CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government) 規制コンプライアンスの組み込みイニシアチブの詳細
[アーティクル] 2024/12/06
4 人の共同作成者
フィードバック
この記事の内容
1 ID およびアクセス管理
2 Security Center
3 ストレージ アカウント
4 データベース サービス
5 ログ記録と監視
6 ネットワーク
7 Virtual Machines
8 その他のセキュリティの考慮事項
9 App Service
次のステップ
さらに 6 個を表示
次の記事では、Azure Policy 規制コンプライアンスの組み込みイニシアチブの定義が、CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government) のコンプライアンス ドメイン とコントロール にどのように対応するのかについて詳しく説明します。
このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。 "所有権" を理解するには、「ポリシーの種類 」と「クラウドでの共有責任 」を参照してください。
次のマッピングは、CIS Microsoft Azure Foundations Benchmark 1.3.0 コントロールへのマッピングです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。
次に、 [CIS Microsoft Azure Foundations Benchmark v1.3.0] 規制コンプライアンスの組み込みイニシアチブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。
これらのポリシーは、コントロールに対するコンプライアンスの評価 に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠 では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴 に関するページを参照してください。
特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.1 所有権 : 共有
テーブルを展開する
特権のないすべてのユーザーに対して多要素認証が有効になっていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.2 所有権 : 共有
テーブルを展開する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.3 所有権 : 共有
テーブルを展開する
サーバーに対して Azure Defender がオンに設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.1 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
サーバー用 Azure Defender を有効にする必要がある
サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。
AuditIfNotExists、Disabled
1.0.3
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.13 所有権 : 共有
テーブルを展開する
[次の重要度のアラートについて通知します] が [高] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.14 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
重要度 - 高のアラートの電子メール通知を有効にする必要がある
サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。
AuditIfNotExists、Disabled
1.0.1
Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.3 所有権 : 共有
テーブルを展開する
ストレージに対して Azure Defender がオンに設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.5 所有権 : 共有
テーブルを展開する
Kubernetes に対して Azure Defender がオンに設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.6 所有権 : 共有
テーブルを展開する
コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.7 所有権 : 共有
テーブルを展開する
[安全な転送が必要] が [有効] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.1 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
ストレージ アカウントへの安全な転送を有効にする必要がある
ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します
Audit、Deny、Disabled
2.0.0
ストレージ アカウントの既定のネットワーク アクセス ルールが拒否に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.6 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
ストレージ アカウントではネットワーク アクセスを制限する必要があります
ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。
Audit、Deny、Disabled
1.1.1
ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある
IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。
Audit、Deny、Disabled
1.0.1
ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.7 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
ストレージ アカウントは、信頼された Microsoft サービスからのアクセスを許可する必要がある
ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。 この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。
Audit、Deny、Disabled
1.0.0
重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.9 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある
カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。
Audit、Disabled
1.0.3
[監査] が [オン] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.1.1 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
SQL Server の監査を有効にする必要があります
サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。
AuditIfNotExists、Disabled
2.0.0
SQL Database の [データ暗号化] が [オン] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.1.2 所有権 : 共有
テーブルを展開する
"監査" 保持期間が "90 日を超える" ことを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.1.3 所有権 : 共有
テーブルを展開する
SQL サーバーの Advanced Threat Protection (ATP) が [有効] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.2.1 所有権 : 共有
テーブルを展開する
ストレージ アカウントを設定することによって SQL サーバーの脆弱性評価 (VA) が有効になっていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.2.2 所有権 : 共有
テーブルを展開する
PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.1 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない
Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。
Audit、Disabled
1.0.1
MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.2 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない
Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。
Audit、Disabled
1.0.1
サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.3 所有権 : 共有
テーブルを展開する
サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.4 所有権 : 共有
テーブルを展開する
サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.5 所有権 : 共有
テーブルを展開する
サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.6 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
PostgreSQL データベース サーバーでは接続の調整が有効でなければならない
このポリシーは、接続の帯域幅調整が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 この設定により、無効なパスワード ログイン エラーが多すぎる場合に、IP ごとに一時的な接続の帯域幅調整を行うことができます。
AuditIfNotExists、Disabled
1.0.0
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.4 所有権 : 共有
テーブルを展開する
SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.5 所有権 : 共有
テーブルを展開する
アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.4 所有権 : 共有
テーブルを展開する
Azure KeyVault のログ記録が [有効] になっていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.5 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
Key Vault のリソース ログを有効にする必要がある
リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます
AuditIfNotExists、Disabled
5.0.0
"ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.1 所有権 : 共有
テーブルを展開する
"ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.2 所有権 : 共有
テーブルを展開する
"ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.3 所有権 : 共有
テーブルを展開する
"ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.4 所有権 : 共有
テーブルを展開する
"ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.5 所有権 : 共有
テーブルを展開する
"ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.6 所有権 : 共有
テーブルを展開する
"セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.7 所有権 : 共有
テーブルを展開する
"セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.8 所有権 : 共有
テーブルを展開する
"SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.9 所有権 : 共有
テーブルを展開する
診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.3 所有権 : 共有
テーブルを展開する
Network Watcher が [有効] になっていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 6.5 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
Network Watcher を有効にする必要がある
Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。
AuditIfNotExists、Disabled
3.0.0
Virtual Machines で Managed Disks が利用されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.1 所有権 : 共有
テーブルを展開する
承認済みの拡張機能のみがインストールされていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.4 所有権 : 共有
テーブルを展開する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.4 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
キー コンテナーで削除保護を有効にする必要がある
悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。
Audit、Deny、Disabled
2.1.0
Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.5 所有権 : 共有
テーブルを展開する
Azure App Service に App Service 認証が設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.1 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
App Service アプリでは認証を有効にする必要がある
Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です。
AuditIfNotExists、Disabled
2.0.1
関数アプリでは認証を有効にする必要がある
Azure App Service 認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、トークンを保持するものを関数アプリへの到達前に認証したりできる機能です。
AuditIfNotExists、Disabled
3.0.0
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.10 所有権 : 共有
テーブルを展開する
Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.2 所有権 : 共有
テーブルを展開する
Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.3 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
App Service アプリは最新の TLS バージョンを使用する必要がある
セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。
AuditIfNotExists、Disabled
2.1.0
関数アプリは最新の TLS バージョンを使用する必要がある
セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。
AuditIfNotExists、Disabled
2.1.0
Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.4 所有権 : 共有
テーブルを展開する
App Service で [Azure Active Directory に登録する] が有効になっていることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.5 所有権 : 共有
テーブルを展開する
Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する
ID : CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.9 所有権 : 共有
テーブルを展開する
名前(Azure portal)
説明
効果
Version(GitHub)
App Service アプリは最新の 'HTTP バージョン' を使用する必要がある
セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。
AuditIfNotExists、Disabled
4.0.0
関数アプリでは最新の 'HTTP バージョン' を使用する必要がある
セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。
AuditIfNotExists、Disabled
4.0.0
Azure Policy に関するその他の記事: