Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure ネットワーク サービス用のコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。 ただし、コントロールと 1 つ以上のポリシーの間には、一対一または完全な一致が存在しない場合がほとんどです。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
Australian Government ISM PROTECTED
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Australian Government ISM PROTECTED に関するページを参照してください。 このコンプライアンス基準の詳細については、Australian Government ISM PROTECTED を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ネットワークのガイドライン - オンライン サービスのサービス継続性 | 1431 | サービス拒否戦略 - 1431 | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
カナダ連邦の PBMM
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - カナダ連邦 PBMM に関する記事をご覧ください。 このコンプライアンス標準の詳細については、カナダ連邦 PBMM に関するドキュメントをご覧ください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| システムと通信の保護 | SC-5 | サービス拒否の防止 | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
CIS Microsoft Azure 基盤ベンチマーク 1.1.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.1.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 2 セキュリティセンター | 2.9 | ASC の既定のポリシー設定 [次世代のファイアウォール (NGFW) 監視を有効にする] が [無効] になっていないことを確認する | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 6 ネットワーク | 6.5 | Network Watcher が [有効] になっていることを確認する | Network Watcher を有効にする必要がある | 3.0.0 |
CIS Microsoft Azure 基盤ベンチマーク 1.3.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 6 ネットワーク | 6.5 | Network Watcher が [有効] になっていることを確認する | Network Watcher を有効にする必要がある | 3.0.0 |
CIS Microsoft Azure 基盤ベンチマーク 1.4.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v1.4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 6 ネットワーク | 6.5 | Network Watcher が [有効] になっていることを確認する | Network Watcher を有効にする必要がある | 3.0.0 |
CIS Microsoft Azure Foundations ベンチマーク 2.0.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v2.0.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 5.1 | 5.1.6 | ネットワーク セキュリティ グループ フロー ログが取り込まれ、Log Analytics に送信されていることを確認する | すべてのフロー ログ リソースを有効な状態にする必要がある | 1.0.1 |
| 5.1 | 5.1.6 | ネットワーク セキュリティ グループ フロー ログが取り込まれ、Log Analytics に送信されていることを確認する | すべての仮想ネットワークのフロー ログ構成を監査する | 1.0.1 |
| 5.1 | 5.1.6 | ネットワーク セキュリティ グループ フロー ログが取り込まれ、Log Analytics に送信されていることを確認する | すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | 1.1.0 |
| 6 | 6.6 | Network Watcher が [有効] になっていることを確認する | Network Watcher を有効にする必要がある | 3.0.0 |
CMMC レベル 3
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するページをご覧ください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| Access Control | AC.1.003 | 外部情報システムへの接続と使用を検証し、制御および制限する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| Access Control | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | Network Watcher を有効にする必要がある | 3.0.0 |
| Access Control | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| 構成管理 | CM.2.064 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| 構成管理 | CM.2.064 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| 構成管理 | CM.2.064 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| 構成管理 | CM.2.064 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある | 1.0.0 |
| 構成管理 | CM.2.064 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある | 1.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | 1.1.0 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある | 1.0.0 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | 1.1.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Network Watcher を有効にする必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC.1.176 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| システムと通信の保護 | SC.3.180 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | 1.1.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Network Watcher を有効にする必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある | 1.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | 1.1.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Network Watcher を有効にする必要がある | 3.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.2.217 | 組織のシステムの不正使用を特定する。 | Network Watcher を有効にする必要がある | 3.0.0 |
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
HIPAA(医療保険の相互運用性と説明責任に関する法律)HITRUST(健康情報技術に関する信頼フレームワーク)
すべての Azure サービスで使用可能な Azure Policy 組み込み環境がこのコンプライアンス標準にどのようにマップされるかを確認するには、「 Azure Policy 規制コンプライアンス - HIPAA HITRUST」を参照してください。 このコンプライアンス標準の詳細については、 HIPAA HITRUST を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 08 ネットワーク保護 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 ネットワーク アクセス制御 | ゲートウェイ サブネットをネットワーク セキュリティ グループで構成してはならない | 1.0.0 |
| 08 ネットワーク保護 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 ネットワーク アクセス制御 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 08 ネットワーク保護 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 ネットワーク アクセス制御 | 仮想マシンは、承認された仮想ネットワークに接続する必要があります | 1.0.0 |
| 08 ネットワーク保護 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 ネットワーク アクセス制御 | ゲートウェイ サブネットをネットワーク セキュリティ グループで構成してはならない | 1.0.0 |
| 08 ネットワーク保護 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 ネットワーク アクセス制御 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 08 ネットワーク保護 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 ネットワーク アクセス制御 | 仮想マシンは、承認された仮想ネットワークに接続する必要があります | 1.0.0 |
| 08 ネットワーク保護 | 0809.01n2【組織】.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 08 ネットワーク保護 | 0809.01n2【組織】.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | 仮想マシンは、承認された仮想ネットワークに接続する必要があります | 1.0.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | 仮想マシンは、承認された仮想ネットワークに接続する必要があります | 1.0.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | 仮想マシンは、承認された仮想ネットワークに接続する必要があります | 1.0.0 |
| 08 ネットワーク保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 08 ネットワーク保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 | 仮想マシンは、承認された仮想ネットワークに接続する必要があります | 1.0.0 |
| 08 ネットワーク保護 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 ネットワーク アクセス制御 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 08 ネットワーク保護 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 ネットワーク アクセス制御 | 仮想マシンは、承認された仮想ネットワークに接続する必要があります | 1.0.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | Network Watcher を有効にする必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0886.09n2Organizational.4-09.n | 0886.09n2Organizational.4-09.n 09.06 ネットワークのセキュリティ管理 | Network Watcher を有効にする必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | Network Watcher を有効にする必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | 仮想ネットワーク作成時の Network Watcher のデプロイ | 1.0.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | ゲートウェイ サブネットをネットワーク セキュリティ グループで構成してはならない | 1.0.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | 仮想マシンは、承認された仮想ネットワークに接続する必要があります | 1.0.0 |
IRS 1075 (2016 年 9 月)
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - IRS 1075 (2016 年 9 月) に関する記事をご覧ください。 このコンプライアンス標準の詳細については、IRS 1075 (2016 年 9 月) に関するドキュメントをご覧ください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| システムと通信の保護 | 9.3.16.4 | サービス拒否の防止 (SC-5) | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページをご覧ください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ネットワークのセキュリティ | NS-1 | NS-1 ネットワークセグメント化の境界を確立する | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| ネットワークのセキュリティ | NS-3 | NS-3 エンタープライズ ネットワークのエッジにファイアウォールをデプロイする | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| ネットワークのセキュリティ | NS-5 | NS-5 DDoS 保護を展開する | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
| ネットワークのセキュリティ | NS-6 | NS-6 Web アプリケーション ファイアウォールをデプロイする | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| ネットワークのセキュリティ | NS-6 | NS-6 Web アプリケーション ファイアウォールをデプロイする | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| ID 管理 | IM-1 | IM-1 一元化された ID と認証システムを使用する | VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある | 1.0.0 |
| インシデント対応 | IR-4 | IR-4 検出と分析 - インシデントの調査 | Network Watcher を有効にする必要がある | 3.0.0 |
NIST SP 800-171 R2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| Access Control | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| Access Control | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Network Watcher を有効にする必要がある | 3.0.0 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | Network Watcher を有効にする必要がある | 3.0.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Network Watcher を有効にする必要がある | 3.0.0 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | Network Watcher を有効にする必要がある | 3.0.0 |
NIST SP 800-53 Rev. 4
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
NL BIO クラウド テーマ
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細に関するページを参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャです。 パッチは制御された方法で実現されます。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャです。 パッチは制御された方法で実現されます。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャです。 パッチは制御された方法で実現されます。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある | 1.0.0 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア対策がさまざまな環境で実行されます。 | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア対策がさまざまな環境で実行されます。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア対策がさまざまな環境で実行されます。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任のもとで、管理者にアクセス権が付与されます。 | VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | 認証された機器を持っているユーザーのみが IT サービスとデータにアクセスできます。 | VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格性 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限されており、実装されています。 | VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある | 1.0.0 |
| U.12.1 インターフェイス - ネットワーク接続 | U.12.1 | 外部ゾーンまたは信頼されていないゾーンとの接続ポイントでは、攻撃に対する対策が講じられます。 | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
| U.12.1 インターフェイス - ネットワーク接続 | U.12.1 | 外部ゾーンまたは信頼されていないゾーンとの接続ポイントでは、攻撃に対する対策が講じられます。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| U.12.1 インターフェイス - ネットワーク接続 | U.12.1 | 外部ゾーンまたは信頼されていないゾーンとの接続ポイントでは、攻撃に対する対策が講じられます。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| U.12.2 インターフェイス - ネットワーク接続 | U.12.2 | ネットワーク コンポーネントでは、信頼されたネットワークと信頼されていないネットワークの間のネットワーク接続が制限されます。 | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
| U.12.2 インターフェイス - ネットワーク接続 | U.12.2 | ネットワーク コンポーネントでは、信頼されたネットワークと信頼されていないネットワークの間のネットワーク接続が制限されます。 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| U.12.2 インターフェイス - ネットワーク接続 | U.12.2 | ネットワーク コンポーネントでは、信頼されたネットワークと信頼されていないネットワークの間のネットワーク接続が制限されます。 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| U.15.1 ログ記録と監視 - ログに記録されるイベント | U.15.1 | ポリシー規則の違反はCSP と CSC によって記録されます。 | Azure Front Door でリソース ログを有効にする必要がある | 1.0.0 |
| U.15.1 ログ記録と監視 - ログに記録されるイベント | U.15.1 | ポリシー規則の違反はCSP と CSC によって記録されます。 | Network Watcher を有効にする必要がある | 3.0.0 |
インド準備銀行 - NBFC 向けの IT フレームワーク
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 このコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関するページを参照してください。
インド準備銀行の銀行向けの IT フレームワーク v2016
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
RMIT マレーシア
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RMIT マレーシアに関する記事を参照してください。 このコンプライアンス標準の詳細については、RMIT マレーシアに関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ネットワークの回復性 | 10.33 | ネットワークの回復性 - 10.33 | すべてのフロー ログ リソースを有効な状態にする必要がある | 1.0.1 |
| ネットワークの回復性 | 10.33 | ネットワークの回復性 - 10.33 | Azure VPN ゲートウェイで 'Basic' SKU を使用しないでください | 1.0.0 |
| ネットワークの回復性 | 10.33 | ネットワークの回復性 - 10.33 | すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | 1.1.0 |
| ネットワークの回復性 | 10.33 | ネットワークの回復性 - 10.33 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| ネットワークの回復性 | 10.33 | ネットワークの回復性 - 10.33 | 仮想マシンは、承認された仮想ネットワークに接続する必要があります | 1.0.0 |
| ネットワークの回復性 | 10.33 | ネットワークの回復性 - 10.33 | 仮想ネットワークは、指定された仮想ネットワーク ゲートウェイを使用する必要があります | 1.0.0 |
| ネットワークの回復性 | 10.35 | ネットワークの回復性 - 10.35 | Network Watcher を有効にする必要がある | 3.0.0 |
| ネットワークの回復性 | 10.39 | ネットワークの回復性 - 10.39 | カスタムの IPsec/IKE ポリシーをすべての Azure 仮想ネットワーク ゲートウェイ接続に適用する必要があります | 1.0.0 |
| 分散型サービス拒否 (DDoS) 攻撃 | 11.13 | 分散型サービス拒否 (DDoS) 攻撃 - 11.13 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| セキュリティ オペレーション センター (SOC) | 11.18 | セキュリティ オペレーション センター (SOC) - 11.18 | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
| サイバーセキュリティのコントロール メジャー | 付録 5.5 | サイバーセキュリティのコントロール メジャー - 付録 5.5 | カスタムの IPsec/IKE ポリシーをすべての Azure 仮想ネットワーク ゲートウェイ接続に適用する必要があります | 1.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.6 | サイバーセキュリティのコントロール メジャー - 付録 5.6 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.6 | サイバーセキュリティのコントロール メジャー - 付録 5.6 | Web アプリケーション ファイアウォール (WAF) で Application Gateway に対して指定されたモードを使用する必要がある | 1.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.6 | サイバーセキュリティのコントロール メジャー - 付録 5.6 | Web アプリケーション ファイアウォール (WAF) で Azure Front Door Service に対して指定されたモードを使用する必要がある | 1.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.7 | サイバーセキュリティのコントロール メジャー - 付録 5.7 | すべてのフロー ログ リソースを有効な状態にする必要がある | 1.0.1 |
| サイバーセキュリティのコントロール メジャー | 付録 5.7 | サイバーセキュリティのコントロール メジャー - 付録 5.7 | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
| サイバーセキュリティのコントロール メジャー | 付録 5.7 | サイバーセキュリティのコントロール メジャー - 付録 5.7 | すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | 1.1.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.7 | サイバーセキュリティのコントロール メジャー - 付録 5.7 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
スペインの ENS
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「Spain ENS に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、CCN-STIC 884 に関するドキュメントを参照してください。
SWIFT CSP-CSCF v2021
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2021 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2021」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| SWIFT 環境保護 | 1.1 | SWIFT 環境保護 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| SWIFT 環境保護 | 1.1 | SWIFT 環境保護 | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
| SWIFT 環境保護 | 1.1 | SWIFT 環境保護 | Network Watcher を有効にする必要がある | 3.0.0 |
| SWIFT 環境保護 | 1.1 | SWIFT 環境保護 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | 侵入検出 | Network Watcher を有効にする必要がある | 3.0.0 |
SWIFT CSP-CSCF v2022
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2022 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2022」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 1. 一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| 1. 一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。 | Network Watcher を有効にする必要がある | 3.0.0 |
| 1. 一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 1. 一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| 1. 一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| 1. 一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
| 1. 一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | Network Watcher を有効にする必要がある | 3.0.0 |
| 1. 一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 6. システムまたはトランザクション レコードに対する異常なアクティビティを検出する | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | すべてのフロー ログ リソースを有効な状態にする必要がある | 1.0.1 |
| 6. システムまたはトランザクション レコードに対する異常なアクティビティを検出する | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | 1.1.0 |
| 6. システムまたはトランザクション レコードに対する異常なアクティビティを検出する | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | Network Watcher のフロー ログではトラフィック分析を有効にする必要がある | 1.0.1 |
| 6. システムまたはトランザクション レコードに対する異常なアクティビティを検出する | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | Network Watcher を有効にする必要がある | 3.0.0 |
システムおよび組織の管理基準 (System and Organization Controls, SOC) 2
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、System and Organization Controls (SOC) 2 についての Azure Policy の規制コンプライアンスの詳細に関するページを参照してください。 このコンプライアンス標準の詳細については、「System and Organization Controls (SOC) 2」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | [プレビュー]: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 3.0.0-preview |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 1.0.2 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 2.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | 3.0.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | Network Watcher を有効にする必要がある | 3.0.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | Network Watcher を有効にする必要がある | 3.0.0 |
UK OFFICIAL および UK NHS
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - UK OFFICIAL および UK NHS に関する記事をご覧ください。 このコンプライアンス標準の詳細については、UK OFFICIAL に関するドキュメントをご覧ください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 運用上のセキュリティ | 5.3 | 保護的監視 | Azure DDoS Protection を有効にする必要がある | 3.0.1 |
次のステップ
- Azure Policy の規制コンプライアンスについて詳しく学習します。
- Azure Policy GitHub リポジトリのビルトインを参照します。