CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government) 規制コンプライアンスの組み込みイニシアチブの詳細
次の記事では、Azure Policy 規制コンプライアンスの組み込みイニシアチブの定義が、CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government) のコンプライアンス ドメインとコントロールにどのように対応するのかについて詳しく説明します。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。 "所有権" については、Azure Policy のポリシー定義に関するページと、「クラウドにおける共同責任」を参照してください。
次のマッピングは、CIS Microsoft Azure Foundations Benchmark 1.3.0 コントロールへのマッピングです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、 [CIS Microsoft Azure Foundations Benchmark v1.3.0] 規制コンプライアンスの組み込みイニシアチブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
1 ID およびアクセス管理
特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
特権のないすべてのユーザーに対して多要素認証が有効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
ゲスト ユーザーを毎月見直す
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
2 Security Center
サーバーに対して Azure Defender がオンに設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
[監視エージェントの自動プロビジョニング] が [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.11 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 | AuditIfNotExists、Disabled | 1.0.1 |
セキュリティ連絡先の電子メールと共に "追加のメール アドレス" が構成されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.13 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
[次の重要度のアラートについて通知します] が [高] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.14 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.0.1 |
Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
ストレージに対して Azure Defender がオンに設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
Kubernetes に対して Azure Defender がオンに設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
3 ストレージ アカウント
[安全な転送が必要] が [有効] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
ストレージ アカウントの既定のネットワーク アクセス ルールが拒否に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ストレージ アカウントは、信頼された Microsoft サービスからのアクセスを許可する必要がある | ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。 この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。 | Audit、Deny、Disabled | 1.0.0 |
重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Disabled | 1.0.3 |
4 データベース サービス
[監査] が [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
SQL Database の [データ暗号化] が [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
"監査" 保持期間が "90 日を超える" ことを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 3.0.0 |
SQL サーバーの Advanced Threat Protection (ATP) が [有効] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
ストレージ アカウントを設定することによって SQL サーバーの脆弱性評価 (VA) が有効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| PostgreSQL データベース サーバーではログ チェックポイントが有効でなければならない | このポリシーは、log_checkpoints 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| PostgreSQL データベース サーバーではログ接続が有効でなければならない | このポリシーは、log_connections 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| PostgreSQL データベース サーバーの切断はログに記録する必要がある。 | このポリシーは、log_disconnections が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.0 |
サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| PostgreSQL データベース サーバーでは接続の調整が有効でなければならない | このポリシーは、接続の帯域幅調整が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 この設定により、無効なパスワード ログイン エラーが多すぎる場合に、IP ごとに一時的な接続の帯域幅調整を行うことができます。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Active Directory 管理者が構成されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.0 |
| SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.1 |
5 ログ記録と監視
アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある | このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時の Azure Storage 暗号化の詳細については、 https://aka.ms/azurestoragebyok をご覧ください。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure KeyVault のログ記録が [有効] になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
"ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
"ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
"ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
"SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
6 ネットワーク
Network Watcher が [有効] になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 6.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
7 Virtual Machines
Virtual Machines で Managed Disks が利用されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
"OS およびデータ" のディスクが CMK で暗号化されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れているデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化を使用している場合。または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 Azure Disk Storage のサーバー側暗号化の詳細は、https://aka.ms/disksse、さまざまなディスク暗号化オファリングhttps://aka.ms/diskencryptioncomparisonを参照してください。 | AuditIfNotExists、Disabled | 2.0.3 |
承認済みの拡張機能のみがインストールされていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| インストールする必要があるのは、許可されている VM 拡張機能のみ | このポリシーは、承認されていない仮想マシン拡張機能を制御します。 | Audit、Deny、Disabled | 1.0.0 |
すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
すべての仮想マシンの Endpoint Protection がインストールされていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
8 その他のセキュリティの考慮事項
キー コンテナーが回復可能であることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、Azure ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 | Audit、Disabled | 1.0.3 |
9 App Service
Azure App Service に App Service 認証が設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 2.0.1 |
| 関数アプリでは認証を有効にする必要がある | Azure App Service 認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、トークンを保持するものを関数アプリへの到達前に認証したりできる機能です。 | AuditIfNotExists、Disabled | 3.0.0 |
FTP デプロイが無効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.10 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Http 2.0 はクライアント証明書をサポートしていないため、このポリシーは同じ名前の新しいポリシーに置き換えられました。 | Audit、Disabled | 3.1.0 (非推奨) |
| App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
App Service で [Azure Active Directory に登録する] が有効になっていることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する
ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| 関数アプリでは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。