注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
インベントリと資産管理の推奨事項では、すべての Azure リソースのアクティブな管理 (インベントリ、追跡、修正) に関連する問題に対処することに重点を置いて、承認されたリソースのみがアクセス権を付与され、承認されていないリソースと管理されていないリソースが識別および削除されるようにします。
6.1: 自動資産検出ソリューションを使用する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.1 | 1.1, 1.2, 1.3, 1.4, 9.1, 12.1 | カスタマー |
Azure Resource Graph を使用して、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) を照会または検出します。 テナントで適切な (読み取り) アクセス許可を確保し、すべての Azure サブスクリプションとサブスクリプション内のリソースを列挙します。
クラシック Azure リソースは Resource Graph を介して検出される場合がありますが、今後は Azure Resource Manager リソースを作成して使用することを強くお勧めします。
6.2:資産メタデータを保持する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.2 | 1.5 | カスタマー |
メタデータを提供する Azure リソースにタグを適用して、論理的に分類に整理します。
6.3:承認されていない Azure リソースを削除する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.3 | 1.6 | カスタマー |
必要に応じて、タグ付け、管理グループ、および個別のサブスクリプションを使用して、資産の整理と追跡を行います。 定期的にインベントリを調整し、承認されていないリソースがタイムリーにサブスクリプションから削除されるようにします。
6.4: 承認された Azure リソースのインベントリを定義および管理する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.4 | 2.1 | カスタマー |
組織のニーズに応じて、承認された Azure リソースとコンピューティング リソース用の承認済みソフトウェアのインベントリを作成します。
6.5:承認されていない Azure リソースを監視する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.5 | 2.3, 2.4 | カスタマー |
Azure Policy を使用して、サブスクリプションで作成できるリソースの種類に制限を設けます。
Azure Resource Graph を使用して、サブスクリプション内のリソースに対してクエリを実行または検出します。 環境内に存在するすべての Azure リソースが承認されていることを確認します。
6.6: コンピューティング リソース内の未承認のソフトウェア アプリケーションを監視する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.6 | 2.3, 2.4 | カスタマー |
Azure 仮想マシン インベントリを使用して、Virtual Machines 上のすべてのソフトウェアに関する情報の収集を自動化します。 ソフトウェア名、バージョン、発行元、および更新時間は、Azure portal から入手できます。 インストール日やその他の情報にアクセスするには、ゲスト レベルの診断を有効にして、Windows イベント ログを Log Analytics ワークスペースに取り込みます。
6.7: 未承認の Azure リソースとソフトウェア アプリケーションを削除する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.7 | 2.5 | カスタマー |
Azure Security Center のファイル整合性監視 (Change Tracking) と仮想マシン インベントリを使用して、Virtual Machines にインストールされているすべてのソフトウェアを特定します。 承認されていないソフトウェアを削除するための独自のプロセスを実装できます。 また、サードパーティのソリューションを使用して、未承認のソフトウェアを特定することもできます。
6.8: 承認されたアプリケーションのみを使用する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.8 | 2.6 | カスタマー |
Azure Security Center Adaptive Application Controls を使用して、承認されたソフトウェアのみが実行され、すべての承認されていないソフトウェアが Azure Virtual Machines での実行をブロックされるようにします。
6.9: 承認された Azure サービスのみを使用する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.9 | 2.6 | カスタマー |
Azure Policy を使用して、環境内でプロビジョニングできるサービスを制限します。
6.10: 承認されたソフトウェア タイトルのインベントリを維持する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.10 | 2.7 | カスタマー |
Azure Security Center Adaptive Application Controls を使用して、ルールが適用されるファイルの種類と適用されないファイルの種類を指定します。
これが要件を満たしていない場合は、サード パーティのソリューションを実装します。
6.11: Azure Resource Manager と対話するユーザーの機能を制限する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.11 | 2.9 | カスタマー |
Azure 条件付きアクセスを使用して、"Microsoft Azure Management" アプリの "アクセスのブロック" を構成することで、ユーザーが Azure Resources Manager と対話する機能を制限します。
6.12: コンピューティング リソース内でスクリプトを実行するユーザーの能力を制限する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.12 | 2.9 | カスタマー |
スクリプトの種類によっては、オペレーティング システム固有の構成またはサードパーティのリソースを使用して、Azure コンピューティング リソース内でスクリプトを実行するユーザーの機能を制限できます。 また、Azure Security Center の適応型アプリケーション制御を利用して、承認されたソフトウェアのみが実行され、承認されていないすべてのソフトウェアが Azure Virtual Machines での実行をブロックされるようにすることもできます。
6.13: 高リスクアプリケーションを物理的または論理的に分離する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 6.13 | 2.9 | カスタマー |
ビジネス運用に必要であるが、組織のリスクが高くなる可能性があるソフトウェアは、独自の仮想マシンや仮想ネットワーク内で分離し、Azure Firewall またはネットワーク セキュリティ グループで十分にセキュリティ保護する必要があります。
次のステップ
- 次のセキュリティコントロールを参照してください: セキュリティで保護された構成