要があります。 (関連ポリシー: Web アプリケーションではリモート デバッグをオフにする必要があります)。
重大度: 低
API Apps 用に TLS を最新バージョンに更新する必要がある
説明: 最新の TLS バージョンにアップグレードします。 (関連ポリシー: 最新の TLS バージョンを API アプリで使用する必要があります)。
重大度: 高
関数アプリ用に TLS を最新バージョンに更新する必要がある
説明: 最新の TLS バージョンにアップグレードします。 (関連ポリシー: 最新の TLS バージョンを関数アプリで使用する必要があります)。
重大度: 高
Web アプリ用に TLS を最新バージョンに更新する必要がある
説明: 最新の TLS バージョンにアップグレードします。 (関連ポリシー: 最新の TLS バージョンを Web アプリで使用する必要があります)。
重大度: 高
Web アプリケーションには HTTPS を介してのみアクセスできるようにする
説明: HTTPS を使用すると、サーバー/サービス認証が保証され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 (関連ポリシー: Web アプリケーションには HTTPS 経由でのみアクセスできます)。
重大度: 中
Web アプリではすべての受信要求に対して SSL 証明書を要求する必要がある
説明: クライアント証明書を使用すると、アプリが受信要求の証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 (関連ポリシー: WEB アプリの [クライアント証明書 (受信クライアント証明書)]が [オン] に設定されていることを確認します。
重大度: 中
コンピューティングの推奨事項
安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある
説明: アプリケーション コントロールを有効にして、コンピューターで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを生成します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Defender for Cloud で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 (関連ポリシー: 安全なアプリケーションを定義するための適応型アプリケーション制御は、マシンで有効にする必要があります)。
重大度: 高
適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある
説明: Defender for Cloud の適応型アプリケーション制御による監査用に構成されたマシンのグループでの動作の変化を監視します。 Defender for Cloud では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。 (関連ポリシー: アダプティブ アプリケーション制御ポリシーの許可リスト ルールを更新する必要があります)。
重大度: 高
Linux マシンに対する認証では SSH キーを要求する必要がある
説明: SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用しても、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、「詳細な手順: Azure の Linux VM に対する認証用に SSH キーを作成して管理する」を参照してください。 (関連ポリシー: 認証に SSH キーを使用していない Linux マシンを監査します)。
重大度: 中
Automation アカウント変数は、暗号化する必要がある
説明: 機密データを格納するときは、Automation アカウント変数資産の暗号化を有効にすることが重要です。 (関連ポリシー: Automation アカウント変数は暗号化する必要があります)。
重大度: 高
仮想マシンに対して Azure Backup を有効にする必要がある
説明: Azure Backup を使用して Azure 仮想マシン上のデータを保護します。 Azure Backup は、Azure ネイティブで費用対効果の高いデータ保護ソリューションです。 geo 冗長 Recovery コンテナーに保存される復旧ポイントが作成されます。 復旧ポイントから復元するときは、VM 全体を復元するか、特定のファイルを復元することができます。 (関連ポリシー: 仮想マシンに対して Azure Backup を有効にする必要があります)。
重大度: 低
コンテナーのホストを安全に構成する必要がある
説明: Docker がインストールされているマシンのセキュリティ構成の脆弱性を修復して、攻撃から保護します。 (関連ポリシー: コンテナーのセキュリティ構成の脆弱性を修復する必要があります)。
重大度: 高
Azure Stream Analytics で診断ログを有効にする必要がある
説明: ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシー: Azure Stream Analytics の診断ログを有効にする必要があります)。
重大度: 低
Batch アカウントで診断ログを有効にする必要がある
説明: ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシー: Batch アカウントの診断ログを有効にする必要があります)。
重大度: 低
Event Hubs の診断ログを有効にする必要がある
説明: ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシー: Event Hubs の診断ログを有効にする必要があります)。
重大度: 低
Logic Apps における診断ログを有効にする必要がある
説明: セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ 証跡を再作成できるようにするには、ログ記録を有効にします。 診断ログが Log Analytics ワークスペース、Azure Storage アカウント、または Azure Event Hubs に送信されていない場合は、プラットフォーム メトリックとプラットフォーム ログを関連する宛先に送信するように診断設定を構成していることを確認します。 詳細については、「プラットフォーム ログとメトリックを異なる宛先に送信するための診断設定を作成する」をご覧ください。 (関連ポリシー: Logic Apps の診断ログを有効にする必要があります)。
重大度: 低
Search サービスにおける診断ログを有効にする必要がある
説明: ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシー: Search サービスの診断ログを有効にする必要があります)。
重大度: 低
Service Bus で診断ログを有効にする必要がある
説明: ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシー: Service Bus の診断ログを有効にする必要があります)。
重大度: 低
仮想マシン スケール セットの診断ログを有効にする必要がある
説明: ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシー: 仮想マシン スケール セットの診断ログを有効にする必要があります)。
重大度: 高
仮想マシンで EDR 構成の問題を解決する必要がある
説明: 最新の脅威と脆弱性から仮想マシンを保護するには、インストールされているエンドポイント検出と応答 (EDR) ソリューションで特定されたすべての構成の問題を解決します。
注: 現時点では、この推奨事項は、Microsoft Defender for Endpoint (MDE) が有効になっているリソースにのみ適用されます。
重大度: 低
EDR ソリューションを Virtual Machines にインストールする必要がある
説明: 高度な脅威から保護するには、仮想マシンにエンドポイント検出および応答 (EDR) ソリューションをインストールすることが重要です。 EDR は、これらの脅威の防止、検出、調査、対応に役立つ。 Microsoft Defender for Servers を使用して、Microsoft Defender for Endpoint を展開できます。 リソースが "異常" として分類されている場合は、サポートされている EDR ソリューションがないことを示します。 EDR ソリューションがインストールされているが、この推奨事項では検出できない場合は、除外できます。 EDR ソリューションがない場合、仮想マシンは高度な脅威の危険にさらされます。
重大度: 高
Virtual Machine Scale Sets で Endpoint Protection の正常性の問題を解決する必要がある
説明: 仮想マシン スケール セットのエンドポイント保護の正常性エラーを修復して、脅威や脆弱性から保護します。 (関連ポリシー: エンドポイント保護ソリューションは、仮想マシン スケール セットにインストールする必要があります)。
重大度: 低
Virtual Machine Scale Sets に Endpoint Protection をインストールする必要がある
説明: エンドポイント保護ソリューションを仮想マシン スケール セットにインストールして、脅威や脆弱性から保護します。 (関連ポリシー: エンドポイント保護ソリューションは、仮想マシン スケール セットにインストールする必要があります)。
重大度: 高
マシンでファイルの整合性の監視を有効にする必要がある
説明: Defender for Cloud では、ファイル整合性監視ソリューションがないマシンが特定されました。 サーバー上の重要なファイルやレジストリ キーなどの変更を監視するには、ファイルの整合性の監視を有効にします。 ファイル整合性監視ソリューションが有効になっている場合は、監視するファイルを定義するデータ収集ルールを作成します。 ルールを定義したり、既存のルールを持つマシンで変更されたファイルを確認したりするには、ファイルの整合性の監視管理ページに 移動します。 (関連ポリシーはありません)
重大度: 高
サポートされている Linux 仮想マシンのスケール セットに Guest Attestation 拡張機能をインストールする必要がある
説明: サポートされている Linux 仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Microsoft Defender for Cloud が起動の整合性を事前に証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な Linux 仮想マシン スケール セットのみです。
重要: 信頼された起動には、新しい仮想マシンの作成が必要です。 最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。 詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。 (関連ポリシーはありません)
重大度: 低
Guest Attestation 拡張機能を、サポートしている Linux 仮想マシンにインストールする必要があります
説明: サポートされている Linux 仮想マシンにゲスト構成証明拡張機能をインストールして、Microsoft Defender for Cloud が起動の整合性を事前に証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な Linux 仮想マシンのみです。
重要: 信頼された起動には、新しい仮想マシンの作成が必要です。 最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。 詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。 (関連ポリシーはありません)
重大度: 低
サポートされている Windows 仮想マシンのスケール セットに Guest Attestation 拡張機能をインストールする必要がある
説明: サポートされている仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Microsoft Defender for Cloud が起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な仮想マシン スケール セットのみです。
重要: 信頼された起動には、新しい仮想マシンの作成が必要です。 最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。 詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。 (関連ポリシーはありません)
重大度: 低
Guest Attestation 拡張機能を、サポートしている Windows 仮想マシンにインストールする必要があります
説明: サポートされている仮想マシンにゲスト構成証明拡張機能をインストールして、Microsoft Defender for Cloud が起動の整合性を事前に証明および監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。
重要: 信頼された起動には、新しい仮想マシンの作成が必要です。 最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。 詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。 (関連ポリシーはありません)
重大度: 低
マシンにゲスト構成拡張機能がインストールされている必要がある
説明: コンピューターのゲスト内設定のセキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールすると、Windows Exploit Guard を有効にする必要があるなどのゲスト内ポリシーを使用できるようになります。 (関連ポリシー: 仮想マシンにはゲスト構成拡張機能が必要です)。
重大度: 中
仮想マシンにエンドポイント保護ソリューションをインストールする
説明: エンドポイント保護ソリューションを仮想マシンにインストールして、脅威や脆弱性から保護します。 (関連ポリシー: 不足している Endpoint Protection を Azure Security Center で監視します)。
重大度: 高
Linux 仮想マシンでカーネル モジュール署名の検証を強制する必要がある
説明: カーネル モードでの悪意のあるコードまたは未承認のコードの実行を軽減するには、サポートされている Linux 仮想マシンにカーネル モジュール署名の検証を適用します。 カーネル モジュール署名の検証により、信頼されたカーネル モジュールのみの実行が許可されるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。 (関連ポリシーはありません)
重大度: 低
Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある
説明: セキュア ブートが有効になっている場合、すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloud によって、お客様が所有する 1 台以上の Linux マシンで信頼されていない OS ブート コンポーネントが特定されました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。 (関連ポリシーはありません)
重大度: 低
Linux 仮想マシンではセキュア ブートを使用する必要がある
説明: マルウェア ベースのルートキットとブート キットのインストールから保護するには、サポートされている Linux 仮想マシンでセキュア ブートを有効にします。 セキュア ブートにより、署名されたオペレーティング システムとドライバーのみを確実に実行できるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。 (関連ポリシーはありません)
重大度: 低
Linux ベースの Azure Arc 対応マシンに Log Analytics エージェントをインストールする必要がある
説明: Defender for Cloud では、Log Analytics エージェント (OMS とも呼ばれます) を使用して、Azure Arc マシンからセキュリティ イベントを収集します。 すべての Azure Arc マシンにエージェントをデプロイするには、修復手順に従います。 (関連ポリシーはありません)
重大度: 高
Virtual Machine Scale Sets に Log Analytics エージェントをインストールする必要がある
説明: Defender for Cloud は、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 データは、Log Analytics エージェント (旧称 Microsoft Monitoring Agent (MMA)) を使用して収集されます。エージェントがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータをワークスペースにコピーします。 Azure Kubernetes Service や Azure Service Fabric などの Azure 管理サービスによって VM が使用されている場合は、その手順に従う必要もあります。 Azure 仮想マシン スケール セットのためにエージェントの自動プロビジョニングを構成することはできません。 エージェントを仮想マシン スケール セット (Azure Kubernetes Service や Azure Service Fabric など、Azure 管理サービスで使用されるものを含む) にデプロイするには、修復手順の方法に従ってください。 (関連ポリシー: Log Analytics エージェントは、Azure Security Center の監視用に仮想マシン スケール セットにインストールする必要があります)。
重大度: 高
仮想マシンに Log Analytics エージェントをインストールする必要がある
説明: Defender for Cloud は、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 データは、Log Analytics エージェント (旧称 Microsoft Monitoring Agent (MMA)) を使用して収集されます。エージェントがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 Azure Kubernetes Service や Azure Service Fabric などの Azure 管理サービスによって VM が使用されている場合にも、このエージェントが必要になります。 自動プロビジョニングを構成して、エージェントを自動的にデプロイすることをお勧めします。 自動プロビジョニングを使用しないことを選択する場合は、修復手順の指示に従って手動でエージェントを VM にデプロイします。 (関連ポリシー: Log Analytics エージェントは、Azure Security Center の監視のために仮想マシンにインストールする必要があります)。
重大度: 高
Windows ベースの Azure Arc 対応マシンに Log Analytics エージェントをインストールする必要がある
説明: Defender for Cloud では、Log Analytics エージェント (MMA とも呼ばれます) を使用して、Azure Arc マシンからセキュリティ イベントを収集します。 すべての Azure Arc マシンにエージェントをデプロイするには、修復手順に従います。 (関連ポリシーはありません)
重大度: 高
マシンを安全に構成する必要がある
説明: コンピューターのセキュリティ構成の脆弱性を修復して、攻撃から保護します。 (関連ポリシー: マシンのセキュリティ構成の脆弱性を修復する必要があります)。
重大度: 低
セキュリティ構成の更新を適用するにはマシンを再起動する必要がある
説明: セキュリティ構成の更新プログラムを適用し、脆弱性から保護するには、コンピューターを再起動します。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。 (関連ポリシーはありません)
重大度: 低
マシンに脆弱性評価ソリューションを導入する必要がある
説明: Defender for Cloud は、接続されているマシンが脆弱性評価ツールを実行していることを確認するために、接続されているマシンを定期的にチェックします。 脆弱性評価ソリューションをデプロイするには、この推奨事項を使用します。 (関連ポリシー: 仮想マシンで脆弱性評価ソリューションを有効にする必要があります)。
重大度: 中
マシンでは、脆弱性の検出結果が解決されている必要がある
説明: 仮想マシン上の脆弱性評価ソリューションからの結果を解決します。 (関連ポリシー: 仮想マシンで脆弱性評価ソリューションを有効にする必要があります)。
重大度: 低
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある
説明: Defender for Cloud は、ネットワーク セキュリティ グループ内の管理ポートに対して、過度に制限の多い受信規則を特定しました。 Just-In-Time のアクセス制御を有効にして、インターネットベースのブルートフォース攻撃から VM を保護します。 詳細については、「Just-In-Time (JIT) VM アクセスについて」を参照してください。 (関連ポリシー: 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御で保護する必要があります)。
重大度: 高
Microsoft Defender for servers を有効にする必要があります
説明: Microsoft Defender for servers は、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 この情報を使用して、セキュリティの問題を迅速に修復し、サーバーのセキュリティを強化できます。
重要:この推奨事項の修復によって、サーバーを保護するための料金が発生します。 このサブスクリプションにサーバーがない場合、料金は発生しません。 今後、このサブスクリプションにサーバーを作成すると、それらは自動的に保護され、その時点で料金が発生します。 詳細については、「Microsoft Defender for servers の概要」を参照してください。 (関連ポリシー: Azure Defender for servers を有効にする必要があります)。
重大度: 高
Microsoft Defender for servers をワークスペース上で有効にする必要がある
説明: Microsoft Defender for servers は、Windows および Linux マシンの脅威検出と高度な防御を実現します。 ワークスペースではなくサブスクリプションでこの Defender プランを有効にすると、Microsoft Defender for servers の全機能に対する料金がかかりますが、一部のメリットが得られません。 ワークスペースで Microsoft Defender for servers を有効にすると、そのワークスペースに対して報告を行うすべてのマシンに対して Microsoft Defender for servers の料金が発生します (Defender プランを有効にしていないサブスクリプションであっても同様です)。 サブスクリプションで Microsoft Defender for servers も有効にしない限り、それらのマシンでは、Just-In-Time VM アクセス、適応型アプリケーション制御、Azure リソースのネットワーク検出を利用することができません。 詳細については、「Microsoft Defender for servers の概要」を参照してください。 (関連ポリシーはありません)
重大度: 中
セキュア ブートを、サポートしている Windows 仮想マシンで有効にする必要があります
説明: サポートされている Windows 仮想マシンでセキュア ブートを有効にして、ブート チェーンに対する悪意のある未承認の変更を軽減します。 有効にすると、信頼されたブートローダー、カーネル、およびカーネル ドライバーの実行のみが許可されます。 この評価が適用されるのは、トラステッド起動が有効な Windows 仮想マシンのみです。
重要: 信頼された起動には、新しい仮想マシンの作成が必要です。 最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。 詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。 (関連ポリシーはありません)
重大度: 低
Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある
説明: Service Fabric には、プライマリ クラスター証明書を使用したノード間通信用の 3 つのレベルの保護 (None、Sign、EncryptAndSign) が用意されています。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します。 (関連ポリシー: Service Fabric クラスターでは、ClusterProtectionLevel プロパティが EncryptAndSign に設定されている必要があります)。
重大度: 高
Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある
説明: Service Fabric で Azure Active Directory 経由でのみクライアント認証を実行します (関連ポリシー: Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要があります)。
重大度: 高
仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある
説明: 不足しているシステム セキュリティと重要な更新プログラムをインストールして、Windows および Linux 仮想マシン スケール セットをセキュリティで保護します。 (関連ポリシー: 仮想マシン スケール セットのシステム更新プログラムをインストールする必要があります)。
重大度: 高
システム更新プログラムをマシンにインストールする必要がある
説明: 不足しているシステム セキュリティと重要な更新プログラムをインストールして、Windows と Linux の仮想マシンとコンピューターをセキュリティで保護します (関連ポリシー: システム更新プログラムをコンピューターにインストールする必要があります)。
重大度: 高
システム更新プログラムをマシンにインストールする必要がある (更新センターを利用)
説明: コンピューターにシステム、セキュリティ、および重要な更新プログラムがありません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 (関連ポリシーはありません)
重大度: 高
Virtual Machine Scale Sets を安全に構成する必要がある
説明: 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復して、攻撃から保護します。 (関連ポリシー: 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があります)。
重大度: 高
仮想マシンのゲスト構成証明の状態は正常である必要がある
説明: ゲスト構成証明は、信頼されたログ (TCGLog) を構成証明サーバーに送信することによって実行されます。 このサーバーでこれらのログが使用されて、ブート コンポーネントが信頼できるかどうかが判断されます。 この評価は、ブート キットまたはルートキットの感染の結果である可能性があるブート チェーンの侵害を検出することを目的としています。 この評価は、ゲスト構成証明の拡張機能がインストールされている、トラステッド起動が有効な仮想マシンのみに適用されます。 (関連ポリシーはありません)
重大度: 中
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある
説明: ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細情報 (関連ポリシー: ゲスト構成拡張機能は、システム割り当てマネージド ID を使用して Azure 仮想マシンにデプロイする必要があります)。
重大度: 中
仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある
説明: Virtual Machines (クラシック) は非推奨となり、これらの VM は Azure Resource Manager に移行する必要があります。 Azure Resource Manager には現在、完全な IaaS 機能とその他の強化機能が含まれるため、2020 年 2 月 28 日に Azure Service Manager (ASM) を介した IaaS 仮想マシン (VM) の管理を非推奨にしました。 この機能は、2023 年 3 月 1 日に完全に廃止される予定です。
影響を受けるすべてのクラシック VM を表示するには、[ディレクトリ + サブスクリプション] タブですべての Azure サブスクリプションを選択してください。
このツールに関する利用可能なリソースと情報と移行: 仮想マシン (クラシック) の廃止の概要、移行のステップ バイ ステップ プロセス、および使用可能な Microsoft リソース。Azure Resource Manager 移行ツールへの移行に関する詳細。PowerShell を使用して Azure Resource Manager 移行ツールに移行します。 (関連ポリシー: 仮想マシンは新しい Azure Resource Manager リソースに移行する必要があります)。
重大度: 高
コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある
説明: 既定では、仮想マシンの OS ディスクとデータ ディスクは、プラットフォームマネージド キーを使用して保存時に暗号化されます。一時ディスクとデータ キャッシュは暗号化されず、コンピューティング リソースとストレージ リソースの間を流れるときはデータは暗号化されません。 Azure でのさまざまなディスク暗号化テクノロジの比較については、 https://aka.ms/diskencryptioncomparison を参照してください。 Azure Disk Encryption を使用してこのデータをすべて暗号化します。 次のような場合は、この推奨事項を無視してください。
- ホストでの暗号化機能を使用している場合、または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている。 詳細については、「Azure Disk Storage のサーバー側暗号化」を参照してください。 (関連ポリシー:仮想マシンにディスク暗号化を適用する必要がある)
重大度: 高
vTPM を、サポートしている仮想マシンで有効にする必要があります
説明: サポートされている仮想マシンで仮想 TPM デバイスを有効にして、TPM を必要とするメジャー ブートやその他の OS セキュリティ機能を容易にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。
重要: 信頼された起動には、新しい仮想マシンの作成が必要です。 最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。 詳細については、「Azure Virtual Machines のトラステッド起動」を参照してください。 (関連ポリシーはありません)
重大度: 低
Linux マシンのセキュリティ構成の脆弱性を修復する必要がある (Powered by ゲスト構成)
説明: Linux マシンのセキュリティ構成の脆弱性を修復して、攻撃から保護します。 (関連ポリシー: Linux マシンは、Azure セキュリティ ベースラインの要件を満たしている必要があります)。
重大度: 低
Windows マシンのセキュリティ構成の脆弱性を修復する必要がある (Powered by ゲスト構成)
説明: Windows マシンのセキュリティ構成の脆弱性を修復して、攻撃から保護します。 (関連ポリシーはありません)
重大度: 低
マシンで Windows Defender Exploit Guard を有効にする必要がある
説明: Windows Defender Exploit Guard は、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 (関連ポリシー: Windows Defender Exploit Guard が有効になっていない Windows マシンを監査します)。
重大度: 中
Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある
説明: インターネット経由で通信される情報のプライバシーを保護するには、Web サーバーで業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使用する必要があります。 TLS によって、セキュリティ証明書を使用してマシン間の接続が暗号化されることにより、ネットワーク経由の通信がセキュリティで保護されます。 (関連ポリシー: セキュリティで保護された通信プロトコルを使用していない Windows Web サーバーを監査します)。
重大度: 高
[プレビュー]: Linux 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります
説明: 既定では、仮想マシンの OS ディスクとデータ ディスクは、プラットフォームマネージド キーを使用して保存時に暗号化されます。一時ディスクとデータ キャッシュは暗号化されず、コンピューティング リソースとストレージ リソースの間を流れるときはデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用してこのデータをすべて暗号化します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 (関連ポリシー: [プレビュー]: Linux 仮想マシンで Azure Disk Encryption または EncryptionAtHost を有効にする必要があります。
重大度: 高
[プレビュー]: Windows 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります
説明: 既定では、仮想マシンの OS ディスクとデータ ディスクは、プラットフォームマネージド キーを使用して保存時に暗号化されます。一時ディスクとデータ キャッシュは暗号化されず、コンピューティング リソースとストレージ リソースの間を流れるときはデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用してこのデータをすべて暗号化します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 (関連ポリシー: [プレビュー]: Windows 仮想マシンで Azure Disk Encryption または EncryptionAtHost を有効にする必要があります。
重大度: 高
仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある
説明: ホストでの暗号化を使用して、仮想マシンと仮想マシン スケール セット データのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、「 Azure portal を使用して、ホストでの暗号化を使用したエンドツーエンドの暗号化を有効にする」を参照してください。 (関連ポリシー: 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある)。
重大度: 中
(プレビュー): Azure Stack HCI サーバーは、セキュリティで保護されたコアの要件を満たす必要がある
説明: すべての Azure Stack HCI サーバーが、セキュリティで保護されたコア要件を満たしていることを確認します。 (関連ポリシー: ゲスト構成拡張機能は、マシンにインストールする必要があります - Microsoft Azure)。
重大度: 低
(プレビュー): Azure Stack HCI サーバーは、アプリケーション制御ポリシーを一貫して適用する必要がある
説明: 少なくとも、すべての Azure Stack HCI サーバーに適用モードで Microsoft WDAC 基本ポリシーを適用します。 適用される Windows Defender アプリケーション制御 (WDAC) ポリシーは、同じクラスター内のサーバー間で一貫している必要があります。 (関連ポリシー: ゲスト構成拡張機能は、マシンにインストールする必要があります - Microsoft Azure)。
重大度: 高
(プレビュー): Azure Stack HCI システムは、暗号化されたボリュームを使用する必要がある
説明: BitLocker を使用して、Azure Stack HCI システム上の OS とデータ ボリュームを暗号化します。 (関連ポリシー: ゲスト構成拡張機能は、マシンにインストールする必要があります - Microsoft Azure)。
重大度: 高
(プレビュー): Azure Stack HCI システムでホストと VM ネットワークを保護する必要がある
説明: Azure Stack HCI ホストのネットワークと仮想マシン ネットワーク接続上のデータを保護します。 (関連ポリシー: ゲスト構成拡張機能は、マシンにインストールする必要があります - Microsoft Azure)。
重大度: 低
コンテナーの推奨事項
[プレビュー]Azure レジストリ内のコンテナー イメージに脆弱性の検出結果が解決されている必要がある
説明: Defender for Cloud は、レジストリ イメージで既知の脆弱性 (CVE) をスキャンし、スキャンされた各イメージの詳細な結果を提供します。 レジストリ内のコンテナー イメージの脆弱性のスキャンと修復は、セキュリティで保護された信頼性の高いソフトウェアサプライ チェーンメイン維持し、セキュリティ インシデントのリスクを軽減し、業界標準に準拠するのに役立ちます。
重大度: 高
種類: 脆弱性評価
[プレビュー]Azure で実行されているコンテナーの脆弱性の結果が解決されている必要がある
説明: Defender for Cloud は、現在 Kubernetes クラスターで実行されているすべてのコンテナー ワークロードのインベントリを作成し、使用されているイメージとレジストリ イメージ用に作成された脆弱性レポートを照合することで、それらのワークロードの脆弱性レポートを提供します。 コンテナー ワークロードの脆弱性のスキャンと修復は、堅牢で安全なソフトウェア サプライ チェーンを確保し、セキュリティ インシデントのリスクを軽減し、業界標準への準拠を確保するために不可欠です。
重大度: 高
種類: 脆弱性評価
(必要に応じて有効にする)コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要があります
説明: 保存データの暗号化にカスタマー マネージド キーを使用するおすすめは、既定では評価されませんが、該当するシナリオで有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 CMK 暗号化の詳細については、https://aka.ms/acr/CMK を参照してください。 (関連ポリシー: コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要があります。
重大度: 低
型: コントロール プレーン
Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある
説明: Kubernetes 用 Azure Policy 拡張機能は、Open Policy Agent (OPA) 用のアドミッション コントローラー Webhook である Gatekeeper v3 を拡張し、クラスターに大規模な適用と保護を一元的かつ一貫した方法で適用します。 (関連ポリシーはありません)
重大度: 高
型: コントロール プレーン
Azure Arc 対応 Kubernetes クラスターには、Defender の拡張機能がインストールされている必要がある
説明: Azure Arc 用の Defender 拡張機能は、Arc 対応 Kubernetes クラスターの脅威保護を提供します。 拡張機能は、クラスター内のすべてのコントロール プレーン (マスター) ノードからデータを収集し、さらに分析するために クラウドの Microsoft Defender for Kubernetes バックエンド に送信します。 (関連ポリシーはありません)
重大度: 高
型: コントロール プレーン
Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある
説明: Microsoft Defender for Containers には、環境のセキュリティ強化、ワークロード保護、実行時の保護など、クラウドネイティブの Kubernetes セキュリティ機能が用意されています。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender プロファイルを有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 詳細については、「Microsoft Defender for Containers の概要」を参照してください。 (関連ポリシーはありません)
重大度: 高
型: コントロール プレーン
Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある
説明: Kubernetes 用 Azure Policy アドオンは、Open Policy Agent (OPA) のアドミッション コントローラー Webhook である Gatekeeper v3 を拡張し、クラスターに大規模な適用と保護を一元的かつ一貫した方法で適用します。 Defender for Cloud では、クラスター内のセキュリティ機能とコンプライアンスを監査および適用するためにこのアドオンが必要です。 詳細情報。 Kubernetes v1.14.0 以降が必要です。 (関連ポリシー: Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要があります。
重大度: 高
型: コントロール プレーン
コンテナー レジストリでは無制限のネットワーク アクセスを許可しない
説明: Azure コンテナー レジストリは、既定で、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のパブリック IP アドレスまたはアドレス範囲のみからのアクセスを許可します。 レジストリに IP またはファイアウォール規則、あるいは構成済みの仮想ネットワークがない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、https://aka.ms/acr/portal/public-network と https://aka.ms/acr/vnet を参照してください。 (関連ポリシー: コンテナー レジストリでは、無制限のネットワーク アクセスを許可しないでください)。
重大度: 中
型: コントロール プレーン
コンテナー レジストリではプライベート リンクを使用する必要がある
説明: Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 (関連ポリシー: コンテナー レジストリではプライベート リンクを使用する必要があります)。
重大度: 中
型: コントロール プレーン
Kubernetes サービスの診断ログを有効にする必要がある
説明: Kubernetes サービスで診断ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシーはありません)
重大度: 低
型: コントロール プレーン
Kubernetes API サーバーは制限付きアクセスで構成する必要がある
説明: 許可されたネットワーク、マシン、またはサブネットからのアプリケーションのみがクラスターにアクセスできるようにするには、Kubernetes API サーバーへのアクセスを制限します。 アクセスを制限するには、「プライベート Azure Kubernetes Service クラスターの作成」で 説明されているように、承認された IP 範囲を定義するか、API サーバーをプライベート クラスターとして設定します。 (関連ポリシー: 承認された IP 範囲は、Kubernetes Services で定義する必要があります)。
重大度: 高
型: コントロール プレーン
Kubernetes Services ではロールベースのアクセス制御を使用する必要がある
説明: ユーザーが実行できるアクションをきめ細かくフィルター処理するには、ロールベースのアクセス制御 (RBAC) を使用して Kubernetes Service クラスターのアクセス許可を管理し、関連する承認ポリシーを構成します。 (関連ポリシー: Kubernetes Services では、ロールベースのアクセス制御 (RBAC) を使用する必要があります。
重大度: 高
型: コントロール プレーン
Microsoft Defender for Containers を有効にする必要がある
説明: Microsoft Defender for Containers は、Azure、ハイブリッド、マルチクラウドの Kubernetes 環境に対して、セキュリティ強化、脆弱性評価、実行時の保護を提供します。 ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。
重要:この推奨事項の修復によって、Kubernetes クラスターを保護するための料金が発生します。 このサブスクリプションに Kubernetes クラスターがない場合、料金は発生しません。 今後、このサブスクリプションに Kubernetes クラスターを作成すると、それらは自動的に保護され、その時点で料金が発生します。 詳細については、「Microsoft Defender for Containers の概要」を参照してください。 (関連ポリシーはありません)
重大度: 高
型: コントロール プレーン
コンテナーの CPU とメモリの制限を強制する必要がある
説明: CPU とメモリの制限を適用すると、リソース枯渇攻撃 (サービス拒否攻撃の一種) を防ぐことができます。
コンテナーに制限を設定し、設定された制限を超えてリソースがコンテナーで使用されないように、ランタイムによって防ぐことをお勧めします。
(関連ポリシー: コンテナーの CPU とメモリリソースの制限が Kubernetes クラスターで指定された制限を超えないようにします)。
重大度: 中
型: Kubernetes データ プレーン
コンテナー イメージは信頼されたレジストリからのみデプロイする必要がある
説明: Kubernetes クラスターで実行されているイメージは、既知の監視対象のコンテナー イメージ レジストリから取得する必要があります。 信頼されたレジストリは、不明な脆弱性、セキュリティの問題、および悪意のあるイメージの導入の可能性を制限することで、クラスターの露出リスクを軽減します。
(関連ポリシー: Kubernetes クラスターで許可されているコンテナー イメージのみを確認します)。
重大度: 高
型: Kubernetes データ プレーン
特権エスカレーションを含むコンテナーは避ける必要がある
説明: Kubernetes クラスター内の root への特権エスカレーションを使用してコンテナーを実行しないでください。 プロセスが親プロセスよりも多くの特権を取得できるかどうかは、AllowPrivilegeEscalation 属性によって制御されます。 (関連ポリシー: Kubernetes クラスターでは、コンテナー特権のエスカレーションを許可しないでください)。
重大度: 中
型: Kubernetes データ プレーン
機密性の高いホストの名前空間を共有するコンテナーは避ける必要がある
説明: コンテナー外の特権エスカレーションから保護するには、Kubernetes クラスター内の機密性の高いホスト名前空間 (ホスト プロセス ID とホスト IPC) へのポッド アクセスを回避します。 (関連ポリシー: Kubernetes クラスター コンテナーは、ホスト プロセス ID またはホスト IPC 名前空間を共有しないでください)。
重大度: 中
型: Kubernetes データ プレーン
コンテナーでは、許可されている AppArmor プロファイルのみを使用する
説明: Kubernetes クラスターで実行されているコンテナーは、許可される AppArmor プロファイルのみに制限する必要があります。 ;AppArmor (Application Armor) は、オペレーティング システムとそのアプリケーションをセキュリティの脅威から保護する Linux セキュリティ モジュールです。 これを使用するには、システム管理者が AppArmor セキュリティ プロファイルを各プログラムに関連付けます。 (関連ポリシー: Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要があります)。
重大度: 高
型: Kubernetes データ プレーン
コンテナーで不変 (読み取り専用) のルート ファイル システムを適用する必要がある
説明: コンテナーは、Kubernetes クラスター内の読み取り専用ルート ファイル システムで実行する必要があります。 不変のファイル システムは、PATH に追加された悪意のあるバイナリによる実行時の変更から、コンテナーを保護します。 (関連ポリシー: Kubernetes クラスター コンテナーは、読み取り専用のルート ファイル システムで実行する必要があります)。
重大度: 中
型: Kubernetes データ プレーン
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある
説明: HTTPS を使用すると、認証が保証され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS) と、AKS Engine および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、「 https://aka.ms/kubepolicydoc 関連ポリシー: Kubernetes クラスターで HTTPS イングレスを適用する」を参照してください。
重大度: 高
型: Kubernetes データ プレーン
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある
説明: 自動マウント API 資格情報を無効にして、侵害された可能性のあるポッド リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぎます。 詳細については、https://aka.ms/kubepolicydocを参照してください。 (関連ポリシー: Kubernetes クラスターでは、API 資格情報の自動マウントを無効にする必要があります)。
重大度: 高
型: Kubernetes データ プレーン
Kubernetes クラスターでは、CAPSYSADMIN セキュリティ機能を許可しない
説明: コンテナーの攻撃対象領域を減らすには、CAP_SYS_ADMIN Linux の機能を制限します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 (関連ポリシーはありません)
重大度: 高
型: Kubernetes データ プレーン
Kubernetes クラスターでは既定の名前空間を使用しない
説明: Kubernetes クラスターで既定の名前空間を使用しないようにして、ConfigMap、Pod、Secret、Service、ServiceAccount のリソースの種類に対する未承認のアクセスから保護します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 (関連ポリシー: Kubernetes クラスターでは、既定の名前空間を使用しないでください)。
重大度: 低
型: Kubernetes データ プレーン
コンテナーで最小限の特権を持つ Linux 機能を適用する必要がある
説明: コンテナーの攻撃対象領域を減らすには、ルート ユーザーのすべての特権を付与せずに、Linux の機能を制限し、コンテナーに特定の特権を付与します。 すべての機能を削除してから、必要な機能を追加することをお勧めします (関連ポリシー: Kubernetes クラスター コンテナーでは、許可された機能のみを使用する必要があります)。
重大度: 中
型: Kubernetes データ プレーン
特権コンテナーの使用を避ける必要がある
説明: 無制限のホスト アクセスを防ぐには、可能な限り特権コンテナーを使用しないでください。
特権コンテナーには、ホスト マシンのすべてのルート機能が含まれています。 攻撃のエントリ ポイントとして使用したり、侵害されたアプリケーション、ホスト、ネットワークに悪意のあるコードやマルウェアを拡散したりすることができます。 (関連ポリシー: Kubernetes クラスターで特権コンテナーを許可しない)。
重大度: 中
型: Kubernetes データ プレーン
コンテナーをルート ユーザーとして実行しない
説明: コンテナーは、Kubernetes クラスターでルート ユーザーとして実行しないでください。 コンテナー内でプロセスをルート ユーザーとして実行すると、それはホスト上のルートとして実行されます。 侵害を受けた場合、攻撃者はコンテナーのルート権限を持つことになり、構成ミスを悪用しやすくなります。 (関連ポリシー: Kubernetes クラスターポッドとコンテナーは、承認済みのユーザー ID とグループ ID でのみ実行する必要があります)。
重大度: 高
型: Kubernetes データ プレーン
サービスは許可されたポートでのみリッスンする必要がある
説明: Kubernetes クラスターの攻撃対象領域を減らすには、構成されたポートへのサービス アクセスを制限することで、クラスターへのアクセスを制限します。 (関連ポリシー: サービスが Kubernetes クラスターで許可されているポートでのみリッスンするようにします)。
重大度: 中
型: Kubernetes データ プレーン
ホスト ネットワークとポートの使用を制限する必要がある
説明: Kubernetes クラスター内のホスト ネットワークと許可されるホスト ポート範囲へのポッド アクセスを制限します。 hostNetwork 属性を有効にして作成されたポッドの間では、ノードのネットワーク領域が共有されます。 セキュリティ侵害を受けたコンテナーによってネットワーク トラフィックがスニッフィングされるのを防ぐため、ホスト ネットワークにはポッドを配置しないことをお勧めします。 ノードのネットワークでコンテナー ポートを公開する必要があり、Kubernetes Service ノード ポートを使用してもニーズが満たされない場合は、ポッド 仕様でコンテナーの hostPort を指定することもできます (関連ポリシー: Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポート範囲のみを使用する必要があります)。
重大度: 中
型: Kubernetes データ プレーン
ポッドの HostPath ボリューム マウントの使用を既知のリストに制限して、侵害されたコンテナーからのノード アクセスを制限する必要がある
説明: Kubernetes クラスター内のポッド HostPath ボリューム マウントを、構成済みの許可されたホスト パスに制限することをお勧めします。 侵害を受けた場合は、コンテナーからのコンテナー ノード アクセスを制限する必要があります。 (関連ポリシー: Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されたホスト パスのみを使用する必要があります)。
重大度: 中
型: Kubernetes データ プレーン
Azure レジストリ コンテナー イメージで脆弱性を解決する必要があります (Qualys を利用)
説明: コンテナー イメージの脆弱性評価では、レジストリでセキュリティの脆弱性がスキャンされ、各イメージの詳細な結果が公開されます。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 (関連ポリシー: Azure Container Registry イメージの脆弱性を修復する必要があります)。
重大度: 高
種類: 脆弱性評価
Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用)
重要
この推奨事項は、提供終了パスに関する情報です。 これは、推奨事項 [[プレビュー] Azure レジストリ内のコンテナー イメージに脆弱性の検出結果が解決されている必要がある](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9) に置き換えられます。
説明: コンテナー イメージの脆弱性評価では、レジストリで一般的に知られている脆弱性 (CVE) がスキャンされ、各イメージの詳細な脆弱性レポートが提供されます。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 (関連ポリシー: Azure Container Registry イメージの脆弱性を修復する必要があります)。
重大度: 高
種類: 脆弱性評価
Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用)
重要
この推奨事項は、提供終了パスに関する情報です。 これは、推奨事項 [[プレビュー] Azure で実行されているコンテナーの脆弱性の結果が解決されている必要があります](#preview-containers-running-in-azure-should-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0)。
説明: コンテナー イメージの脆弱性評価では、レジストリで一般的に知られている脆弱性 (CVE) がスキャンされ、各イメージの詳細な脆弱性レポートが提供されます。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。
重大度: 高
種類: 脆弱性評価
データの推奨事項
(必要に応じて有効にする)Azure Cosmos DB アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります
説明: 保存データの暗号化にカスタマー マネージド キーを使用するおすすめは、既定では評価されませんが、該当するシナリオで有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 CMK 暗号化の詳細については、https://aka.ms/cosmosdb-cmk を参照してください。 (関連ポリシー: Azure Cosmos DB アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります)。
重大度: 低
(必要に応じて有効にする)Azure Machine ラーニング ワークスペースは、カスタマー マネージド キー (CMK) を使用して暗号化する必要があります
説明: 保存データの暗号化にカスタマー マネージド キーを使用するおすすめは、既定では評価されませんが、該当するシナリオで有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 カスタマー マネージド キー (CMK) を使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすためには一般に、CMK が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 CMK 暗号化の詳細については、https://aka.ms/azureml-workspaces-cmk を参照してください。 (関連ポリシー: Azure Machine ラーニング ワークスペースは、カスタマー マネージド キー (CMK) を使用して暗号化する必要があります。
重大度: 低
(必要に応じて有効にする)Cognitive Services アカウントでは、カスタマー マネージド キー (CMK) を使用したデータ暗号化を有効にする必要があります
説明: 保存データの暗号化にカスタマー マネージド キーを使用するおすすめは、既定では評価されませんが、該当するシナリオで有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 カスタマー マネージド キー (CMK) は一般に、規制コンプライアンス基準を満たすために必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーで、Cognitive Services に格納されているデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 CMK 暗号化の詳細については、https://aka.ms/cosmosdb-cmk を参照してください。 (関連ポリシー: Cognitive Services アカウントでカスタマー マネージド キー (CMK) によるデータ暗号化を有効にする必要がある?)
重大度: 低
(必要に応じて有効にする)MySQL サーバーでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある
説明: 保存データの暗号化にカスタマー マネージド キーを使用するおすすめは、既定では評価されませんが、該当するシナリオで有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 カスタマー マネージド キーを使用して、MySQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 (関連ポリシー: MySQL サーバーに対して独自のキー データ保護を有効にする必要があります)。
重大度: 低
(必要に応じて有効にする)PostgreSQL サーバーでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある
説明: 保存データの暗号化にカスタマー マネージド キーを使用するおすすめは、既定では評価されませんが、該当するシナリオで有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 (関連ポリシー: 独自のキー データ保護を PostgreSQL サーバーに対して有効にする必要があります)。
重大度: 低
(必要に応じて有効にする)SQL マネージド インスタンスでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります
説明: 保存データの暗号化にカスタマー マネージド キーを使用するおすすめは、既定では評価されませんが、該当するシナリオで有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 (関連ポリシー: SQL マネージド インスタンスでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります)。
重大度: 低
(必要に応じて有効にする)SQL サーバーでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある
説明: 保存データの暗号化にカスタマー マネージド キーを使用するおすすめは、既定では評価されませんが、該当するシナリオで有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 (関連ポリシー: SQL サーバーでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります)。
重大度: 低
(必要に応じて有効にする)ストレージ アカウントでは、暗号化にカスタマー マネージド キー (CMK) を使用する必要がある
説明: 保存データの暗号化にカスタマー マネージド キーを使用するおすすめは、既定では評価されませんが、該当するシナリオで有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 カスタマー マネージド キー (CMK) を使用して、より柔軟にストレージ アカウントを保護します。 CMK を指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 CMK を使用することで、主要な暗号化キーのローテーションを制御するか、暗号的にデータを消去することができます。 (関連ポリシー: ストレージ アカウントでは、暗号化にカスタマー マネージド キー (CMK) を使用する必要があります。
重大度: 低
SQL マネージド インスタンスの Advanced Data Security 設定で、Advanced Threat Protection のすべての種類を有効にする必要がある
説明: SQL マネージド インスタンスで、すべての種類の Advanced Threat Protection を有効にすることをお勧めします。 すべての種類を有効にすると、SQL インジェクション、データベースの脆弱性、その他の異常なアクティビティから保護されます。 (関連ポリシーはありません)
重大度: 中
SQL Server の Advanced Data Security 設定では、Advanced Threat Protection のすべての種類を有効にする必要があります
説明: SQL サーバー上のすべての高度な脅威保護の種類を有効にすることをお勧めします。 すべての種類を有効にすると、SQL インジェクション、データベースの脆弱性、その他の異常なアクティビティから保護されます。 (関連ポリシーはありません)
重大度: 中
API Management サービスには仮想ネットワークが使用されている必要がある
説明: Azure Virtual Network のデプロイにより、セキュリティが強化され、分離され、アクセスを制御するインターネットにルーティングできないネットワークに API Management サービスを配置できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 (関連ポリシー: API Management サービスでは仮想ネットワークを使用する必要があります)。
重大度: 中
App Configuration ではプライベート リンクを使用する必要がある
説明: Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 (関連ポリシー: App Configuration ではプライベート リンクを使用する必要があります)。
重大度: 中
SQL サーバーの監査のリテンション期間は少なくとも 90 日に設定する必要がある
説明: 監査リテンション期間が 90 日未満で構成された SQL サーバーを監査します。 (関連ポリシー:SQL サーバーでは、90 日以上の監査リテンション期間を構成する必要がある。)
重大度: 低
SQL Server の監査を有効にする必要があります
説明: SQL Server の監査を有効にして、サーバー上のすべてのデータベースのデータベース アクティビティを追跡し、監査ログに保存します。 (関連ポリシー: SQL Server での監査を有効にする必要があります)。
重大度: 低
自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある
説明: セキュリティの脆弱性と脅威を監視するために、Microsoft Defender for Cloud は Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 (関連ポリシー: Log Analytics エージェントの自動プロビジョニングは、サブスクリプションで有効にする必要があります)。
重大度: 低
Azure Cache for Redis は仮想ネットワーク内に存在しなければならない
説明: Azure Virtual Network (VNet) デプロイでは、Azure Cache for Redis のセキュリティと分離が強化され、サブネット、アクセス制御ポリシー、その他の機能が提供され、アクセスがさらに制限されます。 VNet を使用して Azure Cache for Redis インスタンスを構成する場合、パブリックにアドレスを指定することはできないため、VNet 内の仮想マシンとアプリケーションからしかアクセスできません。 (関連ポリシー: Azure Cache for Redis は仮想ネットワーク内に存在する必要があります)。
重大度: 中
Azure Database for MySQL に対して Azure Active Directory の管理者をプロビジョニングする必要がある
説明: Azure AD 認証を有効にするために、Azure Database for MySQL の Azure AD 管理者をプロビジョニングします。 Azure AD 認証を使用すると、データベース ユーザーとその他のMicrosoft サービスのアクセス許可管理と一元化された ID 管理が可能になります (関連ポリシー: MySQL サーバー用に Azure Active Directory 管理者をプロビジョニングする必要があります)。
重大度: 中
Microsoft Azure Active Directory 管理者がプロビジョニングされている必要があるAzure Database for PostgreSQL
説明: Azure AD 認証を有効にするために、Azure Database for PostgreSQL の Azure AD 管理者をプロビジョニングします。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます
(関連ポリシー: Azure Active Directory 管理者は PostgreSQL サーバー用にプロビジョニングする必要があります)。
重大度: 中
Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある
説明: 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントにファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 (関連ポリシー: Azure Cosmos DB アカウントにはファイアウォール規則が必要です)。
重大度: 中
Azure Event Grid ドメインではプライベート リンクを使用する必要がある
説明: Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 (関連ポリシー: Azure Event Grid doメインs should use private link)。
重大度: 中
Azure Event Grid トピックではプライベート リンクを使用する必要がある
説明: Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 (関連ポリシー: Azure Event Grid のトピックではプライベート リンクを使用する必要があります)。
重大度: 中
Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある
説明: Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure Machine Learning ワークスペースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/azureml-workspaces-privatelink を参照してください。 (関連ポリシー: Azure Machine ラーニング ワークスペースではプライベート リンクを使用する必要があります)。
重大度: 中
Azure SignalR Service ではプライベート リンクを使用する必要がある
説明: Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、SignalR リソースにプライベート エンドポイントをマッピングすると、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/asrs/privatelink を参照してください。 (関連ポリシー: Azure SignalR Service ではプライベート リンクを使用する必要があります)。
重大度: 中
Azure Spring Cloud でネットワークの挿入を使用する必要がある
説明: Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークインジェクションを使用する必要があります: 1。 Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 (関連ポリシー: Azure Spring Cloud では、ネットワーク インジェクションを使用する必要があります)。
重大度: 中
SQL サーバーに対して Azure Active Directory の管理者をプロビジョニングする必要がある
説明: AZURE AD 認証を有効にするために、SQL サーバーの Azure AD 管理者をプロビジョニングします。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます。 (関連ポリシー: Azure Active Directory 管理者は SQL サーバー用にプロビジョニングする必要があります)。
重大度: 高
Azure Synapse Analytics ワークスペースで Azure Active Directory 専用認証を有効にする必要がある
説明: Azure Synapse Workspace 認証モードは、Azure Active Directory のみ Azure Active Directory のみの認証方法である必要があります。Synapse ワークスペースで認証に Azure AD ID のみが必要であることを確認することで、セキュリティが向上します。 詳細情報。 (関連ポリシー: Synapse ワークスペースでは、認証に Azure Active Directory ID のみを使用する必要があります)。
重大度: 中
コード リポジトリでコード スキャンの検出結果を解決する必要がある
説明: Defender for DevOps でコード リポジトリに脆弱性が見つかりました。 リポジトリのセキュリティ態勢を改善するために、これらの脆弱性を修復することを強くお勧めします。 (関連ポリシーはありません)
重大度: 中
コード リポジトリで Dependabot スキャンの検出結果を解決する必要がある
説明: Defender for DevOps でコード リポジトリに脆弱性が見つかりました。 リポジトリのセキュリティ態勢を改善するために、これらの脆弱性を修復することを強くお勧めします。 (関連ポリシーはありません)
重大度: 中
コード リポジトリでコードとしてのインフラストラクチャ スキャンの検出結果を解決する必要がある
説明: Defender for DevOps は、リポジトリ内のコード セキュリティ構成の問題としてインフラストラクチャを検出しました。 次に示す問題が、テンプレート ファイルで検出されました。 関連するクラウド リソースのセキュリティ態勢を改善するために、これらの問題を修復することを強くお勧めします。 (関連ポリシーはありません)
重大度: 中
コード リポジトリでシークレット スキャンの検出結果を解決する必要がある
説明: Defender for DevOps がコード リポジトリにシークレットを見つけました。 セキュリティ侵害を防ぐために、ただちにこれを修復する必要があります。 リポジトリで検出されたシークレットは、漏洩する可能性や、敵対者が見つける可能性があり、それによってアプリケーションやサービスが侵害される可能性があります。 Azure DevOps では、Microsoft Security DevOps CredScan ツールによって、このツールが実行されるように構成されているビルドのみがスキャンされます。 そのため、リポジトリ内のシークレットの完全な状態が結果に反映されていない場合があります。 (関連ポリシーはありません)
重大度: 高
Cognitive Services アカウントでデータ暗号化を有効にする必要がある
説明: このポリシーは、データ暗号化を使用していない Cognitive Services アカウントを監査します。 ストレージがある Cognitive Services アカウントについてはそれぞれ、カスタマー マネージドまたは Microsoft マネージドいずれかのキーによるデータ暗号化を有効にする必要があります。 (関連ポリシー: Cognitive Services アカウントでは、データ暗号化を有効にする必要があります)。
重大度: 低
Cognitive Services アカウントで、顧客所有のストレージを使用するか、データ暗号化を有効にする必要がある
説明: このポリシーは、顧客所有のストレージやデータ暗号化を使用していない Cognitive Services アカウントを監査します。 ストレージがある Cognitive Services アカウントについてはそれぞれ、顧客所有のストレージを使用するか、データ暗号化を有効にします。 (関連ポリシー: Cognitive Services アカウントで、顧客所有のストレージを使用するか、データ暗号化を有効にする必要がある)
重大度: 低
Azure Data Lake Store の診断ログを有効にする必要があります
説明: ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシー: Azure Data Lake Store の診断ログを有効にする必要があります)。
重大度: 低
Data Lake Analytics の診断ログを有効にする必要があります
説明: ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシー: Data Lake Analytics の診断ログを有効にする必要があります)。
重大度: 低
重要度 - 高のアラートの電子メール通知を有効にする必要がある
説明: いずれかのサブスクリプションで潜在的なセキュリティ侵害が発生したときに組織内の関連するユーザーに通知されるようにするには、Defender for Cloud で重大度の高いアラートの電子メール通知を有効にします。 (関連ポリシー: 重大度の高いアラートの電子メール通知を有効にする必要があります)。
重大度: 低
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある
説明: サブスクリプションに潜在的なセキュリティ侵害が発生したときにサブスクリプション所有者に通知されるようにするには、Defender for Cloud で重大度の高いアラートの電子メール通知をサブスクリプション所有者に設定します。 (関連ポリシー: 重大度の高いアラートのサブスクリプション所有者への電子メール通知を有効にする必要があります)。
重大度: 中
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない
説明: Azure Database for MySQL では、Secure Sockets Layer (SSL) を使用したクライアント アプリケーションへの Azure Database for MySQL サーバーの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 (関連ポリシー: MySQL データベース サーバーに対して SSL 接続を強制する必要があります)。
重大度: 中
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない
説明: Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用したクライアント アプリケーションへの Azure Database for PostgreSQL サーバーの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 (関連ポリシー: PostgreSQL データベース サーバーに対して SSL 接続を強制する必要があります)。
重大度: 中
関数アプリでは、脆弱性の検出結果が解決されている必要がある
説明: 関数のランタイム脆弱性スキャンでは、関数アプリでセキュリティの脆弱性がスキャンされ、詳細な結果が公開されます。 この脆弱性を解決することで、サーバーレス アプリケーションのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 (関連ポリシーはありません)
重大度: 高
Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある
説明: Azure Database for MariaDB では、データベース サーバーの冗長性オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 (関連ポリシー: Geo 冗長バックアップは、Azure Database for MariaDB で有効にする必要があります)。
重大度: 低
Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある
説明: Azure Database for MySQL では、データベース サーバーの冗長性オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 (関連ポリシー: Geo 冗長バックアップは、Azure Database for MySQL で有効にする必要があります)。
重大度: 低
Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある
説明: Azure Database for PostgreSQL では、データベース サーバーの冗長性オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 (関連ポリシー: Geo 冗長バックアップは、Azure Database for PostgreSQL で有効にする必要があります)。
重大度: 低
GitHub リポジトリでコード スキャンを有効にする必要がある
説明: GitHub では、コード スキャンを使用してコードを分析し、コード内のセキュリティの脆弱性とエラーを見つけます。 コード スキャンを使用すると、コード内の既存の問題を検出、トリアージして、その修正に優先度を付けることができます。 また、コード スキャンによって、開発者が新しい問題を混入するのを防ぐことができます。 特定の日時にスキャンを実行するようにスケジュールすることや、リポジトリで特定のイベント (プッシュなど) が発生した場合にスキャンをトリガーすることができます。 コード スキャンによって、コード内で潜在的な脆弱性やエラーが検出された場合、GitHub では、リポジトリにアラートが表示されます。 脆弱性とは、プロジェクトの秘密性、一貫性、または可用性を損なうために悪用される可能性のある、プロジェクトのコードの問題です。 (関連ポリシーはありません)
重大度: 中
GitHub リポジトリで Dependabot スキャンを有効にする必要がある
説明: GitHub は、リポジトリに影響するコード依存関係の脆弱性を検出すると、Dependabot アラートを送信します。 脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。 セキュリティの脆弱性があるパッケージにコードが依存している場合、この脆弱性のある依存関係が原因で、さまざまな問題が発生する可能性があります。 (関連ポリシーはありません)
重大度: 中
GitHub リポジトリでシークレット スキャンを有効にする必要がある
説明: GitHub は、リポジトリに誤ってコミットされたシークレットの不正使用を防ぐために、既知の種類のシークレットについてリポジトリをスキャンします。 シークレット スキャンでは、GitHub リポジトリ内に存在するすべてのブランチで Git 履歴全体がスキャンされ、シークレットが探されます。 シークレットの例として、サービス プロバイダーが認証のために発行する場合があるトークンと秘密キーがあります。 シークレットがリポジトリにチェックインされると、リポジトリへの読み取りアクセス権を持つすべてのユーザーは、そのシークレットを使用して、それらの権限で外部サービスにアクセスできます。 シークレットは、プロジェクトのリポジトリの外部にある専用の安全な場所に保存する必要があります。 (関連ポリシーはありません)
重大度: 高
Microsoft Defender for Azure SQL Database サーバーを有効にする必要があります
説明: Microsoft Defender for SQL は、高度な SQL セキュリティ機能を提供する統合パッケージです。 データベースの潜在的な脆弱性の検出と軽減、データベースへの脅威を示す可能性がある異常なアクティビティの検出、機密データの検出と分類を行う機能が含まれています。 重要: このプランの保護は、Defender プラン ページに示されているとおりに課金されます。 このサブスクリプションに Azure SQL Database サーバーがない場合、課金されることはありません。 後でこのサブスクリプションに Azure SQL Database サーバーを作成した場合は、自動的に保護され、課金が開始されます。 詳細については、リージョン別の価格の詳細を参照してください。 詳細については、「Microsoft Defender for SQL の概要」を参照してください。 (関連ポリシー: Azure Defender for Azure SQL Database サーバーを有効にする必要があります)。
重大度: 高
Microsoft Defender for DNSを有効にする必要があります
説明: Microsoft Defender for DNS では、Azure リソースからのすべての DNS クエリを継続的に監視することで、クラウド リソースに対する追加の保護レイヤーが提供されます。 Defender for DNS では、DNS 層での不審なアクティビティについて警告します。 詳細については、「Microsoft Defender for DNS の概要」を参照してください。 この Defender プランを有効にすると、料金が発生します。 リージョンごとの価格の詳細については、Defender for Cloud の価格に関するページ「 Defender for Cloud の価格」を参照してください。 (関連ポリシーはありません)
重大度: 高
Microsoft Defender for open-source relational databases を有効にする必要がある
説明: Microsoft Defender for オープンソース リレーショナル データベースは、データベースへのアクセスやデータベースの悪用を試みる、通常とは異なる、害を及ぼす可能性のある試みを示す異常なアクティビティを検出します。 詳細については、「Microsoft Defender for open-source relational databases の概要」を参照してください。
重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 このサブスクリプションにオープンソース リレーショナル データベースがない場合、料金は発生しません。 今後このサブスクリプションにオープンソース リレーショナル データベースを作成すると、それらは自動的に保護され、その時点で料金が発生します。 (関連ポリシーはありません)
重大度: 高
Microsoft Defender for Resource Managerを有効にする必要があります
説明: Microsoft Defender for Resource Manager は、組織内のリソース管理操作を自動的に監視します。 Defender for Cloud では、脅威を検出し、疑わしいアクティビティについて警告します。 詳細については、「Microsoft Defender for Resource Manager の概要」を参照してください。 この Defender プランを有効にすると、料金が発生します。 リージョンごとの価格の詳細については、Defender for Cloud の価格に関するページ「 Defender for Cloud の価格」を参照してください。 (関連ポリシーはありません)
重大度: 高
Microsoft Defender for SQL on machines をワークスペース上で有効にする必要がある
説明: Microsoft Defender for servers は、Windows および Linux マシンの脅威検出と高度な防御を実現します。 ワークスペースではなくサブスクリプションでこの Defender プランを有効にすると、Microsoft Defender for servers の全機能に対する料金がかかりますが、一部のメリットが得られません。 ワークスペースで Microsoft Defender for servers を有効にすると、そのワークスペースに対して報告を行うすべてのマシンに対して Microsoft Defender for servers の料金が発生します (Defender プランを有効にしていないサブスクリプションであっても同様です)。 サブスクリプションで Microsoft Defender for servers も有効にしない限り、それらのマシンでは、Just-In-Time VM アクセス、適応型アプリケーション制御、Azure リソースのネットワーク検出を利用することができません。 詳細については、「Microsoft Defender for servers の概要」を参照してください。 (関連ポリシーはありません)
重大度: 中
マシン上の Microsoft Defender for SQL サーバーを有効にする必要があります
説明: Microsoft Defender for SQL は、高度な SQL セキュリティ機能を提供する統合パッケージです。 データベースの潜在的な脆弱性の検出と軽減、データベースへの脅威を示す可能性がある異常なアクティビティの検出、機密データの検出と分類を行う機能が含まれています。
重要:この推奨事項の修復によって、マシン上の SQL サーバーを保護するための料金が発生します。 このサブスクリプションにマシン上の SQL サーバーがない場合、料金は発生しません。 今後このサブスクリプションにマシン上の SQL サーバーを作成すると、それらは自動的に保護され、その時点で料金が発生します。 詳細については、マシン上の Microsoft Defender for SQL サーバーに関する記事を参照してください。 (関連ポリシー: マシン上の Azure Defender for SQL サーバーを有効にする必要があります)。
重大度: 高
保護されていない Azure SQL サーバーに対して Microsoft Defender for SQLを有効にする必要があります
説明: Microsoft Defender for SQL は、高度な SQL セキュリティ機能を提供する統合パッケージです。 潜在的なデータベースの脆弱性を発見して軽減し、データベースに対する脅威となりうる異常なアクティビティを検出します。 Microsoft Defender for SQL は、リージョンごとの価格の詳細に記載されているとおりに請求されます。 (関連ポリシー: SQL サーバーで高度なデータ セキュリティを有効にする必要があります)。
重大度: 高
保護されていない SQL マネージド インスタンスに対して Microsoft Defender for SQL を有効にする必要がある
説明: Microsoft Defender for SQL は、高度な SQL セキュリティ機能を提供する統合パッケージです。 潜在的なデータベースの脆弱性を発見して軽減し、データベースに対する脅威となりうる異常なアクティビティを検出します。 Microsoft Defender for SQL は、リージョンごとの価格の詳細に記載されているとおりに請求されます。 (関連ポリシー: SQL Managed Instance で高度なデータ セキュリティを有効にする必要があります)。
重大度: 高
Microsoft Defender for Storageを有効にする必要があります
説明: Microsoft Defender for Storage は、ストレージ アカウントにアクセスしたり、ストレージ アカウントを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を検出します。 重要: このプランの保護は、Defender プラン ページに示されているとおりに課金されます。 このサブスクリプションに Azure Storage アカウントがない場合、課金されることはありません。 後でこのサブスクリプションに Azure Storage アカウントを作成した場合は、自動的に保護され、課金が開始されます。 詳細については、リージョン別の価格の詳細を参照してください。 詳細については、「Microsoft Defender for Storage の概要」を参照してください。 (関連ポリシー: Azure Defender for Storage を有効にする必要があります)。
重大度: 高
Network Watcher を有効にする必要がある
説明: Network Watcher は、Azure との間のネットワーク シナリオ レベルで条件を監視および診断できるリージョン サービスです。 シナリオ レベルの監視により、エンドツーエンドのネットワーク レベル ビューで問題を診断できます。 Network Watcher に搭載されているネットワークの診断および監視ツールを使用して、Azure 内のネットワークを把握および診断し、洞察を得ることができます。 (関連ポリシー: Network Watcher を有効にする必要があります)。
重大度: 低
Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある
説明: プライベート エンドポイント接続では、Azure SQL Database へのプライベート接続を有効にすることで、セキュリティで保護された通信が適用されます。 (関連ポリシー: Azure SQL Database のプライベート エンドポイント接続を有効にする必要があります)。
重大度: 中
MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある
説明: プライベート エンドポイント接続では、Azure Database for MariaDB へのプライベート接続を有効にすることで、セキュリティで保護された通信が適用されます。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 (関連ポリシー: MariaDB サーバーに対してプライベート エンドポイントを有効にする必要があります)。
重大度: 中
MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある
説明: プライベート エンドポイント接続では、Azure Database for MySQL へのプライベート接続を有効にすることで、セキュリティで保護された通信が適用されます。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 (関連ポリシー: MySQL サーバーに対してプライベート エンドポイントを有効にする必要があります)。
重大度: 中
PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある
説明: プライベート エンドポイント接続では、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、セキュリティで保護された通信が適用されます。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 (関連ポリシー: PostgreSQL サーバーでプライベート エンドポイントを有効にする必要があります)。
重大度: 中
Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある
説明: パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database にプライベート エンドポイントからのみアクセスできるようにすることで、セキュリティが向上します。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 (関連ポリシー: Azure SQL Database でのパブリック ネットワーク アクセスを無効にする必要があります)。
重大度: 中
MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある
説明: パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、Azure Database for MariaDB にプライベート エンドポイントからのみアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 (関連ポリシー: MariaDB サーバーではパブリック ネットワーク アクセスを無効にする必要があります)。
重大度: 中
MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある
説明: パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、Azure Database for MySQL にプライベート エンドポイントからのみアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 (関連ポリシー: MySQL サーバーではパブリック ネットワーク アクセスを無効にする必要があります)。
重大度: 中
PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある
説明: パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、Azure Database for PostgreSQL にプライベート エンドポイントからのみアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 (関連ポリシー: PostgreSQL サーバーではパブリック ネットワーク アクセスを無効にする必要があります)。
重大度: 中
Redis Cache で SSL 経由のアクセスのみを許可する必要がある
説明: SSL 経由の Redis Cache への接続のみを有効にします。 セキュリティで保護された接続を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します。 (関連ポリシー: Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要があります)。
重大度: 高
SQL データベースでは脆弱性の検出結果を解決する必要がある
説明: SQL 脆弱性評価は、データベースのセキュリティの脆弱性をスキャンし、構成ミス、過剰なアクセス許可、保護されていない機密データなどのベスト プラクティスからの逸脱を公開します。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 詳細情報 (関連ポリシー: SQL データベースの脆弱性を修復する必要があります)。
重大度: 高
SQL マネージド インスタンスでは脆弱性評価を構成する必要がある
説明: 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、修復するのに役立ちます。 (関連ポリシー: SQL Managed Instance で脆弱性評価を有効にする必要があります)。
重大度: 高
マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある
説明: SQL 脆弱性評価は、データベースのセキュリティの脆弱性をスキャンし、構成ミス、過剰なアクセス許可、保護されていない機密データなどのベスト プラクティスからの逸脱を公開します。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 詳細情報 (関連ポリシー: コンピューター上の SQL サーバーの脆弱性を修復する必要があります)。
重大度: 高
SQL サーバーに対して Azure Active Directory の管理者をプロビジョニングする必要がある
説明: AZURE AD 認証を有効にするために、SQL サーバーの Azure AD 管理者をプロビジョニングします。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます。 (関連ポリシー: Azure Active Directory 管理者は SQL サーバー用にプロビジョニングする必要があります)。
重大度: 高
SQL サーバーに脆弱性評価を構成する必要がある
説明: 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、修復するのに役立ちます。 (関連ポリシー: SQL サーバーで脆弱性評価を有効にする必要があります)。
重大度: 高
ストレージ アカウントではプライベート リンク接続を使用する必要がある
説明: プライベート リンクは、ストレージ アカウントへのプライベート接続を提供することで、セキュリティで保護された通信を強制します (関連ポリシー: ストレージ アカウントではプライベート リンク接続を使用する必要があります)。
重大度: 中
ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある
説明: Azure Resource Manager の新機能を利用するには、クラシック デプロイ モデルから既存のデプロイを移行します。 Resource Manager では、アクセス制御 (RBAC) の強化、監査の向上、ARM ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレットのキー コンテナーへのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどのセキュリティ強化が可能になります。 詳細情報 (関連ポリシー: ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要があります)。
重大度: 低
ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある
説明: IP ベースのフィルター処理ではなく、推奨される方法として仮想ネットワーク ルールを使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 (関連ポリシー: ストレージ アカウントでは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要があります)。
重大度: 中
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある
説明: いずれかのサブスクリプションで潜在的なセキュリティ侵害が発生したときに組織内の関連するユーザーに通知されるようにするには、Defender for Cloud から電子メール通知を受信するようにセキュリティ連絡先を設定します。 (関連ポリシー:サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある)
重大度: 低
Transparent Data Encryption を SQL データベース上で有効にする必要がある
説明: 保存データを保護し、コンプライアンス要件を満たすために透過的なデータ暗号化を有効にします (関連ポリシー: SQL データベースでの Transparent Data Encryption を有効にする必要があります)。
重大度: 低
VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある
説明: 仮想ネットワークが構成されていない VM イメージ ビルダー テンプレートを監査します。 仮想ネットワークが構成されていない場合は、代わりにパブリック IP が作成され、使用されます。これは、リソースをインターネットに直接公開し、潜在的な攻撃対象領域を増やす可能性があります。 (関連ポリシー: VM Image Builder テンプレートではプライベート リンクを使用する必要があります)。
重大度: 中
Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある
説明: 着信トラフィックの追加検査のために、公開 Web アプリケーションの前に Azure Web アプリケーション ファイアウォール (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国/リージョン、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 (関連ポリシー: Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要があります。
重大度: 低
Azure Front Door Service サービスに対して Web Application Firewall (WAF) を有効にする必要がある
説明: 着信トラフィックの追加検査のために、公開 Web アプリケーションの前に Azure Web アプリケーション ファイアウォール (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国/リージョン、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 (関連ポリシー:Azure Front Door Service? サービスに対して Web Application Firewall (WAF) を有効にする必要がある)
重大度: 低
Cognitive Services ではプライベート リンクを使用する必要がある
説明: Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細をご覧ください。 (関連ポリシー: Cognitive Services ではプライベート リンクを使用する必要がある)。
重大度: 中
Azure Cosmos DB で公衆ネットワーク アクセスを無効にする必要がある
説明: パブリック ネットワーク アクセスを無効にすると、Cosmos DB アカウントがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 プライベート エンドポイントを作成すると、Cosmos DB アカウントの露出を制限できます。 詳細情報。 (関連ポリシー: Azure Cosmos DB で公衆ネットワーク アクセスを無効にする必要がある)。
重大度: 中
Cosmos DB アカウントでプライベート リンクを使用する必要がある
説明: Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Cosmos DB アカウントにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細をご覧ください。 (関連ポリシー: Cosmos DB アカウントでプライベート リンクを使用する必要がある)。
重大度: 中
Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります
説明: TLS バージョンを 1.2 以降に設定すると、AZURE SQL Database に TLS 1.2 以降を使用するクライアントからのみアクセスできるようにすることで、セキュリティが向上します。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 (関連ポリシー: Azure SQL Database で TLS バージョン 1.2 以降が実行されている必要がある)。
重大度: 中
Azure SQL Managed Instance でパブリック ネットワーク アクセスを無効にする必要がある
説明: Azure SQL Managed Instances でパブリック ネットワーク アクセス (パブリック エンドポイント) を無効にすると、仮想ネットワーク内またはプライベート エンドポイントからのみアクセスできるようにすることで、セキュリティが向上します。 公衆ネットワーク アクセスの詳細をご覧ください。 (関連ポリシー: Azure SQL Managed Instance で公衆ネットワーク アクセスを無効にする必要がある)。
重大度: 中
ストレージ アカウントでは、共有キーのアクセスを禁止する必要がある
説明: ストレージ アカウントの要求を承認するための Azure Active Directory (Azure AD) の監査要件。 既定では、Azure Active Directory の資格情報、または共有キーによる承認用のアカウント アクセス キーを使用して、要求を承認することができます。 これら 2 種類の承認のうち、Azure AD の方が共有キーよりもセキュリテに優れ、使いやすいため、Microsoft ではそちらをお勧めします。 (関連ポリシー: ポリシー)
重大度: 中
ID とアクセスの推奨事項
サブスクリプションに対して、最大 3 人の所有者を指定する必要がある
説明: 侵害された所有者アカウントによる侵害の可能性を減らすには、所有者アカウントの数を最大 3 に制限することをお勧めします (関連ポリシー: サブスクリプションに対して最大 3 人の所有者を指定する必要があります)。
重大度: 高
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。
説明: パスワードのみを使用してユーザーを認証する場合は、攻撃ベクトルを開いたままにします。 ユーザーは、複数のサービスに対して脆弱なパスワードを使用していることがよくあります。 多要素認証 (MFA) を有効にすると、アカウントのセキュリティが向上しますが、ユーザーはシングル サインオン (SSO) を使用してほぼすべてのアプリケーションに対して認証を行えます。 多要素認証は、ユーザーがサインイン プロセス中に別の形式の識別を求めるプロセスです。 たとえば、コードが携帯電話に送信されたり、指紋スキャンを求められたりすることがあります。 侵害や攻撃を防ぐために、Azure リソースの所有者アクセス許可を持つすべてのアカウントに対して MFA を有効にすることをお勧めします。 詳細とよく寄せられる質問については 、サブスクリプション に対する多要素認証 (MFA) の適用の管理 (関連ポリシーなし) をご覧ください。
重大度: 高
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。
説明: パスワードのみを使用してユーザーを認証する場合は、攻撃ベクトルを開いたままにします。 ユーザーは、複数のサービスに対して脆弱なパスワードを使用していることがよくあります。 多要素認証 (MFA) を有効にすると、アカウントのセキュリティが向上しますが、ユーザーはシングル サインオン (SSO) を使用してほぼすべてのアプリケーションに対して認証を行えます。 多要素認証は、ユーザーがサインイン プロセス中に追加の形式の識別を求めるプロセスです。 たとえば、コードが携帯電話に送信されたり、指紋スキャンを求められたりすることがあります。 侵害や攻撃を防ぐために、Azure リソースの読み取りアクセス許可を持つすべてのアカウントに対して MFA を有効にすることをお勧めします。 詳細とよく寄せられる質問については、こちらをご覧 ください。 (関連ポリシーはありません)
重大度: 高
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。
説明: パスワードのみを使用してユーザーを認証する場合は、攻撃ベクトルを開いたままにします。 ユーザーは、複数のサービスに対して脆弱なパスワードを使用していることがよくあります。 多要素認証 (MFA) を有効にすると、アカウントのセキュリティが向上しますが、ユーザーはシングル サインオン (SSO) を使用してほぼすべてのアプリケーションに対して認証を行えます。 多要素認証は、ユーザーがサインイン プロセス中に追加の形式の識別を求めるプロセスです。 たとえば、コードが携帯電話に送信されたり、指紋スキャンを求められたりすることがあります。 侵害や攻撃を防ぐために、Azure リソースの書き込みアクセス許可を持つすべてのアカウントに対して MFA を有効にすることをお勧めします。 詳細とよく寄せられる質問については 、サブスクリプション に対する多要素認証 (MFA) の適用の管理 (関連ポリシーなし) をご覧ください。
重大度: 高
Azure Cosmos DB アカウントで、Azure Active Directory を唯一の認証方法として使用する必要がある
説明: Azure サービスに対して認証を行う最善の方法は、ロールベースのアクセス制御 (RBAC) を使用することです。 RBAC を使用すると、最小特権の原則を維持でき、侵害が発生した場合の効果的な対処法としてアクセス許可を取り消す機能をサポートできます。 唯一の認証方法として RBAC を実施するように Azure Cosmos DB アカウントを構成できます。 実施が構成されると、他のすべてのアクセス方法 (プライマリ/セカンダリ キーとアクセス トークン) が拒否されます。 (関連ポリシーはありません)
重大度: 中
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。
説明: Active Directory でのサインインがブロックされているアカウントは、Azure リソースから削除する必要があります。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。 (関連ポリシーはありません)
重大度: 高
Azure リソースの読み取りおよび書き込みアクセス許可を持つブロックされたアカウントは削除する必要がある
説明: Active Directory でのサインインがブロックされているアカウントは、Azure リソースから削除する必要があります。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。 (関連ポリシーはありません)
重大度: 高
非推奨のアカウントはサブスクリプションから削除する必要がある
説明: サインインがブロックされているユーザー アカウントは、サブスクリプションから削除する必要があります。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。 (関連ポリシー: 非推奨のアカウントはサブスクリプションから削除する必要があります)。
重大度: 高
所有者アクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要がある
説明: サインインがブロックされているユーザー アカウントは、サブスクリプションから削除する必要があります。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。 (関連ポリシー: 所有者のアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります)。
重大度: 高
Key Vault で診断ログを有効にする必要がある
説明: ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシー: Key Vault の診断ログを有効にする必要があります)。
重大度: 低
所有者のアクセス許可がある外部アカウントは、サブスクリプションから削除する必要がある
説明: 異なる doメイン 名 (外部アカウント) を持つ所有者アクセス許可を持つアカウントは、サブスクリプションから削除する必要があります。 これにより、監視されていないアクセスを防止できます。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。 (関連ポリシー: 所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります)。
重大度: 高
読み取りアクセス許可がある外部アカウントは、サブスクリプションから削除する必要がある
説明: 異なる doメイン 名 (外部アカウント) を持つ読み取りアクセス許可を持つアカウントは、サブスクリプションから削除する必要があります。 これにより、監視されていないアクセスを防止できます。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。 (関連ポリシー: 読み取りアクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります)。
重大度: 高
書き込みアクセス許可がある外部アカウントは、サブスクリプションから削除する必要がある
説明: 異なる doメイン 名 (外部アカウント) を持つ書き込みアクセス許可を持つアカウントは、サブスクリプションから削除する必要があります。 これにより、監視されていないアクセスを防止できます。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。 (関連ポリシー: 書き込みアクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります)。
重大度: 高
キー コンテナーでファイアウォールを有効にする必要がある
説明: キー コンテナーのファイアウォールは、承認されていないトラフィックがキー コンテナーに到達するのを防ぎ、シークレットに対して追加の保護レイヤーを提供します。 このファイアウォールを有効にして、許可されたネットワークからのトラフィックのみがキー コンテナーにアクセスできるようにします。 (関連ポリシー: ファイアウォールは Key Vault で有効にする必要があります)。
重大度: 中
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。
説明: Azure Active Directory テナントの外部でプロビジョニングされた所有者アクセス許可を持つアカウント (異なる doメイン 名) は、Azure リソースから削除する必要があります。 ゲスト アカウントは、エンタープライズ テナント ID と同じ標準に管理されません。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。 (関連ポリシーはありません)
重大度: 高
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。
説明: Azure Active Directory テナントの外部でプロビジョニングされた読み取りアクセス許可を持つアカウント (異なる doメイン 名) は、Azure リソースから削除する必要があります。 ゲスト アカウントは、エンタープライズ テナント ID と同じ標準に管理されません。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。 (関連ポリシーはありません)
重大度: 高
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。
説明: Azure Active Directory テナントの外部でプロビジョニングされた書き込みアクセス許可を持つアカウント (異なる doメイン 名) は、Azure リソースから削除する必要があります。 ゲスト アカウントは、エンタープライズ テナント ID と同じ標準に管理されません。 これらのアカウントは、気付かれずにデータにアクセスする方法を見つけようとしている攻撃者の標的になるおそれがあります。 (関連ポリシーはありません)
重大度: 高
Key Vault キーには有効期限が必要である
説明: 暗号化キーには、有効期限が定義されていて、永続的ではない必要があります。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 暗号化キーの有効期限を設定することをお勧めします。 (関連ポリシー: Key Vault キーには有効期限が設定されている必要があります)。
重大度: 高
Key Vault シークレットには有効期限が必要である
説明: シークレットには定義された有効期限を設定し、永続的にすることはできません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 シークレットに有効期限を設定することをお勧めします。 (関連ポリシー: Key Vault シークレットには有効期限が設定されている必要があります)。
重大度: 高
キー コンテナーで消去保護が有効になっている必要がある
説明: キー コンテナーを悪意を持って削除すると、データが完全に失われる可能性があります。 組織内の悪意のある内部関係者が、キー コンテナーの削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 (関連ポリシー: キー コンテナーで消去保護が有効になっている必要があります)。
重大度: 中
キー コンテナーで論理的な削除が有効になっている必要がある
説明: 論理的な削除を有効にせずにキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、および証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 (関連ポリシー: キー コンテナーで論理的な削除が有効になっている必要があります)。
重大度: 高
サブスクリプションに対して所有者アクセス許可があるアカウントでは、MFA を有効にする必要がある
説明: アカウントまたはリソースの侵害を防ぐために、所有者アクセス許可を持つすべてのサブスクリプション アカウントに対して多要素認証 (MFA) を有効にする必要があります。 (関連ポリシー: MFA は、サブスクリプションに対する所有者アクセス許可を持つアカウントで有効にする必要があります)。
重大度: 高
サブスクリプションに対して読み取りアクセス許可があるアカウントでは、MFA を有効にする必要がある
説明: アカウントまたはリソースの侵害を防ぐために、読み取り特権を持つすべてのサブスクリプション アカウントに対して多要素認証 (MFA) を有効にする必要があります。 (関連ポリシー: MFA は、サブスクリプションに対する読み取りアクセス許可を持つアカウントで有効にする必要があります)。
重大度: 高
サブスクリプションに対して書き込みアクセス許可があるアカウントでは、MFA を有効にする必要がある
説明: アカウントまたはリソースの侵害を防ぐために、書き込み特権を持つすべてのサブスクリプション アカウントに対して多要素認証 (MFA) を有効にする必要があります。 (関連ポリシー: MFA は、サブスクリプションに対する書き込みアクセス許可を持つアカウントで有効にする必要があります)。
重大度: 高
Microsoft Defender for Key Vaultを有効にする必要があります
説明: Microsoft Defender for Cloud には、セキュリティ インテリジェンスの追加レイヤーを提供する Microsoft Defender for Key Vault が含まれています。 Microsoft Defender for Key Vault によって、異常であり、害を及ぼす可能性のある、Key Vault アカウントに対するアクセスまたは悪用の試みが検出されます。 重要: このプランの保護は、Defender プラン ページに示されているとおりに課金されます。 このサブスクリプションにキー コンテナーがない場合、課金されることはありません。 後でこのサブスクリプションにキー コンテナーを作成した場合は、自動的に保護され、課金が開始されます。 詳細については、リージョン別の価格の詳細を参照してください。 詳細については、「Microsoft Defender for Key Vault の概要」を参照してください。 (関連ポリシー: Azure Defender for Key Vault を有効にする必要があります)。
重大度: 高
Key Vault 用にプライベート エンドポイントを構成する必要がある
説明: プライベート リンクは、パブリック インターネット経由でトラフィックを送信することなく、Key Vault を Azure リソースに接続する方法を提供します。 プライベート リンクにより、データ流出に対する徹底的な防御が提供されます。 (関連ポリシー: プライベート エンドポイントは Key Vault 用に構成する必要があります)。
重大度: 中
ストレージ アカウントのパブリック アクセスを禁止する必要がある
説明: Azure Storage のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ 上のリスクが発生する可能性があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 (関連ポリシー: ストレージ アカウントのパブリック アクセスを禁止する必要があります)。
重大度: 中
サブスクリプションに複数の所有者が割り当てられている必要がある
説明: 管理者アクセスの冗長性を確保するために、複数のサブスクリプション所有者を指定します。 (関連ポリシー: サブスクリプションに複数の所有者が割り当てられている必要があります)。
重大度: 高
Azure Key Vault に保存されている証明書の有効期間は 12 か月以内にする必要がある
説明: 証明書の有効期間が 12 か月を超えないようにします。 (関連ポリシー: 証明書には、指定された最大有効期間が必要です)。
重大度: 中
Azure のオーバープロビジョニングされた ID には、必要なアクセス許可のみが必要です (プレビュー)
説明: オーバープロビジョニングされた ID、またはアクセス許可を持つ ID を超える場合は、付与されたアクセス許可の多くを使用しないでください。 これらの ID のアクセス許可を定期的に適切にサイズ変更して、アクセス許可の誤用のリスクを軽減します。これは、偶発的または悪意のあるアクセス許可です。 このアクションにより、セキュリティ インシデント中の潜在的な爆発半径が減少します。
重大度: 中
Azure 環境内のスーパー ID を削除する必要がある (プレビュー)
説明: スーパー ID は、管理者アクセス許可を持ち、インフラストラクチャ全体の任意のリソースに対して任意のアクションを実行できる、ユーザー、サービス プリンシパル、サーバーレス関数などの人間またはワークロードの ID です。 スーパー ID は非常に高いリスクです。悪意のあるアクセス許可や偶発的なアクセス許可の誤用により、サービスの中断、サービスの低下、またはデータ漏えいが発生する可能性があります。 スーパー ID は、クラウド インフラストラクチャに大きな脅威を与えます。 スーパー ID が多すぎると、過度のリスクが発生し、侵害発生時の爆発半径が増加する可能性があります。
重大度: 中
Azure 環境内の未使用の ID を削除する必要がある (プレビュー)
説明: 非アクティブな ID は、過去 90 日間にインフラストラクチャ リソースに対して何もアクションを実行していない ID です。 非アクティブな ID は、攻撃者が環境内のタスクにアクセスして実行するために使用される可能性があるため、組織に重大なリスクを及ぼします。
重大度: 中
IoT の推奨事項
既定の IP フィルター ポリシーを拒否にする必要がある
説明: IP フィルター構成には、許可されたトラフィックに対してルールが定義されている必要があり、既定では他のすべてのトラフィックを拒否する必要があります (関連するポリシーはありません)。
重大度: 中
IoT Hub の診断ログを有効にする必要があります
説明: ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシー: IoT Hub の診断ログを有効にする必要があります)。
重大度: 低
認証の資格情報が同一
説明: 複数のデバイスで使用される IoT Hub と同じ認証資格情報。 これは、不正なデバイスが正当なデバイスを偽装していることを示している場合があります。 また、攻撃者によるデバイスの偽装のリスクも公開されます (関連するポリシーはありません)。
重大度: 高
IP フィルター ルールの IP 範囲が広い
説明: 許可 IP フィルター 規則のソース IP 範囲が大きすぎます。 過度に制限の緩いルールでは、悪意のある意図者に IoT ハブが公開される可能性があります (関連するポリシーはありません)。
重大度: 中
ネットワークの推奨事項
ファイアウォールと仮想ネットワークの構成があるストレージ アカウントへのアクセスを制限する必要がある
説明: ストレージ アカウントのファイアウォール設定で、ネットワーク アクセスの設定を確認します。 許可されているネットワークからのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成することをお勧めします。 特定のインターネットまたはオンプレミスのクライアントからの接続を許可するため、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に、アクセス権を付与できます。 (関連ポリシー: ストレージ アカウントはネットワーク アクセスを制限する必要があります)。
重大度: 低
アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある
説明: Defender for Cloud は、以下に示す仮想マシンのインターネット トラフィック通信パターンを分析し、それらに関連付けられている NSG の既存のルールが過度に制限されていると判断し、潜在的な攻撃対象領域が増加します。 これは通常、この IP アドレスがこのリソースと定期的に通信していない場合に発生します。 または、Defender for Cloud の脅威インテリジェンス ソースによって、その IP アドレスが悪意のあるものとしてフラグが付けられています。 詳細については、「アダプティブ ネットワークのセキュリティ強化により、ネットワークのセキュリティ体制を向上させる」を参照してください。 (関連ポリシー: アダプティブ ネットワークのセキュリティ強化に関する推奨事項は、インターネットに接続する仮想マシンに適用する必要があります)。
重大度: 高
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある
説明: Defender for Cloud では、ネットワーク セキュリティ グループの受信規則の一部が制限されすぎていると特定されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 (関連ポリシー: すべてのネットワーク ポートは、仮想マシンに関連付けられているネットワーク セキュリティ グループで制限する必要があります)。
重大度: 高
Azure DDoS Protection Standard を有効にする必要がある
説明: Defender for Cloud は、DDoS 保護サービスによって保護されていない Application Gateway リソースを持つ仮想ネットワークを検出しました。 これらのリソースには、パブリック IP が含まれています。 ネットワークに対する帯域幅消費型攻撃およびプロトコル攻撃の軽減を有効にします。 (関連ポリシー: Azure DDoS Protection Standard を有効にする必要があります)。
重大度: 中
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある
説明: ネットワーク セキュリティ グループ (NSG) を使用して VM へのアクセスを制限することで、潜在的な脅威から VM を保護します。 NSG には、同じサブネット内外の他のインスタンスから VM へのネットワーク トラフィックを許可または拒否するアクセス制御リスト (ACL) ルールの一覧が含まれています。 マシンのセキュリティを可能な限り維持するには、インターネットへの VM のアクセスを必ず制限し、サブネットで NSG を有効にする必要があります。 重大度が "高" の VM は、インターネットに接続する VM です。 (関連ポリシー: インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループで保護する必要があります)。
重大度: 高
仮想マシンでの IP 転送を無効にする必要がある
説明: Defender for Cloud は、一部の仮想マシンで IP 転送が有効になっていることを検出しました。 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 (関連ポリシー: 仮想マシンでの IP 転送を無効にする必要があります)。
重大度: 中
マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要があります
説明: Azure の使用 条件では、Microsoft サーバーまたはネットワークに損害を与えたり、無効にしたり、過負荷にしたり、損なったりする可能性のある方法で Azure サービスを使用することは禁止されています。 この推奨事項には、セキュリティを維持するために閉じる必要がある公開ポートが列挙されます。 また、各ポートに対する潜在的な脅威も示されます。 (関連ポリシーはありません)
重大度: 高
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある
説明: Defender for Cloud は、ネットワーク セキュリティ グループ内の管理ポートに対して、過度に制限の多い受信規則を特定しました。 Just-In-Time のアクセス制御を有効にして、インターネットベースのブルートフォース攻撃から VM を保護します。 詳細については、「Just-In-Time (JIT) VM アクセスについて」を参照してください。 (関連ポリシー: 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御で保護する必要があります)。
重大度: 高
仮想マシンの管理ポートを閉じておく必要がある
説明: オープン リモート管理ポートによって、インターネットベースの攻撃による高レベルのリスクに VM が公開されています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 (関連ポリシー: 管理ポートは仮想マシンで閉じる必要があります)。
重大度: 中
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある
説明: ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することで、インターネットに接続していない仮想マシンを潜在的な脅威から保護します。 NSG には、同じサブネット上にあるかどうかに関係なく、他のインスタンスから VM へのネットワーク トラフィックを許可または拒否するアクセス制御リスト (ACL) ルールの一覧が含まれています。 マシンのセキュリティを可能な限り維持するには、インターネットへの VM のアクセスを必ず制限し、サブネットで NSG を有効にする必要があります。 (関連ポリシー: インターネットに接続していない仮想マシンは、ネットワーク セキュリティ グループで保護する必要があります)。
重大度: 低
ストレージ アカウントへの安全な転送を有効にする必要がある
説明: セキュリティで保護された転送は、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるようにストレージ アカウントに強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します。 (関連ポリシー: ストレージ アカウントへの安全な転送を有効にする必要があります)。
重大度: 高
サブネットはネットワーク セキュリティ グループに関連付けられている必要がある
説明: ネットワーク セキュリティ グループ (NSG) を使用してサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 NSG がサブネットに関連付けられている場合、ACL ルールはそのサブネット内のすべての VM インスタンスと統合サービスに適用されますが、サブネット内の内部トラフィックには適用されません。 同じサブネット内のリソースを相互にセキュリティで保護するには、リソースでも直接 NSG を有効にします。 適用なしとして表示されるサブネットの種類は、GatewaySubnet、AzureFirewallSubnet、AzureBastionSubnet です。 (関連ポリシー: サブネットはネットワーク セキュリティ グループに関連付ける必要があります)。
重大度: 低
仮想ネットワークは、Azure Firewall によって保護する必要がある
説明: 一部の仮想ネットワークはファイアウォールで保護されていません。 Azure Firewall を使用して、仮想ネットワークへのアクセスを制限し、潜在的な脅威を防ぎます。 (関連ポリシー: すべてのインターネット トラフィックは、デプロイされた Azure Firewall 経由でルーティングする必要があります)。
重大度: 低
API に関する推奨事項
Microsoft Defender for API を有効にする必要がある
説明と関連ポリシー: 攻撃やセキュリティの構成ミスから API リソースを検出して保護する Defender for API プランを有効にします。 詳細情報
重大度: 高
Azure API Management API を Defender for API にオンボードする必要がある
説明と関連ポリシー: Defender for API への API のオンボードには、Azure API Management サービスでのコンピューティングとメモリの使用率が必要です。 API のオンボード中に Azure API Management サービスのパフォーマンスを監視し、必要に応じて Azure API Management リソースをスケールアウトします。
重大度: 高
使用されていない API エンドポイントは、無効にし、Azure API Management サービスから削除する必要がある
説明と関連ポリシー: セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは未使用と見なされ、Azure API Management サービスから削除する必要があります。 使用されていない API エンドポイントを保持しておくと、セキュリティ リスクが発生するおそれがあります。 これらは、Azure API Management サービスで非推奨になっているはずが、誤ってアクティブなままになっている API である可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。
重大度: 低
Azure API Management の API エンドポイントを認証する必要がある
説明と関連ポリシー: Azure API Management 内で発行された API エンドポイントは、セキュリティ リスクを最小限に抑えるために認証を適用する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 Azure API Management で発行された API の場合、この推奨事項では、サブスクリプションが必要な API または製品の Azure API Management サブスクリプション キーの存在と、JWT、クライアント証明書、および Microsoft Entra トークンを検証するためのポリシーの実行を検証することで、認証を評価します。 API 呼び出し中にこれらの認証メカニズムがどれも実行されない場合は、API にこの推奨事項が適用されます。
重大度: 高
API の管理に関する推奨事項
API Management サブスクリプションのスコープをすべての API に限定することはできない
説明と関連ポリシー: API Management サブスクリプションは、すべての API ではなく製品または個々の API にスコープを設定する必要があります。そのため、データが過剰に公開される可能性があります。
重大度: 中
API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない
説明と関連ポリシー: API Management では、すべての API 呼び出しのバックエンド サーバー証明書を検証する必要があります。 API のセキュリティを強化するために、SSL 証明書の拇印と名前の検証を有効にしてください。
重大度: 中
API Management の直接管理エンドポイントを有効にしてはならない
説明と関連ポリシー: Azure API Management の直接管理 REST API では、Azure Resource Manager のロールベースのアクセス制御、承認、調整のメカニズムがバイパスされるため、サービスの脆弱性が高まります。
重大度: 低
API Management APIs では暗号化されたプロトコルのみを使用する必要があります
説明と関連ポリシー: API は、HTTPS や WSS などの暗号化されたプロトコルでのみ使用できます。 転送中のデータのセキュリティを確保するために、HTTP や WS などのセキュリティで保護されていないプロトコルは使用しないでください。
重大度: 高
API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある
説明と関連ポリシー: 名前付き値は、各 API Management サービスの名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するために、Azure Key Vault のシークレットの名前付きの値を参照してください。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。
重大度: 中
API Management ではサービス構成エンドポイントへの公衆ネットワーク アクセスを無効にする必要がある
説明と関連ポリシー: API Management サービスのセキュリティを向上させるには、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限します。
重大度: 中
API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある
説明と関連ポリシー: サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以上に設定する必要があります。
重大度: 中
API Management から API バックエンドへの呼び出しは認証する必要がある
説明と関連ポリシー: API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用するかどうかにかかわらず、何らかの形式の認証を使用する必要があります。 Service Fabric バックエンドには適用されません。
重大度: 中
AI に関する推奨事項
Azure Machine Learning ワークスペースのリソース ログを有効にする必要がある (プレビュー)
説明と関連ポリシー: リソース ログを使用すると、セキュリティ インシデントが発生したときやネットワークが侵害されたときに、アクティビティ 証跡を再作成して調査に使用できます。
重大度: 中
Azure Machine Learning ワークスペースで公衆ネットワーク アクセスを無効にする必要がある (プレビュー)
説明と関連ポリシー: パブリック ネットワーク アクセスを無効にすると、コンピューター ラーニング ワークスペースがパブリック インターネット上で公開されないようにすることで、セキュリティが向上します。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細については、「Azure Machine Learning ワークスペース用にプライベート エンドポイントを構成する」を参照してください。
重大度: 中
Azure Machine Learning コンピューティングは仮想ネットワーク内に存在する必要がある (プレビュー)
説明と関連ポリシー: Azure Virtual Networks では、Azure Machine ラーニング コンピューティング クラスターとインスタンス、サブネット、アクセス制御ポリシー、その他の機能のセキュリティと分離が強化され、アクセスがさらに制限されます。 コンピューティングが仮想ネットワークで構成されていると、パブリックなアドレス指定ができなくなり、仮想ネットワーク内の仮想マシンとアプリケーションからのみアクセスできるようになります。
重大度: 中
Azure Machine Learning コンピューティングでローカル認証方法を無効にする必要がある (プレビュー)
説明と関連ポリシー: ローカル認証方法を無効にすると、Machine ラーニング Computes で認証専用の Azure Active Directory ID が必要とされ、セキュリティが向上します。 詳細については、「Azure Machine Learning 用の Azure Policy 規制コンプライアンス コントロール」を参照してください。
重大度: 中
最新のソフトウェア更新プログラムを取得するには、Azure Machine Learning コンピューティング インスタンスを再作成する必要がある (プレビュー)
説明と関連ポリシー: Azure Machine ラーニング コンピューティング インスタンスが、使用可能な最新のオペレーティング システムで実行されていることを確認します。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、「Azure Machine Learning での脆弱性の管理」を参照してください。
重大度: 中
Azure Databricks ワークスペースのリソース ログを有効にする必要がある (プレビュー)
説明と関連ポリシー: リソース ログを使用すると、セキュリティ インシデントが発生したときやネットワークが侵害されたときに、アクティビティ 証跡を再作成して調査に使用できます。
重大度: 中
Azure Databricks ワークスペースではパブリック ネットワーク アクセスを無効にする必要がある (プレビュー)
説明と関連ポリシー: パブリック ネットワーク アクセスを無効にすると、リソースがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 リソースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細については、「Azure Private Link を有効にする」を参照してください。
重大度: 中
Azure Databricks クラスターはパブリック IP を無効にする必要がある (プレビュー)
説明と関連ポリシー: Azure Databricks ワークスペースでクラスターのパブリック IP を無効にすると、クラスターがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 詳細については、「セキュリティで保護されたクラスター接続」を参照してください。
重大度: 中
Azure Databricks ワークスペースは仮想ネットワーク内に存在する必要がある (プレビュー)
説明と関連ポリシー: Azure Virtual Networks は、Azure Databricks ワークスペース、サブネット、アクセス制御ポリシー、その他の機能のセキュリティと分離を強化し、アクセスをさらに制限します。 詳細については、「Azure Virtual Network に Azure Databricks をデプロイする」を参照してください。
重大度: 中
Azure Databricks ワークスペースはプライベート リンクを使用する必要がある (プレビュー)
説明と関連ポリシー: Azure Private Link を使用すると、ソースまたは宛先でパブリック IP アドレスなしで仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Databricks ワークスペースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 詳細については、「Azure portal UI でワークスペースとプライベート エンドポイントを作成する」を参照してください。
重大度: 中
Azure AI Services リソースでネットワーク アクセスを制限する必要がある
説明: ネットワーク アクセスを制限することで、許可されたネットワークのみがサービスにアクセスできることを確認できます。 これは、許可されたネットワークのアプリケーションのみが Azure AI サービス リソースにアクセスできるようにネットワーク ルールを構成することで実現できます。
重大度: 中
Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする)
説明: セキュリティのために、キー アクセス (ローカル認証) を無効にすることをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細情報。
重大度: 中
非推奨のレコメンデーション
サブスクリプションで過剰にプロビジョニングされた ID を調査して、アクセス許可クリープ インデックス (PCI) を削減する必要がある
説明: サブスクリプションで過剰にプロビジョニングされた ID を調査して、アクセス許可の不備インデックス (PCI) を減らし、インフラストラクチャを保護する必要があります。 未使用の危険度の高いアクセス許可の割り当てを削除して、PCI を削減します。 高 PCI は、通常または必要な使用を超えるアクセス許可を持つ ID に関連するリスクを反映します (関連するポリシーはありません)。
重大度: 中
アカウント内の過剰にプロビジョニングされた ID を調査して、Permission Creep Index (PCI) を減らす必要がある
説明: アカウント内の過剰にプロビジョニングされた ID を調査して、アクセス許可のクリープ インデックス (PCI) を減らし、インフラストラクチャを保護する必要があります。 未使用の危険度の高いアクセス許可の割り当てを削除して、PCI を削減します。 高 PCI は、通常の使用または必要な使用を超えるアクセス許可を持つ ID に関連するリスクを反映します。
重大度: 中
App Services へのアクセスを制限する必要がある
説明と関連ポリシー: ネットワーク構成を変更して App Services へのアクセスを制限し、広すぎる範囲からの受信トラフィックを拒否します。 (関連ポリシー: [プレビュー]: App Services へのアクセスを制限する必要があります)。
重大度: 高
IaaS NSG 上の Web アプリケーションに対する規則を強化する必要がある
説明と関連ポリシー: Web アプリケーション ポートに関して過度に制限されている NSG ルールを使用して、Web アプリケーションを実行している仮想マシンのネットワーク セキュリティ グループ (NSG) を強化します。 (関連ポリシー: IaaS 上の Web アプリケーションの NSG ルールを強化する必要があります)。
重大度: 高
Pod Security Policies should be defined to reduce the attack vector by removing unnecessary application privileges(不要なアプリケーション特権を削除してポッドのセキュリティ ポリシーを定義し攻撃ベクトルを減らす必要がある) (プレビュー)
説明と関連ポリシー: ポッド セキュリティ ポリシーを定義して、不要なアプリケーション特権を削除して攻撃ベクトルを減らします。 アクセスが許可されているリソースにのみポッドがアクセスできるようポッドのセキュリティ ポリシーを定義し、構成することが推奨されます。 (関連ポリシー: [プレビュー]: ポッドのセキュリティ ポリシーは Kubernetes Services で定義する必要があります)。
重大度: 中
IoT デバイスの可視性を向上させるために、IoT セキュリティ モジュールの Azure Security Center をインストールする
説明と関連ポリシー: Azure Security Center for IoT セキュリティ モジュールをインストールして、IoT デバイスの可視性を高めます。
重大度: 低
システムの更新プログラムを適用するには、マシンを再起動する必要があります
説明と関連ポリシー: コンピューターを再起動してシステム更新プログラムを適用し、コンピューターを脆弱性から保護します。 (関連ポリシー: システム更新プログラムをコンピューターにインストールする必要があります)。
重大度: 中
お使いのマシンに監視エージェントをインストールする必要があります
説明と関連ポリシー: このアクションにより、選択した仮想マシンに監視エージェントがインストールされます。 エージェントが報告する先のワークスペースを選択します。 (関連ポリシーはありません)
重大度: 高
Web アプリ用に Java を最新バージョンに更新する必要がある
説明と関連ポリシー: セキュリティ上の欠陥のため、または追加機能を含めるために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Java バージョンを Web アプリに使用することをお勧めします。 (関連ポリシー: Web アプリの一部として使用する場合は、"Java バージョン" が最新であることを確認します)。
重大度: 中
関数アプリ用に Python を最新バージョンに更新する必要がある
説明と関連ポリシー: セキュリティ上の欠陥または追加機能を含めるために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 (関連ポリシー: 関数アプリの一部として使用する場合は、'Python バージョン' が最新であることを確認します)。
重大度: 中
Web アプリ用に Python を最新バージョンに更新する必要がある
説明と関連ポリシー: セキュリティ上の欠陥または追加機能を含めるために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを Web アプリに使用することをお勧めします。 (関連ポリシー: Web アプリの一部として使用する場合は、'Python バージョン' が最新であることを確認します)。
重大度: 中
関数アプリ用に Java を最新バージョンに更新する必要がある
説明と関連ポリシー: セキュリティ上の欠陥のため、または追加機能を含めるために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 (関連ポリシー: 関数アプリの一部として使用する場合は、"Java バージョン" が最新であることを確認します)。
重大度: 中
Web アプリ用に PHP を最新バージョンに更新する必要がある
説明と関連ポリシー: セキュリティ上の欠陥のため、または追加機能を含めるために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の PHP バージョンを Web アプリに使用することをお勧めします。 (関連ポリシー: WEB アプリの一部として使用する場合は、'PHP バージョン' が最新であることを確認します)。
重大度: 中
マシンの Endpoint Protection の正常性の問題を解決する必要がある
説明: 仮想マシンのエンドポイント保護の正常性に関する問題を解決して、最新の脅威や脆弱性から保護します。 Defender for Cloud でサポートされている Endpoint Protection ソリューションと Endpoint Protection の評価に関するドキュメントを参照してください。 (関連ポリシーはありません)
重大度: 中
マシンに Endpoint Protection をインストールする必要がある
説明: 脅威や脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 マシンの Endpoint Protection の評価方法の詳細については、「Microsoft Defender for Cloud での Endpoint Protection に関する評価と推奨事項」を参照してください。 (関連ポリシーはありません)
重大度: 高
Cognitive Services アカウントでは公衆ネットワーク アクセスを無効にする必要がある
説明: このポリシーは、パブリック ネットワーク アクセスが有効になっている環境内のすべての Cognitive Services アカウントを監査します。 プライベート エンドポイントからの接続のみが許可されるように、公衆ネットワーク アクセスを無効にする必要があります。 (関連ポリシー: Cognitive Services アカウントではパブリック ネットワーク アクセスを無効にする必要があります)。
重大度: 中