Azure Virtual Machines 用の Azure Policy 規制コンプライアンス コントロール
適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット
Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure Virtual Machines 用のコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
Australian Government ISM PROTECTED
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Australian Government ISM PROTECTED に関するページを参照してください。 このコンプライアンス基準の詳細については、Australian Government ISM PROTECTED に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 415 | ユーザー ID - 415 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 415 | ユーザー ID - 415 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 415 | ユーザー ID - 415 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 415 | ユーザー ID - 415 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 421 | 単一要素認証 - 421 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 421 | 単一要素認証 - 421 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 421 | 単一要素認証 - 421 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 421 | 単一要素認証 - 421 | Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある | 3.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 445 | システムへの特権アクセス - 445 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 445 | システムへの特権アクセス - 445 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 445 | システムへの特権アクセス - 445 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 445 | システムへの特権アクセス - 445 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| システム監視のためのガイドライン - イベント ログと監査 | 582 | ログに記録されるイベント - 582 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 940 | セキュリティの脆弱性にパッチを適用するタイミング - 940 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 940 | セキュリティの脆弱性にパッチを適用するタイミング - 940 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1144 | セキュリティの脆弱性にパッチを適用するタイミング - 1144 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1144 | セキュリティの脆弱性にパッチを適用するタイミング - 1144 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| ネットワークのガイドライン - ネットワーク設計と構成 | 1182 | ネットワーク アクセス制御 - 1182 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| データベース システムのガイドライン - データベース サーバー | 1277 | データベース サーバーと Web サーバー間の通信 - 1277 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| データベース システムのガイドライン - データベース サーバー | 1277 | データベース サーバーと Web サーバー間の通信 - 1277 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| データベース システムのガイドライン - データベース サーバー | 1277 | データベース サーバーと Web サーバー間の通信 - 1277 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| データベース システムのガイドライン - データベース サーバー | 1277 | データベース サーバーと Web サーバー間の通信 - 1277 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| ゲートウェイのガイドライン - コンテンツのフィルター処理 | 1288 | ウイルス対策スキャン - 1288 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| システム管理のためのガイドライン - システム管理 | 1386 | 管理トラフィック フローの制限 - 1386 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化 | 1417 | ウイルス対策ソフトウェア - 1417 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1472 | セキュリティの脆弱性にパッチを適用するタイミング - 1472 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1472 | セキュリティの脆弱性にパッチを適用するタイミング - 1472 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1494 | セキュリティの脆弱性にパッチを適用するタイミング - 1494 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1494 | セキュリティの脆弱性にパッチを適用するタイミング - 1494 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1495 | セキュリティの脆弱性にパッチを適用するタイミング - 1495 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1495 | セキュリティの脆弱性にパッチを適用するタイミング - 1495 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1496 | セキュリティの脆弱性にパッチを適用するタイミング - 1496 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1496 | セキュリティの脆弱性にパッチを適用するタイミング - 1496 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1507 | システムへの特権アクセス - 1507 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1507 | システムへの特権アクセス - 1507 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1507 | システムへの特権アクセス - 1507 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1507 | システムへの特権アクセス - 1507 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システム管理のためのガイドライン - データ バックアップと復元 | 1511 | バックアップの実行 - 1511 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | 3.1.0 |
カナダ連邦の PBMM
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - カナダ連邦 PBMM に関する記事をご覧ください。 このコンプライアンス標準の詳細については、カナダ連邦 PBMM に関するドキュメントをご覧ください。
CIS Microsoft Azure Foundations Benchmark 1.1.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.1.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2.10 | ASC の既定のポリシー設定 [脆弱性評価を監視する] が [無効] になっていないことを確認する | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 2 Security Center | 2.12 | ASC の既定のポリシー設定 [JIT ネットワーク アクセスの監視] が [無効] になっていないことを確認する | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 2 Security Center | 2.4 | ASC の既定のポリシー設定 [OS 脆弱性の監視] が [無効] になっていないことを確認する | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 2 Security Center | 2.9 | ASC の既定のポリシー設定 [次世代のファイアウォール (NGFW) 監視を有効にする] が [無効] になっていないことを確認する | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 7 Virtual Machines | 7.4 | 承認済みの拡張機能のみがインストールされていることを確認する | インストールする必要があるのは、許可されている VM 拡張機能のみ | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 7 Virtual Machines | 7.1 | Virtual Machines で Managed Disks が利用されていることを確認する | Managed Disks を使用していない VM の監査 | 1.0.0 |
| 7 Virtual Machines | 7.4 | 承認済みの拡張機能のみがインストールされていることを確認する | インストールする必要があるのは、許可されている VM 拡張機能のみ | 1.0.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v1.4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 7 Virtual Machines | 7.1 | Virtual Machines で Managed Disks が利用されていることを確認する | Managed Disks を使用していない VM の監査 | 1.0.0 |
| 7 Virtual Machines | 7.4 | 承認済みの拡張機能のみがインストールされていることを確認する | インストールする必要があるのは、許可されている VM 拡張機能のみ | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v2.0.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | [システム更新プログラムの適用] 状態の Microsoft Defender レコメンデーションが [完了] になっていることを確認する | 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 3.7.0 |
| 6 | 6.1 | インターネットからの RDP アクセスが評価および制限されていることを確認する | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 6 | 6.2 | インターネットからの SSH アクセスが評価および制限されていることを確認する | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 7 | 7.2 | Virtual Machines で Managed Disks が利用されていることを確認する | Managed Disks を使用していない VM の監査 | 1.0.0 |
| 7 | 7.4 | [アタッチされていないディスク] が [カスタマー マネージド キー] (CMK) で暗号化されていることを確認する | マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | 1.0.0 |
| 7 | 7.5 | 承認済みの拡張機能のみがインストールされていることを確認する | インストールする必要があるのは、許可されている VM 拡張機能のみ | 1.0.0 |
CMMC レベル 3
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.1.003 | 外部情報システムへの接続と使用を検証し、制御および制限する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| アクセス制御 | AC.2.007 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | AC.2.008 | セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| アクセス制御 | AC.2.008 | セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。 | Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| アクセス制御 | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.3.017 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| アクセス制御 | AC.3.017 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| アクセス制御 | AC.3.018 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | 3.1.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.3 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | 3.0.0 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU.3.046 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| 監査とアカウンタビリティ | AU.3.046 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| 監査とアカウンタビリティ | AU.3.046 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| セキュリティ評価 | CA.2.158 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| セキュリティ評価 | CA.3.161 | セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 構成管理 | CM.2.061 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.2.0 |
| 構成管理 | CM.2.062 | 不可欠な機能だけを提供するように組織のシステムを構成して最小限の機能の原則を採用する。 | Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある | 3.0.0 |
| 構成管理 | CM.2.063 | ユーザーがインストールしたソフトウェアの制御および監視を行う。 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| 構成管理 | CM.2.064 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 構成管理 | CM.2.064 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 構成管理 | CM.2.065 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.1.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.3.084 | 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| Recovery | RE.2.137 | データのバックアップを定期的に実行し、テストする。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| Recovery | RE.2.137 | データのバックアップを定期的に実行し、テストする。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| Recovery | RE.3.139 | 組織的に定義された、包括的で回復性がある完全なデータ バックアップを定期的に実行する。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| Recovery | RE.3.139 | 組織的に定義された、包括的で回復性がある完全なデータ バックアップを定期的に実行する。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| リスク評価 | RM.2.141 | 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| リスク評価 | RM.2.142 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.176 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.176 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.2.179 | ネットワーク デバイスの管理には、暗号化されたセッションを使用する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.177 | CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| システムと通信の保護 | SC.3.181 | ユーザー機能をシステム管理機能から分離する。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.185 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| システムと通信の保護 | SC.3.190 | 通信セッションの信頼性を保護する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| システムと情報の整合性 | SI.1.211 | 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.1.211 | 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| システムと情報の整合性 | SI.1.212 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
HIPAA HITRUST 9.2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - HIPAA HITRUST 9.2 に関するページを参照してください。 このコンプライアンス標準の詳細については、HIPAA HITRUST 9.2 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ユーザーの識別と認証 | 11210.01q2Organizational.10 - 01.q | 電子記録に対して実行される電子署名および手書き署名は、それぞれの電子記録にリンクされている必要があります。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| ユーザーの識別と認証 | 11211.01q2Organizational.11 - 01.q | 署名された電子記録には、人が判読できる形式の署名に関連付けられた情報が含まれている必要があります。 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | Windows Server 用の既定の Microsoft IaaSAntimalware 拡張機能のデプロイ | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 技術的な脆弱性の管理 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 技術的な脆弱性の管理 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 07 脆弱性の管理 | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 技術的な脆弱性の管理 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 08 ネットワーク保護 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 08 ネットワーク保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| 08 ネットワーク保護 | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 ネットワークのセキュリティ管理 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 08 ネットワーク保護 | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 ネットワークのセキュリティ管理 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| バックアップ | 1699.09l1Organizational.10 - 09.l | データ バックアップ プロセスにおける従業員メンバーの役割と責任を明らかにし、従業員に伝えます。特に、Bring Your Own Device (BYOD) ユーザーは、自分のデバイス上にある組織やクライアントのデータのバックアップを実行する必要があります。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 09 伝送保護 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 電子商取引サービス | 指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する | 3.0.0 |
| 11 アクセスの制御 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 情報システムへの認可済みアクセス | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 ネットワーク アクセス制御 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 オペレーティング システム アクセス制御 | Administrators グループに余分なアカウントがある Windows マシンを監査する | 2.0.0 |
| 11 アクセスの制御 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 オペレーティング システム アクセス制御 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 11 アクセスの制御 | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 オペレーティング システム アクセス制御 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 11 アクセスの制御 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス | Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある | 3.0.0 |
| 11 アクセスの制御 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 情報システムへの認可済みアクセス | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 11 アクセスの制御 | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 ネットワーク アクセス制御 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 ネットワーク アクセス制御 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 ネットワーク アクセス制御 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 ネットワーク アクセス制御 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 12 監査ログと監視 | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 監視 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 12 監査ログと監視 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 監視 | Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 2.0.0 |
| 12 監査ログと監視 | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 監視 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 12 監査ログと監視 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 監視 | Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 2.0.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | 3.0.0 |
| 12 監査ログと監視 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 文書化された業務手順 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 情報のバックアップ | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 情報のバックアップ | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある | 3.0.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
IRS 1075 (2016 年 9 月)
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - IRS 1075 (2016 年 9 月) に関する記事をご覧ください。 このコンプライアンス標準の詳細については、IRS 1075 (2016 年 9 月) に関するドキュメントをご覧ください。
ISO 27001:2013
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - ISO 27001:2013 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、ISO 27001:2013 に関するドキュメントをご覧ください。
Microsoft Cloud for Sovereignty のベースライン機密ポリシー
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、MCfS Sovereignty のベースライン機密ポリシーについての Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「Microsoft Cloud for Sovereignty ポリシー ポートフォリオ」を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| SO.3 - カスタマー マネージド キー | SO.3 | 可能な場合にはカスタマー マネージド キーを使うように Azure 製品を構成する必要があります。 | マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | 1.0.0 |
| SO.4 - Azure Confidential Computing | SO.4 | 可能な場合には Azure Confidential Computing の SKU を使うように Azure 製品を構成する必要があります。 | 許可されている仮想マシン サイズ SKU | 1.0.1 |
Microsoft Cloud for Sovereignty のベースライン グローバル ポリシー
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、MCfS Sovereignty のベースライン グローバル ポリシーについての Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「Microsoft Cloud for Sovereignty ポリシー ポートフォリオ」を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| SO.5 - トラステッド起動 | SO.5 | 可能な場合は、トラステッド起動 SKU とトラステッド起動を有効にして VM を構成する必要があります。 | ディスクと OS イメージで TrustedLaunch をサポートする必要があります | 1.0.0 |
| SO.5 - トラステッド起動 | SO.5 | 可能な場合は、トラステッド起動 SKU とトラステッド起動を有効にして VM を構成する必要があります。 | 仮想マシンで TrustedLaunch を有効にする必要があります | 1.0.0 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。
NIST SP 800-171 R2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.2.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | 3.1.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | ディスク アクセス リソースにはプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | 3.1.0 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | ディスク アクセス リソースにはプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | 3.1.13 | リモート アクセス セッションの機密性を保護するため暗号化メカニズムを採用する。 | ディスク アクセス リソースにはプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | 3.1.14 | 管理対象のアクセス制御ポイントを介してリモート アクセスをルーティングする。 | ディスク アクセス リソースにはプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | ディスク アクセス リソースにはプライベート リンクを使用する必要がある | 1.0.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| アクセス制御 | 3.1.4 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| アクセス制御 | 3.1.4 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | 1.0.0 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | 1.0.0 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | ディスク アクセス リソースにはプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.16 | 保存時の CUI の機密性を保護する。 | 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | ディスク アクセス リソースにはプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | ディスク アクセス リソースにはプライベート リンクを使用する必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| システムと情報の整合性 | 3.14.4 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.4 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| システムと情報の整合性 | 3.14.4 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| システムと情報の整合性 | 3.14.5 | 組織のシステムの定期的なスキャンを実行すると共に、外部ソースからのファイルのリアルタイム スキャンを、ファイルがダウンロードされる、開かれる、または実行されるときに行う。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.5 | 組織のシステムの定期的なスキャンを実行すると共に、外部ソースからのファイルのリアルタイム スキャンを、ファイルがダウンロードされる、開かれる、または実行されるときに行う。 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| システムと情報の整合性 | 3.14.5 | 組織のシステムの定期的なスキャンを実行すると共に、外部ソースからのファイルのリアルタイム スキャンを、ファイルがダウンロードされる、開かれる、または実行されるときに行う。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.2.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.0.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.2.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.0.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.1.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | 3.1.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.2.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | 3.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | 3.5.4 | 特権および非特権アカウントによるネットワーク アクセスに、リプレイ耐性のある認証メカニズムを採用する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | 3.5.7 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | 3.5.7 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | 3.5.7 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | 3.5.7 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
| 識別と認証 | 3.5.7 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | 3.5.8 | 指定された生成回数についてパスワードの再利用を禁止する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | 3.5.8 | 指定された生成回数についてパスワードの再利用を禁止する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 識別と認証 | 3.5.8 | 指定された生成回数についてパスワードの再利用を禁止する。 | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| 識別と認証 | 3.5.8 | 指定された生成回数についてパスワードの再利用を禁止する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| メディア保護 | 3.8.9 | 保存場所にあるバックアップ CUI の機密性を保護する。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
NIST SP 800-53 Rev. 4
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
NL BIO Cloud Theme
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| C.04.8 技術的な脆弱性の管理 - 評価済み | C.04.8 | 評価レポートには改善のための提案が含まれており、マネージャーや所有者に通知されます。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| C.04.8 技術的な脆弱性の管理 - 評価済み | C.04.8 | 評価レポートには改善のための提案が含まれており、マネージャーや所有者に通知されます。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| U.03.1 ビジネス継続性サービス - 冗長性 | U.03.1 | 合意された継続性は、十分に論理的または物理的に複数のシステム機能によって保証されます。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.03.1 ビジネス継続性サービス - 冗長性 | U.03.1 | 合意された継続性は、論理的または物理的に十分に複数のシステム機能によって保証されます。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| U.03.2 ビジネス継続性サービス - 継続性要件 | U.03.2 | CSC と合意したクラウド サービスの継続性要件は、システム アーキテクチャによって保証されます。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.03.2 ビジネス継続性サービス - 継続性要件 | U.03.2 | CSC と合意したクラウド サービスの継続性要件は、システム アーキテクチャによって保証されます。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| U.04.1 データとクラウド サービス リカバリ - 復元機能 | U.04.1 | データとクラウド サービスは、合意された期間内および最大データ損失の範囲内で復元され、CSC で使用できるようになります。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.04.2 データとクラウド サービス リカバリ - 復元機能 | U.04.2 | データの回復可能な保護の継続的なプロセスが監視されます。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.04.3 データとクラウド サービス リカバリ - テスト済み | U.04.3 | 回復関数の機能が定期的にテストされ、結果が CSC と共有されます。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.05.1 データ保護 - 暗号化対策 | U.05.1 | データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | 6.0.0-preview |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | 5.1.0-preview |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある | 4.0.0-preview |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある | 3.1.0-preview |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | 4.0.0-preview |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | 2.0.0-preview |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | 1.0.0 |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | 3.0.0 |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | 1.0.0 |
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| U.07.1 データ分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | ディスク アクセス リソースにはプライベート リンクを使用する必要がある | 1.0.0 |
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| U.07.1 データ分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| U.07.1 データ分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| U.07.1 データ分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| U.07.1 データ分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | Managed Disks を使用していない VM の監査 | 1.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | Managed Disks を使用していない VM の監査 | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | Managed Disks を使用していない VM の監査 | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | 6.0.0-preview |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | 5.1.0-preview |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある | 4.0.0-preview |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある | 3.1.0-preview |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | 4.0.0-preview |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | 2.0.0-preview |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | 1.0.0 |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | 3.0.0 |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | 1.0.0 |
| U.12.1 インターフェイス - ネットワーク接続 | U.12.1 | 外部ゾーンまたは信頼されていないゾーンとの接続ポイントでは、攻撃に対する対策が講じられます。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| U.12.1 インターフェイス - ネットワーク接続 | U.12.1 | 外部ゾーンまたは信頼されていないゾーンとの接続ポイントでは、攻撃に対する対策が講じられます。 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| U.12.2 インターフェイス - ネットワーク接続 | U.12.2 | ネットワーク コンポーネントでは、信頼されたネットワークと信頼されていないネットワークの間のネットワーク接続が制限されます。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| U.12.2 インターフェイス - ネットワーク接続 | U.12.2 | ネットワーク コンポーネントでは、信頼されたネットワークと信頼されていないネットワークの間のネットワーク接続が制限されます。 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 2.0.0 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある | 2.0.0 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.3 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| U.15.3 ログ記録と監視 - イベントの記録 | U.15.3 | CSP は、ログ記録と監視の観点から重要なすべての資産の一覧を保持し、この一覧を確認します。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| U.15.3 ログ記録と監視 - イベントの記録 | U.15.3 | CSP は、ログ記録と監視の観点から重要なすべての資産の一覧を保持し、この一覧を確認します。 | 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある | 2.0.0 |
| U.15.3 ログ記録と監視 - イベントの記録 | U.15.3 | CSP は、ログ記録と監視の観点から重要なすべての資産の一覧を保持し、この一覧を確認します。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある | 2.0.0 |
| U.15.3 ログ記録と監視 - イベントの記録 | U.15.3 | CSP は、ログ記録と監視の観点から重要なすべての資産の一覧を保持し、この一覧を確認します。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| U.17.1 マルチテナント アーキテクチャ - 暗号化 | U.17.1 | 転送時および保存時の CSC データは暗号化されます。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.17.1 マルチテナント アーキテクチャ - 暗号化 | U.17.1 | 転送時および保存時の CSC データは暗号化されます。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
PCI DSS 3.2.1
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS 3.2.1 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、PCI DSS 3.2.1 を参照してください。
PCI DSS v4.0
すべての Azure サービスに対して使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS v4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「PCI DSS v4.0」をご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.3.2 | カード所有者データの環境との間のネットワーク アクセスが制限されている | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.2 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.2 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.3.3 | 監査ログは、破棄および非認可の変更から保護されている | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.1 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.1 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.2 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.2 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.3.3 | セキュリティの脆弱性が特定され、対応が行われる | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.3.3 | セキュリティの脆弱性が特定され、対応が行われる | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.4.1 | 一般向けの Web アプリケーションが攻撃から保護されている | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.4.1 | 一般向けの Web アプリケーションが攻撃から保護されている | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
インド準備銀行 - NBFC 向けの IT フレームワーク
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 ここのコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。
インド準備銀行の銀行向けの IT フレームワーク v2016
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
RMIT マレーシア
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RMIT マレーシアに関する記事をご覧ください。 このコンプライアンス標準の詳細については、RMIT マレーシア に関するドキュメントをご覧ください。
スペイン ENS
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、Spain ENS に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CCN-STIC 884 に関するドキュメントをご覧ください。
SWIFT CSP-CSCF v2021
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2021 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2021」を参照してください。
SWIFT CSP-CSCF v2022
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2022 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2022」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.3 | SWIFT 関連コンポーネントをホストする仮想化プラットフォームと仮想マシン (VM) を物理システムと同じレベルにセキュリティで保護する。 | Managed Disks を使用していない VM の監査 | 1.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.2.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| 2.攻撃面と脆弱性を減らす | 2.2 | ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑えます。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.2 | ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑えます。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.2 | ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑えます。 | 再起動が保留中の Windows VM の監査 | 2.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.2 | ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑えます。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する | 2.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | 3.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.4A | バックオフィス Data Flow セキュリティ | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.2.0 |
| 2.攻撃面と脆弱性を減らす | 2.4A | バックオフィス Data Flow セキュリティ | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| 2.攻撃面と脆弱性を減らす | 2.5A | 外部転送データの保護 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.5A | 外部転送データの保護 | Managed Disks を使用していない VM の監査 | 1.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.5A | 外部転送データの保護 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある | 3.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.1.0 |
| 3.環境を物理的に保護する | 3.1 | 機密性の高い機器、職場の環境、ホスティング サイト、ストレージに対する認証されていない物理的なアクセスを防止する。 | Managed Disks を使用していない VM の監査 | 1.0.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 2.0.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | 3.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する | 2.0.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 5.ID の管理と特権の分離 | 5.2 | 接続および切断されたハードウェア認証または個人用トークン (トークンが使用されている場合) の適切な管理、追跡、使用を確認する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 5.ID の管理と特権の分離 | 5.4 | 記録されたパスワードのリポジトリを物理的および論理的に保護する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
System and Organization Controls (SOC) 2
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、System and Organization Controls (SOC) 2 についての Azure Policy の規制コンプライアンスの詳細に関するページを参照してください。 このコンプライアンス標準の詳細については、「System and Organization Controls (SOC) 2」を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 可用性に関する追加条件 | A1.2 | 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| リスク評価 | CC3.2 | COSO 原則 7 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.2.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.2.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | 6.0.0-preview |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | 5.1.0-preview |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある | 4.0.0-preview |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある | 3.1.0-preview |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | 4.0.0-preview |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | 2.0.0-preview |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Managed Disks を使用していない VM の監査 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.3 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.2.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | インストールする必要があるのは、許可されている VM 拡張機能のみ | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.0.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | 6.0.0-preview |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | 5.1.0-preview |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある | 4.0.0-preview |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある | 3.1.0-preview |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | 4.0.0-preview |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | 2.0.0-preview |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Managed Disks を使用していない VM の監査 | 1.0.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.3 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.2.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | インストールする必要があるのは、許可されている VM 拡張機能のみ | 1.0.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.0.0 |
| 処理整合性に関する追加条件 | PI1.5 | 入出力を完全、正確、適切に保存する | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
UK OFFICIAL および UK NHS
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - UK OFFICIAL および UK NHS に関する記事をご覧ください。 このコンプライアンス標準の詳細については、UK OFFICIAL に関するドキュメントをご覧ください。
次のステップ
- Azure Policy の規制コンプライアンスの詳細を確認します。
- Azure Policy GitHub リポジトリのビルトインを参照します。