この記事では、Microsoft クラウド セキュリティ ベンチマーク v2 (プレビュー) に関連する Azure Policy 組み込みポリシー定義の一覧を示します。 ベンチマークの各コントロールは、1 つ以上の Azure Policy 定義にマップされます。
Azure Policy の準拠とは、ポリシー定義自体のみを指します。これにより、コントロールのすべての要件に完全に準拠しているわけではありません。 コンプライアンス標準には、現時点では Azure Policy 定義で対処されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。
このコンプライアンス標準のコントロールと Azure Policy 定義の間の関連付けは、時間の経過と同時に変化する可能性があります。
AI-1: 承認されたモデルを確実に使用する
詳細については、「 人工知能セキュリティ: AI-1: 承認済みモデルの使用を保証する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| [プレビュー]: Azure Machine Learning のデプロイでは、承認済みのレジストリ モデルのみを使用する必要がある | レジストリ モデルのデプロイを制限して、組織内で使用される外部で作成されたモデルを制御します | 監査;打ち消す;無効 | 1.0.0-preview |
| [プレビュー]: Azure Machine Learning モデルレジストリのデプロイは、許可されているレジストリを除いて制限されます | 許可されているレジストリにレジストリ モデルのみをデプロイし、制限はありません。 | n/a | 1.0.0-preview |
AM-2: 承認済みサービスのみを使用する
詳細については、「 資産管理: AM-2: 承認済みサービスのみを使用する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure API Management プラットフォームのバージョンは stv2 である必要がある | Azure API Management stv1 コンピューティング プラットフォームのバージョンは 2024 年 8 月 31 日をもって廃止され、引き続きサポートするには、これらのインスタンスを stv2 コンピューティング プラットフォームに移行する必要があります。 詳細については、API Management stv1 プラットフォームの提供終了に関するページを参照してください - グローバル Azure クラウド (2024 年 8 月) | 監査;打ち消す;無効 | 1.0.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | 監査;打ち消す;無効 | 1.0.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | 監査;打ち消す;無効 | 1.0.0 |
AM-3: 資産ライフサイクル管理のセキュリティを確保する
詳細については、「 資産管理: AM-3: 資産ライフサイクル管理のセキュリティを確保する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| 使用されていない API エンドポイントは、無効にし、Azure API Management サービスから削除する必要があります | セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは使用されていないと見なされるため、Azure API Management サービスから削除する必要があります。 未使用の API エンドポイントを保持すると、組織にセキュリティ上のリスクが発生する可能性があります。 これらは、Azure API Management サービスで非推奨になっているはずが、誤ってアクティブなままになっている API である可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。 | AuditIfNotExists;無効 | 1.0.1 |
BR-1: 定期的な自動バックアップを確保する
詳細については、「 バックアップと回復: BR-1: 定期的な自動バックアップを確保する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists;無効 | 3.0.0 |
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | 監査;無効 | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | 監査;無効 | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | 監査;無効 | 1.0.1 |
BR-2: バックアップと回復データを保護する
詳細については、「 バックアップと回復: BR-2: バックアップと回復データの保護」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists;無効 | 3.0.0 |
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | 監査;無効 | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | 監査;無効 | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | 監査;無効 | 1.0.1 |
| [プレビュー]: Recovery Services コンテナーに対して不変性を有効にする必要がある | このポリシーでは、スコープ内の Recovery Services コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、 Azure Backup の不変コンテナーの概念に関するページを参照してください。 | 監査;無効 | 1.0.1-preview |
| [プレビュー]: バックアップ コンテナーに対して不変性を有効にする必要がある | このポリシーは、スコープ内のバックアップ コンテナーに対して不変コンテナー プロパティが有効になっているかどうかを監査します。 これにより、予定した有効期限より前にバックアップ データが削除されるのを防ぐことができます。 詳細については、 Azure Backup の不変コンテナーの概念に関するページを参照してください。 | 監査;無効 | 1.0.1-preview |
| [プレビュー]: バックアップ コンテナーに対して論理的な削除を有効にする必要がある | このポリシーは、スコープ内のバックアップ コンテナーに対して論理的な削除が有効になっているかどうかを監査します。 論理的な削除は、データが削除された後に回復するのに役立ちます。 詳細については、Azure Backup の強化された論理的な削除の概要を参照してください | 監査;無効 | 1.0.0-preview |
DP-1: 機密データの検出
詳細については、「 データ保護: DP-1: 機密データの検出」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists;無効 | 1.0.3 |
DP-2: 機密データを対象とする異常と脅威を監視する
詳細については、「 データ保護: DP-2: 機密データを対象とする異常と脅威を監視する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists;無効 | 1.0.2 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists;無効 | 1.0.2 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists;無効 | 1.0.2 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープン ソース リレーショナル データベースに対する Azure Defender の機能の詳細については、「Open-Source リレーショナル データベースの Defender の概要」を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 Security Center の価格ページの価格について説明します。 価格 - Microsoft Defender for Cloud | AuditIfNotExists;無効 | 1.0.0 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists;無効 | 1.0.3 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists;無効 | 1.0.0 |
DP-3: 転送中の機密データの暗号化
詳細については、「 データ保護: DP-3: 転送中の機密データの暗号化」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| API Management APIs では暗号化されたプロトコルのみを使用する必要があります | 転送中のデータのセキュリティを確保するために、HTTPS や WSS などの暗号化されたプロトコル経由でのみ API を使用できるようにする必要があります。 HTTP や WS などのセキュリティで保護されていないプロトコルの使用は避けてください。 | 監査;無効;打ち消す | 2.0.2 |
| App Service Environment は最強の TLS 暗号スイートを使用して構成する必要がある | App Service Environment が正常に機能するために必要な、最小と最強の 2 つの暗号スイートは次のとおりです: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 および TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | 監査;無効 | 1.0.0 |
| App Service Environment では、TLS 1.0 および 1.1 を無効にする必要がある | TLS 1.0 と 1.1 は古いプロトコルであり、最新の暗号アルゴリズムはサポートしていません。 TLS 1.0 と 1.1 の受信トラフィックを無効にすると、App Service Environment でアプリを守ることになります。 | 監査;打ち消す;無効 | 2.0.1 |
| App Service Environment では内部暗号化を有効にする必要がある | InternalEncryption を true に設定すると、App Service Environment のフロント エンドと worker の間で、ページファイル、worker ディスク、内部ネットワーク トラフィックが暗号化されます。 詳細については、「 App Service Environment のカスタム構成設定」を参照してください。 | 監査;無効 | 1.0.1 |
| App Service アプリ スロットでエンド ツー エンド暗号化を有効にする必要がある | エンド ツー エンド暗号化を有効にすると、App Service フロントエンドとアプリケーション ワークロードを実行しているワーカーとの間のフロントエンドクラスター内トラフィックが暗号化されます。 | 監査;打ち消す;無効 | 1.0.0 |
| App Service アプリ スロットでは、最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists;無効 | 1.2.0 |
| App Service アプリでエンド ツー エンド暗号化を有効にする必要がある | エンド ツー エンド暗号化を有効にすると、App Service フロントエンドとアプリケーション ワークロードを実行しているワーカーとの間のフロントエンドクラスター内トラフィックが暗号化されます。 | 監査;打ち消す;無効 | 1.0.0 |
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | 監査;無効;打ち消す | 4.0.0 |
| App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists;無効 | 3.0.0 |
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists;無効 | 2.2.0 |
| Azure Batch プールでディスク暗号化を有効にする必要があります | Azure Batch ディスク暗号化を有効にすると、Azure Batch コンピューティング ノードで保存時にデータが常に暗号化されます。 Batch でのディスク暗号化の詳細については、「ディスク暗号化 を有効にしたプールを作成する」を参照してください。 | 監査;無効;打ち消す | 1.0.0 |
| Azure Front Door Standard と Premium は、最小 TLS バージョン 1.2 を実行している必要があります | TLS の最小バージョンを 1.2 に設定すると、TLS 1.2 以降を使用してカスタム ドメインにクライアントからアクセスできるようにすることで、セキュリティが向上します。 TLS が 1.2 未満のバージョンは脆弱であり、最新の暗号アルゴリズムをサポートしていないため、使用することはお勧めしません。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure HDInsight クラスターでは、転送中の暗号化を使用して Azure HDInsight クラスター ノード間の通信を暗号化する必要がある | データは、Azure HDInsight クラスター ノード間の転送中に改ざんされる可能性があります。 転送中の暗号化を有効にすると、この転送中の誤用や改ざんの問題に対処できます。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります | TLS バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | 監査;無効;打ち消す | 2.0.0 |
| Bot Service エンドポイントは有効な HTTPS URI である必要があります | データは転送中に改ざんされる可能性があります。 不正使用や改ざんの問題に対処するための暗号化を提供するプロトコルが存在します。 ボットが暗号化されたチャネル経由でのみ通信していることを確認するには、エンドポイントを有効な HTTPS URI に設定します。 これにより、転送中のデータを暗号化するために HTTPS プロトコルが使用されることが保証され、多くの場合、規制や業界標準に準拠するための要件でもあります。 Bot Framework のセキュリティ ガイドラインにアクセスしてください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 1.1.0 |
| MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | 監査;無効 | 1.0.1 |
| PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | 監査;無効 | 1.0.1 |
| 関数アプリ スロットでエンドツーエンドの暗号化を有効にする必要がある | エンド ツー エンド暗号化を有効にすると、App Service フロントエンドとアプリケーション ワークロードを実行しているワーカーとの間のフロントエンドクラスター内トラフィックが暗号化されます。 | 監査;打ち消す;無効 | 1.1.0 |
| 関数アプリ スロットでは、最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists;無効 | 1.3.0 |
| 関数アプリでエンドツーエンドの暗号化を有効にする必要がある | エンド ツー エンド暗号化を有効にすると、App Service フロントエンドとアプリケーション ワークロードを実行しているワーカーとの間のフロントエンドクラスター内トラフィックが暗号化されます。 | 監査;打ち消す;無効 | 1.1.0 |
| 関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | 監査;無効;打ち消す | 5.1.0 |
| 関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists;無効 | 3.1.0 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists;無効 | 2.3.0 |
| Kubernetes クラスターには HTTPS 経由でのみアクセスできる必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、「Azure Policy for Kubernetes クラスターについて」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 8.2.0 |
| Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | 監査;打ち消す;無効 | 1.0.0 |
| PostgreSQL フレキシブル サーバーで TLS バージョン 1.2 以降が実行されている必要がある | このポリシーは、TLS バージョンが 1.2 未満で実行されている環境内の PostgreSQL フレキシブル サーバーを監査するのに役立ちます。 | AuditIfNotExists;無効 | 1.1.0 |
| SQL Managed Instance の TLS の最小バージョンは 1.2 である必要があります | 最小 TLS バージョンを 1.2 に設定すると、SQL Managed Instance に TLS 1.2 を使用するクライアントからのみアクセスできるようにすることで、セキュリティが向上します。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | 監査;無効 | 1.0.1 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | 監査;打ち消す;無効 | 2.0.0 |
| ストレージ アカウントには、指定された最小 TLS バージョンが必要 | クライアント アプリケーションとストレージ アカウントの間でのセキュリティで保護された通信のために、最小 TLS バージョンを構成します。 セキュリティ リスクを最小限に抑えるために、推奨される最小 TLS バージョンは最新のリリース バージョン (現在は TLS 1.2) となります。 | 監査;打ち消す;無効 | 1.0.0 |
| Windows マシンを安全な通信プロトコルを使うように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists;無効 | 4.1.1 |
| [プレビュー]: Azure Stack HCI システムでホストと VM ネットワークを保護する必要がある | Azure Stack HCI ホストのネットワーク上と仮想マシン ネットワーク接続上のデータを保護します。 | 監査;無効;AuditIfNotExists | 1.0.0-preview |
DP-4: 保存データ暗号化を既定で有効にする
詳細については、「 データ保護: DP-4: 保存データの暗号化を既定で有効にする」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| MySQL サーバーに対して Microsoft Entra 管理者をプロビジョニングする必要がある | MySQL サーバーに対して Microsoft Entra 管理者のプロビジョニングを監査して、Microsoft Entra 認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists;無効 | 1.1.1 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | 監査;打ち消す;無効 | 1.1.0 |
| Azure Data Box ジョブでは、デバイス上の保存データの二重暗号化を有効にする必要がある | デバイス上の保存データに対して、ソフトウェア ベースの暗号化の第 2 層を有効にします。 デバイスは、保存データ用の Advanced Encryption Standard 256 ビット暗号化によって既に保護されています。 このオプションでは、データ暗号化の 2 番目のレイヤーが追加されます。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Edge Hardware Center デバイスで二重暗号化のサポートが有効になっている必要がある | Azure Edge Hardware Center から注文されたデバイスで、デバイス上の保存データをセキュリティで保護するために、二重暗号化のサポートが有効になっていることを確認します。 このオプションでは、データ暗号化の 2 番目のレイヤーが追加されます。 | 監査;打ち消す;無効 | 2.0.0 |
| Azure HDInsight クラスターでは、ホストでの暗号化を使用して保存データを暗号化する必要がある | ホストで暗号化を有効にすると、組織のセキュリティとコンプライアンスのコミットメントを満たすためにデータを保護し、保護できます。 ホストでの暗号化を有効にすると、VM ホスト上の格納データは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Monitor ログ クラスターはインフラストラクチャ暗号化を有効にして作成する必要がある (二重暗号化) | 2 種類の暗号化アルゴリズムと 2 種類のキーを使用を使用して、サービス レベルおよびインフラストラクチャ レベルでデータ暗号化の安全を確保するには、Azure Monitor 専用クラスターを使用します。 このオプションは、リージョンでサポートされている場合に既定で有効になります。 Azure Monitor カスタマー マネージド キーに関するページを参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 1.1.0 |
| Azure MySQL フレキシブル サーバーで Microsoft Entra 専用認証を有効にする必要がある | ローカル認証方法を無効にして Microsoft Entra 認証のみを許可すると、Azure MySQL フレキシブル サーバーへは Microsoft Entra の ID のみでアクセスできるようになるため、セキュリティが向上します。 | AuditIfNotExists;無効 | 1.0.1 |
| Azure NetApp Files SMB ボリュームで SMB3 暗号化を使用する必要がある | データの整合性とデータのプライバシーを確保するために、SMB3 暗号化なしで SMB ボリュームの作成を禁止します。 | 監査;打ち消す;無効 | 1.0.0 |
| NFSv4.1 型の Azure NetApp Files ボリュームでは、Kerberos データ暗号化を使用する必要があります | Kerberos プライバシー (5p) セキュリティ モードの使用のみを許可して、データが確実に暗号化されるようにします。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Stack Edge デバイスでは二重暗号化を使用する必要がある | デバイス上の保存データをセキュリティで保護するには、データが二重暗号化され、データへのアクセスが制御されていることを確認し、デバイスが非アクティブ化されると、データはデータ ディスクから安全に消去されます。 二重暗号化は、2 つの暗号化レイヤーを使用することです。BitLocker XTS-AES データ ボリュームでの 256 ビット暗号化と、ハード ドライブの組み込みの暗号化です。 詳細については、特定の Stack Edge デバイスのセキュリティの概要に関するドキュメントを参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 1.1.0 |
| Azure Data Explorer でディスク暗号化を有効にする必要がある | ディスク暗号化を有効にすると、組織のセキュリティとコンプライアンスのコミットメントを満たすために、データの保護と保護に役立ちます。 | 監査;打ち消す;無効 | 2.0.0 |
| Azure Data Explorer で二重暗号化を有効にする必要がある | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | 監査;打ち消す;無効 | 2.0.0 |
| Event Hub の名前空間では二重暗号化を有効にする必要があります | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Database for MySQL サーバーでインフラストラクチャ暗号化を有効にする必要がある | Azure Database for MySQL サーバーのインフラストラクチャ暗号化を有効にして、データがセキュリティで保護されていることをより高いレベルで保証します。 インフラストラクチャ暗号化が有効になっている場合、保存データは FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Database for PostgreSQL サーバーでインフラストラクチャ暗号化を有効にする必要がある | Azure Database for PostgreSQL サーバーのインフラストラクチャ暗号化を有効にして、データがセキュリティで保護されていることをより高いレベルで保証します。 インフラストラクチャ暗号化が有効になっている場合、保存データは FIPS 140-2 準拠の Microsoft マネージド キーを使用して 2 回暗号化されます | 監査;打ち消す;無効 | 1.0.0 |
| Linux 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用して修復します。 マネージド ディスク暗号化オプションの概要で暗号化オファリングを比較してください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、「 Azure Machine Configuration について」を参照してください。 | AuditIfNotExists;無効 | 1.2.1 |
| マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | セキュリティに対する要件が高く、特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているお客様は、プラットフォーム マネージド暗号化キーを使用してインフラストラクチャ レイヤーに異なる暗号化アルゴリズムまたはモードを使用することにより、暗号化の追加レイヤーを設けることを選ぶことができます。 二重暗号化を使用するには、ディスク暗号化セットが必要です。 詳細については、 Azure マネージド ディスクのサーバー側暗号化に関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Microsoft Azure Service Bus の名前空間では二重暗号化を有効にする必要があります | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | 監査;打ち消す;無効 | 1.0.0 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | 監査;打ち消す;無効 | 1.1.0 |
| ストレージ アカウントはインフラストラクチャ暗号化を行う必要がある | インフラストラクチャ暗号化を有効にして、データが安全であることをより高いレベルで保証します。 インフラストラクチャ暗号化が有効な場合、ストレージ アカウントのデータは 2 回暗号化されます。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある | データ セキュリティを強化するために、Azure Kubernetes Service ノード仮想マシン (VM) の VM ホストに格納されているデータは、保存時に暗号化する必要があります。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | 監査;打ち消す;無効 | 1.0.1 |
| Arc SQL マネージド インスタンスに対して Transparent Data Encryption を有効にする必要があります。 | Azure Arc 対応 SQL Managed Instance で保存時の Transparent Data Encryption (TDE) を有効にします。 詳細については、「 Azure Arc で有効になっている SQL Managed Instance で透過的なデータ暗号化を使用してデータベースを暗号化する」を参照してください。 | 監査;無効 | 1.0.0 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists;無効 | 2.0.0 |
| 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、 ホストでの暗号化を使用したエンドツーエンドの暗号化の有効化に関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Windows 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 Azure Disk Encryption または EncryptionAtHost を使用して修復します。 マネージド ディスク暗号化オプションの概要で暗号化オファリングを比較してください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、「 Azure Machine Configuration について」を参照してください。 | AuditIfNotExists;無効 | 1.1.1 |
DP-5: 必要に応じて保存データの暗号化でカスタマー マネージド キー オプションを使用する
詳細については、「 データ保護: DP-5: 必要に応じて保存データの暗号化でカスタマー マネージド キー オプションを使用する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure AI サービス リソースでは、カスタマー マネージド キー (CMK) を使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して保存データを暗号化すると、キーのローテーションや管理など、キーのライフサイクルをより詳細に制御できます。 これは、関連するコンプライアンス要件がある組織に特に関係します。 これは既定では評価されず、コンプライアンスで、または制限的なポリシー要件で必要な場合にのみ適用する必要があります。 有効でない場合、データはプラットフォームマネージド キーを使用して暗号化されます。 これを実装するには、該当するスコープのセキュリティ ポリシーの "Effect" パラメーターを更新します。 | 監査;打ち消す;無効 | 2.2.0 |
| Azure API for FHIR では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | これが規制またはコンプライアンスの要件である場合は、カスタマー マネージド キーを使用して、Azure API for FHIR に格納されている残りのデータの暗号化を制御します。 カスタマー マネージド キーでは、サービス マネージド キーで行われる既定の暗号化の上に 2 つ目の暗号化レイヤーを追加することで、二重暗号化も実現します。 | 監査;監査;無効;無効 | 1.1.0 |
| Azure Automation アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Automation アカウントの残りの部分の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、 Azure Automation でのセキュリティで保護された資産の暗号化に関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Batch アカウントではデータの暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Batch アカウントのデータの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、 Batch アカウントのデータ暗号化に関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.1 |
| Azure Cache for Redis Enterprise では、ディスク データの暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キー (CMK) を使用して、ディスク上のデータの保存時の暗号化を管理します。 既定では、顧客データはプラットフォーム マネージド キー (PMK) を使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、 Azure Cache for Redis でのディスク暗号化の構成に関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Container Instance コンテナー グループでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟にコンテナーをセキュリティで保護します。 カスタマー マネージド キーを指定すると、そのキーは、データを暗号化するキーへのアクセスを保護および制御するために使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | 監査;無効;打ち消す | 1.0.0 |
| Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、「 Customer-Managed キーの構成」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 1.1.0 |
| Azure Data Box ジョブでは、カスタマー マネージド キーを使用してデバイスのロック解除パスワードを暗号化する必要があります | カスタマー マネージド キーを使用して、Azure Data Box のデバイス ロック解除パスワードの暗号化を制御します。 カスタマー マネージド キーは、Data Box サービスによるデバイスロック解除パスワードへのアクセスを管理して、デバイスを準備し、データを自動でコピーするのにも役立ちます。 デバイス自体のデータは、Advanced Encryption Standard 256 ビット暗号化を使用して保存時に既に暗号化されており、デバイスのロック解除パスワードは既定で Microsoft マネージド キーで暗号化されます。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Data Explorer の保存時の暗号化では、カスタマー マネージド キーを使用する必要がある | Azure Data Explorer クラスターでカスタマー マネージド キーを使用して保存時の暗号化を有効にすると、保存時の暗号化で使用されるキーをさらに制御できます。 この機能は、多くの場合、特別なコンプライアンス要件を持つお客様に適用され、キーを管理するために Key Vault が必要になります。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Databricks ワークスペースは、プライベート リンク、暗号化用のカスタマー マネージド キーなどの機能をサポートする Premium SKU である必要があります | 暗号化用のカスタマー マネージド キーである Private Link などの機能をサポートするために組織がデプロイできる Premium SKU を持つ Databricks ワークスペースのみを許可します。 詳細情報: Azure Databricks へのバックエンド プライベート接続を構成する。 | 監査;打ち消す;無効 | 1.0.1 |
| Azure Device Update アカウントでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | Azure Device Update でカスタマー マネージド キーを使用して保存データを暗号化すると、既定のサービスマネージド キーの上に 2 つ目の暗号化レイヤーが追加され、キーの顧客制御、カスタム ローテーション ポリシー、キー アクセス制御を通じてデータへのアクセスを管理する機能が可能になります。 詳細については、「Device Update for IoT Hub のデータ暗号化」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure HDInsight クラスターでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure HDInsight クラスターの残りの部分の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、 保存データの二重暗号化に関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.1 |
| Azure Health ボットでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キー (CMK) を使用して、正常性ボットの残りのデータの暗号化を管理します。 既定では、データはサービスマネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには一般的に CMK が必要です。 CMK を使用すると、ユーザーが作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、医療エージェント サービスでのデータ暗号化のためのカスタマー マネージド キーの構成に関するページを参照してください | 監査;無効 | 1.0.0 |
| Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、「 Azure Resource Manager テンプレートを使用してワークスペースを作成する」を参照してください。 | 監査;打ち消す;無効 | 1.1.0 |
| Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要があります | カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、「 Azure Resource Manager テンプレートを使用してワークスペースを作成する」を参照してください。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure Monitor ログ クラスターは、カスタマー マネージド キーを使用して暗号化する必要がある | Azure Monitor ログ クラスターは、カスタマー マネージド キー暗号化を使用して作成します。 既定では、ログ データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンスを満たすには、一般にカスタマー マネージド キーが必要です。 Azure Monitor のカスタマー マネージド キーを使用すると、データへのアクセスをより詳細に制御できます。 「Azure Monitor でカスタマー マネージド キーを構成する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 1.1.0 |
| Azure Stream Analytics ジョブでは、データの暗号化にカスタマー マネージド キーを使用する必要がある | Stream Analytics ジョブのメタデータとプライベート データ資産をストレージ アカウントに安全に格納する場合は、カスタマー マネージド キーを使用します。 これにより、Stream Analytics データの暗号化方法を完全に制御できます。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 1.1.0 |
| Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Synapse ワークスペースに格納されている残りのデータの暗号化を制御します。 カスタマー マネージド キーは、サービス マネージド キーを使用した既定の暗号化の上に 2 つ目の暗号化レイヤーを追加することで、二重暗号化を実現します。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure データ ファクトリは、カスタマー マネージド キーを使用して暗号化する必要があります | カスタマー マネージド キーを使用して、Azure Data Factory の残りの部分の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、 カスタマー マネージド キーを使用した Azure Data Factory の暗号化に関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.1 |
| Azure ロード テスト リソースでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | カスタマー マネージド キー (CMK) を使用して、Azure Load Testing リソースの保存時の暗号化を管理します。 既定では、暗号化はサービス マネージド キーを使用して行われます。カスタマー マネージド キーを使用すると、ユーザーが作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、「 Azure Key Vault を使用して Azure Load Testing 用にカスタマー マネージド キーを構成する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Bot Service はカスタマー マネージド キーを使用して暗号化する必要がある | Azure Bot Service は、リソースを自動的に暗号化してデータを保護し、組織のセキュリティとコンプライアンスのコミットメントを満たします。 既定では、Microsoft が管理する暗号化キーが使用されます。 キーの管理やサブスクリプションへのアクセスの制御の柔軟性を高めるために、カスタマー マネージド キー (Bring Your Own Key (BYOK) とも呼ばれます) を選択します。 Azure Bot Service 暗号化の詳細については、Azure AI Bot Service による保存データの暗号化に関するページを参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 1.1.0 |
| Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して OS とデータ ディスクを暗号化することで、キー管理をより細かく制御し、柔軟性を高めることができます。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | 監査;打ち消す;無効 | 1.0.1 |
| コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、 Azure Container Registry のCustomer-Managed キーに関するページを参照してください。 | 監査;打ち消す;無効 | 1.1.2 |
| カスタマー マネージド キー暗号化は、Arc SQL マネージド インスタンスの CMK 暗号化の一部として使用する必要があります。 | CMK 暗号化の一部として、カスタマー マネージド キー暗号化を使用する必要があります。 詳細については、「 Azure Arc で有効になっている SQL Managed Instance で透過的なデータ暗号化を使用してデータベースを暗号化する」を参照してください。 | 監査;無効 | 1.0.0 |
| DICOM サービスでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります | これが規制またはコンプライアンスの要件である場合は、カスタマー マネージド キーを使用して、Azure Health Data Services DICOM サービスに格納されている残りのデータの暗号化を制御します。 カスタマー マネージド キーでは、サービス マネージド キーで行われる既定の暗号化の上に 2 つ目の暗号化レイヤーを追加することで、二重暗号化も実現します。 | 監査;無効 | 1.0.0 |
| ElasticSan ボリューム グループでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して、VolumeGroup の残りの部分の暗号化を管理します。 既定では、顧客データはプラットフォームで管理されるキーで暗号化されますが、CMK は一般的に規制コンプライアンス標準を満たすために必要です。 カスタマー マネージド キーを使用すると、ローテーションや管理など、完全な制御と責任を持って、ユーザーが作成および所有する Azure Key Vault キーを使用してデータを暗号化できます。 | 監査;無効 | 1.0.0 |
| イベント ハブの名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある | Azure Event Hubs では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するためにイベント ハブで使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 イベント ハブでは、専用クラスター内の名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 | 監査;無効 | 1.0.0 |
| FHIR サービスでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります | 規制またはコンプライアンスの要件である場合は、カスタマー マネージド キーを使用して、Azure Health Data Services FHIR サービスに格納されている残りのデータの暗号化を制御します。 カスタマー マネージド キーでは、サービス マネージド キーで行われる既定の暗号化の上に 2 つ目の暗号化レイヤーを追加することで、二重暗号化も実現します。 | 監査;無効 | 1.0.0 |
| Fluid Relay では、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Fluid Relay サーバーの残りの部分の暗号化を管理します。 既定では、顧客データはサービスマネージド キーで暗号化されますが、CMK は一般的に規制コンプライアンス標準を満たすために必要です。 カスタマー マネージド キーを使用すると、ローテーションや管理など、完全な制御と責任を持って、ユーザーが作成および所有する Azure Key Vault キーを使用してデータを暗号化できます。 詳細については、 Azure Fluid Relay 暗号化のカスタマー マネージド キーを参照してください。 | 監査;無効 | 1.0.0 |
| HPC Cache アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure HPC Cache の保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 | 監査;無効;打ち消す | 2.0.0 |
| Logic Apps 統合サービス環境は、カスタマー マネージド キーを使用して暗号化する必要がある | Integration Service Environment にデプロイして、カスタマー マネージド キーを使用して Logic Apps データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 | 監査;打ち消す;無効 | 1.0.0 |
| マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | セキュリティに対する要件が高く、特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているお客様は、プラットフォーム マネージド暗号化キーを使用してインフラストラクチャ レイヤーに異なる暗号化アルゴリズムまたはモードを使用することにより、暗号化の追加レイヤーを設けることを選ぶことができます。 二重暗号化を使用するには、ディスク暗号化セットが必要です。 詳細については、 Azure マネージド ディスクのサーバー側暗号化に関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある | ディスク暗号化セットの特定のセットをマネージド ディスクで使用することを必須にすることにより、保存時の暗号化に使用するキーを制御できます。 ディスクに接続する際に、許可された暗号化セットを選択することはできますが、他のすべては拒否されます。 詳細については、 Azure マネージド ディスクのサーバー側暗号化に関するページを参照してください。 | 監査;打ち消す;無効 | 2.0.0 |
| MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、MySQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 | AuditIfNotExists;無効 | 1.0.4 |
| OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して、マネージド ディスクのコンテンツ保存時の暗号化を管理します。 既定では、データはプラットフォーム マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 詳細については、 Azure マネージド ディスクのサーバー側暗号化に関するページを参照してください。 | 監査;打ち消す;無効 | 3.0.0 |
| PostgreSQL フレキシブル サーバーでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、PostgreSQL フレキシブル サーバーの残りの部分での暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 | 監査;打ち消す;無効 | 1.1.0 |
| PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 | AuditIfNotExists;無効 | 1.0.4 |
| Queue Storage では暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に Queue Storage をセキュリティで保護します。 カスタマー マネージド キーを指定すると、そのキーは、データを暗号化するキーへのアクセスを保護および制御するために使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | 監査;打ち消す;無効 | 1.0.0 |
| SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | 監査;打ち消す;無効 | 2.0.0 |
| SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | 監査;打ち消す;無効 | 2.0.1 |
| Service Bus Premium の名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある | Azure Service Bus では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するために Service Bus で使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 Service Bus では、Premium 名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 | 監査;無効 | 1.0.0 |
| ストレージ アカウントの暗号化スコープでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | ストレージ アカウントの暗号化スコープの保存データを管理するには、カスタマー マネージド キーを使用します。 カスタマー マネージド キーを使用すると、自分で作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 ストレージ アカウントの暗号化スコープの詳細については、 Blob Storage の暗号化スコープを参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| ストレージ アカウントの暗号化スコープでは、保存データに対して二重暗号化を使用する必要がある | セキュリティを強化するために、ストレージ アカウント暗号化スコープの保存時の暗号化に対して、インフラストラクチャ暗号化を有効にします。 インフラストラクチャ暗号化により、データが 2 回暗号化されます。 | 監査;打ち消す;無効 | 1.0.0 |
| ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、そのキーは、データを暗号化するキーへのアクセスを保護および制御するために使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | 監査;無効 | 1.0.3 |
| Table Storage では暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に Table Storage をセキュリティで保護します。 カスタマー マネージド キーを指定すると、そのキーは、データを暗号化するキーへのアクセスを保護および制御するために使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | 監査;打ち消す;無効 | 1.0.0 |
| [非推奨]: SIM グループは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります | このポリシーは、Microsoft.MobileNetwork リソース プロバイダーが代わりなしで使用停止になったため、非推奨とされます。 このポリシーのすべての割り当てと、そのポリシーへのすべての参照をイニシアチブから削除することをお勧めします。 ポリシー定義の廃止の詳細については、aka.ms/policydefdeprecation を参照してください。 | 監査;打ち消す;無効 | 1.1.0-非推奨 |
| [プレビュー]: Azure Stack HCI システムでは暗号化されたボリュームを使用する必要がある | BitLocker を使って Azure Stack HCI システム上の OS とデータのボリュームを暗号化します。 | 監査;無効;AuditIfNotExists | 1.0.0-preview |
DP-6: セキュリティで保護されたキー管理プロセスを使用する
詳細については、「 データ保護: DP-6: セキュリティで保護されたキー管理プロセスを使用する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するには、Azure Key Vault からシークレットの名前付きの値を参照します。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。 | 監査;無効;打ち消す | 1.0.2 |
| Azure Cosmos DB アカウントは、前回のアカウント キーの再生成以降に許可される最大日数を超えないようにする必要があります。 | データの保護を高めるために、指定した時間内にキーを再生成します。 | 監査;無効 | 1.0.0 |
| Key Vault キーには有効期限が必要である | 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | 監査;打ち消す;無効 | 1.0.2 |
| Key Vault シークレットには有効期限が必要である | シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 | 監査;打ち消す;無効 | 1.0.2 |
| キーには、作成後指定された日数以内にローテーションがスケジュールされることを保証するローテーション ポリシーが含まれている必要があります。 | キーの作成後にローテーションが必要になるまでの最大日数を指定して、組織のコンプライアンス要件を管理します。 | 監査;無効 | 1.0.0 |
| キーには最長有効期間を指定する必要がある | キー コンテナー内でのキーの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 | 監査;打ち消す;無効 | 1.0.1 |
| 指定された日数より長くキーをアクティブにすることはできない | キーをアクティブにする日数を指定します。 長期間にわたって使用されるキーによって、攻撃者がキーを侵害する確率が高くなります。 適切なセキュリティ プラクティスとして、2 年を超えてキーがアクティブになっていないことを確認してください。 | 監査;打ち消す;無効 | 1.0.1 |
| シークレットの有効期限は、指定された日数より先の日付を指定する必要がある | シークレットの有効期限が近すぎると、シークレットをローテーションする組織での遅延によって障害が発生するおそれがあります。 シークレットは、エラーに対処するための十分な時間を確保するために、有効期限よりも指定された日数だけ前にローテーションされる必要があります。 | 監査;打ち消す;無効 | 1.0.1 |
| シークレットには最長有効期間を指定する必要がある | キー コンテナー内でのシークレットの最長有効期間を日単位で指定して、組織のコンプライアンス要件を管理します。 | 監査;打ち消す;無効 | 1.0.1 |
| 指定された日数より長くシークレットをアクティブにすることはできない | シークレットの作成時に将来のアクティベーション日が設定されている場合、シークレットが指定された期間より長い間アクティブになっていないことを確認する必要があります。 | 監査;打ち消す;無効 | 1.0.1 |
| ストレージ アカウント キーが期限切れにならないようにする必要がある | アカウント キーのセキュリティを向上させるために、キーの有効期限ポリシーが設定されている場合、ユーザー ストレージ アカウント キーが期限切れになるときにアクションを行うことによって、それらのキーが期限切れにならないようにしてください。 | 監査;打ち消す;無効 | 3.0.0 |
DP-7: セキュリティで保護された証明書管理プロセスを使用する
詳細については、「 データ保護: DP-7: セキュリティで保護された証明書管理プロセスを使用する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| 証明書には最長有効期間を指定する必要がある | キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 2.2.1 |
| 証明書には最長有効期間を指定する必要がある | キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 2.2.1 |
| 証明書は、指定された日数内に期限が切れてはいけない | 指定した日数内に期限が切れる証明書を、有効期限が切れる前に組織が証明書をローテーションするための十分な時間を確保できるように管理します。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 2.1.1 |
DP-8: キーと証明書リポジトリのセキュリティを確保する
詳細については、「 データ保護: DP-8: キーと証明書リポジトリのセキュリティを確保する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Key Vault でファイアウォールが有効になっているか、パブリック ネットワーク アクセスが無効になっている必要があります | Key Vault ファイアウォールを有効にして、キー コンテナーが既定でパブリック IP からアクセスできないようにするか、キー コンテナーのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細情報: Azure Key Vault のネットワーク セキュリティ と Key Vault と Azure Private Link の統合 | 監査;打ち消す;無効 | 3.3.0 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、「 Key Vault と Azure Private Link の統合」を参照してください。 | 監査;打ち消す;無効 | 1.2.1 |
| キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | 監査;打ち消す;無効 | 2.1.0 |
| キー コンテナーで論理的な削除が有効になっている必要がある | 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 | 監査;打ち消す;無効 | 3.1.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 5.0.0 |
DS-6: ワークロードのライフサイクルをセキュリティで保護する
詳細については、「 DevOps セキュリティ: DS-6: ワークロードのライフサイクルをセキュリティで保護する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists;無効 | 1.0.1 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists;無効 | 1.0.1 |
ES-1: エンドポイントの検出と応答 (EDR) を使用する
詳細については、「 エンドポイント セキュリティ: ES-1: エンドポイントの検出と応答 (EDR) の使用」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists;無効 | 1.0.3 |
ES-2: 最新のマルウェア対策ソフトウェアを使用する
詳細については、「 エンドポイント セキュリティ: ES-2: 最新のマルウェア対策ソフトウェアを使用する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists;無効 | 2.0.0 |
IM-1: 自動ツールを使用して異常を監視する
詳細については、「 ID 管理: IM-1: 自動化されたツールを使用して異常を監視する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| PostgreSQL サーバーに対して Microsoft Entra 管理者をプロビジョニングする必要がある | PostgreSQL サーバーに対する Microsoft Entra 管理者のプロビジョニングを監査して、Microsoft Entra 認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists;無効 | 1.0.1 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists;無効 | 1.0.0 |
| App Service アプリでは、FTP デプロイに対してローカル認証の方法を無効にする必要がある | FTP デプロイのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細情報: App Service での基本認証の無効化。 | AuditIfNotExists;無効 | 1.0.3 |
| App Service アプリでは、SCM サイトのデプロイに対してローカル認証の方法を無効にする必要がある | SCM サイトのローカル認証方法を無効にすると、App Services の認証で Microsoft Entra の ID のみが要求されるようになるため、セキュリティが向上します。 詳細情報: App Service での基本認証の無効化。 | AuditIfNotExists;無効 | 1.0.3 |
| Application Insights コンポーネントでは、非 Azure Active Directory ベースの取り込みをブロックする必要がある。 | ログの取り込みで Azure Active Directory 認証を必須にするように強制すると、不正な状態、誤ったアラート、不正なログがシステムに保存されてしまうおそれのある、攻撃者からの認証されていないログが防止されます。 | 打ち消す;監査;無効 | 1.0.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細情報: Azure AI サービスでの認証 | 監査;打ち消す;無効 | 1.1.0 |
| Azure Kubernetes Service クラスターでは Microsoft Entra ID 統合が有効になっている必要がある | ユーザーの ID またはディレクトリ グループ メンバーシップに基づいて Kubernetes のロールベースのアクセス制御 (Kubernetes RBAC) を構成すると、AKS マネージド Microsoft Entra ID 統合で、クラスターへのアクセスを管理できます。 詳細情報: Azure Kubernetes Service クラスターで AKS で管理される Microsoft Entra 統合を有効にする。 | 監査;無効 | 1.0.2 |
| Azure Machine Learning コンピューティングでローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Machine Learning コンピューティングで認証専用の Azure Active Directory ID が必要になり、セキュリティが向上します。 詳細情報: Azure Machine Learning の Azure Policy 規制コンプライアンスコントロール。 | 監査;打ち消す;無効 | 2.1.0 |
| Azure SQL Database で Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Azure SQL 論理サーバーに要求します。 このポリシーでは、ローカル認証が有効なサーバーが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、「 Microsoft Entra-Only 認証を有効にしてサーバーを作成する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure SQL Database では作成時に Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使って Azure SQL 論理サーバーを作成することを要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、「 Microsoft Entra-Only 認証を有効にしてサーバーを作成する」を参照してください。 | 監査;打ち消す;無効 | 1.2.0 |
| Azure SQL Managed Instance で Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Azure SQL Managed Instance に要求します。 このポリシーでは、ローカル認証が有効な Azure SQL Managed Instance が作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、「 Microsoft Entra-Only 認証を有効にしてサーバーを作成する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure SQL Managed Instance では作成時に Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使って Azure SQL Managed Instance を作成するように要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、「 Microsoft Entra-Only 認証を有効にしてサーバーを作成する」を参照してください。 | 監査;打ち消す;無効 | 1.2.0 |
| ローカル キー アクセスを無効にするように Azure AI サービス リソースを構成する (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細情報: Azure AI サービスでの認証 | DeployIfNotExists;無効 | 1.0.0 |
| コンテナー レジストリでは、ローカル管理者アカウントが無効になっている必要があります。 | ローカル管理者がアクセスできないように、レジストリの管理者アカウントを無効にします。管理者ユーザー、リポジトリ スコープのアクセス トークン、匿名プルなどのローカル認証方法を無効にすると、コンテナー レジストリで認証に Azure Active Directory ID のみが必要になるようにすることで、セキュリティが向上します。 詳細情報: Azure Container Registry 認証オプションについて説明します。 | 監査;打ち消す;無効 | 1.0.1 |
| Cosmos DB データベース アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Cosmos DB データベース アカウントの認証で Azure Active Directory の ID のみを要求することにより、セキュリティが向上します。 詳細情報: ロールベースのアクセス制御と Microsoft Entra ID を使用して Azure Cosmos DB for NoSQL に接続します。 | 監査;打ち消す;無効 | 1.1.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | 監査;打ち消す;無効 | 1.1.0 |
| ストレージ アカウントでは、共有キーのアクセスを禁止する必要がある | ストレージ アカウントの要求を承認するための Azure Active Directory (Azure AD) の監査要件。 既定では、Azure Active Directory の資格情報、または共有キーによる承認用のアカウント アクセス キーを使用して、要求を承認することができます。 これら 2 種類の承認では、Azure AD の方がセキュリティが優れ、共有キーより使いやすいので、Microsoft ではそちらをお勧めします。 | 監査;打ち消す;無効 | 2.0.0 |
| ストレージ アカウントで共有キーへのアクセスを禁止する必要がある (Databricks によって作成されたストレージ アカウントを除く) | ストレージ アカウントの要求を承認するための Azure Active Directory (Azure AD) の監査要件。 既定では、Azure Active Directory の資格情報、または共有キーによる承認用のアカウント アクセス キーを使用して、要求を承認することができます。 これら 2 種類の承認では、Azure AD の方がセキュリティが優れ、共有キーより使いやすいので、Microsoft ではそちらをお勧めします。 | 監査;打ち消す;無効 | 1.0.0 |
| Synapse ワークスペースでは Microsoft Entra 専用認証が有効になっている必要がある | Microsoft Entra 専用認証を使うように Synapse ワークスペースに要求します。 このポリシーでは、ローカル認証が有効なワークスペースが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細情報: Azure Synapse Analytics。 | 監査;打ち消す;無効 | 1.0.0 |
| Synapse ワークスペースはワークスペース作成時に認証に Microsoft Entra の ID のみを使用する必要がある | Microsoft Entra 専用認証を使って Synapse ワークスペースを作成するように要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細情報: Azure Synapse Analytics。 | 監査;打ち消す;無効 | 1.2.0 |
| VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある | ローカル認証方法を無効にすると、VPN ゲートウェイで Azure Active Directory ID のみが認証に利用されることになり、セキュリティが向上します。 Azure AD 認証の詳細については、「Microsoft Entra ID 認証用に P2S VPN ゲートウェイを構成する」を参照してください | 監査;打ち消す;無効 | 1.0.0 |
| [プレビュー]: Azure PostgreSQL フレキシブル サーバーで Microsoft Entra 専用認証を有効にする必要がある | ローカル認証方法を無効にして Microsoft Entra 認証のみを許可すると、Azure PostgreSQL フレキシブル サーバーへは Microsoft Entra の ID のみでアクセスできるようになるため、セキュリティが向上します。 | 監査;無効 | 1.0.0-preview |
IM-2: セキュリティ インシデントを検出して分析する
詳細については、「 ID 管理: IM-2: セキュリティ インシデントの検出と分析」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| リソースを作成または更新するには、ユーザーが多要素認証で認証する必要があります | このポリシー定義は、呼び出し元が MFA を介して認証されていない場合に、リソースの作成操作と更新操作をブロックします。 詳細については、「 必須の Microsoft Entra 多要素認証 (MFA) の計画」を参照してください。 | 監査;打ち消す;無効 | 1.0.1 |
IM-3: インシデント対応プロセスを改善する
詳細については、「 ID 管理: IM-3: インシデント対応プロセスの改善」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| App Service アプリ スロットでは、マネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists;無効 | 1.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists;無効 | 3.0.0 |
| Automation アカウントにマネージド ID が必要 | Runbook から Azure リソースを使用して認証するための推奨される方法として、マネージド ID を使用します。 認証のマネージド ID はより安全であり、Runbook コードでの RunAs アカウントの使用に関連する管理オーバーヘッドを排除します。 | 監査;無効 | 1.0.0 |
| Azure Data Factory のリンクされたサービスがサポートされている場合は、システム割り当てマネージド ID 認証を使用する必要があります | リンクされたサービスを介してデータ ストアと通信するときにシステム割り当てマネージド ID を使用すると、パスワードや接続文字列などの安全性の低い資格情報が使用されるのを回避できます。 | 監査;打ち消す;無効 | 2.1.0 |
| Azure Machine Learning ワークスペースでは、ユーザー割り当てマネージド ID を使用する必要がある | ユーザー割り当てマネージド ID を使用して、Azure ML ワークスペースと関連リソース、Azure Container Registry、KeyVault、Storage、App Insights へのアクセスを管理します。 既定では、システム割り当てマネージド ID は、関連付けられているリソースにアクセスするために Azure ML ワークスペースによって使用されます。 ユーザー割り当てのマネージド ID を使用すると、Azure リソースとして ID を作成し、その ID のライフサイクルを保守することができます。 詳細については、「 Azure Machine Learning と他のサービス間の認証を設定する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Cognitive Services アカウントではマネージド ID を使用する必要がある | マネージド ID を Cognitive Service アカウントに割り当てると、安全な認証を確実に行うことができます。 この ID は、この Cognitive Service アカウントが、資格情報を管理しなくても、安全な方法で Azure Key Vault などの他の Azure サービスと通信するために使用されます。 | 監査;打ち消す;無効 | 1.0.0 |
| 通信サービス リソースでマネージド ID を使用する必要がある | Communication Service リソースにマネージド ID を割り当てることは、セキュリティで保護された認証を確保するのに役立ちます。 この ID は、資格情報を管理することなく、セキュリティで保護された方法で Azure Storage などの他の Azure サービスと通信するために、この Communication Service リソースによって使用されます。 | 監査;打ち消す;無効 | 1.0.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists;無効 | 3.1.0 |
| Container Apps でマネージド ID を有効にする必要がある | マネージド ID を適用することで、Container Apps が Azure AD 認証をサポートするすべてのリソースに対して安全に認証できるようになります | 監査;打ち消す;無効 | 1.0.1 |
| Stream Analytics ジョブでは、マネージド ID を使用してエンドポイントを認証する必要があります | Stream Analytics ジョブが、マネージド ID 認証を使用してエンドポイントにのみ接続することを確認します。 | 打ち消す;無効;監査 | 1.0.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、Azure Machine Configuration の理解に関するページを参照してください | AuditIfNotExists;無効 | 1.0.1 |
| [プレビュー]: ご使用のマシンでマネージド ID を有効にする必要があります | Automanage によって管理されるリソースにはマネージド ID が必要です。 | 監査;無効 | 1.0.0-preview |
| [プレビュー]: Azure Kubernetes からのマネージド ID フェデレーション資格情報は、信頼できるソースから取得する必要があります | このポリシーでは、Azure Kubernetes クラスターでのフェデレーションを、承認済みテナント、承認済みリージョン、および追加クラスターの特定の例外リストからのクラスターのみに制限します。 | 監査;無効;打ち消す | 1.0.0-preview |
| [プレビュー]: GitHub のマネージド ID フェデレーション資格情報は、信頼されたリポジトリ所有者から取得する必要があります | このポリシーでは、GitHub リポジトリとのフェデレーションを、承認されたリポジトリ所有者のみに制限します。 | 監査;無効;打ち消す | 1.0.1-preview |
| [プレビュー]: マネージド ID フェデレーション資格情報は、許可された発行者の種類から取得する必要があります | このポリシーでは、マネージド ID がフェデレーション資格情報を使用できるかどうかを制限します。一般的な発行者の種類は許可され、許可される発行者の例外の一覧が提供されます。 | 監査;無効;打ち消す | 1.0.0-preview |
IM-4: ログ記録と脅威検出機能を有効にする
詳細については、「 Identity Management: IM-4: Enable logging and threat detection capabilities(ID 管理: IM-4: ログ記録と脅威検出機能を有効にする)」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| API Management から API バックエンドへの呼び出しは認証する必要がある | API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用するかどうかにかかわらず、何らかの形式の認証を使用する必要があります。 Service Fabric バックエンドには適用されません。 | 監査;無効;打ち消す | 1.0.1 |
| API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない | API セキュリティを改善するために、API Management では、すべての API 呼び出しのバックエンド サーバー証明書を検証する必要があります。 SSL 証明書のサムプリントと名前の検証を有効にします。 | 監査;無効;打ち消す | 1.0.2 |
| Azure API Management の API エンドポイントを認証する必要がある | Azure API Management 内で公開されている API エンドポイントでは、セキュリティ リスクを最小限に抑えるために認証を実施する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 OWASP API Threat for Broken User Authentication の詳細については、次を参照してください。 API Management を使用して OWASP API Security Top 10 の脅威を軽減するための推奨事項 | AuditIfNotExists;無効 | 1.0.1 |
| Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります | TLS バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | 監査;無効;打ち消す | 2.0.0 |
IM-6: 自動インシデント対応を使用する
詳細については、「 ID 管理: IM-6: 自動インシデント対応を使用する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細情報: 詳細な手順: Azure の Linux VM に対する認証用の SSH キーを作成および管理します。 | AuditIfNotExists;無効 | 3.2.0 |
IM-8: 管理ポートのアクセスを制限する
詳細については、「 ID 管理: IM-8: 管理ポートのアクセスを制限する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレットの値は、API Management 内に暗号化されたテキスト (カスタム シークレット) として、または Azure Key Vault 内のシークレットを参照して保存できます。 API Management とシークレットのセキュリティを強化するには、Azure Key Vault からシークレットの名前付きの値を参照します。 Azure Key Vault は、詳細なアクセス管理とシークレット ローテーション ポリシーに対応しています。 | 監査;無効;打ち消す | 1.0.2 |
| マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists;無効 | 1.0.2 |
IR-2: 準備 – インシデント通知の設定
詳細については、「 インシデント対応: IR-2: 準備 - インシデント通知のセットアップ」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists;無効 | 1.2.0 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists;無効 | 2.1.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists;無効 | 1.0.1 |
IR-3: 検出と分析 - 高品質のアラートに基づいてインシデントを作成する
詳細については、「 インシデント対応: IR-3: 検出と分析 - 高品質のアラートに基づいてインシデントを作成する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists;無効 | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能の詳細については、 Microsoft Defender for Resource Manager の利点と機能 に関するページを参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 Security Center の価格に関するページで、リージョンごとの価格の詳細について説明します。 価格 - Microsoft Defender for Cloud 。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists;無効 | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists;無効 | 2.0.1 |
| 保護されていない MySQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists;無効 | 1.0.2 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープン ソース リレーショナル データベースに対する Azure Defender の機能の詳細については、「Open-Source リレーショナル データベースの Defender の概要」を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 Security Center の価格ページの価格について説明します。 価格 - Microsoft Defender for Cloud | AuditIfNotExists;無効 | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists;無効 | 1.0.3 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists;無効 | 1.0.0 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists;無効 | 1.0.3 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists;無効 | 1.0.0 |
| ARC 対応 SQL Server では、Microsoft Defender for SQL の状態を保護する必要がある | Microsoft Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 有効にすると、保護状態により、リソースがアクティブに監視されていることが示されます。 Defender が有効になっている場合でも、エージェント、マシン、ワークスペース、SQL サーバーで複数の構成設定を検証し、アクティブな保護を確認する必要があります。 | 監査;無効 | 1.1.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists;無効 | 1.0.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: AMA を使用してマシン上の Defender for SQL に移行する | AuditIfNotExists;無効 | 1.0.0 |
IR-4: 検出と分析 - インシデントの調査
詳細については、「 インシデント対応: IR-4: 検出と分析 - インシデントの調査」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists;無効 | 3.0.0 |
IR-5: 検出と分析 - インシデントに優先順位を付ける
詳細については、「 インシデント対応: IR-5: 検出と分析 - インシデントの優先順位付け」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists;無効 | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能の詳細については、 Microsoft Defender for Resource Manager の利点と機能 に関するページを参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 Security Center の価格に関するページで、リージョンごとの価格の詳細について説明します。 価格 - Microsoft Defender for Cloud 。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists;無効 | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists;無効 | 2.0.1 |
| 保護されていない MySQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists;無効 | 1.0.2 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープン ソース リレーショナル データベースに対する Azure Defender の機能の詳細については、「Open-Source リレーショナル データベースの Defender の概要」を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 Security Center の価格ページの価格について説明します。 価格 - Microsoft Defender for Cloud | AuditIfNotExists;無効 | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists;無効 | 1.0.3 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists;無効 | 1.0.0 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists;無効 | 1.0.3 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists;無効 | 1.0.0 |
| ARC 対応 SQL Server では、Microsoft Defender for SQL の状態を保護する必要がある | Microsoft Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 有効にすると、保護状態により、リソースがアクティブに監視されていることが示されます。 Defender が有効になっている場合でも、エージェント、マシン、ワークスペース、SQL サーバーで複数の構成設定を検証し、アクティブな保護を確認する必要があります。 | 監査;無効 | 1.1.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists;無効 | 1.0.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: AMA を使用してマシン上の Defender for SQL に移行する | AuditIfNotExists;無効 | 1.0.0 |
LT-1: 脅威検出機能を有効にする
詳細については、「 ログ記録と脅威検出: LT-1: 脅威検出機能を有効にする」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists;無効 | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能の詳細については、 Microsoft Defender for Resource Manager の利点と機能 に関するページを参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 Security Center の価格に関するページで、リージョンごとの価格の詳細について説明します。 価格 - Microsoft Defender for Cloud 。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists;無効 | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists;無効 | 2.0.1 |
| 保護されていない MySQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists;無効 | 1.0.2 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープン ソース リレーショナル データベースに対する Azure Defender の機能の詳細については、「Open-Source リレーショナル データベースの Defender の概要」を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 Security Center の価格ページの価格について説明します。 価格 - Microsoft Defender for Cloud | AuditIfNotExists;無効 | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 Microsoft Defender for Containers の詳細については、「Defender for Cloud での MCSB の管理に関する推奨事項」を参照してください | 監査;無効 | 2.0.1 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists;無効 | 1.0.0 |
| Microsoft Defender for API を有効にする必要がある | Microsoft Defender for API は、一般的な API ベースの攻撃とセキュリティ構成の誤りを監視する新しい発見、保護、検出、対応の範囲を提供します。 | AuditIfNotExists;無効 | 1.0.3 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists;無効 | 1.0.0 |
| ARC 対応 SQL Server では、Microsoft Defender for SQL の状態を保護する必要がある | Microsoft Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 有効にすると、保護状態により、リソースがアクティブに監視されていることが示されます。 Defender が有効になっている場合でも、エージェント、マシン、ワークスペース、SQL サーバーで複数の構成設定を検証し、アクティブな保護を確認する必要があります。 | 監査;無効 | 1.1.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists;無効 | 1.0.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: AMA を使用してマシン上の Defender for SQL に移行する | AuditIfNotExists;無効 | 1.0.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists;無効 | 2.0.0 |
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、 Defender for Cloud のセキュリティ スコアに関するページを参照してください。 | AuditIfNotExists;無効 | 6.0.0-preview |
LT-2: ID とアクセス管理の脅威検出を有効にする
詳細については、「 ログ記録と脅威検出: LT-2: ID とアクセス管理の脅威検出を有効にする」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists;無効 | 1.0.2 |
| Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能の詳細については、 Microsoft Defender for Resource Manager の利点と機能 に関するページを参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 Security Center の価格に関するページで、リージョンごとの価格の詳細について説明します。 価格 - Microsoft Defender for Cloud 。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure Defender for SQL servers on machines を有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists;無効 | 1.0.2 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists;無効 | 2.0.1 |
| 保護されていない MySQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists;無効 | 1.0.2 |
| オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | オープンソース リレーショナル データベース用 Azure Defenderによって、通常とは異なる、害を与えるおそれがあるアクセスや悪用がデータベースに対して試みられていることを示す異常なアクティビティを検出します。 オープン ソース リレーショナル データベースに対する Azure Defender の機能の詳細については、「Open-Source リレーショナル データベースの Defender の概要」を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 Security Center の価格ページの価格について説明します。 価格 - Microsoft Defender for Cloud | AuditIfNotExists;無効 | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists;無効 | 1.0.3 |
| Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 Microsoft Defender for Containers の詳細については、「Defender for Cloud での MCSB の管理に関する推奨事項」を参照してください | 監査;無効 | 2.0.1 |
| Microsoft Defender CSPM を有効にする必要がある | Defender Cloud Security Posture Management (CSPM) には、強化された態勢機能に加えて、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェントなクラウド セキュリティ グラフが用意されています。 Defender for Cloud で既定で有効になっている無料の基本的なセキュリティ態勢機能に加えて Defender CSPM を利用できます。 | AuditIfNotExists;無効 | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists;無効 | 1.0.0 |
| 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 | AuditIfNotExists;無効 | 1.0.0 |
| ARC 対応 SQL Server では、Microsoft Defender for SQL の状態を保護する必要がある | Microsoft Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 有効にすると、保護状態により、リソースがアクティブに監視されていることが示されます。 Defender が有効になっている場合でも、エージェント、マシン、ワークスペース、SQL サーバーで複数の構成設定を検証し、アクティブな保護を確認する必要があります。 | 監査;無効 | 1.1.0 |
| Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists;無効 | 1.0.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL サーバーを確実に保護するには、自動的にデプロイするように、SQL を対象とした Azure Monitoring Agent を構成します。 Microsoft Monitoring Agent の自動プロビジョニングを以前に構成したことがある場合でも、このコンポーネントは非推奨になっているため、これが必要です。 詳細情報: AMA を使用してマシン上の Defender for SQL に移行する | AuditIfNotExists;無効 | 1.0.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists;無効 | 2.0.0 |
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、 Defender for Cloud のセキュリティ スコアに関するページを参照してください。 | AuditIfNotExists;無効 | 6.0.0-preview |
LT-3: セキュリティ調査のためにログ記録を有効にする
詳細については、「 ログ記録と脅威検出: LT-3: セキュリティ調査のためにログ記録を有効にする」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists;無効 | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists;無効 | 2.0.0 |
| Azure Front Door でリソース ログを有効にする必要がある | Azure Front Door (および WAF) のリソース ログを有効にし、Log Analytics ワークスペースにストリームします。 受信 Web トラフィックおよび攻撃を軽減するために実行されたアクションを詳しく表示します。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure AI サービス リソースの診断ログを有効にする必要がある | Azure AI サービス リソースのログを有効にします。 これで、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 1.0.0 |
| Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 5.0.0 |
| Azure Databricks ワークスペースのリソース ログを有効にする必要があります | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists;無効 | 1.0.1 |
| Azure Kubernetes Service でリソース ログを有効にする必要がある | Azure Kubernetes Service のリソース ログは、セキュリティ インシデントを調査するときにアクティビティ証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします | AuditIfNotExists;無効 | 1.0.0 |
| Azure Machine Learning ワークスペースのリソース ログを有効にする必要があります | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists;無効 | 1.0.1 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 5.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 5.0.0 |
| IoT Hub のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 3.1.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 5.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 5.1.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 5.0.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists;無効 | 5.0.0 |
LT-4: セキュリティ調査のためにネットワーク ログを有効にする
詳細については、「 ログ記録と脅威検出: LT-4: セキュリティ調査のためにネットワーク ログを有効にする」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | フロー ログが構成されているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | 監査;無効 | 1.1.0 |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要 | Security Center では、Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化に関する推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists;無効 | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では、Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化に関する推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists;無効 | 1.0.2-preview |
LT-5: セキュリティ ログの管理と分析を一元化する
詳細については、「 ログ記録と脅威検出: LT-5: セキュリティ ログの管理と分析の一元化」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure Monitor 内の保存されたクエリはログ暗号化のためにカスタマー ストレージ アカウントに保存する必要があります | 保存済みのクエリをストレージ アカウントの暗号化によって保護するには、Log Analytics ワークスペースにストレージ アカウントをリンクします。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor の保存済みのクエリに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 上記の詳細については、 Azure Monitor で保存されたクエリのカスタマー マネージド キーに関するページを参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 1.1.0 |
| [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Linux Azure Arc マシンを監査します。 | AuditIfNotExists;無効 | 1.0.1-preview |
| [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | このポリシーでは、Log Analytics 拡張機能がインストールされていない場合に、Windows Azure Arc マシンを監査します。 | AuditIfNotExists;無効 | 1.0.1-preview |
LT-6: ログ ストレージのリテンション期間を構成する
詳細については、「 ログと脅威の検出: LT-6: ログ ストレージのリテンション期間を構成する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists;無効 | 3.0.0 |
NS-1: ネットワークセグメント化の境界を確立する
詳細については、「 ネットワーク セキュリティ: NS-1: ネットワークセグメント化境界を確立する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists;無効 | 3.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用したトラフィックの制御の詳細については、Azure ネットワーク セキュリティ グループの概要を参照してください | AuditIfNotExists;無効 | 3.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用したトラフィックの制御の詳細については、Azure ネットワーク セキュリティ グループの概要を参照してください | AuditIfNotExists;無効 | 3.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists;無効 | 3.0.0 |
NS-2: ネットワーク制御によるクラウド サービスのセキュリティ保護
詳細については、「 ネットワーク セキュリティ: NS-2: ネットワーク制御によるクラウド サービスのセキュリティ保護」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | 監査;打ち消す;無効 | 1.0.2 |
| API Management ではサービス構成エンドポイントへの公衆ネットワーク アクセスを無効にする必要がある | API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限してください。 | AuditIfNotExists;無効 | 1.0.1 |
| App Configuration でパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細情報: Azure App Configuration にプライベート エンドポイントを使用する。 | 監査;打ち消す;無効 | 1.0.0 |
| App Configuration では、プライベート リンクをサポートする SKU を使用する必要があります | サポートされている SKU を使用する場合、Azure Private Link を使用すると、ソースまたは宛先でパブリック IP アドレスなしで仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細情報: Azure App Configuration にプライベート エンドポイントを使用する。 | 監査;打ち消す;無効 | 1.0.0 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細情報: Azure App Configuration にプライベート エンドポイントを使用する。 | AuditIfNotExists;無効 | 1.0.2 |
| パブリック インターネット経由で App Service Environment のアプリに到達できない必要がある | App Service Environment にデプロイされたアプリにパブリック インターネット経由でアクセスできないようにするには、仮想ネットワークで IP アドレスを使用して App Service Environment をデプロイする必要があります。 IP アドレスを仮想ネットワーク IP に設定するには、App Service Environment を内部ロード バランサーと共にデプロイする必要があります。 | 監査;打ち消す;無効 | 3.0.0 |
| App Service アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、「 アプリ用のプライベート エンドポイントを使用する」を参照してください。 | 監査;無効;打ち消す | 1.0.0 |
| App Service アプリでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに App Service が公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、App Service の公開を制限できます。 詳細については、「 アプリ用のプライベート エンドポイントを使用する」を参照してください。 | 監査;無効;打ち消す | 1.1.0 |
| App Service アプリではプライベート リンクをサポートする SKU を使用する必要がある | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用することなく、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをアプリにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、「 アプリのプライベート エンドポイントを使用する」を参照してください。 | 監査;打ち消す;無効 | 4.3.0 |
| App Service アプリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを App Service にマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、「 アプリのプライベート エンドポイントを使用する」を参照してください。 | AuditIfNotExists;無効 | 1.0.1 |
| Application Insights コンポーネントでは、パブリック ネットワークからのログの取り込みとクエリをブロックする必要がある | パブリック ネットワークからのログの取り込みとクエリをブロックすることで、Application Insights のセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このコンポーネントのログを取り込み、クエリを実行できます。 詳細については、「 Azure Private Link を使用してネットワークを Azure Monitor に接続する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 1.1.0 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | 監査;無効 | 2.0.1 |
| Automation アカウントでパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することで、Automation アカウント リソースの公開を制限できます。 詳細情報: Azure Private Link を使用して、ネットワークを Azure Automation に安全に接続します。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure AI Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure AI Search のサポートされている SKU を使用すると、Azure Private Link を使用すると、ソースまたは宛先でパブリック IP アドレスなしで仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、「 セキュリティで保護された接続用のプライベート エンドポイントを作成する」を参照してください。 | 監査;打ち消す;無効 | 1.0.1 |
| Azure AI Search サービスでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure AI Search サービスがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、「 セキュリティで保護された接続用のプライベート エンドポイントを作成する」を参照してください。 | 監査;打ち消す;無効 | 1.0.1 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | 監査;打ち消す;無効 | 3.3.0 |
| Azure AI サービスのリソースでは Azure Private Link を使用する必要があります | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azure バックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理することで、データ漏えいのリスクを軽減します。 プライベート リンクの詳細については、「Azure Private Link とは」を参照してください。 | 監査;無効 | 1.0.0 |
| Azure API for FHIR ではプライベート リンクを使用する必要がある | Azure API for FHIR には、少なくとも 1 つの承認済みプライベート エンドポイント接続が必要です。 仮想ネットワーク内のクライアントは、プライベート リンクを介してプライベート エンドポイント接続を持つリソースに安全にアクセスできます。 詳細については、「 Azure Health Data Services の Private Link の構成」を参照してください。 | 監査;無効 | 1.0.0 |
| Azure Arc プライベート リンク スコープはプライベート エンドポイントを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Arc プライベート リンク スコープにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 Azure Private Link を使用してプライベート エンドポイントを使用してサーバーを Azure Arc に接続する」を参照してください。 | 監査;無効 | 1.0.0 |
| Azure Arc プライベート リンク スコープでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Arc リソースがパブリック インターネット経由で接続できなくなるため、セキュリティが強化されます。 プライベート エンドポイントを作成すると、Azure Arc リソースの公開を制限できます。 詳細情報: Azure Private Link を使用して、プライベート エンドポイントを使用してサーバーを Azure Arc に接続します。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Arc 対応 Kubernetes クラスターは Azure Arc プライベート リンク スコープを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 Azure Private Link を使用してプライベート エンドポイントを使用してサーバーを Azure Arc に接続する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Arc 対応サーバーは Azure Arc プライベート リンク スコープを使用して構成する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Arc 対応サーバーをプライベート エンドポイントで構成された Azure Arc プライベート リンク スコープにマップすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 Azure Private Link を使用してプライベート エンドポイントを使用してサーバーを Azure Arc に接続する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Attestation プロバイダーはパブリック ネットワーク アクセスを無効にする必要がある | Azure Attestation Service のセキュリティを向上させるには、パブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできることを確認します。 aka.ms/azureattestation の説明に従って、パブリック ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Cache for Redis Enterprise ではプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis Enterprise インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細情報: Azure Private Link を使用した Azure Cache for Redis とは | AuditIfNotExists;無効 | 1.0.0 |
| Azure Cache for Redis でパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cache for Redis が露出されないのでセキュリティが向上します。 代わりにプライベート エンドポイントを作成することによって Azure Cache for Redis の露出を制限することができます。 詳細情報: Azure Private Link を使用した Azure Cache for Redis とは | 監査;打ち消す;無効 | 1.0.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細情報: Azure Private Link を使用した Azure Cache for Redis とは | AuditIfNotExists;無効 | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | 監査;打ち消す;無効 | 2.1.0 |
| Azure Cosmos DB で公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに CosmosDB アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、CosmosDB アカウントの露出を制限できます。 詳細情報: Azure Cosmos DB アカウントの作成時にパブリック ネットワーク アクセスをブロックする。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Data Explorer クラスターでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Explorer クラスターにマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 Azure Data Explorer のプライベート エンドポイント」を参照してください。 | 監査;無効 | 1.0.0 |
| Azure Data Explorer では、プライベート リンクをサポートする SKU を使用する必要があります | サポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用することなく、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをアプリにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、「 アプリのプライベート エンドポイントを使用する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Data Factory ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 Azure Data Factory 用 Azure Private Link」を参照してください。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure Databricks クラスターはパブリック IP を無効にする必要がある | Azure Databricks ワークスペースでクラスターのパブリック IP を無効にすると、クラスターがパブリック インターネットで公開されないことを保証できるので、セキュリティが向上します。 詳細情報: セキュリティで 保護されたクラスター接続を有効にする。 | 監査;打ち消す;無効 | 1.0.1 |
| Azure Databricks ワークスペースは仮想ネットワーク内に存在する必要があります | Azure Virtual Network は、Azure Databricks ワークスペースに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 詳細情報: Azure 仮想ネットワークに Azure Databricks をデプロイする (VNet インジェクション) | 監査;打ち消す;無効 | 1.0.2 |
| Azure Databricks ワークスペースではパブリック ネットワーク アクセスを無効にする必要があります | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 リソースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: Azure Private Link の概念。 | 監査;打ち消す;無効 | 1.0.1 |
| Azure Databricks ワークスペースではプライベート リンクを使用する必要があります | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Databricks ワークスペースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 プライベート リンクの詳細については、「 Azure Databricks へのバックエンド プライベート接続を構成する」を参照してください。 | 監査;無効 | 1.0.2 |
| Azure Databricks ワークスペースは、プライベート リンク、暗号化用のカスタマー マネージド キーなどの機能をサポートする Premium SKU である必要があります | 暗号化用のカスタマー マネージド キーである Private Link などの機能をサポートするために組織がデプロイできる Premium SKU を持つ Databricks ワークスペースのみを許可します。 詳細情報: Azure Databricks へのバックエンド プライベート接続を構成する。 | 監査;打ち消す;無効 | 1.0.1 |
| Azure Device Update for IoT Hub アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Device Update for IoT Hub アカウントにマッピングすることで、データ漏えいのリスクが軽減されます。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure Event Grid ドメインでパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細情報: トピックまたはドメインのプライベート エンドポイントを構成する。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細情報: トピックまたはドメインのプライベート エンドポイントを構成する。 | 監査;無効 | 1.0.2 |
| Azure Event Grid 名前空間 MQTT ブローカーでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid 名前空間にプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細情報: トピックまたはドメインのプライベート エンドポイントを構成する。 | 監査;無効 | 1.0.0 |
| Azure Event Grid 名前空間トピック ブローカーでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid 名前空間にプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細情報: トピックまたはドメインのプライベート エンドポイントを構成する。 | 監査;無効 | 1.0.0 |
| Azure Event Grid 名前空間でパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細情報: トピックまたはドメインのプライベート エンドポイントを構成する。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Event Grid のトピックでパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細情報: トピックまたはドメインのプライベート エンドポイントを構成する。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細情報: トピックまたはドメインのプライベート エンドポイントを構成する。 | 監査;無効 | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure Front Door プロファイルでは、マネージド WAF ルールとプライベート リンクをサポートする Premium レベルを使用する必要があります | Azure Front Door Premium では、Azure マネージド WAF ルールと、サポートされている Azure オリジンへのプライベート リンクがサポートされています。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure HDInsight でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure HDInsight クラスターにマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、「 Azure HDInsight クラスターで Private Link を有効にする」を参照してください。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure Health Data Services の識別解除サービスでパブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 | 監査;無効 | 1.0.0 |
| Azure Health Data Services の識別解除サービスでプライベート リンクを使用する必要がある | Azure Health Data Services の識別解除サービスには、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンクを介してプライベート エンドポイント接続を持つリソースに安全にアクセスできます。 | 監査;無効 | 1.0.0 |
| Azure Health Data Services ワークスペースでプライベート リンクを使用する必要がある | Health Data Services ワークスペースには、承認されたプライベート エンドポイント接続が少なくとも 1 つ必要です。 仮想ネットワーク内のクライアントは、プライベート リンクを介してプライベート エンドポイント接続を持つリソースに安全にアクセスできます。 詳細については、「 Azure Health Data Services の Private Link の構成」を参照してください。 | 監査;無効 | 1.0.0 |
| Azure Key Vault should disable public network access (Azure Key Vault で公衆ネットワーク アクセスを無効にする必要がある) | キー コンテナーの公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細については、 Key Vault と Azure Private Link の統合に関するページを参照してください。 | 監査;打ち消す;無効 | 1.1.0 |
| Azure Key Vault でファイアウォールが有効になっているか、パブリック ネットワーク アクセスが無効になっている必要があります | Key Vault ファイアウォールを有効にして、キー コンテナーが既定でパブリック IP からアクセスできないようにするか、キー コンテナーのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細情報: Azure Key Vault のネットワーク セキュリティ と Key Vault と Azure Private Link の統合 | 監査;打ち消す;無効 | 3.3.0 |
| Azure Key vault でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、「 Key Vault と Azure Private Link の統合」を参照してください。 | 監査;打ち消す;無効 | 1.2.1 |
| Azure Machine Learning コンピューティングは仮想ネットワーク内に存在する必要がある | Azure Virtual Network は、Azure Machine Learning コンピューティングのクラスターおよびインスタンスに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 コンピューティングが仮想ネットワークで構成されていると、パブリックなアドレス指定ができなくなり、仮想ネットワーク内の仮想マシンとアプリケーションからのみアクセスできるようになります。 | 監査;無効 | 1.0.1 |
| Azure Machine Learning ワークスペースで公衆ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、Machine Learning ワークスペースがパブリック インターネットに公開されないようになり、セキュリティが向上します。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: Azure Machine Learning ワークスペースのプライベート エンドポイントを構成する。 | 監査;打ち消す;無効 | 2.0.1 |
| Azure Machine Learning と Ai Studio では、承認済みの送信マネージド Vnet モードのみを許可する必要がある | マネージド VNet 分離は、ワークスペース レベルの組み込みの Azure Machine Learning マネージド VNet を使用して、ネットワーク分離構成を合理化および自動化します。 マネージド VNet は、コンピューティング インスタンス、コンピューティング クラスター、サーバーレス コンピューティング、マネージド オンライン エンドポイントなどのマネージド Azure Machine Learning リソースをセキュリティで保護します。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 Azure Machine Learning ワークスペースのプライベート エンドポイントを構成する」を参照してください。 | 監査;無効 | 1.0.0 |
| Azure Managed Grafana ワークスペースでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Managed Grafana ワークスペースがパブリック インターネット上で公開されないようにすることで、セキュリティが向上します。 プライベート エンドポイントを作成すると、ワークスペースの公開が制限される可能性があります。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Managed Grafana ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Managed Grafana にマッピングすることで、データ漏えいのリスクを軽減できます。 | 監査;無効 | 1.0.1 |
| Azure Monitor プライベート リンク スコープでプライベート リンク リソース以外へのアクセスをブロックする必要がある | Azure Private Link を使用すると、Azure Monitor プライベート リンク スコープ (AMPLS) へのプライベート エンドポイント経由で仮想ネットワークを Azure リソースに接続できます。 ネットワークからのインジェストおよびクエリ要求で到達できるのがすべてのリソースなのか、または (データ流出を防止するために) プライベート リンク リソースのみなのかを制御するために、AMPLS でプライベート リンク アクセス モードが設定されます。 プライベート リンクの詳細については、「 Azure Private Link アクセス モード (プライベートのみとオープン)」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Monitor プライベート リンク スコープではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Monitor プライベート リンク スコープにマッピングすると、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、「 Azure Private Link を使用してネットワークを Azure Monitor に接続する」を参照してください。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure Purview アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure Purview アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、「 従来の Microsoft Purview ガバナンス ポータルでプライベート エンドポイントを使用する」を参照してください。 | 監査;無効 | 1.0.0 |
| Azure SQL Managed Instance でパブリック ネットワーク アクセスを無効にする必要がある | 仮想ネットワーク内またはプライベート エンドポイント経由からのみアクセスできるようにして、Azure SQL Managed Instance でパブリック ネットワーク アクセス (パブリック エンドポイント) を無効にすると、セキュリティが向上します。 パブリック ネットワーク アクセスの詳細については、「 パブリック エンドポイントの構成」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細情報: プライベート エンドポイント経由で Azure Service Bus 名前空間へのアクセスを許可する。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure SignalR Service では公衆ネットワーク アクセスを無効にする必要がある | Azure SignalR Service リソースのセキュリティを向上させるには、パブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできることを確認します。 「ネットワーク アクセス制御の構成」の説明に従って 、パブリック ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | 監査;打ち消す;無効 | 1.2.0 |
| Azure SignalR Service で Private Link 対応 SKU を使用する必要がある | Azure Private Link を使用すると、パブリック データ漏えいリスクからリソースを保護するソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 このポリシーでは、Azure SignalR Service の Private Link 対応 SKU に制限されています。 プライベート リンクの詳細については、「プライベート エンドポイントを使用する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、「プライベート エンドポイントを使用する」を参照してください。 | 監査;無効 | 1.0.0 |
| Azure Spring Cloud でネットワークの挿入を使用する必要がある | Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークの挿入を使用する必要があります。1. Azure Spring Cloud をインターネットから分離する。 2. オンプレミスのデータ センター内のシステム、または他の仮想ネットワーク内の Azure サービスとの Azure Spring Cloud のやりとりを有効化する。 3. Azure Spring Cloud の送受信ネットワーク通信を制御するための権限を顧客に付与する。 | 監査;無効;打ち消す | 1.2.0 |
| Azure Synapse ワークスペースでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Synapse ワークスペースがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 プライベート エンドポイントを作成すると、Synapse ワークスペースの公開が制限される可能性があります。 詳細情報: Azure Synapse Analytics の接続設定。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「プライベート リンク を使用して Azure Synapse ワークスペースに接続する」を参照してください。 | 監査;無効 | 1.0.1 |
| Azure Virtual Desktop ホストプールでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Virtual Desktop サービスへのアクセスがパブリック インターネットに公開されないようにすることで、セキュリティが向上し、データの安全性が維持されます。 詳細については、「 Azure Virtual Desktop を使用して Private Link を設定する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Virtual Desktop ホストプールでは、セッション ホストでのみパブリック ネットワーク アクセスを無効にする必要がある | Azure Virtual Desktop ホストプール セッション ホストのパブリック ネットワーク アクセスを無効にしますが、エンド ユーザーにパブリック アクセスを許可すると、パブリック インターネットへの公開を制限することでセキュリティが向上します。 詳細については、「 Azure Virtual Desktop を使用して Private Link を設定する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Virtual Desktop サービスでプライベート リンクを使用する必要がある | Azure Virtual Desktop リソースで Azure Private Link を使用すると、セキュリティが向上し、データの安全を維持できます。 プライベート リンクの詳細については、「 Azure Virtual Desktop を使用して Private Link を設定する」を参照してください。 | 監査;無効 | 1.0.0 |
| Azure Virtual Desktop ワークスペースでパブリック ネットワーク アクセスを無効にする必要がある | Azure Virtual Desktop ワークスペース リソースのパブリック ネットワーク アクセスを無効にすると、パブリック インターネット経由でフィードにアクセスできなくなります。 プライベート ネットワーク アクセスのみを許可すると、セキュリティが向上し、データの安全性が維持されます。 詳細については、「 Azure Virtual Desktop を使用して Private Link を設定する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Web PubSub サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、Azure Web PubSub サービスがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 プライベート エンドポイントを作成すると、Azure Web PubSub サービスの公開を制限できます。 詳細については、 Azure Web PubSub のネットワーク アクセス制御に関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Web PubSub サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | サポートされている SKU を使用すると、Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、 Azure Web PubSub サービスのプライベート エンドポイントに関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Web PubSub サービスではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Web PubSub サービスにマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、 Azure Web PubSub サービスのプライベート エンドポイントに関するページを参照してください。 | 監査;無効 | 1.0.0 |
| Bot Service でパブリック ネットワーク アクセスが無効になっている必要がある | ボットは "分離のみ" モードに設定する必要があります。 この設定では、パブリック インターネット経由のトラフィックを無効にする必要がある Bot Service チャネルを構成します。 | 監査;打ち消す;無効 | 1.0.0 |
| BotService リソースでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを BotService リソースにマッピングすることで、データ漏えいのリスクが軽減されます。 | 監査;無効 | 1.0.0 |
| Container Apps 環境でパブリック ネットワーク アクセスを無効にする必要がある | 内部ロード バランサーを介して Container Apps 環境を公開することで、パブリック ネットワーク アクセスを無効にしてセキュリティを強化します。 これにより、パブリック IP アドレスが不要になり、環境内のすべての Container Apps へのインターネット アクセスが禁止されます。 | 監査;打ち消す;無効 | 1.1.0 |
| コンテナー レジストリには、プライベート リンクをサポートする SKU が必要です | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、プライベート エンドポイントをコンテナー レジストリにマッピングすることで、データ漏えいのリスクが軽減されます。 詳細情報: ACR 用の Private Link を使用してプライベート エンドポイントを設定する。 | 監査;打ち消す;無効 | 1.0.0 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、次を参照してください。 ACR のプライベート リンクを使用してプライベート エンドポイントを設定し、 Azure でパブリック レジストリ アクセスを構成 し、 サービス エンドポイントを使用して Azure Container Registry へのアクセスを制限します。 | 監査;打ち消す;無効 | 2.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細情報: ACR 用の Private Link を使用してプライベート エンドポイントを設定する。 | 監査;無効 | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 Azure Cosmos DB アカウントの Azure Private Link を構成する」を参照してください。 | 監査;無効 | 1.0.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 マネージド ディスクへのインポート/エクスポート アクセスを制限する」を参照してください。 | AuditIfNotExists;無効 | 1.0.0 |
| ElasticSan はパブリック ネットワーク アクセスを無効にする必要がある | ElasticSan のパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 | 監査;打ち消す;無効 | 1.0.0 |
| イベント ハブ名前空間ではパブリック ネットワーク アクセスを無効にする必要があります | Azure イベント ハブでは、パブリック ネットワーク アクセスが無効になっている必要があります。 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細情報: プライベート エンドポイント経由で Azure Event Hubs 名前空間へのアクセスを許可する | 監査;打ち消す;無効 | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細情報: プライベート エンドポイント経由で Azure Event Hubs 名前空間へのアクセスを許可する。 | AuditIfNotExists;無効 | 1.0.0 |
| 関数アプリ スロットでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、「 アプリ用のプライベート エンドポイントを使用する」を参照してください。 | 監査;無効;打ち消す | 1.1.0 |
| 関数アプリでは、パブリック ネットワーク アクセスを無効にする必要がある | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに関数アプリが公開されないため、セキュリティが向上します。 プライベート エンドポイントを作成すると、関数アプリの公開を制限できます。 詳細については、「 アプリ用のプライベート エンドポイントを使用する」を参照してください。 | 監査;無効;打ち消す | 1.1.0 |
| IoT Central でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、プライベート エンドポイントを IoT Central アプリケーションにマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、「 IoT Central のプライベート エンドポイントを使用したネットワーク セキュリティ」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| IoT Hub デバイス プロビジョニング サービス インスタンスでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、IoT Hub デバイス プロビジョニング サービス インスタンスがパブリック インターネット上で公開されないようにすることで、セキュリティが向上します。 プライベート エンドポイントを作成すると、IoT Hub デバイス プロビジョニング インスタンスの公開を制限できます。 詳細については、 DPS の仮想ネットワーク接続に関するページを参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub デバイス プロビジョニング サービスにマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 DPS の仮想ネットワーク接続」を参照してください。 | 監査;無効 | 1.0.0 |
| Log Analytics ワークスペースでは、パブリック ネットワークからのログの取り込みとクエリをブロックする必要がある | パブリック ネットワークからのログの取り込みとクエリをブロックすることで、ワークスペースのセキュリティを向上させます。 プライベート リンクで接続されたネットワークでのみ、このワークスペースでログを取り込み、クエリを実行できます。 詳細については、「 Azure Private Link を使用してネットワークを Azure Monitor に接続する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 1.1.0 |
| マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、マネージド ディスクがパブリック インターネットに公開されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、マネージド ディスクの公開を制限できます。 詳細については、「 マネージド ディスクへのインポート/エクスポート アクセスを制限する」を参照してください。 | 監査;打ち消す;無効 | 2.1.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | 監査;無効 | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MariaDB へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists;無効 | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for MySQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists;無効 | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 | AuditIfNotExists;無効 | 1.0.2 |
| Azure Device Update for IoT Hub アカウントのパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Device Update for IoT Hub アカウントにプライベート エンドポイントからのみアクセスできるようにすることで、セキュリティが向上します。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Data Explorer でのパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Data Explorer にプライベート エンドポイントからのみアクセスできるようにすることで、セキュリティが向上します。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure Data Factory でのパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Data Factory にプライベート エンドポイントからのみアクセスできるようにすることで、セキュリティが向上します。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure IoT Hub でのパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure IoT Hub にプライベート エンドポイントからのみアクセスできるようにすることで、セキュリティが向上します。 | 監査;打ち消す;無効 | 1.0.0 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | 監査;打ち消す;無効 | 1.1.0 |
| Azure File Sync の公衆ネットワーク アクセスを無効にする必要がある | パブリック エンドポイントを無効にすると、ストレージ同期サービス リソースへのアクセスを、組織のネットワーク上の承認されたプライベート エンドポイント宛ての要求に制限できます。 パブリック エンドポイントへの要求を許可しても、そのこと自体が安全でないということはありませんが、規制、法律、組織のポリシーの要件を満たすために、それを無効にすることが必要になる場合があります。 ストレージ同期サービスのパブリック エンドポイントを無効にするには、リソースの incomingTrafficPolicy を AllowVirtualNetworksOnly に設定します。 | 監査;打ち消す;無効 | 1.0.0 |
| Batch アカウントのパブリック ネットワーク アクセスを無効にする必要がある | Batch アカウントでパブリック ネットワーク アクセスを無効にすると、Batch アカウントにプライベート エンドポイントからのみアクセスできるようにすることで、セキュリティが向上します。 パブリック ネットワーク アクセスの無効化の詳細については、「 Azure Batch アカウントでプライベート エンドポイントを使用する」を参照してください。 | 監査;打ち消す;無効 | 1.0.0 |
| コンテナー レジストリに対してパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、コンテナー レジストリがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 プライベート エンドポイントを作成すると、コンテナー レジストリ リソースの公開が制限される可能性があります。 詳細情報: Azure でパブリック レジストリ アクセスを構成 し、 ACR 用の Private Link を使用してプライベート エンドポイントを設定します。 | 監査;打ち消す;無効 | 1.0.0 |
| IoT Central ではパブリック ネットワーク アクセスを無効にする必要がある | IoT Central のセキュリティを向上させるには、パブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできることを確認します。 「Azure IoT Central のプライベート エンドポイントを作成する」の説明に従って、パブリック ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | 監査;打ち消す;無効 | 1.0.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | 監査;打ち消す;無効 | 2.0.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MariaDB にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | 監査;打ち消す;無効 | 2.0.0 |
| MySQL フレキシブル サーバーのパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for MySQL フレキシブル サーバーにプライベート エンドポイントからのみアクセスできるようにすることで、セキュリティが向上します。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが厳密に無効になり、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | 監査;打ち消す;無効 | 2.3.0 |
| MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にして、セキュリティを強化し、プライベート エンドポイントからのみ Azure Database for MySQL にアクセスできるようにします。 この構成は、Azure IP 範囲外のパブリック アドレス空間からのアクセスを厳密に無効にし、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインを拒否します。 | 監査;打ち消す;無効 | 2.0.0 |
| PostgreSQL フレキシブル サーバーではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure Database for PostgreSQL フレキシブル サーバーにプライベート エンドポイントからのみアクセスできるようにすることで、セキュリティが向上します。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが厳密に無効になり、IP ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | 監査;打ち消す;無効 | 3.1.0 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | 監査;打ち消す;無効 | 2.0.1 |
| Service Bus 名前空間ではパブリック ネットワーク アクセスを無効にする必要がある | Azure Service Bus ではパブリック ネットワーク アクセスを無効にする必要があります。 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 プライベート エンドポイントを作成することによってリソースの露出を制限することもできます。 詳細情報: プライベート エンドポイント経由で Azure Service Bus 名前空間へのアクセスを許可する | 監査;打ち消す;無効 | 1.1.0 |
| ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 3.1.1 |
| ストレージ アカウントで公衆ネットワーク アクセスを無効にする必要がある | ストレージ アカウントのセキュリティを強化するには、これらがパブリック インターネットに公開されておらず、プライベート エンドポイントからのみアクセスできるようにします。 ストレージ アカウントのパブリック ネットワーク アクセスの説明に従って、 パブリック ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | 監査;打ち消す;無効 | 1.0.1 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | 監査;打ち消す;無効 | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | 監査;打ち消す;無効 | 1.0.1 |
| ストレージ アカウントでは、仮想ネットワーク規則を使用してネットワーク アクセスを制限する必要がある (Databricks によって作成されたストレージ アカウントを除く) | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | 監査;打ち消す;無効 | 1.0.0 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、「 Azure Private Link とは」を参照してください。 | AuditIfNotExists;無効 | 2.0.0 |
| ストレージ アカウントではプライベート リンクを使用する必要がある (Databricks によって作成されたストレージ アカウントを除く) | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、「 Azure Private Link とは」を参照してください。 | AuditIfNotExists;無効 | 1.0.0 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 Azure VM Image Builder のネットワーク オプション - 既存の VNET を使用してデプロイする」を参照してください。 | 監査;無効;打ち消す | 1.1.0 |
| [プレビュー]: Azure Key Vault Managed HSM で公衆ネットワーク アクセスを無効にする必要がある | Azure Key Vault Managed HSM の公衆ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 これにより、データ漏えいのリスクを軽減することができます。 詳細情報: 信頼されたサービスに Managed HSM へのアクセスを許可する。 | 監査;打ち消す;無効 | 1.0.0-preview |
| [プレビュー]: Azure Key Vault Managed HSM はプライベート リンクを使用する必要がある | プライベート リンクを使用すると、パブリック インターネット経由でトラフィックを送信せずに、Azure Key Vault Managed HSM を Azure リソースに接続できます。 プライベート リンクにより、データ流出に対する徹底的な防御が提供されます。 詳細情報: Managed HSM と Azure Private Link の統合 | 監査;無効 | 1.0.0-preview |
| [プレビュー]: Azure Recovery Services コンテナーではバックアップのためにプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、「 Azure Backup のプライベート エンドポイントを作成して使用する」を参照してください。 | 監査;無効 | 2.0.0-preview |
| [プレビュー]: Recovery Services コンテナーではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Recovery Services コンテナーにマッピングすることにより、データ漏えいのリスクが軽減されます。 Azure Site Recovery のプライベート リンクの詳細については、「プライベート エンドポイントを使用してオンプレミスのマシンのレプリケーションを有効にする 」および 「Azure Site Recovery のプライベート エンドポイントのレプリケーションを有効にする」を参照してください。 | 監査;無効 | 1.0.0-preview |
NS-3: エンタープライズ ネットワークのエッジでファイアウォールをデプロイする
詳細については、「 ネットワーク セキュリティ: NS-3: エンタープライズ ネットワークのエッジにファイアウォールを展開する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists;無効 | 3.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists;無効 | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists;無効 | 3.0.0 |
| プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists;無効 | 3.0.0-preview |
NS-5: DDoS 保護をデプロイする
詳細については、「 ネットワーク セキュリティ: NS-5: DDOS 保護の展開」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure DDoS Protection を有効にする必要があります | パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 | AuditIfNotExists;無効 | 3.0.1 |
| 仮想ネットワークを Azure DDoS Protection によって保護する必要がある | Azure DDoS Protection を使用して、仮想ネットワークを帯域幅消費およびプロトコル攻撃から保護します。 詳細については、 Azure DDoS Protection の概要に関するページを参照してください。 | 修飾する;監査;無効 | 1.0.1 |
NS-6: Web アプリケーション ファイアウォールをデプロイする
詳細については、「 ネットワーク セキュリティ: NS-6: Web アプリケーション ファイアウォールのデプロイ」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国/地域、IP アドレス範囲、およびその他の http(s) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | 監査;打ち消す;無効 | 1.0.2 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国/地域、IP アドレス範囲、およびその他の http(s) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | 監査;打ち消す;無効 | 2.0.0 |
NS-8: 安全でないサービスとプロトコルを検出して無効にする
詳細については、「 ネットワーク セキュリティ: NS-8: 安全でないサービスとプロトコルの検出と無効化」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists;無効 | 2.2.0 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists;無効 | 2.3.0 |
PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する
詳細については、「 特権アクセス: PA-1: 高度な特権/管理ユーザーを分離および制限する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists;無効 | 3.0.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists;無効 | 1.0.0 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists;無効 | 3.0.0 |
PA-2: ユーザー アカウントとアクセス許可の永続的なアクセスを回避する
詳細については、「 特権アクセス: PA-2: ユーザー アカウントとアクセス許可の永続的なアクセスを回避する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists;無効 | 3.0.0 |
PA-4: ユーザー アクセスを定期的に確認して調整する
詳細については、「 特権アクセス: PA-4: ユーザー アクセスを定期的に確認および調整する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists;無効 | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists;無効 | 1.0.0 |
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
詳細については、「 特権アクセス: PA-7: 十分な管理 (最小特権) 原則に従う」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| API Management サブスクリプションのスコープをすべての API に限定することはできない | API Management サブスクリプションは、すべての API ではなく、製品または個々の API にスコープを設定する必要があります。 | 監査;無効;打ち消す | 1.1.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | 監査;無効 | 1.0.1 |
| Azure Key Vault では RBAC アクセス許可モデルを使用する必要がある | Key Vault 間で RBAC アクセス許可モデルを有効にします。 詳細情報: コンテナー アクセス ポリシーから Azure ロールベースのアクセス制御アクセス許可モデルに移行する | 監査;打ち消す;無効 | 1.0.1 |
| Kubernetes Services でロールベースのアクセス制御 (RBAC) を使用する必要がある | ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 | 監査;無効 | 1.1.0 |
PV-2: セキュリティで保護された構成を監査して適用する
詳細については、「 ポスチャと脆弱性管理: PV-2: セキュリティで保護された構成の監査と適用」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| API Management の直接管理エンドポイントを有効にしてはならない | Azure API Management の直接管理 REST API を使用すると、Azure Resource Manager のロールベースのアクセス制御、承認、調整メカニズムがバイパスされるため、サービスの脆弱性が高まります。 | 監査;無効;打ち消す | 1.0.2 |
| App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists;無効 | 1.0.0 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists;無効 | 2.0.0 |
| App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists;無効 | 2.0.0 |
| Azure API Management プラットフォームのバージョンは stv2 である必要がある | Azure API Management stv1 コンピューティング プラットフォームのバージョンは 2024 年 8 月 31 日をもって廃止され、引き続きサポートするには、これらのインスタンスを stv2 コンピューティング プラットフォームに移行する必要があります。 詳細については、API Management stv1 プラットフォームの提供終了に関するページを参照してください - グローバル Azure クラウド (2024 年 8 月) | 監査;打ち消す;無効 | 1.0.0 |
| Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある | Azure Arc 用の Azure Policy 拡張機能を使用すると、大規模な適用や、一元化された一貫性のある方法による Arc 対応 Kubernetes クラスターの保護が可能です。 詳細については、「 Azure Policy for Kubernetes クラスターについて」を参照してください。 | AuditIfNotExists;無効 | 1.1.0 |
| Azure Machine Learning コンピューティング インスタンスは、最新のソフトウェア更新プログラムを取得するために、再作成する必要があります | Azure Machine Learning コンピューティング インスタンスが利用可能な最新のオペレーティング システムで実行されていることを確実にします。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、「 脆弱性管理」を参照してください。 | n/a | 1.0.3 |
| Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 | 監査;無効 | 1.0.2 |
| 関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists;無効 | 1.1.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists;無効 | 2.1.0 |
| 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists;無効 | 2.1.0 |
| Kubernetes クラスター コンテナーの CPU とメモリ リソースの制限が、指定された制限を超えないようにする | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 9.3.0 |
| Kubernetes クラスター コンテナーはホスト名前空間を共有しないでください | ポッド コンテナーが Kubernetes クラスター内のホスト プロセス ID 名前空間、ホスト IPC 名前空間、ホスト ネットワーク名前空間を共有できないようにします。 この推奨事項は、ホスト名前空間の Kubernetes ポッド セキュリティ標準に準拠しており、Kubernetes 環境のセキュリティを向上させることを目的とした CIS 5.2.1、5.2.2、5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;打ち消す;無効 | 6.0.0 |
| コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 6.2.1 | |
| Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある | Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 6.2.0 |
| Kubernetes クラスター コンテナーでは、許可されたイメージのみを使用する必要があります | 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 9.3.0 |
| Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 6.3.0 |
| Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 6.3.0 |
| Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 6.2.0 |
| Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | Kubernetes クラスター内のホスト ネットワークと許可されるホスト ポートへのポッド アクセスを制限します。 この推奨事項は、Kubernetes 環境のセキュリティを向上させることを目的とした CIS 5.2.4 の一部であり、hostPorts のポッド セキュリティ標準 (PSS) に準拠しています。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;打ち消す;無効 | 7.0.0 |
| Kubernetes クラスター サービスは、許可されたポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 8.2.0 |
| Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 9.2.0 |
| Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 4.2.0 |
| Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;打ち消す;無効 | 8.0.0 |
| Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 5.1.0 |
| Kubernetes クラスターでは既定の名前空間を使用しない | ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「Kubernetes 用の Azure Policy について理解する」を参照してください。 | 監査;監査;打ち消す;打ち消す;無効;無効 | 4.2.0 |
PV-4: コンピューティング リソースのセキュリティで保護された構成を監査して適用する
詳細については、「 ポスチャと脆弱性の管理: PV-4: コンピューティング リソースのセキュリティで保護された構成を監査および適用する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、「 Azure Machine Configuration について」を参照してください。 | AuditIfNotExists;無効 | 1.0.3 |
| Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、「 Azure Machine Configuration について」を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists;無効 | 2.3.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、Azure Machine Configuration の理解に関するページを参照してください | AuditIfNotExists;無効 | 1.0.1 |
| Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、「 Azure Machine Configuration について」を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists;無効 | 2.1.0 |
| [プレビュー]: Azure Stack HCI サーバーは、アプリケーション制御ポリシーを一貫して適用する必要がある | 少なくとも、すべての Azure Stack HCI サーバーで Microsoft WDAC 基本ポリシーを強制モードで適用します。 適用される Windows Defender アプリケーション制御 (WDAC) ポリシーは、同じクラスター内のサーバー間で一貫している必要があります。 | 監査;無効;AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: Azure Stack HCI サーバーは、セキュリティで保護されたコアの要件を満たす必要がある | セキュリティで保護されたコアの要件を、すべての Azure Stack HCI サーバーが満たしていることを確認します。 セキュリティで保護されたコア サーバーの要件を有効にするには: 1. Azure Stack HCI クラスター ページから Windows Admin Center に移動し、[接続] を選びます。 2. セキュリティ拡張機能に移動し、セキュリティで保護されたコアを選びます。 3. 有効になっていない設定を選び、[有効] をクリックします。 | 監査;無効;AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 | AuditIfNotExists;無効 | 6.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 | AuditIfNotExists;無効 | 5.1.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | AuditIfNotExists;無効 | 4.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある | ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシン スケール セットに適用されます。 | AuditIfNotExists;無効 | 3.1.0-preview |
| [プレビュー]: Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある | すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloud によって、お客様が所有する 1 台以上の Linux マシンで信頼されていない OS ブート コンポーネントが特定されました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。 | AuditIfNotExists;無効 | 1.0.0-preview |
| [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートされる Windows 仮想マシンでセキュア ブートを有効にします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 | 監査;無効 | 4.0.0-preview |
| [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 | 監査;無効 | 2.0.0-preview |
PV-5: 脆弱性評価を実行する
詳細については、「 ポスチャと脆弱性管理: PV-5: 脆弱性評価の実行」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists;無効 | 3.0.0 |
| マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists;無効 | 1.0.2 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists;無効 | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists;無効 | 3.0.0 |
PV-6: 脆弱性を迅速かつ自動的に修復する
詳細については、「 ポスチャと脆弱性管理: PV-6: 迅速かつ自動的に脆弱性を修復する」を参照してください。
| 名前 | Description | Effect(s) | バージョン |
|---|---|---|---|
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists;無効 | 1.0.1 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists;無効 | 1.0.1 |
| 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 Windows の AssessmentMode プロパティの詳細については、 Windows パッチ評価モード、Linux の場合: Linux パッチ評価モードについて説明します。 | 監査;打ち消す;無効 | 3.9.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists;無効 | 4.1.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists;無効 | 1.0.0 |
| システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) | お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists;無効 | 1.0.1 |
次のステップ
- 制御の詳細については、 Microsoft クラウド セキュリティ ベンチマーク を確認してください。
- Azure portal を使用してポリシーを割り当てる
- Azure Policy の詳細を確認する