Azure Arc 対応サーバー用の Azure Policy 規制コンプライアンス コントロール
Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページには、Azure Arc 対応サーバー用のコンプライアンス ドメインとセキュリティ コントロールが表示されます。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
Australian Government ISM PROTECTED
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Australian Government ISM PROTECTED に関するページを参照してください。 このコンプライアンス基準の詳細については、Australian Government ISM PROTECTED に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 415 | ユーザー ID - 415 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 421 | 単一要素認証 - 421 | Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある | 3.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 445 | システムへの特権アクセス - 445 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| データベース システムのガイドライン - データベース サーバー | 1277 | データベース サーバーと Web サーバー間の通信 - 1277 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1507 | システムへの特権アクセス - 1507 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1546 | システムに対する認証 - 1546 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
カナダ連邦の PBMM
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - カナダ連邦 PBMM に関する記事をご覧ください。 このコンプライアンス標準の詳細については、カナダ連邦 PBMM に関するドキュメントをご覧ください。
CIS Microsoft Azure Foundations Benchmark 2.0.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v2.0.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | [システム更新プログラムの適用] 状態の Microsoft Defender レコメンデーションが [完了] になっていることを確認する | 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 3.7.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | Endpoint Protection をマシンにインストールする必要があります | 1.0.0 |
CMMC レベル 3
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.2.008 | セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| アクセス制御 | AC.2.008 | セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。 | Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.3.017 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| アクセス制御 | AC.3.017 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| アクセス制御 | AC.3.018 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある | 3.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | 3.0.0 |
| 構成管理 | CM.2.061 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.2.0 |
| 構成管理 | CM.2.062 | 不可欠な機能だけを提供するように組織のシステムを構成して最小限の機能の原則を採用する。 | Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある | 3.0.0 |
| 構成管理 | CM.2.063 | ユーザーがインストールしたソフトウェアの制御および監視を行う。 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| 構成管理 | CM.2.064 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 構成管理 | CM.2.065 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.1.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
| 識別と認証 | IA.2.078 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| 識別と認証 | IA.2.079 | 指定された生成回数についてパスワードの再利用を禁止する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | IA.2.081 | 暗号で保護されたパスワードのみを格納して送信する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | IA.3.084 | 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.177 | CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| システムと通信の保護 | SC.3.181 | ユーザー機能をシステム管理機能から分離する。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.185 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| システムと通信の保護 | SC.3.190 | 通信セッションの信頼性を保護する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
HIPAA HITRUST 9.2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - HIPAA HITRUST 9.2 に関するページを参照してください。 このコンプライアンス標準の詳細については、HIPAA HITRUST 9.2 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ユーザーの識別と認証 | 11210.01q2Organizational.10 - 01.q | 電子記録に対して実行される電子署名および手書き署名は、それぞれの電子記録にリンクされている必要があります。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| ユーザーの識別と認証 | 11211.01q2Organizational.11 - 01.q | 署名された電子記録には、人が判読できる形式の署名に関連付けられた情報が含まれている必要があります。 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある | 3.0.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある | 3.0.0 |
| 08 ネットワーク保護 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 | Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある | 3.0.0 |
| 09 伝送保護 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 電子商取引サービス | 指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する | 3.0.0 |
| 11 アクセスの制御 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 オペレーティング システム アクセス制御 | Administrators グループに余分なアカウントがある Windows マシンを監査する | 2.0.0 |
| 11 アクセスの制御 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 オペレーティング システム アクセス制御 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| 11 アクセスの制御 | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 オペレーティング システム アクセス制御 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| 11 アクセスの制御 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス | Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある | 3.0.0 |
| 12 監査ログと監視 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 監視 | Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 2.0.0 |
| 12 監査ログと監視 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 監視 | Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する | 2.0.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある | 3.0.0 |
| 12 監査ログと監視 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 文書化された業務手順 | Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある | 3.0.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある | 3.0.0 |
IRS 1075 (2016 年 9 月)
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - IRS 1075 (2016 年 9 月) に関する記事をご覧ください。 このコンプライアンス標準の詳細については、IRS 1075 (2016 年 9 月) に関するドキュメントをご覧ください。
ISO 27001:2013
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - ISO 27001:2013 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、ISO 27001:2013 に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 暗号化 | 10.1.1 | 暗号化コントロールの使用に関するポリシー | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 2.0.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。
NIST SP 800-171 R2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.2.0 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| アクセス制御 | 3.1.4 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する | 2.0.0 |
| アクセス制御 | 3.1.4 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する | 2.0.0 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | 1.0.0 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| システムと情報の整合性 | 3.14.4 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| システムと情報の整合性 | 3.14.5 | 組織のシステムの定期的なスキャンを実行すると共に、外部ソースからのファイルのリアルタイム スキャンを、ファイルがダウンロードされる、開かれる、または実行されるときに行う。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | 1.0.1-preview |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | 1.0.1-preview |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | 1.0.1-preview |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | 1.0.1-preview |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | 1.0.1-preview |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | 1.0.1-preview |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | 1.0.1-preview |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | 1.0.1-preview |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.2.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.0.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.2.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 2.0.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.1.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.2.0 |
| 識別と認証 | 3.5.4 | 特権および非特権アカウントによるネットワーク アクセスに、リプレイ耐性のある認証メカニズムを採用する。 | Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある | 3.0.0 |
| 識別と認証 | 3.5.7 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 2.0.0 |
| 識別と認証 | 3.5.7 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
| 識別と認証 | 3.5.8 | 指定された生成回数についてパスワードの再利用を禁止する。 | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
NIST SP 800-53 Rev. 4
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
NL BIO Cloud Theme
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| U.05.1 データ保護 - 暗号化対策 | U.05.1 | データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | マシンで Windows Defender Exploit Guard を有効にする必要がある | 2.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある | 1.0.1-preview |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある | 1.0.1-preview |
PCI DSS 3.2.1
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS 3.2.1 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、PCI DSS 3.2.1 を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 要件 8 | 8.2.3 | PCI DSS 要件 8.2.3 | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| 要件 8 | 8.2.3 | PCI DSS 要件 8.2.3 | パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| 要件 8 | 8.2.3 | PCI DSS 要件 8.2.3 | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
| 要件 8 | 8.2.5 | PCI DSS 要件 8.2.5 | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| 要件 8 | 8.2.5 | PCI DSS 要件 8.2.5 | パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| 要件 8 | 8.2.5 | PCI DSS 要件 8.2.5 | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
PCI DSS v4.0
すべての Azure サービスに対して使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS v4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「PCI DSS v4.0」をご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
インド準備銀行 - NBFC 向けの IT フレームワーク
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 ここのコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| IT ガバナンス | 1 | IT ガバナンス-1 | マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | 1.0.0 |
| 情報とサイバーセキュリティ | 3.3 | 脆弱性の管理-3.3 | マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | 1.0.0 |
インド準備銀行の銀行向けの IT フレームワーク v2016
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
SWIFT CSP-CSCF v2021
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2021 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2021」を参照してください。
SWIFT CSP-CSCF v2022
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2022 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2022」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.2.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| 2.攻撃面と脆弱性を減らす | 2.2 | ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑えます。 | 再起動が保留中の Windows VM の監査 | 2.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する | 2.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.4A | バックオフィス Data Flow セキュリティ | Linux マシンに対する認証では SSH キーを要求する必要がある | 3.2.0 |
| 2.攻撃面と脆弱性を減らす | 2.4A | バックオフィス Data Flow セキュリティ | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある | 3.0.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 2.0.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する | 2.0.0 |
| 5.ID の管理と特権の分離 | 5.4 | 記録されたパスワードのリポジトリを物理的および論理的に保護する。 | 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 2.0.0 |
UK OFFICIAL および UK NHS
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - UK OFFICIAL および UK NHS に関する記事をご覧ください。 このコンプライアンス標準の詳細については、UK OFFICIAL に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 転送中のデータの保護 | 1 | 転送中のデータの保護 | Windows マシンを安全な通信プロトコルを使うように構成する必要がある | 4.1.1 |
| ID と認証 | 10 | ID と認証 | パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 3.1.0 |
| ID と認証 | 10 | ID と認証 | passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 3.1.0 |
| ID と認証 | 10 | ID と認証 | パスワードなしのアカウントが存在する Linux マシンを監査する | 3.1.0 |
| ID と認証 | 10 | ID と認証 | 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 2.1.0 |
| ID と認証 | 10 | ID と認証 | パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| ID と認証 | 10 | ID と認証 | パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 2.1.0 |
| ID と認証 | 10 | ID と認証 | パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 2.0.0 |
| ID と認証 | 10 | ID と認証 | パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 2.1.0 |
次のステップ
- Azure Policy の規制コンプライアンスの詳細を確認します。
- Azure Policy GitHub リポジトリのビルトインを参照します。