Azure Virtual Machines 用の Azure Policy 規制コンプライアンス コントロール
適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット
Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure Virtual Machines 用のコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
Australian Government ISM PROTECTED
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Australian Government ISM PROTECTED に関するページを参照してください。 このコンプライアンス基準の詳細については、Australian Government ISM PROTECTED に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 415 | ユーザー ID - 415 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 415 | ユーザー ID - 415 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 415 | ユーザー ID - 415 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 415 | ユーザー ID - 415 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 421 | 単一要素認証 - 421 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 421 | 単一要素認証 - 421 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 421 | 単一要素認証 - 421 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 421 | 単一要素認証 - 421 | Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある | 3.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 445 | システムへの特権アクセス - 445 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 445 | システムへの特権アクセス - 445 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 445 | システムへの特権アクセス - 445 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 445 | システムへの特権アクセス - 445 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 暗号のガイドライン - 暗号に関する基礎的条件 | 459 | 保存データの暗号化 - 459 | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| システム監視のためのガイドライン - イベント ログと監査 | 582 | ログに記録されるイベント - 582 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 940 | セキュリティの脆弱性にパッチを適用するタイミング - 940 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 940 | セキュリティの脆弱性にパッチを適用するタイミング - 940 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 940 | セキュリティの脆弱性にパッチを適用するタイミング - 940 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 940 | セキュリティの脆弱性にパッチを適用するタイミング - 940 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある | 4.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1144 | セキュリティの脆弱性にパッチを適用するタイミング - 1144 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1144 | セキュリティの脆弱性にパッチを適用するタイミング - 1144 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1144 | セキュリティの脆弱性にパッチを適用するタイミング - 1144 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1144 | セキュリティの脆弱性にパッチを適用するタイミング - 1144 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| ネットワークのガイドライン - ネットワーク設計と構成 | 1182 | ネットワーク アクセス制御 - 1182 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| ネットワークのガイドライン - ネットワーク設計と構成 | 1182 | ネットワーク アクセス制御 - 1182 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| データベース システムのガイドライン - データベース サーバー | 1277 | データベース サーバーと Web サーバー間の通信 - 1277 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| データベース システムのガイドライン - データベース サーバー | 1277 | データベース サーバーと Web サーバー間の通信 - 1277 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| データベース システムのガイドライン - データベース サーバー | 1277 | データベース サーバーと Web サーバー間の通信 - 1277 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| データベース システムのガイドライン - データベース サーバー | 1277 | データベース サーバーと Web サーバー間の通信 - 1277 | Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある | 4.0.0 |
| ゲートウェイのガイドライン - コンテンツのフィルター処理 | 1288 | ウイルス対策スキャン - 1288 | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| ゲートウェイのガイドライン - コンテンツのフィルター処理 | 1288 | ウイルス対策スキャン - 1288 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| ゲートウェイのガイドライン - コンテンツのフィルター処理 | 1288 | ウイルス対策スキャン - 1288 | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| システム管理のためのガイドライン - システム管理 | 1386 | 管理トラフィック フローの制限 - 1386 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化 | 1407 | オペレーティング システムのバージョン - 1407 | 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | 3.0.0 |
| システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化 | 1407 | オペレーティング システムのバージョン - 1407 | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化 | 1417 | ウイルス対策ソフトウェア - 1417 | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化 | 1417 | ウイルス対策ソフトウェア - 1417 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化 | 1417 | ウイルス対策ソフトウェア - 1417 | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| データベース システムのガイドライン - データベース サーバー | 1425 | データベース サーバーの内容の保護 - 1425 | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1472 | セキュリティの脆弱性にパッチを適用するタイミング - 1472 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1472 | セキュリティの脆弱性にパッチを適用するタイミング - 1472 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1472 | セキュリティの脆弱性にパッチを適用するタイミング - 1472 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1472 | セキュリティの脆弱性にパッチを適用するタイミング - 1472 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化 | 1490 | アプリケーションの制御 - 1490 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1494 | セキュリティの脆弱性にパッチを適用するタイミング - 1494 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1494 | セキュリティの脆弱性にパッチを適用するタイミング - 1494 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1494 | セキュリティの脆弱性にパッチを適用するタイミング - 1494 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1494 | セキュリティの脆弱性にパッチを適用するタイミング - 1494 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1495 | セキュリティの脆弱性にパッチを適用するタイミング - 1495 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1495 | セキュリティの脆弱性にパッチを適用するタイミング - 1495 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1495 | セキュリティの脆弱性にパッチを適用するタイミング - 1495 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1495 | セキュリティの脆弱性にパッチを適用するタイミング - 1495 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1496 | セキュリティの脆弱性にパッチを適用するタイミング - 1496 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1496 | セキュリティの脆弱性にパッチを適用するタイミング - 1496 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1496 | セキュリティの脆弱性にパッチを適用するタイミング - 1496 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システム管理のためのガイドライン - システムのパッチ適用 | 1496 | セキュリティの脆弱性にパッチを適用するタイミング - 1496 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1507 | システムへの特権アクセス - 1507 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1507 | システムへの特権アクセス - 1507 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1507 | システムへの特権アクセス - 1507 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1507 | システムへの特権アクセス - 1507 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システム管理のためのガイドライン - データ バックアップと復元 | 1511 | バックアップの実行 - 1511 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | 3.0.0 |
Azure セキュリティ ベンチマーク
Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 このサービスを完全に Azure セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Azure セキュリティ ベンチマークに関するページを参照してください。
Azure セキュリティ ベンチマーク v1
Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 このサービスを完全に Azure セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Azure セキュリティ ベンチマークに関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ネットワークのセキュリティ | 1.1 | Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護する | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| ネットワークのセキュリティ | 1.1 | Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護する | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| ネットワークのセキュリティ | 1.1 | Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護する | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| ネットワークのセキュリティ | 1.1 | Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護する | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| ネットワークのセキュリティ | 1.1 | Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護する | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| ネットワークのセキュリティ | 1.11 | 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| ネットワークのセキュリティ | 1.11 | 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する | ユーザー割り当て ID がある VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| ネットワークのセキュリティ | 1.11 | 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| ネットワークのセキュリティ | 1.11 | 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する | Windows マシンは、[管理用テンプレート - ネットワーク] の要件を満たしている必要がある | 3.0.0 |
| ネットワークのセキュリティ | 1.11 | 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する | Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある | 3.0.0 |
| ネットワークのセキュリティ | 1.11 | 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| ネットワークのセキュリティ | 1.11 | 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| ネットワークのセキュリティ | 1.4 | 既知の悪意のある IP アドレスとの通信を拒否する | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| ネットワークのセキュリティ | 1.4 | 既知の悪意のある IP アドレスとの通信を拒否する | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| ログ記録と監視 | 2.2 | セキュリティ ログの一元管理を構成する | Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 2.0.0 |
| ログ記録と監視 | 2.2 | セキュリティ ログの一元管理を構成する | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| ログ記録と監視 | 2.2 | セキュリティ ログの一元管理を構成する | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| ログ記録と監視 | 2.3 | Azure リソースの監査ログ記録を有効にする | Virtual Machine Scale Sets のリソース ログを有効にする必要がある | 2.1.0 |
| ログ記録と監視 | 2.4 | オペレーティング システムからセキュリティ ログを収集する | Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 2.0.0 |
| ログ記録と監視 | 2.4 | オペレーティング システムからセキュリティ ログを収集する | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| ログ記録と監視 | 2.4 | オペレーティング システムからセキュリティ ログを収集する | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| ログ記録と監視 | 2.8 | マルウェア対策のログ記録を一元管理する | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| ログ記録と監視 | 2.8 | マルウェア対策のログ記録を一元管理する | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| ログ記録と監視 | 2.8 | マルウェア対策のログ記録を一元管理する | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| ID およびアクセス制御 | 3.3 | 専用管理者アカウントを使用する | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| ID およびアクセス制御 | 3.3 | 専用管理者アカウントを使用する | Administrators グループに余分なアカウントがある Windows マシンを監査する | 2.0.0 |
| ID およびアクセス制御 | 3.3 | 専用管理者アカウントを使用する | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| データ保護 | 4.8 | 機密情報を保存時に暗号化する | [非推奨]: アタッチされていないディスクを暗号化する必要がある | 1.0.0 (非推奨) |
| データ保護 | 4.8 | 機密情報を保存時に暗号化する | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| 脆弱性の管理 | 5.1 | 自動化された脆弱性スキャン ツールを実行する | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 脆弱性の管理 | 5.2 | 自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する | 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | 3.0.0 |
| 脆弱性の管理 | 5.2 | 自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| 脆弱性の管理 | 5.5 | リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| 脆弱性の管理 | 5.5 | リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 脆弱性の管理 | 5.5 | リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| インベントリと資産の管理 | 6.10 | 承認されたアプリケーションの一覧を実装する | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| インベントリと資産の管理 | 6.8 | 承認されたアプリケーションのみを使用する | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| インベントリと資産の管理 | 6.9 | 承認された Azure サービスのみを使用する | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| セキュリティで保護された構成 | 7.10 | オペレーティング システムの自動構成監視を実装する | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| セキュリティで保護された構成 | 7.10 | オペレーティング システムの自動構成監視を実装する | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| セキュリティで保護された構成 | 7.10 | オペレーティング システムの自動構成監視を実装する | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| セキュリティで保護された構成 | 7.4 | セキュリティで保護されたオペレーティング システムの構成を維持する | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| セキュリティで保護された構成 | 7.4 | セキュリティで保護されたオペレーティング システムの構成を維持する | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| セキュリティで保護された構成 | 7.4 | セキュリティで保護されたオペレーティング システムの構成を維持する | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| マルウェアからの防御 | 8.1 | 一元管理されるマルウェア対策ソフトウェアを使用する | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| マルウェアからの防御 | 8.1 | 一元管理されるマルウェア対策ソフトウェアを使用する | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| マルウェアからの防御 | 8.3 | マルウェア対策ソフトウェアと署名が確実に更新されるようにする | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| データの復旧 | 9.1 | 定期的に自動バックアップを行う | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| データの復旧 | 9.2 | システムの完全バックアップを実行し、カスタマー マネージド キーをバックアップする | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
カナダ連邦の PBMM
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - カナダ連邦 PBMM に関する記事をご覧ください。 このコンプライアンス標準の詳細については、カナダ連邦 PBMM に関するドキュメントをご覧ください。
CIS Microsoft Azure Foundations Benchmark 1.1.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.1.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 2 Security Center | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 2.10 | ASC の既定のポリシー設定 [脆弱性評価を監視する] が [無効] になっていないことを確認する | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 2 Security Center | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 2.12 | ASC の既定のポリシー設定 [JIT ネットワーク アクセスの監視] が [無効] になっていないことを確認する | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 2 Security Center | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 2.13 | ASC の既定のポリシー設定 [Monitor Adaptive Application Whitelisting](適応型アプリケーションのホワイトリスト登録の監視) が [無効] になっていないことを確認する | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| 2 Security Center | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 2.3 | ASC の既定のポリシー設定 [システムの更新プログラムの監視] が [無効] になっていないことを確認する | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| 2 Security Center | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 2.4 | ASC の既定のポリシー設定 [OS 脆弱性の監視] が [無効] になっていないことを確認する | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 2 Security Center | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 2.5 | ASC の既定のポリシー設定 [Endpoint Protection の監視] が [無効] になっていないことを確認する | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| 2 Security Center | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 2.6 | ASC の既定のポリシー設定 [ディスク暗号化の監視] が [無効] になっていないことを確認する | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| 2 Security Center | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 2.7 | ASC の既定のポリシー設定 [ネットワーク セキュリティ グループの監視] が [無効] になっていないことを確認する | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| 2 Security Center | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 2.9 | ASC の既定のポリシー設定 [次世代のファイアウォール (NGFW) 監視を有効にする] が [無効] になっていないことを確認する | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 7 Virtual Machines | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 7.1 | "OS ディスク" が暗号化されていることを確認する | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| 7 Virtual Machines | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 7.2 | "データ ディスク" が暗号化されていることを確認する | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| 7 Virtual Machines | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 7.4 | 承認済みの拡張機能のみがインストールされていることを確認する | インストールする必要があるのは、許可されている VM 拡張機能のみ | 1.0.0 |
| 7 Virtual Machines | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 7.5 | すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認する | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| 7 Virtual Machines | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 5 ログと監視 | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | Virtual Machine Scale Sets のリソース ログを有効にする必要がある | 2.1.0 |
| 7 Virtual Machines | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 7.1 | Virtual Machines で Managed Disks が利用されていることを確認する | Managed Disks を使用していない VM の監査 | 1.0.0 |
| 7 Virtual Machines | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 7.2 | "OS およびデータ" のディスクが CMK で暗号化されていることを確認する | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| 7 Virtual Machines | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 7.4 | 承認済みの拡張機能のみがインストールされていることを確認する | インストールする必要があるのは、許可されている VM 拡張機能のみ | 1.0.0 |
| 7 Virtual Machines | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 7.5 | すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認する | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| 7 Virtual Machines | CIS Microsoft Azure Foundations ベンチマークのレコメンデーション 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
CMMC レベル 3
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある | 4.0.0 |
| アクセス制御 | AC.1.003 | 外部情報システムへの接続と使用を検証し、制御および制限する。 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| アクセス制御 | AC.1.003 | 外部情報システムへの接続と使用を検証し、制御および制限する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| アクセス制御 | AC.2.007 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | AC.2.008 | セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| アクセス制御 | AC.2.008 | セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。 | Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.0.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| アクセス制御 | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| アクセス制御 | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.3.017 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| アクセス制御 | AC.3.017 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| アクセス制御 | AC.3.018 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | 3.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.2 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | 3.0.0 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU.3.046 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| 監査とアカウンタビリティ | AU.3.046 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| 監査とアカウンタビリティ | AU.3.046 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | 仮想マシンは、指定されたワークスペースに接続する必要がある | 1.1.0 |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| セキュリティ評価 | CA.2.158 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| セキュリティ評価 | CA.2.158 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| セキュリティ評価 | CA.2.158 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | 3.0.0 |
| セキュリティ評価 | CA.2.158 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| セキュリティ評価 | CA.2.158 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| セキュリティ評価 | CA.3.161 | セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| セキュリティ評価 | CA.3.161 | セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| セキュリティ評価 | CA.3.161 | セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 | 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | 3.0.0 |
| セキュリティ評価 | CA.3.161 | セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| セキュリティ評価 | CA.3.161 | セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| 構成管理 | CM.2.061 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| 構成管理 | CM.2.061 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.0.0 |
| 構成管理 | CM.2.062 | 不可欠な機能だけを提供するように組織のシステムを構成して最小限の機能の原則を採用する。 | Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある | 3.0.0 |
| 構成管理 | CM.2.063 | ユーザーがインストールしたソフトウェアの制御および監視を行う。 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| 構成管理 | CM.2.063 | ユーザーがインストールしたソフトウェアの制御および監視を行う。 | 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | 3.0.0 |
| 構成管理 | CM.2.063 | ユーザーがインストールしたソフトウェアの制御および監視を行う。 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| 構成管理 | CM.2.064 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 構成管理 | CM.2.064 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 構成管理 | CM.2.065 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| 構成管理 | CM.3.069 | 例外的に拒否 (ブラックリスト登録) ポリシーを適用して、承認されていないソフトウェアの使用できないようにするか、またはすべて拒否、例外的に許可 (ホワイトリスト登録) ポリシーを適用して、承認されたソフトウェアの実行を許可する。 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.0.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.0.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.0.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードの最小文字数が 14 文字に制限されていない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | 以前の 24 個のパスワードの再利用が許可されている Windows マシンを監査する | 2.0.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | 4.0.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | 1.2.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.3.084 | 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 | Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある | 4.0.0 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| Recovery | RE.2.137 | データのバックアップを定期的に実行し、テストする。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| Recovery | RE.2.137 | データのバックアップを定期的に実行し、テストする。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| Recovery | RE.3.139 | 組織的に定義された、包括的で回復性がある完全なデータ バックアップを定期的に実行する。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| Recovery | RE.3.139 | 組織的に定義された、包括的で回復性がある完全なデータ バックアップを定期的に実行する。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| リスク評価 | RM.2.141 | 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| リスク評価 | RM.2.142 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある | 4.0.0 |
| システムと通信の保護 | SC.1.176 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.176 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.176 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.2.179 | ネットワーク デバイスの管理には、暗号化されたセッションを使用する。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.177 | CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| システムと通信の保護 | SC.3.177 | CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| システムと通信の保護 | SC.3.181 | ユーザー機能をシステム管理機能から分離する。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.185 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある | 4.0.0 |
| システムと通信の保護 | SC.3.190 | 通信セッションの信頼性を保護する。 | Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある | 4.0.0 |
| システムと通信の保護 | SC.3.191 | 保存時の CUI の機密性を保護する。 | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | 3.0.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| システムと情報の整合性 | SI.1.211 | 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。 | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| システムと情報の整合性 | SI.1.211 | 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.1.211 | 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| システムと情報の整合性 | SI.1.211 | 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。 | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| システムと情報の整合性 | SI.1.212 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | 1.1.0 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
HIPAA HITRUST 9.2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - HIPAA HITRUST 9.2 に関するページを参照してください。 このコンプライアンス標準の詳細については、HIPAA HITRUST 9.2 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ユーザーの識別と認証 | 11210.01q2Organizational.10 - 01.q | 電子記録に対して実行される電子署名および手書き署名は、それぞれの電子記録にリンクされている必要があります。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| ユーザーの識別と認証 | 11211.01q2Organizational.11 - 01.q | 署名された電子記録には、人が判読できる形式の署名に関連付けられた情報が含まれている必要があります。 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | Windows Server 用の既定の Microsoft IaaSAntimalware 拡張機能のデプロイ | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| 03 ポータブル メディアのセキュリティ | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 メディアの処理 | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 技術的な脆弱性の管理 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 技術的な脆弱性の管理 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0715.10m2Organizational.8-10.m | 0715.10m2Organizational.8-10.m 10.06 技術的な脆弱性の管理 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| 07 脆弱性の管理 | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 技術的な脆弱性の管理 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 技術的な脆弱性の管理 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 ネットワーク アクセス制御 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 08 ネットワーク保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| 08 ネットワーク保護 | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 ネットワークのセキュリティ管理 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 08 ネットワーク保護 | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 ネットワークのセキュリティ管理 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| バックアップ | 1699.09l1Organizational.10 - 09.l | データ バックアップ プロセスにおける従業員メンバーの役割と責任を明らかにし、従業員に伝えます。特に、Bring Your Own Device (BYOD) ユーザーは、自分のデバイス上にある組織やクライアントのデータのバックアップを実行する必要があります。 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 09 伝送保護 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 電子商取引サービス | 指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する | 3.0.0 |
| 運用ソフトウェアのコントロール | 0606.10h2System.1 - 10.h | アプリケーションとオペレーティング システムは、運用前に、ユーザビリティ、セキュリティ、および影響についてのテストを正常に終えています。 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| 運用ソフトウェアのコントロール | 0607.10h2System.23 - 10.h | 組織は、構成管理プログラムを使用して、実装されているすべてのソフトウェアとそのシステム ドキュメントの管理を維持し、実装されているソフトウェアと関連するシステム ドキュメントの以前のバージョンをアーカイブします。 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| 運用ソフトウェアのコントロール | 0607.10h2System.23 - 10.h | 組織は、構成管理プログラムを使用して、実装されているすべてのソフトウェアとそのシステム ドキュメントの管理を維持し、実装されているソフトウェアと関連するシステム ドキュメントの以前のバージョンをアーカイブします。 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 11 アクセスの制御 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 情報システムへの認可済みアクセス | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 ネットワーク アクセス制御 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 オペレーティング システム アクセス制御 | Administrators グループに余分なアカウントがある Windows マシンを監査する | 2.0.0 |
| 11 アクセスの制御 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 オペレーティング システム アクセス制御 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 11 アクセスの制御 | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 オペレーティング システム アクセス制御 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 11 アクセスの制御 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス | Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある | 3.0.0 |
| 11 アクセスの制御 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 情報システムへの認可済みアクセス | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 11 アクセスの制御 | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 ネットワーク アクセス制御 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 ネットワーク アクセス制御 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 ネットワーク アクセス制御 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 ネットワーク アクセス制御 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| 11 アクセスの制御 | 1197.01l3Organizational.3-01.l | 1197.01l3Organizational.3-01.l 01.04 ネットワーク アクセス制御 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| 12 監査ログと監視 | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 監視 | 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | 3.0.0 |
| 12 監査ログと監視 | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 監視 | Virtual Machine Scale Sets のリソース ログを有効にする必要がある | 2.1.0 |
| 12 監査ログと監視 | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 監視 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 12 監査ログと監視 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 監視 | Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 2.0.0 |
| 12 監査ログと監視 | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 監視 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 12 監査ログと監視 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 監視 | Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 2.0.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | 3.0.0 |
| 12 監査ログと監視 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 文書化された業務手順 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| 16 ビジネス継続性とディザスター リカバリー | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 情報のバックアップ | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 16 ビジネス継続性とディザスター リカバリー | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 情報のバックアップ | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 16 ビジネス継続性とディザスター リカバリー | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 16 ビジネス継続性とディザスター リカバリー | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある | 3.0.0 |
| 16 ビジネス継続性とディザスター リカバリー | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
IRS 1075 (2016 年 9 月)
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - IRS 1075 (2016 年 9 月) に関する記事をご覧ください。 このコンプライアンス標準の詳細については、IRS 1075 (2016 年 9 月) に関するドキュメントをご覧ください。
ISO 27001:2013
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - ISO 27001:2013 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、ISO 27001:2013 に関するドキュメントをご覧ください。
New Zealand ISM Restricted
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - New Zealand ISM Restricted に関する記事をご覧ください。 このコンプライアンス標準の詳細については、New Zealand ISM Restricted に関するページを参照してください。
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
NZ ISM Restricted v3.5
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NZ ISM Restricted v3.5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NZ ISM Restricted v3.5 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御とパスワード | NZISM セキュリティ ベンチマーク AC-13 | 16.5.10 認証 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.0.0 |
| アクセス制御とパスワード | NZISM セキュリティ ベンチマーク AC-18 | 16.6.9 ログに記録されるイベント | Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | 1.0.0 |
| アクセス制御とパスワード | NZISM セキュリティ ベンチマーク AC-18 | 16.6.9 ログに記録されるイベント | Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | 1.0.0 |
| アクセス制御とパスワード | NZISM セキュリティ ベンチマーク AC-18 | 16.6.9 ログに記録されるイベント | Virtual Machine Scale Sets のリソース ログを有効にする必要がある | 2.1.0 |
| 暗号化 | NZISM セキュリティ ベンチマーク CR-10 | 17.5.7 認証メカニズム | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.0.0 |
| 暗号化 | NZISM セキュリティ ベンチマーク CR-15 | 17.9.25 KMP のコンテンツ | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| 暗号化 | NZISM セキュリティ ベンチマーク CR-3 | 17.1.53 ストレージと物理的な転送の要件の削減 | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| 暗号化 | NZISM セキュリティ ベンチマーク CR-8 | 17.4.16 TLS の使用 | Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要がある | 4.0.0 |
| ゲートウェイのセキュリティ | NZISM セキュリティ ベンチマーク GS-2 | 19.1.11 ゲートウェイの使用 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| ゲートウェイのセキュリティ | NZISM セキュリティ ベンチマーク GS-2 | 19.1.11 ゲートウェイの使用 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| ゲートウェイのセキュリティ | NZISM セキュリティ ベンチマーク GS-3 | 19.1.12 ゲートウェイの構成 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| ゲートウェイのセキュリティ | NZISM セキュリティ ベンチマーク GS-5 | 19.1.23 ゲートウェイのテスト | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| 情報セキュリティの監視 | NZISM セキュリティ ベンチマーク ISM-3 | 6.2.5 脆弱性評価の実施 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 情報セキュリティの監視 | NZISM セキュリティ ベンチマーク ISM-4 | 6.2.6 脆弱性の解決 | マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | 1.0.0 |
| 情報セキュリティの監視 | NZISM セキュリティ ベンチマーク ISM-4 | 6.2.6 脆弱性の解決 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| 情報セキュリティの監視 | NZISM セキュリティ ベンチマーク ISM-4 | 6.2.6 脆弱性の解決 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 情報セキュリティの監視 | NZISM セキュリティ ベンチマーク ISM-4 | 6.2.6 脆弱性の解決 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 情報セキュリティの監視 | NZISM セキュリティ ベンチマーク ISM-7 | 6.4.5 可用性の要件 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 製品のセキュリティ | NZISM セキュリティ ベンチマーク PRS-5 | 12.4.4 製品の脆弱性へのパッチの適用 | 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | 3.0.0 |
| 製品のセキュリティ | NZISM セキュリティ ベンチマーク PRS-5 | 12.4.4 製品の脆弱性へのパッチの適用 | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-2 | 14.1.8 強化された SOE の開発 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-3 | 14.1.9 セキュリティが強化された SOE の維持 | Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 1.0.0 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-3 | 14.1.9 セキュリティが強化された SOE の維持 | Endpoint Protection をマシンにインストールする必要があります | 1.0.0 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-3 | 14.1.9 セキュリティが強化された SOE の維持 | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-3 | 14.1.9 セキュリティが強化された SOE の維持 | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.2 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-3 | 14.1.9 セキュリティが強化された SOE の維持 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-3 | 14.1.9 セキュリティが強化された SOE の維持 | Endpoint Protection の不足を Azure Security Center で監視する | 3.0.0 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-3 | 14.1.9 セキュリティが強化された SOE の維持 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-3 | 14.1.9 セキュリティが強化された SOE の維持 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-5 | 14.2.4 アプリケーションのホワイトリスト登録 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| ソフトウェアのセキュリティ | NZISM セキュリティ ベンチマーク SS-5 | 14.2.4 アプリケーションのホワイトリスト登録 | 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | 3.0.0 |
PCI DSS 3.2.1
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS 3.2.1 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、PCI DSS 3.2.1 を参照してください。
PCI v3.2.1:2018
すべての Azure サービスに対して使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI v3.2.1 2018 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、PCI v3.2.1 2018 に関する記事を参照してください。
インド準備銀行 - NBFC 向けの IT フレームワーク
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 ここのコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| IT ガバナンス | RBI IT Framework 1 | IT ガバナンス-1 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| IT ガバナンス | RBI IT Framework 1 | IT ガバナンス-1 | マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | 1.0.0 |
| IT ガバナンス | RBI IT Framework 1 | IT ガバナンス-1 | 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | 3.0.0 |
| IT ガバナンス | RBI IT Framework 1 | IT ガバナンス-1 | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| IT ガバナンス | RBI IT Framework 1 | IT ガバナンス-1 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| IT ガバナンス | RBI IT Framework 1 | IT ガバナンス-1 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| IT ガバナンス | RBI IT Framework 1 | IT ガバナンス-1 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| IT ガバナンス | RBI IT Framework 1.1 | IT ガバナンス-1.1 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| IT ガバナンス | RBI IT Framework 1.1 | IT ガバナンス-1.1 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| IT ガバナンス | RBI IT Framework 1.1 | IT ガバナンス-1.1 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| IT ポリシー | RBI IT Framework 2 | IT ポリシー-2 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| IT ポリシー | RBI IT Framework 2 | IT ポリシー-2 | 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | 3.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.b | 機能の分離-3.1 | [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | 4.0.0-preview |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.b | 機能の分離-3.1 | [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | 2.0.0-preview |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.b | 機能の分離-3.1 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.c | ロール ベースのアクセス制御 - 3.1 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.g | 証跡-3.1 | 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 2.0.1-preview |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.g | 証跡-3.1 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.g | 証跡-3.1 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | 1.0.2-preview |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.g | 証跡-3.1 | Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | 1.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.g | 証跡-3.1 | Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | 1.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.g | 証跡-3.1 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.g | 証跡-3.1 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.g | 証跡-3.1 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.h | 公開キー基盤 (PKI)-3.1 | マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある | 2.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.1.h | 公開キー基盤 (PKI)-3.1 | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| 情報とサイバー セキュリティ | RBI IT Framework 3.3 | 脆弱性の管理-3.3 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.3 | 脆弱性の管理-3.3 | マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | 1.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.3 | 脆弱性の管理-3.3 | 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | 3.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.3 | 脆弱性の管理-3.3 | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.3 | 脆弱性の管理-3.3 | コンテナーのセキュリティ構成の脆弱性を修復する必要があります | 3.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.3 | 脆弱性の管理-3.3 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| 情報とサイバーセキュリティ | RBI IT Framework 3.3 | 脆弱性の管理-3.3 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| IT 運用 | RBI IT Framework 4.2 | IT 運用-4.2 | [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | 1.0.2-preview |
| IT 運用 | RBI IT Framework 4.4.a | IT 運用-4.4 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| IT 運用 | RBI IT Framework 4.4.b | 上位管理用の MIS-4.4 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| IS 監査 | RBI IT Framework 5 | 情報システム監査 (IS 監査) のポリシー-5 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| IS 監査 | RBI IT Framework 5 | 情報システム監査 (IS 監査) のポリシー-5 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| IS 監査 | RBI IT Framework 5 | 情報システム監査 (IS 監査) のポリシー-5 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| IS 監査 | RBI IT Framework 5 | 情報システム監査 (IS 監査) のポリシー-5 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| IS 監査 | RBI IT Framework 5.2 | 対象範囲-5.2 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 事業継続計画 | RBI IT Framework 6 | 事業継続計画 (BCP) とディザスター リカバリー-6 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 事業継続計画 | RBI IT Framework 6 | 事業継続計画 (BCP) とディザスター リカバリー-6 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 事業継続計画 | RBI IT Framework 6.2 | 復旧戦略 / コンティンジェンシー計画-6.2 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 事業継続計画 | RBI IT Framework 6.2 | 復旧戦略 / コンティンジェンシー計画-6.2 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 事業継続計画 | RBI IT Framework 6.3 | 復旧戦略 / コンティンジェンシー計画-6.3 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| 事業継続計画 | RBI IT Framework 6.4 | 復旧戦略 / コンティンジェンシー計画-6.4 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
インド準備銀行の銀行向けの IT フレームワーク v2016
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
RMIT マレーシア
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RMIT マレーシアに関する記事をご覧ください。 このコンプライアンス標準の詳細については、RMIT マレーシア に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| データセンターの運用 | RMiT 10.27 | データセンターの運用 - 10.27 | デプロイ - Log Analytics 拡張機能を Windows 仮想マシン スケール セットで有効になるように構成する | 3.0.1 |
| データセンターの運用 | RMiT 10.27 | データセンターの運用 - 10.27 | 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | 1.0.0 |
| データセンターの運用 | RMiT 10.30 | データセンターの運用 - 10.30 | 仮想マシンに対して Azure Backup を有効にする必要がある | 3.0.0 |
| ネットワークの回復性 | RMiT 10.33 | ネットワークの回復性 - 10.33 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| ネットワークの回復性 | RMiT 10.33 | ネットワークの回復性 - 10.33 | パブリック ネットワーク アクセスを無効にするようにマネージド ディスクを構成する | 2.0.0 |
| ネットワークの回復性 | RMiT 10.33 | ネットワークの回復性 - 10.33 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| ネットワークの回復性 | RMiT 10.33 | ネットワークの回復性 - 10.33 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| ネットワークの回復性 | RMiT 10.33 | ネットワークの回復性 - 10.33 | マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある | 2.0.0 |
| ネットワークの回復性 | RMiT 10.33 | ネットワークの回復性 - 10.33 | インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | 3.0.0 |
| ネットワークの回復性 | RMiT 10.33 | ネットワークの回復性 - 10.33 | コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 2.0.3 |
| ネットワークの回復性 | RMiT 10.35 | ネットワークの回復性 - 10.35 | デプロイ - Log Analytics 拡張機能を Windows 仮想マシン スケール セットで有効になるように構成する | 3.0.1 |
| Cloud Services | RMiT 10.49 | クラウド サービス - 10.49 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| Cloud Services | RMiT 10.49 | クラウド サービス - 10.49 | 仮想マシンの管理ポートを閉じておく必要がある | 3.0.0 |
| Cloud Services | RMiT 10.51 | クラウド サービス - 10.51 | アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | 3.0.0 |
| Cloud Services | RMiT 10.51 | クラウド サービス - 10.51 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| Cloud Services | RMiT 10.53 | クラウド サービス - 10.53 | マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある | 2.0.0 |
| Cloud Services | RMiT 10.53 | クラウド サービス - 10.53 | OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | 3.0.0 |
| アクセス制御 | RMiT 10.54 | アクセス制御 - 10.54 | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.2 |
| アクセス制御 | RMiT 10.54 | アクセス制御 - 10.54 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | RMiT 10.54 | アクセス制御 - 10.54 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| アクセス制御 | RMiT 10.61 | アクセス制御 - 10.61 | ゲスト構成拡張機能をマシンにインストールする必要がある | 1.0.2 |
| アクセス制御 | RMiT 10.61 | アクセス制御 - 10.61 | 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 3.0.0 |
| アクセス制御 | RMiT 10.61 | アクセス制御 - 10.61 | 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | 1.0.1 |
| パッチとエンド オブ ライフ システム管理 | RMiT 10.63 | パッチとエンド オブ ライフ システム管理 - 10.63 | Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | 1.0.0 |
| パッチとエンド オブ ライフ システム管理 | RMiT 10.63 | パッチとエンド オブ ライフ システム管理 - 10.63 | 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | 3.0.0 |
| パッチとエンド オブ ライフ システム管理 | RMiT 10.65 | パッチとエンド オブ ライフ システム管理 - 10.65 | システム更新プログラムをマシンにインストールする必要がある | 4.0.0 |
| パッチとエンド オブ ライフ システム管理 | RMiT 10.65 | パッチとエンド オブ ライフ システム管理 - 10.65 | 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| デジタル サービスのセキュリティ | RMiT 10.66 | デジタル サービスのセキュリティ - 10.66 | デプロイ - Log Analytics 拡張機能を Windows 仮想マシンで有効になるように構成する | 3.0.1 |
| デジタル サービスのセキュリティ | RMiT 10.66 | デジタル サービスのセキュリティ - 10.66 | 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 2.0.1 |
| デジタル サービスのセキュリティ | RMiT 10.66 | デジタル サービスのセキュリティ - 10.66 | Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | 1.0.1 |
| デジタル サービスのセキュリティ | RMiT 10.66 | デジタル サービスのセキュリティ - 10.66 | 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | 1.0.1 |
| データ損失防止 (DLP) | RMiT 11.15 | データ損失防止 (DLP) - 11.15 | パブリック ネットワーク アクセスを無効にするようにマネージド ディスクを構成する | 2.0.0 |
| データ損失防止 (DLP) | RMiT 11.15 | データ損失防止 (DLP) - 11.15 | マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある | 2.0.0 |
| データ損失防止 (DLP) | RMiT 11.15 | データ損失防止 (DLP) - 11.15 | マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある | 2.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.17 | セキュリティ オペレーション センター (SOC) - 11.17 | 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | 3.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.17 | セキュリティ オペレーション センター (SOC) - 11.17 | 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | 3.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.17 | セキュリティ オペレーション センター (SOC) - 11.17 | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.17 | セキュリティ オペレーション センター (SOC) - 11.17 | エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 3.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.18 | セキュリティ オペレーション センター (SOC) - 11.18 | Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | 1.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.18 | セキュリティ オペレーション センター (SOC) - 11.18 | Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | 1.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.18 | セキュリティ オペレーション センター (SOC) - 11.18 | Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | 1.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.18 | セキュリティ オペレーション センター (SOC) - 11.18 | Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | 1.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.18 | セキュリティ オペレーション センター (SOC) - 11.18 | Virtual Machine Scale Sets のリソース ログを有効にする必要がある | 2.1.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.18 | セキュリティ オペレーション センター (SOC) - 11.18 | Virtual Machine Scale Sets のリソース ログを有効にする必要がある | 2.1.0 |
| サイバー リスク管理 | RMiT 11.2 | サイバー リスク管理 - 11.2 | 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | 1.0.0 |
| サイバー リスク管理 | RMiT 11.2 | サイバー リスク管理 - 11.2 | 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | 1.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.20 | セキュリティ オペレーション センター (SOC) - 11.20 | 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | 1.0.0 |
| セキュリティ オペレーション センター (SOC) | RMiT 11.20 | セキュリティ オペレーション センター (SOC) - 11.20 | 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | 1.0.0 |
| サイバー リスク管理 | RMiT 11.4 | サイバー リスク管理 - 11.4 | 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | 9.0.0 |
| サイバー リスク管理 | RMiT 11.4 | サイバー リスク管理 - 11.4 | 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する | 9.0.0 |
| サイバー リスク管理 | RMiT 11.4 | サイバー リスク管理 - 11.4 | インストールする必要があるのは、許可されている VM 拡張機能のみ | 1.0.0 |
| サイバー リスク管理 | RMiT 11.4 | サイバー リスク管理 - 11.4 | インストールする必要があるのは、許可されている VM 拡張機能のみ | 1.0.0 |
| サイバーセキュリティ操作 | RMiT 11.8 | サイバーセキュリティ操作 - 11.8 | 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 3.0.0 |
| サイバーセキュリティのコントロール メジャー | RMiT Appendix 5.2 | サイバーセキュリティのコントロール メジャー - 付録 5.2 | 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | 3.0.0 |
| サイバーセキュリティのコントロール メジャー | RMiT Appendix 5.2 | サイバーセキュリティのコントロール メジャー - 付録 5.2 | 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 3.0.0 |
| サイバーセキュリティのコントロール メジャー | RMiT Appendix 5.7 | サイバーセキュリティのコントロール メジャー - 付録 5.7 | 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | 3.0.0 |
| サイバーセキュリティのコントロール メジャー | RMiT Appendix 5.7 | サイバーセキュリティのコントロール メジャー - 付録 5.7 | インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | 3.0.0 |
| サイバーセキュリティのコントロール メジャー | RMiT Appendix 5.7 | サイバーセキュリティのコントロール メジャー - 付録 5.7 | 仮想マシン上の IP 転送を無効にする必要がある | 3.0.0 |
| サイバーセキュリティのコントロール メジャー | RMiT Appendix 5.7 | サイバーセキュリティのコントロール メジャー - 付録 5.7 | Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | 1.0.0 |
| サイバーセキュリティのコントロール メジャー | RMiT Appendix 5.7 | サイバーセキュリティのコントロール メジャー - 付録 5.7 | Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストー |