Microsoft クラウド セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアティブの詳細
次の記事では、Azure Policy 規制コンプライアンスの組み込みイニシアティブ定義が、Microsoft クラウド セキュリティ ベンチマーク内のコンプライアンス ドメインとコントロールにどのようにマップされるかについて詳細に説明します。 このコンプライアンス標準の詳細については、Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。 "所有権" については、Azure Policy のポリシー定義に関するページと、「クラウドにおける共同責任」を参照してください。
次のマッピングは、Microsoft クラウド セキュリティ ベンチマークのコントロールに対するものです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、Microsoft クラウド セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアティブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
ネットワークのセキュリティ
ネットワーク セグメント化の境界を確立する
ID: Microsoft クラウド セキュリティ ベンチマーク NS-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | Azure Security Center では、インターネットに接続している仮想マシンのトラフィック パターンを分析し、可能性のある攻撃面を減少させるためにネットワーク セキュリティ グループの規則の推奨事項を提供します | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
ID: Microsoft クラウド セキュリティ ベンチマーク NS-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.0-preview |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| API Management ではサービス構成エンドポイントへの公衆ネットワーク アクセスを無効にする必要がある | API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | Audit、Disabled | 2.0.1 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.0.0 |
| Azure Cosmos DB で公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに CosmosDB アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、CosmosDB アカウントの露出を制限できます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Databricks クラスターはパブリック IP を無効にする必要がある | Azure Databricks ワークスペースでクラスターのパブリック IP を無効にすると、クラスターがパブリック インターネットで公開されないことを保証できるので、セキュリティが向上します。 詳細については、https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Databricks ワークスペースは仮想ネットワーク内に存在する必要があります | Azure Virtual Network は、Azure Databricks ワークスペースに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 詳細については、https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject を参照してください。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Databricks ワークスペースではパブリック ネットワーク アクセスを無効にする必要があります | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 リソースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細については、https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Databricks ワークスペースではプライベート リンクを使用する必要があります | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Databricks ワークスペースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/adbpe を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning コンピューティングは仮想ネットワーク内に存在する必要がある | Azure Virtual Network は、Azure Machine Learning コンピューティングのクラスターおよびインスタンスに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 コンピューティングが仮想ネットワークで構成されていると、パブリックなアドレス指定ができなくなり、仮想ネットワーク内の仮想マシンとアプリケーションからのみアクセスできるようになります。 | Audit、Disabled | 1.0.1 |
| Azure Machine Learning ワークスペースで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、Machine Learning ワークスペースがパブリック インターネットに公開されないようになり、セキュリティが向上します。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit、Deny、Disabled | 2.0.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Spring Cloud でネットワークの挿入を使用する必要がある | Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 | Audit, Disabled, Deny | 1.2.0 |
| Azure SQL Managed Instance でパブリック ネットワーク アクセスを無効にする必要がある | 仮想ネットワーク内またはプライベート エンドポイント経由からのみアクセスできるようにして、Azure SQL Managed Instance でパブリック ネットワーク アクセス (パブリック エンドポイント) を無効にすると、セキュリティが向上します。 パブリック ネットワーク アクセスについて詳しくは、https://aka.ms/mi-public-endpoint をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Cognitive Services アカウントでパブリック ネットワーク アクセスを無効にする必要がある | Cognitive Services アカウントのセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 https://go.microsoft.com/fwlink/?linkid=2129800 の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 3.0.1 |
| Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.0 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、および https://aka.ms/acr/vnet を参照してください。 | Audit、Deny、Disabled | 2.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | Audit、Deny、Disabled | 2.0.0 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
エンタープライズ ネットワークのエッジでファイアウォールをデプロイする
ID: Microsoft クラウド セキュリティ ベンチマーク NS-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
DDoS 保護を展開する
ID: Microsoft クラウド セキュリティ ベンチマーク NS-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection を有効にする必要があります | パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 | AuditIfNotExists、Disabled | 3.0.1 |
Web アプリケーション ファイアウォールをデプロイする
ID: Microsoft クラウド セキュリティ ベンチマーク NS-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
ネットワーク セキュリティの構成を簡略化する
ID: Microsoft クラウド セキュリティ ベンチマーク NS-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | Azure Security Center では、インターネットに接続している仮想マシンのトラフィック パターンを分析し、可能性のある攻撃面を減少させるためにネットワーク セキュリティ グループの規則の推奨事項を提供します | AuditIfNotExists、Disabled | 3.0.0 |
セキュリティで保護されていないサービスとプロトコルを検出して無効にする
ID: Microsoft クラウド セキュリティ ベンチマーク NS-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
ID 管理
一元的な ID および認証システムを使用する
ID: Microsoft クラウド セキュリティ ベンチマーク IM-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| PostgreSQL サーバーに対して Microsoft Entra 管理者をプロビジョニングする必要がある | PostgreSQL サーバーに対する Microsoft Entra 管理者のプロビジョニングを監査して、Microsoft Entra 認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.1 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure Machine Learning コンピューティングでローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Machine Learning コンピューティングで認証専用の Azure Active Directory ID が必要になり、セキュリティが向上します。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 | Audit、Deny、Disabled | 2.1.0 |
| Azure SQL Database で Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Azure SQL 論理サーバーに要求します。 このポリシーでは、ローカル認証が有効なサーバーが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Database では作成時に Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使って Azure SQL 論理サーバーを作成することを要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| Azure SQL Managed Instance で Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Azure SQL Managed Instance に要求します。 このポリシーでは、ローカル認証が有効な Azure SQL Managed Instance が作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Managed Instance では作成時に Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使って Azure SQL Managed Instance を作成するように要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| Cosmos DB データベース アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントでは、共有キーのアクセスを禁止する必要がある | ストレージ アカウントの要求を承認するための Azure Active Directory (Azure AD) の監査要件。 既定では、Azure Active Directory の資格情報、または共有キーによる承認用のアカウント アクセス キーを使用して、要求を承認することができます。 これら 2 種類の承認では、Azure AD の方がセキュリティが優れ、共有キーより使いやすいので、Microsoft ではそちらをお勧めします。 | Audit、Deny、Disabled | 2.0.0 |
| Synapse ワークスペースでは Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Synapse ワークスペースに要求します。 このポリシーでは、ローカル認証が有効なワークスペースが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse ワークスペースはワークスペース作成時に認証に Microsoft Entra の ID のみを使用する必要がある | Microsoft Entra 専用認証を使って Synapse ワークスペースを作成するように要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある | ローカル認証方法を無効にすると、VPN ゲートウェイで Azure Active Directory ID のみが認証に利用されることになり、セキュリティが向上します。 Azure AD 認証の詳細は https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant で確認してください | Audit、Deny、Disabled | 1.0.0 |
アプリケーション ID を安全かつ自動的に管理する
ID: Microsoft クラウド セキュリティ ベンチマーク IM-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
サーバーとサービスを認証する
ID: Microsoft クラウド セキュリティ ベンチマーク IM-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure API Management の API エンドポイントを認証する必要がある | Azure API Management 内で公開されている API エンドポイントでは、セキュリティ リスクを最小限に抑えるために認証を実施する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 OWASP API Threat for Broken ユーザー認証 の詳細については、こちらを参照してください: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists、Disabled | 1.0.1 |
| API Management から API バックエンドへの呼び出しは認証する必要がある | API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用するかどうかにかかわらず、何らかの形式の認証を使用する必要があります。 Service Fabric バックエンドには適用されません。 | Audit, Disabled, Deny | 1.0.1 |
| API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない | API セキュリティを改善するために、API Management では、すべての API 呼び出しのバックエンド サーバー証明書を検証する必要があります。 SSL 証明書のサムプリントと名前の検証を有効にします。 | Audit, Disabled, Deny | 1.0.2 |
| Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります | TLS バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | Audit, Disabled, Deny | 2.0.0 |
強力な認証制御を使用する
ID: Microsoft クラウド セキュリティ ベンチマーク IM-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
資格情報とシークレットの公開を制限する
ID: Microsoft クラウド セキュリティ ベンチマーク IM-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある | サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以上に設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するには、Azure Key Vault からシークレットの名前付きの値を参照します。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。 | Audit, Disabled, Deny | 1.0.2 |
| マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists、Disabled | 1.0.2 |
特権アクセス
高い特権を持つ/管理者ユーザーを分離して制限する
ID: Microsoft クラウド セキュリティ ベンチマーク PA-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
アカウントとアクセス許可の継続的なアクセスを避ける
ID: Microsoft クラウド セキュリティ ベンチマーク PA-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
ユーザー アクセスを定期的に確認して調整する
ID: Microsoft クラウド セキュリティ ベンチマーク PA-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Just Enough Administration (最小限の特権) の原則に従う
ID: Microsoft クラウド セキュリティ ベンチマーク PA-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| API Management サブスクリプションのスコープをすべての API に限定することはできない | API Management サブスクリプションは、すべての API ではなく、製品または個々の API にスコープを設定する必要があります。 | Audit, Disabled, Deny | 1.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、Azure ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 | Audit、Disabled | 1.0.3 |
データ保護
機密データを検出、分類、ラベル付けする
ID: Microsoft クラウド セキュリティ ベンチマーク DP-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists、Disabled | 1.0.3 |
機密データを対象とする異常と脅威を監視する
ID: Microsoft クラウド セキュリティ ベンチマーク DP-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない SQL Managed Instance に対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
転送中の機密データを暗号化する
ID: Microsoft クラウド セキュリティ ベンチマーク DP-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Stack HCI システムでホストと VM ネットワークを保護する必要がある | Azure Stack HCI ホストのネットワーク上と仮想マシン ネットワーク接続上のデータを保護します。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| API Management APIs では暗号化されたプロトコルのみを使用する必要があります | 転送中のデータのセキュリティを確保するために、HTTPS や WSS などの暗号化されたプロトコル経由でのみ API を使用できるようにする必要があります。 HTTP や WS などのセキュリティで保護されていないプロトコルの使用は避けてください。 | Audit, Disabled, Deny | 2.0.2 |
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
| App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります | TLS バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | Audit, Disabled, Deny | 2.0.0 |
| MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| 関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
| 関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.1.0 |
| Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
保存データの暗号化を既定で有効にする
ID: Microsoft クラウド セキュリティ ベンチマーク DP-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Linux 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 既定では、仮想マシンの OS とデータ ディスクは、プラットフォーム マネージド キーを使用して保存時に暗号化されます。一時ディスクとデータ キャッシュは暗号化されません。また、データがコンピューティング リソースとストレージ リソース間でやり取りされる際には暗号化されません。 このデータをすべて暗号化するには、Azure Disk Encryption か EncryptionAtHost を使用します。暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
| [プレビュー]: Windows 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 既定では、仮想マシンの OS とデータ ディスクは、プラットフォーム マネージド キーを使用して保存時に暗号化されます。一時ディスクとデータ キャッシュは暗号化されません。また、データがコンピューティング リソースとストレージ リソース間でやり取りされる際には暗号化されません。 このデータをすべて暗号化するには、Azure Disk Encryption か EncryptionAtHost を使用します。暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.1.0-preview |
| MySQL サーバーに対して Microsoft Entra 管理者をプロビジョニングする必要がある | MySQL サーバーに対して Microsoft Entra 管理者のプロビジョニングを監査して、Microsoft Entra 認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.1.1 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| Azure MySQL フレキシブル サーバーで Microsoft Entra 専用認証を有効にする必要がある | ローカル認証方法を無効にして Microsoft Entra 認証のみを許可すると、Azure MySQL フレキシブル サーバーへは Microsoft Entra の ID のみでアクセスできるようになるため、セキュリティが向上します。 | AuditIfNotExists、Disabled | 1.0.1 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れているデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化を使用している場合。または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 Azure Disk Storage のサーバー側暗号化の詳細は、https://aka.ms/disksse、さまざまなディスク暗号化オファリングhttps://aka.ms/diskencryptioncomparisonを参照してください。 | AuditIfNotExists、Disabled | 2.0.3 |
必要に応じて保存データの暗号化でお客様が管理するキー オプションを使用する
ID: Microsoft クラウド セキュリティ ベンチマーク DP-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Stack HCI システムでは暗号化されたボリュームを使用する必要がある | BitLocker を使って Azure Stack HCI システム上の OS とデータのボリュームを暗号化します。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.3 |
| Cognitive Services アカウントでカスタマー マネージド キーによるデータ暗号化を有効にする必要がある | 規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用して、Cognitive Services に格納されているデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 カスタマー マネージド キーの詳細については、https://go.microsoft.com/fwlink/?linkid=2121321 をご覧ください。 | Audit、Deny、Disabled | 2.1.0 |
| コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 | Audit、Deny、Disabled | 1.1.2 |
| MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、MySQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
| PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
| SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.0 |
| SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Disabled | 1.0.3 |
セキュリティで保護されたキー管理プロセスを使用する
ID: Microsoft クラウド セキュリティ ベンチマーク DP-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するには、Azure Key Vault からシークレットの名前付きの値を参照します。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。 | Audit, Disabled, Deny | 1.0.2 |
| Key Vault キーには有効期限が必要である | 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault シークレットには有効期限が必要である | シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
セキュリティで保護された証明書管理プロセスを使用する
ID: Microsoft クラウド セキュリティ ベンチマーク DP-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 証明書には最長有効期間を指定する必要がある | キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
キーおよび証明書リポジトリのセキュリティを確保する
ID: Microsoft クラウド セキュリティ ベンチマーク DP-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
| キー コンテナーで論理的な削除が有効になっている必要がある | 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 | Audit、Deny、Disabled | 3.0.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
アセット管理
承認済みのサービスのみを使用する
ID: Microsoft クラウド セキュリティ ベンチマーク AM-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure API Management プラットフォームのバージョンは stv2 である必要がある | Azure API Management stv1 コンピューティング プラットフォームのバージョンは 2024 年 8 月 31 日をもって廃止され、引き続きサポートするには、これらのインスタンスを stv2 コンピューティング プラットフォームに移行する必要があります。 詳細については、https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 を参照してください | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
アセット ライフサイクル管理のセキュリティを確保する
ID: Microsoft クラウド セキュリティ ベンチマーク AM-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 使用されていない API エンドポイントは、無効にし、Azure API Management サービスから削除する必要があります | セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは使用されていないと見なされるため、Azure API Management サービスから削除する必要があります。 未使用の API エンドポイントを保持すると、組織にセキュリティ上のリスクが発生する可能性があります。 これらは、Azure API Management サービスで非推奨になっているはずが、誤ってアクティブなままになっている API である可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。 | AuditIfNotExists、Disabled | 1.0.1 |
承認されたアプリケーションのみを仮想マシンで使用する
ID: Microsoft クラウド セキュリティ ベンチマーク AM-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | Azure Security Center の適応型アプリケーション制御によって監査用に構成されているマシン グループでの動作の変更を監視します。 Security Center では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。 | AuditIfNotExists、Disabled | 3.0.0 |
ログと脅威検出
脅威検出機能を有効にする
ID: Microsoft クラウド セキュリティ ベンチマーク LT-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 | Audit、Disabled | 2.0.1 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists、Disabled | 1.0.0 |
| ARC 対応 SQL Server では、Microsoft Defender for SQL の状態を保護する必要がある | Microsoft Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 有効にすると、保護状態により、リソースがアクティブに監視されていることが示されます。 Defender が有効になっている場合でも、エージェント、マシン、ワークスペース、SQL サーバーで複数の構成設定を検証し、アクティブな保護を確認する必要があります。 | Audit、Disabled | 1.0.1 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: https://aka.ms/SQLAMAMigration | AuditIfNotExists、Disabled | 1.0.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
ID およびアクセス管理の脅威検出を有効にする
ID: Microsoft クラウド セキュリティ ベンチマーク LT-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 | Audit、Disabled | 2.0.1 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists、Disabled | 1.0.0 |
| ARC 対応 SQL Server では、Microsoft Defender for SQL の状態を保護する必要がある | Microsoft Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 有効にすると、保護状態により、リソースがアクティブに監視されていることが示されます。 Defender が有効になっている場合でも、エージェント、マシン、ワークスペース、SQL サーバーで複数の構成設定を検証し、アクティブな保護を確認する必要があります。 | Audit、Disabled | 1.0.1 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: https://aka.ms/SQLAMAMigration | AuditIfNotExists、Disabled | 1.0.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
セキュリティ調査のためのログを有効にする
ID: Microsoft クラウド セキュリティ ベンチマーク LT-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Azure Databricks ワークスペースのリソース ログを有効にする必要があります | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Kubernetes Service でリソース ログを有効にする必要がある | Azure Kubernetes Service のリソース ログは、セキュリティ インシデントを調査するときにアクティビティ証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Machine Learning ワークスペースのリソース ログを有効にする必要があります | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| IoT Hub のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 3.1.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
セキュリティ調査のためのネットワーク ログを有効にする
ID: Microsoft クラウド セキュリティ ベンチマーク LT-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
セキュリティ ログの管理と分析を一元化する
ID: Microsoft クラウド セキュリティ ベンチマーク LT-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Linux Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Windows Azure Arc マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1-preview |
| サブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 | AuditIfNotExists、Disabled | 1.0.1 |
| Linux マシンには Azure Arc 上に Log Analytics エージェントがインストールされている必要がある | Azure Arc 対応 Linux サーバー上に Log Analytics エージェントがインストールされていない場合、マシンは準拠していません。 | AuditIfNotExists、Disabled | 1.1.0 |
| Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | このポリシーは、Log Analytics エージェントがインストールされていない場合にすべての Windows または Linux 仮想マシン (VM) を監査します。Security Center ではこれを使用してセキュリティの脆弱性や脅威を監視します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Windows マシンには Azure Arc 上に Log Analytics エージェントがインストールされている必要がある | Azure Arc が有効な Windows サーバー上に Log Analytics エージェントがインストールされていない場合、マシンは準拠していません。 | AuditIfNotExists、Disabled | 2.0.0 |
ログの保持期間を構成する
ID: Microsoft クラウド セキュリティ ベンチマーク LT-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 3.0.0 |
インシデント対応
準備 - インシデント通知を設定する
ID: Microsoft クラウド セキュリティ ベンチマーク IR-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.0.1 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
検出と分析 - 高品質のアラートに基づいてインシデントを作成する
ID: Microsoft クラウド セキュリティ ベンチマーク IR-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists、Disabled | 1.0.0 |
| ARC 対応 SQL Server では、Microsoft Defender for SQL の状態を保護する必要がある | Microsoft Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 有効にすると、保護状態により、リソースがアクティブに監視されていることが示されます。 Defender が有効になっている場合でも、エージェント、マシン、ワークスペース、SQL サーバーで複数の構成設定を検証し、アクティブな保護を確認する必要があります。 | Audit、Disabled | 1.0.1 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: https://aka.ms/SQLAMAMigration | AuditIfNotExists、Disabled | 1.0.0 |
検出と分析 - インシデントを調査する
ID: Microsoft クラウド セキュリティ ベンチマーク IR-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
検出と分析 - インシデントの優先順位を付ける
ID: Microsoft クラウド セキュリティ ベンチマーク IR-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープンソース リレーショナル データベース用 Azure Defender の機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists、Disabled | 1.0.0 |
| ARC 対応 SQL Server では、Microsoft Defender for SQL の状態を保護する必要がある | Microsoft Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 有効にすると、保護状態により、リソースがアクティブに監視されていることが示されます。 Defender が有効になっている場合でも、エージェント、マシン、ワークスペース、SQL サーバーで複数の構成設定を検証し、アクティブな保護を確認する必要があります。 | Audit、Disabled | 1.0.1 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: https://aka.ms/SQLAMAMigration | AuditIfNotExists、Disabled | 1.0.0 |
体制と脆弱性の管理
セキュリティで保護された構成を監査して適用する
ID: Microsoft クラウド セキュリティ ベンチマーク PV-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Http 2.0 はクライアント証明書をサポートしていないため、このポリシーは同じ名前の新しいポリシーに置き換えられました。 | Audit、Disabled | 3.1.0 (非推奨) |
| API Management の直接管理エンドポイントを有効にしてはならない | Azure API Management の直接管理 REST API を使用すると、Azure Resource Manager のロールベースのアクセス制御、承認、調整メカニズムがバイパスされるため、サービスの脆弱性が高まります。 | Audit, Disabled, Deny | 1.0.2 |
| API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある | サービス シークレットが読み取り専用ユーザーと共有されないようにするには、API の最小バージョンを 2019-12-01 以上に設定する必要があります。 | Audit、Deny、Disabled | 1.0.1 |
| App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| Azure API Management プラットフォームのバージョンは stv2 である必要がある | Azure API Management stv1 コンピューティング プラットフォームのバージョンは 2024 年 8 月 31 日をもって廃止され、引き続きサポートするには、これらのインスタンスを stv2 コンピューティング プラットフォームに移行する必要があります。 詳細については、https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 を参照してください | Audit、Deny、Disabled | 1.0.0 |
| Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある | Azure Arc 用の Azure Policy 拡張機能を使用すると、大規模な適用や、一元化された一貫性のある方法による Arc 対応 Kubernetes クラスターの保護が可能です。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 | AuditIfNotExists、Disabled | 1.1.0 |
| 最新のソフトウェア更新プログラムを取得するには、Azure Machine Learning コンピューティング インスタンスを再作成する必要がある | Azure Machine Learning コンピューティング インスタンスが利用可能な最新のオペレーティング システムで実行されていることを確実にします。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、https://aka.ms/azureml-ci-updates/ を参照してください。 | [parameters('effects')] | 1.0.3 |
| Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 | Audit、Disabled | 1.0.2 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 | |
| コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.1 | |
| Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.0 | |
| 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 | |
| Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.1 |
| Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.1 |
| Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.0 |
| Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.1.0 |
| Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.1.0 |
| Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.1.0 |
| Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.0 |
| Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
| Kubernetes クラスターでは既定の名前空間を使用しない | ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.1.0 |
コンピューティング リソースにセキュリティで保護された構成を監査して適用する
ID: Microsoft クラウド セキュリティ ベンチマーク PV-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Stack HCI サーバーは、アプリケーション制御ポリシーを一貫して適用する必要がある | 少なくとも、すべての Azure Stack HCI サーバーで Microsoft WDAC 基本ポリシーを強制モードで適用します。 適用される Windows Defender アプリケーション制御 (WDAC) ポリシーは、同じクラスター内のサーバー間で一貫している必要があります。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: Azure Stack HCI サーバーは、セキュリティで保護されたコアの要件を満たす必要がある | セキュリティで保護されたコアの要件を、すべての Azure Stack HCI サーバーが満たしていることを確認します。 セキュリティで保護されたコア サーバーの要件を有効にするには: 1. Azure Stack HCI クラスター ページから Windows Admin Center に移動し、[接続] を選びます。 2. セキュリティ拡張機能に移動し、セキュリティで保護されたコアを選びます。 3. 有効になっていない設定を選び、[有効] をクリックします。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 5.1.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 4.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 3.1.0-preview |
| [プレビュー]: Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある | すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloud によって、お客様が所有する 1 台以上の Linux マシンで信頼されていない OS ブート コンポーネントが特定されました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートされる Windows 仮想マシンでセキュア ブートを有効にします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | Audit、Disabled | 4.0.0-preview |
| [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 | Audit、Disabled | 2.0.0-preview |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
| Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.2.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
| Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
脆弱性評価を実行する
ID: Microsoft クラウド セキュリティ ベンチマーク PV-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists、Disabled | 1.0.2 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
脆弱性を迅速かつ自動的に修復する
ID: Microsoft クラウド セキュリティ ベンチマーク PV-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) | お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 |
| 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 AssessmentMode プロパティの詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | Audit、Deny、Disabled | 3.7.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | お使いの Windows と Linux の仮想マシン スケール セットが確実にセキュリティで保護されるようにするため、インストールする必要のあるシステムのセキュリティ更新プログラムおよび重要な更新プログラムが不足していないかどうかを監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
| コンテナーのセキュリティ構成の脆弱性を修復する必要があります | Docker がインストールされているマシンのセキュリティ構成の脆弱性を監査し、Azure Security Center で推奨事項として表示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
| 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 攻撃から保護するため、お使いの仮想マシン スケール セットの OS 脆弱性を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
エンドポイント セキュリティ
エンドポイントでの検出と対応 (EDR) を使用する
ID: Microsoft クラウド セキュリティ ベンチマーク ES-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
最新のマルウェア対策ソフトウェアを使用する
ID: Microsoft クラウド セキュリティ ベンチマーク ES-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| エンドポイント保護をマシンにインストールする必要がある | 脅威と脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 | AuditIfNotExists、Disabled | 1.0.0 |
| エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 脅威と脆弱性から保護するため、お使いの仮想マシン スケール セットでのエンドポイント保護ソリューションの存在と正常性を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
マルウェア対策ソフトウェアと署名が確実に更新されるようにする
ID: Microsoft クラウド セキュリティ ベンチマーク ES-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
バックアップと回復
定期的な自動バックアップを保証する
ID: Microsoft クラウド セキュリティ ベンチマーク BR-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
バックアップおよび回復データを保護する
ID: Microsoft クラウド セキュリティ ベンチマーク BR-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
DevOps セキュリティ
DevOps ライフサイクル全体を通してワークロードのセキュリティを確保する
ID: Microsoft クラウド セキュリティ ベンチマーク DS-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 |
| コンテナーのセキュリティ構成の脆弱性を修復する必要があります | Docker がインストールされているマシンのセキュリティ構成の脆弱性を監査し、Azure Security Center で推奨事項として表示します。 | AuditIfNotExists、Disabled | 3.0.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。