Azure Resource Manager 用の Azure Policy の規制コンプライアンス コントロール
Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure Resource Manager 用のコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
Australian Government ISM PROTECTED
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Australian Government ISM PROTECTED に関するページを参照してください。 このコンプライアンス基準の詳細については、Australian Government ISM PROTECTED に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化 | 380 | オペレーティング システムの構成 - 380 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化 | 380 | オペレーティング システムの構成 - 380 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 414 | ユーザー ID - 414 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 414 | ユーザー ID - 414 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 414 | ユーザー ID - 414 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 430 | システムへのアクセスの中断 - 430 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 430 | システムへのアクセスの中断 - 430 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 441 | システムへの一時アクセス - 441 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 441 | システムへの一時アクセス - 441 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 441 | システムへの一時アクセス - 441 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 441 | システムへの一時アクセス - 441 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| メディアのガイドライン - メディアの使用 | 947 | データ転送のためのメディアの使用 - 947 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1173 | 多要素認証 - 1173 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1173 | 多要素認証 - 1173 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1384 | 多要素認証 - 1384 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1384 | 多要素認証 - 1384 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 | 1384 | 多要素認証 - 1384 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1503 | システムへの標準アクセス - 1503 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 人的セキュリティのガイドライン - システムとそのリソースへのアクセス | 1508 | システムへの特権アクセス - 1508 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| システム管理のためのガイドライン - データ バックアップと復元 | 1511 | バックアップの実行 - 1511 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
カナダ連邦の PBMM
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - カナダ連邦 PBMM に関する記事をご覧ください。 このコンプライアンス標準の詳細については、カナダ連邦 PBMM に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-5 | 職務の分離 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-5 | 職務の分離 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| アクセス制御 | AC-6 | 最小限の特権 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-6 | 最小限の特権 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 代替計画 | CP-7 | 代替処理サイト | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 識別と認証 | IA-2(1) | 識別と認証 (組織のユーザー) | 特権のあるアカウントへのネットワーク アクセス | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2(1) | 識別と認証 (組織のユーザー) | 特権のあるアカウントへのネットワーク アクセス | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.1.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.1.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 1 ID およびアクセス管理 | 1.1 | 特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.1 | 特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.1 | 特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.10 | [ユーザーは自分のアクセス パネルにギャラリー アプリを追加できる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.10 | [ユーザーは自分のアクセス パネルにギャラリー アプリを追加できる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.10 | [ユーザーは自分のアクセス パネルにギャラリー アプリを追加できる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.11 | [ユーザーはアプリケーションを登録できる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.11 | [ユーザーはアプリケーションを登録できる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.11 | [ユーザーはアプリケーションを登録できる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | 'セルフサービスによるグループ管理の有効化' が 'いいえ' に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | 'セルフサービスによるグループ管理の有効化' が 'いいえ' に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | 'セルフサービスによるグループ管理の有効化' が 'いいえ' に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | 'セルフサービスによるグループ管理の有効化' が 'いいえ' に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | 'ユーザーがセキュリティグループを作成できる' が 'いいえ' に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | 'ユーザーがセキュリティグループを作成できる' が 'いいえ' に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | 'ユーザーがセキュリティグループを作成できる' が 'いいえ' に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | 'ユーザーがセキュリティグループを作成できる' が 'いいえ' に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | 'セキュリティ グループを管理できるユーザー' が 'なし' に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | 'セキュリティ グループを管理できるユーザー' が 'なし' に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | 'セキュリティ グループを管理できるユーザー' が 'なし' に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | 'セキュリティ グループを管理できるユーザー' が 'なし' に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | 'ユーザーが Office 365 グループを作成できる' が 'いいえ' に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | 'ユーザーが Office 365 グループを作成できる' が 'いいえ' に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | 'ユーザーが Office 365 グループを作成できる' が 'いいえ' に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | 'ユーザーが Office 365 グループを作成できる' が 'いいえ' に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.2 | 特権のないすべてのユーザーに対して多要素認証が有効になっていることを確認する | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.2 | 特権のないすべてのユーザーに対して多要素認証が有効になっていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | 'Office 365 グループを管理できるユーザー' が 'なし' に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | 'Office 365 グループを管理できるユーザー' が 'なし' に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | 'Office 365 グループを管理できるユーザー' が 'なし' に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | 'Office 365 グループを管理できるユーザー' が 'なし' に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | リモート アクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | モビリティ トレーニングを文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | 代替作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | トークンの品質要件を満たす | 1.1.0 |
| 1 ID およびアクセス管理 | 1.23 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.23 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.23 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.23 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.23 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.23 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーがいないことを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーがいないことを確認する | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーがいないことを確認する | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーがいないことを確認する | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーがいないことを確認する | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーがいないことを確認する | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーがいないことを確認する | ユーザー アカウントを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーがいないことを確認する | ユーザー特権を確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.4 | [信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] が [無効] になっているようにする | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.4 | [信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] が [無効] になっているようにする | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.4 | [信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] が [無効] になっているようにする | トークンの品質要件を満たす | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | アカウント管理を自動化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | アカウント管理を自動化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | 組織全体のアクセスを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | アカウントが不要になったときに通知する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権機能を監査する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | アカウント管理を自動化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 組織全体のアクセスを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権ロールの割り当てを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | アカウントが不要になったときに通知する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権 ID 管理を使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.9 | [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.9 | [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.9 | [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.1 | Standard 価格レベルが選択されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.11 | ASC の既定のポリシー設定 "Storage BLOB 暗号化の監視" が "無効" になっていないことを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 2 Security Center | 2.11 | ASC の既定のポリシー設定 "Storage BLOB 暗号化の監視" が "無効" になっていないことを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 2 Security Center | 2.11 | ASC の既定のポリシー設定 "Storage BLOB 暗号化の監視" が "無効" になっていないことを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 2 Security Center | 2.11 | ASC の既定のポリシー設定 "Storage BLOB 暗号化の監視" が "無効" になっていないことを確認する | 特別な情報を保護する | 1.1.0 |
| 2 Security Center | 2.12 | ASC の既定のポリシー設定 [JIT ネットワーク アクセスの監視] が [無効] になっていないことを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.14 | ASC の既定のポリシー設定 [SQL 監査の監視] が [無効] になっていないことを確認する | 特権機能を監査する | 1.1.0 |
| 2 Security Center | 2.14 | ASC の既定のポリシー設定 [SQL 監査の監視] が [無効] になっていないことを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 2 Security Center | 2.14 | ASC の既定のポリシー設定 [SQL 監査の監視] が [無効] になっていないことを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 2 Security Center | 2.14 | ASC の既定のポリシー設定 [SQL 監査の監視] が [無効] になっていないことを確認する | 監査データを確認する | 1.1.0 |
| 2 Security Center | 2.15 | ASC の既定のポリシー設定 [SQL 暗号化の監視] が [無効] になっていないことを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 2 Security Center | 2.15 | ASC の既定のポリシー設定 [SQL 暗号化の監視] が [無効] になっていないことを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 2 Security Center | 2.15 | ASC の既定のポリシー設定 [SQL 暗号化の監視] が [無効] になっていないことを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 2 Security Center | 2.15 | ASC の既定のポリシー設定 [SQL 暗号化の監視] が [無効] になっていないことを確認する | 特別な情報を保護する | 1.1.0 |
| 2 Security Center | 2.16 | [セキュリティ連絡先の電子メール] が設定されていることを確認する | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| 2 Security Center | 2.18 | [重要度 - 高についてアラートの電子メール通知を送信する] が [オン] に設定されていることを確認する | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| 2 Security Center | 2.19 | [サブスクリプションの所有者にもメールを送信する] が [オン] に設定されていることを確認する | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| 2 Security Center | 2.2 | [監視エージェントの自動プロビジョニング] が [オン] に設定されていることを確認する | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 2 Security Center | 2.2 | [監視エージェントの自動プロビジョニング] が [オン] に設定されていることを確認する | セキュリティ運用を文書化する | 1.1.0 |
| 2 Security Center | 2.2 | [監視エージェントの自動プロビジョニング] が [オン] に設定されていることを確認する | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 2 Security Center | 2.3 | ASC の既定のポリシー設定 [システムの更新プログラムの監視] が [無効] になっていないことを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 2 Security Center | 2.4 | ASC の既定のポリシー設定 [OS 脆弱性の監視] が [無効] になっていないことを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.4 | ASC の既定のポリシー設定 [OS 脆弱性の監視] が [無効] になっていないことを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 2 Security Center | 2.5 | ASC の既定のポリシー設定 [Endpoint Protection の監視] が [無効] になっていないことを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.5 | ASC の既定のポリシー設定 [Endpoint Protection の監視] が [無効] になっていないことを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.5 | ASC の既定のポリシー設定 [Endpoint Protection の監視] が [無効] になっていないことを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.5 | ASC の既定のポリシー設定 [Endpoint Protection の監視] が [無効] になっていないことを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.5 | ASC の既定のポリシー設定 [Endpoint Protection の監視] が [無効] になっていないことを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.5 | ASC の既定のポリシー設定 [Endpoint Protection の監視] が [無効] になっていないことを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.5 | ASC の既定のポリシー設定 [Endpoint Protection の監視] が [無効] になっていないことを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.6 | ASC の既定のポリシー設定 [ディスク暗号化の監視] が [無効] になっていないことを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 2 Security Center | 2.6 | ASC の既定のポリシー設定 [ディスク暗号化の監視] が [無効] になっていないことを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 2 Security Center | 2.6 | ASC の既定のポリシー設定 [ディスク暗号化の監視] が [無効] になっていないことを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 2 Security Center | 2.6 | ASC の既定のポリシー設定 [ディスク暗号化の監視] が [無効] になっていないことを確認する | 特別な情報を保護する | 1.1.0 |
| 2 Security Center | 2.7 | ASC の既定のポリシー設定 [ネットワーク セキュリティ グループの監視] が [無効] になっていないことを確認する | 情報フローを制御する | 1.1.0 |
| 2 Security Center | 2.7 | ASC の既定のポリシー設定 [ネットワーク セキュリティ グループの監視] が [無効] になっていないことを確認する | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 2 Security Center | 2.8 | ASC の既定のポリシー設定 "Web アプリケーション ファイアウォールの監視" が "無効" になっていないことを確認する | 情報フローを制御する | 1.1.0 |
| 2 Security Center | 2.8 | ASC の既定のポリシー設定 "Web アプリケーション ファイアウォールの監視" が "無効" になっていないことを確認する | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 2 Security Center | 2.9 | ASC の既定のポリシー設定 [次世代のファイアウォール (NGFW) 監視を有効にする] が [無効] になっていないことを確認する | 情報フローを制御する | 1.1.0 |
| 2 Security Center | 2.9 | ASC の既定のポリシー設定 [次世代のファイアウォール (NGFW) 監視を有効にする] が [無効] になっていないことを確認する | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 3 ストレージ アカウント | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 3 ストレージ アカウント | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 物理キーの管理プロセスを定義する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 暗号化の使用を定義する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | アサーション要件を決定する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 公開キー証明書を発行する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 対称暗号化キーを管理する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 秘密キーへのアクセスを制限する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 特権機能を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | Azure 監査機能を構成する | 1.1.1 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 監査データを確認する | 1.1.0 |
| 3 ストレージ アカウント | 3.4 | 共有アクセス署名トークンの期限が 1 時間以内に切れるようにする | 終了時に認証子を無効にする | 1.1.0 |
| 3 ストレージ アカウント | 3.4 | 共有アクセス署名トークンの期限が 1 時間以内に切れるようにする | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 3 ストレージ アカウント | 3.4 | 共有アクセス署名トークンの期限が 1 時間以内に切れるようにする | ユーザー セッションを自動的に終了する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | Shared Access Signature のトークンが HTTPS 経由でのみ許可されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | Shared Access Signature のトークンが HTTPS 経由でのみ許可されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | Shared Access Signature のトークンが HTTPS 経由でのみ許可されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.6 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 3 ストレージ アカウント | 3.6 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 3 ストレージ アカウント | 3.6 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | 論理アクセスを強制する | 1.1.0 |
| 3 ストレージ アカウント | 3.6 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 3 ストレージ アカウント | 3.6 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | アカウント作成の承認を必要とする | 1.1.0 |
| 3 ストレージ アカウント | 3.6 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 3 ストレージ アカウント | 3.8 | ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | 情報フローを制御する | 1.1.0 |
| 3 ストレージ アカウント | 3.8 | ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 3 ストレージ アカウント | 3.8 | ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 3 ストレージ アカウント | 3.8 | ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 3 ストレージ アカウント | 3.8 | ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 4 データベース サービス | 4.1 | [監査] が [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.1 | [監査] が [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.1 | [監査] が [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.1 | [監査] が [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.10 | SQL Server の TDE 保護機能が BYOK (自分のキーの使用) で暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 4 データベース サービス | 4.10 | SQL Server の TDE 保護機能が BYOK (自分のキーの使用) で暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 4 データベース サービス | 4.10 | SQL Server の TDE 保護機能が BYOK (自分のキーの使用) で暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.10 | SQL Server の TDE 保護機能が BYOK (自分のキーの使用) で暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 4 データベース サービス | 4.11 | MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 4 データベース サービス | 4.11 | MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.11 | MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 4 データベース サービス | 4.12 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.12 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.12 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.12 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.13 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 4 データベース サービス | 4.13 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.13 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 4 データベース サービス | 4.14 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.14 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.14 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.14 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.15 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.15 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.15 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.15 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.16 | サーバー パラメーターである "log_duration" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.16 | サーバー パラメーターである "log_duration" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.16 | サーバー パラメーターである "log_duration" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.16 | サーバー パラメーターである "log_duration" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.17 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.17 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.17 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.17 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.18 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | 定義されている保持期間に従う | 1.1.0 |
| 4 データベース サービス | 4.18 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 4 データベース サービス | 4.18 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 4 データベース サービス | 4.18 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 4 データベース サービス | 4.19 | Azure Active Directory 管理者が構成されていることを確認する | アカウント管理を自動化する | 1.1.0 |
| 4 データベース サービス | 4.19 | Azure Active Directory 管理者が構成されていることを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 4 データベース サービス | 4.19 | Azure Active Directory 管理者が構成されていることを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 4 データベース サービス | 4.19 | Azure Active Directory 管理者が構成されていることを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 4 データベース サービス | 4.2 | SQL Server の "監査" ポリシーの "AuditActionGroups" が適切に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.2 | SQL Server の "監査" ポリシーの "AuditActionGroups" が適切に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.2 | SQL Server の "監査" ポリシーの "AuditActionGroups" が適切に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.2 | SQL Server の "監査" ポリシーの "AuditActionGroups" が適切に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.3 | "監査" 保持期間が "90 日を超える" ことを確認する | 定義されている保持期間に従う | 1.1.0 |
| 4 データベース サービス | 4.3 | "監査" 保持期間が "90 日を超える" ことを確認する | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 4 データベース サービス | 4.3 | "監査" 保持期間が "90 日を超える" ことを確認する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 4 データベース サービス | 4.3 | "監査" 保持期間が "90 日を超える" ことを確認する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 4 データベース サービス | 4.4. | SQL Server の "Advanced Data Security" が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 4 データベース サービス | 4.5 | [脅威検出の種類] が [すべて] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 4 データベース サービス | 4.6 | [アラートの送信先] が設定されていることを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 4 データベース サービス | 4.6 | [アラートの送信先] が設定されていることを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 4 データベース サービス | 4.6 | [アラートの送信先] が設定されていることを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 4 データベース サービス | 4.7 | [サービスの管理者/共同管理者に電子メールを送信] が [有効] になっていることを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 4 データベース サービス | 4.7 | [サービスの管理者/共同管理者に電子メールを送信] が [有効] になっていることを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 4 データベース サービス | 4.7 | [サービスの管理者/共同管理者に電子メールを送信] が [有効] になっていることを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 4 データベース サービス | 4.8 | Azure Active Directory 管理者が構成されていることを確認する | アカウント管理を自動化する | 1.1.0 |
| 4 データベース サービス | 4.8 | Azure Active Directory 管理者が構成されていることを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 4 データベース サービス | 4.8 | Azure Active Directory 管理者が構成されていることを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 4 データベース サービス | 4.8 | Azure Active Directory 管理者が構成されていることを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 4 データベース サービス | 4.9 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 4 データベース サービス | 4.9 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 4 データベース サービス | 4.9 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.9 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 5 ログと監視 | 5.1.1 | ログ プロファイルが存在することを確認する | 定義されている保持期間に従う | 1.1.0 |
| 5 ログと監視 | 5.1.1 | ログ プロファイルが存在することを確認する | Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 | 1.0.0 |
| 5 ログと監視 | 5.1.1 | ログ プロファイルが存在することを確認する | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 5 ログと監視 | 5.1.1 | ログ プロファイルが存在することを確認する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 5 ログと監視 | 5.1.1 | ログ プロファイルが存在することを確認する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 5 ログと監視 | 5.1.2 | アクティビティ ログのリテンション期間が 365 日以上に設定されていることを確認する | アクティビティ ログを 1 年以上保持する必要がある | 1.0.0 |
| 5 ログと監視 | 5.1.2 | アクティビティ ログのリテンション期間が 365 日以上に設定されていることを確認する | 定義されている保持期間に従う | 1.1.0 |
| 5 ログと監視 | 5.1.2 | アクティビティ ログのリテンション期間が 365 日以上に設定されていることを確認する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 5 ログと監視 | 5.1.2 | アクティビティ ログのリテンション期間が 365 日以上に設定されていることを確認する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 5 ログと監視 | 5.1.3 | 監査プロファイルによってすべてのアクティビティがキャプチャされることを確認する | 定義されている保持期間に従う | 1.1.0 |
| 5 ログと監視 | 5.1.3 | 監査プロファイルによってすべてのアクティビティがキャプチャされることを確認する | Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | 1.0.0 |
| 5 ログと監視 | 5.1.3 | 監査プロファイルによってすべてのアクティビティがキャプチャされることを確認する | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 5 ログと監視 | 5.1.3 | 監査プロファイルによってすべてのアクティビティがキャプチャされることを確認する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 5 ログと監視 | 5.1.3 | 監査プロファイルによってすべてのアクティビティがキャプチャされることを確認する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 5 ログと監視 | 5.1.4 | ログ プロファイルによってグローバルを含むすべてのリージョンのアクティビティ ログがキャプチャされることを確認する | 定義されている保持期間に従う | 1.1.0 |
| 5 ログと監視 | 5.1.4 | ログ プロファイルによってグローバルを含むすべてのリージョンのアクティビティ ログがキャプチャされることを確認する | Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | 2.0.0 |
| 5 ログ記録と監視 | 5.1.4 | ログ プロファイルによってグローバルを含むすべてのリージョンのアクティビティ ログがキャプチャされることを確認する | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 5 ログと監視 | 5.1.4 | ログ プロファイルによってグローバルを含むすべてのリージョンのアクティビティ ログがキャプチャされることを確認する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 5 ログと監視 | 5.1.4 | ログ プロファイルによってグローバルを含むすべてのリージョンのアクティビティ ログがキャプチャされることを確認する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 5 ログと監視 | 5.1.5 | アクティビティ ログを格納するストレージ コンテナーにパブリックにアクセスできないことを確認する | 二重または共同の認可を有効にする | 1.1.0 |
| 5 ログと監視 | 5.1.5 | アクティビティ ログを格納するストレージ コンテナーにパブリックにアクセスできないことを確認する | 監査情報を保護する | 1.1.0 |
| 5 ログと監視 | 5.1.6 | アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する | 二重または共同の認可を有効にする | 1.1.0 |
| 5 ログと監視 | 5.1.6 | アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する | 監査システムの整合性を維持する | 1.1.0 |
| 5 ログと監視 | 5.1.6 | アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する | 監査情報を保護する | 1.1.0 |
| 5 ログと監視 | 5.1.7 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 特権機能を監査する | 1.1.0 |
| 5 ログと監視 | 5.1.7 | Azure KeyVault のログ記録が [有効] になっていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5 ログと監視 | 5.1.7 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 5 ログと監視 | 5.1.7 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 監査データを確認する | 1.1.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.2 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.2 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.2 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.2 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.6 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.6 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.6 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.6 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.8 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.8 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.8 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.8 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.9 | "セキュリティ ポリシーの更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.9 | "セキュリティ ポリシーの更新" のアクティビティ ログ アラートが存在することを確認する | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.9 | "セキュリティ ポリシーの更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.9 | "セキュリティ ポリシーの更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 6 ネットワーク | 6.3 | SQL データベースでイングレス 0.0.0.0/0 (任意の IP) を許可しないようにする | 情報フローを制御する | 1.1.0 |
| 6 ネットワーク | 6.3 | SQL データベースでイングレス 0.0.0.0/0 (任意の IP) を許可しないようにする | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 6 ネットワーク | 6.4 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | 定義されている保持期間に従う | 1.1.0 |
| 6 ネットワーク | 6.4 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 6 ネットワーク | 6.4 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 6 ネットワーク | 6.5 | Network Watcher が [有効] になっていることを確認する | セキュリティ機能を確認する | 1.1.0 |
| 7 Virtual Machines | 7.1 | "OS ディスク" が暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 Virtual Machines | 7.1 | "OS ディスク" が暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 Virtual Machines | 7.1 | "OS ディスク" が暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 Virtual Machines | 7.1 | "OS ディスク" が暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 7 Virtual Machines | 7.2 | "データ ディスク" が暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 Virtual Machines | 7.2 | "データ ディスク" が暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 Virtual Machines | 7.2 | "データ ディスク" が暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 Virtual Machines | 7.2 | "データ ディスク" が暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 7 Virtual Machines | 7.5 | すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | セキュリティ運用を文書化する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.3 | ミッション クリティカルな Azure リソースに対してリソース ロックが設定されているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.4 | キー コンテナーが回復可能であることを確認する | 情報の可用性を維持する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | アクセスを認可および管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | 論理アクセスを強制する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | アカウント作成の承認を必要とする | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 9 AppService | 9.1 | Azure App Service に App Service 認証が設定されていることを確認する | 暗号化モジュールに対して認証する | 1.1.0 |
| 9 AppService | 9.1 | Azure App Service に App Service 認証が設定されていることを確認する | ユーザーの一意性を徹底する | 1.1.0 |
| 9 AppService | 9.1 | Azure App Service に App Service 認証が設定されていることを確認する | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 9 AppService | 9.10 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 AppService | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | 暗号化モジュールに対して認証する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | アカウント管理を自動化する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 9 AppService | 9.6 | Web アプリの一部として使用された ".Net Framework" のバージョンが最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 AppService | 9.7 | Web アプリの実行に使用された "PHP のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 AppService | 9.8 | Web アプリの実行に使用された "Python のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 AppService | 9.9 | Web アプリの実行に使用された "Java のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 1 ID およびアクセス管理 | 1.1 | 特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.1 | 特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.1 | 特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.10 | [ユーザーは自分のアクセス パネルにギャラリー アプリを追加できる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.10 | [ユーザーは自分のアクセス パネルにギャラリー アプリを追加できる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.10 | [ユーザーは自分のアクセス パネルにギャラリー アプリを追加できる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.11 | [ユーザーはアプリケーションを登録できる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.11 | [ユーザーはアプリケーションを登録できる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.11 | [ユーザーはアプリケーションを登録できる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲストのアクセス許可を制限する] が [はい] に設定されているようにする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [メンバーは招待ができる] が [いいえ] に設定されているようにする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [ゲストは招待ができる] が [いいえ] に設定されているようにする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | [ユーザーがアクセス パネルでグループ機能にアクセスする機能を制限します] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | [ユーザーがアクセス パネルでグループ機能にアクセスする機能を制限します] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | [ユーザーがアクセス パネルでグループ機能にアクセスする機能を制限します] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | [ユーザーがアクセス パネルでグループ機能にアクセスする機能を制限します] が [いいえ] に設定されているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | [ユーザーは Azure Portal でセキュリティ グループを作成できる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | [ユーザーは Azure Portal でセキュリティ グループを作成できる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | [ユーザーは Azure Portal でセキュリティ グループを作成できる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | [ユーザーは Azure Portal でセキュリティ グループを作成できる] が [いいえ] に設定されているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Users can create Microsoft 365 groups in Azure Portals] (ユーザーは Azure portal で Microsoft 365 グループを作成できる) が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Users can create Microsoft 365 groups in Azure Portals] (ユーザーは Azure portal で Microsoft 365 グループを作成できる) が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Users can create Microsoft 365 groups in Azure Portals] (ユーザーは Azure portal で Microsoft 365 グループを作成できる) が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Users can create Microsoft 365 groups in Azure Portals] (ユーザーは Azure portal で Microsoft 365 グループを作成できる) が [いいえ] に設定されているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.2 | 特権のないすべてのユーザーに対して多要素認証が有効になっていることを確認する | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.2 | 特権のないすべてのユーザーに対して多要素認証が有効になっていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | リモート アクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | モビリティ トレーニングを文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | 代替作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | [デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする | トークンの品質要件を満たす | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | 暗号化モジュールに対して認証する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | リモート アクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | モビリティ トレーニングを文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | 代替作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | トークンの品質要件を満たす | 1.1.0 |
| 1 ID およびアクセス管理 | 1.23 | リソース ロックの管理のためにカスタム役割が割り当てられているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.23 | リソース ロックの管理のためにカスタム役割が割り当てられているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.23 | リソース ロックの管理のためにカスタム役割が割り当てられているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.23 | リソース ロックの管理のためにカスタム役割が割り当てられているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | ユーザー アカウントの状態を監査する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | ユーザー アカウントを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | ユーザー特権を確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.4 | [信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] が [無効] になっているようにする | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.4 | [信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] が [無効] になっているようにする | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.4 | [信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] が [無効] になっているようにする | トークンの品質要件を満たす | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | [ユーザーが認証情報を再確認するように求められるまでの日数] が "0" に設定されていないようにする | アカウント管理を自動化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | [ユーザーが認証情報を再確認するように求められるまでの日数] が "0" に設定されていないようにする | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | [ユーザーが認証情報を再確認するように求められるまでの日数] が "0" に設定されていないようにする | 組織全体のアクセスを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | [ユーザーが認証情報を再確認するように求められるまでの日数] が "0" に設定されていないようにする | アカウントが不要になったときに通知する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | アカウント管理を自動化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | 組織全体のアクセスを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | アカウントが不要になったときに通知する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権機能を監査する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | アカウント管理を自動化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 組織全体のアクセスを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権ロールの割り当てを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | アカウントが不要になったときに通知する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権 ID 管理を使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.9 | [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.9 | [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.9 | [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 2 Security Center | 2.1 | サーバーに対して Azure Defender がオンに設定されていることを確認する | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 2 Security Center | 2.1 | サーバーに対して Azure Defender がオンに設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.1 | サーバーに対して Azure Defender がオンに設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.1 | サーバーに対して Azure Defender がオンに設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.1 | サーバーに対して Azure Defender がオンに設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.1 | サーバーに対して Azure Defender がオンに設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.1 | サーバーに対して Azure Defender がオンに設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.1 | サーバーに対して Azure Defender がオンに設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.1 | サーバーに対して Azure Defender がオンに設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.10 | Microsoft Cloud App Security (MCAS) と Security Center の統合が選択されているようにする | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.10 | Microsoft Cloud App Security (MCAS) と Security Center の統合が選択されているようにする | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.10 | Microsoft Cloud App Security (MCAS) と Security Center の統合が選択されているようにする | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.10 | Microsoft Cloud App Security (MCAS) と Security Center の統合が選択されているようにする | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.10 | Microsoft Cloud App Security (MCAS) と Security Center の統合が選択されているようにする | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.10 | Microsoft Cloud App Security (MCAS) と Security Center の統合が選択されているようにする | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.10 | Microsoft Cloud App Security (MCAS) と Security Center の統合が選択されているようにする | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.10 | Microsoft Cloud App Security (MCAS) と Security Center の統合が選択されているようにする | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.11 | [監視エージェントの自動プロビジョニング] が [オン] に設定されていることを確認する | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 2 Security Center | 2.11 | [監視エージェントの自動プロビジョニング] が [オン] に設定されていることを確認する | セキュリティ運用を文書化する | 1.1.0 |
| 2 Security Center | 2.11 | [監視エージェントの自動プロビジョニング] が [オン] に設定されていることを確認する | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 2 Security Center | 2.12 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないようにする | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 2 Security Center | 2.12 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないようにする | ベースライン構成を作成して維持する | 1.1.0 |
| 2 Security Center | 2.12 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないようにする | セキュリティ構成の設定を適用する | 1.1.0 |
| 2 Security Center | 2.12 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないようにする | 構成コントロール ボードを設立する | 1.1.0 |
| 2 Security Center | 2.12 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないようにする | 構成管理計画を策定して文書化する | 1.1.0 |
| 2 Security Center | 2.12 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないようにする | 自動構成管理ツールを実装する | 1.1.0 |
| 2 Security Center | 2.13 | セキュリティ連絡先の電子メールと共に "追加のメール アドレス" が構成されていることを確認する | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| 2 Security Center | 2.14 | [次の重要度のアラートについて通知します] が [高] に設定されていることを確認する | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| 2 Security Center | 2.2 | App Service に対して Azure Defender がオンに設定されていることを確認する | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 2 Security Center | 2.2 | App Service に対して Azure Defender がオンに設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.2 | App Service に対して Azure Defender がオンに設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.2 | App Service に対して Azure Defender がオンに設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.2 | App Service に対して Azure Defender がオンに設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.2 | App Service に対して Azure Defender がオンに設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.2 | App Service に対して Azure Defender がオンに設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.2 | App Service に対して Azure Defender がオンに設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.2 | App Service に対して Azure Defender がオンに設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.3 | Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 2 Security Center | 2.3 | Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.3 | Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.3 | Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.3 | Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.3 | Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.3 | Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.3 | Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.3 | Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.4 | マシン上の SQL サーバーに対して Azure Defender がオンに設定されていることを確認する | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 2 Security Center | 2.4 | マシン上の SQL サーバーに対して Azure Defender がオンに設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.4 | マシン上の SQL サーバーに対して Azure Defender がオンに設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.4 | マシン上の SQL サーバーに対して Azure Defender がオンに設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.4 | マシン上の SQL サーバーに対して Azure Defender がオンに設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.4 | マシン上の SQL サーバーに対して Azure Defender がオンに設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.4 | マシン上の SQL サーバーに対して Azure Defender がオンに設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.4 | マシン上の SQL サーバーに対して Azure Defender がオンに設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.4 | マシン上の SQL サーバーに対して Azure Defender がオンに設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.5 | ストレージに対して Azure Defender がオンに設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.5 | ストレージに対して Azure Defender がオンに設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.5 | ストレージに対して Azure Defender がオンに設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.5 | ストレージに対して Azure Defender がオンに設定されていることを確認する | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 2 Security Center | 2.5 | ストレージに対して Azure Defender がオンに設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.5 | ストレージに対して Azure Defender がオンに設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.5 | ストレージに対して Azure Defender がオンに設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.5 | ストレージに対して Azure Defender がオンに設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.5 | ストレージに対して Azure Defender がオンに設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.6 | Kubernetes に対して Azure Defender がオンに設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.6 | Kubernetes に対して Azure Defender がオンに設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.6 | Kubernetes に対して Azure Defender がオンに設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.6 | Kubernetes に対して Azure Defender がオンに設定されていることを確認する | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 2 Security Center | 2.6 | Kubernetes に対して Azure Defender がオンに設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.6 | Kubernetes に対して Azure Defender がオンに設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.6 | Kubernetes に対して Azure Defender がオンに設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.6 | Kubernetes に対して Azure Defender がオンに設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.6 | Kubernetes に対して Azure Defender がオンに設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.7 | コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.7 | コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.7 | コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.7 | コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 2 Security Center | 2.7 | コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.7 | コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.7 | コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.7 | コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.7 | コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.8 | Key Vault に対して Azure Defender がオンに設定されていることを確認する | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 2 Security Center | 2.8 | Key Vault に対して Azure Defender がオンに設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.8 | Key Vault に対して Azure Defender がオンに設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.8 | Key Vault に対して Azure Defender がオンに設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.8 | Key Vault に対して Azure Defender がオンに設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.8 | Key Vault に対して Azure Defender がオンに設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.8 | Key Vault に対して Azure Defender がオンに設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.8 | Key Vault に対して Azure Defender がオンに設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.8 | Key Vault に対して Azure Defender がオンに設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Security Center | 2.9 | Windows Defender ATP (WDATP) と Security Center の統合が選択されているようにする | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Security Center | 2.9 | Windows Defender ATP (WDATP) と Security Center の統合が選択されているようにする | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Security Center | 2.9 | Windows Defender ATP (WDATP) と Security Center の統合が選択されているようにする | ゲートウェイを管理する | 1.1.0 |
| 2 Security Center | 2.9 | Windows Defender ATP (WDATP) と Security Center の統合が選択されているようにする | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Security Center | 2.9 | Windows Defender ATP (WDATP) と Security Center の統合が選択されているようにする | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Security Center | 2.9 | Windows Defender ATP (WDATP) と Security Center の統合が選択されているようにする | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Security Center | 2.9 | Windows Defender ATP (WDATP) と Security Center の統合が選択されているようにする | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Security Center | 2.9 | Windows Defender ATP (WDATP) と Security Center の統合が選択されているようにする | ウイルス対策定義を更新する | 1.1.0 |
| 3 ストレージ アカウント | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 3 ストレージ アカウント | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.10 | 読み取り、書き込み、削除の各要求に対する Blob service のストレージ ログが有効になっているようにする | 特権機能を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.10 | 読み取り、書き込み、削除の各要求に対する Blob service のストレージ ログが有効になっているようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.10 | 読み取り、書き込み、削除の各要求に対する Blob service のストレージ ログが有効になっているようにする | Azure 監査機能を構成する | 1.1.1 |
| 3 ストレージ アカウント | 3.10 | 読み取り、書き込み、削除の各要求に対する Blob service のストレージ ログが有効になっているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 3 ストレージ アカウント | 3.10 | 読み取り、書き込み、削除の各要求に対する Blob service のストレージ ログが有効になっているようにする | 監査データを確認する | 1.1.0 |
| 3 ストレージ アカウント | 3.11 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | 特権機能を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.11 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.11 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | Azure 監査機能を構成する | 1.1.1 |
| 3 ストレージ アカウント | 3.11 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 3 ストレージ アカウント | 3.11 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | 監査データを確認する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 物理キーの管理プロセスを定義する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 暗号化の使用を定義する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | アサーション要件を決定する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 公開キー証明書を発行する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 対称暗号化キーを管理する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 秘密キーへのアクセスを制限する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 特権機能を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | Azure 監査機能を構成する | 1.1.1 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 監査データを確認する | 1.1.0 |
| 3 ストレージ アカウント | 3.4 | 共有アクセス署名トークンの期限が 1 時間以内に切れるようにする | 終了時に認証子を無効にする | 1.1.0 |
| 3 ストレージ アカウント | 3.4 | 共有アクセス署名トークンの期限が 1 時間以内に切れるようにする | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 3 ストレージ アカウント | 3.4 | 共有アクセス署名トークンの期限が 1 時間以内に切れるようにする | ユーザー セッションを自動的に終了する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | 論理アクセスを強制する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | アカウント作成の承認を必要とする | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 3 ストレージ アカウント | 3.7 | ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | 情報フローを制御する | 1.1.0 |
| 3 ストレージ アカウント | 3.7 | ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 3 ストレージ アカウント | 3.7 | ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 3 ストレージ アカウント | 3.7 | ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 3 ストレージ アカウント | 3.7 | ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 3 ストレージ アカウント | 3.9 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 3 ストレージ アカウント | 3.9 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 3 ストレージ アカウント | 3.9 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.9 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 4 データベース サービス | 4.1.1 | [監査] が [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.1.1 | [監査] が [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.1.1 | [監査] が [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.1.1 | [監査] が [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.1.2 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 4 データベース サービス | 4.1.2 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 4 データベース サービス | 4.1.2 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.1.2 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 4 データベース サービス | 4.1.3 | "監査" 保持期間が "90 日を超える" ことを確認する | 定義されている保持期間に従う | 1.1.0 |
| 4 データベース サービス | 4.1.3 | "監査" 保持期間が "90 日を超える" ことを確認する | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 4 データベース サービス | 4.1.3 | "監査" 保持期間が "90 日を超える" ことを確認する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 4 データベース サービス | 4.1.3 | "監査" 保持期間が "90 日を超える" ことを確認する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 4 データベース サービス | 4.2.1 | SQL サーバーの Advanced Threat Protection (ATP) が [有効] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 4 データベース サービス | 4.2.2 | ストレージ アカウントを設定することによって SQL サーバーの脆弱性評価 (VA) が有効になっていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 4 データベース サービス | 4.2.2 | ストレージ アカウントを設定することによって SQL サーバーの脆弱性評価 (VA) が有効になっていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 4 データベース サービス | 4.2.3 | SQL サーバーで VA 設定の [定期的な反復スキャン が有効になっているようにする | 脆弱性スキャンを実行する | 1.1.0 |
| 4 データベース サービス | 4.2.3 | SQL サーバーで VA 設定の [定期的な反復スキャン が有効になっているようにする | 情報システムの欠陥を修復する | 1.1.0 |
| 4 データベース サービス | 4.2.4 | SQL サーバーの VA 設定 [スキャン レポートの送信先] が構成されていることを確認する | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| 4 データベース サービス | 4.2.4 | SQL サーバーの VA 設定 [スキャン レポートの送信先] が構成されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 4 データベース サービス | 4.2.4 | SQL サーバーの VA 設定 [スキャン レポートの送信先] が構成されていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 4 データベース サービス | 4.2.5 | SQL サーバーに対して VA 設定 [管理者とサブスクリプションの所有者にも電子メール通知を送信する] が設定されているようにする | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| 4 データベース サービス | 4.2.5 | SQL サーバーに対して VA 設定 [管理者とサブスクリプションの所有者にも電子メール通知を送信する] が設定されているようにする | 脆弱性スキャンを実行する | 1.1.0 |
| 4 データベース サービス | 4.2.5 | SQL サーバーに対して VA 設定 [管理者とサブスクリプションの所有者にも電子メール通知を送信する] が設定されているようにする | 情報システムの欠陥を修復する | 1.1.0 |
| 4 データベース サービス | 4.3.1 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 4 データベース サービス | 4.3.1 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.3.1 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 4 データベース サービス | 4.3.2 | MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 4 データベース サービス | 4.3.2 | MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.3.2 | MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 4 データベース サービス | 4.3.3 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.3 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.3 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.3.3 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.3.4 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.4 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.4 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.3.4 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.3.5 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.5 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.5 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.3.5 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.3.6 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.6 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.6 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.3.6 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.3.7 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | 定義されている保持期間に従う | 1.1.0 |
| 4 データベース サービス | 4.3.7 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 4 データベース サービス | 4.3.7 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 4 データベース サービス | 4.3.7 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 4 データベース サービス | 4.3.8 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | 情報フローを制御する | 1.1.0 |
| 4 データベース サービス | 4.3.8 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 4 データベース サービス | 4.3.8 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 4 データベース サービス | 4.3.8 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 4 データベース サービス | 4.3.8 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 4 データベース サービス | 4.4. | Azure Active Directory 管理者が構成されていることを確認する | アカウント管理を自動化する | 1.1.0 |
| 4 データベース サービス | 4.4. | Azure Active Directory 管理者が構成されていることを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 4 データベース サービス | 4.4. | Azure Active Directory 管理者が構成されていることを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 4 データベース サービス | 4.4. | Azure Active Directory 管理者が構成されていることを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 4 データベース サービス | 4.5 | SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 4 データベース サービス | 4.5 | SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 4 データベース サービス | 4.5 | SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.5 | SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 5 ログと監視 | 5.1.1 | 確実に '診断設定' が存在しているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 5 ログと監視 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 特権機能を監査する | 1.1.0 |
| 5 ログと監視 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5 ログと監視 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | Azure 監査機能を構成する | 1.1.1 |
| 5 ログと監視 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 監査可能なイベントを決定する | 1.1.0 |
| 5 ログと監視 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 監査データを確認する | 1.1.0 |
| 5 ログと監視 | 5.1.3 | アクティビティ ログを格納するストレージ コンテナーにパブリックにアクセスできないことを確認する | 二重または共同の認可を有効にする | 1.1.0 |
| 5 ログと監視 | 5.1.3 | アクティビティ ログを格納するストレージ コンテナーにパブリックにアクセスできないことを確認する | 監査情報を保護する | 1.1.0 |
| 5 ログと監視 | 5.1.4 | アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する | 二重または共同の認可を有効にする | 1.1.0 |
| 5 ログと監視 | 5.1.4 | アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する | 監査システムの整合性を維持する | 1.1.0 |
| 5 ログと監視 | 5.1.4 | アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する | 監査情報を保護する | 1.1.0 |
| 5 ログと監視 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 特権機能を監査する | 1.1.0 |
| 5 ログと監視 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5 ログと監視 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 5 ログと監視 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 監査データを確認する | 1.1.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 5 ログと監視 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.6 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.6 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.6 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.6 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.8 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.8 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.8 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.8 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.9 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.9 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.9 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.9 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | 定義されている保持期間に従う | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | 特権機能を監査する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | Azure 監査機能を構成する | 1.1.1 |
| 5 ログと監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | 監査データを確認する | 1.1.0 |
| 6 ネットワーク | 6.3 | SQL データベースでイングレス 0.0.0.0/0 (任意の IP) を許可しないようにする | 情報フローを制御する | 1.1.0 |
| 6 ネットワーク | 6.3 | SQL データベースでイングレス 0.0.0.0/0 (任意の IP) を許可しないようにする | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 6 ネットワーク | 6.4 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | 定義されている保持期間に従う | 1.1.0 |
| 6 ネットワーク | 6.4 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 6 ネットワーク | 6.4 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 6 ネットワーク | 6.5 | Network Watcher が [有効] になっていることを確認する | セキュリティ機能を確認する | 1.1.0 |
| 7 Virtual Machines | 7.1 | Virtual Machines で Managed Disks が利用されていることを確認する | 物理的なアクセスを制御する | 1.1.0 |
| 7 Virtual Machines | 7.1 | Virtual Machines で Managed Disks が利用されていることを確認する | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 7 Virtual Machines | 7.1 | Virtual Machines で Managed Disks が利用されていることを確認する | ラベル アクティビティと分析を確認する | 1.1.0 |
| 7 Virtual Machines | 7.2 | "OS およびデータ" のディスクが CMK で暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 Virtual Machines | 7.2 | "OS およびデータ" のディスクが CMK で暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 Virtual Machines | 7.2 | "OS およびデータ" のディスクが CMK で暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 Virtual Machines | 7.2 | "OS およびデータ" のディスクが CMK で暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が CMK で暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が CMK で暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が CMK で暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が CMK で暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 7 Virtual Machines | 7.5 | すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | セキュリティ運用を文書化する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 7 Virtual Machines | 7.7 | VHD が暗号化されているようにする | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 Virtual Machines | 7.7 | VHD が暗号化されているようにする | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 Virtual Machines | 7.7 | VHD が暗号化されているようにする | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 Virtual Machines | 7.7 | VHD が暗号化されているようにする | 特別な情報を保護する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | すべてのキーに有効期限が設定されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | すべてのシークレットに有効期限が設定されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.3 | ミッション クリティカルな Azure リソースに対してリソース ロックが設定されているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.4 | キー コンテナーが回復可能であることを確認する | 情報の可用性を維持する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | アクセスを認可および管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | 論理アクセスを強制する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | アカウント作成の承認を必要とする | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 9 AppService | 9.1 | Azure App Service に App Service 認証が設定されていることを確認する | 暗号化モジュールに対して認証する | 1.1.0 |
| 9 AppService | 9.1 | Azure App Service に App Service 認証が設定されていることを確認する | ユーザーの一意性を徹底する | 1.1.0 |
| 9 AppService | 9.1 | Azure App Service に App Service 認証が設定されていることを確認する | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 9 AppService | 9.10 | FTP デプロイが無効になっていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 AppService | 9.10 | FTP デプロイが無効になっていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 AppService | 9.10 | FTP デプロイが無効になっていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 物理キーの管理プロセスを定義する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 暗号化の使用を定義する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | アサーション要件を決定する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 暗号化メカニズムが構成管理の下に存在するようにする | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 公開キー証明書を発行する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 情報の可用性を維持する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 対称暗号化キーを管理する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 秘密キーへのアクセスを制限する | 1.1.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 AppService | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | 暗号化モジュールに対して認証する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | アカウント管理を自動化する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 9 AppService | 9.6 | Web アプリの実行に使用された "PHP のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 AppService | 9.7 | Web アプリの実行に使用された "Python のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 AppService | 9.8 | Web アプリの実行に使用された "Java のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 AppService | 9.9 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v1.4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 1 ID およびアクセス管理 | 1.1 | すべての特権ユーザーに対して [Multi-Factor Authentication の状態] が [有効] になっていることを確認する | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.1 | すべての特権ユーザーに対して [Multi-Factor Authentication の状態] が [有効] になっていることを確認する | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.1 | すべての特権ユーザーに対して [Multi-Factor Authentication の状態] が [有効] になっていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.10 | [ユーザーはマイ アプリにギャラリー アプリを追加できる] が [いいえ] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.10 | [ユーザーはマイ アプリにギャラリー アプリを追加できる] が [いいえ] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.10 | [ユーザーはマイ アプリにギャラリー アプリを追加できる] が [いいえ] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.11 | [ユーザーはアプリケーションを登録できる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.11 | [ユーザーはアプリケーションを登録できる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.11 | [ユーザーはアプリケーションを登録できる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.12 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.13 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | 論理アクセスを強制する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | アカウント作成の承認を必要とする | 1.1.0 |
| 1 ID およびアクセス管理 | 1.14 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [アクセス ウィンドウのグループ機能にアクセスするユーザー機能を制限する] が [いいえ] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [アクセス ウィンドウのグループ機能にアクセスするユーザー機能を制限する] が [いいえ] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [アクセス ウィンドウのグループ機能にアクセスするユーザー機能を制限する] が [いいえ] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.15 | [アクセス ウィンドウのグループ機能にアクセスするユーザー機能を制限する] が [いいえ] に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | [ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる] が [いいえ] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | [ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる] が [いいえ] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | [ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる] が [いいえ] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.16 | [ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる] が [いいえ] に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.17 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | [ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる] が [いいえ] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | [ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる] が [いいえ] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | [ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる] が [いいえ] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.18 | [ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる] が [いいえ] に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | リモート アクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | モビリティ トレーニングを文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.19 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | トークンの品質要件を満たす | 1.1.0 |
| 1 ID およびアクセス管理 | 1.2 | すべての非特権ユーザーに対して [Multi-Factor Authentication の状態] が [有効] になっていることを確認する | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.2 | すべての非特権ユーザーに対して [Multi-Factor Authentication の状態] が [有効] になっていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | アクセス制御モデルを設計する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | 最小特権アクセスを使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.20 | カスタム サブスクリプションの所有者ロールが作成されていないことを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | 暗号化モジュールに対して認証する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | リモート アクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | モビリティ トレーニングを文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | 代替作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.21 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | トークンの品質要件を満たす | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | リソース ロックを管理するためのアクセス許可がカスタム ロールに割り当てられていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | リソース ロックを管理するためのアクセス許可がカスタム ロールに割り当てられていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | リソース ロックを管理するためのアクセス許可がカスタム ロールに割り当てられていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.22 | リソース ロックを管理するためのアクセス許可がカスタム ロールに割り当てられていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | ユーザー アカウントの状態を監査する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | ユーザー アカウントを確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.3 | ゲスト ユーザーを毎月見直す | ユーザー特権を確認する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.4 | [記憶されているすべてのデバイスに多要素認証を復元] が有効になっていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.4 | [記憶されているすべてのデバイスに多要素認証を復元] が有効になっていることを確認する | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.4 | [記憶されているすべてのデバイスに多要素認証を復元] が有効になっていることを確認する | トークンの品質要件を満たす | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | アカウント管理を自動化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.6 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | アカウント管理を自動化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | 組織全体のアクセスを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.7 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | アカウントが不要になったときに通知する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権機能を監査する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | アカウント管理を自動化する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 組織全体のアクセスを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権ロールの割り当てを監視する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | アカウントが不要になったときに通知する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 1 ID およびアクセス管理 | 1.8 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権 ID 管理を使用する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.9 | [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.9 | [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 ID およびアクセス管理 | 1.9 | [ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できます] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 2 Microsoft Defender for Cloud | 2.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.10 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps (MCAS) 統合が選択されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.10 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps (MCAS) 統合が選択されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.10 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps (MCAS) 統合が選択されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.10 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps (MCAS) 統合が選択されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.10 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps (MCAS) 統合が選択されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.10 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps (MCAS) 統合が選択されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.10 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps (MCAS) 統合が選択されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.10 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps (MCAS) 統合が選択されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.11 | [Azure VM の Log Analytics エージェント] の自動プロビジョニングが [オン] に設定されていることを確認する | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 2 Microsoft Defender for Cloud | 2.11 | [Azure VM の Log Analytics エージェント] の自動プロビジョニングが [オン] に設定されていることを確認する | セキュリティ運用を文書化する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.11 | [Azure VM の Log Analytics エージェント] の自動プロビジョニングが [オン] に設定されていることを確認する | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.12 | ASC の既定のポリシー設定のいずれかが [無効] に設定されていないことを確認する | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.12 | ASC の既定のポリシー設定のいずれかが [無効] に設定されていないことを確認する | ベースライン構成を作成して維持する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.12 | ASC の既定のポリシー設定のいずれかが [無効] に設定されていないことを確認する | セキュリティ構成の設定を適用する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.12 | ASC の既定のポリシー設定のいずれかが [無効] に設定されていないことを確認する | 構成コントロール ボードを設立する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.12 | ASC の既定のポリシー設定のいずれかが [無効] に設定されていないことを確認する | 構成管理計画を策定して文書化する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.12 | ASC の既定のポリシー設定のいずれかが [無効] に設定されていないことを確認する | 自動構成管理ツールを実装する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.13 | セキュリティ連絡先の電子メールと共に "追加のメール アドレス" が構成されていることを確認する | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| 2 Microsoft Defender for Cloud | 2.14 | [次の重要度のアラートについて通知します] が [高] に設定されていることを確認する | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Microsoft Defender for App Service が [オン] に設定されていることを確認する | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 2 Microsoft Defender for Cloud | 2.2 | Microsoft Defender for App Service が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Microsoft Defender for App Service が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Microsoft Defender for App Service が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Microsoft Defender for App Service が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Microsoft Defender for App Service が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Microsoft Defender for App Service が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Microsoft Defender for App Service が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.2 | Microsoft Defender for App Service が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Microsoft Defender for Azure SQL Database が [オン] に設定されていることを確認する | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 2 Microsoft Defender for Cloud | 2.3 | Microsoft Defender for Azure SQL Database が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Microsoft Defender for Azure SQL Database が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Microsoft Defender for Azure SQL Database が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Microsoft Defender for Azure SQL Database が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Microsoft Defender for Azure SQL Database が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Microsoft Defender for Azure SQL Database が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Microsoft Defender for Azure SQL Database が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.3 | Microsoft Defender for Azure SQL Database が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | マシン上の Microsoft Defender for SQL サーバーが [オン] に設定されていることを確認する | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 2 Microsoft Defender for Cloud | 2.4 | マシン上の Microsoft Defender for SQL サーバーが [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | マシン上の Microsoft Defender for SQL サーバーが [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | マシン上の Microsoft Defender for SQL サーバーが [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | マシン上の Microsoft Defender for SQL サーバーが [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | マシン上の Microsoft Defender for SQL サーバーが [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | マシン上の Microsoft Defender for SQL サーバーが [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | マシン上の Microsoft Defender for SQL サーバーが [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.4 | マシン上の Microsoft Defender for SQL サーバーが [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.5 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Microsoft Defender for Kubernetes が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Microsoft Defender for Kubernetes が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Microsoft Defender for Kubernetes が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Microsoft Defender for Kubernetes が [オン] に設定されていることを確認する | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Microsoft Defender for Kubernetes が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Microsoft Defender for Kubernetes が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Microsoft Defender for Kubernetes が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Microsoft Defender for Kubernetes が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.6 | Microsoft Defender for Kubernetes が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Microsoft Defender for Container Registries が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Microsoft Defender for Container Registries が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Microsoft Defender for Container Registries が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Microsoft Defender for Container Registries が [オン] に設定されていることを確認する | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Microsoft Defender for Container Registries が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Microsoft Defender for Container Registries が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Microsoft Defender for Container Registries が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Microsoft Defender for Container Registries が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.7 | Microsoft Defender for Container Registries が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 2 Microsoft Defender for Cloud | 2.8 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.8 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint (WDATP) 統合が選択されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint (WDATP) 統合が選択されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint (WDATP) 統合が選択されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint (WDATP) 統合が選択されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint (WDATP) 統合が選択されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint (WDATP) 統合が選択されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint (WDATP) 統合が選択されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2 Microsoft Defender for Cloud | 2.9 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint (WDATP) 統合が選択されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 3 ストレージ アカウント | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 3 ストレージ アカウント | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.10 | 読み取り、書き込み、削除の各要求に対する Blob サービスのストレージ ログが有効になっているようにする | 特権機能を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.10 | 読み取り、書き込み、削除の各要求に対する Blob サービスのストレージ ログが有効になっているようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.10 | 読み取り、書き込み、削除の各要求に対する Blob サービスのストレージ ログが有効になっているようにする | Azure 監査機能を構成する | 1.1.1 |
| 3 ストレージ アカウント | 3.10 | 読み取り、書き込み、削除の各要求に対する Blob サービスのストレージ ログが有効になっているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 3 ストレージ アカウント | 3.10 | 読み取り、書き込み、削除の各要求に対する Blob サービスのストレージ ログが有効になっているようにする | 監査データを確認する | 1.1.0 |
| 3 ストレージ アカウント | 3.11 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | 特権機能を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.11 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.11 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | Azure 監査機能を構成する | 1.1.1 |
| 3 ストレージ アカウント | 3.11 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 3 ストレージ アカウント | 3.11 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | 監査データを確認する | 1.1.0 |
| 3 ストレージ アカウント | 3.12 | [最小 TLS バージョン] が [バージョン 1.2] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 3 ストレージ アカウント | 3.12 | [最小 TLS バージョン] が [バージョン 1.2] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.12 | [最小 TLS バージョン] が [バージョン 1.2] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 物理キーの管理プロセスを定義する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 暗号化の使用を定義する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | アサーション要件を決定する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 公開キー証明書を発行する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 対称暗号化キーを管理する | 1.1.0 |
| 3 ストレージ アカウント | 3.2 | ストレージ アカウントのアクセス キーが定期的に再生成されるようにする | 秘密キーへのアクセスを制限する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 特権機能を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | Azure 監査機能を構成する | 1.1.1 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 3 ストレージ アカウント | 3.3 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 監査データを確認する | 1.1.0 |
| 3 ストレージ アカウント | 3.4 | Shared Access Signature トークンの期限が 1 時間以内に切れるようにする | 終了時に認証子を無効にする | 1.1.0 |
| 3 ストレージ アカウント | 3.4 | Shared Access Signature トークンの期限が 1 時間以内に切れるようにする | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 3 ストレージ アカウント | 3.4 | Shared Access Signature トークンの期限が 1 時間以内に切れるようにする | ユーザー セッションを自動的に終了する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | 論理アクセスを強制する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | アカウント作成の承認を必要とする | 1.1.0 |
| 3 ストレージ アカウント | 3.5 | BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 3 ストレージ アカウント | 3.7 | ストレージ アカウントのアクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | 情報フローを制御する | 1.1.0 |
| 3 ストレージ アカウント | 3.7 | ストレージ アカウントのアクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 3 ストレージ アカウント | 3.7 | ストレージ アカウントのアクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 3 ストレージ アカウント | 3.7 | ストレージ アカウントのアクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 3 ストレージ アカウント | 3.7 | ストレージ アカウントのアクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 3 ストレージ アカウント | 3.9 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 3 ストレージ アカウント | 3.9 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 3 ストレージ アカウント | 3.9 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 3 ストレージ アカウント | 3.9 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 4 データベース サービス | 4.1.1 | [監査] が [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.1.1 | [監査] が [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.1.1 | [監査] が [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.1.1 | [監査] が [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.1.2 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 4 データベース サービス | 4.1.2 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 4 データベース サービス | 4.1.2 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.1.2 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 4 データベース サービス | 4.1.3 | "監査" 保持期間が "90 日を超える" ことを確認する | 定義されている保持期間に従う | 1.1.0 |
| 4 データベース サービス | 4.1.3 | "監査" 保持期間が "90 日を超える" ことを確認する | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 4 データベース サービス | 4.1.3 | "監査" 保持期間が "90 日を超える" ことを確認する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 4 データベース サービス | 4.1.3 | "監査" 保持期間が "90 日を超える" ことを確認する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 4 データベース サービス | 4.2.1 | SQL Server の Advanced Threat Protection (ATP) が [有効] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 4 データベース サービス | 4.2.2 | ストレージ アカウントを設定することによって SQL サーバーの脆弱性評価 (VA) が有効になっていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 4 データベース サービス | 4.2.2 | ストレージ アカウントを設定することによって SQL サーバーの脆弱性評価 (VA) が有効になっていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 4 データベース サービス | 4.2.3 | 各 SQL Server で VA 設定の [定期的な反復スキャン] が [オン] になっていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 4 データベース サービス | 4.2.3 | 各 SQL Server で VA 設定の [定期的な反復スキャン] が [オン] になっていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 4 データベース サービス | 4.2.4 | SQL サーバーの VA 設定 [スキャン レポートの送信先] が構成されていることを確認する | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| 4 データベース サービス | 4.2.4 | SQL サーバーの VA 設定 [スキャン レポートの送信先] が構成されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 4 データベース サービス | 4.2.4 | SQL サーバーの VA 設定 [スキャン レポートの送信先] が構成されていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 4 データベース サービス | 4.2.5 | 各 SQL Server の脆弱性評価設定 [管理者およびサブスクリプション所有者にも電子メール通知を送信する] が設定されていることを確認する | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| 4 データベース サービス | 4.2.5 | 各 SQL Server の脆弱性評価設定 [管理者およびサブスクリプション所有者にも電子メール通知を送信する] が設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 4 データベース サービス | 4.2.5 | 各 SQL Server の脆弱性評価設定 [管理者およびサブスクリプション所有者にも電子メール通知を送信する] が設定されていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 4 データベース サービス | 4.3.1 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 4 データベース サービス | 4.3.1 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.3.1 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 4 データベース サービス | 4.3.2 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.2 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.2 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.3.2 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.3.3 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.3 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.3 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.3.3 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.3.4 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.4 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.4 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.3.4 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.3.5 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.5 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4 データベース サービス | 4.3.5 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4 データベース サービス | 4.3.5 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4 データベース サービス | 4.3.6 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | 定義されている保持期間に従う | 1.1.0 |
| 4 データベース サービス | 4.3.6 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 4 データベース サービス | 4.3.6 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 4 データベース サービス | 4.3.6 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 4 データベース サービス | 4.3.7 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | 情報フローを制御する | 1.1.0 |
| 4 データベース サービス | 4.3.7 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 4 データベース サービス | 4.3.7 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 4 データベース サービス | 4.3.7 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 4 データベース サービス | 4.3.7 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 4 データベース サービス | 4.3.8 | PostgreSQL データベース サーバーに対して [インフラストラクチャの二重暗号化] が [有効] になっていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 4 データベース サービス | 4.3.8 | PostgreSQL データベース サーバーに対して [インフラストラクチャの二重暗号化] が [有効] になっていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 4 データベース サービス | 4.3.8 | PostgreSQL データベース サーバーに対して [インフラストラクチャの二重暗号化] が [有効] になっていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.3.8 | PostgreSQL データベース サーバーに対して [インフラストラクチャの二重暗号化] が [有効] になっていることを確認する | 特別な情報を保護する | 1.1.0 |
| 4 データベース サービス | 4.4.1 | Standard MySQL データベース サーバーに対して [SSL 接続を強制する] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 4 データベース サービス | 4.4.1 | Standard MySQL データベース サーバーに対して [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.4.1 | Standard MySQL データベース サーバーに対して [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 4 データベース サービス | 4.4.2 | MySQL フレキシブル データベース サーバーに対して [TLS バージョン] が [TLSV1.2] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 4 データベース サービス | 4.4.2 | MySQL フレキシブル データベース サーバーに対して [TLS バージョン] が [TLSV1.2] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.4.2 | MySQL フレキシブル データベース サーバーに対して [TLS バージョン] が [TLSV1.2] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 4 データベース サービス | 4.5 | Azure Active Directory 管理者が構成されていることを確認する | アカウント管理を自動化する | 1.1.0 |
| 4 データベース サービス | 4.5 | Azure Active Directory 管理者が構成されていることを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 4 データベース サービス | 4.5 | Azure Active Directory 管理者が構成されていることを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 4 データベース サービス | 4.5 | Azure Active Directory 管理者が構成されていることを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 4 データベース サービス | 4.6 | SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 4 データベース サービス | 4.6 | SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 4 データベース サービス | 4.6 | SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4 データベース サービス | 4.6 | SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 5 ログと監視 | 5.1.1 | 確実に '診断設定' が存在しているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 5 ログと監視 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 特権機能を監査する | 1.1.0 |
| 5 ログと監視 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5 ログと監視 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | Azure 監査機能を構成する | 1.1.1 |
| 5 ログと監視 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 監査可能なイベントを決定する | 1.1.0 |
| 5 ログと監視 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 監査データを確認する | 1.1.0 |
| 5 ログと監視 | 5.1.3 | アクティビティ ログを格納するストレージ コンテナーにパブリックにアクセスできないことを確認する | 二重または共同の認可を有効にする | 1.1.0 |
| 5 ログと監視 | 5.1.3 | アクティビティ ログを格納するストレージ コンテナーにパブリックにアクセスできないことを確認する | 監査情報を保護する | 1.1.0 |
| 5 ログと監視 | 5.1.4 | アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する | 二重または共同の認可を有効にする | 1.1.0 |
| 5 ログと監視 | 5.1.4 | アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する | 監査システムの整合性を維持する | 1.1.0 |
| 5 ログと監視 | 5.1.4 | アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する | 監査情報を保護する | 1.1.0 |
| 5 ログと監視 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 特権機能を監査する | 1.1.0 |
| 5 ログと監視 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5 ログと監視 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 5 ログと監視 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 監査データを確認する | 1.1.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 5 ログと監視 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.5 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.6 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.6 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.6 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.6 | "ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.7 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.8 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.8 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.8 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.8 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.2.9 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5 ログと監視 | 5.2.9 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5 ログと監視 | 5.2.9 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5 ログと監視 | 5.2.9 | "SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | 定義されている保持期間に従う | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | 特権機能を監査する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | Azure 監査機能を構成する | 1.1.1 |
| 5 ログと監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | 監査可能なイベントを決定する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 5 ログと監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | 監査データを確認する | 1.1.0 |
| 6 ネットワーク | 6.3 | SQL データベースでイングレス 0.0.0.0/0 (任意の IP) を許可しないようにする | 情報フローを制御する | 1.1.0 |
| 6 ネットワーク | 6.3 | SQL データベースでイングレス 0.0.0.0/0 (任意の IP) を許可しないようにする | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 6 ネットワーク | 6.4 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | 定義されている保持期間に従う | 1.1.0 |
| 6 ネットワーク | 6.4 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 6 ネットワーク | 6.4 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 6 ネットワーク | 6.5 | Network Watcher が [有効] になっていることを確認する | セキュリティ機能を確認する | 1.1.0 |
| 7 Virtual Machines | 7.1 | Virtual Machines で Managed Disks が利用されていることを確認する | 物理的なアクセスを制御する | 1.1.0 |
| 7 Virtual Machines | 7.1 | Virtual Machines で Managed Disks が利用されていることを確認する | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 7 Virtual Machines | 7.1 | Virtual Machines で Managed Disks が利用されていることを確認する | ラベル アクティビティと分析を確認する | 1.1.0 |
| 7 Virtual Machines | 7.2 | [OS とデータ] ディスクがカスタマー マネージド キー (CMK) で暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 Virtual Machines | 7.2 | [OS とデータ] ディスクがカスタマー マネージド キー (CMK) で暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 Virtual Machines | 7.2 | [OS とデータ] ディスクがカスタマー マネージド キー (CMK) で暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 Virtual Machines | 7.2 | [OS とデータ] ディスクがカスタマー マネージド キー (CMK) で暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が CMK で暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が CMK で暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が CMK で暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 Virtual Machines | 7.3 | "アタッチされていないディスク" が CMK で暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 7 Virtual Machines | 7.5 | すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | セキュリティ運用を文書化する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 7 Virtual Machines | 7.6 | すべての仮想マシンの Endpoint Protection がインストールされていることを確認する | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 7 Virtual Machines | 7.7 | VHD が暗号化されているようにする | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 Virtual Machines | 7.7 | VHD が暗号化されているようにする | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 Virtual Machines | 7.7 | VHD が暗号化されているようにする | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 Virtual Machines | 7.7 | VHD が暗号化されているようにする | 特別な情報を保護する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 暗号化の使用を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | アサーション要件を決定する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 公開キー証明書を発行する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 対称暗号化キーを管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.5 | ミッション クリティカルな Azure リソースに対してリソース ロックが設定されているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.6 | キー コンテナーが回復可能であることを確認する | 情報の可用性を維持する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.7 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.7 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | アクセスを認可および管理する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.7 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | 論理アクセスを強制する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.7 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.7 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | アカウント作成の承認を必要とする | 1.1.0 |
| 8 その他のセキュリティの考慮事項 | 8.7 | Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 9 AppService | 9.1 | App Service 認証が Azure App Service のアプリに対して設定されていることを確認する | 暗号化モジュールに対して認証する | 1.1.0 |
| 9 AppService | 9.1 | App Service 認証が Azure App Service のアプリに対して設定されていることを確認する | ユーザーの一意性を徹底する | 1.1.0 |
| 9 AppService | 9.1 | App Service 認証が Azure App Service のアプリに対して設定されていることを確認する | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 9 AppService | 9.10 | FTP デプロイが無効になっていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 AppService | 9.10 | FTP デプロイが無効になっていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 AppService | 9.10 | FTP デプロイが無効になっていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 物理キーの管理プロセスを定義する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 暗号化の使用を定義する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | アサーション要件を決定する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 暗号化メカニズムが構成管理の下に存在するようにする | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 公開キー証明書を発行する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 情報の可用性を維持する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 対称暗号化キーを管理する | 1.1.0 |
| 9 AppService | 9.11 | シークレットの格納に Azure Keyvault が使用されるようにする | 秘密キーへのアクセスを制限する | 1.1.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 AppService | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | 暗号化モジュールに対して認証する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | アカウント管理を自動化する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 9 AppService | 9.6 | Web アプリの実行に使用された "PHP のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 AppService | 9.7 | Web アプリを実行するために使用する場合に、[Python バージョン] が最新の安定バージョンであることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 AppService | 9.8 | Web アプリの実行に使用された "Java のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 AppService | 9.9 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v2.0.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 1.1 | 1.1.1 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | 生体認証メカニズムを採用する | 1.1.0 |
| 1.1 | 1.1.1 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | 暗号化モジュールに対して認証する | 1.1.0 |
| 1.1 | 1.1.1 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | リモート アクセスを認可する | 1.1.0 |
| 1.1 | 1.1.1 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | モビリティ トレーニングを文書化する | 1.1.0 |
| 1.1 | 1.1.1 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 1.1 | 1.1.1 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1.1 | 1.1.1 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | 代替作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 1.1 | 1.1.1 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 1.1 | 1.1.1 | Azure Active Directory でセキュリティの既定値群が有効になっているようにする | トークンの品質要件を満たす | 1.1.0 |
| 1.1 | 1.1.2 | すべての特権ユーザーに対して [Multi-Factor Authentication の状態] が [有効] になっていることを確認する | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1.1 | 1.1.2 | すべての特権ユーザーに対して [Multi-Factor Authentication の状態] が [有効] になっていることを確認する | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1.1 | 1.1.2 | すべての特権ユーザーに対して [Multi-Factor Authentication の状態] が [有効] になっていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1.1 | 1.1.3 | すべての非特権ユーザーに対して [Multi-Factor Authentication の状態] が [有効] になっていることを確認する | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 1.1 | 1.1.3 | すべての非特権ユーザーに対して [Multi-Factor Authentication の状態] が [有効] になっていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1.1 | 1.1.4 | [信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] が [無効] になっていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1.1 | 1.1.4 | [信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] が [無効] になっていることを確認する | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1.1 | 1.1.4 | [信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] が [無効] になっていることを確認する | トークンの品質要件を満たす | 1.1.0 |
| 1 | 1.10 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権機能を監査する | 1.1.0 |
| 1 | 1.10 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | アカウント管理を自動化する | 1.1.0 |
| 1 | 1.10 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 1 | 1.10 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 | 1.10 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 組織全体のアクセスを監視する | 1.1.0 |
| 1 | 1.10 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権ロールの割り当てを監視する | 1.1.0 |
| 1 | 1.10 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | アカウントが不要になったときに通知する | 1.1.0 |
| 1 | 1.10 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 1 | 1.10 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 1 | 1.10 | [他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする | 特権 ID 管理を使用する | 1.1.0 |
| 1 | 1.11 | User consent for applications が Do not allow user consent に設定されていることを確認する |
セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.11 | User consent for applications が Do not allow user consent に設定されていることを確認する |
アクセスを認可および管理する | 1.1.0 |
| 1 | 1.11 | User consent for applications が Do not allow user consent に設定されていることを確認する |
必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.13 | [ユーザーはマイ アプリにギャラリー アプリを追加できる] が [いいえ] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.13 | [ユーザーはマイ アプリにギャラリー アプリを追加できる] が [いいえ] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.13 | [ユーザーはマイ アプリにギャラリー アプリを追加できる] が [いいえ] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.14 | [ユーザーがアプリケーションを登録できる] が [いいえ] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.14 | [ユーザーがアプリケーションを登録できる] が [いいえ] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.14 | [ユーザーがアプリケーションを登録できる] が [いいえ] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.15 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.15 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.15 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | アクセス制御モデルを設計する | 1.1.0 |
| 1 | 1.15 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | 最小特権アクセスを使用する | 1.1.0 |
| 1 | 1.15 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | 論理アクセスを強制する | 1.1.0 |
| 1 | 1.15 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.15 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | アカウント作成の承認を必要とする | 1.1.0 |
| 1 | 1.15 | [ゲスト ユーザーのアクセス制限] が [ゲスト ユーザーのアクセスを、自分のディレクトリ オブジェクトのプロパティとメンバーシップに制限する] に設定されていることを確認する | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 | 1.16 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.16 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.16 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | アクセス制御モデルを設計する | 1.1.0 |
| 1 | 1.16 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | 最小特権アクセスを使用する | 1.1.0 |
| 1 | 1.16 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | 論理アクセスを強制する | 1.1.0 |
| 1 | 1.16 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.16 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | アカウント作成の承認を必要とする | 1.1.0 |
| 1 | 1.16 | [ゲスト招待の制限] が [特定の管理者ロールに割り当てられているユーザーのみがゲスト ユーザーを招待できる] に設定されていることを確認する | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 | 1.17 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.17 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.17 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されていることを確認する | 論理アクセスを強制する | 1.1.0 |
| 1 | 1.17 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.17 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されていることを確認する | アカウント作成の承認を必要とする | 1.1.0 |
| 1 | 1.17 | [Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されていることを確認する | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 1 | 1.18 | [アクセス ウィンドウのグループ機能にアクセスするユーザー機能を制限する] が [いいえ] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.18 | [アクセス ウィンドウのグループ機能にアクセスするユーザー機能を制限する] が [いいえ] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.18 | [アクセス ウィンドウのグループ機能にアクセスするユーザー機能を制限する] が [いいえ] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.18 | [アクセス ウィンドウのグループ機能にアクセスするユーザー機能を制限する] が [いいえ] に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 | 1.19 | [ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる] が [いいえ] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.19 | [ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる] が [いいえ] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.19 | [ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる] が [いいえ] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.19 | [ユーザーは Azure portal、API、または PowerShell でセキュリティ グループを作成できる] が [いいえ] に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 | 1.20 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.20 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.20 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.20 | [所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 | 1.21 | [ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる] が [いいえ] に設定されていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.21 | [ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる] が [いいえ] に設定されていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.21 | [ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる] が [いいえ] に設定されていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.21 | [ユーザーは Azure portal、API、または PowerShell で Microsoft 365 グループを作成できる] が [いいえ] に設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 | 1.22 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | 生体認証メカニズムを採用する | 1.1.0 |
| 1 | 1.22 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | リモート アクセスを認可する | 1.1.0 |
| 1 | 1.22 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | モビリティ トレーニングを文書化する | 1.1.0 |
| 1 | 1.22 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 1 | 1.22 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 1 | 1.22 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 1 | 1.22 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 1 | 1.22 | [Azure AD を使用してデバイスを登録または参加させるには Multi-Factor Authentication が必要です] が [はい] に設定されていることを確認する | トークンの品質要件を満たす | 1.1.0 |
| 1 | 1.23 | カスタム サブスクリプション管理者ロールが存在しないことを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.23 | カスタム サブスクリプション管理者ロールが存在しないことを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.23 | カスタム サブスクリプション管理者ロールが存在しないことを確認する | アクセス制御モデルを設計する | 1.1.0 |
| 1 | 1.23 | カスタム サブスクリプション管理者ロールが存在しないことを確認する | 最小特権アクセスを使用する | 1.1.0 |
| 1 | 1.23 | カスタム サブスクリプション管理者ロールが存在しないことを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.23 | カスタム サブスクリプション管理者ロールが存在しないことを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 | 1.24 | リソース ロックを管理するためのアクセス許可がカスタム ロールに割り当てられていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 1 | 1.24 | リソース ロックを管理するためのアクセス許可がカスタム ロールに割り当てられていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 1 | 1.24 | リソース ロックを管理するためのアクセス許可がカスタム ロールに割り当てられていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 1 | 1.24 | リソース ロックを管理するためのアクセス許可がカスタム ロールに割り当てられていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 1 | 1.5 | ゲスト ユーザーが定期的に見直されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 1 | 1.5 | ゲスト ユーザーが定期的に見直されていることを確認する | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 | 1.5 | ゲスト ユーザーが定期的に見直されていることを確認する | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 | 1.5 | ゲスト ユーザーが定期的に見直されていることを確認する | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1 | 1.5 | ゲスト ユーザーが定期的に見直されていることを確認する | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| 1 | 1.5 | ゲスト ユーザーが定期的に見直されていることを確認する | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 1 | 1.5 | ゲスト ユーザーが定期的に見直されていることを確認する | ユーザー アカウントを確認する | 1.1.0 |
| 1 | 1.5 | ゲスト ユーザーが定期的に見直されていることを確認する | ユーザー特権を確認する | 1.1.0 |
| 1 | 1.8 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | アカウント管理を自動化する | 1.1.0 |
| 1 | 1.8 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 | 1.8 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 1 | 1.8 | 'ユーザーが認証情報を再確認するように求められるまでの日数' が '0' に設定されていないことを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 1 | 1.9 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | アカウント管理を自動化する | 1.1.0 |
| 1 | 1.9 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 1 | 1.9 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | システムと管理者のアカウントを管理する | 1.1.0 |
| 1 | 1.9 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | 組織全体のアクセスを監視する | 1.1.0 |
| 1 | 1.9 | [パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする | アカウントが不要になったときに通知する | 1.1.0 |
| 10 | 10.1 | ミッション クリティカルな Azure リソースに対してリソース ロックが設定されていることを確認する | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 2.1 | 2.1.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 2.1 | 2.1.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2.1 | 2.1.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2.1 | 2.1.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2.1 | 2.1.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.1 | 2.1.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2.1 | 2.1.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2.1 | 2.1.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2.1 | 2.1.1 | Microsoft Defender for Servers が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2.1 | 2.1.10 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 2.1 | 2.1.10 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2.1 | 2.1.10 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2.1 | 2.1.10 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2.1 | 2.1.10 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.1 | 2.1.10 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2.1 | 2.1.10 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2.1 | 2.1.10 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2.1 | 2.1.10 | Microsoft Defender for Key Vault が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2.1 | 2.1.11 | Microsoft Defender for DNS が [オン] に設定されていることを確認する | [非推奨]: Azure Defender for DNS を有効にする必要がある | 1.1.0-deprecated |
| 2.1 | 2.1.12 | Microsoft Defender for Resource Manager が [オン] に設定されていることを確認する | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 2.1 | 2.1.14 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないことを確認する | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 2.1 | 2.1.14 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないことを確認する | ベースライン構成を作成して維持する | 1.1.0 |
| 2.1 | 2.1.14 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないことを確認する | セキュリティ構成の設定を適用する | 1.1.0 |
| 2.1 | 2.1.14 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないことを確認する | 構成コントロール ボードを設立する | 1.1.0 |
| 2.1 | 2.1.14 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないことを確認する | 構成管理計画を策定して文書化する | 1.1.0 |
| 2.1 | 2.1.14 | ASC の既定のポリシー設定のいずれも [無効] に設定されていないことを確認する | 自動構成管理ツールを実装する | 1.1.0 |
| 2.1 | 2.1.15 | [Azure VM の Log Analytics エージェント] の自動プロビジョニングが [オン] に設定されていることを確認する | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 2.1 | 2.1.15 | [Azure VM の Log Analytics エージェント] の自動プロビジョニングが [オン] に設定されていることを確認する | セキュリティ運用を文書化する | 1.1.0 |
| 2.1 | 2.1.15 | [Azure VM の Log Analytics エージェント] の自動プロビジョニングが [オン] に設定されていることを確認する | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 2.1 | 2.1.17 | [Microsoft Defender for Containers コンポーネント] の自動プロビジョニング が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2.1 | 2.1.17 | [Microsoft Defender for Containers コンポーネント] の自動プロビジョニング が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2.1 | 2.1.17 | [Microsoft Defender for Containers コンポーネント] の自動プロビジョニング が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2.1 | 2.1.17 | [Microsoft Defender for Containers コンポーネント] の自動プロビジョニング が [オン] に設定されていることを確認する | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 2.1 | 2.1.17 | [Microsoft Defender for Containers コンポーネント] の自動プロビジョニング が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.1 | 2.1.17 | [Microsoft Defender for Containers コンポーネント] の自動プロビジョニング が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2.1 | 2.1.17 | [Microsoft Defender for Containers コンポーネント] の自動プロビジョニング が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2.1 | 2.1.17 | [Microsoft Defender for Containers コンポーネント] の自動プロビジョニング が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2.1 | 2.1.17 | [Microsoft Defender for Containers コンポーネント] の自動プロビジョニング が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2.1 | 2.1.19 | セキュリティ連絡先の電子メールと共に "追加のメール アドレス" が構成されていることを確認する | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| 2.1 | 2.1.2 | Microsoft Defender for App Services が [オン] に設定されていることを確認する | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 2.1 | 2.1.2 | Microsoft Defender for App Services が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2.1 | 2.1.2 | Microsoft Defender for App Services が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2.1 | 2.1.2 | Microsoft Defender for App Services が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2.1 | 2.1.2 | Microsoft Defender for App Services が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.1 | 2.1.2 | Microsoft Defender for App Services が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2.1 | 2.1.2 | Microsoft Defender for App Services が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2.1 | 2.1.2 | Microsoft Defender for App Services が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2.1 | 2.1.2 | Microsoft Defender for App Services が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2.1 | 2.1.20 | [次の重要度のアラートについて通知します] が [高] に設定されていることを確認する | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| 2.1 | 2.1.21 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps 統合が選択されているようにする | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2.1 | 2.1.21 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps 統合が選択されているようにする | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2.1 | 2.1.21 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps 統合が選択されているようにする | ゲートウェイを管理する | 1.1.0 |
| 2.1 | 2.1.21 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps 統合が選択されているようにする | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.1 | 2.1.21 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps 統合が選択されているようにする | 脆弱性スキャンを実行する | 1.1.0 |
| 2.1 | 2.1.21 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps 統合が選択されているようにする | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2.1 | 2.1.21 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps 統合が選択されているようにする | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2.1 | 2.1.21 | Microsoft Defender for Cloud との Microsoft Defender for Cloud Apps 統合が選択されているようにする | ウイルス対策定義を更新する | 1.1.0 |
| 2.1 | 2.1.22 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint 統合が選択されているようにする | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2.1 | 2.1.22 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint 統合が選択されているようにする | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2.1 | 2.1.22 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint 統合が選択されているようにする | ゲートウェイを管理する | 1.1.0 |
| 2.1 | 2.1.22 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint 統合が選択されているようにする | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.1 | 2.1.22 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint 統合が選択されているようにする | 脆弱性スキャンを実行する | 1.1.0 |
| 2.1 | 2.1.22 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint 統合が選択されているようにする | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2.1 | 2.1.22 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint 統合が選択されているようにする | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2.1 | 2.1.22 | Microsoft Defender for Cloud との Microsoft Defender for Endpoint 統合が選択されているようにする | ウイルス対策定義を更新する | 1.1.0 |
| 2.1 | 2.1.3 | Microsoft Defender for Database が [オン] に設定されていることを確認する | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 2.1 | 2.1.3 | Microsoft Defender for Database が [オン] に設定されていることを確認する | オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | 1.0.0 |
| 2.1 | 2.1.3 | Microsoft Defender for Database が [オン] に設定されていることを確認する | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 2.1 | 2.1.3 | Microsoft Defender for Database が [オン] に設定されていることを確認する | Microsoft Defender for Azure Cosmos DB を有効にする必要がある | 1.0.0 |
| 2.1 | 2.1.4 | Microsoft Defender for Azure SQL Databases が [オン] に設定されていることを確認する | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 2.1 | 2.1.4 | Microsoft Defender for Azure SQL Databases が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2.1 | 2.1.4 | Microsoft Defender for Azure SQL Databases が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2.1 | 2.1.4 | Microsoft Defender for Azure SQL Databases が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2.1 | 2.1.4 | Microsoft Defender for Azure SQL Databases が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.1 | 2.1.4 | Microsoft Defender for Azure SQL Databases が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2.1 | 2.1.4 | Microsoft Defender for Azure SQL Databases が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2.1 | 2.1.4 | Microsoft Defender for Azure SQL Databases が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2.1 | 2.1.4 | Microsoft Defender for Azure SQL Databases が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2.1 | 2.1.5 | マシン上の Microsoft Defender for SQL Servers が [オン] に設定されていることを確認する | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 2.1 | 2.1.5 | マシン上の Microsoft Defender for SQL Servers が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2.1 | 2.1.5 | マシン上の Microsoft Defender for SQL Servers が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2.1 | 2.1.5 | マシン上の Microsoft Defender for SQL Servers が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2.1 | 2.1.5 | マシン上の Microsoft Defender for SQL Servers が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.1 | 2.1.5 | マシン上の Microsoft Defender for SQL Servers が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2.1 | 2.1.5 | マシン上の Microsoft Defender for SQL Servers が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2.1 | 2.1.5 | マシン上の Microsoft Defender for SQL Servers が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2.1 | 2.1.5 | マシン上の Microsoft Defender for SQL Servers が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2.1 | 2.1.6 | Microsoft Defender for Open-Source Relational Databases が [オン] に設定されていることを確認する | オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | 1.0.0 |
| 2.1 | 2.1.7 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2.1 | 2.1.7 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2.1 | 2.1.7 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2.1 | 2.1.7 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 2.1 | 2.1.7 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.1 | 2.1.7 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2.1 | 2.1.7 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2.1 | 2.1.7 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2.1 | 2.1.7 | Microsoft Defender for Storage が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2.1 | 2.1.8 | Microsoft Defender for Containers が [オン] に設定されていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 2.1 | 2.1.8 | Microsoft Defender for Containers が [オン] に設定されていることを確認する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 2.1 | 2.1.8 | Microsoft Defender for Containers が [オン] に設定されていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 2.1 | 2.1.8 | Microsoft Defender for Containers が [オン] に設定されていることを確認する | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 2.1 | 2.1.8 | Microsoft Defender for Containers が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.1 | 2.1.8 | Microsoft Defender for Containers が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 2.1 | 2.1.8 | Microsoft Defender for Containers が [オン] に設定されていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 2.1 | 2.1.8 | Microsoft Defender for Containers が [オン] に設定されていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 2.1 | 2.1.8 | Microsoft Defender for Containers が [オン] に設定されていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 2.1 | 2.1.9 | Microsoft Defender for Azure Cosmos DB が [オン] に設定されていることを確認する | Microsoft Defender for Azure Cosmos DB を有効にする必要がある | 1.0.0 |
| 3 | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 3 | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 3 | 3.1 | [安全な転送が必要] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 3 | 3.12 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 3 | 3.12 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 3 | 3.12 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 3 | 3.12 | 重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 3 | 3.13 | 読み取り、書き込み、削除の各要求に対する Blob サービスのストレージ ログが有効になっているようにする | 特権機能を監査する | 1.1.0 |
| 3 | 3.13 | 読み取り、書き込み、削除の各要求に対する Blob サービスのストレージ ログが有効になっているようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 3 | 3.13 | 読み取り、書き込み、削除の各要求に対する Blob サービスのストレージ ログが有効になっているようにする | Azure 監査機能を構成する | 1.1.1 |
| 3 | 3.13 | 読み取り、書き込み、削除の各要求に対する Blob サービスのストレージ ログが有効になっているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 3 | 3.13 | 読み取り、書き込み、削除の各要求に対する Blob サービスのストレージ ログが有効になっているようにする | 監査データを確認する | 1.1.0 |
| 3 | 3.14 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | 特権機能を監査する | 1.1.0 |
| 3 | 3.14 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 3 | 3.14 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | Azure 監査機能を構成する | 1.1.1 |
| 3 | 3.14 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 3 | 3.14 | 読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする | 監査データを確認する | 1.1.0 |
| 3 | 3.15 | ストレージ アカウントの [TLS の最小バージョン] が [バージョン 1.2] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 3 | 3.15 | ストレージ アカウントの [TLS の最小バージョン] が [バージョン 1.2] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 3 | 3.15 | ストレージ アカウントの [TLS の最小バージョン] が [バージョン 1.2] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 3 | 3.4 | ストレージ アカウントのアクセス キーが定期的に再生成されることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 3 | 3.4 | ストレージ アカウントのアクセス キーが定期的に再生成されることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 3 | 3.4 | ストレージ アカウントのアクセス キーが定期的に再生成されることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 3 | 3.4 | ストレージ アカウントのアクセス キーが定期的に再生成されることを確認する | アサーション要件を決定する | 1.1.0 |
| 3 | 3.4 | ストレージ アカウントのアクセス キーが定期的に再生成されることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 3 | 3.4 | ストレージ アカウントのアクセス キーが定期的に再生成されることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 3 | 3.4 | ストレージ アカウントのアクセス キーが定期的に再生成されることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 3 | 3.5 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 特権機能を監査する | 1.1.0 |
| 3 | 3.5 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 3 | 3.5 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | Azure 監査機能を構成する | 1.1.1 |
| 3 | 3.5 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 監査可能なイベントを決定する | 1.1.0 |
| 3 | 3.5 | 読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする | 監査データを確認する | 1.1.0 |
| 3 | 3.6 | Shared Access Signature トークンの期限が 1 時間以内に切れるようにする | 終了時に認証子を無効にする | 1.1.0 |
| 3 | 3.6 | Shared Access Signature トークンの期限が 1 時間以内に切れるようにする | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 3 | 3.6 | Shared Access Signature トークンの期限が 1 時間以内に切れるようにする | ユーザー セッションを自動的に終了する | 1.1.0 |
| 3 | 3.7 | BLOB コンテナーを使うストレージ アカウントで [パブリック アクセス レベル] が無効になっていることを確認する | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 3 | 3.7 | BLOB コンテナーを使うストレージ アカウントで [パブリック アクセス レベル] が無効になっていることを確認する | アクセスを認可および管理する | 1.1.0 |
| 3 | 3.7 | BLOB コンテナーを使うストレージ アカウントで [パブリック アクセス レベル] が無効になっていることを確認する | 論理アクセスを強制する | 1.1.0 |
| 3 | 3.7 | BLOB コンテナーを使うストレージ アカウントで [パブリック アクセス レベル] が無効になっていることを確認する | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 3 | 3.7 | BLOB コンテナーを使うストレージ アカウントで [パブリック アクセス レベル] が無効になっていることを確認する | アカウント作成の承認を必要とする | 1.1.0 |
| 3 | 3.7 | BLOB コンテナーを使うストレージ アカウントで [パブリック アクセス レベル] が無効になっていることを確認する | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 3 | 3.9 | ストレージ アカウント アクセスの [信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] が [有効] になっていることを確認する | 情報フローを制御する | 1.1.0 |
| 3 | 3.9 | ストレージ アカウント アクセスの [信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] が [有効] になっていることを確認する | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 3 | 3.9 | ストレージ アカウント アクセスの [信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] が [有効] になっていることを確認する | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 3 | 3.9 | ストレージ アカウント アクセスの [信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] が [有効] になっていることを確認する | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 3 | 3.9 | ストレージ アカウント アクセスの [信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] が [有効] になっていることを確認する | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 4.1 | 4.1.1 | [監査] が [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4.1 | 4.1.1 | [監査] が [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4.1 | 4.1.1 | [監査] が [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4.1 | 4.1.1 | [監査] が [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4.1 | 4.1.2 | Azure SQL Database が 0.0.0.0/0 (任意の IP) からの受信を許可していないことを確認する | 情報フローを制御する | 1.1.0 |
| 4.1 | 4.1.2 | Azure SQL Database が 0.0.0.0/0 (任意の IP) からの受信を許可していないことを確認する | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 4.1 | 4.1.3 | SQL Server の Transparent Data Encryption (TDE) 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 4.1 | 4.1.3 | SQL Server の Transparent Data Encryption (TDE) 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 4.1 | 4.1.3 | SQL Server の Transparent Data Encryption (TDE) 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4.1 | 4.1.3 | SQL Server の Transparent Data Encryption (TDE) 保護機能がカスタマー マネージド キーで暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 4.1 | 4.1.4 | Azure Active Directory 管理者が SQL Server 用に構成されていることを確認する | アカウント管理を自動化する | 1.1.0 |
| 4.1 | 4.1.4 | Azure Active Directory 管理者が SQL Server 用に構成されていることを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 4.1 | 4.1.4 | Azure Active Directory 管理者が SQL Server 用に構成されていることを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 4.1 | 4.1.4 | Azure Active Directory 管理者が SQL Server 用に構成されていることを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 4.1 | 4.1.5 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 4.1 | 4.1.5 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 4.1 | 4.1.5 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4.1 | 4.1.5 | SQL Database の [データ暗号化] が [オン] に設定されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 4.1 | 4.1.6 | "監査" 保持期間が "90 日を超える" ことを確認する | 定義されている保持期間に従う | 1.1.0 |
| 4.1 | 4.1.6 | "監査" 保持期間が "90 日を超える" ことを確認する | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 4.1 | 4.1.6 | "監査" 保持期間が "90 日を超える" ことを確認する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 4.1 | 4.1.6 | "監査" 保持期間が "90 日を超える" ことを確認する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 4.2 | 4.2.1 | 重要な SQL Server に対して Microsoft Defender for SQL が [オン] に設定されていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 4.2 | 4.2.2 | ストレージ アカウントを設定することによって SQL サーバーの脆弱性評価 (VA) が有効になっていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 4.2 | 4.2.2 | ストレージ アカウントを設定することによって SQL サーバーの脆弱性評価 (VA) が有効になっていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 4.2 | 4.2.3 | 各 SQL Server で脆弱性評価 (VA) 設定の [定期的な反復スキャン] が [オン] に設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 4.2 | 4.2.3 | 各 SQL Server で脆弱性評価 (VA) 設定の [定期的な反復スキャン] が [オン] に設定されていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 4.2 | 4.2.4 | SQL Server に対して脆弱性評価 (VA) 設定の [スキャン レポートの送信先] が構成されていることを確認する | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| 4.2 | 4.2.4 | SQL Server に対して脆弱性評価 (VA) 設定の [スキャン レポートの送信先] が構成されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 4.2 | 4.2.4 | SQL Server に対して脆弱性評価 (VA) 設定の [スキャン レポートの送信先] が構成されていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 4.2 | 4.2.5 | 各 SQL Server に対して脆弱性評価 (VA) 設定の [管理者およびサブスクリプション所有者にも電子メール通知を送信する] が設定されていることを確認する | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| 4.2 | 4.2.5 | 各 SQL Server に対して脆弱性評価 (VA) 設定の [管理者およびサブスクリプション所有者にも電子メール通知を送信する] が設定されていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 4.2 | 4.2.5 | 各 SQL Server に対して脆弱性評価 (VA) 設定の [管理者およびサブスクリプション所有者にも電子メール通知を送信する] が設定されていることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 4.3 | 4.3.1 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 4.3 | 4.3.1 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4.3 | 4.3.1 | PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 4.3 | 4.3.2 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4.3 | 4.3.2 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4.3 | 4.3.2 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4.3 | 4.3.2 | サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4.3 | 4.3.3 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4.3 | 4.3.3 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4.3 | 4.3.3 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4.3 | 4.3.3 | サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4.3 | 4.3.4 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4.3 | 4.3.4 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4.3 | 4.3.4 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4.3 | 4.3.4 | サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4.3 | 4.3.5 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 特権機能を監査する | 1.1.0 |
| 4.3 | 4.3.5 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 4.3 | 4.3.5 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 4.3 | 4.3.5 | サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する | 監査データを確認する | 1.1.0 |
| 4.3 | 4.3.6 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であることを確認する | 定義されている保持期間に従う | 1.1.0 |
| 4.3 | 4.3.6 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であることを確認する | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 4.3 | 4.3.6 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であることを確認する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 4.3 | 4.3.6 | PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であることを確認する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 4.3 | 4.3.7 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | 情報フローを制御する | 1.1.0 |
| 4.3 | 4.3.7 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 4.3 | 4.3.7 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 4.3 | 4.3.7 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 4.3 | 4.3.7 | PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 4.3 | 4.3.8 | PostgreSQL データベース サーバーに対して [インフラストラクチャの二重暗号化] が [有効] になっていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 4.3 | 4.3.8 | PostgreSQL データベース サーバーに対して [インフラストラクチャの二重暗号化] が [有効] になっていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 4.3 | 4.3.8 | PostgreSQL データベース サーバーに対して [インフラストラクチャの二重暗号化] が [有効] になっていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4.3 | 4.3.8 | PostgreSQL データベース サーバーに対して [インフラストラクチャの二重暗号化] が [有効] になっていることを確認する | 特別な情報を保護する | 1.1.0 |
| 4.4. | 4.4.1 | Standard MySQL データベース サーバーに対して [SSL 接続を強制する] が [有効] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 4.4. | 4.4.1 | Standard MySQL データベース サーバーに対して [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4.4. | 4.4.1 | Standard MySQL データベース サーバーに対して [SSL 接続を強制する] が [有効] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 4.4. | 4.4.2 | MySQL フレキシブル データベース サーバーに対して [TLS バージョン] が [TLSV1.2] に設定されていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 4.4. | 4.4.2 | MySQL フレキシブル データベース サーバーに対して [TLS バージョン] が [TLSV1.2] に設定されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 4.4. | 4.4.2 | MySQL フレキシブル データベース サーバーに対して [TLS バージョン] が [TLSV1.2] に設定されていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 5.1 | 5.1.1 | '診断設定' が存在していることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 5.1 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5.1 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 5.1 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5.1 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 特権機能を監査する | 1.1.0 |
| 5.1 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5.1 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | Azure 監査機能を構成する | 1.1.1 |
| 5.1 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 監査可能なイベントを決定する | 1.1.0 |
| 5.1 | 5.1.2 | 診断設定で適切なカテゴリが取得されるようにする | 監査データを確認する | 1.1.0 |
| 5.1 | 5.1.3 | アクティビティ ログを格納するストレージ コンテナーにパブリックにアクセスできないことを確認する | 二重または共同の認可を有効にする | 1.1.0 |
| 5.1 | 5.1.3 | アクティビティ ログを格納するストレージ コンテナーにパブリックにアクセスできないことを確認する | 監査情報を保護する | 1.1.0 |
| 5.1 | 5.1.4 | アクティビティ ログがあるコンテナーを含むストレージ アカウントがカスタマー マネージド キーを使って暗号化されていることを確認する | 二重または共同の認可を有効にする | 1.1.0 |
| 5.1 | 5.1.4 | アクティビティ ログがあるコンテナーを含むストレージ アカウントがカスタマー マネージド キーを使って暗号化されていることを確認する | 監査システムの整合性を維持する | 1.1.0 |
| 5.1 | 5.1.4 | アクティビティ ログがあるコンテナーを含むストレージ アカウントがカスタマー マネージド キーを使って暗号化されていることを確認する | 監査情報を保護する | 1.1.0 |
| 5.1 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 特権機能を監査する | 1.1.0 |
| 5.1 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5.1 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 監査可能なイベントを決定する | 1.1.0 |
| 5.1 | 5.1.5 | Azure KeyVault のログ記録が [有効] になっていることを確認する | 監査データを確認する | 1.1.0 |
| 5.2 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5.2 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 5.2 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5.2 | 5.2.1 | "ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5.2 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5.2 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 5.2 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5.2 | 5.2.2 | "ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5.2 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5.2 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5.2 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5.2 | 5.2.3 | "ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5.2 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5.2 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5.2 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5.2 | 5.2.4 | "ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5.2 | 5.2.5 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5.2 | 5.2.5 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5.2 | 5.2.5 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5.2 | 5.2.5 | "セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5.2 | 5.2.6 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5.2 | 5.2.6 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5.2 | 5.2.6 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5.2 | 5.2.6 | "セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5.2 | 5.2.7 | SQL Server ファイアウォール規則の作成または更新に対するアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5.2 | 5.2.7 | SQL Server ファイアウォール規則の作成または更新に対するアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5.2 | 5.2.7 | SQL Server ファイアウォール規則の作成または更新に対するアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5.2 | 5.2.7 | SQL Server ファイアウォール規則の作成または更新に対するアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5.2 | 5.2.8 | SQL Server ファイアウォール規則の削除に対するアクティビティ ログ アラートが存在することを確認する | 職員に情報流出のアラートを通知する | 1.1.0 |
| 5.2 | 5.2.8 | SQL Server ファイアウォール規則の削除に対するアクティビティ ログ アラートが存在することを確認する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 5.2 | 5.2.8 | SQL Server ファイアウォール規則の削除に対するアクティビティ ログ アラートが存在することを確認する | インシデント レスポンス計画を策定する | 1.1.0 |
| 5.2 | 5.2.8 | SQL Server ファイアウォール規則の削除に対するアクティビティ ログ アラートが存在することを確認する | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 5 | 5.4 | Azure Monitor リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | 定義されている保持期間に従う | 1.1.0 |
| 5 | 5.4 | Azure Monitor リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | 特権機能を監査する | 1.1.0 |
| 5 | 5.4 | Azure Monitor リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5 | 5.4 | Azure Monitor リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | Azure 監査機能を構成する | 1.1.1 |
| 5 | 5.4 | Azure Monitor リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | 監査可能なイベントを決定する | 1.1.0 |
| 5 | 5.4 | Azure Monitor リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 5 | 5.4 | Azure Monitor リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 5 | 5.4 | Azure Monitor リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 5 | 5.4 | Azure Monitor リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | 監査データを確認する | 1.1.0 |
| 6 | 6.5 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | 定義されている保持期間に従う | 1.1.0 |
| 6 | 6.5 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 6 | 6.5 | ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超える' ようにする | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 6 | 6.6 | Network Watcher が [有効] になっていることを確認する | セキュリティ機能を確認する | 1.1.0 |
| 7 | 7.2 | Virtual Machines で Managed Disks が利用されていることを確認する | 物理的なアクセスを制御する | 1.1.0 |
| 7 | 7.2 | Virtual Machines で Managed Disks が利用されていることを確認する | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 7 | 7.2 | Virtual Machines で Managed Disks が利用されていることを確認する | ラベル アクティビティと分析を確認する | 1.1.0 |
| 7 | 7.3 | [OS とデータ] ディスクがカスタマー マネージド キー (CMK) で暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 | 7.3 | [OS とデータ] ディスクがカスタマー マネージド キー (CMK) で暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 | 7.3 | [OS とデータ] ディスクがカスタマー マネージド キー (CMK) で暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 | 7.3 | [OS とデータ] ディスクがカスタマー マネージド キー (CMK) で暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 7 | 7.4 | [アタッチされていないディスク] が [カスタマー マネージド キー] (CMK) で暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 | 7.4 | [アタッチされていないディスク] が [カスタマー マネージド キー] (CMK) で暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 | 7.4 | [アタッチされていないディスク] が [カスタマー マネージド キー] (CMK) で暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 | 7.4 | [アタッチされていないディスク] が [カスタマー マネージド キー] (CMK) で暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | セキュリティ運用を文書化する | 1.1.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | ゲートウェイを管理する | 1.1.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | 脆弱性スキャンを実行する | 1.1.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | ウイルス対策定義を更新する | 1.1.0 |
| 7 | 7.6 | すべての仮想マシンに対して Endpoint Protection がインストールされていることを確認する | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 7 | 7.7 | [レガシ] VHD が暗号化されていることを確認する | データ漏えいの管理手順を確立する | 1.1.0 |
| 7 | 7.7 | [レガシ] VHD が暗号化されていることを確認する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 7 | 7.7 | [レガシ] VHD が暗号化されていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 7 | 7.7 | [レガシ] VHD が暗号化されていることを確認する | 特別な情報を保護する | 1.1.0 |
| 8 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 8 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 8 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 8 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 8 | 8.1 | RBAC のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 暗号化の使用を定義する | 1.1.0 |
| 8 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | アサーション要件を決定する | 1.1.0 |
| 8 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 公開キー証明書を発行する | 1.1.0 |
| 8 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 対称暗号化キーを管理する | 1.1.0 |
| 8 | 8.2 | RBAC 以外のキー コンテナー内のすべてのキーに有効期限が設定されていることを確認する。 | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 8 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 8 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 8 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 8 | 8.3 | RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 8 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 8 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 8 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 8 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 8 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 8 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 8 | 8.4 | 非 RBAC のキー コンテナー内のすべてのシークレットに有効期限が設定されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 9 | 9.1 | App Service 認証が Azure App Service のアプリに対して設定されていることを確認する | 暗号化モジュールに対して認証する | 1.1.0 |
| 9 | 9.1 | App Service 認証が Azure App Service のアプリに対して設定されていることを確認する | ユーザーの一意性を徹底する | 1.1.0 |
| 9 | 9.1 | App Service 認証が Azure App Service のアプリに対して設定されていることを確認する | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 9 | 9.10 | FTP デプロイが無効になっていることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 | 9.10 | FTP デプロイが無効になっていることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 | 9.10 | FTP デプロイが無効になっていることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 | 9.11 | シークレットの格納に Azure Key Vault が使用されていることを確認する | 物理キーの管理プロセスを定義する | 1.1.0 |
| 9 | 9.11 | シークレットの格納に Azure Key Vault が使用されていることを確認する | 暗号化の使用を定義する | 1.1.0 |
| 9 | 9.11 | シークレットの格納に Azure Key Vault が使用されていることを確認する | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 9 | 9.11 | シークレットの格納に Azure Key Vault が使用されていることを確認する | アサーション要件を決定する | 1.1.0 |
| 9 | 9.11 | シークレットの格納に Azure Key Vault が使用されていることを確認する | 暗号化メカニズムが構成管理の下に存在するようにする | 1.1.0 |
| 9 | 9.11 | シークレットの格納に Azure Key Vault が使用されていることを確認する | 公開キー証明書を発行する | 1.1.0 |
| 9 | 9.11 | シークレットの格納に Azure Key Vault が使用されていることを確認する | 情報の可用性を維持する | 1.1.0 |
| 9 | 9.11 | シークレットの格納に Azure Key Vault が使用されていることを確認する | 対称暗号化キーを管理する | 1.1.0 |
| 9 | 9.11 | シークレットの格納に Azure Key Vault が使用されていることを確認する | 秘密キーへのアクセスを制限する | 1.1.0 |
| 9 | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 9 | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 9 | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 9 | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | 暗号化モジュールに対して認証する | 1.1.0 |
| 9 | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | アカウント管理を自動化する | 1.1.0 |
| 9 | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | システムと管理者のアカウントを管理する | 1.1.0 |
| 9 | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | 組織全体のアクセスを監視する | 1.1.0 |
| 9 | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | アカウントが不要になったときに通知する | 1.1.0 |
| 9 | 9.6 | Web アプリの実行に使用された "PHP のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 | 9.7 | Web アプリを実行するために使用する場合に、[Python バージョン] が最新の安定バージョンであることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 | 9.8 | Web アプリの実行に使用された "Java のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
| 9 | 9.9 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | 情報システムの欠陥を修復する | 1.1.0 |
CMMC レベル 3
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC.2.007 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC.2.007 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC.3.017 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC.3.017 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| アクセス制御 | AC.3.018 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| アクセス制御 | AC.3.021 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | 2.0.0 |
| 監査とアカウンタビリティ | AU.2.041 | システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 | Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 | 1.0.0 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | アクティビティ ログを 1 年以上保持する必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | 2.0.0 |
| 監査とアカウンタビリティ | AU.2.042 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 | Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 | 1.0.0 |
| 監査とアカウンタビリティ | AU.3.049 | 未承認のアクセス、変更、削除から、監査情報と監査ログ ツールを保護する。 | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| セキュリティ評価 | CA.2.158 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| セキュリティ評価 | CA.3.161 | セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 構成管理 | CM.2.061 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 構成管理 | CM.2.065 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 構成管理 | CM.2.065 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| 構成管理 | CM.2.065 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 構成管理 | CM.2.065 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | 2.0.0 |
| 構成管理 | CM.2.065 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 | 1.0.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA.1.077 | 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA.3.083 | 特権アカウントへのローカルおよびネットワークのアクセスと、特権のないアカウントへのネットワーク アクセスには、多要素認証を使用する。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA.3.083 | 特権アカウントへのローカルおよびネットワークのアクセスと、特権のないアカウントへのネットワーク アクセスには、多要素認証を使用する。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA.3.083 | 特権アカウントへのローカルおよびネットワークのアクセスと、特権のないアカウントへのネットワーク アクセスには、多要素認証を使用する。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA.3.084 | 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA.3.084 | 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA.3.084 | 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| インシデント対応 | IR.2.092 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR.2.092 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR.2.092 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR.2.093 | イベントを検出して報告する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| Recovery | RE.2.137 | データのバックアップを定期的に実行し、テストする。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| Recovery | RE.3.139 | 組織的に定義された、包括的で回復性がある完全なデータ バックアップを定期的に実行する。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| リスク評価 | RM.2.141 | 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| リスク評価 | RM.2.141 | 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| リスク評価 | RM.2.141 | 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| リスク評価 | RM.2.141 | 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| リスク評価 | RM.2.141 | 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| リスク評価 | RM.2.141 | 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| リスク評価 | RM.2.141 | 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| リスク評価 | RM.2.142 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| リスク評価 | RM.2.142 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| リスク評価 | RM.2.142 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| リスク評価 | RM.2.142 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| リスク評価 | RM.2.142 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| リスク評価 | RM.2.142 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| リスク評価 | RM.2.142 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| リスク評価 | RM.2.143 | リスク評価に従って脆弱性を修復する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| リスク管理 | RM.3.144 | リスク評価を定期的に実行して、定義済みのリスク カテゴリ、リスク ソース、リスク測定基準に従ってリスクを特定し、優先順位を付ける。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| リスク管理 | RM.3.144 | リスク評価を定期的に実行して、定義済みのリスク カテゴリ、リスク ソース、リスク測定基準に従ってリスクを特定し、優先順位を付ける。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| リスク管理 | RM.3.144 | リスク評価を定期的に実行して、定義済みのリスク カテゴリ、リスク ソース、リスク測定基準に従ってリスクを特定し、優先順位を付ける。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| リスク管理 | RM.3.144 | リスク評価を定期的に実行して、定義済みのリスク カテゴリ、リスク ソース、リスク測定基準に従ってリスクを特定し、優先順位を付ける。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| リスク管理 | RM.3.144 | リスク評価を定期的に実行して、定義済みのリスク カテゴリ、リスク ソース、リスク測定基準に従ってリスクを特定し、優先順位を付ける。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| リスク管理 | RM.3.144 | リスク評価を定期的に実行して、定義済みのリスク カテゴリ、リスク ソース、リスク測定基準に従ってリスクを特定し、優先順位を付ける。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| リスク管理 | RM.3.144 | リスク評価を定期的に実行して、定義済みのリスク カテゴリ、リスク ソース、リスク測定基準に従ってリスクを特定し、優先順位を付ける。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと通信の保護 | SC.3.181 | ユーザー機能をシステム管理機能から分離する。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.181 | ユーザー機能をシステム管理機能から分離する。 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| システムと通信の保護 | SC.3.181 | ユーザー機能をシステム管理機能から分離する。 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| システムと通信の保護 | SC.3.181 | ユーザー機能をシステム管理機能から分離する。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| システムと通信の保護 | SC.3.187 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと通信の保護 | SC.3.190 | 通信セッションの信頼性を保護する。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| システムと通信の保護 | SC.3.190 | 通信セッションの信頼性を保護する。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| システムと通信の保護 | SC.3.190 | 通信セッションの信頼性を保護する。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI.1.213 | 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | 2.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 | 1.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | SI.2.216 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| システムと情報の整合性 | SI.2.217 | 組織のシステムの不正使用を特定する。 | アクティビティ ログを 1 年以上保持する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.2.217 | 組織のシステムの不正使用を特定する。 | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.2.217 | 組織のシステムの不正使用を特定する。 | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| システムと情報の整合性 | SI.2.217 | 組織のシステムの不正使用を特定する。 | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.2.217 | 組織のシステムの不正使用を特定する。 | Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | 1.0.0 |
| システムと情報の整合性 | SI.2.217 | 組織のシステムの不正使用を特定する。 | Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | 2.0.0 |
| システムと情報の整合性 | SI.2.217 | 組織のシステムの不正使用を特定する。 | Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 | 1.0.0 |
| システムと情報の整合性 | SI.2.217 | 組織のシステムの不正使用を特定する。 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | ポリシーと手順の管理 | 1.1.0 |
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント マネージャーの割り当て | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 情報システム アカウントの種類を定義する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アクセス特権の文書化 | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ロール メンバーシップの条件を確立する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ユーザー アカウントを確認する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | AC-2 (3) | 非アクティブなアカウントの無効化 | 終了時に認証子を無効にする | 1.1.0 |
| アクセス制御 | AC-2 (3) | 非アクティブなアカウントの無効化 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | AC-2 (5) | 非アクティブな状態のログアウト | アイドル時間ログ ポリシーを定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権機能を監査する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | AC-2 (9) | 共有およびグループ アカウントの使用に関する制限 | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 (10) | 共有またはグループ アカウントの資格情報の終了 | カスタマー コントロールのアカウント資格情報を終了する | 1.1.0 |
| アクセス制御 | AC-2 (11) | 使用条件 | すべてのアカウントの適切な使用の強制 | 1.1.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視および一般的ではない使用法 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | ユーザー アカウントの特殊な動作を報告する | 1.1.0 |
| アクセス制御 | AC-2 (13) | 危険性の高い個人のアカウントの無効化 | 重大なリスクを伴うユーザー アカウントを無効にする | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 論理アクセスを強制する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| アクセス制御 | AC-4 | 情報フローの適用 | 情報フローを制御する | 1.1.0 |
| アクセス制御 | AC-4 | 情報フローの適用 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| アクセス制御 | AC-4 (8) | セキュリティ ポリシーのフィルター | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | 情報フローを制御する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 職務の分離について文書化する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 個人の職務を分離する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| アクセス制御 | AC-6 | 最小限の特権 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-6 | 最小限の特権 | アクセス制御モデルを設計する | 1.1.0 |
| アクセス制御 | AC-6 | 最小限の特権 | 最小特権アクセスを使用する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-6 (5) | 特権アカウント | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-6 (7) | ユーザー特権の確認 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-6 (7) | ユーザー特権の確認 | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| アクセス制御 | AC-6 (7) | ユーザー特権の確認 | ユーザー特権を確認する | 1.1.0 |
| アクセス制御 | AC-6 (8) | コード実行の特権レベル | ソフトウェア実行特権を適用する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権機能を監査する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | AC-7 | ログオン試行の失敗 | ログイン試行の連続失敗回数の制限を強制する | 1.1.0 |
| アクセス制御 | AC-10 | 同時セッション制御 | 同時セッションの制限を定義して適用する | 1.1.0 |
| アクセス制御 | AC-12 | セッションの終了 | ユーザー セッションを自動的に終了する | 1.1.0 |
| アクセス制御 | AC-12 (1) | ユーザーによって開始されたログアウト/メッセージの表示 | 明示的なログアウト メッセージを表示する | 1.1.0 |
| アクセス制御 | AC-12 (1) | ユーザーによって開始されたログアウト/メッセージの表示 | ログアウト機能を提供する | 1.1.0 |
| アクセス制御 | AC-14 | ID または認証なしで許可されるアクション | 認証なしで許可されているアクションを特定する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | リモート アクセスを認可する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | モビリティ トレーニングを文書化する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | プライバシーに関するトレーニングを提供する | 1.1.0 |
| アクセス制御 | AC-17 (1) | 監視または制御の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-17 (2) | 暗号化を使用した機密性および整合性の保護 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| アクセス制御 | AC-17 (2) | 暗号化を使用した機密性および整合性の保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アクセス制御 | AC-17 (3) | 管理対象のアクセス制御ポイント | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | リモート アクセスを認可する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | 特権コマンドへのリモート アクセスを承認する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | プライバシーに関するトレーニングを提供する | 1.1.0 |
| アクセス制御 | AC-17 (9) | アクセスの切断/無効化 | リモート アクセスを切断または無効にする機能を提供する | 1.1.0 |
| アクセス制御 | AC-18 | ワイヤレス アクセス | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| アクセス制御 | AC-18 | ワイヤレス アクセス | ワイヤレス アクセスを保護する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ワイヤレス アクセスを保護する | 1.1.0 |
| アクセス制御 | AC-19 | モバイル デバイスのアクセス制御 | モバイル デバイスの要件を定義する | 1.1.0 |
| アクセス制御 | AC-19 (5) | フル デバイス暗号化とコンテナーベースの暗号化 | モバイル デバイスの要件を定義する | 1.1.0 |
| アクセス制御 | AC-19 (5) | フル デバイス暗号化とコンテナーベースの暗号化 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アクセス制御 | AC-20 | 外部情報システムの使用 | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| アクセス制御 | AC-20 | 外部情報システムの使用 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| アクセス制御 | AC-20 (1) | 許可された使用に関する制限 | 外部情報システムのセキュリティ管理策を検証する | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-21 | 情報共有 | 情報共有の決定を自動化する | 1.1.0 |
| アクセス制御 | AC-21 | 情報共有 | 情報共有を円滑化する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公的にアクセス可能な情報を投稿する前にコンテンツを確認する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公開されていない情報の公的にアクセス可能なコンテンツを確認する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 非公開情報の公開に関する職員のトレーニング | 1.1.0 |
| 認識とトレーニング | AT-1 | セキュリティの認識とトレーニングに関するポリシーと手順 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 認識とトレーニング | AT-1 | セキュリティの認識とトレーニングに関するポリシーと手順 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 認識とトレーニング | AT-2 | セキュリティ意識向上トレーニング | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 認識とトレーニング | AT-2 | セキュリティ意識向上トレーニング | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-2 | セキュリティ意識向上トレーニング | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-2 (2) | 内部関係者による脅威 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのセキュリティ トレーニング | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのセキュリティ トレーニング | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのセキュリティ トレーニング | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 (3) | 実践的な演習 | ロールベースの実用的な演習を提供する | 1.1.0 |
| 認識とトレーニング | AT-3 (4) | 疑わしい通信と異常なシステム動作 | 疑わしいアクティビティに関するロールベースのトレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-4 | セキュリティ トレーニングの記録 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 認識とトレーニング | AT-4 | セキュリティ トレーニングの記録 | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| 認識とトレーニング | AT-4 | セキュリティ トレーニングの記録 | トレーニング レコードを保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | ポリシーと手順の管理 | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 監査とアカウンタビリティ | AU-2 | イベントの監査 | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-2 (3) | 確認と更新 | AU-02 で定義されているイベントの確認と更新 | 1.1.0 |
| 監査とアカウンタビリティ | AU-3 | 監査レコードのコンテンツ | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-3 (1) | その他の監査情報 | Azure 監査機能を構成する | 1.1.1 |
| 監査とアカウンタビリティ | AU-4 | 監査記憶域の容量 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 監査とアカウンタビリティ | AU-5 | 監査処理エラーへの対応 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 監査とアカウンタビリティ | AU-5 (2) | リアルタイム アラート | 監査イベント エラーのリアルタイム アラートを提供する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (3) | 監査リポジトリの関連付け | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (3) | 監査リポジトリの関連付け | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | 監査レコード分析の統合 | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (7) | 許可された操作 | 顧客監査情報に関連付けられている許可されたアクションを指定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (10) | 監査レベルの調整 | 監査レビュー、分析、レポートのレベルを調整する | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 | 監査の削減とレポート生成 | 監査レコードが変更されていないことを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 | 監査の削減とレポート生成 | 監査レビュー、分析、レポート機能の提供 | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 (1) | 自動処理 | 顧客が管理する監査レコードを処理する機能の提供 | 1.1.0 |
| 監査とアカウンタビリティ | AU-8 | タイム スタンプ | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 監査とアカウンタビリティ | AU-8 (1) | 信頼できる時間ソースとの同期 | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 | 監査情報の保護 | 二重または共同の認可を有効にする | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 | 監査情報の保護 | 監査情報を保護する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (2) | 個別の物理システム/コンポーネントのバックアップの監査 | バックアップのポリシーと手順を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (3) | 暗号化による保護 | 監査システムの整合性を維持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (4) | 一部の特権ユーザーによるアクセス | 監査情報を保護する | 1.1.0 |
| 監査とアカウンタビリティ | AU-10 | 否認防止 | 電子署名と証明書の要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | 定義されている保持期間に従う | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 特権機能を監査する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | 監査レコードをシステム全体の監査にコンパイルする | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 (3) | 許可された個人による変更 | 顧客が展開したリソースの監査を拡張または制限する機能を提供する | 1.1.0 |
| セキュリティの評価と承認 | CA-1 | セキュリティ評価と承認に関するポリシーと手順 | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | キュリティ コントロールの評価 | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | セキュリティ評価の結果を配信する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | セキュリティ評価計画の作成 | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | セキュリティ評価レポートの生成 | 1.1.0 |
| セキュリティの評価と承認 | CA-2 (1) | 独立した評価者 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 (2) | 専門的な評価 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 (3) | 外部組織 | 評価結果を承諾する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 | システムの相互接続 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 | システムの相互接続 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 (3) | 未分類の非国家セキュリティ システム接続 | システム境界の保護を実装する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 (5) | 外部システム接続に関する制限 | 外部システムの相互接続に制限を適用する | 1.1.0 |
| セキュリティの評価と承認 | CA-5 | 実行計画とマイルストーン | POA&M の開発 | 1.1.0 |
| セキュリティの評価と承認 | CA-5 | 実行計画とマイルストーン | POA&M 項目の更新 | 1.1.0 |
| セキュリティの評価と承認 | CA-6 | セキュリティ承認 | 承認担当者 (AO) を割り当てる | 1.1.0 |
| セキュリティの評価と承認 | CA-6 | セキュリティ承認 | リソースが承認されていることを確認する | 1.1.0 |
| セキュリティの評価と承認 | CA-6 | セキュリティ承認 | セキュリティ承認を更新する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 | 継続的な監視 | 検出ホワイトリストを構成する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 | 継続的な監視 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| セキュリティの評価と承認 | CA-7 | 継続的な監視 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 (1) | 独立した評価 | 継続的に監視するために個別の評価者を採用する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 (3) | 傾向分析 | 継続的監視から取得したデータを分析する | 1.1.0 |
| セキュリティの評価と承認 | CA-8 (1) | 独立した侵入エージェントまたはチーム | 侵入テストに別個のチームを採用する | 1.1.0 |
| セキュリティの評価と承認 | CA-9 | 内部システム接続 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 構成管理 | CM-1 | 構成管理に関するポリシーと手順 | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 構成コントロール ボードを設立する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 構成コントロール ボードを設立する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-2 (3) | 以前の構成の保持 | 以前のバージョンのベースライン構成を保持する | 1.1.0 |
| 構成管理 | CM-2 (7) | 危険性の高い領域に対するシステム、コンポーネント、またはデバイスの構成 | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 構成管理 | CM-2 (7) | 危険性の高い領域に対するシステム、コンポーネント、またはデバイスの構成 | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | リスク管理戦略の確立 | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | リスク評価を実行する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 提案された変更の承認要求を自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 承認された変更通知の実装を自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 構成管理 | CM-3 (2) | 変更のテスト/検証/文書化 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-3 (2) | 変更のテスト/検証/文書化 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-3 (2) | 変更のテスト/検証/文書化 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-3 (4) | セキュリティ担当者 | 制御を変更するために情報セキュリティ担当者を割り当てる | 1.1.0 |
| 構成管理 | CM-3 (6) | 暗号化の管理 | 暗号化メカニズムが構成管理の下に存在するようにする | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | リスク管理戦略の確立 | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | リスク評価を実行する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-5 | 変更のアクセス制限 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-5 (1) | 自動化されたアクセスの適用/監査 | アクセス制限の適用と監査 | 1.1.0 |
| 構成管理 | CM-5 (2) | システム変更のレビュー | 承認されていない変更の変更を確認する | 1.1.0 |
| 構成管理 | CM-5 (3) | 署名付きコンポーネント | 承認されていないソフトウェアとファームウェアのインストールを制限する | 1.1.0 |
| 構成管理 | CM-5 (5) | 運用/操作特権の制限 | 運用環境で変更を加える特権を制限する | 1.1.0 |
| 構成管理 | CM-5 (5) | 運用/操作特権の制限 | 特権の確認と再評価 | 1.1.0 |
| 構成管理 | CM-6 | 構成設定 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-6 | 構成設定 | 情報システムの欠陥を修復する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された集中管理/適用/検証 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された集中管理/適用/検証 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された集中管理/適用/検証 | システム診断データを表示して構成する | 1.1.0 |
| 構成管理 | CM-7 | 最小限の機能 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 構成管理 | CM-8 | 情報システム コンポーネント インベントリ | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 | 情報システム コンポーネント インベントリ | 個人データの処理に関する記録を保持する | 1.1.0 |
| 構成管理 | CM-8 (1) | インストール中/削除中の更新 | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 (1) | インストール中/削除中の更新 | 個人データの処理に関する記録を保持する | 1.1.0 |
| 構成管理 | CM-8 (3) | 許可されていないコンポーネントの検出の自動化 | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| 構成管理 | CM-8 (3) | 許可されていないコンポーネントの検出の自動化 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 構成管理 | CM-8 (4) | 説明責任の情報 | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 (4) | 説明責任の情報 | 資産インベントリの確立と管理 | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成プランの保護を作成する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成項目の識別計画を策定する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成管理計画を策定する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-10 | ソフトウェアの使用制限 | 知的財産権の遵守を必須にする | 1.1.0 |
| 構成管理 | CM-10 | ソフトウェアの使用制限 | ソフトウェア ライセンスの使用を追跡する | 1.1.0 |
| 構成管理 | CM-10 (1) | オープン ソース ソフトウェア | オープン ソース ソフトウェアの使用を制限する | 1.1.0 |
| 代替計画 | CP-1 | 代替計画のポリシーと手順 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画の変更を伝達する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 事業継続とディザスター リカバリー計画を作成および文書化する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を策定する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | コンティンジェンシー計画に関するポリシーと手順を作成する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | ポリシーと手順の配布 | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を確認する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を更新する | 1.1.0 |
| 代替計画 | CP-2 (1) | 関連する計画との調整 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-2 (2) | キャパシティ プランニング | キャパシティ プランニングの実施 | 1.1.0 |
| 代替計画 | CP-2 (3) | 重要な任務/ビジネス機能の再開 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 代替計画 | CP-2 (4) | すべてのミッション/ビジネス機能の再開 | すべてのミッションとビジネス機能を再開する | 1.1.0 |
| 代替計画 | CP-2 (5) | 不可欠なミッション/ビジネス機能の継続 | 重要なビジネス機能の継続を計画する | 1.1.0 |
| 代替計画 | CP-2 (8) | 重要な資産の識別 | ビジネスの影響評価とアプリケーションの重要度評価を実行する | 1.1.0 |
| 代替計画 | CP-3 | コンティンジェンシー トレーニング | コンティンジェンシー トレーニングを提供する | 1.1.0 |
| 代替計画 | CP-3 (1) | シミュレートされたイベント | シミュレートされたコンティンジェンシー トレーニングを組み込む | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 代替計画テストの修正操作を開始する | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 代替計画テストの結果を確認する | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 事業継続とディザスター リカバリーの計画をテストする | 1.1.0 |
| 代替計画 | CP-4 (1) | 関連する計画との調整 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-4 (2) | 代替処理サイト | 代替処理サイト機能を評価する | 1.1.0 |
| 代替計画 | CP-4 (2) | 代替処理サイト | 代替処理を実行する場所で代替計画をテストする | 1.1.0 |
| 代替計画 | CP-6 | 代替ストレージ サイト | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| 代替計画 | CP-6 | 代替ストレージ サイト | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| 代替計画 | CP-6 (1) | プライマリ サイトからの分離 | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 代替計画 | CP-6 (2) | 目標復旧時間/目標復旧時点 | 回復操作を容易にする代替ストレージ サイトを確立する | 1.1.0 |
| 代替計画 | CP-6 (3) | ユーザー補助 | 代替ストレージ サイトで潜在的な問題を特定して軽減する | 1.1.0 |
| 代替計画 | CP-7 | 代替処理サイト | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 代替計画 | CP-7 | 代替処理サイト | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (1) | プライマリ サイトからの分離 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (2) | ユーザー補助 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (3) | サービスの優先順位 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (3) | サービスの優先順位 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 代替計画 | CP-7 (4) | 使用の準備 | 代替処理サイトを操作サイトとして使用できるように準備する | 1.1.0 |
| 代替計画 | CP-8 (1) | サービスのプロビジョニングの優先度 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 代替計画 | CP-9 | 情報システムのバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 代替計画 | CP-9 | 情報システムのバックアップ | バックアップのポリシーと手順を確立する | 1.1.0 |
| 代替計画 | CP-9 | 情報システムのバックアップ | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 代替計画 | CP-9 (3) | 重要な情報用の個別のストレージ | バックアップ情報を個別に保存する | 1.1.0 |
| 代替計画 | CP-9 (5) | 代替ストレージ サイトへの転送 | 代替ストレージ サイトにバックアップ情報を転送する | 1.1.0 |
| 代替計画 | CP-10 | 情報システムの復旧と再構成 | 中断後にリソースを回復して再構成する | 1.1.1 |
| 代替計画 | CP-10 (2) | トランザクションの回復 | トランザクション ベースの回復を実装する | 1.1.0 |
| 代替計画 | CP-10 (4) | 期間内の復元 | リソースを稼働状態に復元する | 1.1.1 |
| 識別と認証 | IA-1 | 識別および認証に関するポリシーと手順 | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | ユーザーの一意性を徹底する | 1.1.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへのネットワーク アクセス | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへのネットワーク アクセス | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへのネットワーク アクセス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (2) | 非特権アカウントへのネットワーク アクセス | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (2) | 非特権アカウントへのネットワーク アクセス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (3) | 特権アカウントへのローカル アクセス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (5) | グループ認証 | 個々の認証子の使用を要求する | 1.1.0 |
| 識別と認証 | IA-2 (11) | リモート アクセス - 別個のデバイス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (11) | リモート アクセス - 別個のデバイス | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 識別と認証 | IA-2 (12) | PIV 資格情報の承諾 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 識別と認証 | IA-4 | 識別子の管理 | システム識別子の割り当て | 1.1.0 |
| 識別と認証 | IA-4 | 識別子の管理 | 定義された期間に識別子を再利用できないようにする | 1.1.0 |
| 識別と認証 | IA-4 (4) | ユーザーの状態の識別 | 個々のユーザーの状態を識別する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の管理 | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を最新の情報に更新 | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | パスワード ポリシーの確立 | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子と ID を動的にバインドする | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | シークレット認証子と検証ツールを検索するためのパラメーターを確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証された ID を個人にマップする | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 秘密キーへのアクセスを制限する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 識別と認証 | IA-5 (3) | 直接登録または信頼できるサードパーティによる登録 | 認証子の配布 | 1.1.0 |
| 識別と認証 | IA-5 (4) | パスワードの強度決定のための自動化されたサポート | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 識別と認証 | IA-5 (4) | パスワードの強度決定のための自動化されたサポート | パスワード ポリシーの確立 | 1.1.0 |
| 識別と認証 | IA-5 (4) | パスワードの強度決定のための自動化されたサポート | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 識別と認証 | IA-5 (6) | 認証子の保護 | 承認されたユーザーが指定された認証子を保護するようにする | 1.1.0 |
| 識別と認証 | IA-5 (7) | 暗号化されていない静的認証子の埋め込みなし | 暗号化されていない静的認証子がないことを確認する | 1.1.0 |
| 識別と認証 | IA-5 (11) | ハードウェア トークンベースの認証 | トークンの品質要件を満たす | 1.1.0 |
| 識別と認証 | IA-5 (13) | キャッシュされた認証子の有効期限 | キャッシュされた認証子の有効期限切れを強制実行する | 1.1.0 |
| 識別と認証 | IA-6 | 認証子のフィードバック | 認証処理中にフィードバック情報を隠す | 1.1.0 |
| 識別と認証 | IA-7 | 暗号化モジュールの認証 | 暗号化モジュールに対して認証する | 1.1.0 |
| 識別と認証 | IA-8 | 識別と認証 (組織外のユーザー) | 組織外のユーザーを識別して認証する | 1.1.0 |
| 識別と認証 | IA-8 (1) | 他の政府機関からの PIV 資格情報の承諾 | PIV 資格情報を承諾する | 1.1.0 |
| 識別と認証 | IA-8 (2) | サードパーティの資格情報の承諾 | FICAM で承認されたサード パーティの資格情報のみを受け入れる | 1.1.0 |
| 識別と認証 | IA-8 (3) | FICAM 承認済みの製品の使用 | FICAM で承認されたリソースを使用してサードパーティの資格情報を承諾する | 1.1.0 |
| 識別と認証 | IA-8 (4) | FICAM 発行のプロファイルの使用 | FICAM で発行されたプロファイルに適合する | 1.1.0 |
| インシデント対応 | IR-1 | インシデント対応ポリシーと手順 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| インシデント対応 | IR-2 | インシデント対応トレーニング | 情報流出トレーニングを提供する | 1.1.0 |
| インシデント対応 | IR-2 (1) | シミュレートされたイベント | シミュレートされたイベントをインシデント対応のトレーニングに組み込む | 1.1.0 |
| インシデント対応 | IR-2 (2) | 自動化されたトレーニング環境 | 自動化されたトレーニング環境を採用する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | インシデント対応テストを実施する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | 情報セキュリティ プログラムを確立する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | シミュレーション攻撃の実行 | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | インシデント対応テストを実施する | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | シミュレーション攻撃の実行 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-4 | インシデント処理 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | セキュリティ セーフガードの開発 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント対応計画を維持する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | 脅威に関する傾向分析を実行する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR-4 | インシデント処理 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-4 (2) | 動的再構成 | 顧客がデプロイしたリソースの動的な再構成を含める | 1.1.0 |
| インシデント対応 | IR-4 (3) | 運用の継続性 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| インシデント対応 | IR-4 (4) | 情報の相関関係 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-4 (6) | 内部関係者の脅威 - 特定の機能 | インシデント処理機能を実装する | 1.1.0 |
| インシデント対応 | IR-4 (8) | 外部組織との相関関係 | 外部組織と連携して組織間の視点を実現する | 1.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-5 | インシデント監視 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR-6 (1) | 自動化された報告 | セキュリティ運用を文書化する | 1.1.0 |
| インシデント対応 | IR-7 | インシデント対応サポート | セキュリティ運用を文書化する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 脅威に関する傾向分析を実行する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 制限のあるユーザーを表示して調査する | 1.1.0 |
| インシデント対応 | IR-7 (2) | 外部プロバイダーとの調整 | インシデント対応機能と外部プロバイダー間の関係を確立する | 1.1.0 |
| インシデント対応 | IR-7 (2) | 外部プロバイダーとの調整 | インシデント対応の担当者を特定する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | 情報セキュリティ イベントを評価する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | データ侵害レコードを保持する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント対応計画を維持する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント対応計画を保護する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 職員に情報流出のアラートを通知する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 汚染されたシステムやコンポーネントを識別する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 流出した情報を特定する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 情報流出を分離する | 1.1.0 |
| インシデント対応 | IR-9 (1) | 責任者 | インシデント対応の担当者を特定する | 1.1.0 |
| インシデント対応 | IR-9 (2) | トレーニング | 情報流出トレーニングを提供する | 1.1.0 |
| インシデント対応 | IR-9 (3) | 流出後の運用 | 流出に対する対応手順を作成する | 1.1.0 |
| インシデント対応 | IR-9 (4) | 許可されていない職員への公開 | セキュリティ セーフガードの開発 | 1.1.0 |
| メンテナンス | MA-1 | システム メンテナンスのポリシーと手順 | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-2 (2) | メンテナンス作業の自動化 | リモート メンテナンス アクティビティを自動化する | 1.1.0 |
| メンテナンス | MA-2 (2) | メンテナンス作業の自動化 | リモート メンテナンス アクティビティの完全なレコードを生成する | 1.1.0 |
| メンテナンス | MA-3 | メンテナンス ツール | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 | メンテナンス ツール | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (1) | ツールの検査 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (1) | ツールの検査 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (2) | メディアの検査 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (2) | メディアの検査 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-4 | 非ローカル メンテナンス | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-4 (2) | 非ローカル メンテナンスの文書化 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-4 (3) | 同等のセキュリティ/サニタイズ | すべての非ローカル メンテナンスを実行する | 1.1.0 |
| メンテナンス | MA-4 (6) | 暗号化による保護 | 暗号化メカニズムを実装する | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | 承認されていないメンテナンス アクティビティを監視する担当者の指定 | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | 承認されたリモート メンテナンス担当者リストの管理 | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | メンテナンス担当者の管理 | 1.1.0 |
| メンテナンス | MA-5 (1) | 適切なアクセス権のない個人 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-5 (1) | 適切なアクセス権のない個人 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-6 | タイムリーなメンテナンス | タイムリーなメンテナンス サポートを提供する | 1.1.0 |
| メディア保護 | MP-1 | メディア保護のポリシーと手順 | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| メディア保護 | MP-2 | メディア アクセス | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-3 | メディアのマーキング | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-4 | メディアの保管 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-4 | メディアの保管 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 | メディアの輸送 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 | メディアの輸送 | 資産の輸送を管理する | 1.1.0 |
| メディア保護 | MP-5 (4) | 暗号化による保護 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 (4) | 暗号化による保護 | 資産の輸送を管理する | 1.1.0 |
| メディア保護 | MP-6 | メディアのサニタイズ | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 | メディアのサニタイズ | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-6 (1) | レビュー/承認/追跡/文書化/検証 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 (1) | レビュー/承認/追跡/文書化/検証 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-6 (2) | 機器のテスト | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 (2) | 機器のテスト | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | メディアの使用を制限する | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | メディアの使用を制限する | 1.1.0 |
| 物理的および環境的な保護 | PE-1 | 物理的および環境的保護に関するポリシーと手順 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 物理的および環境的な保護 | PE-2 | 物理的なアクセスの承認 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 資産インベントリの確立と管理 | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-4 | 伝送媒体に対するアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-4 | 伝送媒体に対するアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-6 (1) | 侵入警報装置/監視装置 | アラーム システムをインストールする | 1.1.0 |
| 物理的および環境的な保護 | PE-6 (1) | 侵入警報装置/監視装置 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-8 | 訪問者のアクセスの記録 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-8 | 訪問者のアクセスの記録 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-12 | 非常用照明 | 自動非常用照明を使用する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 | 防火 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (1) | 探知装置/システム | 侵入テスト方法を実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (1) | 探知装置/システム | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (1) | 探知装置/システム | シミュレーション攻撃の実行 | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (2) | 消火装置/システム | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (3) | 自動消火装置 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 | 温湿度制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 (2) | 警報および通知による監視 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 (2) | 警報および通知による監視 | アラーム システムをインストールする | 1.1.0 |
| 物理的および環境的な保護 | PE-15 | 水害からの保護 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-16 | 納入と撤去 | 資産管理の要件を定義する | 1.1.0 |
| 物理的および環境的な保護 | PE-16 | 納入と撤去 | 資産の輸送を管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-17 | 代替作業サイト | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-18 | 情報システム コンポーネントの場所 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 計画 | PL-1 | セキュリティ計画のポリシーと手順 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 基準を満たす SSP の開発 | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | プライバシー プログラムを確立する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 計画 | PL-2 (3) | 計画および他の組織エンティティとの調整 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 計画 | PL-2 (3) | 計画および他の組織エンティティとの調整 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 計画 | PL-2 (3) | 計画および他の組織エンティティとの調整 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 利用規約と手順を作成する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 不正行為を禁止する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 計画 | PL-4 (1) | ソーシャル メディアとネットワーキングの制限 | 利用規約と手順を作成する | 1.1.0 |
| 計画 | PL-8 | 情報セキュリティアーキテクチャ | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 計画 | PL-8 | 情報セキュリティアーキテクチャ | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| 人的セキュリティ | PS-1 | 人的セキュリティのポリシーと手順 | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| 人的セキュリティ | PS-2 | 職位に対するリスク指定 | リスク指定を割り当てる | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 職員のスクリーニングを実装する | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 定義された頻度で個人を再表示する | 1.1.0 |
| 人的セキュリティ | PS-3 (3) | 特殊な保護対策のある情報 | 特別な情報を保護する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 離職時に離職者面接を実施する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了時に認証子を無効にする | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了または転送時に通知する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 人的セキュリティ | PS-4 (2) | 自動通知 | 従業員の退職の通知を自動化する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 終了または転送時に通知する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 職員の異動時にアクセスを再評価する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 組織のアクセス契約を文書化する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | アクセス契約が署名されているか、または時間内に辞任されていることを確認する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | ユーザーがアクセス契約に署名することを必須にする | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 組織のアクセス契約を更新する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティの担当者の転送または解雇の通知を要求する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 人的セキュリティ | PS-8 | 職員の処罰 | 正式な制裁プロセスを実装する | 1.1.0 |
| 人的セキュリティ | PS-8 | 職員の処罰 | 承認時に担当者に通知する | 1.1.0 |
| リスク評価 | RA-1 | リスク評価のポリシーと手順 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | 情報の分類 | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | ビジネス分類スキームを作成する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | セキュリティ分類が承認されていることを確認する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | ラベル アクティビティと分析を確認する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施して結果を配布する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実行する | 1.1.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (1) | 更新ツールの機能 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (1) | 更新ツールの機能 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (2) | 頻度による更新/新規スキャン前の更新/識別時の更新 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (2) | 頻度による更新/新規スキャン前の更新/識別時の更新 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (3) | 対象範囲の広さと深さ | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (3) | 対象範囲の広さと深さ | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (4) | 検出可能な情報 | 顧客情報への対応を行う | 1.1.0 |
| リスク評価 | RA-5 (5) | 特権アクセス | 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脅威に関する傾向分析を実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脅威モデリングを実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 特権機能を監査する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | ユーザー アカウントの状態を監査する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査レコードの関連付け | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査可能なイベントを決定する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | Cloud App Security を SIEM と統合する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 管理者割り当てを毎週レビューする | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査データを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | クラウド ID レポートの概要を確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 悪用からの保護イベントを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| リスク評価 | RA-5 (10) | スキャン情報の関連付け | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| システムとサービスの取得 | SA-1 | システムとサービスの取得のポリシーおよび手順 | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 事業目標と IT 目標を調整する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 情報システム要件を決定するためにリソースを割り当てる | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 予算ドキュメントで個別の行項目を確立する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | プライバシー プログラムを確立する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | リソースの割り当てを管理する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | サプライヤー契約の義務を決定する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約における個人データの保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 (1) | セキュリティ コントロールの機能プロパティ | セキュリティ コントロールの機能プロパティを取得する | 1.1.0 |
| システムとサービスの取得 | SA-4 (2) | セキュリティ コントロールの設計および実装の情報 | セキュリティ コントロールの設計と実装の情報を取得する | 1.1.1 |
| システムとサービスの取得 | SA-4 (8) | 継続的な監視計画 | セキュリティ制御の継続的監視計画を取得する | 1.1.0 |
| システムとサービスの取得 | SA-4 (9) | 使用される機能、ポート、プロトコル、サービス | SDLC ポート、プロトコル、サービスの識別を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-4 (10) | 承認済み PIV 製品の使用 | PIV に FIPS 201 承認済みのテクノロジを採用する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 情報システムのドキュメントを配布する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 顧客によって定義されたアクションを文書化する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 管理者向けドキュメントを取得する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | ユーザー セキュリティ機能のドキュメントを取得する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 管理者とユーザーのドキュメントを保護する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | 政府機関の監督を定義して文書化する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | 個別のセキュリティ レビューを適用する | 1.1.0 |
| システムとサービスの取得 | SA-9 (1) | リスク評価または組織の承認 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| システムとサービスの取得 | SA-9 (1) | リスク評価または組織の承認 | 取得と外部委託の承認を取得する | 1.1.0 |
| システムとサービスの取得 | SA-9 (2) | 機能、ポート、プロトコル、サービスの識別 | 外部サービス プロバイダーを識別する | 1.1.0 |
| システムとサービスの取得 | SA-9 (4) | コンシューマーとプロバイダーの関心の整合性 | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| システムとサービスの取得 | SA-9 (5) | 処理、ストレージ、サービスの場所 | 情報処理、保存、サービスの場所を制限する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | コーディングの脆弱性に対処する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 脆弱性スキャンを実行する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 情報システムの欠陥を修復する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 (1) | ソフトウェア/ファームウェアの整合性の検証 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるセキュリティのテストと評価 | 脆弱性スキャンを実行する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるセキュリティのテストと評価 | 情報システムの欠陥を修復する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるセキュリティのテストと評価 | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-12 | サプライ チェーンの保護 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| システムとサービスの取得 | SA-12 | サプライ チェーンの保護 | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| システムとサービスの取得 | SA-12 | サプライ チェーンの保護 | サプライヤー契約の義務を決定する | 1.1.0 |
| システムとサービスの取得 | SA-12 | サプライ チェーンの保護 | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| システムとサービスの取得 | SA-15 | 開発プロセス、標準、ツール | 開発プロセス、標準、ツールをレビューする | 1.1.0 |
| システムとサービスの取得 | SA-16 | 開発者が提供するトレーニング | 開発者にトレーニングの提供を要求する | 1.1.0 |
| システムとサービスの取得 | SA-17 | 開発者によるセキュリティ アーキテクチャと設計 | セキュリティ アーキテクチャの構築を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-17 | 開発者によるセキュリティ アーキテクチャと設計 | 正確なセキュリティ機能を説明するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-17 | 開発者によるセキュリティ アーキテクチャと設計 | 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | 1.1.0 |
| システムと通信の保護 | SC-1 | システムと通信の保護のポリシーと手順 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| システムと通信の保護 | SC-2 | アプリケーションのパーティション分割 | リモート アクセスを認可する | 1.1.0 |
| システムと通信の保護 | SC-2 | アプリケーションのパーティション分割 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| システムと通信の保護 | SC-2 | アプリケーションのパーティション分割 | 管理タスクに専用マシンを使用する | 1.1.0 |
| システムと通信の保護 | SC-3 | セキュリティ機能の分離 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと通信の保護 | SC-5 | サービス拒否の防止 | DDoS 対応計画の作成と文書化 | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | リソースの割り当てを管理する | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | 可用性と容量を管理する | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| システムと通信の保護 | SC-7 | 境界保護 | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| システムと通信の保護 | SC-7 (7) | リモート デバイスの分割トンネリングの防止 | リモート デバイスの分割トンネリングの防止 | 1.1.0 |
| システムと通信の保護 | SC-7 (8) | 認証済みプロキシ サーバーへのトラフィックのルーティング | 認証済みプロキシ ネットワーク経由でトラフィックをルーティングする | 1.1.0 |
| システムと通信の保護 | SC-7 (12) | ホストベースの保護 | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (13) | セキュリティ ツール、メカニズム、サポート コンポーネントの分離 | SecurID システム、セキュリティ インシデント管理システムを分離する | 1.1.0 |
| システムと通信の保護 | SC-7 (18) | フェール セキュア | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (18) | フェール セキュア | スタンバイおよびアクティブ システム コンポーネント間の転送を管理する | 1.1.0 |
| システムと通信の保護 | SC-7 (20) | 動的な分離または隔離 | システムがリソースの動的な分離に対応していることを確認する | 1.1.0 |
| システムと通信の保護 | SC-7 (21) | 情報システム コンポーネントの分離 | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| システムと通信の保護 | SC-8 | 送信の機密性と整合性 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムと通信の保護 | SC-8 | 送信の機密性と整合性 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| システムと通信の保護 | SC-8 (1) | 暗号化または代替の物理的保護 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムと通信の保護 | SC-10 | ネットワークの切断 | ユーザー セッションを再認証するか終了する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 物理キーの管理プロセスを定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 暗号化の使用を定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | アサーション要件を決定する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 公開キー証明書を発行する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 対称暗号化キーを管理する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 秘密キーへのアクセスを制限する | 1.1.0 |
| システムと通信の保護 | SC-12 (1) | 可用性 | 情報の可用性を維持する | 1.1.0 |
| システムと通信の保護 | SC-12 (2) | 対称キー | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| システムと通信の保護 | SC-12 (3) | 非対称キー | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| システムと通信の保護 | SC-13 | 暗号化による保護 | 暗号化の使用を定義する | 1.1.0 |
| システムと通信の保護 | SC-15 | コラボレーション コンピューティング デバイス | コラボレーション コンピューティング デバイスの使用を明示的に通知する | 1.1.1 |
| システムと通信の保護 | SC-15 | コラボレーション コンピューティング デバイス | コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | 1.1.0 |
| システムと通信の保護 | SC-17 | 公開キー基盤証明書 | 公開キー証明書を発行する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | モバイル コード テクノロジの使用を承認、監視、制御する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | モバイル コード テクノロジの使用制限を確立する | 1.1.0 |
| システムと通信の保護 | SC-19 | Voice over Internet Protocol | VoIP の承認、監視、制御 | 1.1.0 |
| システムと通信の保護 | SC-19 | Voice over Internet Protocol | VoIP の使用制限を確立する | 1.1.0 |
| システムと通信の保護 | SC-20 | セキュリティで保護された名前/アドレス解決サービス (権限のあるソース) | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-20 | セキュリティで保護された名前/アドレス解決サービス (権限のあるソース) | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| システムと通信の保護 | SC-21 | セキュリティで保護された名前およびアドレス解決サービス (再帰的リゾルバーまたはキャッシュ リゾルバー) | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-21 | セキュリティで保護された名前およびアドレス解決サービス (再帰的リゾルバーまたはキャッシュ リゾルバー) | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと通信の保護 | SC-22 | 名前およびアドレス解決サービスのアーキテクチャとプロビジョニング | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-23 | セッションの信頼性 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムと通信の保護 | SC-23 | セッションの信頼性 | ランダムな一意のセッション識別子を適用する | 1.1.0 |
| システムと通信の保護 | SC-23 (1) | ログアウト時のセッション識別子の無効化 | ログアウト時のセッション識別子の無効化 | 1.1.0 |
| システムと通信の保護 | SC-24 | 既知の状態での機能停止 | 情報システムが既知の状態で失敗するようにする | 1.1.0 |
| システムと通信の保護 | SC-28 | 保存情報の保護 | データ漏えいの管理手順を確立する | 1.1.0 |
| システムと通信の保護 | SC-28 | 保存情報の保護 | 特別な情報を保護する | 1.1.0 |
| システムと通信の保護 | SC-28 (1) | 暗号化による保護 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| システムと通信の保護 | SC-28 (1) | 暗号化による保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムと通信の保護 | SC-39 | プロセスの分離 | 実行中のプロセス用に個別の実行ドメインを維持する | 1.1.0 |
| システムと情報の整合性 | SI-1 | システムと情報の整合性のポリシーおよび手順 | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | 情報システムの欠陥を修復する | 1.1.0 |
| システムと情報の整合性 | SI-2 (2) | 自動的な欠陥修復状態 | 欠陥の修復を自動化する | 1.1.0 |
| システムと情報の整合性 | SI-2 (2) | 自動的な欠陥修復状態 | 情報システムの欠陥を修復する | 1.1.0 |
| システムと情報の整合性 | SI-2 (3) | 欠陥を修復するまでの時間および是正措置のベンチマーク | 欠陥修復のベンチマークを確立する | 1.1.0 |
| システムと情報の整合性 | SI-2 (3) | 欠陥を修復するまでの時間および是正措置のベンチマーク | 欠陥の特定と欠陥の修復の間の時間を測定する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | 必要に応じて監視情報を提供する | 1.1.0 |
| システムと情報の整合性 | SI-4 (2) | リアルタイム分析のための自動化ツール | セキュリティ運用を文書化する | 1.1.0 |
| システムと情報の整合性 | SI-4 (2) | リアルタイム分析のための自動化ツール | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | VoIP の承認、監視、制御 | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | システム境界の保護を実装する | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | 職員に情報流出のアラートを通知する | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | インシデント レスポンス計画を策定する | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| システムと情報の整合性 | SI-4 (14) | ワイヤレス侵入の検出 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| システムと情報の整合性 | SI-4 (22) | 承認されていないネットワーク サービス | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| システムと情報の整合性 | SI-4 (24) | セキュリティ侵害のインジケーター | 侵害のインジケーターを検出する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | セキュリティ アラートを担当者に送信する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | 脅威インテリジェンス プログラムを確立する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | 内部セキュリティ アラートを生成する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | セキュリティ ディレクティブの実装 | 1.1.0 |
| システムと情報の整合性 | SI-5 (1) | 警告および勧告の自動化 | セキュリティ アラートに自動化されたメカニズムを使用する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | 特定された異常に対する代替アクションを作成する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | 失敗したセキュリティ検証テストについて担当者に通知する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | 定義された頻度でセキュリティ関数の検証を実行する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | セキュリティ機能を確認する | 1.1.0 |
| システムと情報の整合性 | SI-7 | ソフトウェア、ファームウェア、情報の整合性 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと情報の整合性 | SI-7 (1) | 整合性チェック | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと情報の整合性 | SI-7 (1) | 整合性チェック | システム診断データを表示して構成する | 1.1.0 |
| システムと情報の整合性 | SI-7 (5) | 整合性違反への自動対応 | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| システムと情報の整合性 | SI-7 (14) | バイナリまたはマシン実行可能コード | バイナリ/マシン実行可能コードを禁止する | 1.1.0 |
| システムと情報の整合性 | SI-10 | 情報入力の検証 | 情報入力の検証を実行 | 1.1.0 |
| システムと情報の整合性 | SI-11 | エラー処理 | エラー メッセージの生成 | 1.1.0 |
| システムと情報の整合性 | SI-11 | エラー処理 | エラー メッセージの表示 | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の処理とリテンション期間 | 物理的なアクセスを制御する | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の処理とリテンション期間 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の処理とリテンション期間 | ラベル アクティビティと分析を確認する | 1.1.0 |
| システムと情報の整合性 | SI-16 | メモリの保護 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | ポリシーと手順の管理 | 1.1.0 |
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント マネージャーの割り当て | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 情報システム アカウントの種類を定義する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アクセス特権の文書化 | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ロール メンバーシップの条件を確立する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ユーザー アカウントを確認する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | AC-2 (3) | 非アクティブなアカウントの無効化 | 終了時に認証子を無効にする | 1.1.0 |
| アクセス制御 | AC-2 (3) | 非アクティブなアカウントの無効化 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | AC-2 (5) | 非アクティブな状態のログアウト | アイドル時間ログ ポリシーを定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権機能を監査する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | AC-2 (9) | 共有およびグループ アカウントの使用に関する制限 | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 (10) | 共有またはグループ アカウントの資格情報の終了 | カスタマー コントロールのアカウント資格情報を終了する | 1.1.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視および一般的ではない使用法 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | ユーザー アカウントの特殊な動作を報告する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 論理アクセスを強制する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| アクセス制御 | AC-4 | 情報フローの適用 | 情報フローを制御する | 1.1.0 |
| アクセス制御 | AC-4 | 情報フローの適用 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | 情報フローを制御する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 職務の分離について文書化する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 個人の職務を分離する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| アクセス制御 | AC-6 | 最小限の特権 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-6 | 最小限の特権 | アクセス制御モデルを設計する | 1.1.0 |
| アクセス制御 | AC-6 | 最小限の特権 | 最小特権アクセスを使用する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-6 (5) | 特権アカウント | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権機能を監査する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | AC-7 | ログオン試行の失敗 | ログイン試行の連続失敗回数の制限を強制する | 1.1.0 |
| アクセス制御 | AC-10 | 同時セッション制御 | 同時セッションの制限を定義して適用する | 1.1.0 |
| アクセス制御 | AC-12 | セッションの終了 | ユーザー セッションを自動的に終了する | 1.1.0 |
| アクセス制御 | AC-14 | ID または認証なしで許可されるアクション | 認証なしで許可されているアクションを特定する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | リモート アクセスを認可する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | モビリティ トレーニングを文書化する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | プライバシーに関するトレーニングを提供する | 1.1.0 |
| アクセス制御 | AC-17 (1) | 監視または制御の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-17 (2) | 暗号化を使用した機密性および整合性の保護 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| アクセス制御 | AC-17 (2) | 暗号化を使用した機密性および整合性の保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アクセス制御 | AC-17 (3) | 管理対象のアクセス制御ポイント | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | リモート アクセスを認可する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | 特権コマンドへのリモート アクセスを承認する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | プライバシーに関するトレーニングを提供する | 1.1.0 |
| アクセス制御 | AC-17 (9) | アクセスの切断/無効化 | リモート アクセスを切断または無効にする機能を提供する | 1.1.0 |
| アクセス制御 | AC-18 | ワイヤレス アクセス | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| アクセス制御 | AC-18 | ワイヤレス アクセス | ワイヤレス アクセスを保護する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ワイヤレス アクセスを保護する | 1.1.0 |
| アクセス制御 | AC-19 | モバイル デバイスのアクセス制御 | モバイル デバイスの要件を定義する | 1.1.0 |
| アクセス制御 | AC-19 (5) | フル デバイス暗号化とコンテナーベースの暗号化 | モバイル デバイスの要件を定義する | 1.1.0 |
| アクセス制御 | AC-19 (5) | フル デバイス暗号化とコンテナーベースの暗号化 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アクセス制御 | AC-20 | 外部情報システムの使用 | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| アクセス制御 | AC-20 | 外部情報システムの使用 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| アクセス制御 | AC-20 (1) | 許可された使用に関する制限 | 外部情報システムのセキュリティ管理策を検証する | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-21 | 情報共有 | 情報共有の決定を自動化する | 1.1.0 |
| アクセス制御 | AC-21 | 情報共有 | 情報共有を円滑化する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公的にアクセス可能な情報を投稿する前にコンテンツを確認する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公開されていない情報の公的にアクセス可能なコンテンツを確認する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 非公開情報の公開に関する職員のトレーニング | 1.1.0 |
| 認識とトレーニング | AT-1 | セキュリティの意識向上とトレーニングに関するポリシーと手順 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 認識とトレーニング | AT-1 | セキュリティの意識向上とトレーニングに関するポリシーと手順 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 認識とトレーニング | AT-2 | セキュリティ意識向上トレーニング | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 認識とトレーニング | AT-2 | セキュリティ意識向上トレーニング | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-2 | セキュリティ意識向上トレーニング | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-2 (2) | 内部関係者による脅威 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのセキュリティ トレーニング | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのセキュリティ トレーニング | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのセキュリティ トレーニング | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-4 | セキュリティ トレーニングの記録 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 認識とトレーニング | AT-4 | セキュリティ トレーニングの記録 | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| 認識とトレーニング | AT-4 | セキュリティ トレーニングの記録 | トレーニング レコードを保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | ポリシーと手順の管理 | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 監査とアカウンタビリティ | AU-2 | イベントの監査 | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-2 (3) | 確認と更新 | AU-02 で定義されているイベントの確認と更新 | 1.1.0 |
| 監査とアカウンタビリティ | AU-3 | 監査レコードのコンテンツ | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-3 (1) | その他の監査情報 | Azure 監査機能を構成する | 1.1.1 |
| 監査とアカウンタビリティ | AU-4 | 監査記憶域の容量 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 監査とアカウンタビリティ | AU-5 | 監査処理エラーへの対応 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (3) | 監査リポジトリの関連付け | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (3) | 監査リポジトリの関連付け | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 | 監査の削減とレポート生成 | 監査レコードが変更されていないことを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 | 監査の削減とレポート生成 | 監査レビュー、分析、レポート機能の提供 | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 (1) | 自動処理 | 顧客が管理する監査レコードを処理する機能の提供 | 1.1.0 |
| 監査とアカウンタビリティ | AU-8 | タイム スタンプ | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 監査とアカウンタビリティ | AU-8 (1) | 信頼できる時間ソースとの同期 | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 | 監査情報の保護 | 二重または共同の認可を有効にする | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 | 監査情報の保護 | 監査情報を保護する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (2) | 個別の物理システム/コンポーネントのバックアップの監査 | バックアップのポリシーと手順を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (4) | 一部の特権ユーザーによるアクセス | 監査情報を保護する | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | 定義されている保持期間に従う | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 特権機能を監査する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 監査データを確認する | 1.1.0 |
| セキュリティの評価と承認 | CA-1 | セキュリティ評価と承認に関するポリシーと手順 | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | キュリティ コントロールの評価 | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | セキュリティ評価の結果を配信する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | セキュリティ評価計画の作成 | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | セキュリティ評価レポートの生成 | 1.1.0 |
| セキュリティの評価と承認 | CA-2 (1) | 独立した評価者 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 (2) | 専門的な評価 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 (3) | 外部組織 | 評価結果を承諾する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 | システムの相互接続 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 | システムの相互接続 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 (3) | 未分類の非国家セキュリティ システム接続 | システム境界の保護を実装する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 (5) | 外部システム接続に関する制限 | 外部システムの相互接続に制限を適用する | 1.1.0 |
| セキュリティの評価と承認 | CA-5 | 実行計画とマイルストーン | POA&M の開発 | 1.1.0 |
| セキュリティの評価と承認 | CA-5 | 実行計画とマイルストーン | POA&M 項目の更新 | 1.1.0 |
| セキュリティの評価と承認 | CA-6 | セキュリティ承認 | 承認担当者 (AO) を割り当てる | 1.1.0 |
| セキュリティの評価と承認 | CA-6 | セキュリティ承認 | リソースが承認されていることを確認する | 1.1.0 |
| セキュリティの評価と承認 | CA-6 | セキュリティ承認 | セキュリティ承認を更新する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 | 継続的な監視 | 検出ホワイトリストを構成する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 | 継続的な監視 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| セキュリティの評価と承認 | CA-7 | 継続的な監視 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 (1) | 独立した評価 | 継続的に監視するために個別の評価者を採用する | 1.1.0 |
| セキュリティの評価と承認 | CA-8 (1) | 独立した侵入エージェントまたはチーム | 侵入テストに別個のチームを採用する | 1.1.0 |
| セキュリティの評価と承認 | CA-9 | 内部システム接続 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 構成管理 | CM-1 | 構成管理に関するポリシーと手順 | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 構成コントロール ボードを設立する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 構成コントロール ボードを設立する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-2 (3) | 以前の構成の保持 | 以前のバージョンのベースライン構成を保持する | 1.1.0 |
| 構成管理 | CM-2 (7) | 危険性の高い領域に対するシステム、コンポーネント、またはデバイスの構成 | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 構成管理 | CM-2 (7) | 危険性の高い領域に対するシステム、コンポーネント、またはデバイスの構成 | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | リスク管理戦略の確立 | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | リスク評価を実行する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | リスク管理戦略の確立 | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | リスク評価を実行する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-5 | 変更のアクセス制限 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-5 (1) | 自動化されたアクセスの適用/監査 | アクセス制限の適用と監査 | 1.1.0 |
| 構成管理 | CM-5 (3) | 署名付きコンポーネント | 承認されていないソフトウェアとファームウェアのインストールを制限する | 1.1.0 |
| 構成管理 | CM-5 (5) | 運用/操作特権の制限 | 運用環境で変更を加える特権を制限する | 1.1.0 |
| 構成管理 | CM-5 (5) | 運用/操作特権の制限 | 特権の確認と再評価 | 1.1.0 |
| 構成管理 | CM-6 | 構成設定 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-6 | 構成設定 | 情報システムの欠陥を修復する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された集中管理/適用/検証 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された集中管理/適用/検証 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された集中管理/適用/検証 | システム診断データを表示して構成する | 1.1.0 |
| 構成管理 | CM-7 | 最小限の機能 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 構成管理 | CM-8 | 情報システム コンポーネント インベントリ | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 | 情報システム コンポーネント インベントリ | 個人データの処理に関する記録を保持する | 1.1.0 |
| 構成管理 | CM-8 (1) | インストール中/削除中の更新 | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 (1) | インストール中/削除中の更新 | 個人データの処理に関する記録を保持する | 1.1.0 |
| 構成管理 | CM-8 (3) | 許可されていないコンポーネントの検出の自動化 | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| 構成管理 | CM-8 (3) | 許可されていないコンポーネントの検出の自動化 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成プランの保護を作成する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成項目の識別計画を策定する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成管理計画を策定する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-10 | ソフトウェアの使用制限 | 知的財産権の遵守を必須にする | 1.1.0 |
| 構成管理 | CM-10 | ソフトウェアの使用制限 | ソフトウェア ライセンスの使用を追跡する | 1.1.0 |
| 構成管理 | CM-10 (1) | オープン ソース ソフトウェア | オープン ソース ソフトウェアの使用を制限する | 1.1.0 |
| 代替計画 | CP-1 | 代替計画のポリシーと手順 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画の変更を伝達する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 事業継続とディザスター リカバリー計画を作成および文書化する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を策定する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | コンティンジェンシー計画に関するポリシーと手順を作成する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | ポリシーと手順の配布 | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を確認する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を更新する | 1.1.0 |
| 代替計画 | CP-2 (1) | 関連する計画との調整 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-2 (2) | キャパシティ プランニング | キャパシティ プランニングの実施 | 1.1.0 |
| 代替計画 | CP-2 (3) | 重要な任務/ビジネス機能の再開 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 代替計画 | CP-2 (8) | 重要な資産の識別 | ビジネスの影響評価とアプリケーションの重要度評価を実行する | 1.1.0 |
| 代替計画 | CP-3 | コンティンジェンシー トレーニング | コンティンジェンシー トレーニングを提供する | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 代替計画テストの修正操作を開始する | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 代替計画テストの結果を確認する | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 事業継続とディザスター リカバリーの計画をテストする | 1.1.0 |
| 代替計画 | CP-4 (1) | 関連する計画との調整 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-6 | 代替ストレージ サイト | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| 代替計画 | CP-6 | 代替ストレージ サイト | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| 代替計画 | CP-6 (1) | プライマリ サイトからの分離 | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 代替計画 | CP-6 (3) | ユーザー補助 | 代替ストレージ サイトで潜在的な問題を特定して軽減する | 1.1.0 |
| 代替計画 | CP-7 | 代替処理サイト | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 代替計画 | CP-7 | 代替処理サイト | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (1) | プライマリ サイトからの分離 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (2) | ユーザー補助 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (3) | サービスの優先順位 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (3) | サービスの優先順位 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 代替計画 | CP-8 (1) | サービスのプロビジョニングの優先度 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 代替計画 | CP-9 | 情報システムのバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 代替計画 | CP-9 | 情報システムのバックアップ | バックアップのポリシーと手順を確立する | 1.1.0 |
| 代替計画 | CP-9 | 情報システムのバックアップ | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 代替計画 | CP-9 (3) | 重要な情報用の個別のストレージ | バックアップ情報を個別に保存する | 1.1.0 |
| 代替計画 | CP-10 | 情報システムの復旧と再構成 | 中断後にリソースを回復して再構成する | 1.1.1 |
| 代替計画 | CP-10 (2) | トランザクションの回復 | トランザクション ベースの回復を実装する | 1.1.0 |
| 識別と認証 | IA-1 | 識別および認証に関するポリシーと手順 | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | ユーザーの一意性を徹底する | 1.1.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへのネットワーク アクセス | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへのネットワーク アクセス | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへのネットワーク アクセス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (2) | 非特権アカウントへのネットワーク アクセス | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (2) | 非特権アカウントへのネットワーク アクセス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (3) | 特権アカウントへのローカル アクセス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (5) | グループ認証 | 個々の認証子の使用を要求する | 1.1.0 |
| 識別と認証 | IA-2 (11) | リモート アクセス - 別個のデバイス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (11) | リモート アクセス - 別個のデバイス | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 識別と認証 | IA-2 (12) | PIV 資格情報の承諾 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 識別と認証 | IA-4 | 識別子の管理 | システム識別子の割り当て | 1.1.0 |
| 識別と認証 | IA-4 | 識別子の管理 | 定義された期間に識別子を再利用できないようにする | 1.1.0 |
| 識別と認証 | IA-4 (4) | ユーザーの状態の識別 | 個々のユーザーの状態を識別する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の管理 | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を最新の情報に更新 | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | パスワード ポリシーの確立 | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子と ID を動的にバインドする | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | シークレット認証子と検証ツールを検索するためのパラメーターを確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証された ID を個人にマップする | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 秘密キーへのアクセスを制限する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 識別と認証 | IA-5 (3) | 直接登録または信頼できるサードパーティによる登録 | 認証子の配布 | 1.1.0 |
| 識別と認証 | IA-5 (4) | パスワードの強度決定のための自動化されたサポート | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 識別と認証 | IA-5 (4) | パスワードの強度決定のための自動化されたサポート | パスワード ポリシーの確立 | 1.1.0 |
| 識別と認証 | IA-5 (4) | パスワードの強度決定のための自動化されたサポート | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 識別と認証 | IA-5 (6) | 認証子の保護 | 承認されたユーザーが指定された認証子を保護するようにする | 1.1.0 |
| 識別と認証 | IA-5 (7) | 暗号化されていない静的認証子の埋め込みなし | 暗号化されていない静的認証子がないことを確認する | 1.1.0 |
| 識別と認証 | IA-5 (11) | ハードウェア トークンベースの認証 | トークンの品質要件を満たす | 1.1.0 |
| 識別と認証 | IA-6 | 認証子のフィードバック | 認証処理中にフィードバック情報を隠す | 1.1.0 |
| 識別と認証 | IA-7 | 暗号化モジュールの認証 | 暗号化モジュールに対して認証する | 1.1.0 |
| 識別と認証 | IA-8 | 識別と認証 (組織外のユーザー) | 組織外のユーザーを識別して認証する | 1.1.0 |
| 識別と認証 | IA-8 (1) | 他の政府機関からの PIV 資格情報の承諾 | PIV 資格情報を承諾する | 1.1.0 |
| 識別と認証 | IA-8 (2) | サードパーティの資格情報の承諾 | FICAM で承認されたサード パーティの資格情報のみを受け入れる | 1.1.0 |
| 識別と認証 | IA-8 (3) | FICAM 承認済みの製品の使用 | FICAM で承認されたリソースを使用してサードパーティの資格情報を承諾する | 1.1.0 |
| 識別と認証 | IA-8 (4) | FICAM 発行のプロファイルの使用 | FICAM で発行されたプロファイルに適合する | 1.1.0 |
| インシデント対応 | IR-1 | インシデント対応ポリシーと手順 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| インシデント対応 | IR-2 | インシデント対応トレーニング | 情報流出トレーニングを提供する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | インシデント対応テストを実施する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | 情報セキュリティ プログラムを確立する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | シミュレーション攻撃の実行 | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | インシデント対応テストを実施する | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | シミュレーション攻撃の実行 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-4 | インシデント処理 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | セキュリティ セーフガードの開発 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント対応計画を維持する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | 脅威に関する傾向分析を実行する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR-4 | インシデント処理 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-5 | インシデント監視 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR-6 (1) | 自動化された報告 | セキュリティ運用を文書化する | 1.1.0 |
| インシデント対応 | IR-7 | インシデント対応サポート | セキュリティ運用を文書化する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 脅威に関する傾向分析を実行する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 制限のあるユーザーを表示して調査する | 1.1.0 |
| インシデント対応 | IR-7 (2) | 外部プロバイダーとの調整 | インシデント対応機能と外部プロバイダー間の関係を確立する | 1.1.0 |
| インシデント対応 | IR-7 (2) | 外部プロバイダーとの調整 | インシデント対応の担当者を特定する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | 情報セキュリティ イベントを評価する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | データ侵害レコードを保持する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント対応計画を維持する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント対応計画を保護する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 職員に情報流出のアラートを通知する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 汚染されたシステムやコンポーネントを識別する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 流出した情報を特定する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 情報流出を分離する | 1.1.0 |
| インシデント対応 | IR-9 (1) | 責任者 | インシデント対応の担当者を特定する | 1.1.0 |
| インシデント対応 | IR-9 (2) | トレーニング | 情報流出トレーニングを提供する | 1.1.0 |
| インシデント対応 | IR-9 (3) | 流出後の運用 | 流出に対する対応手順を作成する | 1.1.0 |
| インシデント対応 | IR-9 (4) | 許可されていない職員への公開 | セキュリティ セーフガードの開発 | 1.1.0 |
| メンテナンス | MA-1 | システム メンテナンスのポリシーと手順 | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 | メンテナンス ツール | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 | メンテナンス ツール | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (1) | ツールの検査 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (1) | ツールの検査 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (2) | メディアの検査 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (2) | メディアの検査 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-4 | 非ローカル メンテナンス | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-4 (2) | 非ローカル メンテナンスの文書化 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | 承認されていないメンテナンス アクティビティを監視する担当者の指定 | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | 承認されたリモート メンテナンス担当者リストの管理 | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | メンテナンス担当者の管理 | 1.1.0 |
| メンテナンス | MA-5 (1) | 適切なアクセス権のない個人 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-5 (1) | 適切なアクセス権のない個人 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-6 | タイムリーなメンテナンス | タイムリーなメンテナンス サポートを提供する | 1.1.0 |
| メディア保護 | MP-1 | メディア保護のポリシーと手順 | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| メディア保護 | MP-2 | メディア アクセス | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-3 | メディアのマーキング | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-4 | メディアの保管 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-4 | メディアの保管 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 | メディアの輸送 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 | メディアの輸送 | 資産の輸送を管理する | 1.1.0 |
| メディア保護 | MP-5 (4) | 暗号化による保護 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 (4) | 暗号化による保護 | 資産の輸送を管理する | 1.1.0 |
| メディア保護 | MP-6 | メディアのサニタイズ | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 | メディアのサニタイズ | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-6 (2) | 機器のテスト | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 (2) | 機器のテスト | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | メディアの使用を制限する | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | メディアの使用を制限する | 1.1.0 |
| 物理的および環境的な保護 | PE-1 | 物理的および環境的保護に関するポリシーと手順 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 物理的および環境的な保護 | PE-2 | 物理的なアクセスの承認 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 資産インベントリの確立と管理 | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-4 | 伝送媒体に対するアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-4 | 伝送媒体に対するアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-6 (1) | 侵入警報装置/監視装置 | アラーム システムをインストールする | 1.1.0 |
| 物理的および環境的な保護 | PE-6 (1) | 侵入警報装置/監視装置 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-8 | 訪問者のアクセスの記録 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-8 | 訪問者のアクセスの記録 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-12 | 非常用照明 | 自動非常用照明を使用する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 | 防火 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (2) | 消火装置/システム | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (3) | 自動消火装置 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 | 温湿度制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 (2) | 警報および通知による監視 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 (2) | 警報および通知による監視 | アラーム システムをインストールする | 1.1.0 |
| 物理的および環境的な保護 | PE-15 | 水害からの保護 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-16 | 納入と撤去 | 資産管理の要件を定義する | 1.1.0 |
| 物理的および環境的な保護 | PE-16 | 納入と撤去 | 資産の輸送を管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-17 | 代替作業サイト | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 計画 | PL-1 | セキュリティ計画のポリシーと手順 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 基準を満たす SSP の開発 | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | プライバシー プログラムを確立する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 計画 | PL-2 (3) | 計画および他の組織エンティティとの調整 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 計画 | PL-2 (3) | 計画および他の組織エンティティとの調整 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 計画 | PL-2 (3) | 計画および他の組織エンティティとの調整 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 利用規約と手順を作成する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 不正行為を禁止する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 計画 | PL-4 (1) | ソーシャル メディアとネットワーキングの制限 | 利用規約と手順を作成する | 1.1.0 |
| 計画 | PL-8 | 情報セキュリティアーキテクチャ | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 計画 | PL-8 | 情報セキュリティアーキテクチャ | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| 人的セキュリティ | PS-1 | 人的セキュリティのポリシーと手順 | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| 人的セキュリティ | PS-2 | 職位に対するリスク指定 | リスク指定を割り当てる | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 職員のスクリーニングを実装する | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 定義された頻度で個人を再表示する | 1.1.0 |
| 人的セキュリティ | PS-3 (3) | 特殊な保護対策のある情報 | 特別な情報を保護する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 離職時に離職者面接を実施する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了時に認証子を無効にする | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了または転送時に通知する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 終了または転送時に通知する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 職員の異動時にアクセスを再評価する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 組織のアクセス契約を文書化する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | アクセス契約が署名されているか、または時間内に辞任されていることを確認する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | ユーザーがアクセス契約に署名することを必須にする | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 組織のアクセス契約を更新する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティの担当者の転送または解雇の通知を要求する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 人的セキュリティ | PS-8 | 職員の処罰 | 正式な制裁プロセスを実装する | 1.1.0 |
| 人的セキュリティ | PS-8 | 職員の処罰 | 承認時に担当者に通知する | 1.1.0 |
| リスク評価 | RA-1 | リスク評価のポリシーと手順 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | 情報の分類 | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | ビジネス分類スキームを作成する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | セキュリティ分類が承認されていることを確認する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | ラベル アクティビティと分析を確認する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施して結果を配布する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実行する | 1.1.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (1) | 更新ツールの機能 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (1) | 更新ツールの機能 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (2) | 頻度による更新/新規スキャン前の更新/識別時の更新 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (2) | 頻度による更新/新規スキャン前の更新/識別時の更新 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (3) | 対象範囲の広さと深さ | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (3) | 対象範囲の広さと深さ | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (5) | 特権アクセス | 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脅威に関する傾向分析を実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脅威モデリングを実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 特権機能を監査する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | ユーザー アカウントの状態を監査する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査レコードの関連付け | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査可能なイベントを決定する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | Cloud App Security を SIEM と統合する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 管理者割り当てを毎週レビューする | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査データを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | クラウド ID レポートの概要を確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 悪用からの保護イベントを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| システムとサービスの取得 | SA-1 | システムとサービスの取得のポリシーおよび手順 | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 事業目標と IT 目標を調整する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 情報システム要件を決定するためにリソースを割り当てる | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 予算ドキュメントで個別の行項目を確立する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | プライバシー プログラムを確立する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | リソースの割り当てを管理する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | サプライヤー契約の義務を決定する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約における個人データの保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 (1) | セキュリティ コントロールの機能プロパティ | セキュリティ コントロールの機能プロパティを取得する | 1.1.0 |
| システムとサービスの取得 | SA-4 (2) | セキュリティ コントロールの設計および実装の情報 | セキュリティ コントロールの設計と実装の情報を取得する | 1.1.1 |
| システムとサービスの取得 | SA-4 (8) | 継続的な監視計画 | セキュリティ制御の継続的監視計画を取得する | 1.1.0 |
| システムとサービスの取得 | SA-4 (9) | 使用される機能、ポート、プロトコル、サービス | SDLC ポート、プロトコル、サービスの識別を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-4 (10) | 承認済み PIV 製品の使用 | PIV に FIPS 201 承認済みのテクノロジを採用する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 情報システムのドキュメントを配布する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 顧客によって定義されたアクションを文書化する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 管理者向けドキュメントを取得する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | ユーザー セキュリティ機能のドキュメントを取得する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 管理者とユーザーのドキュメントを保護する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | 政府機関の監督を定義して文書化する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | 個別のセキュリティ レビューを適用する | 1.1.0 |
| システムとサービスの取得 | SA-9 (1) | リスク評価または組織の承認 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| システムとサービスの取得 | SA-9 (1) | リスク評価または組織の承認 | 取得と外部委託の承認を取得する | 1.1.0 |
| システムとサービスの取得 | SA-9 (2) | 機能、ポート、プロトコル、サービスの識別 | 外部サービス プロバイダーを識別する | 1.1.0 |
| システムとサービスの取得 | SA-9 (4) | コンシューマーとプロバイダーの関心の整合性 | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| システムとサービスの取得 | SA-9 (5) | 処理、ストレージ、サービスの場所 | 情報処理、保存、サービスの場所を制限する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | コーディングの脆弱性に対処する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 脆弱性スキャンを実行する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 情報システムの欠陥を修復する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 (1) | ソフトウェア/ファームウェアの整合性の検証 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるセキュリティのテストと評価 | 脆弱性スキャンを実行する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるセキュリティのテストと評価 | 情報システムの欠陥を修復する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるセキュリティのテストと評価 | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| システムと通信の保護 | SC-1 | システムと通信の保護のポリシーと手順 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| システムと通信の保護 | SC-2 | アプリケーションのパーティション分割 | リモート アクセスを認可する | 1.1.0 |
| システムと通信の保護 | SC-2 | アプリケーションのパーティション分割 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| システムと通信の保護 | SC-2 | アプリケーションのパーティション分割 | 管理タスクに専用マシンを使用する | 1.1.0 |
| システムと通信の保護 | SC-5 | サービス拒否の防止 | DDoS 対応計画の作成と文書化 | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | リソースの割り当てを管理する | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | 可用性と容量を管理する | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| システムと通信の保護 | SC-7 | 境界保護 | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| システムと通信の保護 | SC-7 (7) | リモート デバイスの分割トンネリングの防止 | リモート デバイスの分割トンネリングの防止 | 1.1.0 |
| システムと通信の保護 | SC-7 (8) | 認証済みプロキシ サーバーへのトラフィックのルーティング | 認証済みプロキシ ネットワーク経由でトラフィックをルーティングする | 1.1.0 |
| システムと通信の保護 | SC-7 (12) | ホストベースの保護 | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (13) | セキュリティ ツール、メカニズム、サポート コンポーネントの分離 | SecurID システム、セキュリティ インシデント管理システムを分離する | 1.1.0 |
| システムと通信の保護 | SC-7 (18) | フェール セキュア | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (18) | フェール セキュア | スタンバイおよびアクティブ システム コンポーネント間の転送を管理する | 1.1.0 |
| システムと通信の保護 | SC-8 | 送信の機密性と整合性 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムと通信の保護 | SC-8 | 送信の機密性と整合性 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| システムと通信の保護 | SC-8 (1) | 暗号化または代替の物理的保護 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムと通信の保護 | SC-10 | ネットワークの切断 | ユーザー セッションを再認証するか終了する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 物理キーの管理プロセスを定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 暗号化の使用を定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | アサーション要件を決定する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 公開キー証明書を発行する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 対称暗号化キーを管理する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 秘密キーへのアクセスを制限する | 1.1.0 |
| システムと通信の保護 | SC-12 (2) | 対称キー | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| システムと通信の保護 | SC-12 (3) | 非対称キー | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| システムと通信の保護 | SC-13 | 暗号化による保護 | 暗号化の使用を定義する | 1.1.0 |
| システムと通信の保護 | SC-15 | コラボレーション コンピューティング デバイス | コラボレーション コンピューティング デバイスの使用を明示的に通知する | 1.1.1 |
| システムと通信の保護 | SC-15 | コラボレーション コンピューティング デバイス | コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | 1.1.0 |
| システムと通信の保護 | SC-17 | 公開キー基盤証明書 | 公開キー証明書を発行する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | モバイル コード テクノロジの使用を承認、監視、制御する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | モバイル コード テクノロジの使用制限を確立する | 1.1.0 |
| システムと通信の保護 | SC-19 | Voice over Internet Protocol | VoIP の承認、監視、制御 | 1.1.0 |
| システムと通信の保護 | SC-19 | Voice over Internet Protocol | VoIP の使用制限を確立する | 1.1.0 |
| システムと通信の保護 | SC-20 | セキュリティで保護された名前/アドレス解決サービス (権限のあるソース) | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-20 | セキュリティで保護された名前/アドレス解決サービス (権限のあるソース) | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| システムと通信の保護 | SC-21 | セキュリティで保護された名前/アドレス解決サービス (再帰的リゾルバーまたはキャッシュ リゾルバー) | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-21 | セキュリティで保護された名前/アドレス解決サービス (再帰的リゾルバーまたはキャッシュ リゾルバー) | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと通信の保護 | SC-22 | 名前/アドレス解決サービスのアーキテクチャとプロビジョニング | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-23 | セッションの信頼性 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムと通信の保護 | SC-23 | セッションの信頼性 | ランダムな一意のセッション識別子を適用する | 1.1.0 |
| システムと通信の保護 | SC-28 | 保存情報の保護 | データ漏えいの管理手順を確立する | 1.1.0 |
| システムと通信の保護 | SC-28 | 保存情報の保護 | 特別な情報を保護する | 1.1.0 |
| システムと通信の保護 | SC-28 (1) | 暗号化による保護 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| システムと通信の保護 | SC-28 (1) | 暗号化による保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムと通信の保護 | SC-39 | プロセスの分離 | 実行中のプロセス用に個別の実行ドメインを維持する | 1.1.0 |
| システムと情報の整合性 | SI-1 | システムと情報の整合性のポリシーおよび手順 | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | 情報システムの欠陥を修復する | 1.1.0 |
| システムと情報の整合性 | SI-2 (2) | 自動的な欠陥修復状態 | 欠陥の修復を自動化する | 1.1.0 |
| システムと情報の整合性 | SI-2 (2) | 自動的な欠陥修復状態 | 情報システムの欠陥を修復する | 1.1.0 |
| システムと情報の整合性 | SI-2 (3) | 欠陥を修復するまでの時間および是正措置のベンチマーク | 欠陥修復のベンチマークを確立する | 1.1.0 |
| システムと情報の整合性 | SI-2 (3) | 欠陥を修復するまでの時間および是正措置のベンチマーク | 欠陥の特定と欠陥の修復の間の時間を測定する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | 必要に応じて監視情報を提供する | 1.1.0 |
| システムと情報の整合性 | SI-4 (2) | リアルタイム分析のための自動化ツール | セキュリティ運用を文書化する | 1.1.0 |
| システムと情報の整合性 | SI-4 (2) | リアルタイム分析のための自動化ツール | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | VoIP の承認、監視、制御 | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | システム境界の保護を実装する | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | 職員に情報流出のアラートを通知する | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | インシデント レスポンス計画を策定する | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| システムと情報の整合性 | SI-4 (14) | ワイヤレス侵入の検出 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | セキュリティ アラートを担当者に送信する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | 脅威インテリジェンス プログラムを確立する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | 内部セキュリティ アラートを生成する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | セキュリティ ディレクティブの実装 | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | 特定された異常に対する代替アクションを作成する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | 失敗したセキュリティ検証テストについて担当者に通知する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | 定義された頻度でセキュリティ関数の検証を実行する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | セキュリティ機能を確認する | 1.1.0 |
| システムと情報の整合性 | SI-7 | ソフトウェア、ファームウェア、情報の整合性 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと情報の整合性 | SI-7 (1) | 整合性チェック | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと情報の整合性 | SI-7 (1) | 整合性チェック | システム診断データを表示して構成する | 1.1.0 |
| システムと情報の整合性 | SI-10 | 情報入力の検証 | 情報入力の検証を実行 | 1.1.0 |
| システムと情報の整合性 | SI-11 | エラー処理 | エラー メッセージの生成 | 1.1.0 |
| システムと情報の整合性 | SI-11 | エラー処理 | エラー メッセージの表示 | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の処理とリテンション期間 | 物理的なアクセスを制御する | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の処理とリテンション期間 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の処理とリテンション期間 | ラベル アクティビティと分析を確認する | 1.1.0 |
| システムと情報の整合性 | SI-16 | メモリの保護 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
HIPAA HITRUST 9.2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - HIPAA HITRUST 9.2 に関するページを参照してください。 このコンプライアンス標準の詳細については、HIPAA HITRUST 9.2 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 特権管理 | 1154.01c3System.4 - 01.c | 請負業者には、セキュリティ要件に準拠する請負業者の能力を組織が評価し、契約者が準拠することに同意した後でのみ、最小限のシステム アクセスと物理アクセスが提供されます。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 外部接続のユーザー認証 | 1117.01j1Organizational.23 - 01.j | ベンダーおよびビジネス パートナーによるリモート アクセス (リモート メンテナンスなど) は、使用されていないときに無効化または非アクティブ化されます。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 外部接続のユーザー認証 | 1173.01j1Organizational.6 - 01.j | ダイヤルアップ接続に暗号化が使用されない場合、CIO または CIO によって指定された担当者が、特定の書面による承認を提供します。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 外部接続のユーザー認証 | 1174.01j1Organizational.7 - 01.j | 組織は、ユーザーとデバイスの両方を認証して、機密情報が含まれているシステムへのワイヤレス アクセスを保護します。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 外部接続のユーザー認証 | 1176.01j2Organizational.5 - 01.j | 組織には、承認された場所からのダイヤルアップ接続を検証するため、再認証を伴うコールバック機能が必要です。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 外部接続のユーザー認証 | 1177.01j2Organizational.6 - 01.j | ベンダーに割り当てられたユーザー ID は、組織のアクセス レビュー ポリシーに従って、少なくとも 1 年に 1 回レビューされます。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| ユーザーの識別と認証 | 11110.01q1Organizational.6 - 01.q | 組織の情報システム上に存在する情報へのアクセスが必要であると判断された、組織以外のユーザー (患者、顧客、請負業者、外国人などの、組織のユーザー以外のすべての情報システム ユーザー)、または組織以外のユーザーの代理として機能するプロセスは、一意に識別されて認証されます。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| ユーザーの識別と認証 | 11208.01q1Organizational.8 - 01.q | 組織では、1 人の個人に固有の電子署名を、他のユーザーが再利用したり、他のユーザーに割り当て直したりできないことを要求します。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 01 Information Protection プログラム | 0101.00a1Organizational.123-00.a | 0101.00a1Organizational.123-00.a 0.01 情報セキュリティ管理プログラム | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 01 Information Protection プログラム | 0101.00a1Organizational.123-00.a | 0101.00a1Organizational.123-00.a 0.01 情報セキュリティ管理プログラム | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 01 Information Protection プログラム | 0101.00a1Organizational.123-00.a | 0101.00a1Organizational.123-00.a 0.01 情報セキュリティ管理プログラム | 情報セキュリティ プログラム計画を保護する | 1.1.0 |
| 01 Information Protection プログラム | 0101.00a1Organizational.123-00.a | 0101.00a1Organizational.123-00.a 0.01 情報セキュリティ管理プログラム | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0101.00a1Organizational.123-00.a | 0101.00a1Organizational.123-00.a 0.01 情報セキュリティ管理プログラム | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 01 Information Protection プログラム | 0102.00a2Organizational.123-00.a | 0102.00a2Organizational.123-00.a 0.01 情報セキュリティ管理プログラム | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 01 Information Protection プログラム | 0102.00a2Organizational.123-00.a | 0102.00a2Organizational.123-00.a 0.01 情報セキュリティ管理プログラム | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0102.00a2Organizational.123-00.a | 0102.00a2Organizational.123-00.a 0.01 情報セキュリティ管理プログラム | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 01 Information Protection プログラム | 0103.00a3Organizational.1234567-00.a | 0103.00a3Organizational.1234567-00.a 0.01 情報セキュリティ管理プログラム | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 01 Information Protection プログラム | 0103.00a3Organizational.1234567-00.a | 0103.00a3Organizational.1234567-00.a 0.01 情報セキュリティ管理プログラム | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 01 Information Protection プログラム | 0103.00a3Organizational.1234567-00.a | 0103.00a3Organizational.1234567-00.a 0.01 情報セキュリティ管理プログラム | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | 利用規約と手順を作成する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | 不正行為を禁止する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 01 Information Protection プログラム | 0104.02a1Organizational.12-02.a | 0104.02a1Organizational.12-02.a 02.01 雇用前 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 01 Information Protection プログラム | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 雇用前 | リスク指定を割り当てる | 1.1.0 |
| 01 Information Protection プログラム | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 雇用前 | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 01 Information Protection プログラム | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 雇用前 | 職員のスクリーニングを実装する | 1.1.0 |
| 01 Information Protection プログラム | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 雇用前 | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 01 Information Protection プログラム | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 雇用前 | 特別な情報を保護する | 1.1.0 |
| 01 Information Protection プログラム | 0105.02a2Organizational.1-02.a | 0105.02a2Organizational.1-02.a 02.01 雇用前 | 定義された頻度で個人を再表示する | 1.1.0 |
| 01 Information Protection プログラム | 0106.02a2Organizational.23-02.a | 0106.02a2Organizational.23-02.a 02.01 雇用前 | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 01 Information Protection プログラム | 0106.02a2Organizational.23-02.a | 0106.02a2Organizational.23-02.a 02.01 雇用前 | 職員のスクリーニングを実装する | 1.1.0 |
| 01 Information Protection プログラム | 0106.02a2Organizational.23-02.a | 0106.02a2Organizational.23-02.a 02.01 雇用前 | 特別な情報を保護する | 1.1.0 |
| 01 Information Protection プログラム | 0106.02a2Organizational.23-02.a | 0106.02a2Organizational.23-02.a 02.01 雇用前 | 定義された頻度で個人を再表示する | 1.1.0 |
| 01 Information Protection プログラム | 0107.02d1Organizational.1-02.d | 0107.02d1Organizational.1-02.d 02.03 雇用中 | 情報セキュリティ人材の育成と向上プログラムを策定する | 1.1.0 |
| 01 Information Protection プログラム | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 雇用中 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 01 Information Protection プログラム | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 雇用中 | セキュリティ テスト、トレーニング、監視の計画を実装する | 1.1.0 |
| 01 Information Protection プログラム | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 雇用中 | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| 01 Information Protection プログラム | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 雇用中 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 雇用中 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 雇用中 | 開発者にトレーニングの提供を要求する | 1.1.0 |
| 01 Information Protection プログラム | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 雇用中 | トレーニング レコードを保持する | 1.1.0 |
| 01 Information Protection プログラム | 0108.02d1Organizational.23-02.d | 0108.02d1Organizational.23-02.d 02.03 雇用中 | セキュリティ テスト、トレーニング、監視計画を確認する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 利用規約と手順を作成する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 正式な制裁プロセスを実装する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 承認時に担当者に通知する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 不正行為を禁止する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | ロールベースの実用的な演習を提供する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 疑わしいアクティビティに関するロールベースのトレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 01 Information Protection プログラム | 0109.02d1Organizational.4-02.d | 0109.02d1Organizational.4-02.d 02.03 雇用中 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 01 Information Protection プログラム | 0110.02d2Organizational.1-02.d | 0110.02d2Organizational.1-02.d 02.03 雇用中 | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 01 Information Protection プログラム | 0110.02d2Organizational.1-02.d | 0110.02d2Organizational.1-02.d 02.03 雇用中 | 情報セキュリティ人材の育成と向上プログラムを策定する | 1.1.0 |
| 01 Information Protection プログラム | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 雇用中 | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 01 Information Protection プログラム | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 雇用中 | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 01 Information Protection プログラム | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 雇用中 | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 01 Information Protection プログラム | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 雇用中 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 01 Information Protection プログラム | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 雇用中 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 雇用中 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 雇用中 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 雇用中 | サードパーティの担当者の転送または解雇の通知を要求する | 1.1.0 |
| 01 Information Protection プログラム | 0111.02d2Organizational.2-02.d | 0111.02d2Organizational.2-02.d 02.03 雇用中 | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 01 Information Protection プログラム | 01110.05a1Organizational.5-05.a | 01110.05a1Organizational.5-05.a 05.01 内部組織 | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 01 Information Protection プログラム | 01110.05a1Organizational.5-05.a | 01110.05a1Organizational.5-05.a 05.01 内部組織 | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 01 Information Protection プログラム | 01110.05a1Organizational.5-05.a | 01110.05a1Organizational.5-05.a 05.01 内部組織 | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 01 Information Protection プログラム | 01110.05a1Organizational.5-05.a | 01110.05a1Organizational.5-05.a 05.01 内部組織 | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 01 Information Protection プログラム | 01111.05a2Organizational.5-05.a | 01111.05a2Organizational.5-05.a 05.01 内部組織 | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 01 Information Protection プログラム | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 雇用中 | 利用規約と手順を作成する | 1.1.0 |
| 01 Information Protection プログラム | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 雇用中 | すべてのアカウントの適切な使用の強制 | 1.1.0 |
| 01 Information Protection プログラム | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 雇用中 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 01 Information Protection プログラム | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 雇用中 | モバイル コード テクノロジの使用制限を確立する | 1.1.0 |
| 01 Information Protection プログラム | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 雇用中 | アカウント アクティビティを監視する | 1.1.0 |
| 01 Information Protection プログラム | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 雇用中 | 知的財産権の遵守を必須にする | 1.1.0 |
| 01 Information Protection プログラム | 0112.02d2Organizational.3-02.d | 0112.02d2Organizational.3-02.d 02.03 雇用中 | ソフトウェア ライセンスの使用を追跡する | 1.1.0 |
| 01 Information Protection プログラム | 0113.04a1Organizational.123-04.a | 0113.04a1Organizational.123-04.a 04.01 情報セキュリティ ポリシー | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 01 Information Protection プログラム | 0113.04a1Organizational.123-04.a | 0113.04a1Organizational.123-04.a 04.01 情報セキュリティ ポリシー | 情報セキュリティ プログラム計画を保護する | 1.1.0 |
| 01 Information Protection プログラム | 0113.04a1Organizational.123-04.a | 0113.04a1Organizational.123-04.a 04.01 情報セキュリティ ポリシー | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 01 Information Protection プログラム | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 情報セキュリティ ポリシー | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 01 Information Protection プログラム | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 情報セキュリティ ポリシー | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 01 Information Protection プログラム | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 情報セキュリティ ポリシー | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 01 Information Protection プログラム | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 情報セキュリティ ポリシー | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 01 Information Protection プログラム | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 情報セキュリティ ポリシー | ポリシーと手順の管理 | 1.1.0 |
| 01 Information Protection プログラム | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 情報セキュリティ ポリシー | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| 01 Information Protection プログラム | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 情報セキュリティ ポリシー | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 情報セキュリティ ポリシー | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| 01 Information Protection プログラム | 0114.04b1Organizational.1-04.b | 0114.04b1Organizational.1-04.b 04.01 情報セキュリティ ポリシー | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | ポリシーと手順の管理 | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| 01 Information Protection プログラム | 0115.04b2Organizational.123-04.b | 0115.04b2Organizational.123-04.b 04.01 情報セキュリティ ポリシー | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 01 Information Protection プログラム | 0116.04b3Organizational.1-04.b | 0116.04b3Organizational.1-04.b 04.01 情報セキュリティ ポリシー | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0116.04b3Organizational.1-04.b | 0116.04b3Organizational.1-04.b 04.01 情報セキュリティ ポリシー | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0116.04b3Organizational.1-04.b | 0116.04b3Organizational.1-04.b 04.01 情報セキュリティ ポリシー | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 01 Information Protection プログラム | 0116.04b3Organizational.1-04.b | 0116.04b3Organizational.1-04.b 04.01 情報セキュリティ ポリシー | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| 01 Information Protection プログラム | 0117.05a1Organizational.1-05.a | 0117.05a1Organizational.1-05.a 05.01 内部組織 | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 01 Information Protection プログラム | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 内部組織 | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 01 Information Protection プログラム | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 内部組織 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 01 Information Protection プログラム | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 内部組織 | プライバシー プログラムを確立する | 1.1.0 |
| 01 Information Protection プログラム | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 内部組織 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 01 Information Protection プログラム | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 内部組織 | 情報セキュリティ人材の育成と向上プログラムを策定する | 1.1.0 |
| 01 Information Protection プログラム | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 内部組織 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 01 Information Protection プログラム | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 内部組織 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 01 Information Protection プログラム | 0118.05a1Organizational.2-05.a | 0118.05a1Organizational.2-05.a 05.01 内部組織 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 01 Information Protection プログラム | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 内部組織 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 01 Information Protection プログラム | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 内部組織 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 01 Information Protection プログラム | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 内部組織 | 基準を満たす SSP の開発 | 1.1.0 |
| 01 Information Protection プログラム | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 内部組織 | プライバシー プログラムを確立する | 1.1.0 |
| 01 Information Protection プログラム | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 内部組織 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 01 Information Protection プログラム | 0119.05a1Organizational.3-05.a | 0119.05a1Organizational.3-05.a 05.01 内部組織 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 01 Information Protection プログラム | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 内部組織 | 事業目標と IT 目標を調整する | 1.1.0 |
| 01 Information Protection プログラム | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 内部組織 | 情報システム要件を決定するためにリソースを割り当てる | 1.1.0 |
| 01 Information Protection プログラム | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 内部組織 | ビジネス ケースを使用して必要なリソースを記録する | 1.1.0 |
| 01 Information Protection プログラム | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 内部組織 | 資本計画と投資の要求に必要なリソースが含まれることを確認する | 1.1.0 |
| 01 Information Protection プログラム | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 内部組織 | 予算ドキュメントで個別の行項目を確立する | 1.1.0 |
| 01 Information Protection プログラム | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 内部組織 | プライバシー プログラムを確立する | 1.1.0 |
| 01 Information Protection プログラム | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 内部組織 | リソースの割り当てを管理する | 1.1.0 |
| 01 Information Protection プログラム | 0120.05a1Organizational.4-05.a | 0120.05a1Organizational.4-05.a 05.01 内部組織 | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| 01 Information Protection プログラム | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 内部組織 | リスク評価を実施する | 1.1.0 |
| 01 Information Protection プログラム | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 内部組織 | リスク評価を実施して結果を配布する | 1.1.0 |
| 01 Information Protection プログラム | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 内部組織 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 01 Information Protection プログラム | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 内部組織 | リスク管理戦略の確立 | 1.1.0 |
| 01 Information Protection プログラム | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 内部組織 | リスク管理戦略を実装する | 1.1.0 |
| 01 Information Protection プログラム | 0121.05a2Organizational.12-05.a | 0121.05a2Organizational.12-05.a 05.01 内部組織 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 内部組織 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 01 Information Protection プログラム | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 内部組織 | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| 01 Information Protection プログラム | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 内部組織 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 内部組織 | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 内部組織 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0122.05a2Organizational.3-05.a | 0122.05a2Organizational.3-05.a 05.01 内部組織 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 01 Information Protection プログラム | 0123.05a2Organizational.4-05.a | 0123.05a2Organizational.4-05.a 05.01 内部組織 | プライバシー プログラムを確立する | 1.1.0 |
| 01 Information Protection プログラム | 0123.05a2Organizational.4-05.a | 0123.05a2Organizational.4-05.a 05.01 内部組織 | 機関および専門研究グループの連絡先を管理する | 1.1.0 |
| 01 Information Protection プログラム | 0124.05a3Organizational.1-05.a | 0124.05a3Organizational.1-05.a 05.01 内部組織 | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 01 Information Protection プログラム | 0124.05a3Organizational.1-05.a | 0124.05a3Organizational.1-05.a 05.01 内部組織 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 01 Information Protection プログラム | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 内部組織 | 評価結果を承諾する | 1.1.0 |
| 01 Information Protection プログラム | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 内部組織 | キュリティ コントロールの評価 | 1.1.0 |
| 01 Information Protection プログラム | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 内部組織 | リスク評価を実施する | 1.1.0 |
| 01 Information Protection プログラム | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 内部組織 | リスク評価を実施して結果を配布する | 1.1.0 |
| 01 Information Protection プログラム | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 内部組織 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 01 Information Protection プログラム | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 内部組織 | セキュリティ評価計画の作成 | 1.1.0 |
| 01 Information Protection プログラム | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 内部組織 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| 01 Information Protection プログラム | 0125.05a3Organizational.2-05.a | 0125.05a3Organizational.2-05.a 05.01 内部組織 | リスク評価を実行する | 1.1.0 |
| 01 Information Protection プログラム | 0135.02f1Organizational.56-02.f | 0135.02f1Organizational.56-02.f 02.03 雇用中 | 情報セキュリティ人材の育成と向上プログラムを策定する | 1.1.0 |
| 01 Information Protection プログラム | 0135.02f1Organizational.56-02.f | 0135.02f1Organizational.56-02.f 02.03 雇用中 | 正式な制裁プロセスを実装する | 1.1.0 |
| 01 Information Protection プログラム | 0135.02f1Organizational.56-02.f | 0135.02f1Organizational.56-02.f 02.03 雇用中 | 承認時に担当者に通知する | 1.1.0 |
| 01 Information Protection プログラム | 0135.02f1Organizational.56-02.f | 0135.02f1Organizational.56-02.f 02.03 雇用中 | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 01 Information Protection プログラム | 0137.02a1Organizational.3-02.a | 0137.02a1Organizational.3-02.a 02.01 雇用前 | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0162.04b1Organizational.2-04.b | 0162.04b1Organizational.2-04.b 04.01 情報セキュリティ ポリシー | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 01 Information Protection プログラム | 0162.04b1Organizational.2-04.b | 0162.04b1Organizational.2-04.b 04.01 情報セキュリティ ポリシー | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 01 Information Protection プログラム | 0162.04b1Organizational.2-04.b | 0162.04b1Organizational.2-04.b 04.01 情報セキュリティ ポリシー | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 01 Information Protection プログラム | 0162.04b1Organizational.2-04.b | 0162.04b1Organizational.2-04.b 04.01 情報セキュリティ ポリシー | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 01 Information Protection プログラム | 0165.05a3Organizational.3-05.a | 0165.05a3Organizational.3-05.a 05.01 内部組織 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 01 Information Protection プログラム | 0177.05h1Organizational.12-05.h | 0177.05h1Organizational.12-05.h 05.01 内部組織 | 評価結果を承諾する | 1.1.0 |
| 01 Information Protection プログラム | 0177.05h1Organizational.12-05.h | 0177.05h1Organizational.12-05.h 05.01 内部組織 | キュリティ コントロールの評価 | 1.1.0 |
| 01 Information Protection プログラム | 0177.05h1Organizational.12-05.h | 0177.05h1Organizational.12-05.h 05.01 内部組織 | セキュリティ評価計画の作成 | 1.1.0 |
| 01 Information Protection プログラム | 0177.05h1Organizational.12-05.h | 0177.05h1Organizational.12-05.h 05.01 内部組織 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| 01 Information Protection プログラム | 0177.05h1Organizational.12-05.h | 0177.05h1Organizational.12-05.h 05.01 内部組織 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| 01 Information Protection プログラム | 0178.05h1Organizational.3-05.h | 0178.05h1Organizational.3-05.h 05.01 内部組織 | キュリティ コントロールの評価 | 1.1.0 |
| 01 Information Protection プログラム | 0178.05h1Organizational.3-05.h | 0178.05h1Organizational.3-05.h 05.01 内部組織 | セキュリティ評価の結果を配信する | 1.1.0 |
| 01 Information Protection プログラム | 0178.05h1Organizational.3-05.h | 0178.05h1Organizational.3-05.h 05.01 内部組織 | セキュリティ評価レポートの生成 | 1.1.0 |
| 01 Information Protection プログラム | 0179.05h1Organizational.4-05.h | 0179.05h1Organizational.4-05.h 05.01 内部組織 | POA&M の開発 | 1.1.0 |
| 01 Information Protection プログラム | 0179.05h1Organizational.4-05.h | 0179.05h1Organizational.4-05.h 05.01 内部組織 | リスク管理戦略の確立 | 1.1.0 |
| 01 Information Protection プログラム | 0179.05h1Organizational.4-05.h | 0179.05h1Organizational.4-05.h 05.01 内部組織 | セキュリティ プログラム プロセスのためのアクション計画とマイルストーンを実装する | 1.1.0 |
| 01 Information Protection プログラム | 0180.05h2Organizational.1-05.h | 0180.05h2Organizational.1-05.h 05.01 内部組織 | キュリティ コントロールの評価 | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威モデリングを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 情報システムの欠陥を修復する | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査レビュー、分析、レポートのレベルを調整する | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査レコードの関連付け | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査レコード分析の統合 | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査データを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 02 エンドポイント保護 | 0202.09j1Organizational.3-09.j | 0202.09j1Organizational.3-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 顧客監査情報に関連付けられている許可されたアクションを指定する | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 特定された異常に対する代替アクションを作成する | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 失敗したセキュリティ検証テストについて担当者に通知する | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 定義された頻度でセキュリティ関数の検証を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0204.09j2Organizational.1-09.j | 0204.09j2Organizational.1-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | セキュリティ機能を確認する | 1.1.0 |
| 02 エンドポイント保護 | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 職員に情報流出のアラートを通知する | 1.1.0 |
| 02 エンドポイント保護 | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | インシデント レスポンス計画を策定する | 1.1.0 |
| 02 エンドポイント保護 | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 02 エンドポイント保護 | 0205.09j2Organizational.2-09.j | 0205.09j2Organizational.2-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0206.09j2Organizational.34-09.j | 0206.09j2Organizational.34-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0207.09j2Organizational.56-09.j | 0207.09j2Organizational.56-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0208.09j2Organizational.7-09.j | 0208.09j2Organizational.7-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | リモート アクセスを認可する | 1.1.0 |
| 02 エンドポイント保護 | 0208.09j2Organizational.7-09.j | 0208.09j2Organizational.7-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| 02 エンドポイント保護 | 0208.09j2Organizational.7-09.j | 0208.09j2Organizational.7-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| 02 エンドポイント保護 | 0208.09j2Organizational.7-09.j | 0208.09j2Organizational.7-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 管理タスクに専用マシンを使用する | 1.1.0 |
| 02 エンドポイント保護 | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 ネットワークのセキュリティ管理 | 情報共有の決定を自動化する | 1.1.0 |
| 02 エンドポイント保護 | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 ネットワークのセキュリティ管理 | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| 02 エンドポイント保護 | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 ネットワークのセキュリティ管理 | 情報共有を円滑化する | 1.1.0 |
| 02 エンドポイント保護 | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 ネットワークのセキュリティ管理 | サードパーティに対する PII の開示を記録する | 1.1.0 |
| 02 エンドポイント保護 | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 ネットワークのセキュリティ管理 | PII 共有とその結果に関するスタッフのトレーニング | 1.1.0 |
| 02 エンドポイント保護 | 0209.09m3Organizational.7-09.m | 0209.09m3Organizational.7-09.m 09.06 ネットワークのセキュリティ管理 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | アクセス制御モデルを設計する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 最小特権アクセスを使用する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 運用環境で変更を加える特権を制限する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0214.09j1Organizational.6-09.j | 0214.09j1Organizational.6-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0215.09j2Organizational.8-09.j | 0215.09j2Organizational.8-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査レコードの関連付け | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 情報システムの欠陥を修復する | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査データを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 02 エンドポイント保護 | 0216.09j2Organizational.9-09.j | 0216.09j2Organizational.9-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 特権機能を監査する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査レコードの関連付け | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査可能なイベントを決定する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威モデリングを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 情報システムの欠陥を修復する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 監査データを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 悪用からの保護イベントを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0217.09j2Organizational.10-09.j | 0217.09j2Organizational.10-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0219.09j2Organizational.12-09.j | 0219.09j2Organizational.12-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | モバイル コード テクノロジの使用を承認、監視、制御する | 1.1.0 |
| 02 エンドポイント保護 | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | 1.1.0 |
| 02 エンドポイント保護 | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | モバイル コード テクノロジの使用制限を確立する | 1.1.0 |
| 02 エンドポイント保護 | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0225.09k1Organizational.1-09.k | 0225.09k1Organizational.1-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | モバイル コード テクノロジの使用を承認、監視、制御する | 1.1.0 |
| 02 エンドポイント保護 | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | 1.1.0 |
| 02 エンドポイント保護 | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | モバイル コード テクノロジの使用制限を確立する | 1.1.0 |
| 02 エンドポイント保護 | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0226.09k1Organizational.2-09.k | 0226.09k1Organizational.2-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | アクセスを認可および管理する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | モバイル コード テクノロジの使用を承認、監視、制御する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | モバイル デバイスの要件を定義する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 論理アクセスを強制する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | モバイル コード テクノロジの使用制限を確立する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | ゲートウェイを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | アカウント作成の承認を必要とする | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 02 エンドポイント保護 | 0227.09k2Organizational.12-09.k | 0227.09k2Organizational.12-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | セキュリティへの影響分析を実施する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | セキュリティ構成の設定を適用する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | プライバシー影響評価を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 構成変更制御の監査を実行する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | 情報システムの欠陥を修復する | 1.1.0 |
| 02 エンドポイント保護 | 0228.09k2Organizational.3-09.k | 0228.09k2Organizational.3-09.k 09.04 悪意のあるコードとモバイル コードからの保護 | システム診断データを表示して構成する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | モバイル デバイスの要件を定義する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | 資産の輸送を管理する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | ワイヤレス アクセスを保護する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | メディアの使用を制限する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0301.09o1Organizational.123-09.o | 0301.09o1Organizational.123-09.o 09.07 メディアの処理 | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 メディアの処理 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 メディアの処理 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 メディアの処理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 メディアの処理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 メディアの処理 | 資産の輸送を管理する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 メディアの処理 | メディアの使用を制限する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.o 09.07 メディアの処理 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.o 09.07 メディアの処理 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.o 09.07 メディアの処理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.o 09.07 メディアの処理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.o 09.07 メディアの処理 | 資産の輸送を管理する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0303.09o2Organizational.2-09.o | 0303.09o2Organizational.2-09.o 09.07 メディアの処理 | メディアの使用を制限する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 メディアの処理 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 メディアの処理 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 メディアの処理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 メディアの処理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0304.09o3Organizational.1-09.o | 0304.09o3Organizational.1-09.o 09.07 メディアの処理 | メディアの使用を制限する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 メディアの処理 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 メディアの処理 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 メディアの処理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 メディアの処理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 メディアの処理 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 メディアの処理 | 資産の輸送を管理する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0305.09q1Organizational.12-09.q | 0305.09q1Organizational.12-09.q 09.07 メディアの処理 | メディアの使用を制限する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 メディアの処理 | 情報共有の決定を自動化する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 メディアの処理 | 承認されたユーザーが指定された認証子を保護するようにする | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 メディアの処理 | 暗号化されていない静的認証子がないことを確認する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 メディアの処理 | 情報共有を円滑化する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 メディアの処理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0306.09q1Organizational.3-09.q | 0306.09q1Organizational.3-09.q 09.07 メディアの処理 | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0307.09q2Organizational.12-09.q | 0307.09q2Organizational.12-09.q 09.07 メディアの処理 | 情報フローを制御する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0307.09q2Organizational.12-09.q | 0307.09q2Organizational.12-09.q 09.07 メディアの処理 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0308.09q3Organizational.1-09.q | 0308.09q3Organizational.1-09.q 09.07 メディアの処理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0308.09q3Organizational.1-09.q | 0308.09q3Organizational.1-09.q 09.07 メディアの処理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0308.09q3Organizational.1-09.q | 0308.09q3Organizational.1-09.q 09.07 メディアの処理 | 資産の輸送を管理する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 メディアの処理 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 メディアの処理 | 暗号化の使用を定義する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 メディアの処理 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 メディアの処理 | アサーション要件を決定する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 メディアの処理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 メディアの処理 | 公開キー証明書を発行する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 メディアの処理 | 対称暗号化キーを管理する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 メディアの処理 | 資産の輸送を管理する | 1.1.0 |
| 03 ポータブル メディアのセキュリティ | 0314.09q3Organizational.2-09.q | 0314.09q3Organizational.2-09.q 09.07 メディアの処理 | 秘密キーへのアクセスを制限する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 モバイル コンピューティングとテレワーク | モバイル コード テクノロジの使用を承認、監視、制御する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 モバイル コンピューティングとテレワーク | 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 モバイル コンピューティングとテレワーク | モバイル コード テクノロジの使用制限を確立する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 モバイル コンピューティングとテレワーク | システム境界の保護を実装する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 モバイル コンピューティングとテレワーク | コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0401.01x1System.124579-01.x | 0401.01x1System.124579-01.x 01.07 モバイル コンピューティングとテレワーク | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 モバイル コンピューティングとテレワーク | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 モバイル コンピューティングとテレワーク | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 モバイル コンピューティングとテレワーク | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 モバイル コンピューティングとテレワーク | 資産の輸送を管理する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 モバイル コンピューティングとテレワーク | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0403.01x1System.8-01.x | 0403.01x1System.8-01.x 01.07 モバイル コンピューティングとテレワーク | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0405.01y1Organizational.12345678-01.y | 0405.01y1Organizational.12345678-01.y 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0407.01y2Organizational.1-01.y | 0407.01y2Organizational.1-01.y 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0407.01y2Organizational.1-01.y | 0407.01y2Organizational.1-01.y 01.07 モバイル コンピューティングとテレワーク | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0408.01y3Organizational.12-01.y | 0408.01y3Organizational.12-01.y 01.07 モバイル コンピューティングとテレワーク | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0408.01y3Organizational.12-01.y | 0408.01y3Organizational.12-01.y 01.07 モバイル コンピューティングとテレワーク | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0408.01y3Organizational.12-01.y | 0408.01y3Organizational.12-01.y 01.07 モバイル コンピューティングとテレワーク | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0408.01y3Organizational.12-01.y | 0408.01y3Organizational.12-01.y 01.07 モバイル コンピューティングとテレワーク | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0408.01y3Organizational.12-01.y | 0408.01y3Organizational.12-01.y 01.07 モバイル コンピューティングとテレワーク | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0409.01y3Organizational.3-01.y | 0409.01y3Organizational.3-01.y 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0410.01x1System.12-01.xMobileComputingandCommunications | 0410.01x1System.12-01.xMobileComputingandCommunications 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0410.01x1System.12-01.xMobileComputingandCommunications | 0410.01x1System.12-01.xMobileComputingandCommunications 01.07 モバイル コンピューティングとテレワーク | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0415.01y1Organizational.10-01.y | 0415.01y1Organizational.10-01.y 01.07 モバイル コンピューティングとテレワーク | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0415.01y1Organizational.10-01.y | 0415.01y1Organizational.10-01.y 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0415.01y1Organizational.10-01.y | 0415.01y1Organizational.10-01.y 01.07 モバイル コンピューティングとテレワーク | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0415.01y1Organizational.10-01.y | 0415.01y1Organizational.10-01.y 01.07 モバイル コンピューティングとテレワーク | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0415.01y1Organizational.10-01.y | 0415.01y1Organizational.10-01.y 01.07 モバイル コンピューティングとテレワーク | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0416.01y3Organizational.4-01.y | 0416.01y3Organizational.4-01.y 01.07 モバイル コンピューティングとテレワーク | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0416.01y3Organizational.4-01.y | 0416.01y3Organizational.4-01.y 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0416.01y3Organizational.4-01.y | 0416.01y3Organizational.4-01.y 01.07 モバイル コンピューティングとテレワーク | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0416.01y3Organizational.4-01.y | 0416.01y3Organizational.4-01.y 01.07 モバイル コンピューティングとテレワーク | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0417.01y3Organizational.5-01.y | 0417.01y3Organizational.5-01.y 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0425.01x1System.13-01.x | 0425.01x1System.13-01.x 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 モバイル コンピューティングとテレワーク | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 モバイル コンピューティングとテレワーク | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 モバイル コンピューティングとテレワーク | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 モバイル コンピューティングとテレワーク | 資産の輸送を管理する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 モバイル コンピューティングとテレワーク | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0426.01x2System.1-01.x | 0426.01x2System.1-01.x 01.07 モバイル コンピューティングとテレワーク | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0427.01x2System.2-01.x | 0427.01x2System.2-01.x 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0427.01x2System.2-01.x | 0427.01x2System.2-01.x 01.07 モバイル コンピューティングとテレワーク | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0427.01x2System.2-01.x | 0427.01x2System.2-01.x 01.07 モバイル コンピューティングとテレワーク | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0427.01x2System.2-01.x | 0427.01x2System.2-01.x 01.07 モバイル コンピューティングとテレワーク | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0428.01x2System.3-01.x | 0428.01x2System.3-01.x 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0428.01x2System.3-01.x | 0428.01x2System.3-01.x 01.07 モバイル コンピューティングとテレワーク | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0428.01x2System.3-01.x | 0428.01x2System.3-01.x 01.07 モバイル コンピューティングとテレワーク | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0428.01x2System.3-01.x | 0428.01x2System.3-01.x 01.07 モバイル コンピューティングとテレワーク | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 モバイル コンピューティングとテレワーク | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 モバイル コンピューティングとテレワーク | モバイル デバイスの要件を定義する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 モバイル コンピューティングとテレワーク | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 モバイル コンピューティングとテレワーク | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 モバイル コンピューティングとテレワーク | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 モバイル コンピューティングとテレワーク | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 04 モバイル デバイスのセキュリティ | 0429.01x1System.14-01.x | 0429.01x1System.14-01.x 01.07 モバイル コンピューティングとテレワーク | メディアの使用を制限する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0504.09m2Organizational.5-09.m | 0504.09m2Organizational.5-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0504.09m2Organizational.5-09.m | 0504.09m2Organizational.5-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0504.09m2Organizational.5-09.m | 0504.09m2Organizational.5-09.m 09.06 ネットワークのセキュリティ管理 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0504.09m2Organizational.5-09.m | 0504.09m2Organizational.5-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセスを保護する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 ネットワークのセキュリティ管理 | 生体認証メカニズムを採用する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 ネットワークのセキュリティ管理 | 資産管理の要件を定義する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 ネットワークのセキュリティ管理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 ネットワークのセキュリティ管理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 ネットワークのセキュリティ管理 | アラーム システムをインストールする | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 ネットワークのセキュリティ管理 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 05 ワイヤレス セキュリティ | 0505.09m2Organizational.3-09.m | 0505.09m2Organizational.3-09.m 09.06 ネットワークのセキュリティ管理 | 資産の輸送を管理する | 1.1.0 |
| 06 構成管理 | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | キュリティ コントロールの評価 | 1.1.0 |
| 06 構成管理 | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価の結果を配信する | 1.1.0 |
| 06 構成管理 | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | POA&M の開発 | 1.1.0 |
| 06 構成管理 | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価計画の作成 | 1.1.0 |
| 06 構成管理 | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価レポートの生成 | 1.1.0 |
| 06 構成管理 | 0601.06g1Organizational.124-06.g | 0601.06g1Organizational.124-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | POA&M 項目の更新 | 1.1.0 |
| 06 構成管理 | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | リスク評価を実施する | 1.1.0 |
| 06 構成管理 | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価の結果を配信する | 1.1.0 |
| 06 構成管理 | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 構成管理計画を策定する | 1.1.0 |
| 06 構成管理 | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | POA&M の開発 | 1.1.0 |
| 06 構成管理 | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 06 構成管理 | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 06 構成管理 | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 構成変更制御の監査を実行する | 1.1.0 |
| 06 構成管理 | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価レポートの生成 | 1.1.0 |
| 06 構成管理 | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| 06 構成管理 | 0602.06g1Organizational.3-06.g | 0602.06g1Organizational.3-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | POA&M 項目の更新 | 1.1.0 |
| 06 構成管理 | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ構成の設定を適用する | 1.1.0 |
| 06 構成管理 | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 06 構成管理 | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 脆弱性スキャンを実行する | 1.1.0 |
| 06 構成管理 | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 06 構成管理 | 0603.06g2Organizational.1-06.g | 0603.06g2Organizational.1-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | システム診断データを表示して構成する | 1.1.0 |
| 06 構成管理 | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 継続的監視から取得したデータを分析する | 1.1.0 |
| 06 構成管理 | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 検出ホワイトリストを構成する | 1.1.0 |
| 06 構成管理 | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価計画の作成 | 1.1.0 |
| 06 構成管理 | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 継続的に監視するために個別の評価者を採用する | 1.1.0 |
| 06 構成管理 | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| 06 構成管理 | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 06 構成管理 | 0604.06g2Organizational.2-06.g | 0604.06g2Organizational.2-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | 運用環境で変更を加える特権を制限する | 1.1.0 |
| 06 構成管理 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ | 特権の確認と再評価 | 1.1.0 |
| 06 構成管理 | 0613.06h1Organizational.12-06.h | 0613.06h1Organizational.12-06.h 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 脆弱性スキャンを実行する | 1.1.0 |
| 06 構成管理 | 0613.06h1Organizational.12-06.h | 0613.06h1Organizational.12-06.h 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | キュリティ コントロールの評価 | 1.1.0 |
| 06 構成管理 | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価の結果を配信する | 1.1.0 |
| 06 構成管理 | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価計画の作成 | 1.1.0 |
| 06 構成管理 | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価レポートの生成 | 1.1.0 |
| 06 構成管理 | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0614.06h2Organizational.12-06.h | 0614.06h2Organizational.12-06.h 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| 06 構成管理 | 0615.06h2Organizational.3-06.h | 0615.06h2Organizational.3-06.h 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | 提案された変更の承認要求を自動化する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | 承認された変更通知の実装を自動化する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | セキュリティへの影響分析を実施する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | セキュリティ構成の設定を適用する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | リスク管理戦略の確立 | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | プライバシー影響評価を実行する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | リスク評価を実行する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | 構成変更制御の監査を実行する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | 以前のバージョンのベースライン構成を保持する | 1.1.0 |
| 06 構成管理 | 0618.09b1System.1-09.b | 0618.09b1System.1-09.b 09.01 文書化された業務手順 | システム診断データを表示して構成する | 1.1.0 |
| 06 構成管理 | 0626.10h1System.3-10.h | 0626.10h1System.3-10.h 10.04 システム ファイルのセキュリティ | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| 06 構成管理 | 0626.10h1System.3-10.h | 0626.10h1System.3-10.h 10.04 システム ファイルのセキュリティ | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 06 構成管理 | 0626.10h1System.3-10.h | 0626.10h1System.3-10.h 10.04 システム ファイルのセキュリティ | システム診断データを表示して構成する | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | ベースライン構成を作成して維持する | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | セキュリティ構成の設定を適用する | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | 構成コントロール ボードを設立する | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | 構成管理計画を策定して文書化する | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | 自動構成管理ツールを実装する | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | 以前のバージョンのベースライン構成を保持する | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 06 構成管理 | 0627.10h1System.45-10.h | 0627.10h1System.45-10.h 10.04 システム ファイルのセキュリティ | システム診断データを表示して構成する | 1.1.0 |
| 06 構成管理 | 0628.10h1System.6-10.h | 0628.10h1System.6-10.h 10.04 システム ファイルのセキュリティ | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| 06 構成管理 | 0628.10h1System.6-10.h | 0628.10h1System.6-10.h 10.04 システム ファイルのセキュリティ | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| 06 構成管理 | 0628.10h1System.6-10.h | 0628.10h1System.6-10.h 10.04 システム ファイルのセキュリティ | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0628.10h1System.6-10.h | 0628.10h1System.6-10.h 10.04 システム ファイルのセキュリティ | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | ゲートウェイを管理する | 1.1.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | 脅威に関する傾向分析を実行する | 1.1.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | 開発プロセス、標準、ツールをレビューする | 1.1.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 06 構成管理 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | ウイルス対策定義を更新する | 1.1.0 |
| 06 構成管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成プランの保護を作成する | 1.1.0 |
| 06 構成管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | ベースライン構成を作成して維持する | 1.1.0 |
| 06 構成管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成項目の識別計画を策定する | 1.1.0 |
| 06 構成管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成管理計画を策定する | 1.1.0 |
| 06 構成管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成管理計画を策定して文書化する | 1.1.0 |
| 06 構成管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 自動構成管理ツールを実装する | 1.1.0 |
| 06 構成管理 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 06 構成管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成プランの保護を作成する | 1.1.0 |
| 06 構成管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ | ベースライン構成を作成して維持する | 1.1.0 |
| 06 構成管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成項目の識別計画を策定する | 1.1.0 |
| 06 構成管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成管理計画を策定する | 1.1.0 |
| 06 構成管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成管理計画を策定して文書化する | 1.1.0 |
| 06 構成管理 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ | 自動構成管理ツールを実装する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | 承認された変更通知の実装を自動化する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティへの影響分析を実施する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | リスク管理戦略の確立 | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | プライバシー影響評価を実行する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | リスク評価を実行する | 1.1.0 |
| 06 構成管理 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成変更制御の監査を実行する | 1.1.0 |
| 06 構成管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 06 構成管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ | ベースライン構成を作成して維持する | 1.1.0 |
| 06 構成管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティ構成の設定を適用する | 1.1.0 |
| 06 構成管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成コントロール ボードを設立する | 1.1.0 |
| 06 構成管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成管理計画を策定して文書化する | 1.1.0 |
| 06 構成管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ | 自動構成管理ツールを実装する | 1.1.0 |
| 06 構成管理 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | コーディングの脆弱性に対処する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成変更制御の監査を実行する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 06 構成管理 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティへの影響分析を実施する | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | リスク管理戦略の確立 | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | プライバシー影響評価を実行する | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | リスク評価を実行する | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成変更制御の監査を実行する | 1.1.0 |
| 06 構成管理 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ | 開発プロセス、標準、ツールをレビューする | 1.1.0 |
| 06 構成管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 06 構成管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | ベースライン構成を作成して維持する | 1.1.0 |
| 06 構成管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティ構成の設定を適用する | 1.1.0 |
| 06 構成管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成コントロール ボードを設立する | 1.1.0 |
| 06 構成管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成管理計画を策定して文書化する | 1.1.0 |
| 06 構成管理 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ | 自動構成管理ツールを実装する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティへの影響分析を実施する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | ベースライン構成を作成して維持する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティ構成の設定を適用する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成コントロール ボードを設立する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | リスク管理戦略の確立 | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成管理計画を策定して文書化する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | 自動構成管理ツールを実装する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | プライバシー影響評価を実行する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | リスク評価を実行する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成変更制御の監査を実行する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ | 以前のバージョンのベースライン構成を保持する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | アカウント マネージャーの割り当て | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | ユーザー アカウントの状態を監査する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | 情報システム アカウントの種類を定義する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成項目の識別計画を策定する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成管理計画を策定する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | アクセス特権の文書化 | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティ構成の設定を適用する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | ロール メンバーシップの条件を確立する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | アカウント アクティビティを監視する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | アカウント作成の承認を必要とする | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | ユーザー アカウントを確認する | 1.1.0 |
| 06 構成管理 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ | システム診断データを表示して構成する | 1.1.0 |
| 06 構成管理 | 0662.09sCSPOrganizational.2-09.s | 0662.09sCSPOrganizational.2-09.s 09.08 情報交換 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| 06 構成管理 | 0662.09sCSPOrganizational.2-09.s | 0662.09sCSPOrganizational.2-09.s 09.08 情報交換 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | 特権機能を監査する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | ユーザー アカウントの状態を監査する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | 監査可能なイベントを決定する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | システム境界の保護を実装する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | ゲートウェイを管理する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | 脅威に関する傾向分析を実行する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | 監査データを確認する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | ウイルス対策定義を更新する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 06 構成管理 | 0663.10h1System.7-10.h | 0663.10h1System.7-10.h 10.04 システム ファイルのセキュリティ | システム診断データを表示して構成する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | コーディングの脆弱性に対処する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | ベースライン構成を作成して維持する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 構成項目の識別計画を策定する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 構成管理計画を策定する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | セキュリティ構成の設定を適用する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 構成コントロール ボードを設立する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 構成管理計画を策定して文書化する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 自動構成管理ツールを実装する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 構成変更制御の監査を実行する | 1.1.0 |
| 06 構成管理 | 0669.10hCSPSystem.1-10.h | 0669.10hCSPSystem.1-10.h 10.04 システム ファイルのセキュリティ | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 06 構成管理 | 0670.10hCSPSystem.2-10.h | 0670.10hCSPSystem.2-10.h 10.04 システム ファイルのセキュリティ | 定義されている保持期間に従う | 1.1.0 |
| 06 構成管理 | 0670.10hCSPSystem.2-10.h | 0670.10hCSPSystem.2-10.h 10.04 システム ファイルのセキュリティ | 処理確認を実行する | 1.1.0 |
| 06 構成管理 | 0670.10hCSPSystem.2-10.h | 0670.10hCSPSystem.2-10.h 10.04 システム ファイルのセキュリティ | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | コーディングの脆弱性に対処する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 承認された変更通知の実装を自動化する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティ構成の設定を適用する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成変更制御の監査を実行する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 情報システムの欠陥を修復する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| 06 構成管理 | 0671.10k1System.1-10.k | 0671.10k1System.1-10.k 10.05 開発およびサポート プロセスのセキュリティ | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | セキュリティへの影響分析を実施する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | リスク管理戦略の確立 | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | プライバシー影響評価を実行する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | リスク評価を実行する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | 構成変更制御の監査を実行する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | バイナリ/マシン実行可能コードを禁止する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 06 構成管理 | 0672.10k3System.5-10.k | 0672.10k3System.5-10.k 10.05 開発およびサポート プロセスのセキュリティ | システム診断データを表示して構成する | 1.1.0 |
| 06 構成管理 | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | キュリティ コントロールの評価 | 1.1.0 |
| 06 構成管理 | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価の結果を配信する | 1.1.0 |
| 06 構成管理 | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価計画の作成 | 1.1.0 |
| 06 構成管理 | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 継続的に監視するために個別の評価者を採用する | 1.1.0 |
| 06 構成管理 | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| 06 構成管理 | 068.06g2Organizational.34-06.g | 068.06g2Organizational.34-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | セキュリティ評価レポートの生成 | 1.1.0 |
| 06 構成管理 | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | リスク評価を実施する | 1.1.0 |
| 06 構成管理 | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | リスク評価を実施して結果を配布する | 1.1.0 |
| 06 構成管理 | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 06 構成管理 | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 検出ホワイトリストを構成する | 1.1.0 |
| 06 構成管理 | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | リスク評価を実行する | 1.1.0 |
| 06 構成管理 | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 06 構成管理 | 069.06g2Organizational.56-06.g | 069.06g2Organizational.56-06.g 06.02 セキュリティ ポリシーと標準への準拠、および技術的な要件 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 07 脆弱性の管理 | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 資産に対する責任 | 離職時に離職者面接を実施する | 1.1.0 |
| 07 脆弱性の管理 | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 資産に対する責任 | データ インベントリを作成する | 1.1.0 |
| 07 脆弱性の管理 | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 資産に対する責任 | 終了時に認証子を無効にする | 1.1.0 |
| 07 脆弱性の管理 | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 資産に対する責任 | 資産インベントリの確立と管理 | 1.1.0 |
| 07 脆弱性の管理 | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 資産に対する責任 | 終了または転送時に通知する | 1.1.0 |
| 07 脆弱性の管理 | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 資産に対する責任 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 07 脆弱性の管理 | 0701.07a1Organizational.12-07.a | 0701.07a1Organizational.12-07.a 07.01 資産に対する責任 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 07 脆弱性の管理 | 0702.07a1Organizational.3-07.a | 0702.07a1Organizational.3-07.a 07.01 資産に対する責任 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 07 脆弱性の管理 | 0702.07a1Organizational.3-07.a | 0702.07a1Organizational.3-07.a 07.01 資産に対する責任 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| 07 脆弱性の管理 | 0703.07a2Organizational.1-07.a | 0703.07a2Organizational.1-07.a 07.01 資産に対する責任 | データ インベントリを作成する | 1.1.0 |
| 07 脆弱性の管理 | 0703.07a2Organizational.1-07.a | 0703.07a2Organizational.1-07.a 07.01 資産に対する責任 | 資産インベントリの確立と管理 | 1.1.0 |
| 07 脆弱性の管理 | 0703.07a2Organizational.1-07.a | 0703.07a2Organizational.1-07.a 07.01 資産に対する責任 | 個人データの処理に関する記録を保持する | 1.1.0 |
| 07 脆弱性の管理 | 0704.07a3Organizational.12-07.a | 0704.07a3Organizational.12-07.a 07.01 資産に対する責任 | データ インベントリを作成する | 1.1.0 |
| 07 脆弱性の管理 | 0704.07a3Organizational.12-07.a | 0704.07a3Organizational.12-07.a 07.01 資産に対する責任 | 資産インベントリの確立と管理 | 1.1.0 |
| 07 脆弱性の管理 | 0704.07a3Organizational.12-07.a | 0704.07a3Organizational.12-07.a 07.01 資産に対する責任 | 個人データの処理に関する記録を保持する | 1.1.0 |
| 07 脆弱性の管理 | 0705.07a3Organizational.3-07.a | 0705.07a3Organizational.3-07.a 07.01 資産に対する責任 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 07 脆弱性の管理 | 0705.07a3Organizational.3-07.a | 0705.07a3Organizational.3-07.a 07.01 資産に対する責任 | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| 07 脆弱性の管理 | 0705.07a3Organizational.3-07.a | 0705.07a3Organizational.3-07.a 07.01 資産に対する責任 | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 07 脆弱性の管理 | 0706.10b1System.12-10.b | 0706.10b1System.12-10.b 10.02 アプリケーションでの正しい処理 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 07 脆弱性の管理 | 0706.10b1System.12-10.b | 0706.10b1System.12-10.b 10.02 アプリケーションでの正しい処理 | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| 07 脆弱性の管理 | 0706.10b1System.12-10.b | 0706.10b1System.12-10.b 10.02 アプリケーションでの正しい処理 | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 07 脆弱性の管理 | 0706.10b1System.12-10.b | 0706.10b1System.12-10.b 10.02 アプリケーションでの正しい処理 | 情報入力の検証を実行 | 1.1.0 |
| 07 脆弱性の管理 | 0708.10b2System.2-10.b | 0708.10b2System.2-10.b 10.02 アプリケーションでの正しい処理 | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 07 脆弱性の管理 | 0708.10b2System.2-10.b | 0708.10b2System.2-10.b 10.02 アプリケーションでの正しい処理 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 07 脆弱性の管理 | 0708.10b2System.2-10.b | 0708.10b2System.2-10.b 10.02 アプリケーションでの正しい処理 | システム診断データを表示して構成する | 1.1.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | キュリティ コントロールの評価 | 1.1.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | セキュリティ評価の結果を配信する | 1.1.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | セキュリティ評価計画の作成 | 1.1.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | セキュリティ評価レポートの生成 | 1.1.0 |
| 07 脆弱性の管理 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| 07 脆弱性の管理 | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 技術的な脆弱性の管理 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 07 脆弱性の管理 | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 技術的な脆弱性の管理 | ベースライン構成を作成して維持する | 1.1.0 |
| 07 脆弱性の管理 | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 技術的な脆弱性の管理 | セキュリティ構成の設定を適用する | 1.1.0 |
| 07 脆弱性の管理 | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 技術的な脆弱性の管理 | 構成コントロール ボードを設立する | 1.1.0 |
| 07 脆弱性の管理 | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 技術的な脆弱性の管理 | 構成管理計画を策定して文書化する | 1.1.0 |
| 07 脆弱性の管理 | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 技術的な脆弱性の管理 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 07 脆弱性の管理 | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 技術的な脆弱性の管理 | 自動構成管理ツールを実装する | 1.1.0 |
| 07 脆弱性の管理 | 0710.10m2Organizational.1-10.m | 0710.10m2Organizational.1-10.m 10.06 技術的な脆弱性の管理 | システム診断データを表示して構成する | 1.1.0 |
| 07 脆弱性の管理 | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 技術的な脆弱性の管理 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| 07 脆弱性の管理 | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 技術的な脆弱性の管理 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 07 脆弱性の管理 | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 技術的な脆弱性の管理 | 脅威モデリングを実行する | 1.1.0 |
| 07 脆弱性の管理 | 0712.10m2Organizational.4-10.m | 0712.10m2Organizational.4-10.m 10.06 技術的な脆弱性の管理 | 侵入テストに別個のチームを採用する | 1.1.0 |
| 07 脆弱性の管理 | 0712.10m2Organizational.4-10.m | 0712.10m2Organizational.4-10.m 10.06 技術的な脆弱性の管理 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| 07 脆弱性の管理 | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 技術的な脆弱性の管理 | 欠陥の修復を自動化する | 1.1.0 |
| 07 脆弱性の管理 | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 技術的な脆弱性の管理 | 欠陥修復のベンチマークを確立する | 1.1.0 |
| 07 脆弱性の管理 | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 技術的な脆弱性の管理 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| 07 脆弱性の管理 | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 技術的な脆弱性の管理 | 欠陥の特定と欠陥の修復の間の時間を測定する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 特権機能を監査する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 監査レコードの関連付け | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 監査可能なイベントを決定する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 脅威モデリングを実行する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 監査データを確認する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 悪用からの保護イベントを確認する | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 07 脆弱性の管理 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 技術的な脆弱性の管理 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 07 脆弱性の管理 | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 技術的な脆弱性の管理 | キュリティ コントロールの評価 | 1.1.0 |
| 07 脆弱性の管理 | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 技術的な脆弱性の管理 | セキュリティ評価の結果を配信する | 1.1.0 |
| 07 脆弱性の管理 | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 技術的な脆弱性の管理 | セキュリティ評価計画の作成 | 1.1.0 |
| 07 脆弱性の管理 | 0716.10m3Organizational.1-10.m | 0716.10m3Organizational.1-10.m 10.06 技術的な脆弱性の管理 | セキュリティ評価レポートの生成 | 1.1.0 |
| 07 脆弱性の管理 | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 技術的な脆弱性の管理 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| 07 脆弱性の管理 | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 技術的な脆弱性の管理 | 脅威モデリングを実行する | 1.1.0 |
| 07 脆弱性の管理 | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 技術的な脆弱性の管理 | 欠陥の修復を自動化する | 1.1.0 |
| 07 脆弱性の管理 | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 技術的な脆弱性の管理 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| 07 脆弱性の管理 | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 技術的な脆弱性の管理 | 脅威モデリングを実行する | 1.1.0 |
| 07 脆弱性の管理 | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 技術的な脆弱性の管理 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| 07 脆弱性の管理 | 0719.10m3Organizational.5-10.m | 0719.10m3Organizational.5-10.m 10.06 技術的な脆弱性の管理 | 脅威モデリングを実行する | 1.1.0 |
| 07 脆弱性の管理 | 0720.07a1Organizational.4-07.a | 0720.07a1Organizational.4-07.a 07.01 資産に対する責任 | データ インベントリを作成する | 1.1.0 |
| 07 脆弱性の管理 | 0720.07a1Organizational.4-07.a | 0720.07a1Organizational.4-07.a 07.01 資産に対する責任 | 個人データの処理に関する記録を保持する | 1.1.0 |
| 07 脆弱性の管理 | 0722.07a1Organizational.67-07.a | 0722.07a1Organizational.67-07.a 07.01 資産に対する責任 | 知的財産権の遵守を必須にする | 1.1.0 |
| 07 脆弱性の管理 | 0722.07a1Organizational.67-07.a | 0722.07a1Organizational.67-07.a 07.01 資産に対する責任 | オープン ソース ソフトウェアの使用を制限する | 1.1.0 |
| 07 脆弱性の管理 | 0722.07a1Organizational.67-07.a | 0722.07a1Organizational.67-07.a 07.01 資産に対する責任 | ソフトウェア ライセンスの使用を追跡する | 1.1.0 |
| 07 脆弱性の管理 | 0723.07a1Organizational.8-07.a | 0723.07a1Organizational.8-07.a 07.01 資産に対する責任 | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| 07 脆弱性の管理 | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 資産に対する責任 | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| 07 脆弱性の管理 | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 資産に対する責任 | ゲートウェイを管理する | 1.1.0 |
| 07 脆弱性の管理 | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 資産に対する責任 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 07 脆弱性の管理 | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 資産に対する責任 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 07 脆弱性の管理 | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 資産に対する責任 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 07 脆弱性の管理 | 0724.07a3Organizational.4-07.a | 0724.07a3Organizational.4-07.a 07.01 資産に対する責任 | ウイルス対策定義を更新する | 1.1.0 |
| 07 脆弱性の管理 | 0725.07a3Organizational.5-07.a | 0725.07a3Organizational.5-07.a 07.01 資産に対する責任 | データ インベントリを作成する | 1.1.0 |
| 07 脆弱性の管理 | 0725.07a3Organizational.5-07.a | 0725.07a3Organizational.5-07.a 07.01 資産に対する責任 | 資産インベントリの確立と管理 | 1.1.0 |
| 07 脆弱性の管理 | 0725.07a3Organizational.5-07.a | 0725.07a3Organizational.5-07.a 07.01 資産に対する責任 | 個人データの処理に関する記録を保持する | 1.1.0 |
| 07 脆弱性の管理 | 0733.10b2System.4-10.b | 0733.10b2System.4-10.b 10.02 アプリケーションでの正しい処理 | 情報入力の検証を実行 | 1.1.0 |
| 07 脆弱性の管理 | 0733.10b2System.4-10.b | 0733.10b2System.4-10.b 10.02 アプリケーションでの正しい処理 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 07 脆弱性の管理 | 0786.10m2Organizational.13-10.m | 0786.10m2Organizational.13-10.m 10.06 技術的な脆弱性の管理 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| 07 脆弱性の管理 | 0787.10m2Organizational.14-10.m | 0787.10m2Organizational.14-10.m 10.06 技術的な脆弱性の管理 | 欠陥の修復を自動化する | 1.1.0 |
| 07 脆弱性の管理 | 0787.10m2Organizational.14-10.m | 0787.10m2Organizational.14-10.m 10.06 技術的な脆弱性の管理 | 欠陥修復のベンチマークを確立する | 1.1.0 |
| 07 脆弱性の管理 | 0787.10m2Organizational.14-10.m | 0787.10m2Organizational.14-10.m 10.06 技術的な脆弱性の管理 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| 07 脆弱性の管理 | 0787.10m2Organizational.14-10.m | 0787.10m2Organizational.14-10.m 10.06 技術的な脆弱性の管理 | 欠陥の特定と欠陥の修復の間の時間を測定する | 1.1.0 |
| 07 脆弱性の管理 | 0788.10m3Organizational.20-10.m | 0788.10m3Organizational.20-10.m 10.06 技術的な脆弱性の管理 | 侵入テストに別個のチームを採用する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | 特権機能を監査する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | 監査レコードの関連付け | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | 監査可能なイベントを決定する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | 脅威モデリングを実行する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | 監査データを確認する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | 悪用からの保護イベントを確認する | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 07 脆弱性の管理 | 0790.10m3Organizational.22-10.m | 0790.10m3Organizational.22-10.m 10.06 技術的な脆弱性の管理 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 07 脆弱性の管理 | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 アプリケーションでの正しい処理 | コーディングの脆弱性に対処する | 1.1.0 |
| 07 脆弱性の管理 | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 アプリケーションでの正しい処理 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| 07 脆弱性の管理 | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 アプリケーションでの正しい処理 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 07 脆弱性の管理 | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 アプリケーションでの正しい処理 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| 07 脆弱性の管理 | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 アプリケーションでの正しい処理 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| 07 脆弱性の管理 | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 アプリケーションでの正しい処理 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| 07 脆弱性の管理 | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 アプリケーションでの正しい処理 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 07 脆弱性の管理 | 0791.10b2Organizational.4-10.b | 0791.10b2Organizational.4-10.b 10.02 アプリケーションでの正しい処理 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 08 ネットワーク保護 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 ネットワーク アクセス制御 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 ネットワーク アクセス制御 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 ネットワーク アクセス制御 | SecurID システム、セキュリティ インシデント管理システムを分離する | 1.1.0 |
| 08 ネットワーク保護 | 0808.10b2System.3-10.b | 0808.10b2System.3-10.b 10.02 アプリケーションでの正しい処理 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0808.10b2System.3-10.b | 0808.10b2System.3-10.b 10.02 アプリケーションでの正しい処理 | 認証済みプロキシ ネットワーク経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | VoIP の承認、監視、制御 | 1.1.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | ゲートウェイを管理する | 1.1.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | 暗号化の使用を定義する | 1.1.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 08 ネットワーク保護 | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 08 ネットワーク保護 | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 08 ネットワーク保護 | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 08 ネットワーク保護 | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | 資産の輸送を管理する | 1.1.0 |
| 08 ネットワーク保護 | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 08 ネットワーク保護 | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 08 ネットワーク保護 | 08101.09m2Organizational.14-09.m | 08101.09m2Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 08102.09nCSPOrganizational.1-09.n | 08102.09nCSPOrganizational.1-09.n 09.06 ネットワークのセキュリティ管理 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 08102.09nCSPOrganizational.1-09.n | 08102.09nCSPOrganizational.1-09.n 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | VoIP の承認、監視、制御 | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | 情報フローを制御する | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | 情報保護のニーズを把握する | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 | リモート デバイスの分割トンネリングの防止 | 1.1.0 |
| 08 ネットワーク保護 | 0815.01o2Organizational.123-01.o | 0815.01o2Organizational.123-01.o 01.04 ネットワーク アクセス制御 | VoIP の承認、監視、制御 | 1.1.0 |
| 08 ネットワーク保護 | 0815.01o2Organizational.123-01.o | 0815.01o2Organizational.123-01.o 01.04 ネットワーク アクセス制御 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0815.01o2Organizational.123-01.o | 0815.01o2Organizational.123-01.o 01.04 ネットワーク アクセス制御 | 認証済みプロキシ ネットワーク経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0815.01o2Organizational.123-01.o | 0815.01o2Organizational.123-01.o 01.04 ネットワーク アクセス制御 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 アプリケーションおよび情報アクセス制御 | 基準を満たす SSP の開発 | 1.1.0 |
| 08 ネットワーク保護 | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 アプリケーションおよび情報アクセス制御 | 情報システムのドキュメントを配布する | 1.1.0 |
| 08 ネットワーク保護 | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 アプリケーションおよび情報アクセス制御 | 顧客によって定義されたアクションを文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 アプリケーションおよび情報アクセス制御 | 管理者向けドキュメントを取得する | 1.1.0 |
| 08 ネットワーク保護 | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 アプリケーションおよび情報アクセス制御 | ユーザー セキュリティ機能のドキュメントを取得する | 1.1.0 |
| 08 ネットワーク保護 | 0816.01w1System.1-01.w | 0816.01w1System.1-01.w 01.06 アプリケーションおよび情報アクセス制御 | 管理者とユーザーのドキュメントを保護する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | 生体認証メカニズムを採用する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | リモート アクセスを認可する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | 情報フローを制御する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | システムがリソースの動的な分離に対応していることを確認する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | SecurID システム、セキュリティ インシデント管理システムを分離する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | 実行中のプロセス用に個別の実行ドメインを維持する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| 08 ネットワーク保護 | 0817.01w2System.123-01.w | 0817.01w2System.123-01.w 01.06 アプリケーションおよび情報アクセス制御 | 管理タスクに専用マシンを使用する | 1.1.0 |
| 08 ネットワーク保護 | 0818.01w3System.12-01.w | 0818.01w3System.12-01.w 01.06 アプリケーションおよび情報アクセス制御 | リソースの割り当てを管理する | 1.1.0 |
| 08 ネットワーク保護 | 0818.01w3System.12-01.w | 0818.01w3System.12-01.w 01.06 アプリケーションおよび情報アクセス制御 | 実行中のプロセス用に個別の実行ドメインを維持する | 1.1.0 |
| 08 ネットワーク保護 | 0818.01w3System.12-01.w | 0818.01w3System.12-01.w 01.06 アプリケーションおよび情報アクセス制御 | 可用性と容量を管理する | 1.1.0 |
| 08 ネットワーク保護 | 0818.01w3System.12-01.w | 0818.01w3System.12-01.w 01.06 アプリケーションおよび情報アクセス制御 | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0819.09m1Organizational.23-09.m | 0819.09m1Organizational.23-09.m 09.06 ネットワークのセキュリティ管理 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 08 ネットワーク保護 | 0819.09m1Organizational.23-09.m | 0819.09m1Organizational.23-09.m 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | セキュリティへの影響分析を実施する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 構成プランの保護を作成する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | ベースライン構成を作成して維持する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 構成項目の識別計画を策定する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 構成管理計画を策定する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | セキュリティ構成の設定を適用する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 構成コントロール ボードを設立する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | リスク管理戦略の確立 | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 構成管理計画を策定して文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 自動構成管理ツールを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | プライバシー影響評価を実行する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | リスク評価を実行する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 構成変更制御の監査を実行する | 1.1.0 |
| 08 ネットワーク保護 | 0821.09m2Organizational.2-09.m | 0821.09m2Organizational.2-09.m 09.06 ネットワークのセキュリティ管理 | 承認されていない変更の変更を確認する | 1.1.0 |
| 08 ネットワーク保護 | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | VoIP の承認、監視、制御 | 1.1.0 |
| 08 ネットワーク保護 | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | 情報フローを制御する | 1.1.0 |
| 08 ネットワーク保護 | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 08 ネットワーク保護 | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | 認証済みプロキシ ネットワーク経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0822.09m2Organizational.4-09.m | 0822.09m2Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 ネットワークのセキュリティ管理 | リスク評価を実施する | 1.1.0 |
| 08 ネットワーク保護 | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 ネットワークのセキュリティ管理 | リスク評価を実施して結果を配布する | 1.1.0 |
| 08 ネットワーク保護 | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 ネットワークのセキュリティ管理 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 ネットワークのセキュリティ管理 | 検出ホワイトリストを構成する | 1.1.0 |
| 08 ネットワーク保護 | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 ネットワークのセキュリティ管理 | 代替処理サイトを確立する | 1.1.0 |
| 08 ネットワーク保護 | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 ネットワークのセキュリティ管理 | リスク評価を実行する | 1.1.0 |
| 08 ネットワーク保護 | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 ネットワークのセキュリティ管理 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 08 ネットワーク保護 | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 ネットワークのセキュリティ管理 | バックアップ情報を個別に保存する | 1.1.0 |
| 08 ネットワーク保護 | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 ネットワークのセキュリティ管理 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 08 ネットワーク保護 | 0824.09m3Organizational.1-09.m | 0824.09m3Organizational.1-09.m 09.06 ネットワークのセキュリティ管理 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 08 ネットワーク保護 | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 ネットワークのセキュリティ管理 | VoIP の承認、監視、制御 | 1.1.0 |
| 08 ネットワーク保護 | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 ネットワークのセキュリティ管理 | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 08 ネットワーク保護 | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 ネットワークのセキュリティ管理 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 ネットワークのセキュリティ管理 | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| 08 ネットワーク保護 | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 ネットワークのセキュリティ管理 | 必要に応じて監視情報を提供する | 1.1.0 |
| 08 ネットワーク保護 | 0825.09m3Organizational.23-09.m | 0825.09m3Organizational.23-09.m 09.06 ネットワークのセキュリティ管理 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0826.09m3Organizational.45-09.m | 0826.09m3Organizational.45-09.m 09.06 ネットワークのセキュリティ管理 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0826.09m3Organizational.45-09.m | 0826.09m3Organizational.45-09.m 09.06 ネットワークのセキュリティ管理 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0826.09m3Organizational.45-09.m | 0826.09m3Organizational.45-09.m 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0828.09m3Organizational.8-09.m | 0828.09m3Organizational.8-09.m 09.06 ネットワークのセキュリティ管理 | 承認されていない変更の変更を確認する | 1.1.0 |
| 08 ネットワーク保護 | 0829.09m3Organizational.911-09.m | 0829.09m3Organizational.911-09.m 09.06 ネットワークのセキュリティ管理 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0829.09m3Organizational.911-09.m | 0829.09m3Organizational.911-09.m 09.06 ネットワークのセキュリティ管理 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 ネットワークのセキュリティ管理 | 生体認証メカニズムを採用する | 1.1.0 |
| 08 ネットワーク保護 | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 ネットワークのセキュリティ管理 | VoIP の承認、監視、制御 | 1.1.0 |
| 08 ネットワーク保護 | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 ネットワークのセキュリティ管理 | ユーザーの一意性を徹底する | 1.1.0 |
| 08 ネットワーク保護 | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 ネットワークのセキュリティ管理 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 ネットワークのセキュリティ管理 | システム境界の保護を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 ネットワークのセキュリティ管理 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0830.09m3Organizational.1012-09.m | 0830.09m3Organizational.1012-09.m 09.06 ネットワークのセキュリティ管理 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 08 ネットワーク保護 | 0832.09m3Organizational.14-09.m | 0832.09m3Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0832.09m3Organizational.14-09.m | 0832.09m3Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 08 ネットワーク保護 | 0832.09m3Organizational.14-09.m | 0832.09m3Organizational.14-09.m 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| 08 ネットワーク保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | 検出ホワイトリストを構成する | 1.1.0 |
| 08 ネットワーク保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 08 ネットワーク保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 08 ネットワーク保護 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 08 ネットワーク保護 | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 08 ネットワーク保護 | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 08 ネットワーク保護 | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 政府機関の監督を定義して文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | サプライヤー契約の義務を決定する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 外部サービス プロバイダーを識別する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 08 ネットワーク保護 | 0837.09.n2Organizational.2-09.n | 0837.09.n2Organizational.2-09.n 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| 08 ネットワーク保護 | 0850.01o1Organizational.12-01.o | 0850.01o1Organizational.12-01.o 01.04 ネットワーク アクセス制御 | 認証済みプロキシ ネットワーク経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 08 ネットワーク保護 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセスを保護する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | 情報フローを制御する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | 職務の分離について文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 ネットワークのセキュリティ管理 | 個人の職務を分離する | 1.1.0 |
| 08 ネットワーク保護 | 0860.09m1Organizational.9-09.m | 0860.09m1Organizational.9-09.m 09.06 ネットワークのセキュリティ管理 | 代替処理サイトを確立する | 1.1.0 |
| 08 ネットワーク保護 | 0860.09m1Organizational.9-09.m | 0860.09m1Organizational.9-09.m 09.06 ネットワークのセキュリティ管理 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0860.09m1Organizational.9-09.m | 0860.09m1Organizational.9-09.m 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0860.09m1Organizational.9-09.m | 0860.09m1Organizational.9-09.m 09.06 ネットワークのセキュリティ管理 | バックアップ情報を個別に保存する | 1.1.0 |
| 08 ネットワーク保護 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 08 ネットワーク保護 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 08 ネットワーク保護 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 | 組織外のユーザーを識別して認証する | 1.1.0 |
| 08 ネットワーク保護 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 | ワイヤレス アクセスを保護する | 1.1.0 |
| 08 ネットワーク保護 | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 ネットワークのセキュリティ管理 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 08 ネットワーク保護 | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 ネットワークのセキュリティ管理 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 08 ネットワーク保護 | 0862.09m2Organizational.8-09.m | 0862.09m2Organizational.8-09.m 09.06 ネットワークのセキュリティ管理 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | セキュリティへの影響分析を実施する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | ベースライン構成を作成して維持する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 構成項目の識別計画を策定する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 基準を満たす SSP の開発 | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | セキュリティ構成の設定を適用する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 構成コントロール ボードを設立する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | プライバシー プログラムを確立する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | リスク管理戦略の確立 | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 構成管理計画を策定して文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 自動構成管理ツールを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | プライバシー影響評価を実行する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | リスク評価を実行する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 構成変更制御の監査を実行する | 1.1.0 |
| 08 ネットワーク保護 | 0863.09m2Organizational.910-09.m | 0863.09m2Organizational.910-09.m 09.06 ネットワークのセキュリティ管理 | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| 08 ネットワーク保護 | 0864.09m2Organizational.12-09.m | 0864.09m2Organizational.12-09.m 09.06 ネットワークのセキュリティ管理 | VoIP の承認、監視、制御 | 1.1.0 |
| 08 ネットワーク保護 | 0864.09m2Organizational.12-09.m | 0864.09m2Organizational.12-09.m 09.06 ネットワークのセキュリティ管理 | VoIP の使用制限を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0864.09m2Organizational.12-09.m | 0864.09m2Organizational.12-09.m 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0865.09m2Organizational.13-09.m | 0865.09m2Organizational.13-09.m 09.06 ネットワークのセキュリティ管理 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 08 ネットワーク保護 | 0865.09m2Organizational.13-09.m | 0865.09m2Organizational.13-09.m 09.06 ネットワークのセキュリティ管理 | 外部システムの相互接続に制限を適用する | 1.1.0 |
| 08 ネットワーク保護 | 0865.09m2Organizational.13-09.m | 0865.09m2Organizational.13-09.m 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 08 ネットワーク保護 | 0865.09m2Organizational.13-09.m | 0865.09m2Organizational.13-09.m 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| 08 ネットワーク保護 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 ネットワークのセキュリティ管理 | VoIP の承認、監視、制御 | 1.1.0 |
| 08 ネットワーク保護 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 ネットワークのセキュリティ管理 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 08 ネットワーク保護 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 ネットワークのセキュリティ管理 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 08 ネットワーク保護 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 ネットワークのセキュリティ管理 | 基準を満たす SSP の開発 | 1.1.0 |
| 08 ネットワーク保護 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 ネットワークのセキュリティ管理 | プライバシー プログラムを確立する | 1.1.0 |
| 08 ネットワーク保護 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 ネットワークのセキュリティ管理 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 08 ネットワーク保護 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 ネットワークのセキュリティ管理 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 08 ネットワーク保護 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 ネットワークのセキュリティ管理 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 08 ネットワーク保護 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 ネットワークのセキュリティ管理 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0868.09m3Organizational.18-09.m | 0868.09m3Organizational.18-09.m 09.06 ネットワークのセキュリティ管理 | VoIP の承認、監視、制御 | 1.1.0 |
| 08 ネットワーク保護 | 0868.09m3Organizational.18-09.m | 0868.09m3Organizational.18-09.m 09.06 ネットワークのセキュリティ管理 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0868.09m3Organizational.18-09.m | 0868.09m3Organizational.18-09.m 09.06 ネットワークのセキュリティ管理 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0868.09m3Organizational.18-09.m | 0868.09m3Organizational.18-09.m 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 ネットワークのセキュリティ管理 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 08 ネットワーク保護 | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 ネットワークのセキュリティ管理 | 構成プランの保護を作成する | 1.1.0 |
| 08 ネットワーク保護 | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 ネットワークのセキュリティ管理 | ベースライン構成を作成して維持する | 1.1.0 |
| 08 ネットワーク保護 | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 ネットワークのセキュリティ管理 | 構成項目の識別計画を策定する | 1.1.0 |
| 08 ネットワーク保護 | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 ネットワークのセキュリティ管理 | 構成管理計画を策定する | 1.1.0 |
| 08 ネットワーク保護 | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 ネットワークのセキュリティ管理 | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| 08 ネットワーク保護 | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 ネットワークのセキュリティ管理 | セキュリティ構成の設定を適用する | 1.1.0 |
| 08 ネットワーク保護 | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 ネットワークのセキュリティ管理 | 構成コントロール ボードを設立する | 1.1.0 |
| 08 ネットワーク保護 | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 ネットワークのセキュリティ管理 | 構成管理計画を策定して文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0869.09m3Organizational.19-09.m | 0869.09m3Organizational.19-09.m 09.06 ネットワークのセキュリティ管理 | 自動構成管理ツールを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 ネットワークのセキュリティ管理 | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 08 ネットワーク保護 | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 ネットワークのセキュリティ管理 | ユーザーの一意性を徹底する | 1.1.0 |
| 08 ネットワーク保護 | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 ネットワークのセキュリティ管理 | 組織外のユーザーを識別して認証する | 1.1.0 |
| 08 ネットワーク保護 | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 ネットワークのセキュリティ管理 | 外部サービス プロバイダーを識別する | 1.1.0 |
| 08 ネットワーク保護 | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 ネットワークのセキュリティ管理 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 ネットワークのセキュリティ管理 | 認証済みプロキシ ネットワーク経由でトラフィックをルーティングする | 1.1.0 |
| 08 ネットワーク保護 | 0870.09m3Organizational.20-09.m | 0870.09m3Organizational.20-09.m 09.06 ネットワークのセキュリティ管理 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 08 ネットワーク保護 | 0871.09m3Organizational.22-09.m | 0871.09m3Organizational.22-09.m 09.06 ネットワークのセキュリティ管理 | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| 08 ネットワーク保護 | 0871.09m3Organizational.22-09.m | 0871.09m3Organizational.22-09.m 09.06 ネットワークのセキュリティ管理 | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| 08 ネットワーク保護 | 0871.09m3Organizational.22-09.m | 0871.09m3Organizational.22-09.m 09.06 ネットワークのセキュリティ管理 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 08 ネットワーク保護 | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 08 ネットワーク保護 | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 ネットワークのセキュリティ管理 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| 08 ネットワーク保護 | 0886.09n2Organizational.4-09.n | 0886.09n2Organizational.4-09.n 09.06 ネットワークのセキュリティ管理 | 外部システムの相互接続に制限を適用する | 1.1.0 |
| 08 ネットワーク保護 | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 ネットワークのセキュリティ管理 | SDLC ポート、プロトコル、サービスの識別を開発者に要求する | 1.1.0 |
| 08 ネットワーク保護 | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 ネットワークのセキュリティ管理 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 政府機関の監督を定義して文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | サプライヤー契約の義務を決定する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 08 ネットワーク保護 | 0888.09n2Organizational.6-09.n | 0888.09n2Organizational.6-09.n 09.06 ネットワークのセキュリティ管理 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | アクセスを認可および管理する | 1.1.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | 論理アクセスを強制する | 1.1.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | アカウント作成の承認を必要とする | 1.1.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | 認証済みプロキシ ネットワーク経由でトラフィックをルーティングする | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 情報の分類 | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 利用規約と手順を作成する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | ベースライン構成を作成して維持する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | ビジネス分類スキームを作成する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | セキュリティ構成の設定を適用する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | セキュリティ分類が承認されていることを確認する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 構成コントロール ボードを設立する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | データ漏えいの管理手順を確立する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 構成管理計画を策定して文書化する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 自動構成管理ツールを実装する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 情報入力の検証を実行 | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 不正行為を禁止する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 特別な情報を保護する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | ラベル アクティビティと分析を確認する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | ウイルス対策定義を更新する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | リモート アクセスを認可する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | 特権コマンドへのリモート アクセスを承認する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | モビリティ トレーニングを文書化する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | 組織全体のアクセスを監視する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | リモート アクセスを切断または無効にする機能を提供する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 09 伝送保護 | 0903.10f1Organizational.1-10.f | 0903.10f1Organizational.1-10.f 10.03 暗号化の制御 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 0903.10f1Organizational.1-10.f | 0903.10f1Organizational.1-10.f 10.03 暗号化の制御 | 暗号化の使用を定義する | 1.1.0 |
| 09 伝送保護 | 0903.10f1Organizational.1-10.f | 0903.10f1Organizational.1-10.f 10.03 暗号化の制御 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 09 伝送保護 | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 暗号化の制御 | 暗号化モジュールに対して認証する | 1.1.0 |
| 09 伝送保護 | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 暗号化の制御 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 09 伝送保護 | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 暗号化の制御 | 暗号化の使用を定義する | 1.1.0 |
| 09 伝送保護 | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 暗号化の制御 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 09 伝送保護 | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 暗号化の制御 | アサーション要件を決定する | 1.1.0 |
| 09 伝送保護 | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 暗号化の制御 | 公開キー証明書を発行する | 1.1.0 |
| 09 伝送保護 | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 暗号化の制御 | 対称暗号化キーを管理する | 1.1.0 |
| 09 伝送保護 | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 暗号化の制御 | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 09 伝送保護 | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 暗号化の制御 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 09 伝送保護 | 0904.10f2Organizational.1-10.f | 0904.10f2Organizational.1-10.f 10.03 暗号化の制御 | 秘密キーへのアクセスを制限する | 1.1.0 |
| 09 伝送保護 | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 情報交換 | リモート アクセスを認可する | 1.1.0 |
| 09 伝送保護 | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 情報交換 | モビリティ トレーニングを文書化する | 1.1.0 |
| 09 伝送保護 | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 情報交換 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 09 伝送保護 | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 情報交換 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 09 伝送保護 | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 情報交換 | 組織全体のアクセスを監視する | 1.1.0 |
| 09 伝送保護 | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 情報交換 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 09 伝送保護 | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 情報交換 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 09 伝送保護 | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 情報交換 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 09 伝送保護 | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 情報交換 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 情報交換 | 暗号化の使用を定義する | 1.1.0 |
| 09 伝送保護 | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 情報交換 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 09 伝送保護 | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 情報交換 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 09 伝送保護 | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 情報交換 | キュリティ コントロールの評価 | 1.1.0 |
| 09 伝送保護 | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 情報交換 | セキュリティ評価の結果を配信する | 1.1.0 |
| 09 伝送保護 | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 情報交換 | セキュリティ評価計画の作成 | 1.1.0 |
| 09 伝送保護 | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 情報交換 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| 09 伝送保護 | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 情報交換 | セキュリティ評価レポートの生成 | 1.1.0 |
| 09 伝送保護 | 0914.09s1Organizational.6-09.s | 0914.09s1Organizational.6-09.s 09.08 情報交換 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 09 伝送保護 | 0915.09s2Organizational.2-09.s | 0915.09s2Organizational.2-09.s 09.08 情報交換 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 09 伝送保護 | 0915.09s2Organizational.2-09.s | 0915.09s2Organizational.2-09.s 09.08 情報交換 | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| 09 伝送保護 | 0915.09s2Organizational.2-09.s | 0915.09s2Organizational.2-09.s 09.08 情報交換 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| 09 伝送保護 | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 情報交換 | 生体認証メカニズムを採用する | 1.1.0 |
| 09 伝送保護 | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 情報交換 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 09 伝送保護 | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 情報交換 | コラボレーション コンピューティング デバイスの使用を明示的に通知する | 1.1.1 |
| 09 伝送保護 | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 情報交換 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 09 伝送保護 | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 情報交換 | コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | 1.1.0 |
| 09 伝送保護 | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 情報交換 | メディアの使用を制限する | 1.1.0 |
| 09 伝送保護 | 0926.09v1Organizational.2-09.v | 0926.09v1Organizational.2-09.v 09.08 情報交換 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 0926.09v1Organizational.2-09.v | 0926.09v1Organizational.2-09.v 09.08 情報交換 | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| 09 伝送保護 | 0926.09v1Organizational.2-09.v | 0926.09v1Organizational.2-09.v 09.08 情報交換 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 09 伝送保護 | 0926.09v1Organizational.2-09.v | 0926.09v1Organizational.2-09.v 09.08 情報交換 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 09 伝送保護 | 0926.09v1Organizational.2-09.v | 0926.09v1Organizational.2-09.v 09.08 情報交換 | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| 09 伝送保護 | 0927.09v1Organizational.3-09.v | 0927.09v1Organizational.3-09.v 09.08 情報交換 | 生体認証メカニズムを採用する | 1.1.0 |
| 09 伝送保護 | 0927.09v1Organizational.3-09.v | 0927.09v1Organizational.3-09.v 09.08 情報交換 | ユーザーの一意性を徹底する | 1.1.0 |
| 09 伝送保護 | 0927.09v1Organizational.3-09.v | 0927.09v1Organizational.3-09.v 09.08 情報交換 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 09 伝送保護 | 0927.09v1Organizational.3-09.v | 0927.09v1Organizational.3-09.v 09.08 情報交換 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 09 伝送保護 | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 情報交換 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 情報交換 | 情報フローを制御する | 1.1.0 |
| 09 伝送保護 | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 情報交換 | 暗号化の使用を定義する | 1.1.0 |
| 09 伝送保護 | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 情報交換 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 09 伝送保護 | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 情報交換 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 09 伝送保護 | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 情報交換 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 09 伝送保護 | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 情報交換 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 09 伝送保護 | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 情報交換 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 09 伝送保護 | 0928.09v1Organizational.45-09.v | 0928.09v1Organizational.45-09.v 09.08 情報交換 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 09 伝送保護 | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 情報交換 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 情報交換 | 情報フローを制御する | 1.1.0 |
| 09 伝送保護 | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 情報交換 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 09 伝送保護 | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 情報交換 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 09 伝送保護 | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 情報交換 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 09 伝送保護 | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 情報交換 | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| 09 伝送保護 | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 情報交換 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 09 伝送保護 | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 情報交換 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 09 伝送保護 | 0929.09v1Organizational.6-09.v | 0929.09v1Organizational.6-09.v 09.08 情報交換 | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| 09 伝送保護 | 0943.09y1Organizational.1-09.y | 0943.09y1Organizational.1-09.y 09.09 電子商取引サービス | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 0943.09y1Organizational.1-09.y | 0943.09y1Organizational.1-09.y 09.09 電子商取引サービス | PII の整合性を確保するための手順を文書化する | 1.1.0 |
| 09 伝送保護 | 0943.09y1Organizational.1-09.y | 0943.09y1Organizational.1-09.y 09.09 電子商取引サービス | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 09 伝送保護 | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 電子商取引サービス | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 電子商取引サービス | 情報フローを制御する | 1.1.0 |
| 09 伝送保護 | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 電子商取引サービス | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| 09 伝送保護 | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 電子商取引サービス | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 09 伝送保護 | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 電子商取引サービス | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 09 伝送保護 | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 電子商取引サービス | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 09 伝送保護 | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 電子商取引サービス | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 09 伝送保護 | 0944.09y1Organizational.2-09.y | 0944.09y1Organizational.2-09.y 09.09 電子商取引サービス | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| 09 伝送保護 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 電子商取引サービス | 暗号化モジュールに対して認証する | 1.1.0 |
| 09 伝送保護 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 電子商取引サービス | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 電子商取引サービス | 暗号化の使用を定義する | 1.1.0 |
| 09 伝送保護 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 電子商取引サービス | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 09 伝送保護 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 電子商取引サービス | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 09 伝送保護 | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 電子商取引サービス | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 09 伝送保護 | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 電子商取引サービス | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 09 伝送保護 | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 電子商取引サービス | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| 09 伝送保護 | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 電子商取引サービス | データ漏えいの管理手順を確立する | 1.1.0 |
| 09 伝送保護 | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 電子商取引サービス | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| 09 伝送保護 | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 電子商取引サービス | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 09 伝送保護 | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 電子商取引サービス | 資産の輸送を管理する | 1.1.0 |
| 09 伝送保護 | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 電子商取引サービス | 特別な情報を保護する | 1.1.0 |
| 09 伝送保護 | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 電子商取引サービス | 情報処理、保存、サービスの場所を制限する | 1.1.0 |
| 09 伝送保護 | 0947.09y2Organizational.2-09.y | 0947.09y2Organizational.2-09.y 09.09 電子商取引サービス | 代替ストレージ サイトにバックアップ情報を転送する | 1.1.0 |
| 09 伝送保護 | 0948.09y2Organizational.3-09.y | 0948.09y2Organizational.3-09.y 09.09 電子商取引サービス | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 0948.09y2Organizational.3-09.y | 0948.09y2Organizational.3-09.y 09.09 電子商取引サービス | 認証子の配布 | 1.1.0 |
| 09 伝送保護 | 0948.09y2Organizational.3-09.y | 0948.09y2Organizational.3-09.y 09.09 電子商取引サービス | ランダムな一意のセッション識別子を適用する | 1.1.0 |
| 09 伝送保護 | 0948.09y2Organizational.3-09.y | 0948.09y2Organizational.3-09.y 09.09 電子商取引サービス | 公開キー証明書を発行する | 1.1.0 |
| 09 伝送保護 | 0948.09y2Organizational.3-09.y | 0948.09y2Organizational.3-09.y 09.09 電子商取引サービス | トークンの品質要件を満たす | 1.1.0 |
| 09 伝送保護 | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 電子商取引サービス | 外部サービス プロバイダーを識別する | 1.1.0 |
| 09 伝送保護 | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 電子商取引サービス | SDLC ポート、プロトコル、サービスの識別を開発者に要求する | 1.1.0 |
| 09 伝送保護 | 0960.09sCSPOrganizational.1-09.s | 0960.09sCSPOrganizational.1-09.s 09.08 情報交換 | 外部サービス プロバイダーを識別する | 1.1.0 |
| 09 伝送保護 | 099.09m2Organizational.11-09.m | 099.09m2Organizational.11-09.m 09.06 ネットワークのセキュリティ管理 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 09 伝送保護 | 099.09m2Organizational.11-09.m | 099.09m2Organizational.11-09.m 09.06 ネットワークのセキュリティ管理 | 暗号化の使用を定義する | 1.1.0 |
| 09 伝送保護 | 099.09m2Organizational.11-09.m | 099.09m2Organizational.11-09.m 09.06 ネットワークのセキュリティ管理 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 10. パスワード管理 | 1002.01d1System.1-01.d | 1002.01d1System.1-01.d 01.02 情報システムへの認可済みアクセス | 認証処理中にフィードバック情報を隠す | 1.1.0 |
| 10. パスワード管理 | 1002.01d1System.1-01.d | 1002.01d1System.1-01.d 01.02 情報システムへの認可済みアクセス | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 10. パスワード管理 | 1003.01d1System.3-01.d | 1003.01d1System.3-01.d 01.02 情報システムへの認可済みアクセス | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 10. パスワード管理 | 1003.01d1System.3-01.d | 1003.01d1System.3-01.d 01.02 情報システムへの認可済みアクセス | 認証子を最新の情報に更新 | 1.1.0 |
| 10. パスワード管理 | 1003.01d1System.3-01.d | 1003.01d1System.3-01.d 01.02 情報システムへの認可済みアクセス | 認証子を配布する前に ID を確認する | 1.1.0 |
| 10. パスワード管理 | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 情報システムへの認可済みアクセス | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 10. パスワード管理 | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 情報システムへの認可済みアクセス | パスワード ポリシーの確立 | 1.1.0 |
| 10. パスワード管理 | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 情報システムへの認可済みアクセス | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 10. パスワード管理 | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 情報システムへの認可済みアクセス | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 10. パスワード管理 | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 情報システムへの認可済みアクセス | 認証子の管理 | 1.1.0 |
| 10. パスワード管理 | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 情報システムへの認可済みアクセス | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 10. パスワード管理 | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 情報システムへの認可済みアクセス | 認証子を最新の情報に更新 | 1.1.0 |
| 10. パスワード管理 | 1004.01d1System.8913-01.d | 1004.01d1System.8913-01.d 01.02 情報システムへの認可済みアクセス | 認証子を配布する前に ID を確認する | 1.1.0 |
| 10. パスワード管理 | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 情報システムへの認可済みアクセス | 暗号化モジュールに対して認証する | 1.1.0 |
| 10. パスワード管理 | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 情報システムへの認可済みアクセス | 暗号化の使用を定義する | 1.1.0 |
| 10. パスワード管理 | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 情報システムへの認可済みアクセス | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 10. パスワード管理 | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 情報システムへの認可済みアクセス | パスワード ポリシーの確立 | 1.1.0 |
| 10. パスワード管理 | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 情報システムへの認可済みアクセス | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 10. パスワード管理 | 1005.01d1System.1011-01.d | 1005.01d1System.1011-01.d 01.02 情報システムへの認可済みアクセス | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 10. パスワード管理 | 1006.01d2System.1-01.d | 1006.01d2System.1-01.d 01.02 情報システムへの認可済みアクセス | 暗号化されていない静的認証子がないことを確認する | 1.1.0 |
| 10. パスワード管理 | 1006.01d2System.1-01.d | 1006.01d2System.1-01.d 01.02 情報システムへの認可済みアクセス | エラー メッセージの生成 | 1.1.0 |
| 10. パスワード管理 | 1006.01d2System.1-01.d | 1006.01d2System.1-01.d 01.02 情報システムへの認可済みアクセス | 組織外のユーザーを識別して認証する | 1.1.0 |
| 10. パスワード管理 | 1006.01d2System.1-01.d | 1006.01d2System.1-01.d 01.02 情報システムへの認可済みアクセス | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 10. パスワード管理 | 1006.01d2System.1-01.d | 1006.01d2System.1-01.d 01.02 情報システムへの認可済みアクセス | 認証処理中にフィードバック情報を隠す | 1.1.0 |
| 10. パスワード管理 | 1007.01d2System.2-01.d | 1007.01d2System.2-01.d 01.02 情報システムへの認可済みアクセス | 暗号化の使用を定義する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 利用規約と手順を作成する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 組織のアクセス契約を文書化する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 行動規範とアクセス契約を適用する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | データ漏えいの管理手順を確立する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 不正行為を禁止する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 特別な情報を保護する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | ユーザーがアクセス契約に署名することを必須にする | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 改訂された行動規範を確認して署名する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 組織のアクセス契約を更新する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 行動規範とアクセス契約を更新する | 1.1.0 |
| 10. パスワード管理 | 1008.01d2System.3-01.d | 1008.01d2System.3-01.d 01.02 情報システムへの認可済みアクセス | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 10. パスワード管理 | 1009.01d2System.4-01.d | 1009.01d2System.4-01.d 01.02 情報システムへの認可済みアクセス | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 10. パスワード管理 | 1009.01d2System.4-01.d | 1009.01d2System.4-01.d 01.02 情報システムへの認可済みアクセス | パスワード ポリシーの確立 | 1.1.0 |
| 10. パスワード管理 | 1009.01d2System.4-01.d | 1009.01d2System.4-01.d 01.02 情報システムへの認可済みアクセス | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 10. パスワード管理 | 1009.01d2System.4-01.d | 1009.01d2System.4-01.d 01.02 情報システムへの認可済みアクセス | 認証子を最新の情報に更新 | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | パスワード ポリシーの確立 | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | 認証子の種類とプロセスを確立する | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | 認証子の初期配布の手順を確立する | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | 認証子の管理 | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | 認証子を最新の情報に更新 | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 10. パスワード管理 | 1014.01d1System.12-01.d | 1014.01d1System.12-01.d 01.02 情報システムへの認可済みアクセス | 認証子を配布する前に ID を確認する | 1.1.0 |
| 10. パスワード管理 | 1015.01d1System.14-01.d | 1015.01d1System.14-01.d 01.02 情報システムへの認可済みアクセス | 認証子の種類とプロセスを確立する | 1.1.0 |
| 10. パスワード管理 | 1015.01d1System.14-01.d | 1015.01d1System.14-01.d 01.02 情報システムへの認可済みアクセス | 認証子の初期配布の手順を確立する | 1.1.0 |
| 10. パスワード管理 | 1015.01d1System.14-01.d | 1015.01d1System.14-01.d 01.02 情報システムへの認可済みアクセス | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 10. パスワード管理 | 1015.01d1System.14-01.d | 1015.01d1System.14-01.d 01.02 情報システムへの認可済みアクセス | 認証子を配布する前に ID を確認する | 1.1.0 |
| 10. パスワード管理 | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 情報システムへの認可済みアクセス | 生体認証メカニズムを採用する | 1.1.0 |
| 10. パスワード管理 | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 情報システムへの認可済みアクセス | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 10. パスワード管理 | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 情報システムへの認可済みアクセス | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 10. パスワード管理 | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 情報システムへの認可済みアクセス | パスワード ポリシーの確立 | 1.1.0 |
| 10. パスワード管理 | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 情報システムへの認可済みアクセス | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 10. パスワード管理 | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 情報システムへの認可済みアクセス | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 10. パスワード管理 | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 情報システムへの認可済みアクセス | 認証子を最新の情報に更新 | 1.1.0 |
| 10. パスワード管理 | 1022.01d1System.15-01.d | 1022.01d1System.15-01.d 01.02 情報システムへの認可済みアクセス | メディアの使用を制限する | 1.1.0 |
| 10. パスワード管理 | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 情報システムへの認可済みアクセス | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 10. パスワード管理 | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 情報システムへの認可済みアクセス | パスワード ポリシーの確立 | 1.1.0 |
| 10. パスワード管理 | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 情報システムへの認可済みアクセス | 認証子の初期配布の手順を確立する | 1.1.0 |
| 10. パスワード管理 | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 情報システムへの認可済みアクセス | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 10. パスワード管理 | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 情報システムへの認可済みアクセス | 認証子の管理 | 1.1.0 |
| 10. パスワード管理 | 1031.01d1System.34510-01.d | 1031.01d1System.34510-01.d 01.02 情報システムへの認可済みアクセス | 認証子を最新の情報に更新 | 1.1.0 |
| 11 アクセス制御 | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 情報システムへの認可済みアクセス | アカウント マネージャーの割り当て | 1.1.0 |
| 11 アクセス制御 | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 情報システムへの認可済みアクセス | ユーザー アカウントの状態を監査する | 1.1.0 |
| 11 アクセス制御 | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 情報システムへの認可済みアクセス | 情報システム アカウントの種類を定義する | 1.1.0 |
| 11 アクセス制御 | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 情報システムへの認可済みアクセス | アクセス特権の文書化 | 1.1.0 |
| 11 アクセス制御 | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 情報システムへの認可済みアクセス | ロール メンバーシップの条件を確立する | 1.1.0 |
| 11 アクセス制御 | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 情報システムへの認可済みアクセス | アカウント作成の承認を必要とする | 1.1.0 |
| 11 アクセス制御 | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 情報システムへの認可済みアクセス | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセス制御 | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 情報システムへの認可済みアクセス | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 11 アクセス制御 | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 情報システムへの認可済みアクセス | ユーザー アカウントを確認する | 1.1.0 |
| 11 アクセス制御 | 1106.01b1System.1-01.b | 1106.01b1System.1-01.b 01.02 情報システムへの認可済みアクセス | 認証子を配布する前に ID を確認する | 1.1.0 |
| 11 アクセス制御 | 1107.01b1System.2-01.b | 1107.01b1System.2-01.b 01.02 情報システムへの認可済みアクセス | 認証子の種類とプロセスを確立する | 1.1.0 |
| 11 アクセス制御 | 1107.01b1System.2-01.b | 1107.01b1System.2-01.b 01.02 情報システムへの認可済みアクセス | 認証子の初期配布の手順を確立する | 1.1.0 |
| 11 アクセス制御 | 1107.01b1System.2-01.b | 1107.01b1System.2-01.b 01.02 情報システムへの認可済みアクセス | 認証子の管理 | 1.1.0 |
| 11 アクセス制御 | 1107.01b1System.2-01.b | 1107.01b1System.2-01.b 01.02 情報システムへの認可済みアクセス | 認証子を配布する前に ID を確認する | 1.1.0 |
| 11 アクセス制御 | 1108.01b1System.3-01.b | 1108.01b1System.3-01.b 01.02 情報システムへの認可済みアクセス | アカウント マネージャーの割り当て | 1.1.0 |
| 11 アクセス制御 | 1108.01b1System.3-01.b | 1108.01b1System.3-01.b 01.02 情報システムへの認可済みアクセス | 情報システム アカウントの種類を定義する | 1.1.0 |
| 11 アクセス制御 | 1108.01b1System.3-01.b | 1108.01b1System.3-01.b 01.02 情報システムへの認可済みアクセス | アカウント アクティビティを監視する | 1.1.0 |
| 11 アクセス制御 | 1108.01b1System.3-01.b | 1108.01b1System.3-01.b 01.02 情報システムへの認可済みアクセス | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 離職時に離職者面接を実施する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 利用規約と手順を作成する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 終了時に認証子を無効にする | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 行動規範とアクセス契約を適用する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 認証子の管理 | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 終了または転送時に通知する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 不正行為を禁止する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 職員の異動時にアクセスを再評価する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | アカウント作成の承認を必要とする | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 改訂された行動規範を確認して署名する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 行動規範とアクセス契約を更新する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 11 アクセス制御 | 1109.01b1System.479-01.b | 1109.01b1System.479-01.b 01.02 情報システムへの認可済みアクセス | 認証子を配布する前に ID を確認する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | 利用規約と手順を作成する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | 行動規範とアクセス契約を適用する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | 不正行為を禁止する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | 改訂された行動規範を確認して署名する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | 行動規範とアクセス契約を更新する | 1.1.0 |
| 11 アクセス制御 | 1110.01b1System.5-01.b | 1110.01b1System.5-01.b 01.02 情報システムへの認可済みアクセス | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 11 アクセス制御 | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 オペレーティング システム アクセス制御 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 11 アクセス制御 | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 オペレーティング システム アクセス制御 | 生体認証メカニズムを採用する | 1.1.0 |
| 11 アクセス制御 | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 オペレーティング システム アクセス制御 | システム識別子の割り当て | 1.1.0 |
| 11 アクセス制御 | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 オペレーティング システム アクセス制御 | ユーザーの一意性を徹底する | 1.1.0 |
| 11 アクセス制御 | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 オペレーティング システム アクセス制御 | 個々のユーザーの状態を識別する | 1.1.0 |
| 11 アクセス制御 | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 オペレーティング システム アクセス制御 | 定義された期間に識別子を再利用できないようにする | 1.1.0 |
| 11 アクセス制御 | 11109.01q1Organizational.57-01.q | 11109.01q1Organizational.57-01.q 01.05 オペレーティング システム アクセス制御 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 11 アクセス制御 | 1111.01b2System.1-01.b | 1111.01b2System.1-01.b 01.02 情報システムへの認可済みアクセス | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| 11 アクセス制御 | 1111.01b2System.1-01.b | 1111.01b2System.1-01.b 01.02 情報システムへの認可済みアクセス | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 11 アクセス制御 | 11111.01q2System.4-01.q | 11111.01q2System.4-01.q 01.05 オペレーティング システム アクセス制御 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 11 アクセス制御 | 11111.01q2System.4-01.q | 11111.01q2System.4-01.q 01.05 オペレーティング システム アクセス制御 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 11 アクセス制御 | 11111.01q2System.4-01.q | 11111.01q2System.4-01.q 01.05 オペレーティング システム アクセス制御 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 11 アクセス制御 | 11111.01q2System.4-01.q | 11111.01q2System.4-01.q 01.05 オペレーティング システム アクセス制御 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 11 アクセス制御 | 11112.01q2Organizational.67-01.q | 11112.01q2Organizational.67-01.q 01.05 オペレーティング システム アクセス制御 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 11 アクセスの制御 | 11112.01q2Organizational.67-01.q | 11112.01q2Organizational.67-01.q 01.05 オペレーティング システム アクセス制御 | 生体認証メカニズムを採用する | 1.1.0 |
| 11 アクセス制御 | 11112.01q2Organizational.67-01.q | 11112.01q2Organizational.67-01.q 01.05 オペレーティング システム アクセス制御 | トークンの品質要件を満たす | 1.1.0 |
| 11 アクセス制御 | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 情報システムへの認可済みアクセス | 承認担当者 (AO) を割り当てる | 1.1.0 |
| 11 アクセス制御 | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 情報システムへの認可済みアクセス | 認証子の配布 | 1.1.0 |
| 11 アクセス制御 | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 情報システムへの認可済みアクセス | リソースが承認されていることを確認する | 1.1.0 |
| 11 アクセス制御 | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 情報システムへの認可済みアクセス | 認証子の種類とプロセスを確立する | 1.1.0 |
| 11 アクセス制御 | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 情報システムへの認可済みアクセス | トークンの品質要件を満たす | 1.1.0 |
| 11 アクセス制御 | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 情報システムへの認可済みアクセス | セキュリティ承認を更新する | 1.1.0 |
| 11 アクセス制御 | 1112.01b2System.2-01.b | 1112.01b2System.2-01.b 01.02 情報システムへの認可済みアクセス | 認証子を配布する前に ID を確認する | 1.1.0 |
| 11 アクセス制御 | 11126.01t1Organizational.12-01.t | 11126.01t1Organizational.12-01.t 01.05 オペレーティング システム アクセス制御 | ユーザー セッションを再認証するか終了する | 1.1.0 |
| 11 アクセス制御 | 1114.01h1Organizational.123-01.h | 1114.01h1Organizational.123-01.h 01.03 ユーザーの責任 | 同時セッションの制限を定義して適用する | 1.1.0 |
| 11 アクセス制御 | 1114.01h1Organizational.123-01.h | 1114.01h1Organizational.123-01.h 01.03 ユーザーの責任 | ユーザー セッションを自動的に終了する | 1.1.0 |
| 11 アクセス制御 | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 雇用の終了または変更 | 離職時に離職者面接を実施する | 1.1.0 |
| 11 アクセス制御 | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 雇用の終了または変更 | 終了時に認証子を無効にする | 1.1.0 |
| 11 アクセス制御 | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 雇用の終了または変更 | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 11 アクセス制御 | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 雇用の終了または変更 | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 11 アクセス制御 | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 雇用の終了または変更 | 終了または転送時に通知する | 1.1.0 |
| 11 アクセス制御 | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 雇用の終了または変更 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 11 アクセス制御 | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 雇用の終了または変更 | 職員の異動時にアクセスを再評価する | 1.1.0 |
| 11 アクセス制御 | 11154.02i1Organizational.5-02.i | 11154.02i1Organizational.5-02.i 02.04 雇用の終了または変更 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 11 アクセス制御 | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 雇用の終了または変更 | アカウント管理を自動化する | 1.1.0 |
| 11 アクセス制御 | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 雇用の終了または変更 | 離職時に離職者面接を実施する | 1.1.0 |
| 11 アクセス制御 | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 雇用の終了または変更 | 終了時に認証子を無効にする | 1.1.0 |
| 11 アクセス制御 | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 雇用の終了または変更 | システムと管理者のアカウントを管理する | 1.1.0 |
| 11 アクセス制御 | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 雇用の終了または変更 | 組織全体のアクセスを監視する | 1.1.0 |
| 11 アクセス制御 | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 雇用の終了または変更 | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| 11 アクセス制御 | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 雇用の終了または変更 | 終了または転送時に通知する | 1.1.0 |
| 11 アクセス制御 | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 雇用の終了または変更 | アカウントが不要になったときに通知する | 1.1.0 |
| 11 アクセス制御 | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 雇用の終了または変更 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 11 アクセス制御 | 11155.02i2Organizational.2-02.i | 11155.02i2Organizational.2-02.i 02.04 雇用の終了または変更 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 11 アクセス制御 | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 ネットワーク アクセス制御 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 11 アクセス制御 | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 ネットワーク アクセス制御 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 11 アクセス制御 | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 ネットワーク アクセス制御 | パスワード ポリシーの確立 | 1.1.0 |
| 11 アクセス制御 | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 ネットワーク アクセス制御 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 11 アクセス制御 | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 ネットワーク アクセス制御 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 11 アクセス制御 | 1116.01j1Organizational.145-01.j | 1116.01j1Organizational.145-01.j 01.04 ネットワーク アクセス制御 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 11 アクセス制御 | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 ネットワーク アクセス制御 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 11 アクセス制御 | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 ネットワーク アクセス制御 | リモート アクセスを認可する | 1.1.0 |
| 11 アクセス制御 | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 ネットワーク アクセス制御 | モビリティ トレーニングを文書化する | 1.1.0 |
| 11 アクセス制御 | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 ネットワーク アクセス制御 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 11 アクセス制御 | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 ネットワーク アクセス制御 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 11 アクセス制御 | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 ネットワーク アクセス制御 | 組織全体のアクセスを監視する | 1.1.0 |
| 11 アクセス制御 | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 ネットワーク アクセス制御 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 11 アクセス制御 | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 ネットワーク アクセス制御 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 11 アクセス制御 | 1118.01j2Organizational.124-01.j | 1118.01j2Organizational.124-01.j 01.04 ネットワーク アクセス制御 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 11 アクセスの制御 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 情報システムへの認可済みアクセス | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 11 アクセスの制御 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 情報システムへの認可済みアクセス | アクセスを認可および管理する | 1.1.0 |
| 11 アクセスの制御 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 情報システムへの認可済みアクセス | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセスの制御 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 情報システムへの認可済みアクセス | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセスの制御 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 情報システムへの認可済みアクセス | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 11 アクセスの制御 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 情報システムへの認可済みアクセス | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセスの制御 | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 ネットワーク アクセス制御 | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| 11 アクセスの制御 | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 ネットワーク アクセス制御 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 11 アクセスの制御 | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 ネットワーク アクセス制御 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 11 アクセスの制御 | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 ネットワーク アクセス制御 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 11 アクセス制御 | 11190.01t1Organizational.3-01.t | 11190.01t1Organizational.3-01.t 01.05 オペレーティング システム アクセス制御 | 生体認証メカニズムを採用する | 1.1.0 |
| 11 アクセス制御 | 11190.01t1Organizational.3-01.t | 11190.01t1Organizational.3-01.t 01.05 オペレーティング システム アクセス制御 | 物理的なアクセスを制御する | 1.1.0 |
| 11 アクセス制御 | 11190.01t1Organizational.3-01.t | 11190.01t1Organizational.3-01.t 01.05 オペレーティング システム アクセス制御 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 11 アクセス制御 | 11190.01t1Organizational.3-01.t | 11190.01t1Organizational.3-01.t 01.05 オペレーティング システム アクセス制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 11 アクセス制御 | 11190.01t1Organizational.3-01.t | 11190.01t1Organizational.3-01.t 01.05 オペレーティング システム アクセス制御 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 11 アクセスの制御 | 1120.09ab3System.9-09.ab | 1120.09ab3System.9-09.ab 09.10 監視 | Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | 2.0.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | 生体認証メカニズムを採用する | 1.1.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | リモート アクセスを認可する | 1.1.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | モビリティ トレーニングを文書化する | 1.1.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | ユーザーの一意性を徹底する | 1.1.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 11 アクセス制御 | 1121.01j3Organizational.2-01.j | 1121.01j3Organizational.2-01.j 01.04 ネットワーク アクセス制御 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 11 アクセス制御 | 11219.01b1Organizational.10-01.b | 11219.01b1Organizational.10-01.b 01.02 情報システムへの認可済みアクセス | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 11 アクセス制御 | 11219.01b1Organizational.10-01.b | 11219.01b1Organizational.10-01.b 01.02 情報システムへの認可済みアクセス | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセス制御 | 11219.01b1Organizational.10-01.b | 11219.01b1Organizational.10-01.b 01.02 情報システムへの認可済みアクセス | 職務の分離について文書化する | 1.1.0 |
| 11 アクセス制御 | 11219.01b1Organizational.10-01.b | 11219.01b1Organizational.10-01.b 01.02 情報システムへの認可済みアクセス | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセス制御 | 11219.01b1Organizational.10-01.b | 11219.01b1Organizational.10-01.b 01.02 情報システムへの認可済みアクセス | 個人の職務を分離する | 1.1.0 |
| 11 アクセス制御 | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 オペレーティング システム アクセス制御 | FICAM で承認されたサード パーティの資格情報のみを受け入れる | 1.1.0 |
| 11 アクセス制御 | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 オペレーティング システム アクセス制御 | 生体認証メカニズムを採用する | 1.1.0 |
| 11 アクセス制御 | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 オペレーティング システム アクセス制御 | FICAM で発行されたプロファイルに適合する | 1.1.0 |
| 11 アクセス制御 | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 オペレーティング システム アクセス制御 | FICAM で承認されたリソースを使用してサードパーティの資格情報を承諾する | 1.1.0 |
| 11 アクセス制御 | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 オペレーティング システム アクセス制御 | ユーザーの一意性を徹底する | 1.1.0 |
| 11 アクセス制御 | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 オペレーティング システム アクセス制御 | 組織外のユーザーを識別して認証する | 1.1.0 |
| 11 アクセス制御 | 1122.01q1System.1-01.q | 1122.01q1System.1-01.q 01.05 オペレーティング システム アクセス制御 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | アカウント マネージャーの割り当て | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | ユーザー アカウントの状態を監査する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 離職時に離職者面接を実施する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 情報システム アカウントの種類を定義する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 終了時に認証子を無効にする | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | アクセス特権の文書化 | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | ロール メンバーシップの条件を確立する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 認証子の管理 | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | アカウント アクティビティを監視する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 終了または転送時に通知する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 職員の異動時にアクセスを再評価する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | アカウント作成の承認を必要とする | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | ユーザー アカウントを確認する | 1.1.0 |
| 11 アクセス制御 | 11220.01b1System.10-01.b | 11220.01b1System.10-01.b 01.02 情報システムへの認可済みアクセス | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 11 アクセスの制御 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 オペレーティング システム アクセス制御 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 11 アクセスの制御 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 オペレーティング システム アクセス制御 | アクセスを認可および管理する | 1.1.0 |
| 11 アクセスの制御 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 オペレーティング システム アクセス制御 | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセスの制御 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 オペレーティング システム アクセス制御 | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセスの制御 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 オペレーティング システム アクセス制御 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 11 アクセス制御 | 1124.01q1System.34-01.q | 1124.01q1System.34-01.q 01.05 オペレーティング システム アクセス制御 | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| 11 アクセス制御 | 1124.01q1System.34-01.q | 1124.01q1System.34-01.q 01.05 オペレーティング システム アクセス制御 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 11 アクセスの制御 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 オペレーティング システム アクセス制御 | 生体認証メカニズムを採用する | 1.1.0 |
| 11 アクセスの制御 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 オペレーティング システム アクセス制御 | ユーザーの一意性を徹底する | 1.1.0 |
| 11 アクセスの制御 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 オペレーティング システム アクセス制御 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 11 アクセスの制御 | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 オペレーティング システム アクセス制御 | 認証子の配布 | 1.1.0 |
| 11 アクセス制御 | 1128.01q2System.5-01.q | 1128.01q2System.5-01.q 01.05 オペレーティング システム アクセス制御 | 利用規約と手順を作成する | 1.1.0 |
| 11 アクセス制御 | 1128.01q2System.5-01.q | 1128.01q2System.5-01.q 01.05 オペレーティング システム アクセス制御 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 11 アクセス制御 | 1128.01q2System.5-01.q | 1128.01q2System.5-01.q 01.05 オペレーティング システム アクセス制御 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | 特権機能を監査する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | アクセスを認可および管理する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | 情報システム アカウントの種類を定義する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | アカウント アクティビティを監視する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | 特権ロールの割り当てを監視する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 11 アクセス制御 | 1129.01v1System.12-01.v | 1129.01v1System.12-01.v 01.06 アプリケーションおよび情報アクセス制御 | 特権 ID 管理を使用する | 1.1.0 |
| 11 アクセス制御 | 1130.01v2System.1-01.v | 1130.01v2System.1-01.v 01.06 アプリケーションおよび情報アクセス制御 | アカウント マネージャーの割り当て | 1.1.0 |
| 11 アクセス制御 | 1130.01v2System.1-01.v | 1130.01v2System.1-01.v 01.06 アプリケーションおよび情報アクセス制御 | 情報システム アカウントの種類を定義する | 1.1.0 |
| 11 アクセス制御 | 1130.01v2System.1-01.v | 1130.01v2System.1-01.v 01.06 アプリケーションおよび情報アクセス制御 | アクセス特権の文書化 | 1.1.0 |
| 11 アクセス制御 | 1130.01v2System.1-01.v | 1130.01v2System.1-01.v 01.06 アプリケーションおよび情報アクセス制御 | ロール メンバーシップの条件を確立する | 1.1.0 |
| 11 アクセス制御 | 1130.01v2System.1-01.v | 1130.01v2System.1-01.v 01.06 アプリケーションおよび情報アクセス制御 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセス制御 | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 アプリケーションおよび情報アクセス制御 | 情報フローを制御する | 1.1.0 |
| 11 アクセス制御 | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 アプリケーションおよび情報アクセス制御 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 11 アクセス制御 | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 アプリケーションおよび情報アクセス制御 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 11 アクセス制御 | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 アプリケーションおよび情報アクセス制御 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 11 アクセス制御 | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 アプリケーションおよび情報アクセス制御 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 11 アクセス制御 | 1131.01v2System.2-01.v | 1131.01v2System.2-01.v 01.06 アプリケーションおよび情報アクセス制御 | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| 11 アクセス制御 | 1132.01v2System.3-01.v | 1132.01v2System.3-01.v 01.06 アプリケーションおよび情報アクセス制御 | データ漏えいの管理手順を確立する | 1.1.0 |
| 11 アクセス制御 | 1132.01v2System.3-01.v | 1132.01v2System.3-01.v 01.06 アプリケーションおよび情報アクセス制御 | 特別な情報を保護する | 1.1.0 |
| 11 アクセス制御 | 1133.01v2System.4-01.v | 1133.01v2System.4-01.v 01.06 アプリケーションおよび情報アクセス制御 | 認証なしで許可されているアクションを特定する | 1.1.0 |
| 11 アクセス制御 | 1134.01v3System.1-01.v | 1134.01v3System.1-01.v 01.06 アプリケーションおよび情報アクセス制御 | データ漏えいの管理手順を確立する | 1.1.0 |
| 11 アクセス制御 | 1134.01v3System.1-01.v | 1134.01v3System.1-01.v 01.06 アプリケーションおよび情報アクセス制御 | 運用環境で変更を加える特権を制限する | 1.1.0 |
| 11 アクセス制御 | 1134.01v3System.1-01.v | 1134.01v3System.1-01.v 01.06 アプリケーションおよび情報アクセス制御 | 特別な情報を保護する | 1.1.0 |
| 11 アクセス制御 | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 雇用の終了または変更 | 離職時に離職者面接を実施する | 1.1.0 |
| 11 アクセス制御 | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 雇用の終了または変更 | 終了時に認証子を無効にする | 1.1.0 |
| 11 アクセス制御 | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 雇用の終了または変更 | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 11 アクセス制御 | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 雇用の終了または変更 | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 11 アクセス制御 | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 雇用の終了または変更 | 終了または転送時に通知する | 1.1.0 |
| 11 アクセス制御 | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 雇用の終了または変更 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 11 アクセス制御 | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 雇用の終了または変更 | 職員の異動時にアクセスを再評価する | 1.1.0 |
| 11 アクセス制御 | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 雇用の終了または変更 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 11 アクセス制御 | 1135.02i1Organizational.1234-02.i | 1135.02i1Organizational.1234-02.i 02.04 雇用の終了または変更 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 11 アクセス制御 | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 雇用の終了または変更 | 離職時に離職者面接を実施する | 1.1.0 |
| 11 アクセス制御 | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 雇用の終了または変更 | 終了時に認証子を無効にする | 1.1.0 |
| 11 アクセス制御 | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 雇用の終了または変更 | 重大なリスクを伴うユーザー アカウントを無効にする | 1.1.0 |
| 11 アクセス制御 | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 雇用の終了または変更 | 終了または転送時に通知する | 1.1.0 |
| 11 アクセス制御 | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 雇用の終了または変更 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 11 アクセス制御 | 1136.02i2Organizational.1-02.i | 1136.02i2Organizational.1-02.i 02.04 雇用の終了または変更 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 11 アクセス制御 | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 法的要件のコンプライアンス | 利用規約と手順を作成する | 1.1.0 |
| 11 アクセス制御 | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 法的要件のコンプライアンス | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 11 アクセス制御 | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 法的要件のコンプライアンス | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 11 アクセス制御 | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 法的要件のコンプライアンス | 行動規範とアクセス契約を適用する | 1.1.0 |
| 11 アクセス制御 | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 法的要件のコンプライアンス | 不正行為を禁止する | 1.1.0 |
| 11 アクセス制御 | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 法的要件のコンプライアンス | 改訂された行動規範を確認して署名する | 1.1.0 |
| 11 アクセス制御 | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 法的要件のコンプライアンス | 行動規範とアクセス契約を更新する | 1.1.0 |
| 11 アクセス制御 | 1137.06e1Organizational.1-06.e | 1137.06e1Organizational.1-06.e 06.01 法的要件のコンプライアンス | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 11 アクセス制御 | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 情報システムへの認可済みアクセス | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| 11 アクセス制御 | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 情報システムへの認可済みアクセス | 情報システム アカウントの種類を定義する | 1.1.0 |
| 11 アクセス制御 | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 情報システムへの認可済みアクセス | アクセス特権の文書化 | 1.1.0 |
| 11 アクセス制御 | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 情報システムへの認可済みアクセス | ロール メンバーシップの条件を確立する | 1.1.0 |
| 11 アクセス制御 | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 情報システムへの認可済みアクセス | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 11 アクセス制御 | 1139.01b1System.68-01.b | 1139.01b1System.68-01.b 01.02 情報システムへの認可済みアクセス | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | アクセスを認可および管理する | 1.1.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | アカウント アクティビティを監視する | 1.1.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | アカウント作成の承認を必要とする | 1.1.0 |
| 11 アクセスの制御 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセス制御 | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 情報システムへの認可済みアクセス | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 情報システムへの認可済みアクセス | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 11 アクセス制御 | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 情報システムへの認可済みアクセス | アクセスを認可および管理する | 1.1.0 |
| 11 アクセス制御 | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 情報システムへの認可済みアクセス | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセス制御 | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 情報システムへの認可済みアクセス | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセス制御 | 1144.01c1System.4-01.c | 1144.01c1System.4-01.c 01.02 情報システムへの認可済みアクセス | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 11 アクセス制御 | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 情報システムへの認可済みアクセス | 特権機能を監査する | 1.1.0 |
| 11 アクセス制御 | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 情報システムへの認可済みアクセス | アカウント アクティビティを監視する | 1.1.0 |
| 11 アクセス制御 | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 情報システムへの認可済みアクセス | 特権ロールの割り当てを監視する | 1.1.0 |
| 11 アクセス制御 | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 情報システムへの認可済みアクセス | アカウント作成の承認を必要とする | 1.1.0 |
| 11 アクセス制御 | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 情報システムへの認可済みアクセス | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセス制御 | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 情報システムへの認可済みアクセス | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 11 アクセス制御 | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 情報システムへの認可済みアクセス | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 11 アクセスの制御 | 1145.01c2System.1-01.c | 1145.01c2System.1-01.c 01.02 情報システムへの認可済みアクセス | 特権 ID 管理を使用する | 1.1.0 |
| 11 アクセス制御 | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 情報システムへの認可済みアクセス | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 11 アクセス制御 | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 情報システムへの認可済みアクセス | アクセスを認可および管理する | 1.1.0 |
| 11 アクセス制御 | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 情報システムへの認可済みアクセス | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセス制御 | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 情報システムへの認可済みアクセス | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセス制御 | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 情報システムへの認可済みアクセス | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 11 アクセス制御 | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 情報システムへの認可済みアクセス | ソフトウェア実行特権を適用する | 1.1.0 |
| 11 アクセス制御 | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 情報システムへの認可済みアクセス | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 11 アクセス制御 | 1146.01c2System.23-01.c | 1146.01c2System.23-01.c 01.02 情報システムへの認可済みアクセス | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセス制御 | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 情報システムへの認可済みアクセス | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 11 アクセス制御 | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 情報システムへの認可済みアクセス | アクセスを認可および管理する | 1.1.0 |
| 11 アクセス制御 | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 情報システムへの認可済みアクセス | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 11 アクセス制御 | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 情報システムへの認可済みアクセス | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセス制御 | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 情報システムへの認可済みアクセス | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセス制御 | 1147.01c2System.456-01.c | 1147.01c2System.456-01.c 01.02 情報システムへの認可済みアクセス | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 11 アクセスの制御 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 11 アクセスの制御 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス | アクセスを認可および管理する | 1.1.0 |
| 11 アクセスの制御 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセスの制御 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセスの制御 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 11 アクセスの制御 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセスの制御 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 情報システムへの認可済みアクセス | 情報フローを制御する | 1.1.0 |
| 11 アクセスの制御 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 情報システムへの認可済みアクセス | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 11 アクセスの制御 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 情報システムへの認可済みアクセス | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 11 アクセスの制御 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 情報システムへの認可済みアクセス | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 11 アクセスの制御 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 情報システムへの認可済みアクセス | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 11 アクセスの制御 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 情報システムへの認可済みアクセス | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| 11 アクセス制御 | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 情報システムへの認可済みアクセス | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 11 アクセスの制御 | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 情報システムへの認可済みアクセス | 特権機能を監査する | 1.1.0 |
| 11 アクセス制御 | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 情報システムへの認可済みアクセス | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 11 アクセス制御 | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 情報システムへの認可済みアクセス | 特権ロールの割り当てを監視する | 1.1.0 |
| 11 アクセス制御 | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 情報システムへの認可済みアクセス | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセス制御 | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 情報システムへの認可済みアクセス | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 11 アクセス制御 | 1151.01c3System.1-01.c | 1151.01c3System.1-01.c 01.02 情報システムへの認可済みアクセス | 特権 ID 管理を使用する | 1.1.0 |
| 11 アクセス制御 | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 情報システムへの認可済みアクセス | 特権機能を監査する | 1.1.0 |
| 11 アクセス制御 | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 情報システムへの認可済みアクセス | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 11 アクセス制御 | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 情報システムへの認可済みアクセス | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセス制御 | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 情報システムへの認可済みアクセス | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセス制御 | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 情報システムへの認可済みアクセス | 特権ロールの割り当てを監視する | 1.1.0 |
| 11 アクセス制御 | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 情報システムへの認可済みアクセス | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 11 アクセス制御 | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 情報システムへの認可済みアクセス | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 11 アクセス制御 | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 情報システムへの認可済みアクセス | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 11 アクセスの制御 | 1152.01c3System.2-01.c | 1152.01c3System.2-01.c 01.02 情報システムへの認可済みアクセス | 特権 ID 管理を使用する | 1.1.0 |
| 11 アクセス制御 | 1153.01c3System.35-01.c | 1153.01c3System.35-01.c 01.02 情報システムへの認可済みアクセス | アカウント作成の承認を必要とする | 1.1.0 |
| 11 アクセス制御 | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 情報システムへの認可済みアクセス | ユーザー アカウントの状態を監査する | 1.1.0 |
| 11 アクセス制御 | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 情報システムへの認可済みアクセス | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 11 アクセス制御 | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 情報システムへの認可済みアクセス | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 11 アクセス制御 | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 情報システムへの認可済みアクセス | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| 11 アクセス制御 | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 情報システムへの認可済みアクセス | 終了または転送時に通知する | 1.1.0 |
| 11 アクセス制御 | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 情報システムへの認可済みアクセス | 職員の異動時にアクセスを再評価する | 1.1.0 |
| 11 アクセス制御 | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 情報システムへの認可済みアクセス | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 11 アクセス制御 | 1166.01e1System.12-01.e | 1166.01e1System.12-01.e 01.02 情報システムへの認可済みアクセス | ユーザー アカウントを確認する | 1.1.0 |
| 11 アクセス制御 | 1167.01e2System.1-01.e | 1167.01e2System.1-01.e 01.02 情報システムへの認可済みアクセス | システム識別子の割り当て | 1.1.0 |
| 11 アクセス制御 | 1167.01e2System.1-01.e | 1167.01e2System.1-01.e 01.02 情報システムへの認可済みアクセス | 個々のユーザーの状態を識別する | 1.1.0 |
| 11 アクセス制御 | 1168.01e2System.2-01.e | 1168.01e2System.2-01.e 01.02 情報システムへの認可済みアクセス | アクセス制御モデルを設計する | 1.1.0 |
| 11 アクセス制御 | 1168.01e2System.2-01.e | 1168.01e2System.2-01.e 01.02 情報システムへの認可済みアクセス | 最小特権アクセスを使用する | 1.1.0 |
| 11 アクセス制御 | 1168.01e2System.2-01.e | 1168.01e2System.2-01.e 01.02 情報システムへの認可済みアクセス | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| 11 アクセス制御 | 1168.01e2System.2-01.e | 1168.01e2System.2-01.e 01.02 情報システムへの認可済みアクセス | ユーザー特権を確認する | 1.1.0 |
| 11 アクセスの制御 | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 ネットワーク アクセス制御 | 生体認証メカニズムを採用する | 1.1.0 |
| 11 アクセスの制御 | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 ネットワーク アクセス制御 | ユーザーの一意性を徹底する | 1.1.0 |
| 11 アクセスの制御 | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 ネットワーク アクセス制御 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 11 アクセスの制御 | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 ネットワーク アクセス制御 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 11 アクセス制御 | 1178.01j2Organizational.7-01.j | 1178.01j2Organizational.7-01.j 01.04 ネットワーク アクセス制御 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 11 アクセス制御 | 1178.01j2Organizational.7-01.j | 1178.01j2Organizational.7-01.j 01.04 ネットワーク アクセス制御 | ユーザーの一意性を徹底する | 1.1.0 |
| 11 アクセス制御 | 1178.01j2Organizational.7-01.j | 1178.01j2Organizational.7-01.j 01.04 ネットワーク アクセス制御 | 個々の認証子の使用を要求する | 1.1.0 |
| 11 アクセス制御 | 1178.01j2Organizational.7-01.j | 1178.01j2Organizational.7-01.j 01.04 ネットワーク アクセス制御 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 11 アクセスの制御 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 ネットワーク アクセス制御 | リモート アクセスを認可する | 1.1.0 |
| 11 アクセスの制御 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 ネットワーク アクセス制御 | モビリティ トレーニングを文書化する | 1.1.0 |
| 11 アクセスの制御 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 ネットワーク アクセス制御 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 11 アクセスの制御 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 ネットワーク アクセス制御 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 11 アクセスの制御 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 ネットワーク アクセス制御 | 組織全体のアクセスを監視する | 1.1.0 |
| 11 アクセスの制御 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 ネットワーク アクセス制御 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 11 アクセスの制御 | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 ネットワーク アクセス制御 | 物理的なアクセスを制御する | 1.1.0 |
| 11 アクセスの制御 | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 ネットワーク アクセス制御 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 11 アクセスの制御 | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 ネットワーク アクセス制御 | 資産インベントリの確立と管理 | 1.1.0 |
| 11 アクセスの制御 | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 ネットワーク アクセス制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 11 アクセスの制御 | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 ネットワーク アクセス制御 | 物理的なアクセスを制御する | 1.1.0 |
| 11 アクセスの制御 | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 ネットワーク アクセス制御 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 11 アクセスの制御 | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 ネットワーク アクセス制御 | 資産インベントリの確立と管理 | 1.1.0 |
| 11 アクセスの制御 | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 ネットワーク アクセス制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | 利用規約と手順を作成する | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | 行動規範とアクセス契約を適用する | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | 不正行為を禁止する | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | プライバシーに関する通知を行う | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | 改訂された行動規範を確認して署名する | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | 行動規範とアクセス契約を更新する | 1.1.0 |
| 12 監査ログと監視 | 1201.06e1Organizational.2-06.e | 1201.06e1Organizational.2-06.e 06.01 法的要件のコンプライアンス | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 12 監査ログと監視 | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 監視 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 監視 | AU-02 で定義されているイベントの確認と更新 | 1.1.0 |
| 12 監査ログと監視 | 1203.09aa1System.2-09.aa | 1203.09aa1System.2-09.aa 09.10 監視 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1203.09aa1System.2-09.aa | 1203.09aa1System.2-09.aa 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1204.09aa1System.3-09.aa | 1204.09aa1System.3-09.aa 09.10 監視 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1204.09aa1System.3-09.aa | 1204.09aa1System.3-09.aa 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1204.09aa1System.3-09.aa | 1204.09aa1System.3-09.aa 09.10 監視 | アカウント アクティビティを監視する | 1.1.0 |
| 12 監査ログと監視 | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 監視 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 監視 | 監査レコードが変更されていないことを確認する | 1.1.0 |
| 12 監査ログと監視 | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 監視 | 監査レビュー、分析、レポート機能の提供 | 1.1.0 |
| 12 監査ログと監視 | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 監視 | 顧客が管理する監査レコードを処理する機能の提供 | 1.1.0 |
| 12 監査ログと監視 | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 監視 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 監視 | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| 12 監査ログと監視 | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 監視 | バイナリ/マシン実行可能コードを禁止する | 1.1.0 |
| 12 監査ログと監視 | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 監視 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 12 監査ログと監視 | 1206.09aa2System.23-09.aa | 1206.09aa2System.23-09.aa 09.10 監視 | システム診断データを表示して構成する | 1.1.0 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | 定義されている保持期間に従う | 1.1.0 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | 特権機能を監査する | 1.1.0 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | 二重または共同の認可を有効にする | 1.1.0 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | 監査情報を保護する | 1.1.0 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 12 監査ログと監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | 監査データを確認する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | アカウント管理を自動化する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | セキュリティへの影響分析を実施する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | リスク管理戦略の確立 | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | システムと管理者のアカウントを管理する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | 組織全体のアクセスを監視する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | アカウントが不要になったときに通知する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | プライバシー影響評価を実行する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | リスク評価を実行する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | 構成変更制御の監査を実行する | 1.1.0 |
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 12 監査ログと監視 | 1209.09aa3System.2-09.aa | 1209.09aa3System.2-09.aa 09.10 監視 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1209.09aa3System.2-09.aa | 1209.09aa3System.2-09.aa 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | 定義されている保持期間に従う | 1.1.0 |
| 12 監査ログと監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | 特権機能を監査する | 1.1.0 |
| 12 監査ログと監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 12 監査ログと監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 12 監査ログと監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 12 監査ログと監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | AU-02 で定義されているイベントの確認と更新 | 1.1.0 |
| 12 監査ログと監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | 監査データを確認する | 1.1.0 |
| 12 監査ログと監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 12 監査ログと監視 | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 監視 | 侵害のインジケーターを検出する | 1.1.0 |
| 12 監査ログと監視 | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 監視 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 監査レビュー、分析、レポートのレベルを調整する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 監査レコードの関連付け | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | ポリシーと手順の管理 | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 監査データを確認する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 顧客監査情報に関連付けられている許可されたアクションを指定する | 1.1.0 |
| 12 監査ログと監視 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 監視 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 12 監査ログと監視 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 監視 | インシデント対応テストを実施する | 1.1.0 |
| 12 監査ログと監視 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 監視 | POA&M の開発 | 1.1.0 |
| 12 監査ログと監視 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 監視 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 12 監査ログと監視 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 監視 | シミュレーション攻撃の実行 | 1.1.0 |
| 12 監査ログと監視 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 監視 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| 12 監査ログと監視 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 監視 | POA&M 項目の更新 | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | 監査レコードの関連付け | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | 監査データを確認する | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 12 監査ログと監視 | 12103.09ab1Organizational.5-09.ab | 12103.09ab1Organizational.5-09.ab 09.10 監視 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 12 監査ログと監視 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 監視 | 定義されている保持期間に従う | 1.1.0 |
| 12 監査ログと監視 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 監視 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 12 監査ログと監視 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 監視 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 12 監査ログと監視 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 監視 | 構成変更制御の監査を実行する | 1.1.0 |
| 12 監査ログと監視 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 監視 | 処理確認を実行する | 1.1.0 |
| 12 監査ログと監視 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 監視 | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 12 監査ログと監視 | 1212.09ab1System.1-09.ab | 1212.09ab1System.1-09.ab 09.10 監視 | Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | 1.0.0 |
| 12 監査ログと監視 | 1212.09ab1System.1-09.ab | 1212.09ab1System.1-09.ab 09.10 監視 | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| 12 監査ログと監視 | 1212.09ab1System.1-09.ab | 1212.09ab1System.1-09.ab 09.10 監視 | 必要に応じて監視情報を提供する | 1.1.0 |
| 12 監査ログと監視 | 1213.09ab2System.128-09.ab | 1213.09ab2System.128-09.ab 09.10 監視 | VoIP の承認、監視、制御 | 1.1.0 |
| 12 監査ログと監視 | 1213.09ab2System.128-09.ab | 1213.09ab2System.128-09.ab 09.10 監視 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 12 監査ログと監視 | 1213.09ab2System.128-09.ab | 1213.09ab2System.128-09.ab 09.10 監視 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 12 監査ログと監視 | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 監視 | 特権機能を監査する | 1.1.0 |
| 12 監査ログと監視 | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 監視 | Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | 2.0.0 |
| 12 監査ログと監視 | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 監視 | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 12 監査ログと監視 | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 監視 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 監視 | 特権ロールの割り当てを監視する | 1.1.0 |
| 12 監査ログと監視 | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 監視 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 12 監査ログと監視 | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 監視 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 12 監査ログと監視 | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 監視 | 特権 ID 管理を使用する | 1.1.0 |
| 12 監査ログと監視 | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 監視 | 監査レコードが変更されていないことを確認する | 1.1.0 |
| 12 監査ログと監視 | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 監視 | 監査レビュー、分析、レポート機能の提供 | 1.1.0 |
| 12 監査ログと監視 | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 監視 | 顧客が管理する監査レコードを処理する機能の提供 | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | 職員に情報流出のアラートを通知する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | 監査レコードの関連付け | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | インシデント レスポンス計画を策定する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | セキュリティ運用を文書化する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | AU-02 で定義されているイベントの確認と更新 | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | 監査データを確認する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 12 監査ログと監視 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 監視 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 12 監査ログと監視 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 監視 | 職員に情報流出のアラートを通知する | 1.1.0 |
| 12 監査ログと監視 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 監視 | インシデント レスポンス計画を策定する | 1.1.0 |
| 12 監査ログと監視 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 監視 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 12 監査ログと監視 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 監視 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 12 監査ログと監視 | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 監視 | 職員に情報流出のアラートを通知する | 1.1.0 |
| 12 監査ログと監視 | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 監視 | VoIP の承認、監視、制御 | 1.1.0 |
| 12 監査ログと監視 | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 監視 | インシデント レスポンス計画を策定する | 1.1.0 |
| 12 監査ログと監視 | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 監視 | セキュリティ運用を文書化する | 1.1.0 |
| 12 監査ログと監視 | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 監視 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 12 監査ログと監視 | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 監視 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 12 監査ログと監視 | 1218.09ab3System.47-09.ab | 1218.09ab3System.47-09.ab 09.10 監視 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 12 監査ログと監視 | 1219.09ab3System.10-09.ab | 1219.09ab3System.10-09.ab 09.10 監視 | Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | 1.0.0 |
| 12 監査ログと監視 | 1219.09ab3System.10-09.ab | 1219.09ab3System.10-09.ab 09.10 監視 | 監査レコードが変更されていないことを確認する | 1.1.0 |
| 12 監査ログと監視 | 1219.09ab3System.10-09.ab | 1219.09ab3System.10-09.ab 09.10 監視 | 監査レビュー、分析、レポート機能の提供 | 1.1.0 |
| 12 監査ログと監視 | 1219.09ab3System.10-09.ab | 1219.09ab3System.10-09.ab 09.10 監視 | 顧客が管理する監査レコードを処理する機能の提供 | 1.1.0 |
| 12 監査ログと監視 | 1220.09ab3System.56-09.ab | 1220.09ab3System.56-09.ab 09.10 監視 | VoIP の承認、監視、制御 | 1.1.0 |
| 12 監査ログと監視 | 1220.09ab3System.56-09.ab | 1220.09ab3System.56-09.ab 09.10 監視 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 12 監査ログと監視 | 1220.09ab3System.56-09.ab | 1220.09ab3System.56-09.ab 09.10 監視 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 12 監査ログと監視 | 1220.09ab3System.56-09.ab | 1220.09ab3System.56-09.ab 09.10 監視 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 12 監査ログと監視 | 1220.09ab3System.56-09.ab | 1220.09ab3System.56-09.ab 09.10 監視 | システム診断データを表示して構成する | 1.1.0 |
| 12 監査ログと監視 | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 監視 | 職員に情報流出のアラートを通知する | 1.1.0 |
| 12 監査ログと監視 | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 監視 | 監査レコードの関連付け | 1.1.0 |
| 12 監査ログと監視 | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 監視 | インシデント レスポンス計画を策定する | 1.1.0 |
| 12 監査ログと監視 | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 監視 | セキュリティ アラートを担当者に送信する | 1.1.0 |
| 12 監査ログと監視 | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 監視 | 脅威インテリジェンス プログラムを確立する | 1.1.0 |
| 12 監査ログと監視 | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 監視 | 内部セキュリティ アラートを生成する | 1.1.0 |
| 12 監査ログと監視 | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 監視 | セキュリティ ディレクティブの実装 | 1.1.0 |
| 12 監査ログと監視 | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 監視 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 12 監査ログと監視 | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 監視 | 顧客が管理する監査レコードを処理する機能の提供 | 1.1.0 |
| 12 監査ログと監視 | 1222.09ab3System.8-09.ab | 1222.09ab3System.8-09.ab 09.10 監視 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 12 監査ログと監視 | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 文書化された業務手順 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 12 監査ログと監視 | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 文書化された業務手順 | 職務の分離について文書化する | 1.1.0 |
| 12 監査ログと監視 | 1229.09c1Organizational.1-09.c | 1229.09c1Organizational.1-09.c 09.01 文書化された業務手順 | 個人の職務を分離する | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | 特権機能を監査する | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | アクセスを認可および管理する | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | Azure 監査機能を構成する | 1.1.1 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | 監査可能なイベントを決定する | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | 論理アクセスを強制する | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | アカウント作成の承認を必要とする | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | 監査データを確認する | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | 個人の職務を分離する | 1.1.0 |
| 12 監査ログと監視 | 1231.09c2Organizational.23-09.c | 1231.09c2Organizational.23-09.c 09.01 文書化された業務手順 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 12 監査ログと監視 | 1231.09c2Organizational.23-09.c | 1231.09c2Organizational.23-09.c 09.01 文書化された業務手順 | 職務の分離について文書化する | 1.1.0 |
| 12 監査ログと監視 | 1231.09c2Organizational.23-09.c | 1231.09c2Organizational.23-09.c 09.01 文書化された業務手順 | 個人の職務を分離する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 特権機能を監査する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | アクセスを認可および管理する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | アクセス制御モデルを設計する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 職務の分離について文書化する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 最小特権アクセスを使用する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 二重または共同の認可を有効にする | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | ソフトウェア実行特権を適用する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 特権ロールの割り当てを監視する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 監査情報を保護する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | アカウント作成の承認を必要とする | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | ユーザー特権を確認する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 個人の職務を分離する | 1.1.0 |
| 12 監査ログと監視 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 | 特権 ID 管理を使用する | 1.1.0 |
| 12 監査ログと監視 | 1233.09c3Organizational.3-09.c | 1233.09c3Organizational.3-09.c 09.01 文書化された業務手順 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 12 監査ログと監視 | 1233.09c3Organizational.3-09.c | 1233.09c3Organizational.3-09.c 09.01 文書化された業務手順 | 職務の分離について文書化する | 1.1.0 |
| 12 監査ログと監視 | 1233.09c3Organizational.3-09.c | 1233.09c3Organizational.3-09.c 09.01 文書化された業務手順 | 個人の職務を分離する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 特権機能を監査する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 監査レコードの関連付け | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 特権ロールの割り当てを監視する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 監査データを確認する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 12 監査ログと監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 特権 ID 管理を使用する | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 監視 | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| 12 監査ログと監視 | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 監視 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 監視 | アクセス制御モデルを設計する | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 監視 | 職務の分離について文書化する | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 監視 | 最小特権アクセスを使用する | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 監視 | 監査情報を保護する | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 監視 | アカウント作成の承認を必要とする | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 監視 | 個人の職務を分離する | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 監視 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 監視 | アクセス制御モデルを設計する | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 監視 | 職務の分離について文書化する | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 監視 | 最小特権アクセスを使用する | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 監視 | 監査情報を保護する | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 監視 | アカウント作成の承認を必要とする | 1.1.0 |
| 12 監査ログと監視 | 1271.09ad2System.1 | 1271.09ad2System.1 09.10 監視 | 個人の職務を分離する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | 特権機能を監査する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | アクセスを認可および管理する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | アクセス制御モデルを設計する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | 職務の分離について文書化する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | 最小特権アクセスを使用する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | ソフトウェア実行特権を適用する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | 特権ロールの割り当てを監視する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | 監査情報を保護する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | アカウント作成の承認を必要とする | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | ユーザー特権を確認する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | 個人の職務を分離する | 1.1.0 |
| 12 監査ログと監視 | 1276.09c2Organizational.2-09.c | 1276.09c2Organizational.2-09.c 09.01 文書化された業務手順 | 特権 ID 管理を使用する | 1.1.0 |
| 12 監査ログと監視 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 文書化された業務手順 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 12 監査ログと監視 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 文書化された業務手順 | 職務の分離について文書化する | 1.1.0 |
| 12 監査ログと監視 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 文書化された業務手順 | 個人の職務を分離する | 1.1.0 |
| 12 監査ログと監視 | 1278.09c2Organizational.56-09.c | 1278.09c2Organizational.56-09.c 09.01 文書化された業務手順 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 12 監査ログと監視 | 1278.09c2Organizational.56-09.c | 1278.09c2Organizational.56-09.c 09.01 文書化された業務手順 | 職務の分離について文書化する | 1.1.0 |
| 12 監査ログと監視 | 1278.09c2Organizational.56-09.c | 1278.09c2Organizational.56-09.c 09.01 文書化された業務手順 | 個人の職務を分離する | 1.1.0 |
| 12 監査ログと監視 | 1279.09c3Organizational.4-09.c | 1279.09c3Organizational.4-09.c 09.01 文書化された業務手順 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 12 監査ログと監視 | 1279.09c3Organizational.4-09.c | 1279.09c3Organizational.4-09.c 09.01 文書化された業務手順 | 職務の分離について文書化する | 1.1.0 |
| 12 監査ログと監視 | 1279.09c3Organizational.4-09.c | 1279.09c3Organizational.4-09.c 09.01 文書化された業務手順 | 個人の職務を分離する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 利用規約と手順を作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 不正行為を禁止する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | ロールベースの実用的な演習を提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 疑わしいアクティビティに関するロールベースのトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1301.02e1Organizational.12-02.e | 1301.02e1Organizational.12-02.e 02.03 雇用中 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 利用規約と手順を作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 脅威に関する意識向上プログラムを実装する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 内部関係者の脅威プログラムを実装する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 不正行為を禁止する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | トレーニング レコードを保持する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1302.02e2Organizational.134-02.e | 1302.02e2Organizational.134-02.e 02.03 雇用中 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 雇用中 | 利用規約と手順を作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 雇用中 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 雇用中 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 雇用中 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 雇用中 | 不正行為を禁止する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 雇用中 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 雇用中 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1303.02e2Organizational.2-02.e | 1303.02e2Organizational.2-02.e 02.03 雇用中 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 雇用中 | コンティンジェンシー トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 雇用中 | 情報流出トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 雇用中 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 雇用中 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 雇用中 | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 雇用中 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 雇用中 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 雇用中 | 開発者にトレーニングの提供を要求する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1304.02e3Organizational.1-02.e | 1304.02e3Organizational.1-02.e 02.03 雇用中 | 非公開情報の公開に関する職員のトレーニング | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1305.02e3Organizational.23-02.e | 1305.02e3Organizational.23-02.e 02.03 雇用中 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1305.02e3Organizational.23-02.e | 1305.02e3Organizational.23-02.e 02.03 雇用中 | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1305.02e3Organizational.23-02.e | 1305.02e3Organizational.23-02.e 02.03 雇用中 | トレーニング レコードを保持する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | 利用規約と手順を作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | 行動規範とアクセス契約を適用する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | 正式な制裁プロセスを実装する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | 承認時に担当者に通知する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | 不正行為を禁止する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | 改訂された行動規範を確認して署名する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | 行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1306.06e1Organizational.5-06.e | 1306.06e1Organizational.5-06.e 06.01 法的要件のコンプライアンス | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 資産に対する責任 | 利用規約と手順を作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 資産に対する責任 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 資産に対する責任 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 資産に対する責任 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 資産に対する責任 | 不正行為を禁止する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 資産に対する責任 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 資産に対する責任 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 資産に対する責任 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1307.07c1Organizational.124-07.c | 1307.07c1Organizational.124-07.c 07.01 資産に対する責任 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 利用規約と手順を作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 不正行為を禁止する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1308.09j1Organizational.5-09.j | 1308.09j1Organizational.5-09.j 09.04 悪意のあるコードとモバイル コードからの保護 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 モバイル コンピューティングとテレワーク | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 モバイル コンピューティングとテレワーク | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 モバイル コンピューティングとテレワーク | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 モバイル コンピューティングとテレワーク | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 モバイル コンピューティングとテレワーク | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1309.01x1System.36-01.x | 1309.01x1System.36-01.x 01.07 モバイル コンピューティングとテレワーク | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 モバイル コンピューティングとテレワーク | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 モバイル コンピューティングとテレワーク | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 モバイル コンピューティングとテレワーク | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 モバイル コンピューティングとテレワーク | ロールベースの実用的な演習を提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 モバイル コンピューティングとテレワーク | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 モバイル コンピューティングとテレワーク | 疑わしいアクティビティに関するロールベースのトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 モバイル コンピューティングとテレワーク | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 モバイル コンピューティングとテレワーク | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 モバイル コンピューティングとテレワーク | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1310.01y1Organizational.9-01.y | 1310.01y1Organizational.9-01.y 01.07 モバイル コンピューティングとテレワーク | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1311.12c2Organizational.3-12.c | 1311.12c2Organizational.3-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | シミュレートされたコンティンジェンシー トレーニングを組み込む | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1311.12c2Organizational.3-12.c | 1311.12c2Organizational.3-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | コンティンジェンシー トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1311.12c2Organizational.3-12.c | 1311.12c2Organizational.3-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 情報流出トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1313.02e1Organizational.3-02.e | 1313.02e1Organizational.3-02.e 02.03 雇用中 | コンティンジェンシー トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1313.02e1Organizational.3-02.e | 1313.02e1Organizational.3-02.e 02.03 雇用中 | 情報流出トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1313.02e1Organizational.3-02.e | 1313.02e1Organizational.3-02.e 02.03 雇用中 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1314.02e2Organizational.5-02.e | 1314.02e2Organizational.5-02.e 02.03 雇用中 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1314.02e2Organizational.5-02.e | 1314.02e2Organizational.5-02.e 02.03 雇用中 | リスク管理戦略の確立 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1314.02e2Organizational.5-02.e | 1314.02e2Organizational.5-02.e 02.03 雇用中 | リスク評価を実行する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1314.02e2Organizational.5-02.e | 1314.02e2Organizational.5-02.e 02.03 雇用中 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 雇用中 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 雇用中 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 雇用中 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 雇用中 | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 雇用中 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1315.02e2Organizational.67-02.e | 1315.02e2Organizational.67-02.e 02.03 雇用中 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 資産に対する責任 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 資産に対する責任 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 資産に対する責任 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 資産に対する責任 | 不正行為を禁止する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 資産に対する責任 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 資産に対する責任 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 資産に対する責任 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1324.07c1Organizational.3-07.c | 1324.07c1Organizational.3-07.c 07.01 資産に対する責任 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | 不正行為を禁止する | 1.1.0 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1327.02e2Organizational.8-02.e | 1327.02e2Organizational.8-02.e 02.03 雇用中 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1327.02e2Organizational.8-02.e | 1327.02e2Organizational.8-02.e 02.03 雇用中 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1327.02e2Organizational.8-02.e | 1327.02e2Organizational.8-02.e 02.03 雇用中 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1327.02e2Organizational.8-02.e | 1327.02e2Organizational.8-02.e 02.03 雇用中 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1327.02e2Organizational.8-02.e | 1327.02e2Organizational.8-02.e 02.03 雇用中 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 雇用中 | インシデント対応テストを実施する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 雇用中 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 雇用中 | シミュレートされたイベントをインシデント対応のトレーニングに組み込む | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 雇用中 | アラーム システムをインストールする | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 雇用中 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1331.02e3Organizational.4-02.e | 1331.02e3Organizational.4-02.e 02.03 雇用中 | シミュレーション攻撃の実行 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1334.02e2Organizational.12-02.e | 1334.02e2Organizational.12-02.e 02.03 雇用中 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1334.02e2Organizational.12-02.e | 1334.02e2Organizational.12-02.e 02.03 雇用中 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1334.02e2Organizational.12-02.e | 1334.02e2Organizational.12-02.e 02.03 雇用中 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1334.02e2Organizational.12-02.e | 1334.02e2Organizational.12-02.e 02.03 雇用中 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 雇用中 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 雇用中 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 雇用中 | ロールベースの実用的な演習を提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 雇用中 | 疑わしいアクティビティに関するロールベースのトレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 雇用中 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 雇用中 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 13 教育、トレーニングと意識向上 | 1336.02e1Organizational.5-02.e | 1336.02e1Organizational.5-02.e 02.03 雇用中 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 14 第三者保証 | 1404.05i2Organizational.1-05.i | 1404.05i2Organizational.1-05.i 05.02 外部パーティ | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 14 第三者保証 | 1406.05k1Organizational.110-05.k | 1406.05k1Organizational.110-05.k 05.02 外部パーティ | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1407.05k2Organizational.1-05.k | 1407.05k2Organizational.1-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1407.05k2Organizational.1-05.k | 1407.05k2Organizational.1-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 14 第三者保証 | 1407.05k2Organizational.1-05.k | 1407.05k2Organizational.1-05.k 05.02 外部パーティ | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 14 第三者保証 | 1407.05k2Organizational.1-05.k | 1407.05k2Organizational.1-05.k 05.02 外部パーティ | サードパーティの担当者の転送または解雇の通知を要求する | 1.1.0 |
| 14 第三者保証 | 1407.05k2Organizational.1-05.k | 1407.05k2Organizational.1-05.k 05.02 外部パーティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 サード パーティのサービス提供を制御 | 政府機関の監督を定義して文書化する | 1.1.0 |
| 14 第三者保証 | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 サード パーティのサービス提供を制御 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 サード パーティのサービス提供を制御 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 14 第三者保証 | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 サード パーティのサービス提供を制御 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 14 第三者保証 | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 サード パーティのサービス提供を制御 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 14 第三者保証 | 1408.09e1System.1-09.e | 1408.09e1System.1-09.e 09.02 サード パーティのサービス提供を制御 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 14 第三者保証 | 1409.09e2System.1-09.e | 1409.09e2System.1-09.e 09.02 サード パーティのサービス提供を制御 | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 14 第三者保証 | 1410.09e2System.23-09.e | 1410.09e2System.23-09.e 09.02 サード パーティのサービス提供を制御 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 サード パーティのサービス提供を制御 | VoIP の承認、監視、制御 | 1.1.0 |
| 14 第三者保証 | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 サード パーティのサービス提供を制御 | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 14 第三者保証 | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 サード パーティのサービス提供を制御 | セキュリティ アラートを担当者に送信する | 1.1.0 |
| 14 第三者保証 | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 サード パーティのサービス提供を制御 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 14 第三者保証 | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 サード パーティのサービス提供を制御 | 脅威インテリジェンス プログラムを確立する | 1.1.0 |
| 14 第三者保証 | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 サード パーティのサービス提供を制御 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 サード パーティのサービス提供を制御 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 14 第三者保証 | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 サード パーティのサービス提供を制御 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 14 第三者保証 | 1411.09f1System.1-09.f | 1411.09f1System.1-09.f 09.02 サード パーティのサービス提供を制御 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 14 第三者保証 | 1416.10l1Organizational.1-10.l | 1416.10l1Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1417.10l2Organizational.1-10.l | 1417.10l2Organizational.1-10.l 10.05 開発およびサポート プロセスのセキュリティ | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 14 第三者保証 | 1419.05j1Organizational.12-05.j | 1419.05j1Organizational.12-05.j 05.02 外部パーティ | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 外部パーティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 外部パーティ | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 14 第三者保証 | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 外部パーティ | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 外部パーティ | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 外部パーティ | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 外部パーティ | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 外部パーティ | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 外部パーティ | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 外部パーティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 14 第三者保証 | 1421.05j2Organizational.12-05.j | 1421.05j2Organizational.12-05.j 05.02 外部パーティ | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 外部パーティ | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| 14 第三者保証 | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 外部パーティ | 外部サービス プロバイダーを識別する | 1.1.0 |
| 14 第三者保証 | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 外部パーティ | 取得と外部委託の承認を取得する | 1.1.0 |
| 14 第三者保証 | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 外部パーティ | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 外部パーティ | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 14 第三者保証 | 1422.05j2Organizational.3-05.j | 1422.05j2Organizational.3-05.j 05.02 外部パーティ | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 14 第三者保証 | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 外部パーティ | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 14 第三者保証 | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 外部パーティ | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| 14 第三者保証 | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 外部パーティ | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| 14 第三者保証 | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 外部パーティ | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| 14 第三者保証 | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 外部パーティ | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| 14 第三者保証 | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 外部パーティ | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 外部パーティ | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 14 第三者保証 | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 外部パーティ | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 14 第三者保証 | 1423.05j2Organizational.4-05.j | 1423.05j2Organizational.4-05.j 05.02 外部パーティ | 外部情報システムのセキュリティ管理策を検証する | 1.1.0 |
| 14 第三者保証 | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 外部パーティ | FICAM で承認されたサード パーティの資格情報のみを受け入れる | 1.1.0 |
| 14 第三者保証 | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 外部パーティ | PIV 資格情報を承諾する | 1.1.0 |
| 14 第三者保証 | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 外部パーティ | FICAM で発行されたプロファイルに適合する | 1.1.0 |
| 14 第三者保証 | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 外部パーティ | FICAM で承認されたリソースを使用してサードパーティの資格情報を承諾する | 1.1.0 |
| 14 第三者保証 | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 外部パーティ | ユーザーの一意性を徹底する | 1.1.0 |
| 14 第三者保証 | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 外部パーティ | 組織外のユーザーを識別して認証する | 1.1.0 |
| 14 第三者保証 | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 外部パーティ | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 14 第三者保証 | 1424.05j2Organizational.5-05.j | 1424.05j2Organizational.5-05.j 05.02 外部パーティ | 認証子を配布する前に ID を確認する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 14 第三者保証 | 1429.05k1Organizational.34-05.k | 1429.05k1Organizational.34-05.k 05.02 外部パーティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 14 第三者保証 | 1430.05k1Organizational.56-05.k | 1430.05k1Organizational.56-05.k 05.02 外部パーティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1431.05k1Organizational.7-05.k | 1431.05k1Organizational.7-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1431.05k1Organizational.7-05.k | 1431.05k1Organizational.7-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 14 第三者保証 | 1431.05k1Organizational.7-05.k | 1431.05k1Organizational.7-05.k 05.02 外部パーティ | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 14 第三者保証 | 1431.05k1Organizational.7-05.k | 1431.05k1Organizational.7-05.k 05.02 外部パーティ | サードパーティの担当者の転送または解雇の通知を要求する | 1.1.0 |
| 14 第三者保証 | 1431.05k1Organizational.7-05.k | 1431.05k1Organizational.7-05.k 05.02 外部パーティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 外部パーティ | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 14 第三者保証 | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 外部パーティ | 契約社員とサービス プロバイダーのプライバシー要件を確立する | 1.1.0 |
| 14 第三者保証 | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 14 第三者保証 | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 外部パーティ | 職員のスクリーニングを実装する | 1.1.0 |
| 14 第三者保証 | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 外部パーティ | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 14 第三者保証 | 1432.05k1Organizational.89-05.k | 1432.05k1Organizational.89-05.k 05.02 外部パーティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 14 第三者保証 | 1438.09e2System.4-09.e | 1438.09e2System.4-09.e 09.02 サード パーティのサービス提供を制御 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 14 第三者保証 | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 外部パーティ | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| 14 第三者保証 | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 外部パーティ | 政府機関の監督を定義して文書化する | 1.1.0 |
| 14 第三者保証 | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 外部パーティ | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| 14 第三者保証 | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 外部パーティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 外部パーティ | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| 14 第三者保証 | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 外部パーティ | インシデント対応の担当者を特定する | 1.1.0 |
| 14 第三者保証 | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 外部パーティ | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 外部パーティ | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 14 第三者保証 | 1450.05i2Organizational.2-05.i | 1450.05i2Organizational.2-05.i 05.02 外部パーティ | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 特権機能を監査する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | アクセスを認可および管理する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 政府機関の監督を定義して文書化する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 職務の分離について文書化する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | ソフトウェア実行特権を適用する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 特権ロールの割り当てを監視する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 個人の職務を分離する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 14 第三者保証 | 1451.05iCSPOrganizational.2-05.i | 1451.05iCSPOrganizational.2-05.i 05.02 外部パーティ | 特権 ID 管理を使用する | 1.1.0 |
| 14 第三者保証 | 1452.05kCSPOrganizational.1-05.k | 1452.05kCSPOrganizational.1-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1452.05kCSPOrganizational.1-05.k | 1452.05kCSPOrganizational.1-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 14 第三者保証 | 1452.05kCSPOrganizational.1-05.k | 1452.05kCSPOrganizational.1-05.k 05.02 外部パーティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 外部パーティ | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| 14 第三者保証 | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 外部パーティ | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| 14 第三者保証 | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 外部パーティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 14 第三者保証 | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 外部パーティ | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| 14 第三者保証 | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 外部パーティ | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 14 第三者保証 | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 外部パーティ | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| 14 第三者保証 | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 14 第三者保証 | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 外部パーティ | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 外部パーティ | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 14 第三者保証 | 1453.05kCSPOrganizational.2-05.k | 1453.05kCSPOrganizational.2-05.k 05.02 外部パーティ | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 14 第三者保証 | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 外部パーティ | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| 14 第三者保証 | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 外部パーティ | 政府機関の監督を定義して文書化する | 1.1.0 |
| 14 第三者保証 | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 外部パーティ | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| 14 第三者保証 | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 外部パーティ | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| 14 第三者保証 | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 外部パーティ | 外部サービス プロバイダーを識別する | 1.1.0 |
| 14 第三者保証 | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 外部パーティ | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 外部パーティ | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 14 第三者保証 | 1454.05kCSPOrganizational.3-05.k | 1454.05kCSPOrganizational.3-05.k 05.02 外部パーティ | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 14 第三者保証 | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 外部パーティ | 政府機関の監督を定義して文書化する | 1.1.0 |
| 14 第三者保証 | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 14 第三者保証 | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 外部パーティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 14 第三者保証 | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 外部パーティ | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 14 第三者保証 | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 外部パーティ | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 外部パーティ | サードパーティの担当者の転送または解雇の通知を要求する | 1.1.0 |
| 14 第三者保証 | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 外部パーティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 14 第三者保証 | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 外部パーティ | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 14 第三者保証 | 1455.05kCSPOrganizational.4-05.k | 1455.05kCSPOrganizational.4-05.k 05.02 外部パーティ | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 14 第三者保証 | 1464.09e2Organizational.5-09.e | 1464.09e2Organizational.5-09.e 09.02 サード パーティのサービス提供を制御 | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 14 第三者保証 | 1464.09e2Organizational.5-09.e | 1464.09e2Organizational.5-09.e 09.02 サード パーティのサービス提供を制御 | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| 14 第三者保証 | 1464.09e2Organizational.5-09.e | 1464.09e2Organizational.5-09.e 09.02 サード パーティのサービス提供を制御 | 代替処理サイトを確立する | 1.1.0 |
| 14 第三者保証 | 1464.09e2Organizational.5-09.e | 1464.09e2Organizational.5-09.e 09.02 サード パーティのサービス提供を制御 | 代替ストレージ サイトで潜在的な問題を特定して軽減する | 1.1.0 |
| 14 第三者保証 | 1464.09e2Organizational.5-09.e | 1464.09e2Organizational.5-09.e 09.02 サード パーティのサービス提供を制御 | 中断後にリソースを回復して再構成する | 1.1.1 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | セキュリティ セーフガードの開発 | 1.1.0 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | 正式な制裁プロセスを実装する | 1.1.0 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | 承認時に担当者に通知する | 1.1.0 |
| 15 インシデント管理 | 1501.02f1Organizational.123-02.f | 1501.02f1Organizational.123-02.f 02.03 雇用中 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | セキュリティ セーフガードの開発 | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | 正式な制裁プロセスを実装する | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | インシデント処理機能を実装する | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | 承認時に担当者に通知する | 1.1.0 |
| 15 インシデント管理 | 1503.02f2Organizational.12-02.f | 1503.02f2Organizational.12-02.f 02.03 雇用中 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | アクセスを認可および管理する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | データ インベントリを作成する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | 論理アクセスを強制する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | インシデント対応機能と外部プロバイダー間の関係を確立する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | 正式な制裁プロセスを実装する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | 個人データの処理に関する記録を保持する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | 承認時に担当者に通知する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | アカウント作成の承認を必要とする | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 15 インシデント管理 | 1504.06e1Organizational.34-06.e | 1504.06e1Organizational.34-06.e 06.01 法的要件のコンプライアンス | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応テストを実施する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ セーフガードの開発 | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応機能と外部プロバイダー間の関係を確立する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応の担当者を特定する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | データ侵害レコードを保持する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応計画を保護する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報流出トレーニングを提供する | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | シミュレーション攻撃の実行 | 1.1.0 |
| 15 インシデント管理 | 1505.11a1Organizational.13-11.a | 1505.11a1Organizational.13-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 15 インシデント管理 | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | プライバシー プログラムを確立する | 1.1.0 |
| 15 インシデント管理 | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 機関および専門研究グループの連絡先を管理する | 1.1.0 |
| 15 インシデント管理 | 1506.11a1Organizational.2-11.a | 1506.11a1Organizational.2-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1507.11a1Organizational.4-11.a | 1507.11a1Organizational.4-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 内部関係者の脅威プログラムを実装する | 1.1.0 |
| 15 インシデント管理 | 1507.11a1Organizational.4-11.a | 1507.11a1Organizational.4-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント処理機能を実装する | 1.1.0 |
| 15 インシデント管理 | 1507.11a1Organizational.4-11.a | 1507.11a1Organizational.4-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 15 インシデント管理 | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報流出トレーニングを提供する | 1.1.0 |
| 15 インシデント管理 | 1508.11a2Organizational.1-11.a | 1508.11a2Organizational.1-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応テストを実施する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ セーフガードの開発 | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | データ侵害レコードを保持する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応計画を保護する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報流出トレーニングを提供する | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | シミュレーション攻撃の実行 | 1.1.0 |
| 15 インシデント管理 | 1509.11a2Organizational.236-11.a | 1509.11a2Organizational.236-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応テストを実施する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | データ侵害レコードを保持する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応計画を保護する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報流出トレーニングを提供する | 1.1.0 |
| 15 インシデント管理 | 1510.11a2Organizational.47-11.a | 1510.11a2Organizational.47-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | シミュレーション攻撃の実行 | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ セーフガードの開発 | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | シミュレートされたイベントをインシデント対応のトレーニングに組み込む | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報流出トレーニングを提供する | 1.1.0 |
| 15 インシデント管理 | 1511.11a2Organizational.5-11.a | 1511.11a2Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 職員に情報流出のアラートを通知する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 監査レコードの関連付け | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 監査データを確認する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 15 インシデント管理 | 1512.11a2Organizational.8-11.a | 1512.11a2Organizational.8-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント レスポンス計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | セキュリティ セーフガードの開発 | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1515.11a3Organizational.3-11.a | 1515.11a3Organizational.3-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応テストを実施する | 1.1.0 |
| 15 インシデント管理 | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 情報セキュリティ インシデントと改善の管理 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 15 インシデント管理 | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 情報セキュリティ インシデントと改善の管理 | データ侵害レコードを保持する | 1.1.0 |
| 15 インシデント管理 | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を保護する | 1.1.0 |
| 15 インシデント管理 | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報流出トレーニングを提供する | 1.1.0 |
| 15 インシデント管理 | 1516.11c1Organizational.12-11.c | 1516.11c1Organizational.12-11.c 11.02 情報セキュリティ インシデントと改善の管理 | シミュレーション攻撃の実行 | 1.1.0 |
| 15 インシデント管理 | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 情報セキュリティ インシデントと改善の管理 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 情報セキュリティ インシデントと改善の管理 | データ侵害レコードを保持する | 1.1.0 |
| 15 インシデント管理 | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1517.11c1Organizational.3-11.c | 1517.11c1Organizational.3-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を保護する | 1.1.0 |
| 15 インシデント管理 | 1518.11c2Organizational.13-11.c | 1518.11c2Organizational.13-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 監査レコードの関連付け | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 監査レコード分析の統合 | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 顧客が管理する監査レコードを処理する機能の提供 | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 監査データを確認する | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 15 インシデント管理 | 1519.11c2Organizational.2-11.c | 1519.11c2Organizational.2-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 15 インシデント管理 | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応テストを実施する | 1.1.0 |
| 15 インシデント管理 | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 15 インシデント管理 | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 情報セキュリティ インシデントと改善の管理 | データ侵害レコードを保持する | 1.1.0 |
| 15 インシデント管理 | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を保護する | 1.1.0 |
| 15 インシデント管理 | 1520.11c2Organizational.4-11.c | 1520.11c2Organizational.4-11.c 11.02 情報セキュリティ インシデントと改善の管理 | シミュレーション攻撃の実行 | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応テストを実施する | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | セキュリティ セーフガードの開発 | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント処理機能を実装する | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | シミュレートされたイベントをインシデント対応のトレーニングに組み込む | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報流出トレーニングを提供する | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | シミュレーション攻撃の実行 | 1.1.0 |
| 15 インシデント管理 | 1521.11c2Organizational.56-11.c | 1521.11c2Organizational.56-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 情報セキュリティ インシデントと改善の管理 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 情報セキュリティ インシデントと改善の管理 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1522.11c3Organizational.13-11.c | 1522.11c3Organizational.13-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1523.11c3Organizational.24-11.c | 1523.11c3Organizational.24-11.c 11.02 情報セキュリティ インシデントと改善の管理 | セキュリティ運用を文書化する | 1.1.0 |
| 15 インシデント管理 | 1523.11c3Organizational.24-11.c | 1523.11c3Organizational.24-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応機能と外部プロバイダー間の関係を確立する | 1.1.0 |
| 15 インシデント管理 | 1523.11c3Organizational.24-11.c | 1523.11c3Organizational.24-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応の担当者を特定する | 1.1.0 |
| 15 インシデント管理 | 1523.11c3Organizational.24-11.c | 1523.11c3Organizational.24-11.c 11.02 情報セキュリティ インシデントと改善の管理 | セキュリティ アラートに自動化されたメカニズムを使用する | 1.1.0 |
| 15 インシデント管理 | 1524.11a1Organizational.5-11.a | 1524.11a1Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 外部組織と連携して組織間の視点を実現する | 1.1.0 |
| 15 インシデント管理 | 1524.11a1Organizational.5-11.a | 1524.11a1Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| 15 インシデント管理 | 1524.11a1Organizational.5-11.a | 1524.11a1Organizational.5-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 15 インシデント管理 | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 情報セキュリティ人材の育成と向上プログラムを策定する | 1.1.0 |
| 15 インシデント管理 | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 内部関係者の脅威プログラムを実装する | 1.1.0 |
| 15 インシデント管理 | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 正式な制裁プロセスを実装する | 1.1.0 |
| 15 インシデント管理 | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント処理機能を実装する | 1.1.0 |
| 15 インシデント管理 | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 承認時に担当者に通知する | 1.1.0 |
| 15 インシデント管理 | 1525.11a1Organizational.6-11.a | 1525.11a1Organizational.6-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 15 インシデント管理 | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応テストを実施する | 1.1.0 |
| 15 インシデント管理 | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 15 インシデント管理 | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 情報セキュリティ インシデントと改善の管理 | インシデント処理を実装する | 1.1.0 |
| 15 インシデント管理 | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 情報セキュリティ インシデントと改善の管理 | データ侵害レコードを保持する | 1.1.0 |
| 15 インシデント管理 | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を保護する | 1.1.0 |
| 15 インシデント管理 | 1560.11d1Organizational.1-11.d | 1560.11d1Organizational.1-11.d 11.02 情報セキュリティ インシデントと改善の管理 | シミュレーション攻撃の実行 | 1.1.0 |
| 15 インシデント管理 | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 情報セキュリティ インシデントと改善の管理 | セキュリティ セーフガードの開発 | 1.1.0 |
| 15 インシデント管理 | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 情報セキュリティ インシデントと改善の管理 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| 15 インシデント管理 | 1561.11d2Organizational.14-11.d | 1561.11d2Organizational.14-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティの問題に対処する | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応テストを実施する | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 代替計画を策定する | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | セキュリティ セーフガードの開発 | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | シミュレーション攻撃の実行 | 1.1.0 |
| 15 インシデント管理 | 1562.11d2Organizational.2-11.d | 1562.11d2Organizational.2-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1563.11d2Organizational.3-11.d | 1563.11d2Organizational.3-11.d 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1563.11d2Organizational.3-11.d | 1563.11d2Organizational.3-11.d 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応テストを実施する | 1.1.0 |
| 15 インシデント管理 | 1563.11d2Organizational.3-11.d | 1563.11d2Organizational.3-11.d 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1563.11d2Organizational.3-11.d | 1563.11d2Organizational.3-11.d 11.02 情報セキュリティ インシデントと改善の管理 | シミュレーション攻撃の実行 | 1.1.0 |
| 15 インシデント管理 | 1577.11aCSPOrganizational.1-11.a | 1577.11aCSPOrganizational.1-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| 15 インシデント管理 | 1577.11aCSPOrganizational.1-11.a | 1577.11aCSPOrganizational.1-11.a 11.01 情報セキュリティ インシデントと弱点の報告 | インシデント対応の担当者を特定する | 1.1.0 |
| 15 インシデント管理 | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 15 インシデント管理 | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 情報セキュリティ インシデントと改善の管理 | セキュリティ セーフガードの開発 | 1.1.0 |
| 15 インシデント管理 | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 情報セキュリティ インシデントと改善の管理 | ネットワーク保護を有効にする | 1.1.0 |
| 15 インシデント管理 | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 汚染された情報の根絶 | 1.1.0 |
| 15 インシデント管理 | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 15 インシデント管理 | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 情報セキュリティ インシデントと改善の管理 | データ侵害レコードを保持する | 1.1.0 |
| 15 インシデント管理 | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を維持する | 1.1.0 |
| 15 インシデント管理 | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応計画を保護する | 1.1.0 |
| 15 インシデント管理 | 1587.11c2Organizational.10-11.c | 1587.11c2Organizational.10-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 15 インシデント管理 | 1589.11c1Organizational.5-11.c | 1589.11c1Organizational.5-11.c 11.02 情報セキュリティ インシデントと改善の管理 | インシデント対応テストを実施する | 1.1.0 |
| 15 インシデント管理 | 1589.11c1Organizational.5-11.c | 1589.11c1Organizational.5-11.c 11.02 情報セキュリティ インシデントと改善の管理 | シミュレートされたイベントをインシデント対応のトレーニングに組み込む | 1.1.0 |
| 15 インシデント管理 | 1589.11c1Organizational.5-11.c | 1589.11c1Organizational.5-11.c 11.02 情報セキュリティ インシデントと改善の管理 | 情報流出トレーニングを提供する | 1.1.0 |
| 15 インシデント管理 | 1589.11c1Organizational.5-11.c | 1589.11c1Organizational.5-11.c 11.02 情報セキュリティ インシデントと改善の管理 | シミュレーション攻撃の実行 | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1601.12c1Organizational.1238-12.c | 1601.12c1Organizational.1238-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1601.12c1Organizational.1238-12.c | 1601.12c1Organizational.1238-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 事業継続とディザスター リカバリーの計画をテストする | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1601.12c1Organizational.1238-12.c | 1601.12c1Organizational.1238-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を更新する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1602.12c1Organizational.4567-12.c | 1602.12c1Organizational.4567-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | キャパシティ プランニングの実施 | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1602.12c1Organizational.4567-12.c | 1602.12c1Organizational.4567-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 事業継続とディザスター リカバリー計画を作成および文書化する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1602.12c1Organizational.4567-12.c | 1602.12c1Organizational.4567-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1603.12c1Organizational.9-12.c | 1603.12c1Organizational.9-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画の変更を伝達する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1603.12c1Organizational.9-12.c | 1603.12c1Organizational.9-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1603.12c1Organizational.9-12.c | 1603.12c1Organizational.9-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | コンティンジェンシー計画に関するポリシーと手順を作成する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1603.12c1Organizational.9-12.c | 1603.12c1Organizational.9-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | ポリシーと手順の配布 | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1603.12c1Organizational.9-12.c | 1603.12c1Organizational.9-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 回復操作を容易にする代替ストレージ サイトを確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替処理サイトを確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1604.12c2Organizational.16789-12.c | 1604.12c2Organizational.16789-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1607.12c2Organizational.4-12.c | 1607.12c2Organizational.4-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1607.12c2Organizational.4-12.c | 1607.12c2Organizational.4-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1608.12c2Organizational.5-12.c | 1608.12c2Organizational.5-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1608.12c2Organizational.5-12.c | 1608.12c2Organizational.5-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | バックアップ情報を個別に保存する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1608.12c2Organizational.5-12.c | 1608.12c2Organizational.5-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替ストレージ サイトにバックアップ情報を転送する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1609.12c3Organizational.12-12.c | 1609.12c3Organizational.12-12.c 12.01 ビジネス継続性管理における情報セキュリティの側面 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1616.09l1Organizational.16-09.l | 1616.09l1Organizational.16-09.l 09.05 情報のバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1617.09l1Organizational.23-09.l | 1617.09l1Organizational.23-09.l 09.05 情報のバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1617.09l1Organizational.23-09.l | 1617.09l1Organizational.23-09.l 09.05 情報のバックアップ | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 情報のバックアップ | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 情報のバックアップ | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 情報のバックアップ | 回復操作を容易にする代替ストレージ サイトを確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 情報のバックアップ | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 情報のバックアップ | バックアップのポリシーと手順を確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1618.09l1Organizational.45-09.l | 1618.09l1Organizational.45-09.l 09.05 情報のバックアップ | バックアップ情報を個別に保存する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1619.09l1Organizational.7-09.l | 1619.09l1Organizational.7-09.l 09.05 情報のバックアップ | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 情報のバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 情報のバックアップ | バックアップのポリシーと手順を確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 情報のバックアップ | バックアップ情報を個別に保存する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 情報のバックアップ | 代替ストレージ サイトにバックアップ情報を転送する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 情報のバックアップ | データ インベントリを作成する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1621.09l2Organizational.1-09.l | 1621.09l2Organizational.1-09.l 09.05 情報のバックアップ | 個人データの処理に関する記録を保持する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1622.09l2Organizational.23-09.l | 1622.09l2Organizational.23-09.l 09.05 情報のバックアップ | バックアップのポリシーと手順を確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1622.09l2Organizational.23-09.l | 1622.09l2Organizational.23-09.l 09.05 情報のバックアップ | 代替ストレージ サイトで潜在的な問題を特定して軽減する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1622.09l2Organizational.23-09.l | 1622.09l2Organizational.23-09.l 09.05 情報のバックアップ | バックアップ情報を個別に保存する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1623.09l2Organizational.4-09.l | 1623.09l2Organizational.4-09.l 09.05 情報のバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1623.09l2Organizational.4-09.l | 1623.09l2Organizational.4-09.l 09.05 情報のバックアップ | バックアップのポリシーと手順を確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1624.09l3Organizational.12-09.l | 1624.09l3Organizational.12-09.l 09.05 情報のバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1624.09l3Organizational.12-09.l | 1624.09l3Organizational.12-09.l 09.05 情報のバックアップ | バックアップのポリシーと手順を確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 情報のバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1626.09l3Organizational.5-09.l | 1626.09l3Organizational.5-09.l 09.05 情報のバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1627.09l3Organizational.6-09.l | 1627.09l3Organizational.6-09.l 09.05 情報のバックアップ | バックアップ情報を個別に保存する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | コンティンジェンシー計画に関するポリシーと手順を作成する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | ポリシーと手順の配布 | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1635.12b1Organizational.2-12.b | 1635.12b1Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1635.12b1Organizational.2-12.b | 1635.12b1Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | ビジネスの影響評価とアプリケーションの重要度評価を実行する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1635.12b1Organizational.2-12.b | 1635.12b1Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | リスク評価を実行する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1635.12b1Organizational.2-12.b | 1635.12b1Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1636.12b2Organizational.1-12.b | 1636.12b2Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1636.12b2Organizational.1-12.b | 1636.12b2Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1636.12b2Organizational.1-12.b | 1636.12b2Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | ビジネスの影響評価とアプリケーションの重要度評価を実行する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | リスク評価を実施する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | リスク評価を実施して結果を配布する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | リスク評価を実行する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を更新する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | キャパシティ プランニングの実施 | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | リスク評価を実行する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1666.12d1Organizational.1235-12.d | 1666.12d1Organizational.1235-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画の変更を伝達する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1666.12d1Organizational.1235-12.d | 1666.12d1Organizational.1235-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1666.12d1Organizational.1235-12.d | 1666.12d1Organizational.1235-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1666.12d1Organizational.1235-12.d | 1666.12d1Organizational.1235-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1667.12d1Organizational.4-12.d | 1667.12d1Organizational.4-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画の変更を伝達する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1667.12d1Organizational.4-12.d | 1667.12d1Organizational.4-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1667.12d1Organizational.4-12.d | 1667.12d1Organizational.4-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 事業継続とディザスター リカバリー計画を作成および文書化する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1667.12d1Organizational.4-12.d | 1667.12d1Organizational.4-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を更新する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1668.12d1Organizational.67-12.d | 1668.12d1Organizational.67-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1668.12d1Organizational.67-12.d | 1668.12d1Organizational.67-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1668.12d1Organizational.67-12.d | 1668.12d1Organizational.67-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替処理サイトを確立する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1668.12d1Organizational.67-12.d | 1668.12d1Organizational.67-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | ビジネスの影響評価とアプリケーションの重要度評価を実行する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | コンティンジェンシー トレーニングを提供する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 事業継続とディザスター リカバリーの計画をテストする | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1669.12d1Organizational.8-12.d | 1669.12d1Organizational.8-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を更新する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1670.12d2Organizational.1-12.d | 1670.12d2Organizational.1-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1671.12d2Organizational.2-12.d | 1671.12d2Organizational.2-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画の変更を伝達する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1671.12d2Organizational.2-12.d | 1671.12d2Organizational.2-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を確認する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1671.12d2Organizational.2-12.d | 1671.12d2Organizational.2-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を更新する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1672.12d2Organizational.3-12.d | 1672.12d2Organizational.3-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画の変更を伝達する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1672.12d2Organizational.3-12.d | 1672.12d2Organizational.3-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1672.12d2Organizational.3-12.d | 1672.12d2Organizational.3-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を策定する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1672.12d2Organizational.3-12.d | 1672.12d2Organizational.3-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 16 ビジネス継続性およびディザスター リカバリー | 1672.12d2Organizational.3-12.d | 1672.12d2Organizational.3-12.d 12.01 ビジネス継続性管理における情報セキュリティの側面 | 代替計画を更新する | 1.1.0 |
| 17 リスク管理 | 1704.03b1Organizational.12-03.b | 1704.03b1Organizational.12-03.b 03.01 リスク管理プログラム | リスク評価を実施する | 1.1.0 |
| 17 リスク管理 | 1704.03b1Organizational.12-03.b | 1704.03b1Organizational.12-03.b 03.01 リスク管理プログラム | リスク評価を実行する | 1.1.0 |
| 17 リスク管理 | 1705.03b2Organizational.12-03.b | 1705.03b2Organizational.12-03.b 03.01 リスク管理プログラム | リスク評価を実施する | 1.1.0 |
| 17 リスク管理 | 1705.03b2Organizational.12-03.b | 1705.03b2Organizational.12-03.b 03.01 リスク管理プログラム | リスク評価を実施して結果を配布する | 1.1.0 |
| 17 リスク管理 | 1707.03c1Organizational.12-03.c | 1707.03c1Organizational.12-03.c 03.01 リスク管理プログラム | POA&M の開発 | 1.1.0 |
| 17 リスク管理 | 1708.03c2Organizational.12-03.c | 1708.03c2Organizational.12-03.c 03.01 リスク管理プログラム | POA&M の開発 | 1.1.0 |
| 17 リスク管理 | 1708.03c2Organizational.12-03.c | 1708.03c2Organizational.12-03.c 03.01 リスク管理プログラム | POA&M 項目の更新 | 1.1.0 |
| 17 リスク管理 | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 情報システムのセキュリティ要件 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 17 リスク管理 | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 情報システムのセキュリティ要件 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 17 リスク管理 | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 情報システムのセキュリティ要件 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 17 リスク管理 | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 情報システムのセキュリティ要件 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 17 リスク管理 | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 情報システムのセキュリティ要件 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 17 リスク管理 | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 情報システムのセキュリティ要件 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 17 リスク管理 | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 情報システムのセキュリティ要件 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 17 リスク管理 | 17100.10a3Organizational.5 | 17100.10a3Organizational.5 10.01 情報システムのセキュリティ要件 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 17 リスク管理 | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | コーディングの脆弱性に対処する | 1.1.0 |
| 17 リスク管理 | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| 17 リスク管理 | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| 17 リスク管理 | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ コントロールの設計と実装の情報を取得する | 1.1.1 |
| 17 リスク管理 | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ コントロールの機能プロパティを取得する | 1.1.0 |
| 17 リスク管理 | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 17101.10a3Organizational.6-10.a | 17101.10a3Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 17 リスク管理 | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 情報システムのセキュリティ要件 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| 17 リスク管理 | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 情報システムのセキュリティ要件 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 17 リスク管理 | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 情報システムのセキュリティ要件 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 17 リスク管理 | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 情報システムのセキュリティ要件 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 17 リスク管理 | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 情報システムのセキュリティ要件 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 17 リスク管理 | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 情報システムのセキュリティ要件 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 17 リスク管理 | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 情報システムのセキュリティ要件 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 17 リスク管理 | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 情報システムのセキュリティ要件 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 17 リスク管理 | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 情報システムのセキュリティ要件 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 17 リスク管理 | 17120.10a3Organizational.5-10.a | 17120.10a3Organizational.5-10.a 10.01 情報システムのセキュリティ要件 | 取得と外部委託の承認を取得する | 1.1.0 |
| 17 リスク管理 | 17126.03c1System.6-03.c | 17126.03c1System.6-03.c 03.01 リスク管理プログラム | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 17 リスク管理 | 17126.03c1System.6-03.c | 17126.03c1System.6-03.c 03.01 リスク管理プログラム | リスク管理戦略の確立 | 1.1.0 |
| 17 リスク管理 | 17126.03c1System.6-03.c | 17126.03c1System.6-03.c 03.01 リスク管理プログラム | リスク管理戦略を実装する | 1.1.0 |
| 17 リスク管理 | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 リスク管理プログラム | データ処理者の職務を定義する | 1.1.0 |
| 17 リスク管理 | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 リスク管理プログラム | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 17 リスク管理 | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 リスク管理プログラム | PII の保有を定期的に評価して確認する | 1.1.0 |
| 17 リスク管理 | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 リスク管理プログラム | データの品質と整合性を確保するためのガイドラインを発行する | 1.1.0 |
| 17 リスク管理 | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 リスク管理プログラム | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 17 リスク管理 | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 リスク管理プログラム | 処理確認を実行する | 1.1.0 |
| 17 リスク管理 | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 リスク管理プログラム | サードパーティに対する PII の開示を記録する | 1.1.0 |
| 17 リスク管理 | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 リスク管理プログラム | PII 共有とその結果に関するスタッフのトレーニング | 1.1.0 |
| 17 リスク管理 | 1713.03c1Organizational.3-03.c | 1713.03c1Organizational.3-03.c 03.01 リスク管理プログラム | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 17 リスク管理 | 1733.03d1Organizational.1-03.d | 1733.03d1Organizational.1-03.d 03.01 リスク管理プログラム | リスク評価を実施する | 1.1.0 |
| 17 リスク管理 | 1733.03d1Organizational.1-03.d | 1733.03d1Organizational.1-03.d 03.01 リスク管理プログラム | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 17 リスク管理 | 1733.03d1Organizational.1-03.d | 1733.03d1Organizational.1-03.d 03.01 リスク管理プログラム | リスク管理戦略の確立 | 1.1.0 |
| 17 リスク管理 | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 リスク管理プログラム | セキュリティへの影響分析を実施する | 1.1.0 |
| 17 リスク管理 | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 リスク管理プログラム | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 17 リスク管理 | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 リスク管理プログラム | リスク管理戦略の確立 | 1.1.0 |
| 17 リスク管理 | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 リスク管理プログラム | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 17 リスク管理 | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 リスク管理プログラム | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 17 リスク管理 | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 リスク管理プログラム | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 17 リスク管理 | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 リスク管理プログラム | プライバシー影響評価を実行する | 1.1.0 |
| 17 リスク管理 | 1734.03d2Organizational.1-03.d | 1734.03d2Organizational.1-03.d 03.01 リスク管理プログラム | 構成変更制御の監査を実行する | 1.1.0 |
| 17 リスク管理 | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 リスク管理プログラム | セキュリティへの影響分析を実施する | 1.1.0 |
| 17 リスク管理 | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 リスク管理プログラム | リスク評価を実施して結果を配布する | 1.1.0 |
| 17 リスク管理 | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 リスク管理プログラム | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 17 リスク管理 | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 リスク管理プログラム | リスク管理戦略の確立 | 1.1.0 |
| 17 リスク管理 | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 リスク管理プログラム | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 17 リスク管理 | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 リスク管理プログラム | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 17 リスク管理 | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 リスク管理プログラム | プライバシー影響評価を実行する | 1.1.0 |
| 17 リスク管理 | 1735.03d2Organizational.23-03.d | 1735.03d2Organizational.23-03.d 03.01 リスク管理プログラム | 構成変更制御の監査を実行する | 1.1.0 |
| 17 リスク管理 | 1736.03d2Organizational.4-03.d | 1736.03d2Organizational.4-03.d 03.01 リスク管理プログラム | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 17 リスク管理 | 1737.03d2Organizational.5-03.d | 1737.03d2Organizational.5-03.d 03.01 リスク管理プログラム | リスク評価を実施する | 1.1.0 |
| 17 リスク管理 | 1737.03d2Organizational.5-03.d | 1737.03d2Organizational.5-03.d 03.01 リスク管理プログラム | リスク評価を実施して結果を配布する | 1.1.0 |
| 17 リスク管理 | 1737.03d2Organizational.5-03.d | 1737.03d2Organizational.5-03.d 03.01 リスク管理プログラム | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 17 リスク管理 | 1737.03d2Organizational.5-03.d | 1737.03d2Organizational.5-03.d 03.01 リスク管理プログラム | リスク管理戦略の確立 | 1.1.0 |
| 17 リスク管理 | 1780.10a1Organizational.1-10.a | 1780.10a1Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 17 リスク管理 | 1780.10a1Organizational.1-10.a | 1780.10a1Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| 17 リスク管理 | 1780.10a1Organizational.1-10.a | 1780.10a1Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | ポリシーと手順の管理 | 1.1.0 |
| 17 リスク管理 | 1781.10a1Organizational.23-10.a | 1781.10a1Organizational.23-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 17 リスク管理 | 1781.10a1Organizational.23-10.a | 1781.10a1Organizational.23-10.a 10.01 情報システムのセキュリティ要件 | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 17 リスク管理 | 1781.10a1Organizational.23-10.a | 1781.10a1Organizational.23-10.a 10.01 情報システムのセキュリティ要件 | 基準を満たす SSP の開発 | 1.1.0 |
| 17 リスク管理 | 1781.10a1Organizational.23-10.a | 1781.10a1Organizational.23-10.a 10.01 情報システムのセキュリティ要件 | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 17 リスク管理 | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 情報システムのセキュリティ要件 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 17 リスク管理 | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 17 リスク管理 | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 情報システムのセキュリティ要件 | 基準を満たす SSP の開発 | 1.1.0 |
| 17 リスク管理 | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 情報システムのセキュリティ要件 | プライバシー プログラムを確立する | 1.1.0 |
| 17 リスク管理 | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 情報システムのセキュリティ要件 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 17 リスク管理 | 1782.10a1Organizational.4-10.a | 1782.10a1Organizational.4-10.a 10.01 情報システムのセキュリティ要件 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 17 リスク管理 | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 情報システムのセキュリティ要件 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 17 リスク管理 | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 情報システムのセキュリティ要件 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 17 リスク管理 | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 情報システムのセキュリティ要件 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 17 リスク管理 | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 情報システムのセキュリティ要件 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 17 リスク管理 | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 情報システムのセキュリティ要件 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 17 リスク管理 | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 情報システムのセキュリティ要件 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 17 リスク管理 | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 情報システムのセキュリティ要件 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 17 リスク管理 | 1783.10a1Organizational.56-10.a | 1783.10a1Organizational.56-10.a 10.01 情報システムのセキュリティ要件 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 17 リスク管理 | 1784.10a1Organizational.7-10.a | 1784.10a1Organizational.7-10.a 10.01 情報システムのセキュリティ要件 | PIV に FIPS 201 承認済みのテクノロジを採用する | 1.1.0 |
| 17 リスク管理 | 1785.10a1Organizational.8-10.a | 1785.10a1Organizational.8-10.a 10.01 情報システムのセキュリティ要件 | リモート アクセスを認可する | 1.1.0 |
| 17 リスク管理 | 1785.10a1Organizational.8-10.a | 1785.10a1Organizational.8-10.a 10.01 情報システムのセキュリティ要件 | 特定された異常に対する代替アクションを作成する | 1.1.0 |
| 17 リスク管理 | 1785.10a1Organizational.8-10.a | 1785.10a1Organizational.8-10.a 10.01 情報システムのセキュリティ要件 | 正確なセキュリティ機能を説明するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1785.10a1Organizational.8-10.a | 1785.10a1Organizational.8-10.a 10.01 情報システムのセキュリティ要件 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| 17 リスク管理 | 1785.10a1Organizational.8-10.a | 1785.10a1Organizational.8-10.a 10.01 情報システムのセキュリティ要件 | 管理タスクに専用マシンを使用する | 1.1.0 |
| 17 リスク管理 | 1786.10a1Organizational.9-10.a | 1786.10a1Organizational.9-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 17 リスク管理 | 1786.10a1Organizational.9-10.a | 1786.10a1Organizational.9-10.a 10.01 情報システムのセキュリティ要件 | 外部サービス プロバイダーを識別する | 1.1.0 |
| 17 リスク管理 | 1786.10a1Organizational.9-10.a | 1786.10a1Organizational.9-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| 17 リスク管理 | 1786.10a1Organizational.9-10.a | 1786.10a1Organizational.9-10.a 10.01 情報システムのセキュリティ要件 | SDLC ポート、プロトコル、サービスの識別を開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1787.10a2Organizational.1-10.a | 1787.10a2Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | プライバシー コントロールを自動化する | 1.1.0 |
| 17 リスク管理 | 1787.10a2Organizational.1-10.a | 1787.10a2Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 17 リスク管理 | 1787.10a2Organizational.1-10.a | 1787.10a2Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | プライバシー プログラムを確立する | 1.1.0 |
| 17 リスク管理 | 1787.10a2Organizational.1-10.a | 1787.10a2Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティと個人データの保護 | 1.1.0 |
| 17 リスク管理 | 1787.10a2Organizational.1-10.a | 1787.10a2Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | プライバシー影響評価を実行する | 1.1.0 |
| 17 リスク管理 | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | コーディングの脆弱性に対処する | 1.1.0 |
| 17 リスク管理 | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | セキュリティへの影響分析を実施する | 1.1.0 |
| 17 リスク管理 | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| 17 リスク管理 | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 17 リスク管理 | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| 17 リスク管理 | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | プライバシー影響評価を実行する | 1.1.0 |
| 17 リスク管理 | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1788.10a2Organizational.2-10.a | 1788.10a2Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1789.10a2Organizational.3-10.a | 1789.10a2Organizational.3-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 17 リスク管理 | 1789.10a2Organizational.3-10.a | 1789.10a2Organizational.3-10.a 10.01 情報システムのセキュリティ要件 | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 17 リスク管理 | 1789.10a2Organizational.3-10.a | 1789.10a2Organizational.3-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| 17 リスク管理 | 1789.10a2Organizational.3-10.a | 1789.10a2Organizational.3-10.a 10.01 情報システムのセキュリティ要件 | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 17 リスク管理 | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 17 リスク管理 | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 情報システムのセキュリティ要件 | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 17 リスク管理 | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 情報システムのセキュリティ要件 | 基準を満たす SSP の開発 | 1.1.0 |
| 17 リスク管理 | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 情報システムのセキュリティ要件 | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 17 リスク管理 | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| 17 リスク管理 | 1790.10a2Organizational.45-10.a | 1790.10a2Organizational.45-10.a 10.01 情報システムのセキュリティ要件 | 開発プロセス、標準、ツールをレビューする | 1.1.0 |
| 17 リスク管理 | 1791.10a2Organizational.6-10.a | 1791.10a2Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | 欠陥の修復を自動化する | 1.1.0 |
| 17 リスク管理 | 1791.10a2Organizational.6-10.a | 1791.10a2Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ構成の設定を適用する | 1.1.0 |
| 17 リスク管理 | 1791.10a2Organizational.6-10.a | 1791.10a2Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 17 リスク管理 | 1791.10a2Organizational.6-10.a | 1791.10a2Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 17 リスク管理 | 1791.10a2Organizational.6-10.a | 1791.10a2Organizational.6-10.a 10.01 情報システムのセキュリティ要件 | システム診断データを表示して構成する | 1.1.0 |
| 17 リスク管理 | 1792.10a2Organizational.7814-10.a | 1792.10a2Organizational.7814-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 17 リスク管理 | 1792.10a2Organizational.7814-10.a | 1792.10a2Organizational.7814-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| 17 リスク管理 | 1792.10a2Organizational.7814-10.a | 1792.10a2Organizational.7814-10.a 10.01 情報システムのセキュリティ要件 | リスク管理戦略を実装する | 1.1.0 |
| 17 リスク管理 | 1792.10a2Organizational.7814-10.a | 1792.10a2Organizational.7814-10.a 10.01 情報システムのセキュリティ要件 | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 17 リスク管理 | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 情報システムのセキュリティ要件 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 17 リスク管理 | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 17 リスク管理 | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 情報システムのセキュリティ要件 | 基準を満たす SSP の開発 | 1.1.0 |
| 17 リスク管理 | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 情報システムのセキュリティ要件 | プライバシー プログラムを確立する | 1.1.0 |
| 17 リスク管理 | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 情報システムのセキュリティ要件 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 17 リスク管理 | 1793.10a2Organizational.91011-10.a | 1793.10a2Organizational.91011-10.a 10.01 情報システムのセキュリティ要件 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 17 リスク管理 | 1794.10a2Organizational.12-10.a | 1794.10a2Organizational.12-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1795.10a2Organizational.13-10.a | 1795.10a2Organizational.13-10.a 10.01 情報システムのセキュリティ要件 | コーディングの脆弱性に対処する | 1.1.0 |
| 17 リスク管理 | 1795.10a2Organizational.13-10.a | 1795.10a2Organizational.13-10.a 10.01 情報システムのセキュリティ要件 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| 17 リスク管理 | 1795.10a2Organizational.13-10.a | 1795.10a2Organizational.13-10.a 10.01 情報システムのセキュリティ要件 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| 17 リスク管理 | 1795.10a2Organizational.13-10.a | 1795.10a2Organizational.13-10.a 10.01 情報システムのセキュリティ要件 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1795.10a2Organizational.13-10.a | 1795.10a2Organizational.13-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 情報システムのセキュリティ要件 | 評価結果を承諾する | 1.1.0 |
| 17 リスク管理 | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 情報システムのセキュリティ要件 | キュリティ コントロールの評価 | 1.1.0 |
| 17 リスク管理 | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ評価の結果を配信する | 1.1.0 |
| 17 リスク管理 | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ評価計画の作成 | 1.1.0 |
| 17 リスク管理 | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 情報システムのセキュリティ要件 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| 17 リスク管理 | 1796.10a2Organizational.15-10.a | 1796.10a2Organizational.15-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ評価レポートの生成 | 1.1.0 |
| 17 リスク管理 | 1797.10a3Organizational.1-10.a | 1797.10a3Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 17 リスク管理 | 1797.10a3Organizational.1-10.a | 1797.10a3Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | エンタープライズ アーキテクチャを開発する | 1.1.0 |
| 17 リスク管理 | 1797.10a3Organizational.1-10.a | 1797.10a3Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ アーキテクチャの構築を開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1797.10a3Organizational.1-10.a | 1797.10a3Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | 正確なセキュリティ機能を説明するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1797.10a3Organizational.1-10.a | 1797.10a3Organizational.1-10.a 10.01 情報システムのセキュリティ要件 | 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1798.10a3Organizational.2-10.a | 1798.10a3Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 17 リスク管理 | 1798.10a3Organizational.2-10.a | 1798.10a3Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | エンタープライズ アーキテクチャを開発する | 1.1.0 |
| 17 リスク管理 | 1798.10a3Organizational.2-10.a | 1798.10a3Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ アーキテクチャの構築を開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1798.10a3Organizational.2-10.a | 1798.10a3Organizational.2-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| 17 リスク管理 | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 情報システムのセキュリティ要件 | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 17 リスク管理 | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 情報システムのセキュリティ要件 | エンタープライズ アーキテクチャを開発する | 1.1.0 |
| 17 リスク管理 | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 情報システムのセキュリティ要件 | セキュリティ アーキテクチャの構築を開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 情報システムのセキュリティ要件 | 正確なセキュリティ機能を説明するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 情報システムのセキュリティ要件 | 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | 1.1.0 |
| 17 リスク管理 | 1799.10a3Organizational.34-10.a | 1799.10a3Organizational.34-10.a 10.01 情報システムのセキュリティ要件 | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1801.08b1Organizational.124-08.b | 1801.08b1Organizational.124-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1801.08b1Organizational.124-08.b | 1801.08b1Organizational.124-08.b 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1801.08b1Organizational.124-08.b | 1801.08b1Organizational.124-08.b 08.01 安全な領域 | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 18 物理および環境的セキュリティ | 1802.08b1Organizational.3-08.b | 1802.08b1Organizational.3-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1803.08b1Organizational.5-08.b | 1803.08b1Organizational.5-08.b 08.01 安全な領域 | リモート メンテナンス アクティビティを自動化する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1803.08b1Organizational.5-08.b | 1803.08b1Organizational.5-08.b 08.01 安全な領域 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1803.08b1Organizational.5-08.b | 1803.08b1Organizational.5-08.b 08.01 安全な領域 | リモート メンテナンス アクティビティの完全なレコードを生成する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1804.08b2Organizational.12-08.b | 1804.08b2Organizational.12-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1804.08b2Organizational.12-08.b | 1804.08b2Organizational.12-08.b 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1805.08b2Organizational.3-08.b | 1805.08b2Organizational.3-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1806.08b2Organizational.4-08.b | 1806.08b2Organizational.4-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1807.08b2Organizational.56-08.b | 1807.08b2Organizational.56-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 安全な領域 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 安全な領域 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 安全な領域 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 安全な領域 | ユーザー アカウントを確認する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1808.08b2Organizational.7-08.b | 1808.08b2Organizational.7-08.b 08.01 安全な領域 | 個人の職務を分離する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1810.08b3Organizational.2-08.b | 1810.08b3Organizational.2-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18108.08j1Organizational.1-08.j | 18108.08j1Organizational.1-08.j 08.02 機器セキュリティ | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18108.08j1Organizational.1-08.j | 18108.08j1Organizational.1-08.j 08.02 機器セキュリティ | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18109.08j1Organizational.4-08.j | 18109.08j1Organizational.4-08.j 08.02 機器セキュリティ | 承認されていないメンテナンス アクティビティを監視する担当者の指定 | 1.1.0 |
| 18 物理および環境的セキュリティ | 18109.08j1Organizational.4-08.j | 18109.08j1Organizational.4-08.j 08.02 機器セキュリティ | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18109.08j1Organizational.4-08.j | 18109.08j1Organizational.4-08.j 08.02 機器セキュリティ | 承認されたリモート メンテナンス担当者リストの管理 | 1.1.0 |
| 18 物理および環境的セキュリティ | 18109.08j1Organizational.4-08.j | 18109.08j1Organizational.4-08.j 08.02 機器セキュリティ | メンテナンス担当者の管理 | 1.1.0 |
| 18 物理および環境的セキュリティ | 1811.08b3Organizational.3-08.b | 1811.08b3Organizational.3-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1811.08b3Organizational.3-08.b | 1811.08b3Organizational.3-08.b 08.01 安全な領域 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1811.08b3Organizational.3-08.b | 1811.08b3Organizational.3-08.b 08.01 安全な領域 | 資産インベントリの確立と管理 | 1.1.0 |
| 18 物理および環境的セキュリティ | 1811.08b3Organizational.3-08.b | 1811.08b3Organizational.3-08.b 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18110.08j1Organizational.5-08.j | 18110.08j1Organizational.5-08.j 08.02 機器セキュリティ | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18110.08j1Organizational.5-08.j | 18110.08j1Organizational.5-08.j 08.02 機器セキュリティ | 暗号化メカニズムを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18110.08j1Organizational.5-08.j | 18110.08j1Organizational.5-08.j 08.02 機器セキュリティ | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18110.08j1Organizational.5-08.j | 18110.08j1Organizational.5-08.j 08.02 機器セキュリティ | すべての非ローカル メンテナンスを実行する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18111.08j1Organizational.6-08.j | 18111.08j1Organizational.6-08.j 08.02 機器セキュリティ | タイムリーなメンテナンス サポートを提供する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18112.08j3Organizational.4-08.j | 18112.08j3Organizational.4-08.j 08.02 機器セキュリティ | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18112.08j3Organizational.4-08.j | 18112.08j3Organizational.4-08.j 08.02 機器セキュリティ | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18112.08j3Organizational.4-08.j | 18112.08j3Organizational.4-08.j 08.02 機器セキュリティ | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1812.08b3Organizational.46-08.b | 1812.08b3Organizational.46-08.b 08.01 安全な領域 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1812.08b3Organizational.46-08.b | 1812.08b3Organizational.46-08.b 08.01 安全な領域 | アラーム システムをインストールする | 1.1.0 |
| 18 物理および環境的セキュリティ | 1812.08b3Organizational.46-08.b | 1812.08b3Organizational.46-08.b 08.01 安全な領域 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18127.08l1Organizational.3-08.l | 18127.08l1Organizational.3-08.l 08.02 機器セキュリティ | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1813.08b3Organizational.56-08.b | 1813.08b3Organizational.56-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1813.08b3Organizational.56-08.b | 1813.08b3Organizational.56-08.b 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1813.08b3Organizational.56-08.b | 1813.08b3Organizational.56-08.b 08.01 安全な領域 | アラーム システムをインストールする | 1.1.0 |
| 18 物理および環境的セキュリティ | 1813.08b3Organizational.56-08.b | 1813.08b3Organizational.56-08.b 08.01 安全な領域 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18130.09p1Organizational.24-09.p | 18130.09p1Organizational.24-09.p 09.07 メディアの処理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1814.08d1Organizational.12-08.d | 1814.08d1Organizational.12-08.d 08.01 安全な領域 | 侵入テスト方法を実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1814.08d1Organizational.12-08.d | 1814.08d1Organizational.12-08.d 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1814.08d1Organizational.12-08.d | 1814.08d1Organizational.12-08.d 08.01 安全な領域 | シミュレーション攻撃の実行 | 1.1.0 |
| 18 物理および環境的セキュリティ | 18145.08b3Organizational.7-08.b | 18145.08b3Organizational.7-08.b 08.01 安全な領域 | アラーム システムをインストールする | 1.1.0 |
| 18 物理および環境的セキュリティ | 18145.08b3Organizational.7-08.b | 18145.08b3Organizational.7-08.b 08.01 安全な領域 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18146.08b3Organizational.8-08.b | 18146.08b3Organizational.8-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18146.08b3Organizational.8-08.b | 18146.08b3Organizational.8-08.b 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 18146.08b3Organizational.8-08.b | 18146.08b3Organizational.8-08.b 08.01 安全な領域 | アラーム システムをインストールする | 1.1.0 |
| 18 物理および環境的セキュリティ | 18146.08b3Organizational.8-08.b | 18146.08b3Organizational.8-08.b 08.01 安全な領域 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1815.08d2Organizational.123-08.d | 1815.08d2Organizational.123-08.d 08.01 安全な領域 | 侵入テスト方法を実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1815.08d2Organizational.123-08.d | 1815.08d2Organizational.123-08.d 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1815.08d2Organizational.123-08.d | 1815.08d2Organizational.123-08.d 08.01 安全な領域 | シミュレーション攻撃の実行 | 1.1.0 |
| 18 物理および環境的セキュリティ | 1816.08d2Organizational.4-08.d | 1816.08d2Organizational.4-08.d 08.01 安全な領域 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1816.08d2Organizational.4-08.d | 1816.08d2Organizational.4-08.d 08.01 安全な領域 | アラーム システムをインストールする | 1.1.0 |
| 18 物理および環境的セキュリティ | 1816.08d2Organizational.4-08.d | 1816.08d2Organizational.4-08.d 08.01 安全な領域 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1816.08d2Organizational.4-08.d | 1816.08d2Organizational.4-08.d 08.01 安全な領域 | 資産の輸送を管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1817.08d3Organizational.12-08.d | 1817.08d3Organizational.12-08.d 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1818.08d3Organizational.3-08.d | 1818.08d3Organizational.3-08.d 08.01 安全な領域 | 侵入テスト方法を実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1818.08d3Organizational.3-08.d | 1818.08d3Organizational.3-08.d 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1818.08d3Organizational.3-08.d | 1818.08d3Organizational.3-08.d 08.01 安全な領域 | シミュレーション攻撃の実行 | 1.1.0 |
| 18 物理および環境的セキュリティ | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 機器セキュリティ | リモート メンテナンス アクティビティを自動化する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 機器セキュリティ | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 機器セキュリティ | 承認されていないメンテナンス アクティビティを監視する担当者の指定 | 1.1.0 |
| 18 物理および環境的セキュリティ | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 機器セキュリティ | 承認されたリモート メンテナンス担当者リストの管理 | 1.1.0 |
| 18 物理および環境的セキュリティ | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 機器セキュリティ | メンテナンス担当者の管理 | 1.1.0 |
| 18 物理および環境的セキュリティ | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 機器セキュリティ | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1819.08j1Organizational.23-08.j | 1819.08j1Organizational.23-08.j 08.02 機器セキュリティ | リモート メンテナンス アクティビティの完全なレコードを生成する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1820.08j2Organizational.1-08.j | 1820.08j2Organizational.1-08.j 08.02 機器セキュリティ | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1820.08j2Organizational.1-08.j | 1820.08j2Organizational.1-08.j 08.02 機器セキュリティ | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1821.08j2Organizational.3-08.j | 1821.08j2Organizational.3-08.j 08.02 機器セキュリティ | リモート メンテナンス アクティビティを自動化する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1821.08j2Organizational.3-08.j | 1821.08j2Organizational.3-08.j 08.02 機器セキュリティ | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1821.08j2Organizational.3-08.j | 1821.08j2Organizational.3-08.j 08.02 機器セキュリティ | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1821.08j2Organizational.3-08.j | 1821.08j2Organizational.3-08.j 08.02 機器セキュリティ | リモート メンテナンス アクティビティの完全なレコードを生成する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1822.08j2Organizational.2-08.j | 1822.08j2Organizational.2-08.j 08.02 機器セキュリティ | リモート メンテナンス アクティビティを自動化する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1822.08j2Organizational.2-08.j | 1822.08j2Organizational.2-08.j 08.02 機器セキュリティ | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1822.08j2Organizational.2-08.j | 1822.08j2Organizational.2-08.j 08.02 機器セキュリティ | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1822.08j2Organizational.2-08.j | 1822.08j2Organizational.2-08.j 08.02 機器セキュリティ | リモート メンテナンス アクティビティの完全なレコードを生成する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1823.08j3Organizational.12-08.j | 1823.08j3Organizational.12-08.j 08.02 機器セキュリティ | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1823.08j3Organizational.12-08.j | 1823.08j3Organizational.12-08.j 08.02 機器セキュリティ | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1824.08j3Organizational.3-08.j | 1824.08j3Organizational.3-08.j 08.02 機器セキュリティ | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1824.08j3Organizational.3-08.j | 1824.08j3Organizational.3-08.j 08.02 機器セキュリティ | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1826.09p1Organizational.1-09.p | 1826.09p1Organizational.1-09.p 09.07 メディアの処理 | 定義されている保持期間に従う | 1.1.0 |
| 18 物理および環境的セキュリティ | 1826.09p1Organizational.1-09.p | 1826.09p1Organizational.1-09.p 09.07 メディアの処理 | 処理確認を実行する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1826.09p1Organizational.1-09.p | 1826.09p1Organizational.1-09.p 09.07 メディアの処理 | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1844.08b1Organizational.6-08.b | 1844.08b1Organizational.6-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1845.08b1Organizational.7-08.b | 1845.08b1Organizational.7-08.b 08.01 安全な領域 | 物理的なアクセスを制御する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1845.08b1Organizational.7-08.b | 1845.08b1Organizational.7-08.b 08.01 安全な領域 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1845.08b1Organizational.7-08.b | 1845.08b1Organizational.7-08.b 08.01 安全な領域 | 資産インベントリの確立と管理 | 1.1.0 |
| 18 物理および環境的セキュリティ | 1845.08b1Organizational.7-08.b | 1845.08b1Organizational.7-08.b 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1846.08b2Organizational.8-08.b | 1846.08b2Organizational.8-08.b 08.01 安全な領域 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1847.08b2Organizational.910-08.b | 1847.08b2Organizational.910-08.b 08.01 安全な領域 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1847.08b2Organizational.910-08.b | 1847.08b2Organizational.910-08.b 08.01 安全な領域 | 資産インベントリの確立と管理 | 1.1.0 |
| 18 物理および環境的セキュリティ | 1848.08b2Organizational.11-08.b | 1848.08b2Organizational.11-08.b 08.01 安全な領域 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1862.08d1Organizational.3-08.d | 1862.08d1Organizational.3-08.d 08.01 安全な領域 | 侵入テスト方法を実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1862.08d1Organizational.3-08.d | 1862.08d1Organizational.3-08.d 08.01 安全な領域 | シミュレーション攻撃の実行 | 1.1.0 |
| 18 物理および環境的セキュリティ | 1862.08d3Organizational.3 | 1862.08d3Organizational.3 08.01 安全な領域 | 侵入テスト方法を実装する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1862.08d3Organizational.3 | 1862.08d3Organizational.3 08.01 安全な領域 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1892.01l1Organizational.1 | 1892.01l1Organizational.1 01.04 ネットワーク アクセス制御 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 18 物理および環境的セキュリティ | 1892.01l1Organizational.1 | 1892.01l1Organizational.1 01.04 ネットワーク アクセス制御 | 資産インベントリの確立と管理 | 1.1.0 |
| 19 データ保護とプライバシー | 1901.06d1Organizational.1-06.d | 1901.06d1Organizational.1-06.d 06.01 法的要件のコンプライアンス | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 19 データ保護とプライバシー | 1901.06d1Organizational.1-06.d | 1901.06d1Organizational.1-06.d 06.01 法的要件のコンプライアンス | プライバシー プログラムを確立する | 1.1.0 |
| 19 データ保護とプライバシー | 1901.06d1Organizational.1-06.d | 1901.06d1Organizational.1-06.d 06.01 法的要件のコンプライアンス | コンプライアンス アクティビティを管理する | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | データ処理者の職務を定義する | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | プライバシー ポリシーの文書化と配布 | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | 情報の開示を正確に把握する | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | 開示の会計処理を要求に応じて利用できるようにする | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | プライバシーに関する通知を行う | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | サードパーティに対する PII の開示を記録する | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | 通信を制限する | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | 情報開示の義務を保持する | 1.1.0 |
| 19 データ保護とプライバシー | 1902.06d1Organizational.2-06.d | 1902.06d1Organizational.2-06.d 06.01 法的要件のコンプライアンス | PII 共有とその結果に関するスタッフのトレーニング | 1.1.0 |
| 19 データ保護とプライバシー | 1903.06d1Organizational.3456711-06.d | 1903.06d1Organizational.3456711-06.d 06.01 法的要件のコンプライアンス | 暗号化の使用を定義する | 1.1.0 |
| 19 データ保護とプライバシー | 1903.06d1Organizational.3456711-06.d | 1903.06d1Organizational.3456711-06.d 06.01 法的要件のコンプライアンス | データ漏えいの管理手順を確立する | 1.1.0 |
| 19 データ保護とプライバシー | 1903.06d1Organizational.3456711-06.d | 1903.06d1Organizational.3456711-06.d 06.01 法的要件のコンプライアンス | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 19 データ保護とプライバシー | 1903.06d1Organizational.3456711-06.d | 1903.06d1Organizational.3456711-06.d 06.01 法的要件のコンプライアンス | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 19 データ保護とプライバシー | 1903.06d1Organizational.3456711-06.d | 1903.06d1Organizational.3456711-06.d 06.01 法的要件のコンプライアンス | 特別な情報を保護する | 1.1.0 |
| 19 データ保護とプライバシー | 1904.06.d2Organizational.1-06.d | 1904.06.d2Organizational.1-06.d 06.01 法的要件のコンプライアンス | 定義されている保持期間に従う | 1.1.0 |
| 19 データ保護とプライバシー | 1904.06.d2Organizational.1-06.d | 1904.06.d2Organizational.1-06.d 06.01 法的要件のコンプライアンス | 処理確認を実行する | 1.1.0 |
| 19 データ保護とプライバシー | 1904.06.d2Organizational.1-06.d | 1904.06.d2Organizational.1-06.d 06.01 法的要件のコンプライアンス | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 19 データ保護とプライバシー | 1906.06.c1Organizational.2-06.c | 1906.06.c1Organizational.2-06.c 06.01 法的要件のコンプライアンス | SORNs を一般公開する | 1.1.0 |
| 19 データ保護とプライバシー | 1906.06.c1Organizational.2-06.c | 1906.06.c1Organizational.2-06.c 06.01 法的要件のコンプライアンス | 個人に正式な通知を行う | 1.1.0 |
| 19 データ保護とプライバシー | 1906.06.c1Organizational.2-06.c | 1906.06.c1Organizational.2-06.c 06.01 法的要件のコンプライアンス | 一般ユーザーおよび個人にプライバシーに関する通知を提供する | 1.1.0 |
| 19 データ保護とプライバシー | 1906.06.c1Organizational.2-06.c | 1906.06.c1Organizational.2-06.c 06.01 法的要件のコンプライアンス | PII を含むシステムの SORNs を公開する | 1.1.0 |
| 19 データ保護とプライバシー | 1907.06.c1Organizational.3-06.c | 1907.06.c1Organizational.3-06.c 06.01 法的要件のコンプライアンス | SORNs を最新の状態に保つ | 1.1.0 |
| 19 データ保護とプライバシー | 1907.06.c1Organizational.3-06.c | 1907.06.c1Organizational.3-06.c 06.01 法的要件のコンプライアンス | SORNs を一般公開する | 1.1.0 |
| 19 データ保護とプライバシー | 1907.06.c1Organizational.3-06.c | 1907.06.c1Organizational.3-06.c 06.01 法的要件のコンプライアンス | 個人に正式な通知を行う | 1.1.0 |
| 19 データ保護とプライバシー | 1907.06.c1Organizational.3-06.c | 1907.06.c1Organizational.3-06.c 06.01 法的要件のコンプライアンス | PII を含むシステムの SORNs を公開する | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | 定義されている保持期間に従う | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | バックアップのポリシーと手順を確立する | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | SORNs を最新の状態に保つ | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | SORNs を一般公開する | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | 個人に正式な通知を行う | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | PII を含むシステムの SORNs を公開する | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 19 データ保護とプライバシー | 1908.06.c1Organizational.4-06.c | 1908.06.c1Organizational.4-06.c 06.01 法的要件のコンプライアンス | ラベル アクティビティと分析を確認する | 1.1.0 |
| 19 データ保護とプライバシー | 1911.06d1Organizational.13-06.d | 1911.06d1Organizational.13-06.d 06.01 法的要件のコンプライアンス | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 19 データ保護とプライバシー | 1911.06d1Organizational.13-06.d | 1911.06d1Organizational.13-06.d 06.01 法的要件のコンプライアンス | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| 19 データ保護とプライバシー | 1911.06d1Organizational.13-06.d | 1911.06d1Organizational.13-06.d 06.01 法的要件のコンプライアンス | PII の保有を定期的に評価して確認する | 1.1.0 |
| 19 データ保護とプライバシー | 1911.06d1Organizational.13-06.d | 1911.06d1Organizational.13-06.d 06.01 法的要件のコンプライアンス | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 19 データ保護とプライバシー | 1911.06d1Organizational.13-06.d | 1911.06d1Organizational.13-06.d 06.01 法的要件のコンプライアンス | PII を削除またはマスキングする | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | プライバシー プログラムを確立する | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | 情報セキュリティと個人データの保護 | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | コンプライアンス アクティビティを管理する | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | 公的にアクセス可能な情報を投稿する前にコンテンツを確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | 公開されていない情報の公的にアクセス可能なコンテンツを確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | 非公開情報の公開に関する職員のトレーニング | 1.1.0 |
| 19 データ保護とプライバシー | 19134.05j1Organizational.5-05.j | 19134.05j1Organizational.5-05.j 05.02 外部パーティ | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| 19 データ保護とプライバシー | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 法的要件のコンプライアンス | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 19 データ保護とプライバシー | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 法的要件のコンプライアンス | アクセスを認可および管理する | 1.1.0 |
| 19 データ保護とプライバシー | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 法的要件のコンプライアンス | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 19 データ保護とプライバシー | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 法的要件のコンプライアンス | 論理アクセスを強制する | 1.1.0 |
| 19 データ保護とプライバシー | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 法的要件のコンプライアンス | バックアップのポリシーと手順を確立する | 1.1.0 |
| 19 データ保護とプライバシー | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 法的要件のコンプライアンス | トランザクション ベースの回復を実装する | 1.1.0 |
| 19 データ保護とプライバシー | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 法的要件のコンプライアンス | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 19 データ保護とプライバシー | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 法的要件のコンプライアンス | アカウント作成の承認を必要とする | 1.1.0 |
| 19 データ保護とプライバシー | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 法的要件のコンプライアンス | ラベル アクティビティと分析を確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19141.06c1Organizational.7-06.c | 19141.06c1Organizational.7-06.c 06.01 法的要件のコンプライアンス | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 法的要件のコンプライアンス | 定義されている保持期間に従う | 1.1.0 |
| 19 データ保護とプライバシー | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 法的要件のコンプライアンス | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| 19 データ保護とプライバシー | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 法的要件のコンプライアンス | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 19 データ保護とプライバシー | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 法的要件のコンプライアンス | 処理確認を実行する | 1.1.0 |
| 19 データ保護とプライバシー | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 法的要件のコンプライアンス | メディアの使用を制限する | 1.1.0 |
| 19 データ保護とプライバシー | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 法的要件のコンプライアンス | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 19 データ保護とプライバシー | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 法的要件のコンプライアンス | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 19 データ保護とプライバシー | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 法的要件のコンプライアンス | ラベル アクティビティと分析を確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19142.06c1Organizational.8-06.c | 19142.06c1Organizational.8-06.c 06.01 法的要件のコンプライアンス | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 法的要件のコンプライアンス | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 19 データ保護とプライバシー | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 法的要件のコンプライアンス | 情報の分類 | 1.1.0 |
| 19 データ保護とプライバシー | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 法的要件のコンプライアンス | ビジネス分類スキームを作成する | 1.1.0 |
| 19 データ保護とプライバシー | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 法的要件のコンプライアンス | 基準を満たす SSP の開発 | 1.1.0 |
| 19 データ保護とプライバシー | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 法的要件のコンプライアンス | セキュリティ分類が承認されていることを確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19143.06c1Organizational.9-06.c | 19143.06c1Organizational.9-06.c 06.01 法的要件のコンプライアンス | ラベル アクティビティと分析を確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 法的要件のコンプライアンス | 定義されている保持期間に従う | 1.1.0 |
| 19 データ保護とプライバシー | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 法的要件のコンプライアンス | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 19 データ保護とプライバシー | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 法的要件のコンプライアンス | 処理確認を実行する | 1.1.0 |
| 19 データ保護とプライバシー | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 法的要件のコンプライアンス | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 19 データ保護とプライバシー | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 法的要件のコンプライアンス | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 19 データ保護とプライバシー | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 法的要件のコンプライアンス | ラベル アクティビティと分析を確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19144.06c2Organizational.1-06.c | 19144.06c2Organizational.1-06.c 06.01 法的要件のコンプライアンス | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 法的要件のコンプライアンス | 定義されている保持期間に従う | 1.1.0 |
| 19 データ保護とプライバシー | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 法的要件のコンプライアンス | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 19 データ保護とプライバシー | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 法的要件のコンプライアンス | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 19 データ保護とプライバシー | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 法的要件のコンプライアンス | 処理確認を実行する | 1.1.0 |
| 19 データ保護とプライバシー | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 法的要件のコンプライアンス | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 19 データ保護とプライバシー | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 法的要件のコンプライアンス | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 19 データ保護とプライバシー | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 法的要件のコンプライアンス | ラベル アクティビティと分析を確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19145.06c2Organizational.2-06.c | 19145.06c2Organizational.2-06.c 06.01 法的要件のコンプライアンス | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19242.06d1Organizational.14-06.d | 19242.06d1Organizational.14-06.d 06.01 法的要件のコンプライアンス | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 19 データ保護とプライバシー | 19242.06d1Organizational.14-06.d | 19242.06d1Organizational.14-06.d 06.01 法的要件のコンプライアンス | PII の保有を定期的に評価して確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19242.06d1Organizational.14-06.d | 19242.06d1Organizational.14-06.d 06.01 法的要件のコンプライアンス | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 19 データ保護とプライバシー | 19242.06d1Organizational.14-06.d | 19242.06d1Organizational.14-06.d 06.01 法的要件のコンプライアンス | PII を削除またはマスキングする | 1.1.0 |
| 19 データ保護とプライバシー | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 法的要件のコンプライアンス | プライバシー コントロールを自動化する | 1.1.0 |
| 19 データ保護とプライバシー | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 法的要件のコンプライアンス | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 19 データ保護とプライバシー | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 法的要件のコンプライアンス | PII の保有を定期的に評価して確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 法的要件のコンプライアンス | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 19 データ保護とプライバシー | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 法的要件のコンプライアンス | 情報セキュリティと個人データの保護 | 1.1.0 |
| 19 データ保護とプライバシー | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 法的要件のコンプライアンス | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 19 データ保護とプライバシー | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 法的要件のコンプライアンス | プライバシーに関する通知を行う | 1.1.0 |
| 19 データ保護とプライバシー | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 法的要件のコンプライアンス | PII を削除またはマスキングする | 1.1.0 |
| 19 データ保護とプライバシー | 19243.06d1Organizational.15-06.d | 19243.06d1Organizational.15-06.d 06.01 法的要件のコンプライアンス | 通信を制限する | 1.1.0 |
| 19 データ保護とプライバシー | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 法的要件のコンプライアンス | PII の品質と整合性を確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 法的要件のコンプライアンス | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 19 データ保護とプライバシー | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 法的要件のコンプライアンス | PII の保有を定期的に評価して確認する | 1.1.0 |
| 19 データ保護とプライバシー | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 法的要件のコンプライアンス | データの品質と整合性を確保するためのガイドラインを発行する | 1.1.0 |
| 19 データ保護とプライバシー | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 法的要件のコンプライアンス | 個人データの処理に関する記録を保持する | 1.1.0 |
| 19 データ保護とプライバシー | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 法的要件のコンプライアンス | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 19 データ保護とプライバシー | 19245.06d2Organizational.2-06.d | 19245.06d2Organizational.2-06.d 06.01 法的要件のコンプライアンス | 一般向け Web サイトでコンピューターマッチング契約を発行する | 1.1.0 |
IRS 1075 (2016 年 9 月)
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - IRS 1075 (2016 年 9 月) に関する記事をご覧ください。 このコンプライアンス標準の詳細については、IRS 1075 (2016 年 9 月) に関するドキュメントをご覧ください。
ISO 27001:2013
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - ISO 27001:2013 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、ISO 27001:2013 に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 暗号化 | 10.1.1 | 暗号化コントロールの使用に関するポリシー | 暗号化の使用を定義する | 1.1.0 |
| 暗号化 | 10.1.1 | 暗号化コントロールの使用に関するポリシー | プライバシー ポリシーの文書化と配布 | 1.1.0 |
| 暗号化 | 10.1.1 | 暗号化コントロールの使用に関するポリシー | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 暗号化 | 10.1.1 | 暗号化コントロールの使用に関するポリシー | プライバシーに関する通知を行う | 1.1.0 |
| 暗号化 | 10.1.1 | 暗号化コントロールの使用に関するポリシー | 通信を制限する | 1.1.0 |
| 暗号化 | 10.1.1 | 暗号化コントロールの使用に関するポリシー | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 暗号化の使用を定義する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | アサーション要件を決定する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | パスワード ポリシーの確立 | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 認証なしで許可されているアクションを特定する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 組織外のユーザーを識別して認証する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 公開キー証明書を発行する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 対称暗号化キーを管理する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | 秘密キーへのアクセスを制限する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 暗号化 | 10.1.2 | キー管理 | カスタマー コントロールのアカウント資格情報を終了する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.1 | 物理的なセキュリティ境界 | 生体認証メカニズムを採用する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.1 | 物理的なセキュリティ境界 | 物理的なアクセスを制御する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.1 | 物理的なセキュリティ境界 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.1 | 物理的なセキュリティ境界 | 資産インベントリの確立と管理 | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.1 | 物理的なセキュリティ境界 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.1 | 物理的なセキュリティ境界 | アラーム システムをインストールする | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.1 | 物理的なセキュリティ境界 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.1 | 物理的なセキュリティ境界 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.2 | 物理的な入退管理策 | 生体認証メカニズムを採用する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.2 | 物理的な入退管理策 | 物理的なアクセスを制御する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.2 | 物理的な入退管理策 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.2 | 物理的な入退管理策 | 承認されていないメンテナンス アクティビティを監視する担当者の指定 | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.2 | 物理的な入退管理策 | 資産インベントリの確立と管理 | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.2 | 物理的な入退管理策 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.2 | 物理的な入退管理策 | 承認されたリモート メンテナンス担当者リストの管理 | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.2 | 物理的な入退管理策 | メンテナンス担当者の管理 | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.2 | 物理的な入退管理策 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.3 | オフィス、部屋、施設のセキュリティ保護 | 生体認証メカニズムを採用する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.3 | オフィス、部屋、施設のセキュリティ保護 | 物理的なアクセスを制御する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.3 | オフィス、部屋、施設のセキュリティ保護 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.3 | オフィス、部屋、施設のセキュリティ保護 | 資産インベントリの確立と管理 | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.3 | オフィス、部屋、施設のセキュリティ保護 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.4 | 外部および環境の脅威からの保護 | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.4 | 外部および環境の脅威からの保護 | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.4 | 外部および環境の脅威からの保護 | 情報システムが既知の状態で失敗するようにする | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.4 | 外部および環境の脅威からの保護 | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.4 | 外部および環境の脅威からの保護 | 代替処理サイトを確立する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.4 | 外部および環境の脅威からの保護 | 代替ストレージ サイトで潜在的な問題を特定して軽減する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.4 | 外部および環境の脅威からの保護 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.4 | 外部および環境の脅威からの保護 | アラーム システムをインストールする | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.4 | 外部および環境の脅威からの保護 | 重要なビジネス機能の継続を計画する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.5 | セキュリティで保護された領域での業務 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.5 | セキュリティで保護された領域での業務 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.5 | セキュリティで保護された領域での業務 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.6 | 引き渡しおよび荷積みエリア | 生体認証メカニズムを採用する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.6 | 引き渡しおよび荷積みエリア | 資産管理の要件を定義する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.6 | 引き渡しおよび荷積みエリア | アラーム システムをインストールする | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.6 | 引き渡しおよび荷積みエリア | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.1.6 | 引き渡しおよび荷積みエリア | 資産の輸送を管理する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.1 | 機器の設置と保護 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.2 | サポート ユーティリティ | 自動非常用照明を使用する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.2 | サポート ユーティリティ | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.2 | サポート ユーティリティ | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.3 | ケーブルのセキュリティ | 生体認証メカニズムを採用する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.3 | ケーブルのセキュリティ | 物理的なアクセスを制御する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.3 | ケーブルのセキュリティ | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.3 | ケーブルのセキュリティ | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.4 | 機器メンテナンス | リモート メンテナンス アクティビティを自動化する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.4 | 機器メンテナンス | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.4 | 機器メンテナンス | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.4 | 機器メンテナンス | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.4 | 機器メンテナンス | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.4 | 機器メンテナンス | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.4 | 機器メンテナンス | リモート メンテナンス アクティビティの完全なレコードを生成する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.4 | 機器メンテナンス | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.4 | 機器メンテナンス | タイムリーなメンテナンス サポートを提供する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.5 | 資産の削除 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.5 | 資産の削除 | 資産管理の要件を定義する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.5 | 資産の削除 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.5 | 資産の削除 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.5 | 資産の削除 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.5 | 資産の削除 | 資産の輸送を管理する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.6 | 敷地外の機器と資産のセキュリティ | モバイル デバイスの要件を定義する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.6 | 敷地外の機器と資産のセキュリティ | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.6 | 敷地外の機器と資産のセキュリティ | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.6 | 敷地外の機器と資産のセキュリティ | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.6 | 敷地外の機器と資産のセキュリティ | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.6 | 敷地外の機器と資産のセキュリティ | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.6 | 敷地外の機器と資産のセキュリティ | 資産の輸送を管理する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.6 | 敷地外の機器と資産のセキュリティ | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.6 | 敷地外の機器と資産のセキュリティ | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.6 | 敷地外の機器と資産のセキュリティ | 外部情報システムのセキュリティ管理策を検証する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.7 | 機器の安全な廃棄または再利用 | 定義されている保持期間に従う | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.7 | 機器の安全な廃棄または再利用 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.7 | 機器の安全な廃棄または再利用 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.7 | 機器の安全な廃棄または再利用 | 処理確認を実行する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.7 | 機器の安全な廃棄または再利用 | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.8 | 無人のユーザー機器 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.8 | 無人のユーザー機器 | ユーザー セッションを自動的に終了する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.9 | セキュリティ上問題のないデスクおよび画面に関するポリシー | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.9 | セキュリティ上問題のないデスクおよび画面に関するポリシー | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 物理セキュリティおよび論理セキュリティ | 11.2.9 | セキュリティ上問題のないデスクおよび画面に関するポリシー | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 情報システムのドキュメントを配布する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 顧客によって定義されたアクションを文書化する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | ポリシーと手順の管理 | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 管理者向けドキュメントを取得する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | ユーザー セキュリティ機能のドキュメントを取得する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 管理者とユーザーのドキュメントを保護する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| 操作のセキュリティ | 12.1.1 | 文書化された運用手順 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | コーディングの脆弱性に対処する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 提案された変更の承認要求を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 承認された変更通知の実装を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | セキュリティへの影響分析を実施する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | セキュリティ構成の設定を適用する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | リスク管理戦略の確立 | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | アラーム システムをインストールする | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | プライバシー影響評価を実行する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | リスク評価を実行する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 構成変更制御の監査を実行する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 脆弱性スキャンを実行する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 情報システムの欠陥を修復する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| 操作のセキュリティ | 12.1.2 | 変更管理 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 操作のセキュリティ | 12.1.3 | 容量管理 | キャパシティ プランニングの実施 | 1.1.0 |
| 操作のセキュリティ | 12.1.3 | 容量管理 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 操作のセキュリティ | 12.1.4 | 開発、テスト、運用環境の分離 | セキュリティへの影響分析を実施する | 1.1.0 |
| 操作のセキュリティ | 12.1.4 | 開発、テスト、運用環境の分離 | 暗号化されていない静的認証子がないことを確認する | 1.1.0 |
| 操作のセキュリティ | 12.1.4 | 開発、テスト、運用環境の分離 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 操作のセキュリティ | 12.1.4 | 開発、テスト、運用環境の分離 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 操作のセキュリティ | 12.1.4 | 開発、テスト、運用環境の分離 | PII を保護するためのコントロールを実装する | 1.1.0 |
| 操作のセキュリティ | 12.1.4 | 開発、テスト、運用環境の分離 | リサーチ処理にセキュリティとデータ プライバシー プラクティスを組み込む | 1.1.0 |
| 操作のセキュリティ | 12.1.4 | 開発、テスト、運用環境の分離 | プライバシー影響評価を実行する | 1.1.0 |
| 操作のセキュリティ | 12.1.4 | 開発、テスト、運用環境の分離 | 構成変更制御の監査を実行する | 1.1.0 |
| 操作のセキュリティ | 12.1.4 | 開発、テスト、運用環境の分離 | 脆弱性スキャンを実行する | 1.1.0 |
| 操作のセキュリティ | 12.1.4 | 開発、テスト、運用環境の分離 | 情報システムの欠陥を修復する | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | ゲートウェイを管理する | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | 脆弱性スキャンを実行する | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 操作のセキュリティ | 12.2.1 | マルウェアに対する管理策 | ウイルス対策定義を更新する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | 定義されている保持期間に従う | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | 情報システムが既知の状態で失敗するようにする | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | 代替処理サイトを確立する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | バックアップのポリシーと手順を確立する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | トランザクション ベースの回復を実装する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | 処理確認を実行する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | 重要なビジネス機能の継続を計画する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | バックアップ情報を個別に保存する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | 代替ストレージ サイトにバックアップ情報を転送する | 1.1.0 |
| 操作のセキュリティ | 12.3.1 | 情報のバックアップ | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 定義されている保持期間に従う | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 職員に情報流出のアラートを通知する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 特権機能を監査する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | ユーザー アカウントの状態を監査する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | VoIP の承認、監視、制御 | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | アカウント管理を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | Azure 監査機能を構成する | 1.1.1 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 監査レコードの関連付け | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 監査可能なイベントを決定する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | インシデント レスポンス計画を策定する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 侵害のインジケーターを検出する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | アクセス制限の適用と監査 | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | コンシューマー リクエストのためのメソッドを実装する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | システム境界の保護を実装する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | Cloud App Security を SIEM と統合する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | ゲートウェイを管理する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | システムと管理者のアカウントを管理する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 組織全体のアクセスを監視する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | アカウント アクティビティを監視する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 特権ロールの割り当てを監視する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | アカウントが不要になったときに通知する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 脅威に関する傾向分析を実行する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 必要に応じて監視情報を提供する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | SORNs でアクセス手順を公開する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | プライバシーに関する法律の記録にアクセスするルールと規制を公開する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 管理者割り当てを毎週レビューする | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | AU-02 で定義されているイベントの確認と更新 | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 監査データを確認する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 承認されていない変更の変更を確認する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | クラウド ID レポートの概要を確認する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 操作のセキュリティ | 12.4.1 | イベント ログ | 特権 ID 管理を使用する | 1.1.0 |
| 操作のセキュリティ | 12.4.2 | ログ情報の保護 | 定義されている保持期間に従う | 1.1.0 |
| 操作のセキュリティ | 12.4.2 | ログ情報の保護 | データ処理者の職務を定義する | 1.1.0 |
| 操作のセキュリティ | 12.4.2 | ログ情報の保護 | 二重または共同の認可を有効にする | 1.1.0 |
| 操作のセキュリティ | 12.4.2 | ログ情報の保護 | 処理確認を実行する | 1.1.0 |
| 操作のセキュリティ | 12.4.2 | ログ情報の保護 | 監査情報を保護する | 1.1.0 |
| 操作のセキュリティ | 12.4.2 | ログ情報の保護 | サードパーティに対する PII の開示を記録する | 1.1.0 |
| 操作のセキュリティ | 12.4.2 | ログ情報の保護 | PII 共有とその結果に関するスタッフのトレーニング | 1.1.0 |
| 操作のセキュリティ | 12.4.2 | ログ情報の保護 | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 特権機能を監査する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | ユーザー アカウントの状態を監査する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | VoIP の承認、監視、制御 | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | アカウント管理を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 監査可能なイベントを決定する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 二重または共同の認可を有効にする | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | システム境界の保護を実装する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | ゲートウェイを管理する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | システムと管理者のアカウントを管理する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 組織全体のアクセスを監視する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | アカウント アクティビティを監視する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 特権ロールの割り当てを監視する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | アカウントが不要になったときに通知する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 監査情報を保護する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 必要に応じて監視情報を提供する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 監査データを確認する | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 操作のセキュリティ | 12.4.3 | 管理者とオペレーターのログ | 特権 ID 管理を使用する | 1.1.0 |
| 操作のセキュリティ | 12.4.4 | 時計の同期化 | 監査レコードをシステム全体の監査にコンパイルする | 1.1.0 |
| 操作のセキュリティ | 12.4.4 | 時計の同期化 | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 提案された変更の承認要求を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 承認された変更通知の実装を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | セキュリティへの影響分析を実施する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | セキュリティ構成の設定を適用する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | リスク管理戦略の確立 | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | プライバシー影響評価を実行する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | リスク評価を実行する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 構成変更制御の監査を実行する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | 情報システムの欠陥を修復する | 1.1.0 |
| 操作のセキュリティ | 12.5.1 | 運用システムへのソフトウェアのインストール | システム診断データを表示して構成する | 1.1.0 |
| 操作のセキュリティ | 12.6.1 | 技術的脆弱性の管理 | リスク評価を実施する | 1.1.0 |
| 操作のセキュリティ | 12.6.1 | 技術的脆弱性の管理 | リスク評価を実施して結果を配布する | 1.1.0 |
| 操作のセキュリティ | 12.6.1 | 技術的脆弱性の管理 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 操作のセキュリティ | 12.6.1 | 技術的脆弱性の管理 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| 操作のセキュリティ | 12.6.1 | 技術的脆弱性の管理 | リスク評価を実行する | 1.1.0 |
| 操作のセキュリティ | 12.6.1 | 技術的脆弱性の管理 | 脆弱性スキャンを実行する | 1.1.0 |
| 操作のセキュリティ | 12.6.1 | 技術的脆弱性の管理 | 情報システムの欠陥を修復する | 1.1.0 |
| 操作のセキュリティ | 12.6.1 | 技術的脆弱性の管理 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 提案された変更の承認要求を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 承認された変更通知の実装を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | セキュリティへの影響分析を実施する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | セキュリティ構成の設定を適用する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | リスク管理戦略の確立 | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | プライバシー影響評価を実行する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | リスク評価を実行する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 構成変更制御の監査を実行する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | 情報システムの欠陥を修復する | 1.1.0 |
| 操作のセキュリティ | 12.6.2 | ソフトウェアのインストールに関する制限 | システム診断データを表示して構成する | 1.1.0 |
| 操作のセキュリティ | 12.7.1 | 情報システム監査管理策 | 侵入テストに別個のチームを採用する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 生体認証メカニズムを採用する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | アクセスを認可および管理する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | リモート アクセスを認可する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 情報フローを制御する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | モビリティ トレーニングを文書化する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 論理アクセスを強制する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | システム境界の保護を実装する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 組織全体のアクセスを監視する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | リモート デバイスの分割トンネリングの防止 | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | ワイヤレス アクセスを保護する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | ユーザー セッションを再認証するか終了する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | アカウント作成の承認を必要とする | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 管理タスクに専用マシンを使用する | 1.1.0 |
| 通信のセキュリティ | 13.1.1 | ネットワーク制御 | 外部情報システムのセキュリティ管理策を検証する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | 生体認証メカニズムを採用する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | 情報フローを制御する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | 政府機関の監督を定義して文書化する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | 電子署名と証明書の要件を確立する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | システム境界の保護を実装する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | リモート デバイスの分割トンネリングの防止 | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 通信のセキュリティ | 13.1.2 | ネットワーク サービスのセキュリティ | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | リモート アクセスを認可する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | 情報フローを制御する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | システム境界の保護を実装する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | リモート デバイスの分割トンネリングの防止 | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| 通信のセキュリティ | 13.1.3 | ネットワークの分離 | 管理タスクに専用マシンを使用する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | リモート アクセスを認可する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 情報フローを制御する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | モバイル デバイスの要件を定義する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | モビリティ トレーニングを文書化する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | コラボレーション コンピューティング デバイスの使用を明示的に通知する | 1.1.1 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | システム境界の保護を実装する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | ワイヤレス アクセスを保護する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| 通信のセキュリティ | 13.2.1 | 情報転送のポリシーと手順 | 外部情報システムのセキュリティ管理策を検証する | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | 政府機関の監督を定義して文書化する | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | 外部サービス プロバイダーを識別する | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | プライバシーに関する通知を行う | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 通信のセキュリティ | 13.2.2 | 情報の転送に関する契約 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| 通信のセキュリティ | 13.2.3 | 電子メッセージング | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 通信のセキュリティ | 13.2.3 | 電子メッセージング | 情報フローを制御する | 1.1.0 |
| 通信のセキュリティ | 13.2.3 | 電子メッセージング | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 通信のセキュリティ | 13.2.3 | 電子メッセージング | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 通信のセキュリティ | 13.2.3 | 電子メッセージング | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 通信のセキュリティ | 13.2.3 | 電子メッセージング | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| 通信のセキュリティ | 13.2.3 | 電子メッセージング | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 通信のセキュリティ | 13.2.3 | 電子メッセージング | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 通信のセキュリティ | 13.2.3 | 電子メッセージング | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 通信のセキュリティ | 13.2.3 | 電子メッセージング | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | 利用規約と手順を作成する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | セキュリティ セーフガードの開発 | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | 組織のアクセス契約を文書化する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | アクセス契約が署名されているか、または時間内に辞任されていることを確認する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | 不正行為を禁止する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | ユーザーがアクセス契約に署名することを必須にする | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | 組織のアクセス契約を更新する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 通信のセキュリティ | 13.2.4 | 機密性または秘密保持契約 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | サプライヤー契約の義務を決定する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 基準を満たす SSP の開発 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | プライバシー プログラムを確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 外部サービス プロバイダーを識別する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.1 | 情報セキュリティの要件の分析と仕様 | 開発プロセス、標準、ツールをレビューする | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 生体認証メカニズムを採用する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | アクセスを認可および管理する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | リモート アクセスを認可する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 情報フローを制御する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 暗号化の使用を定義する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | モビリティ トレーニングを文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 論理アクセスを強制する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | ユーザーの一意性を徹底する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 組織外のユーザーを識別して認証する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 組織全体のアクセスを監視する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | アカウント作成の承認を必要とする | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.2 | パブリック ネットワークでのアプリケーション サービスのセキュリティ保護 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | アクセスを認可および管理する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | リモート アクセスを認可する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 情報フローを制御する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 暗号化の使用を定義する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 論理アクセスを強制する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | ユーザーの一意性を徹底する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 組織外のユーザーを識別して認証する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | システム境界の保護を実装する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | リモート デバイスの分割トンネリングの防止 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | アカウント作成の承認を必要とする | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.1.3 | アプリケーション サービスのトランザクションの保護 | 管理タスクに専用マシンを使用する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.1 | セキュリティで保護された開発に関するポリシー | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.1 | セキュリティで保護された開発に関するポリシー | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| システムの取得、開発、メンテナンス | 14.2.1 | セキュリティで保護された開発に関するポリシー | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.1 | セキュリティで保護された開発に関するポリシー | セキュリティ アーキテクチャの構築を開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.1 | セキュリティで保護された開発に関するポリシー | 正確なセキュリティ機能を説明するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.1 | セキュリティで保護された開発に関するポリシー | 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.1 | セキュリティで保護された開発に関するポリシー | 開発プロセス、標準、ツールをレビューする | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | コーディングの脆弱性に対処する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 提案された変更の承認要求を自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 承認された変更通知の実装を自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | セキュリティへの影響分析を実施する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | セキュリティ構成の設定を適用する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | リスク管理戦略の確立 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | プライバシー影響評価を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | リスク評価を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 構成変更制御の監査を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 脆弱性スキャンを実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 情報システムの欠陥を修復する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.2 | システムの変更制御の手順 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 提案された変更の承認要求を自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 承認された変更通知の実装を自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | セキュリティへの影響分析を実施する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | セキュリティ構成の設定を適用する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | リスク管理戦略の確立 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 変更制御プロセスを確立して文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 開発者向けの構成管理要件を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | プライバシー影響評価を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | リスク評価を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 構成変更制御の監査を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 脆弱性スキャンを実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.3 | 運用プラットフォーム変更後のアプリケーションの技術的なレビュー | 情報システムの欠陥を修復する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | コーディングの脆弱性に対処する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 提案された変更の承認要求を自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 承認された変更通知の実装を自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | セキュリティへの影響分析を実施する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | セキュリティ構成の設定を適用する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | リスク管理戦略の確立 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | プライバシー影響評価を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | リスク評価を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 構成変更制御の監査を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 脆弱性スキャンを実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 情報システムの欠陥を修復する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.4 | ソフトウェア パッケージに対する変更の制限 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.5 | セキュリティで保護されたシステム エンジニアリングの原則 | 情報入力の検証を実行 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.5 | セキュリティで保護されたシステム エンジニアリングの原則 | セキュリティ アーキテクチャの構築を開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.5 | セキュリティで保護されたシステム エンジニアリングの原則 | 正確なセキュリティ機能を説明するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.5 | セキュリティで保護されたシステム エンジニアリングの原則 | 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.5 | セキュリティで保護されたシステム エンジニアリングの原則 | 開発プロセス、標準、ツールをレビューする | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.6 | セキュリティで保護された開発環境 | セキュリティへの影響分析を実施する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.6 | セキュリティで保護された開発環境 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.6 | セキュリティで保護された開発環境 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.6 | セキュリティで保護された開発環境 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.6 | セキュリティで保護された開発環境 | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| システムの取得、開発、メンテナンス | 14.2.6 | セキュリティで保護された開発環境 | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.6 | セキュリティで保護された開発環境 | プライバシー影響評価を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.6 | セキュリティで保護された開発環境 | 構成変更制御の監査を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.6 | セキュリティで保護された開発環境 | 脆弱性スキャンを実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.6 | セキュリティで保護された開発環境 | 情報システムの欠陥を修復する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | コーディングの脆弱性に対処する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | セキュリティへの影響分析を実施する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | サプライヤー契約の義務を決定する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | プライバシー影響評価を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 構成変更制御の監査を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 脆弱性スキャンを実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 情報システムの欠陥を修復する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.7 | 外部委託による開発 | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.8 | システム セキュリティのテスト | キュリティ コントロールの評価 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.8 | システム セキュリティのテスト | セキュリティ評価の結果を配信する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.8 | システム セキュリティのテスト | セキュリティ評価計画の作成 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.8 | システム セキュリティのテスト | 暗号化されていない静的認証子がないことを確認する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.8 | システム セキュリティのテスト | 脆弱性スキャンを実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.8 | システム セキュリティのテスト | セキュリティ評価レポートの生成 | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.8 | システム セキュリティのテスト | 情報システムの欠陥を修復する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.8 | システム セキュリティのテスト | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 承認担当者 (AO) を割り当てる | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | サプライヤー契約の義務を決定する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 買収契約における個人データの保護を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | リソースが承認されていることを確認する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.2.9 | システムの承認テスト | 暗号化されていない静的認証子がないことを確認する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | 定義されている保持期間に従う | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | セキュリティへの影響分析を実施する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | 暗号化されていない静的認証子がないことを確認する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | プライバシー影響評価を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | 構成変更制御の監査を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | 処理確認を実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | 情報システムの欠陥を修復する | 1.1.0 |
| システムの取得、開発、メンテナンス | 14.3.1 | テスト データの保護 | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.1 | サプライヤーとの関係性における情報セキュリティ ポリシー | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.1 | サプライヤーとの関係性における情報セキュリティ ポリシー | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.1 | サプライヤーとの関係性における情報セキュリティ ポリシー | サプライヤー契約の義務を決定する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.1 | サプライヤーとの関係性における情報セキュリティ ポリシー | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.1 | サプライヤーとの関係性における情報セキュリティ ポリシー | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.1 | サプライヤーとの関係性における情報セキュリティ ポリシー | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | サプライヤー契約の義務を決定する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 利用規約と手順を作成する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 行動規範とアクセス契約を適用する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 外部サービス プロバイダーを識別する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 不正行為を禁止する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 改訂された行動規範を確認して署名する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 行動規範とアクセス契約を更新する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.2 | サプライヤーとの契約内でのセキュリティへの対処 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.3 | 情報と通信テクノロジのサプライ チェーン | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.3 | 情報と通信テクノロジのサプライ チェーン | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.3 | 情報と通信テクノロジのサプライ チェーン | サプライヤー契約の義務を決定する | 1.1.0 |
| サプライヤーとの関係性 | 15.1.3 | 情報と通信テクノロジのサプライ チェーン | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.1 | サプライヤー サービスの監視とレビュー | 政府機関の監督を定義して文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.1 | サプライヤー サービスの監視とレビュー | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.1 | サプライヤー サービスの監視とレビュー | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.1 | サプライヤー サービスの監視とレビュー | 個別のセキュリティ レビューを適用する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 政府機関の監督を定義して文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | サプライヤー契約の義務を決定する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| サプライヤーとの関係性 | 15.2.2 | サプライヤー サービスに対する変更の管理 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.1 | 責任と手順 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.1 | 責任と手順 | インシデント レスポンス計画を策定する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.1 | 責任と手順 | インシデント処理を実装する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.1 | 責任と手順 | データ侵害レコードを保持する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.1 | 責任と手順 | インシデント対応計画を維持する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.1 | 責任と手順 | インシデント対応計画を保護する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.1 | 責任と手順 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | 監査レコードの関連付け | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | セキュリティ運用を文書化する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | インシデント処理を実装する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | ユーザー アカウントの特殊な動作を報告する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | 監査データを確認する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.2 | 情報セキュリティ イベントの報告 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.3 | 情報セキュリティの弱点の報告 | セキュリティ運用を文書化する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.3 | 情報セキュリティの弱点の報告 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.3 | 情報セキュリティの弱点の報告 | 情報システムの欠陥を修復する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.3 | 情報セキュリティの弱点の報告 | ユーザー アカウントの特殊な動作を報告する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 監査レコードの関連付け | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | インシデント レスポンス計画を策定する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | セキュリティ セーフガードの開発 | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | ネットワーク保護を有効にする | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 汚染された情報の根絶 | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | インシデント処理を実装する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | インシデント対応計画を維持する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | ユーザー アカウントの特殊な動作を報告する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 監査データを確認する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.4 | 情報セキュリティ イベントに関する評価と決定 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | インシデント レスポンス計画を策定する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | セキュリティ セーフガードの開発 | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | ネットワーク保護を有効にする | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | 汚染された情報の根絶 | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | インシデント処理を実装する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | インシデント対応計画を維持する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | ユーザー アカウントの特殊な動作を報告する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.5 | 情報セキュリティ インシデントへの対応 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | インシデント レスポンス計画を策定する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | セキュリティ セーフガードの開発 | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | 侵害のインジケーターを検出する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | ネットワーク保護を有効にする | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | 汚染された情報の根絶 | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | インシデント処理を実装する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | インシデント対応計画を維持する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | ユーザー アカウントの特殊な動作を報告する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.6 | 情報セキュリティ インシデントの教訓 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.7 | 証拠の収集 | 定義されている保持期間に従う | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.7 | 証拠の収集 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.7 | 証拠の収集 | 監査可能なイベントを決定する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.7 | 証拠の収集 | インシデント処理を実装する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.7 | 証拠の収集 | ユーザー アカウントの特殊な動作を報告する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.7 | 証拠の収集 | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 情報セキュリティ インシデント管理 | 16.1.7 | 証拠の収集 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | 代替計画の変更を伝達する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | 事業継続とディザスター リカバリー計画を作成および文書化する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | 代替計画を策定する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | コンティンジェンシー計画に関するポリシーと手順を作成する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | ポリシーと手順の配布 | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | すべてのミッションとビジネス機能を再開する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | 代替計画を確認する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.1 | 情報セキュリティの継続性の計画 | 代替計画を更新する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 代替計画の変更を伝達する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 代替計画を策定する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 情報システムが既知の状態で失敗するようにする | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 代替処理サイトを確立する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | バックアップのポリシーと手順を確立する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 代替ストレージ サイトで潜在的な問題を特定して軽減する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | トランザクション ベースの回復を実装する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 重要なビジネス機能の継続を計画する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | 中断後にリソースを回復して再構成する | 1.1.1 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.2 | 情報セキュリティの継続性の実装 | すべてのミッションとビジネス機能を再開する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.3 | 情報セキュリティの継続性の確認、レビュー、評価 | 代替計画テストの修正操作を開始する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.3 | 情報セキュリティの継続性の確認、レビュー、評価 | 代替計画テストの結果を確認する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.1.3 | 情報セキュリティの継続性の確認、レビュー、評価 | 事業継続とディザスター リカバリーの計画をテストする | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 代替計画の変更を伝達する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 事業継続とディザスター リカバリー計画を作成および文書化する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 代替計画を策定する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | コンティンジェンシー計画に関するポリシーと手順を作成する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | ポリシーと手順の配布 | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 情報システムが既知の状態で失敗するようにする | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 代替処理サイトを確立する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 代替ストレージ サイトで潜在的な問題を特定して軽減する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 重要なビジネス機能の継続を計画する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | すべてのミッションとビジネス機能を再開する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 代替計画を確認する | 1.1.0 |
| ビジネス継続性管理における情報セキュリティの側面 | 17.2.1 | 情報処理施設の可用性 | 代替計画を更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | プライバシー プログラムを確立する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | リスク管理戦略の確立 | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | ポリシーと手順の管理 | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 情報セキュリティ プログラム計画を保護する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| コンプライアンス | 18.1.1 | 識別が適用される法律と契約の要件 | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| コンプライアンス | 18.1.2 | 知的財産権 | 知的財産権の遵守を必須にする | 1.1.0 |
| コンプライアンス | 18.1.2 | 知的財産権 | ソフトウェア ライセンスの使用を追跡する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | アクセスを認可および管理する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | 物理的なアクセスを制御する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | 二重または共同の認可を有効にする | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | 論理アクセスを強制する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | 情報システムが既知の状態で失敗するようにする | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | バックアップのポリシーと手順を確立する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | トランザクション ベースの回復を実装する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | 監査情報を保護する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | アカウント作成の承認を必要とする | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | ラベル アクティビティと分析を確認する | 1.1.0 |
| コンプライアンス | 18.1.3 | レコードの保護 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| コンプライアンス | 18.1.4 | 個人を特定できる情報のプライバシーと保護 | 物理的なアクセスを制御する | 1.1.0 |
| コンプライアンス | 18.1.4 | 個人を特定できる情報のプライバシーと保護 | プライバシー プログラムを確立する | 1.1.0 |
| コンプライアンス | 18.1.4 | 個人を特定できる情報のプライバシーと保護 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| コンプライアンス | 18.1.4 | 個人を特定できる情報のプライバシーと保護 | コンプライアンス アクティビティを管理する | 1.1.0 |
| コンプライアンス | 18.1.4 | 個人を特定できる情報のプライバシーと保護 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| コンプライアンス | 18.1.4 | 個人を特定できる情報のプライバシーと保護 | ラベル アクティビティと分析を確認する | 1.1.0 |
| コンプライアンス | 18.1.5 | 暗号化コントロールの規制 | 暗号化モジュールに対して認証する | 1.1.0 |
| コンプライアンス | 18.1.5 | 暗号化コントロールの規制 | 暗号化の使用を定義する | 1.1.0 |
| コンプライアンス | 18.2.1 | 情報セキュリティの独立したレビュー | 侵入テストに別個のチームを採用する | 1.1.0 |
| コンプライアンス | 18.2.1 | 情報セキュリティの独立したレビュー | リスク管理戦略の確立 | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | キュリティ コントロールの評価 | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 検出ホワイトリストを構成する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | セキュリティ評価の結果を配信する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | セキュリティ評価計画の作成 | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | プライバシー プログラムを確立する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | ポリシーと手順の管理 | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | セキュリティ評価レポートの生成 | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 情報セキュリティ プログラム計画を保護する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| コンプライアンス | 18.2.2 | セキュリティのポリシーおよび標準への準拠 | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| コンプライアンス | 18.2.3 | 技術的なコンプライアンスの確認 | キュリティ コントロールの評価 | 1.1.0 |
| コンプライアンス | 18.2.3 | 技術的なコンプライアンスの確認 | セキュリティ評価の結果を配信する | 1.1.0 |
| コンプライアンス | 18.2.3 | 技術的なコンプライアンスの確認 | セキュリティ評価計画の作成 | 1.1.0 |
| コンプライアンス | 18.2.3 | 技術的なコンプライアンスの確認 | 侵入テストに別個のチームを採用する | 1.1.0 |
| コンプライアンス | 18.2.3 | 技術的なコンプライアンスの確認 | セキュリティ評価レポートの生成 | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | サプライヤー契約の義務を決定する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | プライバシー プログラムを確立する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 契約社員とサービス プロバイダーのプライバシー要件を確立する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | ポリシーと手順の管理 | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | コンプライアンス アクティビティを管理する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 情報セキュリティ プログラム計画を保護する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.1 | 情報セキュリティに関するポリシー | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | プライバシー プログラムを確立する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | ポリシーと手順の管理 | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 情報セキュリティ プログラム計画を保護する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 情報セキュリティ ポリシー | 5.1.2 | 情報セキュリティに関するポリシーのレビュー | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 代替計画の変更を伝達する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 構成プランの保護を作成する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 政府機関の監督を定義して文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 特定のロールと責任を果たす個人を指定する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | サプライヤー契約の義務を決定する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 事業継続とディザスター リカバリー計画を作成および文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | ベースライン構成を作成して維持する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 構成項目の識別計画を策定する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 構成管理計画を策定する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 代替計画を策定する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | コンティンジェンシー計画に関するポリシーと手順を作成する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | ポリシーと手順の配布 | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | プライバシーに関する苦情の手順を文書化して実装する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | プライバシー プログラムの情報が一般公開されていることを確認する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | プライバシー プログラムを確立する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 構成管理計画を策定して文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | ポリシーと手順の管理 | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 自動構成管理ツールを実装する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 情報システムのセキュリティ状態を管理する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 情報セキュリティ プログラム計画を保護する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | サードパーティの担当者の転送または解雇の通知を要求する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | すべてのミッションとビジネス機能を再開する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 代替計画を確認する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 代替計画を更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.1 | 情報セキュリティの役割と責任 | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.2 | 職務の分離 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 情報セキュリティ組織 | 6.1.2 | 職務の分離 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 情報セキュリティ組織 | 6.1.2 | 職務の分離 | 職務の分離について文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.2 | 職務の分離 | 個人の職務を分離する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.2 | 職務の分離 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 情報セキュリティ組織 | 6.1.3 | 関係当局との連絡 | プライバシー プログラムを確立する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.3 | 関係当局との連絡 | 機関および専門研究グループの連絡先を管理する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.4 | 専門研究グループとの連絡 | セキュリティ アラートを担当者に送信する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.4 | 専門研究グループとの連絡 | プライバシー プログラムを確立する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.4 | 専門研究グループとの連絡 | 脅威インテリジェンス プログラムを確立する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.4 | 専門研究グループとの連絡 | 内部セキュリティ アラートを生成する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.4 | 専門研究グループとの連絡 | セキュリティ ディレクティブの実装 | 1.1.0 |
| 情報セキュリティ組織 | 6.1.4 | 専門研究グループとの連絡 | 機関および専門研究グループの連絡先を管理する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 事業目標と IT 目標を調整する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 情報システム要件を決定するためにリソースを割り当てる | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 政府機関の監督を定義して文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | サプライヤー契約の義務を決定する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 予算ドキュメントで個別の行項目を確立する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | プライバシー プログラムを確立する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | リソースの割り当てを管理する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 開発プロセス、標準、ツールをレビューする | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| 情報セキュリティ組織 | 6.1.5 | プロジェクト管理の情報セキュリティ | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | 生体認証メカニズムを採用する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | リモート アクセスを認可する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | モバイル デバイスの要件を定義する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | モビリティ トレーニングを文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | 組織全体のアクセスを監視する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | ワイヤレス アクセスを保護する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.1 | モバイル デバイス ポリシー | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | 生体認証メカニズムを採用する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | アクセスを認可および管理する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | リモート アクセスを認可する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | モビリティ トレーニングを文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | 論理アクセスを強制する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | 組織全体のアクセスを監視する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | アカウント作成の承認を必要とする | 1.1.0 |
| 情報セキュリティ組織 | 6.2.2 | テレワーク | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 人事セキュリティ | 7.1.1 | スクリーニング | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 人事セキュリティ | 7.1.1 | スクリーニング | 職員のスクリーニングを実装する | 1.1.0 |
| 人事セキュリティ | 7.1.1 | スクリーニング | 定義された頻度で個人を再表示する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | サプライヤー契約の義務を決定する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 利用規約と手順を作成する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | セキュリティ セーフガードの開発 | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 組織のアクセス契約を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | アクセス契約が署名されているか、または時間内に辞任されていることを確認する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | プライバシー プログラムの情報が一般公開されていることを確認する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | プライバシー プログラムを確立する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | プライバシーに関する通知を行う | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | ユーザーがアクセス契約に署名することを必須にする | 1.1.0 |
| 人事セキュリティ | 7.1.2 | 雇用条件 | 組織のアクセス契約を更新する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 政府機関の監督を定義して文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | サプライヤー契約の義務を決定する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 利用規約と手順を作成する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 組織のアクセス契約を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | アクセス契約が署名されているか、または時間内に辞任されていることを確認する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | サードパーティの担当者の転送または解雇の通知を要求する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | ユーザーがアクセス契約に署名することを必須にする | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 人事セキュリティ | 7.2.1 | 管理責任 | 組織のアクセス契約を更新する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | 自動化されたトレーニング環境を採用する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | 情報セキュリティ人材の育成と向上プログラムを策定する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | コンティンジェンシー トレーニングを提供する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | 情報流出トレーニングを提供する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | トレーニング レコードを保持する | 1.1.0 |
| 人事セキュリティ | 7.2.2 | 情報セキュリティの認識、教育、トレーニング | 非公開情報の公開に関する職員のトレーニング | 1.1.0 |
| 人事セキュリティ | 7.2.3 | 懲戒プロセス | 正式な制裁プロセスを実装する | 1.1.0 |
| 人事セキュリティ | 7.2.3 | 懲戒プロセス | 承認時に担当者に通知する | 1.1.0 |
| 人事セキュリティ | 7.3.1 | 雇用責任の終了または変更 | 離職時に離職者面接を実施する | 1.1.0 |
| 人事セキュリティ | 7.3.1 | 雇用責任の終了または変更 | 終了時に認証子を無効にする | 1.1.0 |
| 人事セキュリティ | 7.3.1 | 雇用責任の終了または変更 | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 人事セキュリティ | 7.3.1 | 雇用責任の終了または変更 | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 人事セキュリティ | 7.3.1 | 雇用責任の終了または変更 | 終了または転送時に通知する | 1.1.0 |
| 人事セキュリティ | 7.3.1 | 雇用責任の終了または変更 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 人事セキュリティ | 7.3.1 | 雇用責任の終了または変更 | 職員の異動時にアクセスを再評価する | 1.1.0 |
| 人事セキュリティ | 7.3.1 | 雇用責任の終了または変更 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| アセット管理 | 8.1.1 | 資産のインベントリ | データ インベントリを作成する | 1.1.0 |
| アセット管理 | 8.1.1 | 資産のインベントリ | 個人データの処理に関する記録を保持する | 1.1.0 |
| アセット管理 | 8.1.2 | 資産の所有権 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| アセット管理 | 8.1.2 | 資産の所有権 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| アセット管理 | 8.1.2 | 資産の所有権 | データ インベントリを作成する | 1.1.0 |
| アセット管理 | 8.1.2 | 資産の所有権 | 資産インベントリの確立と管理 | 1.1.0 |
| アセット管理 | 8.1.2 | 資産の所有権 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アセット管理 | 8.1.2 | 資産の所有権 | 個人データの処理に関する記録を保持する | 1.1.0 |
| アセット管理 | 8.1.2 | 資産の所有権 | メディアの使用を制限する | 1.1.0 |
| アセット管理 | 8.1.3 | 許容される資産の使用 | 利用規約と手順を作成する | 1.1.0 |
| アセット管理 | 8.1.3 | 許容される資産の使用 | 行動規範とアクセス契約を適用する | 1.1.0 |
| アセット管理 | 8.1.4 | 資産の返却 | 離職時に離職者面接を実施する | 1.1.0 |
| アセット管理 | 8.1.4 | 資産の返却 | 終了時に認証子を無効にする | 1.1.0 |
| アセット管理 | 8.1.4 | 資産の返却 | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| アセット管理 | 8.1.4 | 資産の返却 | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| アセット管理 | 8.1.4 | 資産の返却 | 終了または転送時に通知する | 1.1.0 |
| アセット管理 | 8.1.4 | 資産の返却 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| アセット管理 | 8.1.4 | 資産の返却 | 職員の異動時にアクセスを再評価する | 1.1.0 |
| アセット管理 | 8.1.4 | 資産の返却 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| アセット管理 | 8.2.1 | 情報の分類 | 情報の分類 | 1.1.0 |
| アセット管理 | 8.2.1 | 情報の分類 | ビジネス分類スキームを作成する | 1.1.0 |
| アセット管理 | 8.2.1 | 情報の分類 | セキュリティ分類が承認されていることを確認する | 1.1.0 |
| アセット管理 | 8.2.1 | 情報の分類 | ラベル アクティビティと分析を確認する | 1.1.0 |
| アセット管理 | 8.2.2 | 情報のラベル付け | 物理的なアクセスを制御する | 1.1.0 |
| アセット管理 | 8.2.2 | 情報のラベル付け | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アセット管理 | 8.2.2 | 情報のラベル付け | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| アセット管理 | 8.2.2 | 情報のラベル付け | ラベル アクティビティと分析を確認する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 情報フローを制御する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 物理的なアクセスを制御する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 資産管理の要件を定義する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | データ漏えいの管理手順を確立する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 資産の輸送を管理する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 構成変更制御の監査を実行する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | 特別な情報を保護する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | メディアの使用を制限する | 1.1.0 |
| アセット管理 | 8.2.3 | 資産の処理 | ラベル アクティビティと分析を確認する | 1.1.0 |
| アセット管理 | 8.3.1 | リムーバブル メディアの管理 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| アセット管理 | 8.3.1 | リムーバブル メディアの管理 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| アセット管理 | 8.3.1 | リムーバブル メディアの管理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| アセット管理 | 8.3.1 | リムーバブル メディアの管理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アセット管理 | 8.3.1 | リムーバブル メディアの管理 | 資産の輸送を管理する | 1.1.0 |
| アセット管理 | 8.3.1 | リムーバブル メディアの管理 | メディアの使用を制限する | 1.1.0 |
| アセット管理 | 8.3.2 | メディアの廃棄 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| アセット管理 | 8.3.2 | メディアの廃棄 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アセット管理 | 8.3.3 | 物理メディア転送 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アセット管理 | 8.3.3 | 物理メディア転送 | 資産の輸送を管理する | 1.1.0 |
| アクセス制御 | 9.1.1 | アクセス制御ポリシー | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| アクセス制御 | 9.1.1 | アクセス制御ポリシー | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | 9.1.1 | アクセス制御ポリシー | ポリシーと手順の管理 | 1.1.0 |
| アクセス制御 | 9.1.1 | アクセス制御ポリシー | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 生体認証メカニズムを採用する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | アクセス制御モデルを設計する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 最小特権アクセスを使用する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 論理アクセスを強制する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | ユーザーの一意性を徹底する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 電子署名と証明書の要件を確立する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 認証なしで許可されているアクションを特定する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 組織外のユーザーを識別して認証する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| アクセス制御 | 9.1.2 | ネットワークおよびネットワーク サービスへのアクセス | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | アカウント マネージャーの割り当て | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | システム識別子の割り当て | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 情報システム アカウントの種類を定義する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | アクセス特権の文書化 | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | ユーザーの一意性を徹底する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 認証子の種類とプロセスを確立する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | ロール メンバーシップの条件を確立する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 認証子の初期配布の手順を確立する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 認証なしで許可されているアクションを特定する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 組織外のユーザーを識別して認証する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 認証子の有効期間と再利用を管理する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 認証子の管理 | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 定義された期間に識別子を再利用できないようにする | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 認証子を最新の情報に更新 | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 特権の確認と再評価 | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | ユーザー アカウントを確認する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| アクセス制御 | 9.2.1 | ユーザーの登録と登録解除 | 認証子を配布する前に ID を確認する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | アカウント マネージャーの割り当て | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | 情報システム アカウントの種類を定義する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | アクセス特権の文書化 | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | ロール メンバーシップの条件を確立する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | 運用環境で変更を加える特権を制限する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | アカウント プロビジョニングのログを確認する | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | 特権の確認と再評価 | 1.1.0 |
| アクセス制御 | 9.2.2 | ユーザー アクセスのプロビジョニング | ユーザー アカウントを確認する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | アカウント マネージャーの割り当て | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 特権機能を監査する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 情報システム アカウントの種類を定義する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | アクセス制御モデルを設計する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | アクセス特権の文書化 | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 最小特権アクセスを使用する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | ロール メンバーシップの条件を確立する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 運用環境で変更を加える特権を制限する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 特権の確認と再評価 | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | ユーザー アカウントを確認する | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 終了時に認証子を無効にする | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | パスワード ポリシーの確立 | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 認証子の種類とプロセスを確立する | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 認証子の初期配布の手順を確立する | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 認証子の有効期間と再利用を管理する | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 認証子の管理 | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 認証子を最新の情報に更新 | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | 9.2.4 | ユーザーのシークレット認証情報の管理 | 認証子を配布する前に ID を確認する | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | アカウント マネージャーの割り当て | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | 情報システム アカウントの種類を定義する | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | アクセス特権の文書化 | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | ロール メンバーシップの条件を確立する | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | アカウント プロビジョニングのログを確認する | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | 特権の確認と再評価 | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | ユーザー アカウントを確認する | 1.1.0 |
| アクセス制御 | 9.2.5 | ユーザー アクセス権のレビュー | ユーザー特権を確認する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | アカウント マネージャーの割り当て | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | 情報システム アカウントの種類を定義する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | アクセス特権の文書化 | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | ロール メンバーシップの条件を確立する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | 終了または転送時に通知する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | 職員の異動時にアクセスを再評価する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | 特権の確認と再評価 | 1.1.0 |
| アクセス制御 | 9.2.6 | アクセス権の削除または調整 | ユーザー アカウントを確認する | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 終了時に認証子を無効にする | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | パスワード ポリシーの確立 | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 認証子の種類とプロセスを確立する | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 認証子の初期配布の手順を確立する | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 認証子の有効期間と再利用を管理する | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 認証子の管理 | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 認証子を最新の情報に更新 | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | カスタマー コントロールのアカウント資格情報を終了する | 1.1.0 |
| アクセス制御 | 9.3.1 | 秘密認証情報の使用 | 認証子を配布する前に ID を確認する | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | 論理アクセスを強制する | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | 運用環境で変更を加える特権を制限する | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | 9.4.1 | 情報のアクセス制限 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | 生体認証メカニズムを採用する | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | ログイン試行の連続失敗回数の制限を強制する | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | ユーザーの一意性を徹底する | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | 電子署名と証明書の要件を確立する | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | エラー メッセージの生成 | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | 認証なしで許可されているアクションを特定する | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | 組織外のユーザーを識別して認証する | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | 認証処理中にフィードバック情報を隠す | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | エラー メッセージの表示 | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| アクセス制御 | 9.4.2 | 安全なログオン手順 | ユーザー セッションを自動的に終了する | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 終了時に認証子を無効にする | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | パスワード ポリシーの確立 | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 認証子の種類とプロセスを確立する | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 認証子の初期配布の手順を確立する | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 認証子の有効期間と再利用を管理する | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 認証子の管理 | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 暗号化を使用してパスワードを保護する | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 認証子を最新の情報に更新 | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | 9.4.3 | パスワード管理システム | 認証子を配布する前に ID を確認する | 1.1.0 |
| アクセス制御 | 9.4.4 | 特権ユーティリティ プログラムの使用 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | 9.4.4 | 特権ユーティリティ プログラムの使用 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | 9.4.4 | 特権ユーティリティ プログラムの使用 | アクセス制御モデルを設計する | 1.1.0 |
| アクセス制御 | 9.4.4 | 特権ユーティリティ プログラムの使用 | 最小特権アクセスを使用する | 1.1.0 |
| アクセス制御 | 9.4.4 | 特権ユーティリティ プログラムの使用 | 論理アクセスを強制する | 1.1.0 |
| アクセス制御 | 9.4.4 | 特権ユーティリティ プログラムの使用 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | 9.4.4 | 特権ユーティリティ プログラムの使用 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | 9.4.4 | 特権ユーティリティ プログラムの使用 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | 9.4.4 | 特権ユーティリティ プログラムの使用 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| アクセス制御 | 9.4.5 | プログラム ソース コードへのアクセス制御 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | 9.4.5 | プログラム ソース コードへのアクセス制御 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | 9.4.5 | プログラム ソース コードへのアクセス制御 | アクセス制御モデルを設計する | 1.1.0 |
| アクセス制御 | 9.4.5 | プログラム ソース コードへのアクセス制御 | 最小特権アクセスを使用する | 1.1.0 |
| アクセス制御 | 9.4.5 | プログラム ソース コードへのアクセス制御 | 論理アクセスを強制する | 1.1.0 |
| アクセス制御 | 9.4.5 | プログラム ソース コードへのアクセス制御 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | 9.4.5 | プログラム ソース コードへのアクセス制御 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| アクセス制御 | 9.4.5 | プログラム ソース コードへのアクセス制御 | 運用環境で変更を加える特権を制限する | 1.1.0 |
| アクセス制御 | 9.4.5 | プログラム ソース コードへのアクセス制御 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | 9.4.5 | プログラム ソース コードへのアクセス制御 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 改善 | ISO 27001:2013 C.10.1.d | 不適合および是正措置 | POA&M 項目の更新 | 1.1.0 |
| 改善 | ISO 27001:2013 C.10.1.e | 不適合および是正措置 | POA&M 項目の更新 | 1.1.0 |
| 改善 | ISO 27001:2013 C.10.1.f | 不適合および是正措置 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 改善 | ISO 27001:2013 C.10.1.f | 不適合および是正措置 | 構成変更制御の監査を実行する | 1.1.0 |
| 改善 | ISO 27001:2013 C.10.1.f | 不適合および是正措置 | POA&M 項目の更新 | 1.1.0 |
| 改善 | ISO 27001:2013 C.10.1.g | 不適合および是正措置 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 改善 | ISO 27001:2013 C.10.1.g | 不適合および是正措置 | 構成変更制御の監査を実行する | 1.1.0 |
| 改善 | ISO 27001:2013 C.10.1.g | 不適合および是正措置 | POA&M 項目の更新 | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.a | 情報セキュリティ管理システムのスコープの決定 | 基準を満たす SSP の開発 | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.a | 情報セキュリティ管理システムのスコープの決定 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.a | 情報セキュリティ管理システムのスコープの決定 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.b | 情報セキュリティ管理システムのスコープの決定 | 基準を満たす SSP の開発 | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.b | 情報セキュリティ管理システムのスコープの決定 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.b | 情報セキュリティ管理システムのスコープの決定 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 事業目標と IT 目標を調整する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | サプライヤー契約の義務を決定する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 基準を満たす SSP の開発 | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | ビジネス ケースを使用して必要なリソースを記録する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 資本計画と投資の要求に必要なリソースが含まれることを確認する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | 契約社員とサービス プロバイダーのプライバシー要件を確立する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | リソースの割り当てを管理する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.3.c | 情報セキュリティ管理システムのスコープの決定 | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.4 | 情報セキュリティ管理システム | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.4 | 情報セキュリティ管理システム | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.4 | 情報セキュリティ管理システム | プライバシー プログラムを確立する | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.4 | 情報セキュリティ管理システム | ポリシーと手順の管理 | 1.1.0 |
| 組織のコンテキスト | ISO 27001:2013 C.4.4 | 情報セキュリティ管理システム | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.a | リーダーシップとコミットメント | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.a | リーダーシップとコミットメント | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.a | リーダーシップとコミットメント | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.a | リーダーシップとコミットメント | プライバシー プログラムを確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.a | リーダーシップとコミットメント | ポリシーと手順の管理 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.a | リーダーシップとコミットメント | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | プライバシー プログラムを確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 情報セキュリティ プログラムを確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 変更制御プロセスを確立して文書化する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 開発者向けの構成管理要件を確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | ポリシーと手順の管理 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 構成変更制御の監査を実行する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.b | リーダーシップとコミットメント | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.c | リーダーシップとコミットメント | 事業目標と IT 目標を調整する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.c | リーダーシップとコミットメント | 情報システム要件を決定するためにリソースを割り当てる | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.c | リーダーシップとコミットメント | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.c | リーダーシップとコミットメント | ビジネス ケースを使用して必要なリソースを記録する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.c | リーダーシップとコミットメント | 資本計画と投資の要求に必要なリソースが含まれることを確認する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.c | リーダーシップとコミットメント | プライバシー プログラムの情報が一般公開されていることを確認する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.c | リーダーシップとコミットメント | 予算ドキュメントで個別の行項目を確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.c | リーダーシップとコミットメント | プライバシー プログラムを確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.c | リーダーシップとコミットメント | リソースの割り当てを管理する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.c | リーダーシップとコミットメント | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.d | リーダーシップとコミットメント | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.e | リーダーシップとコミットメント | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.e | リーダーシップとコミットメント | パフォーマンス メトリックを定義する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.e | リーダーシップとコミットメント | 情報セキュリティ プログラムを確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.f | リーダーシップとコミットメント | 事業目標と IT 目標を調整する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.f | リーダーシップとコミットメント | 情報システム要件を決定するためにリソースを割り当てる | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.f | リーダーシップとコミットメント | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.f | リーダーシップとコミットメント | ビジネス ケースを使用して必要なリソースを記録する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.f | リーダーシップとコミットメント | 資本計画と投資の要求に必要なリソースが含まれることを確認する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.f | リーダーシップとコミットメント | 予算ドキュメントで個別の行項目を確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.f | リーダーシップとコミットメント | プライバシー プログラムを確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.f | リーダーシップとコミットメント | リソースの割り当てを管理する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.f | リーダーシップとコミットメント | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.g | リーダーシップとコミットメント | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.g | リーダーシップとコミットメント | パフォーマンス メトリックを定義する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.g | リーダーシップとコミットメント | 情報セキュリティ プログラムを確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.1.h | リーダーシップとコミットメント | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.a | ポリシー | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.a | ポリシー | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.a | ポリシー | ポリシーと手順の管理 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.a | ポリシー | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.b | ポリシー | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.b | ポリシー | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.b | ポリシー | ポリシーと手順の管理 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.b | ポリシー | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | 情報セキュリティ プログラムを確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | ポリシーと手順の管理 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.c | ポリシー | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | 情報セキュリティ プログラムを確立する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | ポリシーと手順の管理 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.d | ポリシー | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.e | ポリシー | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.e | ポリシー | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.e | ポリシー | ポリシーと手順の管理 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.e | ポリシー | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.f | ポリシー | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.f | ポリシー | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.f | ポリシー | ポリシーと手順の管理 | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.f | ポリシー | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.2.g | ポリシー | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.3.b | 組織上の役割、責任、および権限 | パフォーマンス メトリックを定義する | 1.1.0 |
| リーダーシップ | ISO 27001:2013 C.5.3.b | 組織上の役割、責任、および権限 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.a | 全般 | POA&M の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.a | 全般 | リスク管理戦略の確立 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.a | 全般 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.b | 全般 | POA&M の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.b | 全般 | リスク管理戦略の確立 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.b | 全般 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.c | 全般 | POA&M の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.c | 全般 | リスク管理戦略の確立 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.c | 全般 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.d | 全般 | POA&M の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.d | 全般 | リスク管理戦略の確立 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.d | 全般 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.e.1 | 全般 | POA&M の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.e.1 | 全般 | リスク管理戦略の確立 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.e.1 | 全般 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.e.2 | 全般 | リスク管理戦略の確立 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.e.2 | 全般 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.1.e.2 | 全般 | POA&M 項目の更新 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.a.1 | 情報セキュリティ リスク評価 | リスク管理戦略の確立 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.a.1 | 情報セキュリティ リスク評価 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.a.2 | 情報セキュリティ リスク評価 | リスク管理戦略の確立 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.a.2 | 情報セキュリティ リスク評価 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.b | 情報セキュリティ リスク評価 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.c.1 | 情報セキュリティ リスク評価 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.c.1 | 情報セキュリティ リスク評価 | リスク評価を実行する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.c.2 | 情報セキュリティ リスク評価 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.c.2 | 情報セキュリティ リスク評価 | リスク評価を実行する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.d.1 | 情報セキュリティ リスク評価 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.d.1 | 情報セキュリティ リスク評価 | リスク評価を実行する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.d.2 | 情報セキュリティ リスク評価 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.d.2 | 情報セキュリティ リスク評価 | リスク評価を実行する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.d.3 | 情報セキュリティ リスク評価 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.d.3 | 情報セキュリティ リスク評価 | リスク評価を実行する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.e.1 | 情報セキュリティ リスク評価 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.e.1 | 情報セキュリティ リスク評価 | リスク評価を実行する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.e.2 | 情報セキュリティ リスク評価 | リスク管理戦略を実装する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.2.e.2 | 情報セキュリティ リスク評価 | リスク評価を実行する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.3.a | 情報セキュリティ リスクへの対応 | POA&M の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.3.b | 情報セキュリティ リスクへの対応 | POA&M の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.3.c | 情報セキュリティ リスクへの対応 | POA&M の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.3.d | 情報セキュリティ リスクへの対応 | 基準を満たす SSP の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.3.e | 情報セキュリティ リスクへの対応 | POA&M の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.1.3.f | 情報セキュリティ リスクへの対応 | POA&M の開発 | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.2.e | 情報セキュリティの目的とそれを達成するための計画 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 計画 | ISO 27001:2013 C.6.2.e | 情報セキュリティの目的とそれを達成するための計画 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.1 | リソース | 事業目標と IT 目標を調整する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.1 | リソース | 情報システム要件を決定するためにリソースを割り当てる | 1.1.0 |
| サポート | ISO 27001:2013 C.7.1 | リソース | ビジネス ケースを使用して必要なリソースを記録する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.1 | リソース | 資本計画と投資の要求に必要なリソースが含まれることを確認する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.1 | リソース | 予算ドキュメントで個別の行項目を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.1 | リソース | リソースの割り当てを管理する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.1 | リソース | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.2.a | 能力 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.2.a | 能力 | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.2.a | 能力 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.2.b | 能力 | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.2.c | 能力 | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.2.d | 能力 | トレーニング レコードを保持する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.3.a | 意識 | 利用規約と手順を作成する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.3.a | 意識 | 行動規範とアクセス契約を適用する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.3.a | 意識 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.3.b | 意識 | 利用規約と手順を作成する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.3.b | 意識 | 行動規範とアクセス契約を適用する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.3.b | 意識 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.3.c | 意識 | 利用規約と手順を作成する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.3.c | 意識 | 行動規範とアクセス契約を適用する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.3.c | 意識 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.a | 通信 | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.a | 通信 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.a | 通信 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.a | 通信 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.b | 通信 | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.b | 通信 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.b | 通信 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.b | 通信 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.c | 通信 | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.c | 通信 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.c | 通信 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.c | 通信 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.d | 通信 | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.d | 通信 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.d | 通信 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.d | 通信 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.e | 通信 | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.e | 通信 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.e | 通信 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.4.e | 通信 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.2.c | 作成と更新 | 基準を満たす SSP の開発 | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.a | 文書化された情報の制御 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.b | 文書化された情報の制御 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.b | 文書化された情報の制御 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.b | 文書化された情報の制御 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.c | 文書化された情報の制御 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.d | 文書化された情報の制御 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.d | 文書化された情報の制御 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.d | 文書化された情報の制御 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.e | 文書化された情報の制御 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.e | 文書化された情報の制御 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.e | 文書化された情報の制御 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.f | 文書化された情報の制御 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.f | 文書化された情報の制御 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.f | 文書化された情報の制御 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.f | 文書化された情報の制御 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.f | 文書化された情報の制御 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.f | 文書化された情報の制御 | 構成変更制御の監査を実行する | 1.1.0 |
| サポート | ISO 27001:2013 C.7.5.3.f | 文書化された情報の制御 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 提案された変更の承認要求を自動化する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 承認された変更通知の実装を自動化する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | セキュリティへの影響分析を実施する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | POA&M の開発 | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | セキュリティ構成の設定を適用する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | プライバシー影響評価を実行する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | リスク評価を実行する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 構成変更制御の監査を実行する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 情報システムの欠陥を修復する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.1 | 運用計画と管理 | POA&M 項目の更新 | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.2 | 情報セキュリティ リスク評価 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.2 | 情報セキュリティ リスク評価 | リスク評価を実行する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.2 | 情報セキュリティ リスク評価 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.3 | 情報セキュリティ リスクへの対応 | POA&M の開発 | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.3 | 情報セキュリティ リスクへの対応 | システム境界の保護を実装する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.3 | 情報セキュリティ リスクへの対応 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 操作 | ISO 27001:2013 C.8.3 | 情報セキュリティ リスクへの対応 | POA&M 項目の更新 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.a | 監視、測定、分析、評価 | 検出ホワイトリストを構成する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.a | 監視、測定、分析、評価 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.a | 監視、測定、分析、評価 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.b | 監視、測定、分析、評価 | 検出ホワイトリストを構成する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.b | 監視、測定、分析、評価 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.b | 監視、測定、分析、評価 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.c | 監視、測定、分析、評価 | 検出ホワイトリストを構成する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.c | 監視、測定、分析、評価 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.c | 監視、測定、分析、評価 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.d | 監視、測定、分析、評価 | 検出ホワイトリストを構成する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.d | 監視、測定、分析、評価 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.d | 監視、測定、分析、評価 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.e | 監視、測定、分析、評価 | 検出ホワイトリストを構成する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.e | 監視、測定、分析、評価 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.e | 監視、測定、分析、評価 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.f | 監視、測定、分析、評価 | 検出ホワイトリストを構成する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.f | 監視、測定、分析、評価 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.1.f | 監視、測定、分析、評価 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.a.1 | 内部監査 | セキュリティ評価計画の作成 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.a.2 | 内部監査 | セキュリティ評価計画の作成 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.b | 内部監査 | セキュリティ評価計画の作成 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.c | 内部監査 | キュリティ コントロールの評価 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.c | 内部監査 | セキュリティ評価計画の作成 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.d | 内部監査 | セキュリティ評価計画の作成 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.e | 内部監査 | 監査レビュー、分析、レポートのレベルを調整する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.e | 内部監査 | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.e | 内部監査 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.e | 内部監査 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.e | 内部監査 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.f | 内部監査 | セキュリティ評価の結果を配信する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.g | 内部監査 | 定義されている保持期間に従う | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.g | 内部監査 | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.2.g | 内部監査 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.a | 管理レビュー | キュリティ コントロールの評価 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.a | 管理レビュー | リスク評価を実施する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.a | 管理レビュー | POA&M の開発 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.a | 管理レビュー | セキュリティ プログラム プロセスのためのアクション計画とマイルストーンを実装する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.a | 管理レビュー | POA&M 項目の更新 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.b | 管理レビュー | キュリティ コントロールの評価 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.b | 管理レビュー | リスク評価を実施する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.b | 管理レビュー | POA&M の開発 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.b | 管理レビュー | POA&M 項目の更新 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.1 | 管理レビュー | キュリティ コントロールの評価 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.1 | 管理レビュー | リスク評価を実施する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.1 | 管理レビュー | パフォーマンス メトリックを定義する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.1 | 管理レビュー | POA&M の開発 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.1 | 管理レビュー | 情報セキュリティ プログラムを確立する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.1 | 管理レビュー | POA&M 項目の更新 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.2 | 管理レビュー | キュリティ コントロールの評価 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.2 | 管理レビュー | リスク評価を実施する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.2 | 管理レビュー | POA&M の開発 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.2 | 管理レビュー | POA&M 項目の更新 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.3 | 管理レビュー | キュリティ コントロールの評価 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.3 | 管理レビュー | リスク評価を実施する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.3 | 管理レビュー | パフォーマンス メトリックを定義する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.3 | 管理レビュー | POA&M 項目の更新 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.4 | 管理レビュー | キュリティ コントロールの評価 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.4 | 管理レビュー | リスク評価を実施する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.4 | 管理レビュー | パフォーマンス メトリックを定義する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.c.4 | 管理レビュー | POA&M 項目の更新 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.d | 管理レビュー | キュリティ コントロールの評価 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.d | 管理レビュー | リスク評価を実施する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.d | 管理レビュー | POA&M 項目の更新 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.e | 管理レビュー | キュリティ コントロールの評価 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.e | 管理レビュー | リスク評価を実施する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.e | 管理レビュー | POA&M 項目の更新 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.f | 管理レビュー | キュリティ コントロールの評価 | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.f | 管理レビュー | リスク評価を実施する | 1.1.0 |
| パフォーマンス評価 | ISO 27001:2013 C.9.3.f | 管理レビュー | POA&M 項目の更新 | 1.1.0 |
Microsoft Cloud for Sovereignty のベースライン機密ポリシー
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、MCfS Sovereignty のベースライン機密ポリシーについての Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「Microsoft Cloud for Sovereignty ポリシー ポートフォリオ」を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| SO.1 - データ所在地 | SO.1 | 承認されたリージョンを使うように Azure 製品をデプロイして構成する必要があります。 | リソース グループが許可される場所 | 1.0.0 |
Microsoft Cloud for Sovereignty のベースライン グローバル ポリシー
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、MCfS Sovereignty のベースライン グローバル ポリシーについての Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「Microsoft Cloud for Sovereignty ポリシー ポートフォリオ」を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| SO.1 - データ所在地 | SO.1 | 承認されたリージョンを使うように Azure 製品をデプロイして構成する必要があります。 | リソース グループが許可される場所 | 1.0.0 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。
NIST SP 800-171 R2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | 情報システム アカウントの種類を定義する | 1.1.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.11 | 定義された条件が成立した場合にユーザー セッションを (自動的に) 終了する。 | ユーザー セッションを自動的に終了する | 1.1.0 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | 3.1.13 | リモート アクセス セッションの機密性を保護するため暗号化メカニズムを採用する。 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| アクセス制御 | 3.1.13 | リモート アクセス セッションの機密性を保護するため暗号化メカニズムを採用する。 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アクセス制御 | 3.1.14 | 管理対象のアクセス制御ポイントを介してリモート アクセスをルーティングする。 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| アクセス制御 | 3.1.15 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | リモート アクセスを認可する | 1.1.0 |
| アクセス制御 | 3.1.15 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | 特権コマンドへのリモート アクセスを承認する | 1.1.0 |
| アクセス制御 | 3.1.15 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| アクセス制御 | 3.1.15 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | 3.1.15 | 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| アクセス制御 | 3.1.16 | ワイヤレス アクセスの接続を許可する前に、ワイヤレス アクセスを認可する | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| アクセス制御 | 3.1.16 | ワイヤレス アクセスの接続を許可する前に、ワイヤレス アクセスを認可する | ワイヤレス アクセスを保護する | 1.1.0 |
| アクセス制御 | 3.1.17 | 認証および暗号を使用してワイヤレス アクセスを保護する | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| アクセス制御 | 3.1.17 | 認証および暗号を使用してワイヤレス アクセスを保護する | ネットワーク デバイスを識別して認証する | 1.1.0 |
| アクセス制御 | 3.1.17 | 認証および暗号を使用してワイヤレス アクセスを保護する | ワイヤレス アクセスを保護する | 1.1.0 |
| アクセス制御 | 3.1.18 | モバイル デバイスの接続を制御する。 | モバイル デバイスの要件を定義する | 1.1.0 |
| アクセス制御 | 3.1.19 | モバイル デバイスとモバイル コンピューティング プラットフォームで CUI を暗号化する | モバイル デバイスの要件を定義する | 1.1.0 |
| アクセス制御 | 3.1.19 | モバイル デバイスとモバイル コンピューティング プラットフォームで CUI を暗号化する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 特権機能を監査する | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | リモート アクセスを認可する | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | すべてのアカウントの適切な使用の強制 | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 論理アクセスを強制する | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | 3.1.20 | 外部システムへの接続と外部システムの使用を検証および制御/制限する。 | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| アクセス制御 | 3.1.20 | 外部システムへの接続と外部システムの使用を検証および制御/制限する。 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| アクセス制御 | 3.1.21 | 外部システムでのポータブル ストレージ デバイスの使用を制限する。 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| アクセス制御 | 3.1.21 | 外部システムでのポータブル ストレージ デバイスの使用を制限する。 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| アクセス制御 | 3.1.21 | 外部システムでのポータブル ストレージ デバイスの使用を制限する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | 3.1.22 | 公的にアクセス可能なシステムで掲載または処理される CUI を制御する。 | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| アクセス制御 | 3.1.22 | 公的にアクセス可能なシステムで掲載または処理される CUI を制御する。 | 公的にアクセス可能な情報を投稿する前にコンテンツを確認する | 1.1.0 |
| アクセス制御 | 3.1.22 | 公的にアクセス可能なシステムで掲載または処理される CUI を制御する。 | 公開されていない情報の公的にアクセス可能なコンテンツを確認する | 1.1.0 |
| アクセス制御 | 3.1.22 | 公的にアクセス可能なシステムで掲載または処理される CUI を制御する。 | 非公開情報の公開に関する職員のトレーニング | 1.1.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | 情報フローを制御する | 1.1.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| アクセス制御 | 3.1.4 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| アクセス制御 | 3.1.4 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | 職務の分離について文書化する | 1.1.0 |
| アクセス制御 | 3.1.4 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | 個人の職務を分離する | 1.1.0 |
| アクセス制御 | 3.1.4 | 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| アクセス制御 | 3.1.5 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | 3.1.5 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | 3.1.5 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | 3.1.5 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | アクセス制御モデルを設計する | 1.1.0 |
| アクセス制御 | 3.1.5 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | 最小特権アクセスを使用する | 1.1.0 |
| アクセス制御 | 3.1.5 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | 3.1.5 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | 3.1.7 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | 特権機能を監査する | 1.1.0 |
| アクセス制御 | 3.1.7 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| アクセス制御 | 3.1.7 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | 3.1.7 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | 3.1.7 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | 3.1.7 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | 3.1.8 | 失敗したログオンの試行を制限する。 | ログイン試行の連続失敗回数の制限を強制する | 1.1.0 |
| 物理的な保護 | 3.10.1 | 組織のシステム、機器、それぞれの運用環境への物理的なアクセスを、許可された個人に限定する。 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的な保護 | 3.10.2 | 組織のシステムの物理的な施設とサポート インフラストラクチャを保護および監視する。 | アラーム システムをインストールする | 1.1.0 |
| 物理的な保護 | 3.10.2 | 組織のシステムの物理的な施設とサポート インフラストラクチャを保護および監視する。 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 物理的な保護 | 3.10.3 | 訪問者に同伴し、その行動を監視する。 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的な保護 | 3.10.3 | 訪問者に同伴し、その行動を監視する。 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的な保護 | 3.10.4 | 物理的なアクセスの監査ログを維持する。 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的な保護 | 3.10.5 | 物理的なアクセス デバイスを制御および管理する。 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的な保護 | 3.10.5 | 物理的なアクセス デバイスを制御および管理する。 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 物理的な保護 | 3.10.5 | 物理的なアクセス デバイスを制御および管理する。 | 資産インベントリの確立と管理 | 1.1.0 |
| 物理的な保護 | 3.10.5 | 物理的なアクセス デバイスを制御および管理する。 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的な保護 | 3.10.6 | 代替の作業場所における CUI の保全措置を適用する。 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| リスク評価 | 3.11.1 | 組織のシステム運用と、関連する CUI の処理、保存、または伝送から生じる、組織運営、組織の資産、個人に対するリスクを定期的に評価する | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| リスク評価 | 3.11.1 | 組織のシステム運用と、関連する CUI の処理、保存、または伝送から生じる、組織運営、組織の資産、個人に対するリスクを定期的に評価する | リスク評価を実行する | 1.1.0 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | 1.1.0 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | 情報システムの欠陥を修復する | 1.1.0 |
| セキュリティ評価 | 3.12.1 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | キュリティ コントロールの評価 | 1.1.0 |
| セキュリティ評価 | 3.12.1 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | セキュリティ評価の結果を配信する | 1.1.0 |
| セキュリティ評価 | 3.12.1 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | セキュリティ評価計画の作成 | 1.1.0 |
| セキュリティ評価 | 3.12.1 | 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 | セキュリティ評価レポートの生成 | 1.1.0 |
| セキュリティ評価 | 3.12.2 | 組織のシステムの不備を修正し、脆弱性を削減または排除できるよう設計された行動計画を作成および実装する。 | POA&M の開発 | 1.1.0 |
| セキュリティ評価 | 3.12.2 | 組織のシステムの不備を修正し、脆弱性を削減または排除できるよう設計された行動計画を作成および実装する。 | リスク管理戦略の確立 | 1.1.0 |
| セキュリティ評価 | 3.12.2 | 組織のシステムの不備を修正し、脆弱性を削減または排除できるよう設計された行動計画を作成および実装する。 | セキュリティ プログラム プロセスのためのアクション計画とマイルストーンを実装する | 1.1.0 |
| セキュリティ評価 | 3.12.2 | 組織のシステムの不備を修正し、脆弱性を削減または排除できるよう設計された行動計画を作成および実装する。 | POA&M 項目の更新 | 1.1.0 |
| セキュリティ評価 | 3.12.3 | セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 | 検出ホワイトリストを構成する | 1.1.0 |
| セキュリティ評価 | 3.12.3 | セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| セキュリティ評価 | 3.12.3 | セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| セキュリティ評価 | 3.12.4 | システムの境界、運用のシステム環境、セキュリティ要件の実装方法、他のシステムとの関係性または他のシステムへの接続について説明したシステム セキュリティ プランの作成、文書化、定期的な更新を行う。 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| セキュリティ評価 | 3.12.4 | システムの境界、運用のシステム環境、セキュリティ要件の実装方法、他のシステムとの関係性または他のシステムへの接続について説明したシステム セキュリティ プランの作成、文書化、定期的な更新を行う。 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| セキュリティ評価 | 3.12.4 | システムの境界、運用のシステム環境、セキュリティ要件の実装方法、他のシステムとの関係性または他のシステムへの接続について説明したシステム セキュリティ プランの作成、文書化、定期的な更新を行う。 | 基準を満たす SSP の開発 | 1.1.0 |
| セキュリティ評価 | 3.12.4 | システムの境界、運用のシステム環境、セキュリティ要件の実装方法、他のシステムとの関係性または他のシステムへの接続について説明したシステム セキュリティ プランの作成、文書化、定期的な更新を行う。 | プライバシー プログラムを確立する | 1.1.0 |
| セキュリティ評価 | 3.12.4 | システムの境界、運用のシステム環境、セキュリティ要件の実装方法、他のシステムとの関係性または他のシステムへの接続について説明したシステム セキュリティ プランの作成、文書化、定期的な更新を行う。 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| セキュリティ評価 | 3.12.4 | システムの境界、運用のシステム環境、セキュリティ要件の実装方法、他のシステムとの関係性または他のシステムへの接続について説明したシステム セキュリティ プランの作成、文書化、定期的な更新を行う。 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| セキュリティ評価 | 3.12.4 | システムの境界、運用のシステム環境、セキュリティ要件の実装方法、他のシステムとの関係性または他のシステムへの接続について説明したシステム セキュリティ プランの作成、文書化、定期的な更新を行う。 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| セキュリティ評価 | 3.12.4 | システムの境界、運用のシステム環境、セキュリティ要件の実装方法、他のシステムとの関係性または他のシステムへの接続について説明したシステム セキュリティ プランの作成、文書化、定期的な更新を行う。 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | 物理キーの管理プロセスを定義する | 1.1.0 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | 暗号化の使用を定義する | 1.1.0 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | アサーション要件を決定する | 1.1.0 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | 公開キー証明書を発行する | 1.1.0 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | 対称暗号化キーを管理する | 1.1.0 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | 秘密キーへのアクセスを制限する | 1.1.0 |
| システムと通信の保護 | 3.13.11 | CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 | 暗号化の使用を定義する | 1.1.0 |
| システムと通信の保護 | 3.13.12 | 共同コンピューティング デバイスのリモートからのアクティブ化を禁止し、デバイスに存在するユーザーに対して使用中のデバイスを表示する | コラボレーション コンピューティング デバイスの使用を明示的に通知する | 1.1.1 |
| システムと通信の保護 | 3.13.12 | 共同コンピューティング デバイスのリモートからのアクティブ化を禁止し、デバイスに存在するユーザーに対して使用中のデバイスを表示する | コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | 1.1.0 |
| システムと通信の保護 | 3.13.13 | モバイル コードの使用を制御および監視する。 | モバイル コード テクノロジの使用を承認、監視、制御する | 1.1.0 |
| システムと通信の保護 | 3.13.13 | モバイル コードの使用を制御および監視する。 | 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | 1.1.0 |
| システムと通信の保護 | 3.13.13 | モバイル コードの使用を制御および監視する。 | モバイル コード テクノロジの使用制限を確立する | 1.1.0 |
| システムと通信の保護 | 3.13.14 | ボイス オーバー IP (VoIP) 技術の使用を制御および監視する。 | VoIP の承認、監視、制御 | 1.1.0 |
| システムと通信の保護 | 3.13.14 | ボイス オーバー IP (VoIP) 技術の使用を制御および監視する。 | VoIP の使用制限を確立する | 1.1.0 |
| システムと通信の保護 | 3.13.15 | 通信セッションの信頼性を保護する。 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムと通信の保護 | 3.13.15 | 通信セッションの信頼性を保護する。 | ランダムな一意のセッション識別子を適用する | 1.1.0 |
| システムと通信の保護 | 3.13.16 | 保存時の CUI の機密性を保護する。 | データ漏えいの管理手順を確立する | 1.1.0 |
| システムと通信の保護 | 3.13.16 | 保存時の CUI の機密性を保護する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| システムと通信の保護 | 3.13.16 | 保存時の CUI の機密性を保護する。 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムと通信の保護 | 3.13.16 | 保存時の CUI の機密性を保護する。 | 特別な情報を保護する | 1.1.0 |
| システムと通信の保護 | 3.13.3 | ユーザー機能をシステム管理機能から分離する。 | リモート アクセスを認可する | 1.1.0 |
| システムと通信の保護 | 3.13.3 | ユーザー機能をシステム管理機能から分離する。 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| システムと通信の保護 | 3.13.3 | ユーザー機能をシステム管理機能から分離する。 | 管理タスクに専用マシンを使用する | 1.1.0 |
| システムと通信の保護 | 3.13.7 | リモート デバイスが、組織のシステムとの非リモート接続を確立することと、別の接続を介して外部ネットワークのリソースと通信することを同時に行う (すなわち、スプリット トンネリング) のを防止する。 | リモート デバイスの分割トンネリングの防止 | 1.1.0 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| システムと通信の保護 | 3.13.9 | 通信セッション終了時、または定められた非アクティブな期間の経過後に、そのセッションに関連付けされたネットワーク接続を終了する。 | ユーザー セッションを再認証するか終了する | 1.1.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | 情報システムの欠陥を修復する | 1.1.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| システムと情報の整合性 | 3.14.2 | 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | セキュリティ アラートを担当者に送信する | 1.1.0 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | 脅威インテリジェンス プログラムを確立する | 1.1.0 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | セキュリティ ディレクティブの実装 | 1.1.0 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | 3.14.3 | システムのセキュリティ アラートおよび勧告を監視し、対応措置を講ずる。 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| システムと情報の整合性 | 3.14.4 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | 3.14.4 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | 3.14.4 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | 3.14.4 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | 3.14.4 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | 3.14.4 | 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | 3.14.5 | 組織のシステムの定期的なスキャンを実行すると共に、外部ソースからのファイルのリアルタイム スキャンを、ファイルがダウンロードされる、開かれる、または実行されるときに行う。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | 侵害のインジケーターを検出する | 1.1.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | セキュリティ運用を文書化する | 1.1.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| システムと情報の整合性 | 3.14.6 | 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | 3.14.7 | 組織のシステムの不正使用を特定する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 認識とトレーニング | 3.2.1 | マネージャー、システム管理者、組織のシステムのユーザーが、自身の活動に関連するセキュリティ リスクと、組織のシステムのセキュリティに関連する適用可能なポリシー、標準、手続きについて認識していることを確実にする。 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 認識とトレーニング | 3.2.1 | マネージャー、システム管理者、組織のシステムのユーザーが、自身の活動に関連するセキュリティ リスクと、組織のシステムのセキュリティに関連する適用可能なポリシー、標準、手続きについて認識していることを確実にする。 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | 3.2.2 | 職員が割り当てられた情報セキュリティ関連の職務および責任を遂行するためのトレーニングを受けていることを確認する。 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | 3.2.2 | 職員が割り当てられた情報セキュリティ関連の職務および責任を遂行するためのトレーニングを受けていることを確認する。 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | 3.2.3 | 内部関係者による脅威の潜在的兆候を認識および報告するための、セキュリティの認識に関するトレーニングを提供する。 | 内部関係者の脅威プログラムを実装する | 1.1.0 |
| 認識とトレーニング | 3.2.3 | 内部関係者による脅威の潜在的兆候を認識および報告するための、セキュリティの認識に関するトレーニングを提供する。 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 定義されている保持期間に従う | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Azure 監査機能を構成する | 1.1.1 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 管理者割り当てを毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | クラウド ID レポートの概要を確認する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | 電子署名と証明書の要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.3 | ログに記録されたイベントを確認して更新する。 | AU-02 で定義されているイベントの確認と更新 | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.4 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.4 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | 3.3.4 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.4 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.4 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.4 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | 3.3.4 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.4 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.4 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.4 | 監査ログ プロセス エラーが発生した場合にアラートを出す。 | 監査イベント エラーのリアルタイム アラートを提供する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | 監査レコード分析の統合 | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.5 | 違法、許可されていない、疑わしい、または異常な行為の兆候を調査して対応するために、監査レコードのレビュー、分析、報告のプロセスを関連付ける。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | 3.3.6 | オンデマンドでの分析と報告をサポートするための、監査レコードの削減およびレポート生成機能を提供する。 | 特権機能を監査する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.6 | オンデマンドでの分析と報告をサポートするための、監査レコードの削減およびレポート生成機能を提供する。 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.6 | オンデマンドでの分析と報告をサポートするための、監査レコードの削減およびレポート生成機能を提供する。 | 監査レコードをシステム全体の監査にコンパイルする | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.6 | オンデマンドでの分析と報告をサポートするための、監査レコードの削減およびレポート生成機能を提供する。 | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.6 | オンデマンドでの分析と報告をサポートするための、監査レコードの削減およびレポート生成機能を提供する。 | 監査レビュー、分析、レポート機能の提供 | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.6 | オンデマンドでの分析と報告をサポートするための、監査レコードの削減およびレポート生成機能を提供する。 | 顧客が管理する監査レコードを処理する機能の提供 | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.6 | オンデマンドでの分析と報告をサポートするための、監査レコードの削減およびレポート生成機能を提供する。 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.7 | 監査レコードのタイム スタンプを生成するために、内部のシステム時計と信頼できるソースを比較および同期するシステム機能を提供する | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.8 | 未承認のアクセス、変更、削除から、監査情報と監査ログ ツールを保護する。 | 二重または共同の認可を有効にする | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.8 | 未承認のアクセス、変更、削除から、監査情報と監査ログ ツールを保護する。 | バックアップのポリシーと手順を確立する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.8 | 未承認のアクセス、変更、削除から、監査情報と監査ログ ツールを保護する。 | 監査システムの整合性を維持する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.8 | 未承認のアクセス、変更、削除から、監査情報と監査ログ ツールを保護する。 | 監査情報を保護する | 1.1.0 |
| 監査とアカウンタビリティ | 3.3.9 | 監査ログ機能の管理を特権ユーザーの一部に限定する。 | 監査情報を保護する | 1.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | データ インベントリを作成する | 1.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 構成コントロール ボードを設立する | 1.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 資産インベントリの確立と管理 | 1.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 個人データの処理に関する記録を保持する | 1.1.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 以前のバージョンのベースライン構成を保持する | 1.1.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | 情報システムの欠陥を修復する | 1.1.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | システム診断データを表示して構成する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 制御を変更するために情報セキュリティ担当者を割り当てる | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 提案された変更の承認要求を自動化する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 承認された変更通知の実装を自動化する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | リスク管理戦略の確立 | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | リスク評価を実行する | 1.1.0 |
| 構成管理 | 3.4.3 | 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | 3.4.4 | 変更の実装前に、セキュリティへの影響を分析する。 | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | 3.4.4 | 変更の実装前に、セキュリティへの影響を分析する。 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 構成管理 | 3.4.4 | 変更の実装前に、セキュリティへの影響を分析する。 | リスク管理戦略の確立 | 1.1.0 |
| 構成管理 | 3.4.4 | 変更の実装前に、セキュリティへの影響を分析する。 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | 3.4.4 | 変更の実装前に、セキュリティへの影響を分析する。 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | 3.4.4 | 変更の実装前に、セキュリティへの影響を分析する。 | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | 3.4.4 | 変更の実装前に、セキュリティへの影響を分析する。 | リスク評価を実行する | 1.1.0 |
| 構成管理 | 3.4.4 | 変更の実装前に、セキュリティへの影響を分析する。 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | 3.4.5 | 組織のシステムの変更に関連する物理的および論理的アクセス制限を定義、文書化、承認、適用する。 | アクセス制限の適用と監査 | 1.1.0 |
| 構成管理 | 3.4.5 | 組織のシステムの変更に関連する物理的および論理的アクセス制限を定義、文書化、承認、適用する。 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | 3.4.5 | 組織のシステムの変更に関連する物理的および論理的アクセス制限を定義、文書化、承認、適用する。 | 運用環境で変更を加える特権を制限する | 1.1.0 |
| 構成管理 | 3.4.5 | 組織のシステムの変更に関連する物理的および論理的アクセス制限を定義、文書化、承認、適用する。 | 承認されていないソフトウェアとファームウェアのインストールを制限する | 1.1.0 |
| 構成管理 | 3.4.5 | 組織のシステムの変更に関連する物理的および論理的アクセス制限を定義、文書化、承認、適用する。 | 特権の確認と再評価 | 1.1.0 |
| 構成管理 | 3.4.5 | 組織のシステムの変更に関連する物理的および論理的アクセス制限を定義、文書化、承認、適用する。 | 承認されていない変更の変更を確認する | 1.1.0 |
| 構成管理 | 3.4.6 | 不可欠な機能だけを提供するように組織のシステムを構成して最小限の機能の原則を採用する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 識別と認証 | 3.5.1 | システム ユーザー、ユーザーの代わりに動作するプロセス、およびデバイスを特定する。 | システム識別子の割り当て | 1.1.0 |
| 識別と認証 | 3.5.1 | システム ユーザー、ユーザーの代わりに動作するプロセス、およびデバイスを特定する。 | ユーザーの一意性を徹底する | 1.1.0 |
| 識別と認証 | 3.5.1 | システム ユーザー、ユーザーの代わりに動作するプロセス、およびデバイスを特定する。 | 個々の認証子の使用を要求する | 1.1.0 |
| 識別と認証 | 3.5.1 | システム ユーザー、ユーザーの代わりに動作するプロセス、およびデバイスを特定する。 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | 承認されたユーザーが指定された認証子を保護するようにする | 1.1.0 |
| 識別と認証 | 3.5.10 | 暗号で保護されたパスワードのみを格納して送信する。 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 識別と認証 | 3.5.11 | 認証情報のフィードバックを覆い隠す | 認証処理中にフィードバック情報を隠す | 1.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | 認証子の管理 | 1.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | 認証子を最新の情報に更新 | 1.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 識別と認証 | 3.5.3 | 特権アカウントへのローカルおよびネットワーク アクセス、および非特権アカウントへのネットワーク アクセスに多要素認証を使用する | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | 3.5.3 | 特権アカウントへのローカルおよびネットワーク アクセス、および非特権アカウントへのネットワーク アクセスに多要素認証を使用する | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | 3.5.3 | 特権アカウントへのローカルおよびネットワーク アクセス、および非特権アカウントへのネットワーク アクセスに多要素認証を使用する | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | 3.5.3 | 特権アカウントへのローカルおよびネットワーク アクセス、および非特権アカウントへのネットワーク アクセスに多要素認証を使用する | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | 3.5.3 | 特権アカウントへのローカルおよびネットワーク アクセス、および非特権アカウントへのネットワーク アクセスに多要素認証を使用する | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 識別と認証 | 3.5.5 | 定義された期間、識別子の再利用を防止する。 | 定義された期間に識別子を再利用できないようにする | 1.1.0 |
| 識別と認証 | 3.5.6 | 定義された非アクティブな期間の経過後に識別子を無効にする。 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 識別と認証 | 3.5.7 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 識別と認証 | 3.5.7 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | パスワード ポリシーの確立 | 1.1.0 |
| 識別と認証 | 3.5.7 | 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | 外部組織と連携して組織間の視点を実現する | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | セキュリティ セーフガードの開発 | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | セキュリティ運用を文書化する | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | 情報流出トレーニングを提供する | 1.1.0 |
| インシデント対応 | 3.6.1 | 準備、検出、分析、封じ込め、復旧、ユーザー対応の各アクティビティを含む、組織のシステムの運用上のインシデント処理機能を確立する。 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| インシデント対応 | 3.6.2 | インシデントを追跡および文書化し、組織内外の指定された職員および/または機関に報告する。 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | 3.6.2 | インシデントを追跡および文書化し、組織内外の指定された職員および/または機関に報告する。 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | 3.6.2 | インシデントを追跡および文書化し、組織内外の指定された職員および/または機関に報告する。 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | 3.6.3 | 組織のインシデント対応機能をテストする。 | インシデント対応テストを実施する | 1.1.0 |
| インシデント対応 | 3.6.3 | 組織のインシデント対応機能をテストする。 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| インシデント対応 | 3.6.3 | 組織のインシデント対応機能をテストする。 | シミュレーション攻撃の実行 | 1.1.0 |
| メンテナンス | 3.7.1 | 組織のシステムのメンテナンスを実行する。[26]。 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | 3.7.2 | システムのメンテナンスを実行するために使用するツール、技法、メカニズム、職員の管理策を提供する。 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | 3.7.2 | システムのメンテナンスを実行するために使用するツール、技法、メカニズム、職員の管理策を提供する。 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | 3.7.2 | システムのメンテナンスを実行するために使用するツール、技法、メカニズム、職員の管理策を提供する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | 3.7.2 | システムのメンテナンスを実行するために使用するツール、技法、メカニズム、職員の管理策を提供する。 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | 3.7.3 | 施設外で行われるメンテナンスのために取り外される機器からすべての CUI が確実にサニタイズされるようにする。 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | 3.7.3 | 施設外で行われるメンテナンスのために取り外される機器からすべての CUI が確実にサニタイズされるようにする。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | 3.7.3 | 施設外で行われるメンテナンスのために取り外される機器からすべての CUI が確実にサニタイズされるようにする。 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | 3.7.4 | 診断および試験プログラムを含むメディアを組織のシステムで使用する前に、悪意のあるコードの有無を検査する。 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | 3.7.4 | 診断および試験プログラムを含むメディアを組織のシステムで使用する前に、悪意のあるコードの有無を検査する。 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | 3.7.5 | 外部ネットワーク接続を介した非ローカル メンテナンス セッションの確立に多要素認証を要求し、非ローカル メンテナンスの完了時にその接続を終了する。 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | 3.7.6 | 必要なアクセス権限を持たないメンテナンス要員のメンテナンス活動を監督する。 | 承認されていないメンテナンス アクティビティを監視する担当者の指定 | 1.1.0 |
| メンテナンス | 3.7.6 | 必要なアクセス権限を持たないメンテナンス要員のメンテナンス活動を監督する。 | 承認されたリモート メンテナンス担当者リストの管理 | 1.1.0 |
| メンテナンス | 3.7.6 | 必要なアクセス権限を持たないメンテナンス要員のメンテナンス活動を監督する。 | メンテナンス担当者の管理 | 1.1.0 |
| メディア保護 | 3.8.1 | 紙およびデジタルの CUI の両方を含むシステム メディアを保護する (物理的に管理し、安全に保存する、など)。 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | 3.8.1 | 紙およびデジタルの CUI の両方を含むシステム メディアを保護する (物理的に管理し、安全に保存する、など)。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | 3.8.2 | システム メディア上の CUI へのアクセスを、許可されたユーザーに限定する | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | 3.8.2 | システム メディア上の CUI へのアクセスを、許可されたユーザーに限定する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | 3.8.3 | CUI を含むシステム メディアを廃棄または再利用する前にサニタイズまたは破壊する。 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | 3.8.3 | CUI を含むシステム メディアを廃棄または再利用する前にサニタイズまたは破壊する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | 3.8.4 | CUI の標記と配布制限が必要なメディアにはその旨を標記する。[27] | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | 3.8.5 | CUI を含むメディアへのアクセスを制御し、管理区域外での輸送中は、記憶媒体に関する説明責任を維持する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | 3.8.5 | CUI を含むメディアへのアクセスを制御し、管理区域外での輸送中は、記憶媒体に関する説明責任を維持する。 | 資産の輸送を管理する | 1.1.0 |
| メディア保護 | 3.8.6 | 代替の物理的保全措置によって保護されている場合を除き、デジタル メディアに格納された CUI の機密性を輸送時に保護するために暗号メカニズムを実装する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | 3.8.6 | 代替の物理的保全措置によって保護されている場合を除き、デジタル メディアに格納された CUI の機密性を輸送時に保護するために暗号メカニズムを実装する。 | 資産の輸送を管理する | 1.1.0 |
| メディア保護 | 3.8.7 | システム コンポーネントでのリムーバブル メディアの使用を制御する。 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| メディア保護 | 3.8.7 | システム コンポーネントでのリムーバブル メディアの使用を制御する。 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| メディア保護 | 3.8.7 | システム コンポーネントでのリムーバブル メディアの使用を制御する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | 3.8.7 | システム コンポーネントでのリムーバブル メディアの使用を制御する。 | メディアの使用を制限する | 1.1.0 |
| メディア保護 | 3.8.8 | ポータブル ストレージ デバイスの所有者を識別できない場合に、そうしたデバイスの使用を禁止する。 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| メディア保護 | 3.8.8 | ポータブル ストレージ デバイスの所有者を識別できない場合に、そうしたデバイスの使用を禁止する。 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| メディア保護 | 3.8.8 | ポータブル ストレージ デバイスの所有者を識別できない場合に、そうしたデバイスの使用を禁止する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | 3.8.8 | ポータブル ストレージ デバイスの所有者を識別できない場合に、そうしたデバイスの使用を禁止する。 | メディアの使用を制限する | 1.1.0 |
| メディア保護 | 3.8.9 | 保存場所にあるバックアップ CUI の機密性を保護する。 | バックアップのポリシーと手順を確立する | 1.1.0 |
| メディア保護 | 3.8.9 | 保存場所にあるバックアップ CUI の機密性を保護する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 人的セキュリティ | 3.9.1 | CUI を含む組織のシステムへのアクセスを認可する前に個人を審査する。 | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 人的セキュリティ | 3.9.1 | CUI を含む組織のシステムへのアクセスを認可する前に個人を審査する。 | 職員のスクリーニングを実装する | 1.1.0 |
| 人的セキュリティ | 3.9.2 | 退職や異動などの人事措置の最中および後に、CUI を含む組織のシステムが確実に保護されるようにする | 離職時に離職者面接を実施する | 1.1.0 |
| 人的セキュリティ | 3.9.2 | 退職や異動などの人事措置の最中および後に、CUI を含む組織のシステムが確実に保護されるようにする | 終了時に認証子を無効にする | 1.1.0 |
| 人的セキュリティ | 3.9.2 | 退職や異動などの人事措置の最中および後に、CUI を含む組織のシステムが確実に保護されるようにする | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 人的セキュリティ | 3.9.2 | 退職や異動などの人事措置の最中および後に、CUI を含む組織のシステムが確実に保護されるようにする | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 人的セキュリティ | 3.9.2 | 退職や異動などの人事措置の最中および後に、CUI を含む組織のシステムが確実に保護されるようにする | 終了または転送時に通知する | 1.1.0 |
| 人的セキュリティ | 3.9.2 | 退職や異動などの人事措置の最中および後に、CUI を含む組織のシステムが確実に保護されるようにする | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 人的セキュリティ | 3.9.2 | 退職や異動などの人事措置の最中および後に、CUI を含む組織のシステムが確実に保護されるようにする | 職員の異動時にアクセスを再評価する | 1.1.0 |
NIST SP 800-53 Rev. 4
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | ポリシーと手順の管理 | 1.1.0 |
| アクセス制御 | AC-1 | アクセス制御に関するポリシーと手順 | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント マネージャーの割り当て | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 情報システム アカウントの種類を定義する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アクセス特権の文書化 | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ロール メンバーシップの条件を確立する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ユーザー アカウントを確認する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | AC-2 (3) | 非アクティブなアカウントの無効化 | 終了時に認証子を無効にする | 1.1.0 |
| アクセス制御 | AC-2 (3) | 非アクティブなアカウントの無効化 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | AC-2 (5) | 非アクティブな状態のログアウト | アイドル時間ログ ポリシーを定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権機能を監査する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | AC-2 (9) | 共有およびグループ アカウントの使用に関する制限 | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 (10) | 共有またはグループ アカウントの資格情報の終了 | カスタマー コントロールのアカウント資格情報を終了する | 1.1.0 |
| アクセス制御 | AC-2 (11) | 使用条件 | すべてのアカウントの適切な使用の強制 | 1.1.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視および一般的ではない使用法 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 (12) | アカウントの監視または一般的でない使用法 | ユーザー アカウントの特殊な動作を報告する | 1.1.0 |
| アクセス制御 | AC-2 (13) | 危険性の高い個人のアカウントの無効化 | 重大なリスクを伴うユーザー アカウントを無効にする | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 論理アクセスを強制する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| アクセス制御 | AC-4 | 情報フローの適用 | 情報フローを制御する | 1.1.0 |
| アクセス制御 | AC-4 | 情報フローの適用 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| アクセス制御 | AC-4 (8) | セキュリティ ポリシーのフィルター | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | 情報フローを制御する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 職務の分離について文書化する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 個人の職務を分離する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| アクセス制御 | AC-6 | 最小限の特権 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-6 | 最小限の特権 | アクセス制御モデルを設計する | 1.1.0 |
| アクセス制御 | AC-6 | 最小限の特権 | 最小特権アクセスを使用する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-6 (5) | 特権アカウント | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-6 (7) | ユーザー特権の確認 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-6 (7) | ユーザー特権の確認 | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| アクセス制御 | AC-6 (7) | ユーザー特権の確認 | ユーザー特権を確認する | 1.1.0 |
| アクセス制御 | AC-6 (8) | コード実行の特権レベル | ソフトウェア実行特権を適用する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権機能を監査する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用の監査 | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | AC-7 | ログオン試行の失敗 | ログイン試行の連続失敗回数の制限を強制する | 1.1.0 |
| アクセス制御 | AC-10 | 同時セッション制御 | 同時セッションの制限を定義して適用する | 1.1.0 |
| アクセス制御 | AC-12 | セッションの終了 | ユーザー セッションを自動的に終了する | 1.1.0 |
| アクセス制御 | AC-12 (1) | ユーザーによって開始されたログアウト/メッセージの表示 | 明示的なログアウト メッセージを表示する | 1.1.0 |
| アクセス制御 | AC-12 (1) | ユーザーによって開始されたログアウト/メッセージの表示 | ログアウト機能を提供する | 1.1.0 |
| アクセス制御 | AC-14 | ID または認証なしで許可されるアクション | 認証なしで許可されているアクションを特定する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | リモート アクセスを認可する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | モビリティ トレーニングを文書化する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | プライバシーに関するトレーニングを提供する | 1.1.0 |
| アクセス制御 | AC-17 (1) | 監視または制御の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-17 (2) | 暗号化を使用した機密性および整合性の保護 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| アクセス制御 | AC-17 (2) | 暗号化を使用した機密性および整合性の保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アクセス制御 | AC-17 (3) | 管理対象のアクセス制御ポイント | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | リモート アクセスを認可する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | 特権コマンドへのリモート アクセスを承認する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権のあるコマンド/アクセス | プライバシーに関するトレーニングを提供する | 1.1.0 |
| アクセス制御 | AC-17 (9) | アクセスの切断/無効化 | リモート アクセスを切断または無効にする機能を提供する | 1.1.0 |
| アクセス制御 | AC-18 | ワイヤレス アクセス | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| アクセス制御 | AC-18 | ワイヤレス アクセス | ワイヤレス アクセスを保護する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ワイヤレス アクセスを保護する | 1.1.0 |
| アクセス制御 | AC-19 | モバイル デバイスのアクセス制御 | モバイル デバイスの要件を定義する | 1.1.0 |
| アクセス制御 | AC-19 (5) | フル デバイス暗号化とコンテナーベースの暗号化 | モバイル デバイスの要件を定義する | 1.1.0 |
| アクセス制御 | AC-19 (5) | フル デバイス暗号化とコンテナーベースの暗号化 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アクセス制御 | AC-20 | 外部情報システムの使用 | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| アクセス制御 | AC-20 | 外部情報システムの使用 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| アクセス制御 | AC-20 (1) | 許可された使用に関する制限 | 外部情報システムのセキュリティ管理策を検証する | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-21 | 情報共有 | 情報共有の決定を自動化する | 1.1.0 |
| アクセス制御 | AC-21 | 情報共有 | 情報共有を円滑化する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公的にアクセス可能な情報を投稿する前にコンテンツを確認する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公開されていない情報の公的にアクセス可能なコンテンツを確認する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 非公開情報の公開に関する職員のトレーニング | 1.1.0 |
| 認識とトレーニング | AT-1 | セキュリティの認識とトレーニングに関するポリシーと手順 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 認識とトレーニング | AT-1 | セキュリティの認識とトレーニングに関するポリシーと手順 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 認識とトレーニング | AT-2 | セキュリティ意識向上トレーニング | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 認識とトレーニング | AT-2 | セキュリティ意識向上トレーニング | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-2 | セキュリティ意識向上トレーニング | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-2 (2) | 内部関係者による脅威 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのセキュリティ トレーニング | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのセキュリティ トレーニング | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのセキュリティ トレーニング | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 (3) | 実践的な演習 | ロールベースの実用的な演習を提供する | 1.1.0 |
| 認識とトレーニング | AT-3 (4) | 疑わしい通信と異常なシステム動作 | 疑わしいアクティビティに関するロールベースのトレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-4 | セキュリティ トレーニングの記録 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 認識とトレーニング | AT-4 | セキュリティ トレーニングの記録 | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| 認識とトレーニング | AT-4 | セキュリティ トレーニングの記録 | トレーニング レコードを保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | ポリシーと手順の管理 | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | 監査とアカウンタビリティのポリシーと手順 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 監査とアカウンタビリティ | AU-2 | イベントの監査 | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-2 (3) | 確認と更新 | AU-02 で定義されているイベントの確認と更新 | 1.1.0 |
| 監査とアカウンタビリティ | AU-3 | 監査レコードのコンテンツ | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-3 (1) | その他の監査情報 | Azure 監査機能を構成する | 1.1.1 |
| 監査とアカウンタビリティ | AU-4 | 監査記憶域の容量 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 監査とアカウンタビリティ | AU-5 | 監査処理エラーへの対応 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 監査とアカウンタビリティ | AU-5 (2) | リアルタイム アラート | 監査イベント エラーのリアルタイム アラートを提供する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査の確認、分析、および報告 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | プロセスの統合 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (3) | 監査リポジトリの関連付け | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (3) | 監査リポジトリの関連付け | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | 監査レコード分析の統合 | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 統合またはスキャンと監視機能 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (7) | 許可された操作 | 顧客監査情報に関連付けられている許可されたアクションを指定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (10) | 監査レベルの調整 | 監査レビュー、分析、レポートのレベルを調整する | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 | 監査の削減とレポート生成 | 監査レコードが変更されていないことを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 | 監査の削減とレポート生成 | 監査レビュー、分析、レポート機能の提供 | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 (1) | 自動処理 | 顧客が管理する監査レコードを処理する機能の提供 | 1.1.0 |
| 監査とアカウンタビリティ | AU-8 | タイム スタンプ | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 監査とアカウンタビリティ | AU-8 (1) | 信頼できる時間ソースとの同期 | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 | 監査情報の保護 | 二重または共同の認可を有効にする | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 | 監査情報の保護 | 監査情報を保護する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (2) | 個別の物理システム/コンポーネントのバックアップの監査 | バックアップのポリシーと手順を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (3) | 暗号化による保護 | 監査システムの整合性を維持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (4) | 一部の特権ユーザーによるアクセス | 監査情報を保護する | 1.1.0 |
| 監査とアカウンタビリティ | AU-10 | 否認防止 | 電子署名と証明書の要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | 定義されている保持期間に従う | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 特権機能を監査する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査の生成 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | 監査レコードをシステム全体の監査にコンパイルする | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体または時間相関の監査証跡 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 (3) | 許可された個人による変更 | 顧客が展開したリソースの監査を拡張または制限する機能を提供する | 1.1.0 |
| セキュリティの評価と承認 | CA-1 | セキュリティ評価と承認に関するポリシーと手順 | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | キュリティ コントロールの評価 | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | セキュリティ評価の結果を配信する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | セキュリティ評価計画の作成 | 1.1.0 |
| セキュリティの評価と承認 | CA-2 | セキュリティ評価 | セキュリティ評価レポートの生成 | 1.1.0 |
| セキュリティの評価と承認 | CA-2 (1) | 独立した評価者 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 (2) | 専門的な評価 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| セキュリティの評価と承認 | CA-2 (3) | 外部組織 | 評価結果を承諾する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 | システムの相互接続 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 | システムの相互接続 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 (3) | 未分類の非国家セキュリティ システム接続 | システム境界の保護を実装する | 1.1.0 |
| セキュリティの評価と承認 | CA-3 (5) | 外部システム接続に関する制限 | 外部システムの相互接続に制限を適用する | 1.1.0 |
| セキュリティの評価と承認 | CA-5 | 実行計画とマイルストーン | POA&M の開発 | 1.1.0 |
| セキュリティの評価と承認 | CA-5 | 実行計画とマイルストーン | POA&M 項目の更新 | 1.1.0 |
| セキュリティの評価と承認 | CA-6 | セキュリティ承認 | 承認担当者 (AO) を割り当てる | 1.1.0 |
| セキュリティの評価と承認 | CA-6 | セキュリティ承認 | リソースが承認されていることを確認する | 1.1.0 |
| セキュリティの評価と承認 | CA-6 | セキュリティ承認 | セキュリティ承認を更新する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 | 継続的な監視 | 検出ホワイトリストを構成する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 | 継続的な監視 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| セキュリティの評価と承認 | CA-7 | 継続的な監視 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 (1) | 独立した評価 | 継続的に監視するために個別の評価者を採用する | 1.1.0 |
| セキュリティの評価と承認 | CA-7 (3) | 傾向分析 | 継続的監視から取得したデータを分析する | 1.1.0 |
| セキュリティの評価と承認 | CA-8 (1) | 独立した侵入エージェントまたはチーム | 侵入テストに別個のチームを採用する | 1.1.0 |
| セキュリティの評価と承認 | CA-9 | 内部システム接続 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 構成管理 | CM-1 | 構成管理に関するポリシーと手順 | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 構成コントロール ボードを設立する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 構成コントロール ボードを設立する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性および通用性の自動化サポート | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-2 (3) | 以前の構成の保持 | 以前のバージョンのベースライン構成を保持する | 1.1.0 |
| 構成管理 | CM-2 (7) | 危険性の高い領域に対するシステム、コンポーネント、またはデバイスの構成 | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 構成管理 | CM-2 (7) | 危険性の高い領域に対するシステム、コンポーネント、またはデバイスの構成 | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | リスク管理戦略の確立 | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | リスク評価を実行する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 提案された変更の承認要求を自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 承認された変更通知の実装を自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 構成管理 | CM-3 (2) | 変更のテスト/検証/文書化 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-3 (2) | 変更のテスト/検証/文書化 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-3 (2) | 変更のテスト/検証/文書化 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-3 (4) | セキュリティ担当者 | 制御を変更するために情報セキュリティ担当者を割り当てる | 1.1.0 |
| 構成管理 | CM-3 (6) | 暗号化の管理 | 暗号化メカニズムが構成管理の下に存在するようにする | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | リスク管理戦略の確立 | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | リスク評価を実行する | 1.1.0 |
| 構成管理 | CM-4 | セキュリティ影響分析 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-5 | 変更のアクセス制限 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-5 (1) | 自動化されたアクセスの適用/監査 | アクセス制限の適用と監査 | 1.1.0 |
| 構成管理 | CM-5 (2) | システム変更のレビュー | 承認されていない変更の変更を確認する | 1.1.0 |
| 構成管理 | CM-5 (3) | 署名付きコンポーネント | 承認されていないソフトウェアとファームウェアのインストールを制限する | 1.1.0 |
| 構成管理 | CM-5 (5) | 運用/操作特権の制限 | 運用環境で変更を加える特権を制限する | 1.1.0 |
| 構成管理 | CM-5 (5) | 運用/操作特権の制限 | 特権の確認と再評価 | 1.1.0 |
| 構成管理 | CM-6 | 構成設定 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-6 | 構成設定 | 情報システムの欠陥を修復する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された集中管理/適用/検証 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された集中管理/適用/検証 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された集中管理/適用/検証 | システム診断データを表示して構成する | 1.1.0 |
| 構成管理 | CM-7 | 最小限の機能 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 構成管理 | CM-8 | 情報システム コンポーネント インベントリ | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 | 情報システム コンポーネント インベントリ | 個人データの処理に関する記録を保持する | 1.1.0 |
| 構成管理 | CM-8 (1) | インストール中/削除中の更新 | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 (1) | インストール中/削除中の更新 | 個人データの処理に関する記録を保持する | 1.1.0 |
| 構成管理 | CM-8 (3) | 許可されていないコンポーネントの検出の自動化 | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| 構成管理 | CM-8 (3) | 許可されていないコンポーネントの検出の自動化 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 構成管理 | CM-8 (4) | 説明責任の情報 | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 (4) | 説明責任の情報 | 資産インベントリの確立と管理 | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成プランの保護を作成する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成項目の識別計画を策定する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成管理計画を策定する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-10 | ソフトウェアの使用制限 | 知的財産権の遵守を必須にする | 1.1.0 |
| 構成管理 | CM-10 | ソフトウェアの使用制限 | ソフトウェア ライセンスの使用を追跡する | 1.1.0 |
| 構成管理 | CM-10 (1) | オープン ソース ソフトウェア | オープン ソース ソフトウェアの使用を制限する | 1.1.0 |
| 代替計画 | CP-1 | 代替計画のポリシーと手順 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画の変更を伝達する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 事業継続とディザスター リカバリー計画を作成および文書化する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を策定する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | コンティンジェンシー計画に関するポリシーと手順を作成する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | ポリシーと手順の配布 | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を確認する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を更新する | 1.1.0 |
| 代替計画 | CP-2 (1) | 関連する計画との調整 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-2 (2) | キャパシティ プランニング | キャパシティ プランニングの実施 | 1.1.0 |
| 代替計画 | CP-2 (3) | 重要な任務/ビジネス機能の再開 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 代替計画 | CP-2 (4) | すべてのミッション/ビジネス機能の再開 | すべてのミッションとビジネス機能を再開する | 1.1.0 |
| 代替計画 | CP-2 (5) | 不可欠なミッション/ビジネス機能の継続 | 重要なビジネス機能の継続を計画する | 1.1.0 |
| 代替計画 | CP-2 (8) | 重要な資産の識別 | ビジネスの影響評価とアプリケーションの重要度評価を実行する | 1.1.0 |
| 代替計画 | CP-3 | コンティンジェンシー トレーニング | コンティンジェンシー トレーニングを提供する | 1.1.0 |
| 代替計画 | CP-3 (1) | シミュレートされたイベント | シミュレートされたコンティンジェンシー トレーニングを組み込む | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 代替計画テストの修正操作を開始する | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 代替計画テストの結果を確認する | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 事業継続とディザスター リカバリーの計画をテストする | 1.1.0 |
| 代替計画 | CP-4 (1) | 関連する計画との調整 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-4 (2) | 代替処理サイト | 代替処理サイト機能を評価する | 1.1.0 |
| 代替計画 | CP-4 (2) | 代替処理サイト | 代替処理を実行する場所で代替計画をテストする | 1.1.0 |
| 代替計画 | CP-6 | 代替ストレージ サイト | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| 代替計画 | CP-6 | 代替ストレージ サイト | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| 代替計画 | CP-6 (1) | プライマリ サイトからの分離 | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 代替計画 | CP-6 (2) | 目標復旧時間/目標復旧時点 | 回復操作を容易にする代替ストレージ サイトを確立する | 1.1.0 |
| 代替計画 | CP-6 (3) | ユーザー補助 | 代替ストレージ サイトで潜在的な問題を特定して軽減する | 1.1.0 |
| 代替計画 | CP-7 | 代替処理サイト | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 代替計画 | CP-7 | 代替処理サイト | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (1) | プライマリ サイトからの分離 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (2) | ユーザー補助 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (3) | サービスの優先順位 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (3) | サービスの優先順位 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 代替計画 | CP-7 (4) | 使用の準備 | 代替処理サイトを操作サイトとして使用できるように準備する | 1.1.0 |
| 代替計画 | CP-8 (1) | サービスのプロビジョニングの優先度 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 代替計画 | CP-9 | 情報システムのバックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 代替計画 | CP-9 | 情報システムのバックアップ | バックアップのポリシーと手順を確立する | 1.1.0 |
| 代替計画 | CP-9 | 情報システムのバックアップ | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 代替計画 | CP-9 (3) | 重要な情報用の個別のストレージ | バックアップ情報を個別に保存する | 1.1.0 |
| 代替計画 | CP-9 (5) | 代替ストレージ サイトへの転送 | 代替ストレージ サイトにバックアップ情報を転送する | 1.1.0 |
| 代替計画 | CP-10 | 情報システムの復旧と再構成 | 中断後にリソースを回復して再構成する | 1.1.1 |
| 代替計画 | CP-10 (2) | トランザクションの回復 | トランザクション ベースの回復を実装する | 1.1.0 |
| 代替計画 | CP-10 (4) | 期間内の復元 | リソースを稼働状態に復元する | 1.1.1 |
| 識別と認証 | IA-1 | 識別および認証に関するポリシーと手順 | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | ユーザーの一意性を徹底する | 1.1.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへのネットワーク アクセス | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへのネットワーク アクセス | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへのネットワーク アクセス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (2) | 非特権アカウントへのネットワーク アクセス | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (2) | 非特権アカウントへのネットワーク アクセス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (3) | 特権アカウントへのローカル アクセス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (5) | グループ認証 | 個々の認証子の使用を要求する | 1.1.0 |
| 識別と認証 | IA-2 (11) | リモート アクセス - 別個のデバイス | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (11) | リモート アクセス - 別個のデバイス | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 識別と認証 | IA-2 (12) | PIV 資格情報の承諾 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 識別と認証 | IA-4 | 識別子の管理 | システム識別子の割り当て | 1.1.0 |
| 識別と認証 | IA-4 | 識別子の管理 | 定義された期間に識別子を再利用できないようにする | 1.1.0 |
| 識別と認証 | IA-4 (4) | ユーザーの状態の識別 | 個々のユーザーの状態を識別する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の管理 | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を最新の情報に更新 | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | パスワード ポリシーの確立 | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子と ID を動的にバインドする | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | シークレット認証子と検証ツールを検索するためのパラメーターを確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証された ID を個人にマップする | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 秘密キーへのアクセスを制限する | 1.1.0 |
| 識別と認証 | IA-5 (2) | PKI ベースの認証 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 識別と認証 | IA-5 (3) | 直接登録または信頼できるサードパーティによる登録 | 認証子の配布 | 1.1.0 |
| 識別と認証 | IA-5 (4) | パスワードの強度決定のための自動化されたサポート | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 識別と認証 | IA-5 (4) | パスワードの強度決定のための自動化されたサポート | パスワード ポリシーの確立 | 1.1.0 |
| 識別と認証 | IA-5 (4) | パスワードの強度決定のための自動化されたサポート | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 識別と認証 | IA-5 (6) | 認証子の保護 | 承認されたユーザーが指定された認証子を保護するようにする | 1.1.0 |
| 識別と認証 | IA-5 (7) | 暗号化されていない静的認証子の埋め込みなし | 暗号化されていない静的認証子がないことを確認する | 1.1.0 |
| 識別と認証 | IA-5 (11) | ハードウェア トークンベースの認証 | トークンの品質要件を満たす | 1.1.0 |
| 識別と認証 | IA-5 (13) | キャッシュされた認証子の有効期限 | キャッシュされた認証子の有効期限切れを強制実行する | 1.1.0 |
| 識別と認証 | IA-6 | 認証子のフィードバック | 認証処理中にフィードバック情報を隠す | 1.1.0 |
| 識別と認証 | IA-7 | 暗号化モジュールの認証 | 暗号化モジュールに対して認証する | 1.1.0 |
| 識別と認証 | IA-8 | 識別と認証 (組織外のユーザー) | 組織外のユーザーを識別して認証する | 1.1.0 |
| 識別と認証 | IA-8 (1) | 他の政府機関からの PIV 資格情報の承諾 | PIV 資格情報を承諾する | 1.1.0 |
| 識別と認証 | IA-8 (2) | サードパーティの資格情報の承諾 | FICAM で承認されたサード パーティの資格情報のみを受け入れる | 1.1.0 |
| 識別と認証 | IA-8 (3) | FICAM 承認済みの製品の使用 | FICAM で承認されたリソースを使用してサードパーティの資格情報を承諾する | 1.1.0 |
| 識別と認証 | IA-8 (4) | FICAM 発行のプロファイルの使用 | FICAM で発行されたプロファイルに適合する | 1.1.0 |
| インシデント対応 | IR-1 | インシデント対応ポリシーと手順 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| インシデント対応 | IR-2 | インシデント対応トレーニング | 情報流出トレーニングを提供する | 1.1.0 |
| インシデント対応 | IR-2 (1) | シミュレートされたイベント | シミュレートされたイベントをインシデント対応のトレーニングに組み込む | 1.1.0 |
| インシデント対応 | IR-2 (2) | 自動化されたトレーニング環境 | 自動化されたトレーニング環境を採用する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | インシデント対応テストを実施する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | 情報セキュリティ プログラムを確立する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | シミュレーション攻撃の実行 | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | インシデント対応テストを実施する | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | シミュレーション攻撃の実行 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-4 | インシデント処理 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | セキュリティ セーフガードの開発 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント対応計画を維持する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | 脅威に関する傾向分析を実行する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR-4 | インシデント処理 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-4 (2) | 動的再構成 | 顧客がデプロイしたリソースの動的な再構成を含める | 1.1.0 |
| インシデント対応 | IR-4 (3) | 運用の継続性 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| インシデント対応 | IR-4 (4) | 情報の相関関係 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-4 (6) | 内部関係者の脅威 - 特定の機能 | インシデント処理機能を実装する | 1.1.0 |
| インシデント対応 | IR-4 (8) | 外部組織との相関関係 | 外部組織と連携して組織間の視点を実現する | 1.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-5 | インシデント監視 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR-6 (1) | 自動化された報告 | セキュリティ運用を文書化する | 1.1.0 |
| インシデント対応 | IR-6 (2) | インシデントに関連する脆弱性 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR-6 (2) | インシデントに関連する脆弱性 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR-6 (2) | インシデントに関連する脆弱性 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR-7 | インシデント対応サポート | セキュリティ運用を文書化する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 脅威に関する傾向分析を実行する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報およびサポートの可用性に対する自動化サポート | 制限のあるユーザーを表示して調査する | 1.1.0 |
| インシデント対応 | IR-7 (2) | 外部プロバイダーとの調整 | インシデント対応機能と外部プロバイダー間の関係を確立する | 1.1.0 |
| インシデント対応 | IR-7 (2) | 外部プロバイダーとの調整 | インシデント対応の担当者を特定する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | 情報セキュリティ イベントを評価する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | データ侵害レコードを保持する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント対応計画を維持する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント対応計画を保護する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 職員に情報流出のアラートを通知する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 汚染されたシステムやコンポーネントを識別する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 流出した情報を特定する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 情報流出を分離する | 1.1.0 |
| インシデント対応 | IR-9 (1) | 責任者 | インシデント対応の担当者を特定する | 1.1.0 |
| インシデント対応 | IR-9 (2) | トレーニング | 情報流出トレーニングを提供する | 1.1.0 |
| インシデント対応 | IR-9 (3) | 流出後の運用 | 流出に対する対応手順を作成する | 1.1.0 |
| インシデント対応 | IR-9 (4) | 許可されていない職員への公開 | セキュリティ セーフガードの開発 | 1.1.0 |
| メンテナンス | MA-1 | システム メンテナンスのポリシーと手順 | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-2 (2) | メンテナンス作業の自動化 | リモート メンテナンス アクティビティを自動化する | 1.1.0 |
| メンテナンス | MA-2 (2) | メンテナンス作業の自動化 | リモート メンテナンス アクティビティの完全なレコードを生成する | 1.1.0 |
| メンテナンス | MA-3 | メンテナンス ツール | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 | メンテナンス ツール | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (1) | ツールの検査 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (1) | ツールの検査 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (2) | メディアの検査 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (2) | メディアの検査 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-4 | 非ローカル メンテナンス | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-4 (2) | 非ローカル メンテナンスの文書化 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-4 (3) | 同等のセキュリティ/サニタイズ | すべての非ローカル メンテナンスを実行する | 1.1.0 |
| メンテナンス | MA-4 (6) | 暗号化による保護 | 暗号化メカニズムを実装する | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | 承認されていないメンテナンス アクティビティを監視する担当者の指定 | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | 承認されたリモート メンテナンス担当者リストの管理 | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | メンテナンス担当者の管理 | 1.1.0 |
| メンテナンス | MA-5 (1) | 適切なアクセス権のない個人 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-5 (1) | 適切なアクセス権のない個人 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-6 | タイムリーなメンテナンス | タイムリーなメンテナンス サポートを提供する | 1.1.0 |
| メディア保護 | MP-1 | メディア保護のポリシーと手順 | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| メディア保護 | MP-2 | メディア アクセス | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-3 | メディアのマーキング | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-4 | メディアの保管 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-4 | メディアの保管 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 | メディアの輸送 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 | メディアの輸送 | 資産の輸送を管理する | 1.1.0 |
| メディア保護 | MP-5 (4) | 暗号化による保護 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 (4) | 暗号化による保護 | 資産の輸送を管理する | 1.1.0 |
| メディア保護 | MP-6 | メディアのサニタイズ | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 | メディアのサニタイズ | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-6 (1) | レビュー/承認/追跡/文書化/検証 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 (1) | レビュー/承認/追跡/文書化/検証 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-6 (2) | 機器のテスト | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 (2) | 機器のテスト | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | メディアの使用を制限する | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 (1) | 所有者なしでの使用の禁止 | メディアの使用を制限する | 1.1.0 |
| 物理的および環境的な保護 | PE-1 | 物理的および環境的保護に関するポリシーと手順 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 物理的および環境的な保護 | PE-2 | 物理的なアクセスの承認 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 資産インベントリの確立と管理 | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-4 | 伝送媒体に対するアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-4 | 伝送媒体に対するアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-6 (1) | 侵入警報装置/監視装置 | アラーム システムをインストールする | 1.1.0 |
| 物理的および環境的な保護 | PE-6 (1) | 侵入警報装置/監視装置 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-8 | 訪問者のアクセスの記録 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-8 | 訪問者のアクセスの記録 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-12 | 非常用照明 | 自動非常用照明を使用する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 | 防火 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (1) | 探知装置/システム | 侵入テスト方法を実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (1) | 探知装置/システム | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (1) | 探知装置/システム | シミュレーション攻撃の実行 | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (2) | 消火装置/システム | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (3) | 自動消火装置 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 | 温湿度制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 (2) | 警報および通知による監視 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 (2) | 警報および通知による監視 | アラーム システムをインストールする | 1.1.0 |
| 物理的および環境的な保護 | PE-15 | 水害からの保護 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-16 | 納入と撤去 | 資産管理の要件を定義する | 1.1.0 |
| 物理的および環境的な保護 | PE-16 | 納入と撤去 | 資産の輸送を管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-17 | 代替作業サイト | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-18 | 情報システム コンポーネントの場所 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 計画 | PL-1 | セキュリティ計画のポリシーと手順 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 基準を満たす SSP の開発 | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | プライバシー プログラムを確立する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 計画 | PL-2 | システムセキュリティ計画 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 計画 | PL-2 (3) | 計画および他の組織エンティティとの調整 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 計画 | PL-2 (3) | 計画および他の組織エンティティとの調整 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 計画 | PL-2 (3) | 計画および他の組織エンティティとの調整 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 利用規約と手順を作成する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 不正行為を禁止する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 計画 | PL-4 (1) | ソーシャル メディアとネットワーキングの制限 | 利用規約と手順を作成する | 1.1.0 |
| 計画 | PL-8 | 情報セキュリティアーキテクチャ | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 計画 | PL-8 | 情報セキュリティアーキテクチャ | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| 人的セキュリティ | PS-1 | 人的セキュリティのポリシーと手順 | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| 人的セキュリティ | PS-2 | 職位に対するリスク指定 | リスク指定を割り当てる | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 職員のスクリーニングを実装する | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 定義された頻度で個人を再表示する | 1.1.0 |
| 人的セキュリティ | PS-3 (3) | 特殊な保護対策のある情報 | 特別な情報を保護する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 離職時に離職者面接を実施する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了時に認証子を無効にする | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了または転送時に通知する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 人的セキュリティ | PS-4 (2) | 自動通知 | 従業員の退職の通知を自動化する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 終了または転送時に通知する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 職員の異動時にアクセスを再評価する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 組織のアクセス契約を文書化する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | アクセス契約が署名されているか、または時間内に辞任されていることを確認する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | ユーザーがアクセス契約に署名することを必須にする | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 組織のアクセス契約を更新する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティの担当者の転送または解雇の通知を要求する | 1.1.0 |
| 人的セキュリティ | PS-7 | サードパーティの人的セキュリティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 人的セキュリティ | PS-8 | 職員の処罰 | 正式な制裁プロセスを実装する | 1.1.0 |
| 人的セキュリティ | PS-8 | 職員の処罰 | 承認時に担当者に通知する | 1.1.0 |
| リスク評価 | RA-1 | リスク評価のポリシーと手順 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | 情報の分類 | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | ビジネス分類スキームを作成する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | セキュリティ分類が承認されていることを確認する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | ラベル アクティビティと分析を確認する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施して結果を配布する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実行する | 1.1.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 | 脆弱性のスキャン | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (1) | 更新ツールの機能 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (1) | 更新ツールの機能 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (2) | 頻度による更新/新規スキャン前の更新/識別時の更新 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (2) | 頻度による更新/新規スキャン前の更新/識別時の更新 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (3) | 対象範囲の広さと深さ | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (3) | 対象範囲の広さと深さ | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (4) | 検出可能な情報 | 顧客情報への対応を行う | 1.1.0 |
| リスク評価 | RA-5 (5) | 特権アクセス | 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脅威に関する傾向分析を実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脅威モデリングを実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 特権機能を監査する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | ユーザー アカウントの状態を監査する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査レコードの関連付け | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査可能なイベントを決定する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | Cloud App Security を SIEM と統合する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 管理者割り当てを毎週レビューする | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査データを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | クラウド ID レポートの概要を確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 悪用からの保護イベントを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| リスク評価 | RA-5 (10) | スキャン情報の関連付け | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| システムとサービスの取得 | SA-1 | システムとサービスの取得のポリシーおよび手順 | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 事業目標と IT 目標を調整する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 情報システム要件を決定するためにリソースを割り当てる | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 予算ドキュメントで個別の行項目を確立する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | プライバシー プログラムを確立する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | リソースの割り当てを管理する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | サプライヤー契約の義務を決定する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約における個人データの保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 (1) | セキュリティ コントロールの機能プロパティ | セキュリティ コントロールの機能プロパティを取得する | 1.1.0 |
| システムとサービスの取得 | SA-4 (2) | セキュリティ コントロールの設計および実装の情報 | セキュリティ コントロールの設計と実装の情報を取得する | 1.1.1 |
| システムとサービスの取得 | SA-4 (8) | 継続的な監視計画 | セキュリティ制御の継続的監視計画を取得する | 1.1.0 |
| システムとサービスの取得 | SA-4 (9) | 使用される機能、ポート、プロトコル、サービス | SDLC ポート、プロトコル、サービスの識別を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-4 (10) | 承認済み PIV 製品の使用 | PIV に FIPS 201 承認済みのテクノロジを採用する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 情報システムのドキュメントを配布する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 顧客によって定義されたアクションを文書化する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 管理者向けドキュメントを取得する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | ユーザー セキュリティ機能のドキュメントを取得する | 1.1.0 |
| システムとサービスの取得 | SA-5 | 情報システム ドキュメント | 管理者とユーザーのドキュメントを保護する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | 政府機関の監督を定義して文書化する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部の情報システム サービス | 個別のセキュリティ レビューを適用する | 1.1.0 |
| システムとサービスの取得 | SA-9 (1) | リスク評価または組織の承認 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| システムとサービスの取得 | SA-9 (1) | リスク評価または組織の承認 | 取得と外部委託の承認を取得する | 1.1.0 |
| システムとサービスの取得 | SA-9 (2) | 機能、ポート、プロトコル、サービスの識別 | 外部サービス プロバイダーを識別する | 1.1.0 |
| システムとサービスの取得 | SA-9 (4) | コンシューマーとプロバイダーの関心の整合性 | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| システムとサービスの取得 | SA-9 (5) | 処理、ストレージ、サービスの場所 | 情報処理、保存、サービスの場所を制限する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | コーディングの脆弱性に対処する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 脆弱性スキャンを実行する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 情報システムの欠陥を修復する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 (1) | ソフトウェア/ファームウェアの整合性の検証 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるセキュリティのテストと評価 | 脆弱性スキャンを実行する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるセキュリティのテストと評価 | 情報システムの欠陥を修復する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるセキュリティのテストと評価 | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-12 | サプライ チェーンの保護 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| システムとサービスの取得 | SA-12 | サプライ チェーンの保護 | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| システムとサービスの取得 | SA-12 | サプライ チェーンの保護 | サプライヤー契約の義務を決定する | 1.1.0 |
| システムとサービスの取得 | SA-12 | サプライ チェーンの保護 | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| システムとサービスの取得 | SA-15 | 開発プロセス、標準、ツール | 開発プロセス、標準、ツールをレビューする | 1.1.0 |
| システムとサービスの取得 | SA-16 | 開発者が提供するトレーニング | 開発者にトレーニングの提供を要求する | 1.1.0 |
| システムとサービスの取得 | SA-17 | 開発者によるセキュリティ アーキテクチャと設計 | セキュリティ アーキテクチャの構築を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-17 | 開発者によるセキュリティ アーキテクチャと設計 | 正確なセキュリティ機能を説明するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-17 | 開発者によるセキュリティ アーキテクチャと設計 | 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | 1.1.0 |
| システムと通信の保護 | SC-1 | システムと通信の保護のポリシーと手順 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| システムと通信の保護 | SC-2 | アプリケーションのパーティション分割 | リモート アクセスを認可する | 1.1.0 |
| システムと通信の保護 | SC-2 | アプリケーションのパーティション分割 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| システムと通信の保護 | SC-2 | アプリケーションのパーティション分割 | 管理タスクに専用マシンを使用する | 1.1.0 |
| システムと通信の保護 | SC-3 | セキュリティ機能の分離 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと通信の保護 | SC-5 | サービス拒否の防止 | DDoS 対応計画の作成と文書化 | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | リソースの割り当てを管理する | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | 可用性と容量を管理する | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| システムと通信の保護 | SC-7 | 境界保護 | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| システムと通信の保護 | SC-7 (7) | リモート デバイスの分割トンネリングの防止 | リモート デバイスの分割トンネリングの防止 | 1.1.0 |
| システムと通信の保護 | SC-7 (8) | 認証済みプロキシ サーバーへのトラフィックのルーティング | 認証済みプロキシ ネットワーク経由でトラフィックをルーティングする | 1.1.0 |
| システムと通信の保護 | SC-7 (12) | ホストベースの保護 | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (13) | セキュリティ ツール、メカニズム、サポート コンポーネントの分離 | SecurID システム、セキュリティ インシデント管理システムを分離する | 1.1.0 |
| システムと通信の保護 | SC-7 (18) | フェール セキュア | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (18) | フェール セキュア | スタンバイおよびアクティブ システム コンポーネント間の転送を管理する | 1.1.0 |
| システムと通信の保護 | SC-7 (20) | 動的な分離または隔離 | システムがリソースの動的な分離に対応していることを確認する | 1.1.0 |
| システムと通信の保護 | SC-7 (21) | 情報システム コンポーネントの分離 | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| システムと通信の保護 | SC-8 | 送信の機密性と整合性 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムと通信の保護 | SC-8 | 送信の機密性と整合性 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| システムと通信の保護 | SC-8 (1) | 暗号化または代替の物理的保護 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムと通信の保護 | SC-10 | ネットワークの切断 | ユーザー セッションを再認証するか終了する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 物理キーの管理プロセスを定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 暗号化の使用を定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | アサーション要件を決定する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 公開キー証明書を発行する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 対称暗号化キーを管理する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 秘密キーへのアクセスを制限する | 1.1.0 |
| システムと通信の保護 | SC-12 (1) | 可用性 | 情報の可用性を維持する | 1.1.0 |
| システムと通信の保護 | SC-12 (2) | 対称キー | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| システムと通信の保護 | SC-12 (3) | 非対称キー | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| システムと通信の保護 | SC-13 | 暗号化による保護 | 暗号化の使用を定義する | 1.1.0 |
| システムと通信の保護 | SC-15 | コラボレーション コンピューティング デバイス | コラボレーション コンピューティング デバイスの使用を明示的に通知する | 1.1.1 |
| システムと通信の保護 | SC-15 | コラボレーション コンピューティング デバイス | コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | 1.1.0 |
| システムと通信の保護 | SC-17 | 公開キー基盤証明書 | 公開キー証明書を発行する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | モバイル コード テクノロジの使用を承認、監視、制御する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | モバイル コード テクノロジの使用制限を確立する | 1.1.0 |
| システムと通信の保護 | SC-19 | Voice over Internet Protocol | VoIP の承認、監視、制御 | 1.1.0 |
| システムと通信の保護 | SC-19 | Voice over Internet Protocol | VoIP の使用制限を確立する | 1.1.0 |
| システムと通信の保護 | SC-20 | セキュリティで保護された名前/アドレス解決サービス (権限のあるソース) | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-20 | セキュリティで保護された名前/アドレス解決サービス (権限のあるソース) | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| システムと通信の保護 | SC-21 | セキュリティで保護された名前/アドレス解決サービス (再帰的リゾルバーまたはキャッシュ リゾルバー) | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-21 | セキュリティで保護された名前/アドレス解決サービス (再帰的リゾルバーまたはキャッシュ リゾルバー) | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと通信の保護 | SC-22 | 名前/アドレス解決サービスのアーキテクチャとプロビジョニング | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-23 | セッションの信頼性 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムと通信の保護 | SC-23 | セッションの信頼性 | ランダムな一意のセッション識別子を適用する | 1.1.0 |
| システムと通信の保護 | SC-23 (1) | ログアウト時のセッション識別子の無効化 | ログアウト時のセッション識別子の無効化 | 1.1.0 |
| システムと通信の保護 | SC-24 | 既知の状態での機能停止 | 情報システムが既知の状態で失敗するようにする | 1.1.0 |
| システムと通信の保護 | SC-28 | 保存情報の保護 | データ漏えいの管理手順を確立する | 1.1.0 |
| システムと通信の保護 | SC-28 | 保存情報の保護 | 特別な情報を保護する | 1.1.0 |
| システムと通信の保護 | SC-28 (1) | 暗号化による保護 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| システムと通信の保護 | SC-28 (1) | 暗号化による保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムと通信の保護 | SC-39 | プロセスの分離 | 実行中のプロセス用に個別の実行ドメインを維持する | 1.1.0 |
| システムと情報の整合性 | SI-1 | システムと情報の整合性のポリシーおよび手順 | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | 情報システムの欠陥を修復する | 1.1.0 |
| システムと情報の整合性 | SI-2 (2) | 自動的な欠陥修復状態 | 欠陥の修復を自動化する | 1.1.0 |
| システムと情報の整合性 | SI-2 (2) | 自動的な欠陥修復状態 | 情報システムの欠陥を修復する | 1.1.0 |
| システムと情報の整合性 | SI-2 (3) | 欠陥を修復するまでの時間および是正措置のベンチマーク | 欠陥修復のベンチマークを確立する | 1.1.0 |
| システムと情報の整合性 | SI-2 (3) | 欠陥を修復するまでの時間および是正措置のベンチマーク | 欠陥の特定と欠陥の修復の間の時間を測定する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 (1) | 中央管理 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 (2) | 自動更新 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 (7) | シグネチャ ベースではない検出 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-4 | 情報システムの監視 | 必要に応じて監視情報を提供する | 1.1.0 |
| システムと情報の整合性 | SI-4 (2) | リアルタイム分析のための自動化ツール | セキュリティ運用を文書化する | 1.1.0 |
| システムと情報の整合性 | SI-4 (2) | リアルタイム分析のための自動化ツール | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | VoIP の承認、監視、制御 | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | システム境界の保護を実装する | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | 職員に情報流出のアラートを通知する | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | インシデント レスポンス計画を策定する | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| システムと情報の整合性 | SI-4 (12) | 自動アラート | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| システムと情報の整合性 | SI-4 (12) | 自動アラート | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| システムと情報の整合性 | SI-4 (12) | 自動アラート | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| システムと情報の整合性 | SI-4 (14) | ワイヤレス侵入の検出 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| システムと情報の整合性 | SI-4 (22) | 承認されていないネットワーク サービス | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| システムと情報の整合性 | SI-4 (24) | セキュリティ侵害のインジケーター | 侵害のインジケーターを検出する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | セキュリティ アラートを担当者に送信する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | 脅威インテリジェンス プログラムを確立する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | 内部セキュリティ アラートを生成する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | セキュリティ ディレクティブの実装 | 1.1.0 |
| システムと情報の整合性 | SI-5 (1) | 警告および勧告の自動化 | セキュリティ アラートに自動化されたメカニズムを使用する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | 特定された異常に対する代替アクションを作成する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | 失敗したセキュリティ検証テストについて担当者に通知する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | 定義された頻度でセキュリティ関数の検証を実行する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | セキュリティ機能を確認する | 1.1.0 |
| システムと情報の整合性 | SI-7 | ソフトウェア、ファームウェア、情報の整合性 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと情報の整合性 | SI-7 (1) | 整合性チェック | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと情報の整合性 | SI-7 (1) | 整合性チェック | システム診断データを表示して構成する | 1.1.0 |
| システムと情報の整合性 | SI-7 (5) | 整合性違反への自動対応 | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| システムと情報の整合性 | SI-7 (14) | バイナリまたはマシン実行可能コード | バイナリ/マシン実行可能コードを禁止する | 1.1.0 |
| システムと情報の整合性 | SI-10 | 情報入力の検証 | 情報入力の検証を実行 | 1.1.0 |
| システムと情報の整合性 | SI-11 | エラー処理 | エラー メッセージの生成 | 1.1.0 |
| システムと情報の整合性 | SI-11 | エラー処理 | エラー メッセージの表示 | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の処理とリテンション期間 | 物理的なアクセスを制御する | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の処理とリテンション期間 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の処理とリテンション期間 | ラベル アクティビティと分析を確認する | 1.1.0 |
| システムと情報の整合性 | SI-16 | メモリの保護 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-1 | ポリシーと手順 | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| アクセス制御 | AC-1 | ポリシーと手順 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-1 | ポリシーと手順 | ポリシーと手順の管理 | 1.1.0 |
| アクセス制御 | AC-1 | ポリシーと手順 | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント マネージャーの割り当て | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 情報システム アカウントの種類を定義する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アクセス特権の文書化 | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ロール メンバーシップの条件を確立する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | カスタマー コントロールのアカウントについて担当者に通知する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| アクセス制御 | AC-2 | アカウント管理 | ユーザー アカウントを確認する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-2 (1) | システム アカウント管理の自動化 | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | AC-2 (3) | アカウントの無効化 | 終了時に認証子を無効にする | 1.1.0 |
| アクセス制御 | AC-2 (3) | アカウントの無効化 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | ユーザー アカウントの状態を監査する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | アカウント管理を自動化する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | システムと管理者のアカウントを管理する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-2 (4) | 監査処理の自動化 | アカウントが不要になったときに通知する | 1.1.0 |
| アクセス制御 | AC-2 (5) | 非アクティブな状態のログアウト | アイドル時間ログ ポリシーを定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 (7) | 特権ユーザー アカウント | 特権機能を監査する | 1.1.0 |
| アクセス制御 | AC-2 (7) | 特権ユーザー アカウント | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 (7) | 特権ユーザー アカウント | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | AC-2 (7) | 特権ユーザー アカウント | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-2 (7) | 特権ユーザー アカウント | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-2 (7) | 特権ユーザー アカウント | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | AC-2 (9) | 共有およびグループ アカウントの使用に関する制限 | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| アクセス制御 | AC-2 (11) | 使用条件 | すべてのアカウントの適切な使用の強制 | 1.1.0 |
| アクセス制御 | AC-2 (12) | 一般的でない使用法に対するアカウントの監視 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | 一般的でない使用法に対するアカウントの監視 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| アクセス制御 | AC-2 (12) | 一般的でない使用法に対するアカウントの監視 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | 一般的でない使用法に対するアカウントの監視 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| アクセス制御 | AC-2 (12) | 一般的でない使用法に対するアカウントの監視 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| アクセス制御 | AC-2 (12) | 一般的でない使用法に対するアカウントの監視 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| アクセス制御 | AC-2 (12) | 一般的でない使用法に対するアカウントの監視 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| アクセス制御 | AC-2 (12) | 一般的でない使用法に対するアカウントの監視 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| アクセス制御 | AC-2 (12) | 一般的でない使用法に対するアカウントの監視 | アカウント アクティビティを監視する | 1.1.0 |
| アクセス制御 | AC-2 (12) | 一般的でない使用法に対するアカウントの監視 | ユーザー アカウントの特殊な動作を報告する | 1.1.0 |
| アクセス制御 | AC-2 (13) | 危険性の高い個人のアカウントの無効化 | 重大なリスクを伴うユーザー アカウントを無効にする | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| アクセス制御 | AC-3 | アクセスの適用 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 論理アクセスを強制する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | アカウント作成の承認を必要とする | 1.1.0 |
| アクセス制御 | AC-3 | アクセスの適用 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| アクセス制御 | AC-4 | 情報フローの適用 | 情報フローを制御する | 1.1.0 |
| アクセス制御 | AC-4 | 情報フローの適用 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| アクセス制御 | AC-4 (8) | セキュリティおよびプライバシー ポリシーのフィルター | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | 情報フローを制御する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| アクセス制御 | AC-4 (21) | 情報フローの物理的または論理的分離 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 職務の分離について文書化する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 個人の職務を分離する | 1.1.0 |
| アクセス制御 | AC-5 | 職務の分離 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| アクセス制御 | AC-6 | 最小限の特権 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-6 | 最小限の特権 | アクセス制御モデルを設計する | 1.1.0 |
| アクセス制御 | AC-6 | 最小限の特権 | 最小特権アクセスを使用する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | アクセスを認可および管理する | 1.1.0 |
| アクセス制御 | AC-6 (1) | セキュリティ機能へのアクセスの認可 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| アクセス制御 | AC-6 (5) | 特権アカウント | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-6 (7) | ユーザー特権のレビュー | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| アクセス制御 | AC-6 (7) | ユーザー特権の確認 | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| アクセス制御 | AC-6 (7) | ユーザー特権の確認 | ユーザー特権を確認する | 1.1.0 |
| アクセス制御 | AC-6 (8) | コード実行の特権レベル | ソフトウェア実行特権を適用する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用のログ | 特権機能を監査する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用のログ | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用のログ | 特権ロールの割り当てを監視する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用のログ | 特権アカウントへのアクセスを制限する | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用のログ | 必要に応じて特権ロールを取り消す | 1.1.0 |
| アクセス制御 | AC-6 (9) | 特権機能の使用のログ | 特権 ID 管理を使用する | 1.1.0 |
| アクセス制御 | AC-7 | ログオン試行の失敗 | ログイン試行の連続失敗回数の制限を強制する | 1.1.0 |
| アクセス制御 | AC-10 | 同時セッション制御 | 同時セッションの制限を定義して適用する | 1.1.0 |
| アクセス制御 | AC-12 | セッションの終了 | ユーザー セッションを自動的に終了する | 1.1.0 |
| アクセス制御 | AC-12 (1) | ユーザーが開始したログアウト | 明示的なログアウト メッセージを表示する | 1.1.0 |
| アクセス制御 | AC-12 (1) | ユーザーが開始したログアウト | ログアウト機能を提供する | 1.1.0 |
| アクセス制御 | AC-14 | ID または認証なしで許可されるアクション | 認証なしで許可されているアクションを特定する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | リモート アクセスを認可する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | モビリティ トレーニングを文書化する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-17 | リモート アクセス | プライバシーに関するトレーニングを提供する | 1.1.0 |
| アクセス制御 | AC-17 (1) | 監視および制御 | 組織全体のアクセスを監視する | 1.1.0 |
| アクセス制御 | AC-17 (2) | 暗号化を使用した機密性と整合性の保護 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| アクセス制御 | AC-17 (2) | 暗号化を使用した機密性と整合性の保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アクセス制御 | AC-17 (3) | 管理対象のアクセス制御ポイント | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権付きのコマンドとアクセス | リモート アクセスを認可する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権付きのコマンドとアクセス | 特権コマンドへのリモート アクセスを承認する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権付きのコマンドとアクセス | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権付きのコマンドとアクセス | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-17 (4) | 特権付きのコマンドとアクセス | プライバシーに関するトレーニングを提供する | 1.1.0 |
| アクセス制御 | AC-17 (9) | アクセスの切断または無効化 | リモート アクセスを切断または無効にする機能を提供する | 1.1.0 |
| アクセス制御 | AC-18 | ワイヤレス アクセス | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| アクセス制御 | AC-18 | ワイヤレス アクセス | ワイヤレス アクセスを保護する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| アクセス制御 | AC-18 (1) | 認証と暗号化 | ワイヤレス アクセスを保護する | 1.1.0 |
| アクセス制御 | AC-19 | モバイル デバイスのアクセスの制御 | モバイル デバイスの要件を定義する | 1.1.0 |
| アクセス制御 | AC-19 (5) | フル デバイスまたはコンテナーベースの暗号化 | モバイル デバイスの要件を定義する | 1.1.0 |
| アクセス制御 | AC-19 (5) | フル デバイスまたはコンテナーベースの暗号化 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| アクセス制御 | AC-20 | 外部システムの使用 | リソースにアクセスするための使用条件を確立する | 1.1.0 |
| アクセス制御 | AC-20 | 外部システムの使用 | リソースにアクセスするための使用条件の確立 | 1.1.0 |
| アクセス制御 | AC-20 (1) | 許可された使用に関する制限 | 外部情報システムのセキュリティ管理策を検証する | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス ??? 制限付き使用 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス ??? 制限付き使用 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| アクセス制御 | AC-20 (2) | ポータブル ストレージ デバイス ??? 制限付き使用 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| アクセス制御 | AC-21 | 情報共有 | 情報共有の決定を自動化する | 1.1.0 |
| アクセス制御 | AC-21 | 情報共有 | 情報共有を円滑化する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公的にアクセス可能な情報を投稿する権限のある担当者を指定する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公的にアクセス可能な情報を投稿する前にコンテンツを確認する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 公開されていない情報の公的にアクセス可能なコンテンツを確認する | 1.1.0 |
| アクセス制御 | AC-22 | パブリックにアクセスできるコンテンツ | 非公開情報の公開に関する職員のトレーニング | 1.1.0 |
| 認識とトレーニング | AT-1 | ポリシーと手順 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 認識とトレーニング | AT-1 | ポリシーと手順 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 認識とトレーニング | AT-2 | リテラシーのトレーニングと認識 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 認識とトレーニング | AT-2 | リテラシーのトレーニングと認識 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-2 | リテラシーのトレーニングと認識 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-2 (2) | 内部関係者による脅威 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのトレーニング | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのトレーニング | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 | ロールベースのトレーニング | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 認識とトレーニング | AT-3 (3) | 実践的な演習 | ロールベースの実用的な演習を提供する | 1.1.0 |
| 認識とトレーニング | AT-4 | トレーニングの記録 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 認識とトレーニング | AT-4 | トレーニングの記録 | セキュリティとプライバシーに関するトレーニングの完了を監視する | 1.1.0 |
| 認識とトレーニング | AT-4 | トレーニングの記録 | トレーニング レコードを保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | ポリシーと手順 | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | ポリシーと手順 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | ポリシーと手順 | ポリシーと手順の管理 | 1.1.0 |
| 監査とアカウンタビリティ | AU-1 | ポリシーと手順 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 監査とアカウンタビリティ | AU-2 | イベント ログ | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-3 | 監査レコードの内容 | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-3 (1) | その他の監査情報 | Azure 監査機能を構成する | 1.1.1 |
| 監査とアカウンタビリティ | AU-4 | 監査ログのストレージ容量 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 監査とアカウンタビリティ | AU-5 | 監査ログ プロセス エラーへの対応 | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 監査とアカウンタビリティ | AU-5 (2) | リアルタイム アラート | 監査イベント エラーのリアルタイム アラートを提供する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 | 監査レコードのレビュー、分析、レポート作成 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (1) | 自動プロセス統合 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (3) | 監査レコード リポジトリの関連付け | 監査レコードの関連付け | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (3) | 監査レコード リポジトリの関連付け | Cloud App Security を SIEM と統合する | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (4) | 一元的なレビューと分析 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 監査レコードの統合分析 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-6 (5) | 監査レコードの統合分析 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (5) | 監査レコードの統合分析 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (5) | 監査レコードの統合分析 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (5) | 監査レコードの統合分析 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 監査レコードの統合分析 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-6 (5) | 監査レコードの統合分析 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-6 (5) | 監査レコードの統合分析 | 監査レコード分析の統合 | 1.1.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 監査レコードの統合分析 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (5) | 監査レコードの統合分析 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-6 (7) | 許可された操作 | 顧客監査情報に関連付けられている許可されたアクションを指定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 | 監査レコードの削減とレポート生成 | 監査レコードが変更されていないことを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 | 監査レコードの削減とレポート生成 | 監査レビュー、分析、レポート機能の提供 | 1.1.0 |
| 監査とアカウンタビリティ | AU-7 (1) | 自動処理 | 顧客が管理する監査レコードを処理する機能の提供 | 1.1.0 |
| 監査とアカウンタビリティ | AU-8 | タイム スタンプ | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 | 監査情報の保護 | 二重または共同の認可を有効にする | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 | 監査情報の保護 | 監査情報を保護する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (2) | 個別の物理システムまたはコンポーネントへの保存 | バックアップのポリシーと手順を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (3) | 暗号化による保護 | 監査システムの整合性を維持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-9 (4) | 一部の特権ユーザーによるアクセス | 監査情報を保護する | 1.1.0 |
| 監査とアカウンタビリティ | AU-10 | 否認防止 | 電子署名と証明書の要件を確立する | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | 定義されている保持期間に従う | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-11 | 監査レコードの保持 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | 特権機能を監査する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | 監査可能なイベントを決定する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 | 監査レコードの生成 | 監査データを確認する | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体および時間相関の監査証跡 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体および時間相関の監査証跡 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体および時間相関の監査証跡 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体および時間相関の監査証跡 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体および時間相関の監査証跡 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体および時間相関の監査証跡 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体および時間相関の監査証跡 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体および時間相関の監査証跡 | 監査レコードをシステム全体の監査にコンパイルする | 1.1.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体および時間相関の監査証跡 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 (1) | システム全体および時間相関の監査証跡 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 監査とアカウンタビリティ | AU-12 (3) | 許可された個人による変更 | 顧客が展開したリソースの監査を拡張または制限する機能を提供する | 1.1.0 |
| 評価、承認、監視 | CA-1 | ポリシーと手順 | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| 評価、承認、監視 | CA-2 | コントロールの評価 | キュリティ コントロールの評価 | 1.1.0 |
| 評価、承認、監視 | CA-2 | コントロールの評価 | セキュリティ評価の結果を配信する | 1.1.0 |
| 評価、承認、監視 | CA-2 | コントロールの評価 | セキュリティ評価計画の作成 | 1.1.0 |
| 評価、承認、監視 | CA-2 | コントロールの評価 | セキュリティ評価レポートの生成 | 1.1.0 |
| 評価、承認、監視 | CA-2 (1) | 独立した評価者 | 個別の評価者を採用してセキュリティ管理評価を実施する | 1.1.0 |
| 評価、承認、監視 | CA-2 (2) | 専門的な評価 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| 評価、承認、監視 | CA-2 (3) | 外部組織からの結果の活用 | 評価結果を承諾する | 1.1.0 |
| 評価、承認、監視 | CA-3 | 情報交換 | 相互接続のセキュリティ契約を要求する | 1.1.0 |
| 評価、承認、監視 | CA-3 | 情報交換 | 相互接続のセキュリティ契約を更新する | 1.1.0 |
| 評価、承認、監視 | CA-5 | アクションとマイルストーンのプラン | POA&M の開発 | 1.1.0 |
| 評価、承認、監視 | CA-5 | アクションとマイルストーンのプラン | POA&M 項目の更新 | 1.1.0 |
| 評価、承認、監視 | CA-6 | 承認 | 承認担当者 (AO) を割り当てる | 1.1.0 |
| 評価、承認、監視 | CA-6 | 承認 | リソースが承認されていることを確認する | 1.1.0 |
| 評価、承認、監視 | CA-6 | 承認 | セキュリティ承認を更新する | 1.1.0 |
| 評価、承認、監視 | CA-7 | 継続的な監視 | 検出ホワイトリストを構成する | 1.1.0 |
| 評価、承認、監視 | CA-7 | 継続的な監視 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 評価、承認、監視 | CA-7 | 継続的な監視 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 評価、承認、監視 | CA-7 (1) | 独立した評価 | 継続的に監視するために個別の評価者を採用する | 1.1.0 |
| 評価、承認、監視 | CA-7 (3) | 傾向分析 | 継続的監視から取得したデータを分析する | 1.1.0 |
| 評価、承認、監視 | CA-8 (1) | 独立した侵入テスト エージェントまたはチーム | 侵入テストに別個のチームを採用する | 1.1.0 |
| 評価、承認、監視 | CA-9 | 内部システム接続 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 構成管理 | CM-1 | ポリシーと手順 | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 構成コントロール ボードを設立する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-2 | ベースライン構成 | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性と現行性のオートメーション サポート | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性と現行性のオートメーション サポート | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性と現行性のオートメーション サポート | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性と現行性のオートメーション サポート | 構成コントロール ボードを設立する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性と現行性のオートメーション サポート | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-2 (2) | 正確性と現行性のオートメーション サポート | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-2 (3) | 以前の構成の保持 | 以前のバージョンのベースライン構成を保持する | 1.1.0 |
| 構成管理 | CM-2 (7) | 危険性の高い領域に対するシステムとコンポーネントの構成 | 個人が戻ったときに不要なセキュリティ セーフガードを確認する | 1.1.0 |
| 構成管理 | CM-2 (7) | 危険性の高い領域に対するシステムとコンポーネントの構成 | 情報システムが個人と一緒に使用することを許可しない | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | リスク管理戦略の確立 | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | リスク評価を実行する | 1.1.0 |
| 構成管理 | CM-3 | 構成変更コントロール | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 提案された変更の承認要求を自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 承認された変更通知の実装を自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 未承認の変更の実装を禁止するためにプロセスを自動化する | 1.1.0 |
| 構成管理 | CM-3 (1) | 変更の文書化、通知、禁止の自動化 | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 構成管理 | CM-3 (2) | 変更のテスト、検証、文書化 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-3 (2) | 変更のテスト、検証、文書化 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-3 (2) | 変更のテスト、検証、文書化 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-3 (4) | セキュリティとプライバシーの担当者 | 制御を変更するために情報セキュリティ担当者を割り当てる | 1.1.0 |
| 構成管理 | CM-3 (6) | 暗号化の管理 | 暗号化メカニズムが構成管理の下に存在するようにする | 1.1.0 |
| 構成管理 | CM-4 | 影響分析 | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-4 | 影響分析 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 構成管理 | CM-4 | 影響分析 | リスク管理戦略の確立 | 1.1.0 |
| 構成管理 | CM-4 | 影響分析 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-4 | 影響分析 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-4 | 影響分析 | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-4 | 影響分析 | リスク評価を実行する | 1.1.0 |
| 構成管理 | CM-4 | 影響分析 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | セキュリティへの影響分析を実施する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | プライバシー影響評価を実行する | 1.1.0 |
| 構成管理 | CM-4 (1) | 個別のテスト環境 | 構成変更制御の監査を実行する | 1.1.0 |
| 構成管理 | CM-5 | 変更に関するアクセス制限 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 構成管理 | CM-5 (1) | 自動化されたアクセスの強制と監査レコード | アクセス制限の適用と監査 | 1.1.0 |
| 構成管理 | CM-5 (5) | 運用と操作の特権の制限 | 運用環境で変更を加える特権を制限する | 1.1.0 |
| 構成管理 | CM-5 (5) | 運用と操作の特権の制限 | 特権の確認と再評価 | 1.1.0 |
| 構成管理 | CM-6 | 構成設定 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-6 | 構成設定 | 情報システムの欠陥を修復する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された管理、適用、検証 | セキュリティ構成の設定を適用する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された管理、適用、検証 | クラウド サービス プロバイダーのコンプライアンスを管理する | 1.1.0 |
| 構成管理 | CM-6 (1) | 自動化された管理、適用、検証 | システム診断データを表示して構成する | 1.1.0 |
| 構成管理 | CM-7 | 最小限の機能 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 構成管理 | CM-8 | システム コンポーネントのインベントリ | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 | システム コンポーネントのインベントリ | 個人データの処理に関する記録を保持する | 1.1.0 |
| 構成管理 | CM-8 (1) | インストール中および削除中の更新 | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 (1) | インストール中および削除中の更新 | 個人データの処理に関する記録を保持する | 1.1.0 |
| 構成管理 | CM-8 (3) | 許可されていないコンポーネントの検出の自動化 | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| 構成管理 | CM-8 (3) | 許可されていないコンポーネントの検出の自動化 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 構成管理 | CM-8 (4) | 説明責任の情報 | データ インベントリを作成する | 1.1.0 |
| 構成管理 | CM-8 (4) | 説明責任の情報 | 資産インベントリの確立と管理 | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成プランの保護を作成する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | ベースライン構成を作成して維持する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成項目の識別計画を策定する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成管理計画を策定する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 構成管理計画を策定して文書化する | 1.1.0 |
| 構成管理 | CM-9 | 構成管理プラン | 自動構成管理ツールを実装する | 1.1.0 |
| 構成管理 | CM-10 | ソフトウェアの使用制限 | 知的財産権の遵守を必須にする | 1.1.0 |
| 構成管理 | CM-10 | ソフトウェアの使用制限 | ソフトウェア ライセンスの使用を追跡する | 1.1.0 |
| 構成管理 | CM-10 (1) | オープンソース ソフトウェア | オープン ソース ソフトウェアの使用を制限する | 1.1.0 |
| 代替計画 | CP-1 | ポリシーと手順 | 代替計画のポリシーと手順を確認および更新する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画の変更を伝達する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 事業継続とディザスター リカバリー計画を作成および文書化する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を策定する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | コンティンジェンシー計画に関するポリシーと手順を作成する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | ポリシーと手順の配布 | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を確認する | 1.1.0 |
| 代替計画 | CP-2 | コンティンジェンシー計画 | 代替計画を更新する | 1.1.0 |
| 代替計画 | CP-2 (1) | 関連する計画との調整 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-2 (2) | キャパシティ プランニング | キャパシティ プランニングの実施 | 1.1.0 |
| 代替計画 | CP-2 (3) | ミッションとビジネスの機能の再開 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 代替計画 | CP-2 (5) | ミッションとビジネスの機能の続行 | 重要なビジネス機能の継続を計画する | 1.1.0 |
| 代替計画 | CP-2 (8) | 重要な資産の識別 | ビジネスの影響評価とアプリケーションの重要度評価を実行する | 1.1.0 |
| 代替計画 | CP-3 | コンティンジェンシー トレーニング | コンティンジェンシー トレーニングを提供する | 1.1.0 |
| 代替計画 | CP-3 (1) | シミュレートされたイベント | シミュレートされたコンティンジェンシー トレーニングを組み込む | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 代替計画テストの修正操作を開始する | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 代替計画テストの結果を確認する | 1.1.0 |
| 代替計画 | CP-4 | コンティンジェンシー計画のテスト | 事業継続とディザスター リカバリーの計画をテストする | 1.1.0 |
| 代替計画 | CP-4 (1) | 関連する計画との調整 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 代替計画 | CP-4 (2) | 代替処理サイト | 代替処理サイト機能を評価する | 1.1.0 |
| 代替計画 | CP-4 (2) | 代替処理サイト | 代替処理を実行する場所で代替計画をテストする | 1.1.0 |
| 代替計画 | CP-6 | 代替ストレージ サイト | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| 代替計画 | CP-6 | 代替ストレージ サイト | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| 代替計画 | CP-6 (1) | プライマリ サイトからの分離 | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 代替計画 | CP-6 (2) | 回復時間と回復ポイントの目標 | 回復操作を容易にする代替ストレージ サイトを確立する | 1.1.0 |
| 代替計画 | CP-6 (3) | ユーザー補助 | 代替ストレージ サイトで潜在的な問題を特定して軽減する | 1.1.0 |
| 代替計画 | CP-7 | 代替処理サイト | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 代替計画 | CP-7 | 代替処理サイト | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (1) | プライマリ サイトからの分離 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (2) | ユーザー補助 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (3) | サービスの優先順位 | 代替処理サイトを確立する | 1.1.0 |
| 代替計画 | CP-7 (3) | サービスの優先順位 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 代替計画 | CP-7 (4) | 使用の準備 | 代替処理サイトを操作サイトとして使用できるように準備する | 1.1.0 |
| 代替計画 | CP-8 (1) | サービスのプロビジョニングの優先度 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 代替計画 | CP-9 | システム バックアップ | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 代替計画 | CP-9 | システム バックアップ | バックアップのポリシーと手順を確立する | 1.1.0 |
| 代替計画 | CP-9 | システム バックアップ | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 代替計画 | CP-9 (3) | 重要な情報用の個別のストレージ | バックアップ情報を個別に保存する | 1.1.0 |
| 代替計画 | CP-9 (5) | 代替ストレージ サイトへの移動 | 代替ストレージ サイトにバックアップ情報を転送する | 1.1.0 |
| 代替計画 | CP-10 | システムの回復と再構成 | 中断後にリソースを回復して再構成する | 1.1.1 |
| 代替計画 | CP-10 (2) | トランザクションの回復 | トランザクション ベースの回復を実装する | 1.1.0 |
| 代替計画 | CP-10 (4) | 期間内の復元 | リソースを稼働状態に復元する | 1.1.1 |
| 識別と認証 | IA-1 | ポリシーと手順 | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | ユーザーの一意性を徹底する | 1.1.0 |
| 識別と認証 | IA-2 | 識別と認証 (組織のユーザー) | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへの多要素認証 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへの多要素認証 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (1) | 特権アカウントへの多要素認証 | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (2) | 特権のないアカウントへの多要素認証 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 識別と認証 | IA-2 (2) | 特権のないアカウントへの多要素認証 | 生体認証メカニズムを採用する | 1.1.0 |
| 識別と認証 | IA-2 (5) | グループ認証を使用した個別認証 | 個々の認証子の使用を要求する | 1.1.0 |
| 識別と認証 | IA-2 (12) | PIV 資格情報の承諾 | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 識別と認証 | IA-4 | 識別子の管理 | システム識別子の割り当て | 1.1.0 |
| 識別と認証 | IA-4 | 識別子の管理 | 定義された期間に識別子を再利用できないようにする | 1.1.0 |
| 識別と認証 | IA-4 (4) | ユーザーの状態の識別 | 個々のユーザーの状態を識別する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子の管理 | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を最新の情報に更新 | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 識別と認証 | IA-5 | 認証子の管理 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | パスワード ポリシーの確立 | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 識別と認証 | IA-5 (1) | パスワードベースの認証 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 識別と認証 | IA-5 (2) | 公開キーベースの認証 | 認証子と ID を動的にバインドする | 1.1.0 |
| 識別と認証 | IA-5 (2) | 公開キーベースの認証 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | 公開キーベースの認証 | シークレット認証子と検証ツールを検索するためのパラメーターを確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | 公開キーベースの認証 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 識別と認証 | IA-5 (2) | 公開キーベースの認証 | 認証された ID を個人にマップする | 1.1.0 |
| 識別と認証 | IA-5 (2) | 公開キーベースの認証 | 秘密キーへのアクセスを制限する | 1.1.0 |
| 識別と認証 | IA-5 (2) | 公開キーベースの認証 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 識別と認証 | IA-5 (6) | 認証子の保護 | 承認されたユーザーが指定された認証子を保護するようにする | 1.1.0 |
| 識別と認証 | IA-5 (7) | 暗号化されていない静的認証子の埋め込みなし | 暗号化されていない静的認証子がないことを確認する | 1.1.0 |
| 識別と認証 | IA-5 (13) | キャッシュされた認証子の有効期限 | キャッシュされた認証子の有効期限切れを強制実行する | 1.1.0 |
| 識別と認証 | IA-6 | 認証フィードバック | 認証処理中にフィードバック情報を隠す | 1.1.0 |
| 識別と認証 | IA-7 | 暗号化モジュールの認証 | 暗号化モジュールに対して認証する | 1.1.0 |
| 識別と認証 | IA-8 | 識別と認証 (組織外のユーザー) | 組織外のユーザーを識別して認証する | 1.1.0 |
| 識別と認証 | IA-8 (1) | 他の政府機関からの PIV 資格情報の受け入れ | PIV 資格情報を承諾する | 1.1.0 |
| 識別と認証 | IA-8 (2) | 外部認証子の受け入れ | FICAM で承認されたサード パーティの資格情報のみを受け入れる | 1.1.0 |
| 識別と認証 | IA-8 (4) | 定義されたプロファイルの使用 | FICAM で発行されたプロファイルに適合する | 1.1.0 |
| インシデント対応 | IR-1 | ポリシーと手順 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| インシデント対応 | IR-2 | インシデント対応トレーニング | 情報流出トレーニングを提供する | 1.1.0 |
| インシデント対応 | IR-2 (1) | シミュレートされたイベント | シミュレートされたイベントをインシデント対応のトレーニングに組み込む | 1.1.0 |
| インシデント対応 | IR-2 (2) | 自動化されたトレーニング環境 | 自動化されたトレーニング環境を採用する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | インシデント対応テストを実施する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | 情報セキュリティ プログラムを確立する | 1.1.0 |
| インシデント対応 | IR-3 | インシデント対応のテスト | シミュレーション攻撃の実行 | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | インシデント対応テストを実施する | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| インシデント対応 | IR-3 (2) | 関連する計画との調整 | シミュレーション攻撃の実行 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 情報セキュリティ イベントを評価する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-4 | インシデント処理 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-4 | インシデント処理 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | セキュリティ セーフガードの開発 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | インシデント対応計画を維持する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| インシデント対応 | IR-4 | インシデント処理 | 脅威に関する傾向分析を実行する | 1.1.0 |
| インシデント対応 | IR-4 | インシデント処理 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR-4 | インシデント処理 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-4 (1) | 自動化されたインシデント処理プロセス | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-4 (2) | 動的再構成 | 顧客がデプロイしたリソースの動的な再構成を含める | 1.1.0 |
| インシデント対応 | IR-4 (3) | 運用の継続性 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| インシデント対応 | IR-4 (4) | 情報の相関関係 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-4 (6) | 内部関係者による脅威 | インシデント処理機能を実装する | 1.1.0 |
| インシデント対応 | IR-4 (8) | 外部組織との相関関係 | 外部組織と連携して組織間の視点を実現する | 1.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| インシデント対応 | IR-5 | インシデント監視 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| インシデント対応 | IR-5 | インシデント監視 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR-5 | インシデント監視 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| インシデント対応 | IR-5 | インシデント監視 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR-6 (1) | 自動化された報告 | セキュリティ運用を文書化する | 1.1.0 |
| インシデント対応 | IR-6 (2) | インシデントに関連する脆弱性 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| インシデント対応 | IR-6 (2) | インシデントに関連する脆弱性 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| インシデント対応 | IR-6 (2) | インシデントに関連する脆弱性 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| インシデント対応 | IR-7 | インシデント対応サポート | セキュリティ運用を文書化する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報とサポートの可用性に対するオートメーション サポート | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報とサポートの可用性に対するオートメーション サポート | ネットワーク保護を有効にする | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報とサポートの可用性に対するオートメーション サポート | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報とサポートの可用性に対するオートメーション サポート | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報とサポートの可用性に対するオートメーション サポート | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報とサポートの可用性に対するオートメーション サポート | 脅威に関する傾向分析を実行する | 1.1.0 |
| インシデント対応 | IR-7 (1) | 情報とサポートの可用性に対するオートメーション サポート | 制限のあるユーザーを表示して調査する | 1.1.0 |
| インシデント対応 | IR-7 (2) | 外部プロバイダーとの調整 | インシデント対応機能と外部プロバイダー間の関係を確立する | 1.1.0 |
| インシデント対応 | IR-7 (2) | 外部プロバイダーとの調整 | インシデント対応の担当者を特定する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | 情報セキュリティ イベントを評価する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント処理を実装する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | データ侵害レコードを保持する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント対応計画を維持する | 1.1.0 |
| インシデント対応 | IR-8 | インシデント対応計画 | インシデント対応計画を保護する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 職員に情報流出のアラートを通知する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | インシデント レスポンス計画を策定する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 汚染された情報の根絶 | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 汚染されたシステムやコンポーネントを識別する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 流出した情報を特定する | 1.1.0 |
| インシデント対応 | IR-9 | 情報流出対応 | 情報流出を分離する | 1.1.0 |
| インシデント対応 | IR-9 (2) | トレーニング | 情報流出トレーニングを提供する | 1.1.0 |
| インシデント対応 | IR-9 (3) | 流出後の運用 | 流出に対する対応手順を作成する | 1.1.0 |
| インシデント対応 | IR-9 (4) | 許可されていない職員への公開 | セキュリティ セーフガードの開発 | 1.1.0 |
| メンテナンス | MA-1 | ポリシーと手順 | システム メンテナンス ポリシーと手順をレビューし更新する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-2 | メンテナンスの管理 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-2 (2) | メンテナンス作業の自動化 | リモート メンテナンス アクティビティを自動化する | 1.1.0 |
| メンテナンス | MA-2 (2) | メンテナンス作業の自動化 | リモート メンテナンス アクティビティの完全なレコードを生成する | 1.1.0 |
| メンテナンス | MA-3 | メンテナンス ツール | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 | メンテナンス ツール | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (1) | ツールの検査 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (1) | ツールの検査 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (2) | メディアの検査 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (2) | メディアの検査 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | メンテナンスと修復のアクティビティを制御する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-3 (3) | 未承認の削除の防止 | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-4 | 非ローカル メンテナンス | 非ローカル メンテナンスと診断アクティビティを管理する | 1.1.0 |
| メンテナンス | MA-4 (3) | 同等のセキュリティとサニタイズ | すべての非ローカル メンテナンスを実行する | 1.1.0 |
| メンテナンス | MA-4 (6) | 暗号化による保護 | 暗号化メカニズムを実装する | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | 承認されていないメンテナンス アクティビティを監視する担当者の指定 | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | 承認されたリモート メンテナンス担当者リストの管理 | 1.1.0 |
| メンテナンス | MA-5 | メンテナンス担当者 | メンテナンス担当者の管理 | 1.1.0 |
| メンテナンス | MA-5 (1) | 適切なアクセス権のない個人 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メンテナンス | MA-5 (1) | 適切なアクセス権のない個人 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メンテナンス | MA-6 | タイムリーなメンテナンス | タイムリーなメンテナンス サポートを提供する | 1.1.0 |
| メディア保護 | MP-1 | ポリシーと手順 | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| メディア保護 | MP-2 | メディア アクセス | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-3 | メディアのマーキング | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-4 | メディアの保管 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-4 | メディアの保管 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 | メディアの輸送 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-5 | メディアの輸送 | 資産の輸送を管理する | 1.1.0 |
| メディア保護 | MP-6 | メディアのサニタイズ | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 | メディアのサニタイズ | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-6 (1) | レビュー、承認、追跡、文書化、検証 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 (1) | レビュー、承認、追跡、文書化、検証 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-6 (2) | 機器のテスト | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| メディア保護 | MP-6 (2) | 機器のテスト | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | ポータブル ストレージ デバイスの使用を制御する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| メディア保護 | MP-7 | メディアの使用 | メディアの使用を制限する | 1.1.0 |
| 物理的および環境的な保護 | PE-1 | ポリシーと手順 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 物理的および環境的な保護 | PE-2 | 物理的なアクセスの承認 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | 資産インベントリの確立と管理 | 1.1.0 |
| 物理的および環境的な保護 | PE-3 | 物理的なアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-4 | 転送に対するアクセス制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-4 | 転送に対するアクセス制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-5 | 出力デバイスのアクセスの制御 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-6 (1) | 侵入警報および監視装置 | アラーム システムをインストールする | 1.1.0 |
| 物理的および環境的な保護 | PE-6 (1) | 侵入警報および監視装置 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-8 | 訪問者のアクセスの記録 | 物理的なアクセスを制御する | 1.1.0 |
| 物理的および環境的な保護 | PE-8 | 訪問者のアクセスの記録 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-12 | 非常用照明 | 自動非常用照明を使用する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 | 防火 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (1) | 検出システム ??? 自動的なアクティブ化と通知 | 侵入テスト方法を実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (1) | 検出システム ??? 自動的なアクティブ化と通知 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (1) | 検出システム ??? 自動的なアクティブ化と通知 | シミュレーション攻撃の実行 | 1.1.0 |
| 物理的および環境的な保護 | PE-13 (2) | 抑制システム ??? 自動的なアクティブ化と通知 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 | 環境コントロール | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 (2) | アラームと通知を使用した監視 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-14 (2) | アラームと通知を使用した監視 | アラーム システムをインストールする | 1.1.0 |
| 物理的および環境的な保護 | PE-15 | 水害からの保護 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-16 | 納入と撤去 | 資産管理の要件を定義する | 1.1.0 |
| 物理的および環境的な保護 | PE-16 | 納入と撤去 | 資産の輸送を管理する | 1.1.0 |
| 物理的および環境的な保護 | PE-17 | 代替作業サイト | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 物理的および環境的な保護 | PE-18 | システム コンポーネントの場所 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 計画 | PL-1 | ポリシーと手順 | 計画ポリシーと手順をレビューし更新する | 1.1.0 |
| 計画 | PL-2 | システムのセキュリティとプライバシーに関する計画 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 計画 | PL-2 | システムのセキュリティとプライバシーに関する計画 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 計画 | PL-2 | システムのセキュリティとプライバシーに関する計画 | 基準を満たす SSP の開発 | 1.1.0 |
| 計画 | PL-2 | システムのセキュリティとプライバシーに関する計画 | プライバシー プログラムを確立する | 1.1.0 |
| 計画 | PL-2 | システムのセキュリティとプライバシーに関する計画 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 計画 | PL-2 | システムのセキュリティとプライバシーに関する計画 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 利用規約と手順を作成する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 不正行為を禁止する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 計画 | PL-4 | 行動規範 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 計画 | PL-4 (1) | ソーシャル メディアと外部サイト/アプリケーションの使用制限 | 利用規約と手順を作成する | 1.1.0 |
| 計画 | PL-8 | セキュリティとプライバシーのアーキテクチャ | 運用構想書 (CONOPS) を作成する | 1.1.0 |
| 計画 | PL-8 | セキュリティとプライバシーのアーキテクチャ | 情報セキュリティ アーキテクチャを確認および更新する | 1.1.0 |
| 人的セキュリティ | PS-1 | ポリシーと手順 | 職員のセキュリティ ポリシーと手順を確認および更新する | 1.1.0 |
| 人的セキュリティ | PS-2 | 職位に対するリスク指定 | リスク指定を割り当てる | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 職員のスクリーニングを実装する | 1.1.0 |
| 人的セキュリティ | PS-3 | 職員のスクリーニング | 定義された頻度で個人を再表示する | 1.1.0 |
| 人的セキュリティ | PS-3 (3) | 特殊な保護対策が必要な情報 | 特別な情報を保護する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 離職時に離職者面接を実施する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了時に認証子を無効にする | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了または転送時に通知する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 退職する従業員によりデータが盗まれないように保護して防止する | 1.1.0 |
| 人的セキュリティ | PS-4 | 職員の離職 | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 人的セキュリティ | PS-4 (2) | 自動化されたアクション | 従業員の退職の通知を自動化する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 転送アクションまたは再割り当てアクションを開始する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 職員の異動時にアクセスの認可を変更する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 終了または転送時に通知する | 1.1.0 |
| 人的セキュリティ | PS-5 | 職員の異動 | 職員の異動時にアクセスを再評価する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 組織のアクセス契約を文書化する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | アクセス契約が署名されているか、または時間内に辞任されていることを確認する | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | ユーザーがアクセス契約に署名することを必須にする | 1.1.0 |
| 人的セキュリティ | PS-6 | アクセス契約 | 組織のアクセス契約を更新する | 1.1.0 |
| 人的セキュリティ | PS-7 | 外部の人的セキュリティ | サードパーティの担当者のセキュリティ要件を文書化する | 1.1.0 |
| 人的セキュリティ | PS-7 | 外部の人的セキュリティ | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| 人的セキュリティ | PS-7 | 外部の人的セキュリティ | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| 人的セキュリティ | PS-7 | 外部の人的セキュリティ | サードパーティの担当者の転送または解雇の通知を要求する | 1.1.0 |
| 人的セキュリティ | PS-7 | 外部の人的セキュリティ | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| 人的セキュリティ | PS-8 | 職員の処罰 | 正式な制裁プロセスを実装する | 1.1.0 |
| 人的セキュリティ | PS-8 | 職員の処罰 | 承認時に担当者に通知する | 1.1.0 |
| リスク評価 | RA-1 | ポリシーと手順 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | 情報の分類 | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | ビジネス分類スキームを作成する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | セキュリティ分類が承認されていることを確認する | 1.1.0 |
| リスク評価 | RA-2 | セキュリティ分類 | ラベル アクティビティと分析を確認する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施して結果を配布する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| リスク評価 | RA-3 | リスク評価 | リスク評価を実行する | 1.1.0 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (2) | スキャン対象の脆弱性の更新 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (2) | スキャン対象の脆弱性の更新 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (3) | 対象範囲の広さと深さ | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (3) | 対象範囲の広さと深さ | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (4) | 検出可能な情報 | 顧客情報への対応を行う | 1.1.0 |
| リスク評価 | RA-5 (5) | 特権アクセス | 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脅威に関する傾向分析を実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脅威モデリングを実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | RA-5 (6) | 自動傾向分析 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 特権機能を監査する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | ユーザー アカウントの状態を監査する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査レコードの関連付け | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査可能なイベントを決定する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | Cloud App Security を SIEM と統合する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 管理者割り当てを毎週レビューする | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 監査データを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | クラウド ID レポートの概要を確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 悪用からの保護イベントを確認する | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| リスク評価 | RA-5 (8) | 履歴監査ログの確認 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| リスク評価 | RA-5 (10) | スキャン情報の関連付け | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| システムとサービスの取得 | SA-1 | ポリシーと手順 | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 事業目標と IT 目標を調整する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 情報システム要件を決定するためにリソースを割り当てる | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | 予算ドキュメントで個別の行項目を確立する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | プライバシー プログラムを確立する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | リソースの割り当てを管理する | 1.1.0 |
| システムとサービスの取得 | SA-2 | リソースの割り当て | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | 情報セキュリティ ロールと責任を定義する | 1.1.0 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | セキュリティ ロールと責任を持つ個人を特定する | 1.1.1 |
| システムとサービスの取得 | SA-3 | システム開発ライフ サイクル | リスク管理プロセスを SDLC に統合する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | サプライヤー契約の義務を決定する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約における個人データの保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 | 取得プロセス | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-4 (1) | コントロールの機能プロパティ | セキュリティ コントロールの機能プロパティを取得する | 1.1.0 |
| システムとサービスの取得 | SA-4 (2) | コントロールの設計と実装に関する情報 | セキュリティ コントロールの設計と実装の情報を取得する | 1.1.1 |
| システムとサービスの取得 | SA-4 (8) | コントロールの継続的な監視計画 | セキュリティ制御の継続的監視計画を取得する | 1.1.0 |
| システムとサービスの取得 | SA-4 (9) | 使用される機能、ポート、プロトコル、サービス | SDLC ポート、プロトコル、サービスの識別を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-4 (10) | 承認済み PIV 製品の使用 | PIV に FIPS 201 承認済みのテクノロジを採用する | 1.1.0 |
| システムとサービスの取得 | SA-5 | システム ドキュメント | 情報システムのドキュメントを配布する | 1.1.0 |
| システムとサービスの取得 | SA-5 | システム ドキュメント | 顧客によって定義されたアクションを文書化する | 1.1.0 |
| システムとサービスの取得 | SA-5 | システム ドキュメント | 管理者向けドキュメントを取得する | 1.1.0 |
| システムとサービスの取得 | SA-5 | システム ドキュメント | ユーザー セキュリティ機能のドキュメントを取得する | 1.1.0 |
| システムとサービスの取得 | SA-5 | システム ドキュメント | 管理者とユーザーのドキュメントを保護する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部システム サービス | 政府機関の監督を定義して文書化する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部システム サービス | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部システム サービス | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| システムとサービスの取得 | SA-9 | 外部システム サービス | 個別のセキュリティ レビューを適用する | 1.1.0 |
| システムとサービスの取得 | SA-9 (1) | リスク評価と組織の承認 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| システムとサービスの取得 | SA-9 (1) | リスク評価と組織の承認 | 取得と外部委託の承認を取得する | 1.1.0 |
| システムとサービスの取得 | SA-9 (2) | 機能、ポート、プロトコル、サービスの識別 | 外部サービス プロバイダーを識別する | 1.1.0 |
| システムとサービスの取得 | SA-9 (4) | コンシューマーとプロバイダーの関心の整合性 | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| システムとサービスの取得 | SA-9 (5) | 処理、ストレージ、サービスの場所 | 情報処理、保存、サービスの場所を制限する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | コーディングの脆弱性に対処する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 脆弱性スキャンを実行する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 情報システムの欠陥を修復する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 | 開発者による構成管理 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-10 (1) | ソフトウェアとファームウェアの整合性の検証 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるテストと評価 | 脆弱性スキャンを実行する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるテストと評価 | 情報システムの欠陥を修復する | 1.1.0 |
| システムとサービスの取得 | SA-11 | 開発者によるテストと評価 | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-15 | 開発プロセス、標準、およびツール | 開発プロセス、標準、ツールをレビューする | 1.1.0 |
| システムとサービスの取得 | SA-16 | 開発者が提供するトレーニング | 開発者にトレーニングの提供を要求する | 1.1.0 |
| システムとサービスの取得 | SA-17 | 開発者によるセキュリティとプライバシーのアーキテクチャと設計 | セキュリティ アーキテクチャの構築を開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-17 | 開発者によるセキュリティとプライバシーのアーキテクチャと設計 | 正確なセキュリティ機能を説明するよう開発者に要求する | 1.1.0 |
| システムとサービスの取得 | SA-17 | 開発者によるセキュリティとプライバシーのアーキテクチャと設計 | 統合されたセキュリティ保護のアプローチを提供するよう開発者に要求する | 1.1.0 |
| システムと通信の保護 | SC-1 | ポリシーと手順 | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| システムと通信の保護 | SC-2 | システム機能とユーザー機能の分離 | リモート アクセスを認可する | 1.1.0 |
| システムと通信の保護 | SC-2 | システム機能とユーザー機能の分離 | ユーザーと情報システム管理の機能を区別する | 1.1.0 |
| システムと通信の保護 | SC-2 | システム機能とユーザー機能の分離 | 管理タスクに専用マシンを使用する | 1.1.0 |
| システムと通信の保護 | SC-3 | セキュリティ機能の分離 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと通信の保護 | SC-5 | サービス拒否の防止 | DDoS 対応計画の作成と文書化 | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | リソースの割り当てを管理する | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | 可用性と容量を管理する | 1.1.0 |
| システムと通信の保護 | SC-6 | リソースの可用性 | リーダーシップからのコミットメントをセキュリティで保護する | 1.1.0 |
| システムと通信の保護 | SC-7 | 境界保護 | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (4) | 外部通信サービス | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| システムと通信の保護 | SC-7 (7) | リモート デバイスの分割トンネリング | リモート デバイスの分割トンネリングの防止 | 1.1.0 |
| システムと通信の保護 | SC-7 (8) | 認証済みプロキシ サーバーへのトラフィックのルーティング | 認証済みプロキシ ネットワーク経由でトラフィックをルーティングする | 1.1.0 |
| システムと通信の保護 | SC-7 (12) | ホストベースの保護 | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (13) | セキュリティ ツール、メカニズム、サポート コンポーネントの分離 | SecurID システム、セキュリティ インシデント管理システムを分離する | 1.1.0 |
| システムと通信の保護 | SC-7 (18) | フェール セキュア | システム境界の保護を実装する | 1.1.0 |
| システムと通信の保護 | SC-7 (18) | フェール セキュア | スタンバイおよびアクティブ システム コンポーネント間の転送を管理する | 1.1.0 |
| システムと通信の保護 | SC-7 (20) | 動的な分離と隔離 | システムがリソースの動的な分離に対応していることを確認する | 1.1.0 |
| システムと通信の保護 | SC-7 (21) | システム コンポーネントの分離 | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| システムと通信の保護 | SC-8 | 送信の機密性と整合性 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムと通信の保護 | SC-8 | 送信の機密性と整合性 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| システムと通信の保護 | SC-8 (1) | 暗号化による保護 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムと通信の保護 | SC-10 | ネットワークの切断 | ユーザー セッションを再認証するか終了する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 物理キーの管理プロセスを定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 暗号化の使用を定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | アサーション要件を決定する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 公開キー証明書を発行する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 対称暗号化キーを管理する | 1.1.0 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | 秘密キーへのアクセスを制限する | 1.1.0 |
| システムと通信の保護 | SC-12 (1) | 可用性 | 情報の可用性を維持する | 1.1.0 |
| システムと通信の保護 | SC-12 (2) | 対称キー | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| システムと通信の保護 | SC-12 (3) | 非対称キー | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| システムと通信の保護 | SC-13 | 暗号化による保護 | 暗号化の使用を定義する | 1.1.0 |
| システムと通信の保護 | SC-15 | コラボレーション コンピューティング デバイスとアプリケーション | コラボレーション コンピューティング デバイスの使用を明示的に通知する | 1.1.1 |
| システムと通信の保護 | SC-15 | コラボレーション コンピューティング デバイスとアプリケーション | コラボレーション コンピューティング デバイスのリモート アクティブ化の禁止 | 1.1.0 |
| システムと通信の保護 | SC-17 | 公開キー基盤証明書 | 公開キー証明書を発行する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | モバイル コード テクノロジの使用を承認、監視、制御する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | 許容できるモバイル コード テクノロジと許容できないモバイル コード テクノロジを定義する | 1.1.0 |
| システムと通信の保護 | SC-18 | モバイル コード | モバイル コード テクノロジの使用制限を確立する | 1.1.0 |
| システムと通信の保護 | SC-20 | セキュリティで保護された名前/アドレス解決サービス (権限のあるソース) | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-20 | セキュリティで保護された名前/アドレス解決サービス (権限のあるソース) | セキュリティで保護された名前とアドレスの解決サービスを提供する | 1.1.0 |
| システムと通信の保護 | SC-21 | セキュリティで保護された名前/アドレス解決サービス (再帰的リゾルバーまたはキャッシュ リゾルバー) | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-21 | セキュリティで保護された名前/アドレス解決サービス (再帰的リゾルバーまたはキャッシュ リゾルバー) | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと通信の保護 | SC-22 | 名前/アドレス解決サービスのアーキテクチャとプロビジョニング | フォールト トレラントなネーム サービスやアドレス サービスを実装する | 1.1.0 |
| システムと通信の保護 | SC-23 | セッションの信頼性 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| システムと通信の保護 | SC-23 | セッションの信頼性 | ランダムな一意のセッション識別子を適用する | 1.1.0 |
| システムと通信の保護 | SC-23 (1) | ログアウト時のセッション識別子の無効化 | ログアウト時のセッション識別子の無効化 | 1.1.0 |
| システムと通信の保護 | SC-24 | 既知の状態での機能停止 | 情報システムが既知の状態で失敗するようにする | 1.1.0 |
| システムと通信の保護 | SC-28 | 保存情報の保護 | データ漏えいの管理手順を確立する | 1.1.0 |
| システムと通信の保護 | SC-28 | 保存情報の保護 | 特別な情報を保護する | 1.1.0 |
| システムと通信の保護 | SC-28 (1) | 暗号化による保護 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| システムと通信の保護 | SC-28 (1) | 暗号化による保護 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| システムと通信の保護 | SC-39 | プロセスの分離 | 実行中のプロセス用に個別の実行ドメインを維持する | 1.1.0 |
| システムと情報の整合性 | SI-1 | ポリシーと手順 | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | 情報システムの欠陥を修復する | 1.1.0 |
| システムと情報の整合性 | SI-2 (2) | 自動的な欠陥修復状態 | 欠陥の修復を自動化する | 1.1.0 |
| システムと情報の整合性 | SI-2 (2) | 自動的な欠陥修復状態 | 情報システムの欠陥を修復する | 1.1.0 |
| システムと情報の整合性 | SI-2 (3) | 欠陥を修復するまでの時間と是正措置のベンチマーク | 欠陥修復のベンチマークを確立する | 1.1.0 |
| システムと情報の整合性 | SI-2 (3) | 欠陥を修復するまでの時間と是正措置のベンチマーク | 欠陥の特定と欠陥の修復の間の時間を測定する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脆弱性スキャンを実行する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | ウイルス対策定義を更新する | 1.1.0 |
| システムと情報の整合性 | SI-4 | システム監視 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| システムと情報の整合性 | SI-4 | システム監視 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | システム監視 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-4 | システム監視 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | システム監視 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-4 | システム監視 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムと情報の整合性 | SI-4 | システム監視 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムと情報の整合性 | SI-4 | システム監視 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムと情報の整合性 | SI-4 | システム監視 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムと情報の整合性 | SI-4 | システム監視 | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| システムと情報の整合性 | SI-4 | システム監視 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムと情報の整合性 | SI-4 | システム監視 | 必要に応じて監視情報を提供する | 1.1.0 |
| システムと情報の整合性 | SI-4 (2) | リアルタイム分析のための自動化されたツールとメカニズム | セキュリティ運用を文書化する | 1.1.0 |
| システムと情報の整合性 | SI-4 (2) | リアルタイム分析のための自動化されたツールとメカニズム | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | VoIP の承認、監視、制御 | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | システム境界の保護を実装する | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | ゲートウェイを管理する | 1.1.0 |
| システムと情報の整合性 | SI-4 (4) | 受信と送信の通信トラフィック | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | 職員に情報流出のアラートを通知する | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | インシデント レスポンス計画を策定する | 1.1.0 |
| システムと情報の整合性 | SI-4 (5) | システム生成のアラート | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| システムと情報の整合性 | SI-4 (12) | 組織で生成された自動アラート | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| システムと情報の整合性 | SI-4 (12) | 組織で生成された自動アラート | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| システムと情報の整合性 | SI-4 (12) | 組織で生成された自動アラート | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| システムと情報の整合性 | SI-4 (14) | ワイヤレス侵入の検出 | ワイヤレス アクセス セキュリティ制御を文書化する | 1.1.0 |
| システムと情報の整合性 | SI-4 (22) | 承認されていないネットワーク サービス | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| システムと情報の整合性 | SI-4 (24) | セキュリティ侵害のインジケーター | 侵害のインジケーターを検出する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | セキュリティ アラートを担当者に送信する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | 脅威インテリジェンス プログラムを確立する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | 内部セキュリティ アラートを生成する | 1.1.0 |
| システムと情報の整合性 | SI-5 | セキュリティに関する警告、勧告、命令 | セキュリティ ディレクティブの実装 | 1.1.0 |
| システムと情報の整合性 | SI-5 (1) | 自動的な警告および勧告 | セキュリティ アラートに自動化されたメカニズムを使用する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティおよびプライバシー機能の検証 | 特定された異常に対する代替アクションを作成する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティおよびプライバシー機能の検証 | 失敗したセキュリティ検証テストについて担当者に通知する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティおよびプライバシー機能の検証 | 定義された頻度でセキュリティ関数の検証を実行する | 1.1.0 |
| システムと情報の整合性 | SI-6 | セキュリティおよびプライバシー機能の検証 | セキュリティ機能を確認する | 1.1.0 |
| システムと情報の整合性 | SI-7 | ソフトウェア、ファームウェア、情報の整合性 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと情報の整合性 | SI-7 (1) | 整合性チェック | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムと情報の整合性 | SI-7 (1) | 整合性チェック | システム診断データを表示して構成する | 1.1.0 |
| システムと情報の整合性 | SI-7 (5) | 整合性違反への自動対応 | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| システムと情報の整合性 | SI-10 | 情報入力の検証 | 情報入力の検証を実行 | 1.1.0 |
| システムと情報の整合性 | SI-11 | エラー処理 | エラー メッセージの生成 | 1.1.0 |
| システムと情報の整合性 | SI-11 | エラー処理 | エラー メッセージの表示 | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の管理と保持 | 物理的なアクセスを制御する | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の管理と保持 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| システムと情報の整合性 | SI-12 | 情報の管理と保持 | ラベル アクティビティと分析を確認する | 1.1.0 |
| システムと情報の整合性 | SI-16 | メモリの保護 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
NL BIO Cloud Theme
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| B.01.3 法律および規制 - 法的要件、法定要件、規制要件 | B.01.3 | 法律および規制から生じる CSC に適用される要件が特定されています | リソース グループが許可される場所 | 1.0.0 |
| B.10.2 セキュリティ組織 - セキュリティ機能 | B.10.2 | セキュリティ機能により、積極的な支援が提供されます。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| B.10.2 セキュリティ組織 - セキュリティ機能 | B.10.2 | セキュリティ機能により、積極的な支援が提供されます。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| B.10.3 セキュリティ組織 - 組織上の地位 | B.10.3 | CSP は、情報セキュリティ組織に組織全体における正式な地位を付与しています。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| B.10.3 セキュリティ組織 - 組織上の地位 | B.10.3 | CSP は、情報セキュリティ組織に組織全体における正式な地位を付与しています。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| B.10.4 セキュリティ組織 - 任務、責任、権限 | B.10.4 | CSP は、情報セキュリティに関する責任を記述し、その責任を特定の役員に割り当てました。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| B.10.4 セキュリティ組織 - 任務、責任、権限 | B.10.4 | CSP は、情報セキュリティに関する責任を記述し、その責任を特定の役員に割り当てました。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| C.05.5 セキュリティ監視レポート - 監視および報告 | C.05.5 | 分析レポートからの改善提案に対するフォローアップが確実に行われています。 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| C.05.5 セキュリティ監視レポート - 監視および報告 | C.05.5 | 分析レポートからの改善提案に対するフォローアップが確実に行われています。 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| C.05.5 セキュリティ監視レポート - 監視および報告 | C.05.5 | 分析レポートからの改善提案に対するフォローアップが確実に行われています。 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| U.03.1 ビジネス継続性サービス - 冗長性 | U.03.1 | 合意された継続性は、十分に論理的または物理的に複数のシステム機能によって保証されます。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.03.2 ビジネス継続性サービス - 継続性要件 | U.03.2 | CSC と合意したクラウド サービスの継続性要件は、システム アーキテクチャによって保証されます。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.04.1 データとクラウド サービスのリカバリ - 復元機能 | U.04.1 | データとクラウド サービスは、合意された期間内および最大データ損失の範囲内で復元され、CSC で使用できるようになります。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.04.2 データとクラウド サービス リカバリ - 復元機能 | U.04.2 | データの回復可能な保護の継続的なプロセスが監視されます。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.04.3 データとクラウド サービス リカバリ - テスト済み | U.04.3 | 回復関数の機能が定期的にテストされ、結果が CSC と共有されます。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア保護はさまざまな環境で実行されます。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下、アクセス権が管理者に付与されます。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| U.17.1 マルチテナント アーキテクチャ - 暗号化 | U.17.1 | CSC データは転送時および保存時に暗号化されます。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| U.17.1 マルチテナント アーキテクチャ - 暗号化 | U.17.1 | 転送時および保存時の CSC データは暗号化されます。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| U.17.1 マルチテナント アーキテクチャ - 暗号化 | U.17.1 | CSC データは転送時および保存時に暗号化されます。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
PCI DSS 3.2.1
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS 3.2.1 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、PCI DSS 3.2.1 を参照してください。
PCI DSS v4.0
すべての Azure サービスに対して使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS v4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「PCI DSS v4.0」をご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.1.1 | ネットワーク セキュリティ制御をインストールして、維持するためのプロセスとメカニズムが定義され、理解されている | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.1.1 | ネットワーク セキュリティ制御をインストールして、維持するためのプロセスとメカニズムが定義され、理解されている | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.1 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.1 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | ベースライン構成を作成して維持する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.1 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | セキュリティ構成の設定を適用する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.1 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 構成コントロール ボードを設立する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.1 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 構成管理計画を策定して文書化する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.1 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 自動構成管理ツールを実装する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.2 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | セキュリティへの影響分析を実施する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.2 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.2 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | リスク管理戦略の確立 | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.2 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.2 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.2 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | プライバシー影響評価を実行する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.2 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | リスク評価を実行する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.2 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 構成変更制御の監査を実行する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.3 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.4 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 個人データの処理に関する記録を保持する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.5 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 外部サービス プロバイダーを識別する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.5 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | SDLC ポート、プロトコル、サービスの識別を開発者に要求する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.8 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | アクセス制限の適用と監査 | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.8 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.2.8 | ネットワーク セキュリティ制御 (NSG) が構成され、維持されている | 承認されていない変更の変更を確認する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.3.3 | カード所有者データの環境との間のネットワーク アクセスが制限されている | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.3.3 | カード所有者データの環境との間のネットワーク アクセスが制限されている | ワイヤレス アクセスを保護する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.1 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 情報フローを制御する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.1 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.1 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.1 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | システム境界の保護を実装する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.1 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.2 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 情報フローを制御する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.2 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.2 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.2 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | システム境界の保護を実装する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.2 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.3 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 情報フローを制御する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.3 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.4 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 情報フローを制御する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.4.4 | 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.5.1 | 信頼されていないネットワークと CDE の両方に接続できるコンピューティング デバイスからの CDE に対するリスクが軽減されている | リモート アクセスを認可する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.5.1 | 信頼されていないネットワークと CDE の両方に接続できるコンピューティング デバイスからの CDE に対するリスクが軽減されている | モビリティ トレーニングを文書化する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.5.1 | 信頼されていないネットワークと CDE の両方に接続できるコンピューティング デバイスからの CDE に対するリスクが軽減されている | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.5.1 | 信頼されていないネットワークと CDE の両方に接続できるコンピューティング デバイスからの CDE に対するリスクが軽減されている | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 01: ネットワーク セキュリティ制御をインストールして維持する | 1.5.1 | 信頼されていないネットワークと CDE の両方に接続できるコンピューティング デバイスからの CDE に対するリスクが軽減されている | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.1.1 | システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視するためのプロセスとメカニズムが定義され、文書化されている | 監査と責任のポリシーと手順を作成する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.1.1 | システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視するためのプロセスとメカニズムが定義され、文書化されている | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.1.1 | システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視するためのプロセスとメカニズムが定義され、文書化されている | ポリシーと手順の管理 | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.1.1 | システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視するためのプロセスとメカニズムが定義され、文書化されている | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権機能を監査する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | ユーザー アカウントの状態を監査する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 監査可能なイベントを決定する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 監査データを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.1 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 監査可能なイベントを決定する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.2 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権機能を監査する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.2 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.2 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | アカウント アクティビティを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.2 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権ロールの割り当てを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.2 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.2 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.2 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権 ID 管理を使用する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.3 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権機能を監査する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.3 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.3 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 監査可能なイベントを決定する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.3 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | アカウント アクティビティを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.3 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権ロールの割り当てを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.3 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.3 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.3 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権 ID 管理を使用する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.4 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 監査可能なイベントを決定する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権機能を監査する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | ユーザー アカウントの状態を監査する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | アカウント管理を自動化する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 監査可能なイベントを決定する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | システムと管理者のアカウントを管理する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 組織全体のアクセスを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | アカウント アクティビティを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権ロールの割り当てを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | アカウントが不要になったときに通知する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.5 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権 ID 管理を使用する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.6 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権機能を監査する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.6 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.6 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 監査可能なイベントを決定する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.6 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | アカウント アクティビティを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.6 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権ロールの割り当てを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.6 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.6 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.6 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 特権 ID 管理を使用する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.1.7 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 監査可能なイベントを決定する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.2.2 | 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている | 監査可能なイベントを決定する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.3.1 | 監査ログは、破棄および非認可の変更から保護されている | 二重または共同の認可を有効にする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.3.1 | 監査ログは、破棄および非認可の変更から保護されている | 監査情報を保護する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.3.2 | 監査ログは、破棄および非認可の変更から保護されている | 二重または共同の認可を有効にする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.3.2 | 監査ログは、破棄および非認可の変更から保護されている | 監査情報を保護する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.3.3 | 監査ログは、破棄および非認可の変更から保護されている | バックアップのポリシーと手順を確立する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.3.4 | 監査ログは、破棄および非認可の変更から保護されている | 二重または共同の認可を有効にする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.3.4 | 監査ログは、破棄および非認可の変更から保護されている | 監査情報を保護する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査レコードの関連付け | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | Cloud App Security を SIEM と統合する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 管理者割り当てを毎週レビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査データを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | クラウド ID レポートの概要を確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査レコードの関連付け | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | Cloud App Security を SIEM と統合する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 管理者割り当てを毎週レビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査データを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | クラウド ID レポートの概要を確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.1.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査レコードの関連付け | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | Cloud App Security を SIEM と統合する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 管理者割り当てを毎週レビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査データを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | クラウド ID レポートの概要を確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査レコードの関連付け | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | Cloud App Security を SIEM と統合する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 管理者割り当てを毎週レビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査データを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | クラウド ID レポートの概要を確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.2.1 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査レコードの関連付け | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | Cloud App Security を SIEM と統合する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 管理者割り当てを毎週レビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 監査データを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | クラウド ID レポートの概要を確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.4.3 | 異常または疑わしいアクティビティを識別するために、監査ログが確認される | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.5.1 | 監査ログの履歴が保持され、分析に使用できる | 定義されている保持期間に従う | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.5.1 | 監査ログの履歴が保持され、分析に使用できる | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.5.1 | 監査ログの履歴が保持され、分析に使用できる | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.1 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.2 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | 監査レコードにシステム クロックを使用する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.3 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | 特権機能を監査する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.3 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.3 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | アクセスを認可および管理する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.3 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | ログに記録された特権コマンドのフル テキスト分析を実行する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.3 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.3 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | アカウント アクティビティを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.3 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | 特権ロールの割り当てを監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.3 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.3 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.6.3 | 時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている | 特権 ID 管理を使用する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.1 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 特定された異常に対する代替アクションを作成する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.1 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.1 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 失敗したセキュリティ検証テストについて担当者に通知する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.1 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 定義された頻度でセキュリティ関数の検証を実行する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.1 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | セキュリティ機能を確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.2 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 特定された異常に対する代替アクションを作成する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.2 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 監査処理アクティビティを管理および監視する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.2 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 失敗したセキュリティ検証テストについて担当者に通知する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.2 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 定義された頻度でセキュリティ関数の検証を実行する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.2 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | セキュリティ機能を確認する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.3 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 特定された異常に対する代替アクションを作成する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.3 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 失敗したセキュリティ検証テストについて担当者に通知する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.3 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | 定義された頻度でセキュリティ関数の検証を実行する | 1.1.0 |
| 要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する | 10.7.3 | 重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される | セキュリティ機能を確認する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.1.1 | システムとネットワークのセキュリティを定期的にテストするためのプロセスとメカニズムが定義され、理解されている | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.1.1 | システムとネットワークのセキュリティを定期的にテストするためのプロセスとメカニズムが定義され、理解されている | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.1.1 | システムとネットワークのセキュリティを定期的にテストするためのプロセスとメカニズムが定義され、理解されている | セキュリティ評価と認可に関するポリシーと手順を確認する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.2.2 | ワイヤレス アクセス ポイントが特定されて監視され、認可されていないワイヤレス アクセス ポイントには対応が行われる | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.2.2 | ワイヤレス アクセス ポイントが特定されて監視され、認可されていないワイヤレス アクセス ポイントには対応が行われる | ワイヤレス アクセスを保護する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.1 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.1 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 情報システムの欠陥を修復する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.1.1 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.1.1 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 情報システムの欠陥を修復する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.1.3 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.1.3 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 情報システムの欠陥を修復する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.2 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.2 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 情報システムの欠陥を修復する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.2.1 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.3.2.1 | 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる | 情報システムの欠陥を修復する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.4.1 | 外部および内部の侵入テストが定期的に実行され、悪用可能な脆弱性とセキュリティ上の弱点が修正される | 侵入テストに別個のチームを採用する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.4.3 | 外部および内部の侵入テストが定期的に実行され、悪用可能な脆弱性とセキュリティ上の弱点が修正される | 侵入テストに別個のチームを採用する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.5.1 | ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる | 職員に情報流出のアラートを通知する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.5.1 | ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる | インシデント レスポンス計画を策定する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.5.1 | ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる | 脅威に関する傾向分析を実行する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.5.1 | ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.5.1.1 | ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる | 職員に情報流出のアラートを通知する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.5.1.1 | ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる | インシデント レスポンス計画を策定する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.5.1.1 | ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.5.2 | ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.5.2 | ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.5.2 | ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる | システム診断データを表示して構成する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.6.1 | 支払ページでの認可されていない変更は検出され、対応が行われる | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.6.1 | 支払ページでの認可されていない変更は検出され、対応が行われる | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 要件 11: システムおよびネットワークのセキュリティを定期的にテストする | 11.6.1 | 支払ページでの認可されていない変更は検出され、対応が行われる | システム診断データを表示して構成する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.1.2 | エンティティの情報資産の保護を管理し、方針を提供する包括的な情報セキュリティ ポリシーは既知で、最新である | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.1.2 | エンティティの情報資産の保護を管理し、方針を提供する包括的な情報セキュリティ ポリシーは既知で、最新である | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.1.4 | エンティティの情報資産の保護を管理し、方針を提供する包括的な情報セキュリティ ポリシーは既知で、最新である | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.2 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | 情報セキュリティ イベントを評価する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.2 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | インシデント レスポンス計画を策定する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.2 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | インシデント処理を実装する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.2 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | データ侵害レコードを保持する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.2 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | インシデント対応計画を維持する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.2 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | インシデント対応計画を保護する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.4 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | 情報流出トレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.4.1 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | 情報流出トレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.5 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | インシデント レスポンス計画を策定する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.5 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | ネットワーク保護を有効にする | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.5 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | インシデント処理を実装する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.6 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | 情報セキュリティ イベントを評価する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.6 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | インシデント対応計画を維持する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.7 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | インシデント レスポンス計画を策定する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.7 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | セキュリティ セーフガードの開発 | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.7 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | ネットワーク保護を有効にする | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.7 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | 汚染された情報の根絶 | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.7 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.7 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | インシデント処理を実装する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.7 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | 脅威に関する傾向分析を実行する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.10.7 | CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.2.1 | エンドユーザー テクノロジの許容される使用ポリシーが定義され、実装されている | 利用規約と手順を作成する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.2.1 | エンドユーザー テクノロジの許容される使用ポリシーが定義され、実装されている | 行動規範とアクセス契約を適用する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.2.1 | エンドユーザー テクノロジの許容される使用ポリシーが定義され、実装されている | 知的財産権の遵守を必須にする | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.2.1 | エンドユーザー テクノロジの許容される使用ポリシーが定義され、実装されている | ソフトウェア ライセンスの使用を追跡する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.1 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | リスク評価を実施する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.1 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | リスク評価を実施して結果を配布する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.1 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.1 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | リスク評価を実行する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.2 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | リスク評価を実施する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.2 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | リスク評価を実施して結果を配布する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.2 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.2 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | リスク評価を実行する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.4 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | セキュリティ アラートを担当者に送信する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.4 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | 脅威インテリジェンス プログラムを確立する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.3.4 | カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される | 情報システムの欠陥を修復する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.1 | PCI DSS コンプライアンスが管理されている | セキュリティ評価計画の作成 | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.1 | PCI DSS コンプライアンスが管理されている | プライバシー プログラムを確立する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.1 | PCI DSS コンプライアンスが管理されている | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.1 | PCI DSS コンプライアンスが管理されている | コンプライアンス アクティビティを管理する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.1 | PCI DSS コンプライアンスが管理されている | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2 | PCI DSS コンプライアンスが管理されている | キュリティ コントロールの評価 | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2 | PCI DSS コンプライアンスが管理されている | 検出ホワイトリストを構成する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2 | PCI DSS コンプライアンスが管理されている | セキュリティ評価計画の作成 | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2 | PCI DSS コンプライアンスが管理されている | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2 | PCI DSS コンプライアンスが管理されている | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2 | PCI DSS コンプライアンスが管理されている | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2.1 | PCI DSS コンプライアンスが管理されている | 検出ホワイトリストを構成する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2.1 | PCI DSS コンプライアンスが管理されている | セキュリティ評価の結果を配信する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2.1 | PCI DSS コンプライアンスが管理されている | POA&M の開発 | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2.1 | PCI DSS コンプライアンスが管理されている | セキュリティ評価レポートの生成 | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2.1 | PCI DSS コンプライアンスが管理されている | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2.1 | PCI DSS コンプライアンスが管理されている | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.4.2.1 | PCI DSS コンプライアンスが管理されている | POA&M 項目の更新 | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.5.2 | PCI DSS スコープが文書化され、検証されている | 個人データの処理に関する記録を保持する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.5.2.1 | PCI DSS スコープが文書化され、検証されている | データ インベントリを作成する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.5.2.1 | PCI DSS スコープが文書化され、検証されている | 個人データの処理に関する記録を保持する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.5.3 | PCI DSS スコープが文書化され、検証されている | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.5.3 | PCI DSS スコープが文書化され、検証されている | 情報セキュリティ ポリシーを更新する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.1 | セキュリティの認識に関する教育は継続して行われている取り組みである | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.1 | セキュリティの認識に関する教育は継続して行われている取り組みである | 情報セキュリティ人材の育成と向上プログラムを策定する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.2 | セキュリティの認識に関する教育は継続して行われている取り組みである | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3 | セキュリティの認識に関する教育は継続して行われている取り組みである | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3 | セキュリティの認識に関する教育は継続して行われている取り組みである | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3 | セキュリティの認識に関する教育は継続して行われている取り組みである | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3 | セキュリティの認識に関する教育は継続して行われている取り組みである | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3 | セキュリティの認識に関する教育は継続して行われている取り組みである | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3 | セキュリティの認識に関する教育は継続して行われている取り組みである | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3 | セキュリティの認識に関する教育は継続して行われている取り組みである | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3 | セキュリティの認識に関する教育は継続して行われている取り組みである | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3.1 | セキュリティの認識に関する教育は継続して行われている取り組みである | 脅威に関する意識向上プログラムを実装する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3.1 | セキュリティの認識に関する教育は継続して行われている取り組みである | 内部関係者の脅威プログラムを実装する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3.1 | セキュリティの認識に関する教育は継続して行われている取り組みである | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3.2 | セキュリティの認識に関する教育は継続して行われている取り組みである | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.6.3.2 | セキュリティの認識に関する教育は継続して行われている取り組みである | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.7.1 | 内部関係者による脅威のリスクを軽減するために、担当者は審査されている | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.7.1 | 内部関係者による脅威のリスクを軽減するために、担当者は審査されている | 職員のスクリーニングを実装する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.7.1 | 内部関係者による脅威のリスクを軽減するために、担当者は審査されている | 定義された頻度で個人を再表示する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.1 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | データ処理者の職務を定義する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サプライヤー契約の義務を決定する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | セキュリティ コントロールの設計と実装の情報を取得する | 1.1.1 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | セキュリティ コントロールの機能プロパティを取得する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.2 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サードパーティに対する PII の開示を記録する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.3 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.3 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.3 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サプライヤー契約の義務を決定する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.3 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.3 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.4 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.4 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.4 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サプライヤー契約の義務を決定する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.4 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.4 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | セキュリティ制御の継続的監視計画を取得する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.4 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.4 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.4 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サプライヤー契約の義務を決定する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | セキュリティ コントロールの設計と実装の情報を取得する | 1.1.1 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.8.5 | サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている | セキュリティ コントロールの機能プロパティを取得する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.9.1 | サード パーティのサービス プロバイダー (TPSP) で、顧客の PCI DSS コンプライアンスがサポートされている | データ処理者の職務を定義する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.9.1 | サード パーティのサービス プロバイダー (TPSP) で、顧客の PCI DSS コンプライアンスがサポートされている | サードパーティに対する PII の開示を記録する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.9.1 | サード パーティのサービス プロバイダー (TPSP) で、顧客の PCI DSS コンプライアンスがサポートされている | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.9.2 | サード パーティのサービス プロバイダー (TPSP) で、顧客の PCI DSS コンプライアンスがサポートされている | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.9.2 | サード パーティのサービス プロバイダー (TPSP) で、顧客の PCI DSS コンプライアンスがサポートされている | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする | 12.9.2 | サード パーティのサービス プロバイダー (TPSP) で、顧客の PCI DSS コンプライアンスがサポートされている | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.1.1 | セキュリティで保護された構成をすべてのシステム コンポーネントに適用するためのプロセスとメカニズムが定義され、理解されている | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.2.1 | システム コンポーネントは安全に構成され、管理されている | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.2.1 | システム コンポーネントは安全に構成され、管理されている | ベースライン構成を作成して維持する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.2.1 | システム コンポーネントは安全に構成され、管理されている | セキュリティ構成の設定を適用する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.2.1 | システム コンポーネントは安全に構成され、管理されている | 構成コントロール ボードを設立する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.2.1 | システム コンポーネントは安全に構成され、管理されている | 構成管理計画を策定して文書化する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.2.1 | システム コンポーネントは安全に構成され、管理されている | 自動構成管理ツールを実装する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.2.2 | システム コンポーネントは安全に構成され、管理されている | 認証子の管理 | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.2.5 | システム コンポーネントは安全に構成され、管理されている | セキュリティ構成の設定を適用する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.2.5 | システム コンポーネントは安全に構成され、管理されている | 情報システムの欠陥を修復する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.2.7 | システム コンポーネントは安全に構成され、管理されている | 暗号化メカニズムを実装する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.3.1 | ワイヤレス環境は安全に構成され、管理されている | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.3.1 | ワイヤレス環境は安全に構成され、管理されている | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.3.1 | ワイヤレス環境は安全に構成され、管理されている | ワイヤレス アクセスを保護する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.3.2 | ワイヤレス環境は安全に構成され、管理されている | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.3.2 | ワイヤレス環境は安全に構成され、管理されている | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する | 2.3.2 | ワイヤレス環境は安全に構成され、管理されている | ワイヤレス アクセスを保護する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.1.1 | 保存されるアカウント データを保護するためのプロセスとメカニズムが定義され、理解されている | プライバシー プログラムを確立する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.1.1 | 保存されるアカウント データを保護するためのプロセスとメカニズムが定義され、理解されている | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.1.1 | 保存されるアカウント データを保護するためのプロセスとメカニズムが定義され、理解されている | プライバシー プラン、ポリシー、手順を更新する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.2.1 | アカウント データのストレージは最小限に保たれる | 定義されている保持期間に従う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.2.1 | アカウント データのストレージは最小限に保たれる | 物理的なアクセスを制御する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.2.1 | アカウント データのストレージは最小限に保たれる | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.2.1 | アカウント データのストレージは最小限に保たれる | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.2.1 | アカウント データのストレージは最小限に保たれる | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.2.1 | アカウント データのストレージは最小限に保たれる | 処理確認を実行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.2.1 | アカウント データのストレージは最小限に保たれる | ラベル アクティビティと分析を確認する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.2.1 | アカウント データのストレージは最小限に保たれる | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1 | 機密の認証データ (SAD) は認可後に保存されない | 定義されている保持期間に従う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1 | 機密の認証データ (SAD) は認可後に保存されない | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1 | 機密の認証データ (SAD) は認可後に保存されない | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1 | 機密の認証データ (SAD) は認可後に保存されない | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1 | 機密の認証データ (SAD) は認可後に保存されない | 処理確認を実行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1 | 機密の認証データ (SAD) は認可後に保存されない | プライバシーに関する通知を行う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1 | 機密の認証データ (SAD) は認可後に保存されない | 通信を制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1 | 機密の認証データ (SAD) は認可後に保存されない | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.1 | 機密の認証データ (SAD) は認可後に保存されない | 定義されている保持期間に従う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.1 | 機密の認証データ (SAD) は認可後に保存されない | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.1 | 機密の認証データ (SAD) は認可後に保存されない | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.1 | 機密の認証データ (SAD) は認可後に保存されない | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.1 | 機密の認証データ (SAD) は認可後に保存されない | 処理確認を実行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.1 | 機密の認証データ (SAD) は認可後に保存されない | プライバシーに関する通知を行う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.1 | 機密の認証データ (SAD) は認可後に保存されない | 通信を制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.1 | 機密の認証データ (SAD) は認可後に保存されない | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.2 | 機密の認証データ (SAD) は認可後に保存されない | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.2 | 機密の認証データ (SAD) は認可後に保存されない | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.2 | 機密の認証データ (SAD) は認可後に保存されない | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.2 | 機密の認証データ (SAD) は認可後に保存されない | プライバシーに関する通知を行う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.2 | 機密の認証データ (SAD) は認可後に保存されない | 通信を制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.3 | 機密の認証データ (SAD) は認可後に保存されない | 定義されている保持期間に従う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.3 | 機密の認証データ (SAD) は認可後に保存されない | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.3 | 機密の認証データ (SAD) は認可後に保存されない | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.3 | 機密の認証データ (SAD) は認可後に保存されない | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.3 | 機密の認証データ (SAD) は認可後に保存されない | 処理確認を実行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.3 | 機密の認証データ (SAD) は認可後に保存されない | プライバシーに関する通知を行う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.3 | 機密の認証データ (SAD) は認可後に保存されない | 通信を制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.1.3 | 機密の認証データ (SAD) は認可後に保存されない | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.2 | 機密の認証データ (SAD) は認可後に保存されない | 暗号化モジュールに対して認証する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | 暗号化モジュールに対して認証する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | プライバシーに関する通知を行う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | 通信を制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.4.1 | PAN 全体の表示へのアクセス権とカード所有者データのコピー機能は制限されている | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.4.1 | PAN 全体の表示へのアクセス権とカード所有者データのコピー機能は制限されている | プライバシーに関する通知を行う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.4.1 | PAN 全体の表示へのアクセス権とカード所有者データのコピー機能は制限されている | 通信を制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.4.2 | PAN 全体の表示へのアクセス権とカード所有者データのコピー機能は制限されている | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.4.2 | PAN 全体の表示へのアクセス権とカード所有者データのコピー機能は制限されている | プライバシーに関する通知を行う | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.4.2 | PAN 全体の表示へのアクセス権とカード所有者データのコピー機能は制限されている | 通信を制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | データ漏えいの管理手順を確立する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | 特別な情報を保護する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.1 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | データ漏えいの管理手順を確立する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.1 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.1 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.1 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | 特別な情報を保護する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.2 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | データ漏えいの管理手順を確立する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.2 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.2 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.2 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | 特別な情報を保護する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.3 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | データ漏えいの管理手順を確立する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.3 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.3 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1.3 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | 特別な情報を保護する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.1 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.2 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.2 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.2 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.2 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.2 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.2 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.2 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.2 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.3 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.3 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.3 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.3 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.3 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.3 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.3 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.4 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.4 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.4 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.4 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.4 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.4 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.6.1.4 | 保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.1 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.1 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.1 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.1 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.1 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.1 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.1 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.2 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.2 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.2 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.2 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.2 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.2 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.2 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.2 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.3 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.3 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.3 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.3 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.3 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.3 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 情報の可用性を維持する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.3 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.3 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.3 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.4 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.4 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.4 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.4 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.4 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.4 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.4 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.5 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.5 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.5 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.5 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.5 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.5 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.5 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.6 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.6 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.6 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.6 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.6 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.6 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.6 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.7 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.7 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.7 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.7 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.7 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.7 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.7 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.8 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.8 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.8 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.8 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.8 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.8 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.8 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.9 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.9 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.9 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.9 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | アサーション要件を決定する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.9 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.9 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.7.9 | 暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.1.1 | オープンなパブリック ネットワークを介した送信中に強力な暗号化を使用してカード所有者データを保護するためのプロセスとメカニズムが定義され、文書化されている | システムと通信の保護に関するポリシーと手順を確認および更新する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | アサーション要件を決定する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1 | PAN は送信中に強力な暗号化で保護されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.1 | PAN は送信中に強力な暗号化で保護されている | 物理キーの管理プロセスを定義する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.1 | PAN は送信中に強力な暗号化で保護されている | 暗号化の使用を定義する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.1 | PAN は送信中に強力な暗号化で保護されている | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.1 | PAN は送信中に強力な暗号化で保護されている | アサーション要件を決定する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.1 | PAN は送信中に強力な暗号化で保護されている | 公開キー証明書を発行する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.1 | PAN は送信中に強力な暗号化で保護されている | 情報の可用性を維持する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.1 | PAN は送信中に強力な暗号化で保護されている | 対称暗号化キーを管理する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.1 | PAN は送信中に強力な暗号化で保護されている | 秘密キーへのアクセスを制限する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.2 | PAN は送信中に強力な暗号化で保護されている | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.2 | PAN は送信中に強力な暗号化で保護されている | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.1.2 | PAN は送信中に強力な暗号化で保護されている | ワイヤレス アクセスを保護する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.2 | PAN は送信中に強力な暗号化で保護されている | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.2 | PAN は送信中に強力な暗号化で保護されている | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する | 4.2.2 | PAN は送信中に強力な暗号化で保護されている | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.1.1 | 悪意のあるソフトウェアからすべてのシステムとネットワークを保護するためのプロセスとメカニズムが定義され、理解されている | 情報の整合性ポリシーと手順を確認および更新する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | ゲートウェイを管理する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脅威に関する傾向分析を実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | ウイルス対策定義を更新する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.2 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.2 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | ゲートウェイを管理する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.2 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脅威に関する傾向分析を実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.2 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.2 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.2 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.2 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | ウイルス対策定義を更新する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | ゲートウェイを管理する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脅威に関する傾向分析を実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | ウイルス対策定義を更新する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | リスク評価を実施する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.2.3.1 | 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている | リスク評価を実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.1 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.1 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | ゲートウェイを管理する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.1 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 脅威に関する傾向分析を実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.1 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.1 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.1 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | ウイルス対策定義を更新する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.3 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.3 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | ゲートウェイを管理する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.3 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 脅威に関する傾向分析を実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.3 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.3 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.3 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.3 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | ウイルス対策定義を更新する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.4 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 定義されている保持期間に従う | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.4 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 監査可能なイベントを決定する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.4 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | セキュリティ ポリシーと手順を保持する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.4 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 終了させられたユーザーのデータを保持する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.5 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | セキュリティへの影響分析を実施する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.5 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.5 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | リスク管理戦略の確立 | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.5 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.5 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.5 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | プライバシー影響評価を実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.5 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | リスク評価を実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.3.5 | マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている | 構成変更制御の監査を実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.4.1 | フィッシング詐欺対策メカニズムでは、フィッシング攻撃からユーザーを保護する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.4.1 | フィッシング詐欺対策メカニズムでは、フィッシング攻撃からユーザーを保護する | ゲートウェイを管理する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.4.1 | フィッシング詐欺対策メカニズムでは、フィッシング攻撃からユーザーを保護する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.4.1 | フィッシング詐欺対策メカニズムでは、フィッシング攻撃からユーザーを保護する | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.4.1 | フィッシング詐欺対策メカニズムでは、フィッシング攻撃からユーザーを保護する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.4.1 | フィッシング詐欺対策メカニズムでは、フィッシング攻撃からユーザーを保護する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する | 5.4.1 | フィッシング詐欺対策メカニズムでは、フィッシング攻撃からユーザーを保護する | ウイルス対策定義を更新する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.1.1 | セキュリティで保護されたシステムとソフトウェアを開発および維持するためのプロセスとメカニズムが定義され、理解されている | 構成管理ポリシーと手順を確認および更新する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.1.1 | セキュリティで保護されたシステムとソフトウェアを開発および維持するためのプロセスとメカニズムが定義され、理解されている | システムおよびサービスの取得ポリシーと手順を確認および更新する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.2.2 | パッケージおよびカスタム ソフトウェアが安全に開発されている | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.2.2 | パッケージおよびカスタム ソフトウェアが安全に開発されている | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.2.3.1 | パッケージおよびカスタム ソフトウェアが安全に開発されている | 個人の職務を分離する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.3.1 | セキュリティの脆弱性が特定され、対応が行われる | セキュリティ アラートを担当者に送信する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.3.1 | セキュリティの脆弱性が特定され、対応が行われる | 脅威インテリジェンス プログラムを確立する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.3.1 | セキュリティの脆弱性が特定され、対応が行われる | セキュリティ ディレクティブの実装 | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.3.1 | セキュリティの脆弱性が特定され、対応が行われる | 情報システムの欠陥を修復する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.3.2 | セキュリティの脆弱性が特定され、対応が行われる | 管理者向けドキュメントを取得する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.4.1 | 一般向けの Web アプリケーションが攻撃から保護されている | 脆弱性スキャンを実行する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.4.1 | 一般向けの Web アプリケーションが攻撃から保護されている | 情報システムの欠陥を修復する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.4.3 | 一般向けの Web アプリケーションが攻撃から保護されている | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.4.3 | 一般向けの Web アプリケーションが攻撃から保護されている | システム診断データを表示して構成する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.1 | すべてのシステム コンポーネントに対する変更が安全に管理されている | セキュリティへの影響分析を実施する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.1 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.1 | すべてのシステム コンポーネントに対する変更が安全に管理されている | リスク管理戦略の確立 | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.1 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.1 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.1 | すべてのシステム コンポーネントに対する変更が安全に管理されている | プライバシー影響評価を実行する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.1 | すべてのシステム コンポーネントに対する変更が安全に管理されている | リスク評価を実行する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.1 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 構成変更制御の監査を実行する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.2 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.3 | すべてのシステム コンポーネントに対する変更が安全に管理されている | セキュリティへの影響分析を実施する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.3 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.3 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.3 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 運用環境で変更を加える特権を制限する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.3 | すべてのシステム コンポーネントに対する変更が安全に管理されている | プライバシー影響評価を実行する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.3 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 構成変更制御の監査を実行する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.4 | すべてのシステム コンポーネントに対する変更が安全に管理されている | セキュリティへの影響分析を実施する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.4 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.4 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.4 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 運用環境で変更を加える特権を制限する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.4 | すべてのシステム コンポーネントに対する変更が安全に管理されている | プライバシー影響評価を実行する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.4 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 構成変更制御の監査を実行する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.5 | すべてのシステム コンポーネントに対する変更が安全に管理されている | リサーチ処理にセキュリティとデータ プライバシー プラクティスを組み込む | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.6 | すべてのシステム コンポーネントに対する変更が安全に管理されている | セキュリティへの影響分析を実施する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.6 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.6 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.6 | すべてのシステム コンポーネントに対する変更が安全に管理されている | プライバシー影響評価を実行する | 1.1.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.5.6 | すべてのシステム コンポーネントに対する変更が安全に管理されている | 構成変更制御の監査を実行する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.1.1 | 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限するためのプロセスとメカニズムが定義され、理解されている | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.1.1 | 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限するためのプロセスとメカニズムが定義され、理解されている | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.1.1 | 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限するためのプロセスとメカニズムが定義され、理解されている | ポリシーと手順の管理 | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.1.1 | 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限するためのプロセスとメカニズムが定義され、理解されている | アクセス制御のポリシーと手順を確認する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.1.2 | 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限するためのプロセスとメカニズムが定義され、理解されている | アクセス制御に関するポリシーと手順を作成する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.1.2 | 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限するためのプロセスとメカニズムが定義され、理解されている | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.1.2 | 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限するためのプロセスとメカニズムが定義され、理解されている | ポリシーと手順の管理 | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アクセスを認可および管理する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アクセス制御モデルを設計する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 最小特権アクセスを使用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 論理アクセスを強制する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アカウント作成の承認を必要とする | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.2 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.2 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.2 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アクセスを認可および管理する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.2 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アクセス制御モデルを設計する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.2 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 最小特権アクセスを使用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.2 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.2 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.3 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.3 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アクセスを認可および管理する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.3 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アクセス制御モデルを設計する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.3 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 最小特権アクセスを使用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.3 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 論理アクセスを強制する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.3 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.3 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アカウント作成の承認を必要とする | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.3 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.4 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | ユーザー アカウントの状態を監査する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.4 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.4 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | ユーザー アカウントを確認する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.4 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | ユーザー特権を確認する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.5 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 情報システム アカウントの種類を定義する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.5.1 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アカウント アクティビティを監視する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.6 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.6 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アクセスを認可および管理する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.6 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アクセス制御モデルを設計する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.6 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 最小特権アクセスを使用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.6 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 論理アクセスを強制する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.6 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.6 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | アカウント作成の承認を必要とする | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.2.6 | システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | アクセスを認可および管理する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | アカウント管理を自動化する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 論理アクセスを強制する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | システムと管理者のアカウントを管理する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 組織全体のアクセスを監視する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | アカウントが不要になったときに通知する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | アカウント作成の承認を必要とする | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.2 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.2 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | アクセスを認可および管理する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.2 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | アカウント管理を自動化する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.2 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 論理アクセスを強制する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.2 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.2 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | システムと管理者のアカウントを管理する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.2 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 組織全体のアクセスを監視する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.2 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | アカウントが不要になったときに通知する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.2 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | アカウント作成の承認を必要とする | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.2 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.3 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.3 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | アクセスを認可および管理する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.3 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 論理アクセスを強制する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.3 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.3 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | アカウント作成の承認を必要とする | 1.1.0 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.3 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.1.1 | ユーザーを識別し、システム コンポーネントへのアクセスを認証するためのプロセスとメカニズムが定義され、理解されている | ID と認証に関するポリシーと手順をレビューし更新する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.1 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | システム識別子の割り当て | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.1 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | ユーザーの一意性を徹底する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.1 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | 法的機関によって発行された個人確認の資格情報をサポートする | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.2 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.2 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | 変更されたグループとアカウントの認証子を再発行する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.2 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | 個々の認証子の使用を要求する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.2 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | カスタマー コントロールのアカウント資格情報を終了する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.3 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | 生体認証メカニズムを採用する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.3 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.3 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | トークンの品質要件を満たす | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.4 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | システム識別子の割り当て | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.4 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.4 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.4 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.4 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.4 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.4 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | アカウント作成の承認を必要とする | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.5 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.5 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.6 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | 終了時に認証子を無効にする | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.6 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.7 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.7 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.7 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.7 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.7 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.7 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | 組織外のユーザーを識別して認証する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.8 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | アイドル時間ログ ポリシーを定義して適用する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.2.8 | ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている | ユーザー セッションを自動的に終了する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.1 | ユーザーと管理者の強力な認証が確立され、管理されている | 生体認証メカニズムを採用する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.1 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子の種類とプロセスを確立する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.1 | ユーザーと管理者の強力な認証が確立され、管理されている | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.1 | ユーザーと管理者の強力な認証が確立され、管理されている | トークンの品質要件を満たす | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.10 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.10 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子を最新の情報に更新 | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.10.1 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.10.1 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子を最新の情報に更新 | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.11 | ユーザーと管理者の強力な認証が確立され、管理されている | 生体認証メカニズムを採用する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.11 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子の配布 | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.11 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子の種類とプロセスを確立する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.11 | ユーザーと管理者の強力な認証が確立され、管理されている | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.11 | ユーザーと管理者の強力な認証が確立され、管理されている | トークンの品質要件を満たす | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.11 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子を配布する前に ID を確認する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.2 | ユーザーと管理者の強力な認証が確立され、管理されている | 承認されたユーザーが指定された認証子を保護するようにする | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.2 | ユーザーと管理者の強力な認証が確立され、管理されている | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.4 | ユーザーと管理者の強力な認証が確立され、管理されている | ログイン試行の連続失敗回数の制限を強制する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.5 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子の種類とプロセスを確立する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | パスワード ポリシーの確立 | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.6 | ユーザーと管理者の強力な認証が確立され、管理されている | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.8 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.9 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.3.9 | ユーザーと管理者の強力な認証が確立され、管理されている | 認証子を最新の情報に更新 | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.1 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.1 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.1 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | 生体認証メカニズムを採用する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.1 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.1 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.1 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.2 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | 生体認証メカニズムを採用する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.2 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | リモート アクセスを認可する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.2 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | モビリティ トレーニングを文書化する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.2 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.2 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.2 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.2 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.2 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | トークンの品質要件を満たす | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.3 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | 生体認証メカニズムを採用する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.3 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | リモート アクセスを認可する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.3 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | モビリティ トレーニングを文書化する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.3 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.3 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.3 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.3 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.3 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | トークンの品質要件を満たす | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.5.1 | 多要素認証 (MFA) システムが誤用を防止するように構成されている | 生体認証メカニズムを採用する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.5.1 | 多要素認証 (MFA) システムが誤用を防止するように構成されている | リモート アクセスを認可する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.5.1 | 多要素認証 (MFA) システムが誤用を防止するように構成されている | モビリティ トレーニングを文書化する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.5.1 | 多要素認証 (MFA) システムが誤用を防止するように構成されている | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.5.1 | 多要素認証 (MFA) システムが誤用を防止するように構成されている | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.5.1 | 多要素認証 (MFA) システムが誤用を防止するように構成されている | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.5.1 | 多要素認証 (MFA) システムが誤用を防止するように構成されている | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.5.1 | 多要素認証 (MFA) システムが誤用を防止するように構成されている | トークンの品質要件を満たす | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.6.1 | アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている | 情報システム アカウントの種類を定義する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.6.1 | アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている | アカウント作成の承認を必要とする | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.6.2 | アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.6.3 | アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.6.3 | アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている | パスワード ポリシーの確立 | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.6.3 | アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.6.3 | アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている | 認証子を保護するためのトレーニングを実装する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.6.3 | アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.6.3 | アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている | 認証子を最新の情報に更新 | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.1.1 | カード所有者データへの物理的なアクセスを制限するためのプロセスとメカニズムが定義され、理解されている | メディア保護ポリシーと手順を確認および更新する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.1.1 | カード所有者データへの物理的なアクセスを制限するためのプロセスとメカニズムが定義され、理解されている | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.2.2 | 物理的なアクセス制御が、カード所有者データを含む施設とシステムへのエントリを管理する | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.2.3 | 物理的なアクセス制御が、カード所有者データを含む施設とシステムへのエントリを管理する | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.2.3 | 物理的なアクセス制御が、カード所有者データを含む施設とシステムへのエントリを管理する | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.2.4 | 物理的なアクセス制御が、カード所有者データを含む施設とシステムへのエントリを管理する | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.2.4 | 物理的なアクセス制御が、カード所有者データを含む施設とシステムへのエントリを管理する | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.3.1 | 職員と訪問者の物理的なアクセスが承認および管理されている | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.3.1.1 | 職員と訪問者の物理的なアクセスが承認および管理されている | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.3.2 | 職員と訪問者の物理的なアクセスが承認および管理されている | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.3.2 | 職員と訪問者の物理的なアクセスが承認および管理されている | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.3.3 | 職員と訪問者の物理的なアクセスが承認および管理されている | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.3.3 | 職員と訪問者の物理的なアクセスが承認および管理されている | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.3.4 | 職員と訪問者の物理的なアクセスが承認および管理されている | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.3.4 | 職員と訪問者の物理的なアクセスが承認および管理されている | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.1 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.1.1 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.2 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.3 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.3 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | 資産の輸送を管理する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.4 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.4 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | 資産の輸送を管理する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.5.1 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | データ インベントリを作成する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.5.1 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | 個人データの処理に関する記録を保持する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.6 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.6 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.6 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | 処理確認を実行する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.6 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.7 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.7 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.7 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | 処理確認を実行する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.4.7 | カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.5.1 | Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.5.1 | Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.5.1 | Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.5.1.2 | Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.5.1.2 | Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.5.1.2 | Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.5.1.2.1 | Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている | 物理的なアクセスを制御する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.5.1.2.1 | Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.5.1.2.1 | Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 要件 09: カード所有者データへの物理的なアクセスを制限する | 9.5.1.3 | Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
インド準備銀行 - NBFC 向けの IT フレームワーク
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 ここのコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。
インド準備銀行の銀行向けの IT フレームワーク v2016
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
RMIT マレーシア
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RMIT マレーシアに関する記事をご覧ください。 このコンプライアンス標準の詳細については、RMIT マレーシア に関するドキュメントをご覧ください。
SWIFT CSP-CSCF v2021
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2021 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2021」を参照してください。
SWIFT CSP-CSCF v2022
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2022 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2022」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。 | 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。 | 外部プロバイダーが顧客の関心を常に満たしていることを確認する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。 | システム境界の保護を実装する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 特権機能を監査する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 共有アカウントとグループ アカウントの条件を定義して適用する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | アクセス制御モデルを設計する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 情報セキュリティに関するポリシーと手順を作成する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 最小特権アクセスを使用する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | プライバシー プログラムを確立する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | アカウント アクティビティを監視する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 特権ロールの割り当てを監視する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.2 | 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 | 特権 ID 管理を使用する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.3 | SWIFT 関連コンポーネントをホストする仮想化プラットフォームと仮想マシン (VM) を物理システムと同じレベルにセキュリティで保護する。 | システム境界の保護を実装する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | リモート アクセスを認可する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | 暗号化の使用を定義する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | モビリティ トレーニングを文書化する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | ワイヤレス アクセスを保護する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.4 | セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | 情報フローを制御する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | 外部システムの相互接続に制限を適用する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | 各外部サービスにマネージド インターフェイスを実装する | 1.1.0 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 | システム境界の保護を実装する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 情報フローを制御する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 暗号化の使用を定義する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | アサーション要件を決定する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | ベースライン構成を作成して維持する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 情報システムを分離するための境界保護を採用する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | ランダムな一意のセッション識別子を適用する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | セキュリティ構成の設定を適用する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 構成コントロール ボードを設立する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | データ漏えいの管理手順を確立する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 構成管理計画を策定して文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | バックアップのポリシーと手順を確立する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 自動構成管理ツールを実装する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | システム境界の保護を実装する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | セキュリティ ポリシー フィルターを使用した情報フロー制御 | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | SecurID システム、セキュリティ インシデント管理システムを分離する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 公開キー証明書を発行する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 情報の可用性を維持する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 対称暗号化キーを管理する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 非対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 対称暗号化キーを生成、制御、配布する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 特別な情報を保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 情報システムの欠陥を修復する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 秘密キーへのアクセスを制限する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.1 | ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 | 外部システムに対するインターフェイスをセキュリティで保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.2 | ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑える。 | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| 2.攻撃面と脆弱性を減らす | 2.2 | ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑える。 | セキュリティ アラートを担当者に送信する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.2 | ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑える。 | 脆弱性スキャンを実行する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.2 | ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑える。 | 情報システムの欠陥を修復する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.2 | ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑える。 | セキュリティ アラートに自動化されたメカニズムを使用する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 提案されたドキュメントの変更を自動化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | セキュリティへの影響分析を実施する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | ベースライン構成を作成して維持する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | セキュリティ構成の設定を適用する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 構成コントロール ボードを設立する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | リスク管理戦略の確立 | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 構成管理計画を策定して文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 自動構成管理ツールを実装する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | プライバシー影響評価を実行する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | リスク評価を実行する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 構成変更制御の監査を実行する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.3 | システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 | 以前のバージョンのベースライン構成を保持する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.4 | ローカルまたはリモートの SWIFT インフラストラクチャ コンポーネントと、それらが接続するバックオフィスの最初のホップとの間のデータ フローの機密性、整合性、相互信頼性を確認する。 | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.4 | ローカルまたはリモートの SWIFT インフラストラクチャ コンポーネントと、それらが接続するバックオフィスの最初のホップとの間のデータ フローの機密性、整合性、相互信頼性を確認する。 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.4 | ローカルまたはリモートの SWIFT インフラストラクチャ コンポーネントと、それらが接続するバックオフィスの最初のホップとの間のデータ フローの機密性、整合性、相互信頼性を確認する。 | バックアップのポリシーと手順を確立する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.4 | ローカルまたはリモートの SWIFT インフラストラクチャ コンポーネントと、それらが接続するバックオフィスの最初のホップとの間のデータ フローの機密性、整合性、相互信頼性を確認する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.4 | ローカルまたはリモートの SWIFT インフラストラクチャ コンポーネントと、それらが接続するバックオフィスの最初のホップとの間のデータ フローの機密性、整合性、相互信頼性を確認する。 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.4 | ローカルまたはリモートの SWIFT インフラストラクチャ コンポーネントと、それらが接続するバックオフィスの最初のホップとの間のデータ フローの機密性、整合性、相互信頼性を確認する。 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.4 | ローカルまたはリモートの SWIFT インフラストラクチャ コンポーネントと、それらが接続するバックオフィスの最初のホップとの間のデータ フローの機密性、整合性、相互信頼性を確認する。 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.5 | 運用プロセスの一環として、セキュリティで保護されたゾーン外で送信または保存される SWIFT 関連データの機密性を保護する。 | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.5 | 運用プロセスの一環として、セキュリティで保護されたゾーン外で送信または保存される SWIFT 関連データの機密性を保護する。 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.5 | 運用プロセスの一環として、セキュリティで保護されたゾーン外で送信または保存される SWIFT 関連データの機密性を保護する。 | バックアップのポリシーと手順を確立する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.5 | 運用プロセスの一環として、セキュリティで保護されたゾーン外で送信または保存される SWIFT 関連データの機密性を保護する。 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.5 | 運用プロセスの一環として、セキュリティで保護されたゾーン外で送信または保存される SWIFT 関連データの機密性を保護する。 | 資産の輸送を管理する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.5 | 運用プロセスの一環として、セキュリティで保護されたゾーン外で送信または保存される SWIFT 関連データの機密性を保護する。 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.5 | 運用プロセスの一環として、セキュリティで保護されたゾーン外で送信または保存される SWIFT 関連データの機密性を保護する。 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.5A | 外部転送データの保護 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | リモート アクセスを認可する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | ワイヤレス アクセスのガイドラインを文書化して実装する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | モビリティ トレーニングを文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | ワイヤレス アクセスを保護する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.6 | ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する | ユーザー セッションを再認証するか終了する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | 欠陥の修復を構成管理に組み込む | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | 脅威モデリングを実行する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | 脆弱性スキャンを実行する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.7 | 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 | 情報システムの欠陥を修復する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8.5 | 顧客のメッセージング監視のための一貫した効果的なアプローチを確認する。 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8.5 | 顧客のメッセージング監視のための一貫した効果的なアプローチを確認する。 | 政府機関の監督を定義して文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8.5 | 顧客のメッセージング監視のための一貫した効果的なアプローチを確認する。 | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8.5 | 顧客のメッセージング監視のための一貫した効果的なアプローチを確認する。 | サプライヤー契約の義務を決定する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8.5 | 顧客のメッセージング監視のための一貫した効果的なアプローチを確認する。 | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8.5 | 顧客のメッセージング監視のための一貫した効果的なアプローチを確認する。 | 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8.5 | 顧客のメッセージング監視のための一貫した効果的なアプローチを確認する。 | クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8.5 | 顧客のメッセージング監視のための一貫した効果的なアプローチを確認する。 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | サプライヤー契約の義務を決定する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.8A | 重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.9 | 送信トランザクション アクティビティが通常の業務で予期される範囲内で行われていることを確認する。 | VoIP の承認、監視、制御 | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.9 | 送信トランザクション アクティビティが通常の業務で予期される範囲内で行われていることを確認する。 | 情報フローを制御する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.9 | 送信トランザクション アクティビティが通常の業務で予期される範囲内で行われていることを確認する。 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.9 | 送信トランザクション アクティビティが通常の業務で予期される範囲内で行われていることを確認する。 | システム境界の保護を実装する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.9 | 送信トランザクション アクティビティが通常の業務で予期される範囲内で行われていることを確認する。 | ゲートウェイを管理する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.9 | 送信トランザクション アクティビティが通常の業務で予期される範囲内で行われていることを確認する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.9 | 送信トランザクション アクティビティが通常の業務で予期される範囲内で行われていることを確認する。 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.11A | トランザクション アクティビティを、検証および承認された取引先企業に制限する。 | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.11A | トランザクション アクティビティを、検証および承認された取引先企業に制限する。 | アクセスを認可および管理する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.11A | トランザクション アクティビティを、検証および承認された取引先企業に制限する。 | アクセス制御モデルを設計する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.11A | トランザクション アクティビティを、検証および承認された取引先企業に制限する。 | 最小特権アクセスを使用する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.11A | トランザクション アクティビティを、検証および承認された取引先企業に制限する。 | 論理アクセスを強制する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.11A | トランザクション アクティビティを、検証および承認された取引先企業に制限する。 | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.11A | トランザクション アクティビティを、検証および承認された取引先企業に制限する。 | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.11A | トランザクション アクティビティを、検証および承認された取引先企業に制限する。 | アカウント作成の承認を必要とする | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.11A | トランザクション アクティビティを、検証および承認された取引先企業に制限する。 | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 2.攻撃面と脆弱性を減らす | 2.11A | トランザクション アクティビティを、検証および承認された取引先企業に制限する。 | ユーザー特権を確認する | 1.1.0 |
| 3.環境を物理的に保護する | 3.1 | 機密性の高い機器、職場の環境、ホスティング サイト、ストレージに対する認証されていない物理的なアクセスを防止する。 | 物理的なアクセスを制御する | 1.1.0 |
| 3.環境を物理的に保護する | 3.1 | 機密性の高い機器、職場の環境、ホスティング サイト、ストレージに対する認証されていない物理的なアクセスを防止する。 | 物理キーの管理プロセスを定義する | 1.1.0 |
| 3.環境を物理的に保護する | 3.1 | 機密性の高い機器、職場の環境、ホスティング サイト、ストレージに対する認証されていない物理的なアクセスを防止する。 | 資産インベントリの確立と管理 | 1.1.0 |
| 3.環境を物理的に保護する | 3.1 | 機密性の高い機器、職場の環境、ホスティング サイト、ストレージに対する認証されていない物理的なアクセスを防止する。 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 3.環境を物理的に保護する | 3.1 | 機密性の高い機器、職場の環境、ホスティング サイト、ストレージに対する認証されていない物理的なアクセスを防止する。 | アラーム システムをインストールする | 1.1.0 |
| 3.環境を物理的に保護する | 3.1 | 機密性の高い機器、職場の環境、ホスティング サイト、ストレージに対する認証されていない物理的なアクセスを防止する。 | セキュアな監視カメラ システムを管理する | 1.1.0 |
| 3.環境を物理的に保護する | 3.1 | 機密性の高い機器、職場の環境、ホスティング サイト、ストレージに対する認証されていない物理的なアクセスを防止する。 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | パスワード ポリシーの確立 | 1.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | 認証子の有効期間と再利用を管理する | 1.1.0 |
| 4.資格情報の侵害を防止する | 4.1 | 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 4.資格情報の侵害を防止する | 4.2 | 多要素認証を実装することで、1 つの認証要素の侵害によって SWIFT 関連のシステムまたはアプリケーションへのアクセスが許可されないようにする。 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 4.資格情報の侵害を防止する | 4.2 | 多要素認証を実装することで、1 つの認証要素の侵害によって SWIFT 関連のシステムまたはアプリケーションへのアクセスが許可されないようにする。 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 4.資格情報の侵害を防止する | 4.2 | 多要素認証を実装することで、1 つの認証要素の侵害によって SWIFT 関連のシステムまたはアプリケーションへのアクセスが許可されないようにする。 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 4.資格情報の侵害を防止する | 4.2 | 多要素認証を実装することで、1 つの認証要素の侵害によって SWIFT 関連のシステムまたはアプリケーションへのアクセスが許可されないようにする。 | 生体認証メカニズムを採用する | 1.1.0 |
| 4.資格情報の侵害を防止する | 4.2 | 多要素認証を実装することで、1 つの認証要素の侵害によって SWIFT 関連のシステムまたはアプリケーションへのアクセスが許可されないようにする。 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | アカウント マネージャーの割り当て | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | アカウント管理を自動化する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | アクセス認可を定義して職務の分離をサポートする | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 情報システム アカウントの種類を定義する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | アクセス制御モデルを設計する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 終了時に認証子を無効にする | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | アクセス特権の文書化 | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 職務の分離について文書化する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 最小特権アクセスを使用する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | ロール メンバーシップの条件を確立する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | システムと管理者のアカウントを管理する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 組織全体のアクセスを監視する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | アカウント アクティビティを監視する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | アカウントが不要になったときに通知する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 監査情報を保護する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 必要に応じてユーザー特権を再割り当てまたは削除する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | アカウント作成の承認を必要とする | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | ユーザー アカウントを確認する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | ユーザー特権を確認する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 個人の職務を分離する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.1 | オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 5.ID の管理と特権の分離 | 5.2 | 接続および切断されたハードウェア認証または個人用トークン (トークンが使用されている場合) の適切な管理、追跡、使用を確認する。 | 認証子の配布 | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.2 | 接続および切断されたハードウェア認証または個人用トークン (トークンが使用されている場合) の適切な管理、追跡、使用を確認する。 | 認証子の種類とプロセスを確立する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.2 | 接続および切断されたハードウェア認証または個人用トークン (トークンが使用されている場合) の適切な管理、追跡、使用を確認する。 | 認証子の初期配布の手順を確立する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.2 | 接続および切断されたハードウェア認証または個人用トークン (トークンが使用されている場合) の適切な管理、追跡、使用を確認する。 | 認証子を配布する前に ID を確認する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.3A | 許可され実施可能な範囲で、スタッフのスクリーニングを定期的に行うことで、ローカルの SWIFT 環境を運用するスタッフの信頼性を確認する。 | 機密情報へのアクセス権を持つ職員をクリアする | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.3A | 許可され実施可能な範囲で、スタッフのスクリーニングを定期的に行うことで、ローカルの SWIFT 環境を運用するスタッフの信頼性を確認する。 | アクセス契約が署名されているか、または時間内に辞任されていることを確認する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.3A | 許可され実施可能な範囲で、スタッフのスクリーニングを定期的に行うことで、ローカルの SWIFT 環境を運用するスタッフの信頼性を確認する。 | 職員のスクリーニングを実装する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.3A | 許可され実施可能な範囲で、スタッフのスクリーニングを定期的に行うことで、ローカルの SWIFT 環境を運用するスタッフの信頼性を確認する。 | 特別な情報を保護する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.3A | 許可され実施可能な範囲で、スタッフのスクリーニングを定期的に行うことで、ローカルの SWIFT 環境を運用するスタッフの信頼性を確認する。 | 定義された頻度で個人を再表示する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.4 | 記録されたパスワードのリポジトリを物理的および論理的に保護する。 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.4 | 記録されたパスワードのリポジトリを物理的および論理的に保護する。 | パスワード ポリシーの確立 | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.4 | 記録されたパスワードのリポジトリを物理的および論理的に保護する。 | 記憶されたシークレットの検証ツールのパラメーターを実装する | 1.1.0 |
| 5.ID の管理と特権の分離 | 5.4 | 記録されたパスワードのリポジトリを物理的および論理的に保護する。 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 特権機能を監査する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 監査レコードの関連付け | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 脆弱性スキャンの情報を関連付ける | 1.1.1 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 監査可能なイベントを決定する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | ゲートウェイを管理する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | セキュリティの脆弱性を確認して報告する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 脅威モデリングを実行する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 脆弱性スキャンを実行する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 情報システムの欠陥を修復する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 監査データを確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 悪用からの保護イベントを確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | ウイルス対策定義を更新する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.1 | ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.2 | SWIFT 関連コンポーネントのソフトウェアの整合性を確認し、結果に基づいて対処する。 | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.2 | SWIFT 関連コンポーネントのソフトウェアの整合性を確認し、結果に基づいて対処する。 | 違反が検出されたときに自動シャットダウン/再起動を使用する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.2 | SWIFT 関連コンポーネントのソフトウェアの整合性を確認し、結果に基づいて対処する。 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.2 | SWIFT 関連コンポーネントのソフトウェアの整合性を確認し、結果に基づいて対処する。 | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.2 | SWIFT 関連コンポーネントのソフトウェアの整合性を確認し、結果に基づいて対処する。 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.2 | SWIFT 関連コンポーネントのソフトウェアの整合性を確認し、結果に基づいて対処する。 | システム診断データを表示して構成する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.3 | SWIFT メッセージング インターフェイスまたは顧客コネクタのデータベース レコードの整合性を確認し、結果に基づいて対処する。 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.3 | SWIFT メッセージング インターフェイスまたは顧客コネクタのデータベース レコードの整合性を確認し、結果に基づいて対処する。 | システム診断データを表示して構成する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | アクティビティ ログを 1 年以上保持する必要がある | 1.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 特権機能を監査する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | ディザスター リカバリーを構成されていない仮想マシンの監査 | 1.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | 1.0.1 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | 1.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | 2.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | Azure Monitor ソリューション "Security and Audit" をデプロイする必要がある | 1.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 監査レコードの関連付け | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 監査可能なイベントを決定する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 監査のレビューとレポートの要件を確立する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 監査レビュー、分析、レポートを統合する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | Cloud App Security を SIEM と統合する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 脆弱性スキャンを実行する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 監査イベント エラーのリアルタイム アラートを提供する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 情報システムの欠陥を修復する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 管理者割り当てを毎週レビューする | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 監査データを確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | クラウド ID レポートの概要を確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | フォルダー アクセスの制御イベントを確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 悪用からの保護イベントを確認する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | ファイルとフォルダーのアクティビティをレビューする | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | 役割グループの変更点を毎週レビューする | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | 職員に情報流出のアラートを通知する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | VoIP の承認、監視、制御 | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | インシデント レスポンス計画を策定する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | セキュリティ運用を文書化する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | システム境界の保護を実装する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | ゲートウェイを管理する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.5A | ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.1 | サイバー インシデントの管理のための一貫した効果的なアプローチを確保する。 | 情報セキュリティの問題に対処する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.1 | サイバー インシデントの管理のための一貫した効果的なアプローチを確保する。 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.1 | サイバー インシデントの管理のための一貫した効果的なアプローチを確保する。 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.1 | サイバー インシデントの管理のための一貫した効果的なアプローチを確保する。 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.1 | サイバー インシデントの管理のための一貫した効果的なアプローチを確保する。 | シミュレートされたイベントをインシデント対応のトレーニングに組み込む | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.1 | サイバー インシデントの管理のための一貫した効果的なアプローチを確保する。 | 情報流出トレーニングを提供する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.1 | サイバー インシデントの管理のための一貫した効果的なアプローチを確保する。 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.1 | サイバー インシデントの管理のための一貫した効果的なアプローチを確保する。 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | ロールベースの実用的な演習を提供する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | 疑わしいアクティビティに関するロールベースのトレーニングを提供する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.2 | 定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。 | 更新されたセキュリティ認識トレーニングを提供する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.3A | 侵入テストを実行することで、運用セキュリティ構成を検証し、セキュリティ ギャップを特定する。 | 侵入テストに別個のチームを採用する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.3A | 侵入テストを実行することで、運用セキュリティ構成を検証し、セキュリティ ギャップを特定する。 | セキュリティ アーキテクチャの構築を開発者に要求する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.4A | サイバー攻撃のシナリオの可能性に基づいて、組織のリスクと準備状況を評価する。 | リスク評価を実施する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.4A | サイバー攻撃のシナリオの可能性に基づいて、組織のリスクと準備状況を評価する。 | リスク評価を実施して結果を配布する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.4A | サイバー攻撃のシナリオの可能性に基づいて、組織のリスクと準備状況を評価する。 | リスク評価を実施し、その結果を文書化する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.4A | サイバー攻撃のシナリオの可能性に基づいて、組織のリスクと準備状況を評価する。 | リスク管理戦略の確立 | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.4A | サイバー攻撃のシナリオの可能性に基づいて、組織のリスクと準備状況を評価する。 | リスク管理戦略を実装する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.4A | サイバー攻撃のシナリオの可能性に基づいて、組織のリスクと準備状況を評価する。 | リスク評価を実行する | 1.1.0 |
| 7.インシデント対応と情報共有の計画 | 7.4A | サイバー攻撃のシナリオの可能性に基づいて、組織のリスクと準備状況を評価する。 | リスク評価ポリシーと手順を確認および更新する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.1 | 達成する目標を正式に設定および監視して可用性を確認する | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.1 | 達成する目標を正式に設定および監視して可用性を確認する | 代替計画を策定する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.1 | 達成する目標を正式に設定および監視して可用性を確認する | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.1 | 達成する目標を正式に設定および監視して可用性を確認する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.1 | 達成する目標を正式に設定および監視して可用性を確認する | 重要なビジネス機能の継続を計画する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.1 | 達成する目標を正式に設定および監視して可用性を確認する | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.1 | 達成する目標を正式に設定および監視して可用性を確認する | 必要に応じて監視情報を提供する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.1 | 達成する目標を正式に設定および監視して可用性を確認する | すべてのミッションとビジネス機能を再開する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.4 | 顧客に対するサービスの可用性、容量、品質を確認する | キャパシティ プランニングの実施 | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.4 | 顧客に対するサービスの可用性、容量、品質を確認する | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.4 | 顧客に対するサービスの可用性、容量、品質を確認する | 特定された異常に対する代替アクションを作成する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.4 | 顧客に対するサービスの可用性、容量、品質を確認する | 代替計画を策定する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.4 | 顧客に対するサービスの可用性、容量、品質を確認する | 失敗したセキュリティ検証テストについて担当者に通知する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.4 | 顧客に対するサービスの可用性、容量、品質を確認する | 定義された頻度でセキュリティ関数の検証を実行する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.4 | 顧客に対するサービスの可用性、容量、品質を確認する | 重要なビジネス機能の継続を計画する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | コーディングの脆弱性に対処する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | アプリケーションのセキュリティ要件を作成して文書化する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | セキュリティで保護されたソフトウェア開発プログラムを確立する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | 脆弱性スキャンを実行する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | 情報システムの欠陥を修復する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | 承認された変更と潜在的な影響を文書化するよう開発者に要求する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | 承認された変更のみを実装するよう開発者に要求する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | 変更の整合性の管理を開発者に要求する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | 1.1.0 |
| 8.パフォーマンスの設定と監視 | 8.5 | ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.1 | プロバイダーは、地域的な障害や誤動作が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | インシデント対応テストを実施する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.1 | プロバイダーは、地域的な障害や誤動作が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.1 | プロバイダーは、地域的な障害や誤動作が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 代替計画を策定する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.1 | プロバイダーは、地域的な障害や誤動作が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | コンティンジェンシー計画に関するポリシーと手順を作成する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.1 | プロバイダーは、地域的な障害や誤動作が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | ポリシーと手順の配布 | 1.1.0 |
| 9.回復性による可用性の確保 | 9.1 | プロバイダーは、地域的な障害や誤動作が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.1 | プロバイダーは、地域的な障害や誤動作が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | コンティンジェンシー トレーニングを提供する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.1 | プロバイダーは、地域的な障害や誤動作が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | シミュレーション攻撃の実行 | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 情報システム ドキュメントのバックアップを実施する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 回復操作を容易にする代替ストレージ サイトを確立する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 代替処理サイトを確立する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | インターネット アクセス プロバイダーの要件を確立する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 代替ストレージ サイトで潜在的な問題を特定して軽減する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 代替処理サイトを操作サイトとして使用できるように準備する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 中断後にリソースを回復して再構成する | 1.1.1 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | リソースを稼働状態に復元する | 1.1.1 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | バックアップ情報を個別に保存する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.2 | プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。 | 代替ストレージ サイトにバックアップ情報を転送する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.3 | サービス機関は、緊急、危険、またはインシデントが発生した場合に、顧客がサービスを引き続き利用できるようにする必要がある。 | 事業継続とディザスター リカバリー計画を作成および文書化する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.3 | サービス機関は、緊急、危険、またはインシデントが発生した場合に、顧客がサービスを引き続き利用できるようにする必要がある。 | 代替計画を策定する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.3 | サービス機関は、緊急、危険、またはインシデントが発生した場合に、顧客がサービスを引き続き利用できるようにする必要がある。 | 自動非常用照明を使用する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.3 | サービス機関は、緊急、危険、またはインシデントが発生した場合に、顧客がサービスを引き続き利用できるようにする必要がある。 | 侵入テスト方法を実装する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.3 | サービス機関は、緊急、危険、またはインシデントが発生した場合に、顧客がサービスを引き続き利用できるようにする必要がある。 | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.3 | サービス機関は、緊急、危険、またはインシデントが発生した場合に、顧客がサービスを引き続き利用できるようにする必要がある。 | 物理ポリシーと環境ポリシーと手順を確認および更新する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.3 | サービス機関は、緊急、危険、またはインシデントが発生した場合に、顧客がサービスを引き続き利用できるようにする必要がある。 | シミュレーション攻撃の実行 | 1.1.0 |
| 9.回復性による可用性の確保 | 9.4 | 推奨される SWIFT 接続パックと適切な回線帯域幅を使用することで、プロバイダーのサービスの可用性と品質が確保される | VoIP の承認、監視、制御 | 1.1.0 |
| 9.回復性による可用性の確保 | 9.4 | 推奨される SWIFT 接続パックと適切な回線帯域幅を使用することで、プロバイダーのサービスの可用性と品質が確保される | キャパシティ プランニングの実施 | 1.1.0 |
| 9.回復性による可用性の確保 | 9.4 | 推奨される SWIFT 接続パックと適切な回線帯域幅を使用することで、プロバイダーのサービスの可用性と品質が確保される | システム境界の保護を実装する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.4 | 推奨される SWIFT 接続パックと適切な回線帯域幅を使用することで、プロバイダーのサービスの可用性と品質が確保される | ゲートウェイを管理する | 1.1.0 |
| 9.回復性による可用性の確保 | 9.4 | 推奨される SWIFT 接続パックと適切な回線帯域幅を使用することで、プロバイダーのサービスの可用性と品質が確保される | マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | 1.1.0 |
| 10。重大な障害が発生した場合に備える | 10.1 | 影響を受ける可能性のある関係者 (サービス機関と顧客) に伝達される文書化された計画によって、ビジネス継続性が確保される。 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 10。重大な障害が発生した場合に備える | 10.1 | 影響を受ける可能性のある関係者 (サービス機関と顧客) に伝達される文書化された計画によって、ビジネス継続性が確保される。 | 代替計画を策定する | 1.1.0 |
| 10。重大な障害が発生した場合に備える | 10.1 | 影響を受ける可能性のある関係者 (サービス機関と顧客) に伝達される文書化された計画によって、ビジネス継続性が確保される。 | 重要なビジネス機能の継続を計画する | 1.1.0 |
| 10。重大な障害が発生した場合に備える | 10.1 | 影響を受ける可能性のある関係者 (サービス機関と顧客) に伝達される文書化された計画によって、ビジネス継続性が確保される。 | 重要なビジネス機能の再開を計画する | 1.1.0 |
| 10。重大な障害が発生した場合に備える | 10.1 | 影響を受ける可能性のある関係者 (サービス機関と顧客) に伝達される文書化された計画によって、ビジネス継続性が確保される。 | すべてのミッションとビジネス機能を再開する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.1 | イベントの監視とエスカレーションのための一貫した効果的なアプローチを確認する。 | セキュリティ運用を文書化する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.1 | イベントの監視とエスカレーションのための一貫した効果的なアプローチを確認する。 | システム アクティビティの監視に関する法的意見を得る | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.1 | イベントの監視とエスカレーションのための一貫した効果的なアプローチを確認する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.1 | イベントの監視とエスカレーションのための一貫した効果的なアプローチを確認する。 | 必要に応じて監視情報を提供する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.1 | イベントの監視とエスカレーションのための一貫した効果的なアプローチを確認する。 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | 情報セキュリティ イベントを評価する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | インシデント対応テストを実施する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | インシデント レスポンス計画を策定する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | セキュリティ セーフガードの開発 | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | セキュリティ運用を文書化する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | ネットワーク保護を有効にする | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | 汚染された情報の根絶 | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | インシデント処理を実装する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | シミュレートされたイベントをインシデント対応のトレーニングに組み込む | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | データ侵害レコードを保持する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | インシデント対応計画を維持する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | インシデント対応計画を保護する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | 情報流出トレーニングを提供する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | シミュレーション攻撃の実行 | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.2 | インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | 実装された変更を文書化するためのプロセスの自動化 | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | 未確認の変更提案を強調表示するプロセスを自動化する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | インシデント レスポンス計画を策定する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | セキュリティ運用を文書化する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | ネットワーク保護を有効にする | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | 汚染された情報の根絶 | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | インシデント対応機能と外部プロバイダー間の関係を確立する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | インシデント処理を実装する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | 構成変更制御の監査を実行する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.4 | 顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.5 | 勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。 | インシデント レスポンス計画を策定する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.5 | 勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。 | セキュリティ運用を文書化する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.5 | 勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。 | ネットワーク保護を有効にする | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.5 | 勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。 | 汚染された情報の根絶 | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.5 | 勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。 | インシデント対応機能と外部プロバイダー間の関係を確立する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.5 | 勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.5 | 勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。 | インシデント対応の担当者を特定する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.5 | 勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。 | インシデント処理を実装する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.5 | 勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。 | 脅威に関する傾向分析を実行する | 1.1.0 |
| 11.重大な障害が発生した場合の監視 | 11.5 | 勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 12.ナレッジが利用可能であることを確認する | 12.1 | SWIFT 認定従業員による顧客へのサービスの品質を確認する。 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 12.ナレッジが利用可能であることを確認する | 12.1 | SWIFT 認定従業員による顧客へのサービスの品質を確認する。 | ロール ベースのセキュリティのトレーニングを提供する | 1.1.0 |
| 12.ナレッジが利用可能であることを確認する | 12.1 | SWIFT 認定従業員による顧客へのサービスの品質を確認する。 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
System and Organization Controls (SOC) 2
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、System and Organization Controls (SOC) 2 についての Azure Policy の規制コンプライアンスの詳細に関するページを参照してください。 このコンプライアンス標準の詳細については、「System and Organization Controls (SOC) 2」を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 可用性に関する追加条件 | A1.1 | 容量管理 | キャパシティ プランニングの実施 | 1.1.0 |
| 可用性に関する追加条件 | A1.2 | 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ | 自動非常用照明を使用する | 1.1.0 |
| 可用性に関する追加条件 | A1.2 | 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ | 代替処理サイトを確立する | 1.1.0 |
| 可用性に関する追加条件 | A1.2 | 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ | 侵入テスト方法を実装する | 1.1.0 |
| 可用性に関する追加条件 | A1.2 | 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 可用性に関する追加条件 | A1.2 | 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ | アラーム システムをインストールする | 1.1.0 |
| 可用性に関する追加条件 | A1.2 | 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ | 中断後にリソースを回復して再構成する | 1.1.1 |
| 可用性に関する追加条件 | A1.2 | 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ | シミュレーション攻撃の実行 | 1.1.0 |
| 可用性に関する追加条件 | A1.2 | 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ | バックアップ情報を個別に保存する | 1.1.0 |
| 可用性に関する追加条件 | A1.2 | 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ | 代替ストレージ サイトにバックアップ情報を転送する | 1.1.0 |
| 可用性に関する追加条件 | A1.3 | 復旧計画のテスト | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| 可用性に関する追加条件 | A1.3 | 復旧計画のテスト | 代替計画テストの修正操作を開始する | 1.1.0 |
| 可用性に関する追加条件 | A1.3 | 復旧計画のテスト | 代替計画テストの結果を確認する | 1.1.0 |
| 可用性に関する追加条件 | A1.3 | 復旧計画のテスト | 事業継続とディザスター リカバリーの計画をテストする | 1.1.0 |
| 機密性に関する追加条件 | C1.1 | 機密情報の保護 | 物理的なアクセスを制御する | 1.1.0 |
| 機密性に関する追加条件 | C1.1 | 機密情報の保護 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 機密性に関する追加条件 | C1.1 | 機密情報の保護 | ラベル アクティビティと分析を確認する | 1.1.0 |
| 機密性に関する追加条件 | C1.2 | 機密情報の破棄 | 物理的なアクセスを制御する | 1.1.0 |
| 機密性に関する追加条件 | C1.2 | 機密情報の破棄 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 機密性に関する追加条件 | C1.2 | 機密情報の破棄 | ラベル アクティビティと分析を確認する | 1.1.0 |
| 制御環境 | CC1.1 | COSO 原則 1 | 利用規約と手順を作成する | 1.1.0 |
| 制御環境 | CC1.1 | COSO 原則 1 | 組織の行動規範に関するポリシーを作成する | 1.1.0 |
| 制御環境 | CC1.1 | COSO 原則 1 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| 制御環境 | CC1.1 | COSO 原則 1 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 制御環境 | CC1.1 | COSO 原則 1 | 不正行為を禁止する | 1.1.0 |
| 制御環境 | CC1.1 | COSO 原則 1 | 改訂された行動規範を確認して署名する | 1.1.0 |
| 制御環境 | CC1.1 | COSO 原則 1 | 行動規範とアクセス契約を更新する | 1.1.0 |
| 制御環境 | CC1.1 | COSO 原則 1 | 3 年ごとに行動規範とアクセス契約を更新する | 1.1.0 |
| 制御環境 | CC1.2 | COSO 原則 2 | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 制御環境 | CC1.2 | COSO 原則 2 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 制御環境 | CC1.2 | COSO 原則 2 | リスク管理戦略の確立 | 1.1.0 |
| 制御環境 | CC1.2 | COSO 原則 2 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 制御環境 | CC1.2 | COSO 原則 2 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 制御環境 | CC1.3 | COSO 原則 3 | 上級情報セキュリティ責任者を任命する | 1.1.0 |
| 制御環境 | CC1.3 | COSO 原則 3 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| 制御環境 | CC1.3 | COSO 原則 3 | リスク管理戦略の確立 | 1.1.0 |
| 制御環境 | CC1.3 | COSO 原則 3 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| 制御環境 | CC1.3 | COSO 原則 3 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| 制御環境 | CC1.4 | COSO 原則 4 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| 制御環境 | CC1.4 | COSO 原則 4 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| 制御環境 | CC1.4 | COSO 原則 4 | ロールベースの実用的な演習を提供する | 1.1.0 |
| 制御環境 | CC1.4 | COSO 原則 4 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| 制御環境 | CC1.4 | COSO 原則 4 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| 制御環境 | CC1.5 | COSO 原則 5 | 利用規約と手順を作成する | 1.1.0 |
| 制御環境 | CC1.5 | COSO 原則 5 | 行動規範とアクセス契約を適用する | 1.1.0 |
| 制御環境 | CC1.5 | COSO 原則 5 | 正式な制裁プロセスを実装する | 1.1.0 |
| 制御環境 | CC1.5 | COSO 原則 5 | 承認時に担当者に通知する | 1.1.0 |
| コミュニケーションと情報 | CC2.1 | COSO 原則 13 | 物理的なアクセスを制御する | 1.1.0 |
| コミュニケーションと情報 | CC2.1 | COSO 原則 13 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| コミュニケーションと情報 | CC2.1 | COSO 原則 13 | ラベル アクティビティと分析を確認する | 1.1.0 |
| コミュニケーションと情報 | CC2.2 | COSO 原則 14 | 利用規約と手順を作成する | 1.1.0 |
| コミュニケーションと情報 | CC2.2 | COSO 原則 14 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| コミュニケーションと情報 | CC2.2 | COSO 原則 14 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| コミュニケーションと情報 | CC2.2 | COSO 原則 14 | 行動規範とアクセス契約を適用する | 1.1.0 |
| コミュニケーションと情報 | CC2.2 | COSO 原則 14 | 定期的なロールベースのセキュリティ トレーニングを提供する | 1.1.0 |
| コミュニケーションと情報 | CC2.2 | COSO 原則 14 | 定期的なセキュリティ認識トレーニングの提供 | 1.1.0 |
| コミュニケーションと情報 | CC2.2 | COSO 原則 14 | アクセスを提供する前にセキュリティ トレーニングを提供する | 1.1.0 |
| コミュニケーションと情報 | CC2.2 | COSO 原則 14 | 新しいユーザーにセキュリティ トレーニングを提供する | 1.1.0 |
| コミュニケーションと情報 | CC2.2 | COSO 原則 14 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | データ処理者の職務を定義する | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | セキュリティ評価の結果を配信する | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | システム セキュリティ プランの作成と確立 | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | 接続されたデバイスの製造に関するセキュリティ要件を確立する | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | 情報システムのセキュリティ エンジニアリングの原則を実装する | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | セキュリティ評価レポートの生成 | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | プライバシーに関する通知を行う | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | 通信を制限する | 1.1.0 |
| コミュニケーションと情報 | CC2.3 | COSO 原則 15 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| リスク評価 | CC3.1 | COSO 原則 6 | 情報の分類 | 1.1.0 |
| リスク評価 | CC3.1 | COSO 原則 6 | 情報保護のニーズを把握する | 1.1.0 |
| リスク評価 | CC3.1 | COSO 原則 6 | ビジネス分類スキームを作成する | 1.1.0 |
| リスク評価 | CC3.1 | COSO 原則 6 | 基準を満たす SSP の開発 | 1.1.0 |
| リスク評価 | CC3.1 | COSO 原則 6 | リスク管理戦略の確立 | 1.1.0 |
| リスク評価 | CC3.1 | COSO 原則 6 | リスク評価を実行する | 1.1.0 |
| リスク評価 | CC3.1 | COSO 原則 6 | ラベル アクティビティと分析を確認する | 1.1.0 |
| リスク評価 | CC3.2 | COSO 原則 7 | 情報の分類 | 1.1.0 |
| リスク評価 | CC3.2 | COSO 原則 7 | 情報保護のニーズを把握する | 1.1.0 |
| リスク評価 | CC3.2 | COSO 原則 7 | ビジネス分類スキームを作成する | 1.1.0 |
| リスク評価 | CC3.2 | COSO 原則 7 | リスク管理戦略の確立 | 1.1.0 |
| リスク評価 | CC3.2 | COSO 原則 7 | リスク評価を実行する | 1.1.0 |
| リスク評価 | CC3.2 | COSO 原則 7 | 脆弱性スキャンを実行する | 1.1.0 |
| リスク評価 | CC3.2 | COSO 原則 7 | 情報システムの欠陥を修復する | 1.1.0 |
| リスク評価 | CC3.2 | COSO 原則 7 | ラベル アクティビティと分析を確認する | 1.1.0 |
| リスク評価 | CC3.3 | COSO 原則 8 | リスク評価を実行する | 1.1.0 |
| リスク評価 | CC3.4 | COSO 原則 9 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| リスク評価 | CC3.4 | COSO 原則 9 | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| リスク評価 | CC3.4 | COSO 原則 9 | サプライヤー契約の義務を決定する | 1.1.0 |
| リスク評価 | CC3.4 | COSO 原則 9 | リスク管理戦略の確立 | 1.1.0 |
| リスク評価 | CC3.4 | COSO 原則 9 | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| リスク評価 | CC3.4 | COSO 原則 9 | リスク評価を実行する | 1.1.0 |
| 監視アクティビティ | CC4.1 | COSO 原則 16 | キュリティ コントロールの評価 | 1.1.0 |
| 監視アクティビティ | CC4.1 | COSO 原則 16 | セキュリティ評価計画の作成 | 1.1.0 |
| 監視アクティビティ | CC4.1 | COSO 原則 16 | セキュリティ制御評価の追加テストを選択する | 1.1.0 |
| 監視アクティビティ | CC4.2 | COSO 原則 17 | セキュリティ評価の結果を配信する | 1.1.0 |
| 監視アクティビティ | CC4.2 | COSO 原則 17 | セキュリティ評価レポートの生成 | 1.1.0 |
| 制御アクティビティ | CC5.1 | COSO 原則 10 | リスク管理戦略の確立 | 1.1.0 |
| 制御アクティビティ | CC5.1 | COSO 原則 10 | リスク評価を実行する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | アクセス制御モデルを設計する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | サプライヤー契約の義務を決定する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 最小特権アクセスを使用する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | リスク評価を実行する | 1.1.0 |
| 制御アクティビティ | CC5.2 | COSO 原則 11 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 制御アクティビティ | CC5.3 | COSO 原則 12 | 検出ホワイトリストを構成する | 1.1.0 |
| 制御アクティビティ | CC5.3 | COSO 原則 12 | リスク評価を実行する | 1.1.0 |
| 制御アクティビティ | CC5.3 | COSO 原則 12 | エンドポイント セキュリティ ソリューションのセンサーをオンにする | 1.1.0 |
| 制御アクティビティ | CC5.3 | COSO 原則 12 | 個別のセキュリティ レビューを適用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 生体認証メカニズムを採用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | セキュリティ機能と情報へのアクセスを認可する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | アクセスを認可および管理する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | リモート アクセスを認可する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 情報フローを制御する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 物理的なアクセスを制御する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | データ インベントリを作成する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 物理キーの管理プロセスを定義する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 暗号化の使用を定義する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 暗号化キーを管理するための組織要件を定義する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | アクセス制御モデルを設計する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | アサーション要件を決定する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | モビリティ トレーニングを文書化する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 最小特権アクセスを使用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 論理アクセスを強制する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 必須および任意のアクセス制御ポリシーを適用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | データ漏えいの管理手順を確立する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 公開キー証明書を発行する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 個人データの処理に関する記録を保持する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 対称暗号化キーを管理する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 特別な情報を保護する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | アカウント作成の承認を必要とする | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 秘密キーへのアクセスを制限する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 機密データにアクセスできるユーザー グループとアプリケーションを確認する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | アカウント マネージャーの割り当て | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | アクセス特権の文書化 | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | ロール メンバーシップの条件を確立する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | アカウント作成の承認を必要とする | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.2 | アクセスのプロビジョニングと削除 | ユーザー アカウントを確認する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | サブスクリプションには最大 3 人の所有者を指定する必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | 特権機能を監査する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | ユーザー アカウントの状態を監査する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | アクセス制御モデルを設計する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | 最小特権アクセスを使用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | 特権ロールの割り当てを監視する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | 特権アカウントへのアクセスを制限する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | アカウント プロビジョニングのログを確認する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | ユーザー アカウントを確認する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | ユーザー特権を確認する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | 必要に応じて特権ロールを取り消す | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | 複数の所有者がサブスクリプションに割り当てられている必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | 特権 ID 管理を使用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.4 | 制限された物理的なアクセス | 物理的なアクセスを制御する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.5 | 物理的な資産に対する論理的および物理的な保護 | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.5 | 物理的な資産に対する論理的および物理的な保護 | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 生体認証メカニズムを採用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | リモート アクセスを認可する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 情報フローを制御する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | モビリティ トレーニングを文書化する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | リモート アクセスのガイドラインを文書化する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | ネットワーク デバイスを識別して認証する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | システム境界の保護を実装する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | システムのログオンまたはアクセスをユーザーに通知する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | プライバシーに関するトレーニングを提供する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | デジタル証明書を確認するようにワークステーションを構成する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | 情報フローを制御する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | モバイル デバイスの要件を定義する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | メディアのサニタイズ メカニズムを使用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | 暗号化された情報のフロー制御メカニズムを使用する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | ファイアウォールとルーターの構成標準を確立する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | カード所有者データ環境のネットワークのセグメント化を確立する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | ダウンストリームの情報交換を識別して管理する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | 資産の輸送を管理する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | 暗号化を使用して転送中のデータを保護する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | 暗号化を使用してパスワードを保護する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | USB から実行された信頼されていない署名なしのプロセスをブロックする | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | ゲートウェイを管理する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 脅威に関する傾向分析を実行する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 脆弱性スキャンを実行する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | マルウェア検出レポートを毎週確認する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 脅威に対する保護の状態を毎週確認する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | ウイルス対策定義を更新する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | システム診断データを表示して構成する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | ベースライン構成を作成して維持する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | ネットワーク デバイスの検出を有効にする | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | セキュリティ構成の設定を適用する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | 構成コントロール ボードを設立する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | 構成管理計画を策定して文書化する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | 自動構成管理ツールを実装する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | 脆弱性スキャンを実行する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | 情報システムの欠陥を修復する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | ソフトウェア、ファームウェア、情報の整合性を検証する | 1.1.0 |
| システムの操作 | CC7.1 | 新しい脆弱性の検出と監視 | システム診断データを表示して構成する | 1.1.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | 特定の管理操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | 特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある | 3.0.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | 特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある | 1.0.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | Azure Defender for App Service を有効にする必要がある | 1.0.3 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | Azure Defender for Azure SQL Database サーバーを有効にする必要がある | 1.0.2 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | Azure Defender for Key Vault を有効にする必要がある | 1.0.3 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | オープンソース リレーショナル データベース用 Azure Defender を有効にする必要がある | 1.0.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | Azure Defender for Resource Manager を有効にする必要がある | 1.0.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | サーバー用 Azure Defender を有効にする必要がある | 1.0.3 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | Azure Defender for SQL servers on machines を有効にする必要がある | 1.0.2 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | 認可または承認されていないネットワーク サービスを検出する | 1.1.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | 監査処理アクティビティを管理および監視する | 1.1.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | Microsoft Defender for Containers を有効にする必要がある | 1.0.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | Microsoft Defender for Storageを有効にする必要があります | 1.0.0 |
| システムの操作 | CC7.2 | システム コンポーネントの異常な動作を監視する | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムの操作 | CC7.3 | セキュリティ インシデントの検出 | インシデント対応ポリシーと手順の確認と更新 | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | 情報セキュリティ イベントを評価する | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | インシデント レスポンス計画を策定する | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | セキュリティ セーフガードの開発 | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | ネットワーク保護を有効にする | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | 汚染された情報の根絶 | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | 実行されたインシデントとアクションのクラスの識別 | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | インシデント処理を実装する | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | 顧客がデプロイしたリソースの動的な再構成を含める | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | インシデント対応計画を維持する | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| システムの操作 | CC7.4 | セキュリティ インシデントへの対応 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | 情報セキュリティ イベントを評価する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | インシデント対応テストを実施する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | コンティンジェンシー計画を関連する計画に合わせて調整する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | 外部組織と連携して組織間の視点を実現する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | インシデント レスポンス計画を策定する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | セキュリティ セーフガードの開発 | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | 重要度 - 高のアラートの電子メール通知を有効にする必要がある | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | 2.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | ネットワーク保護を有効にする | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | 汚染された情報の根絶 | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | 情報セキュリティ プログラムを確立する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | 情報の流出に応じてアクションを実行する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | インシデント処理を実装する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | インシデント対応計画を維持する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | 脅威に関する傾向分析を実行する | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | シミュレーション攻撃の実行 | 1.1.0 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | 1.0.1 |
| システムの操作 | CC7.5 | 特定されたセキュリティ インシデントからの復旧 | 制限のあるユーザーを表示して調査する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | セキュリティへの影響分析を実施する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 非準拠のデバイスに対するアクションを構成する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 脆弱性の管理標準を作成して維持する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | ベースライン構成を作成して維持する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | セキュリティ構成の設定を適用する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 構成コントロール ボードを設立する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | リスク管理戦略の確立 | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 構成管理計画を策定して文書化する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 変更制御プロセスを確立して文書化する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 開発者向けの構成管理要件を確立する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 自動構成管理ツールを実装する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | プライバシー影響評価を実行する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | リスク評価を実行する | 1.1.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 構成変更制御の監査を実行する | 1.1.0 |
| リスク軽減 | CC9.1 | リスク軽減アクティビティ | 情報保護のニーズを把握する | 1.1.0 |
| リスク軽減 | CC9.1 | リスク軽減アクティビティ | リスク管理戦略の確立 | 1.1.0 |
| リスク軽減 | CC9.1 | リスク軽減アクティビティ | リスク評価を実行する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | サード パーティとの関係性におけるリスクを評価する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | 商品とサービスを提供するための要件を定義する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | データ処理者の職務を定義する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | サプライヤー契約の義務を決定する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | サプライ チェーン リスク管理に関するポリシーを確立する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | サードパーティの担当者のセキュリティ要件を確立する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | サードパーティー プロバイダーのコンプライアンスをモニターする | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | サードパーティに対する PII の開示を記録する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | サードパーティ プロバイダーに対して、職員のセキュリティ ポリシーと手順への準拠を要求する | 1.1.0 |
| リスク軽減 | CC9.2 | ベンダーとビジネス パートナーのリスク管理 | PII 共有とその結果に関するスタッフのトレーニング | 1.1.0 |
| プライバシーに関する追加条件 | P1.1 | プライバシー通知 | プライバシー ポリシーの文書化と配布 | 1.1.0 |
| プライバシーに関する追加条件 | P1.1 | プライバシー通知 | プライバシー プログラムの情報が一般公開されていることを確認する | 1.1.0 |
| プライバシーに関する追加条件 | P1.1 | プライバシー通知 | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| プライバシーに関する追加条件 | P1.1 | プライバシー通知 | プライバシーに関する通知を行う | 1.1.0 |
| プライバシーに関する追加条件 | P1.1 | プライバシー通知 | 一般ユーザーおよび個人にプライバシーに関する通知を提供する | 1.1.0 |
| プライバシーに関する追加条件 | P2.1 | プライバシーに関する同意 | プライバシー要件の職員の同意を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P2.1 | プライバシーに関する同意 | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| プライバシーに関する追加条件 | P2.1 | プライバシーに関する同意 | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| プライバシーに関する追加条件 | P2.1 | プライバシーに関する同意 | プライバシーに関する通知を行う | 1.1.0 |
| プライバシーに関する追加条件 | P3.1 | 一貫性のある個人情報の収集 | PII を収集する法的権限の決定 | 1.1.0 |
| プライバシーに関する追加条件 | P3.1 | 一貫性のある個人情報の収集 | PII の整合性を確保するための手順を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P3.1 | 一貫性のある個人情報の収集 | PII の保有を定期的に評価して確認する | 1.1.0 |
| プライバシーに関する追加条件 | P3.1 | 一貫性のある個人情報の収集 | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| プライバシーに関する追加条件 | P3.2 | 個人情報の明示的な同意 | 個人から PII を直接収集する | 1.1.0 |
| プライバシーに関する追加条件 | P3.2 | 個人情報の明示的な同意 | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| プライバシーに関する追加条件 | P4.1 | 個人情報の使用 | 個人情報を処理するための法的根拠を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P4.1 | 個人情報の使用 | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| プライバシーに関する追加条件 | P4.1 | 個人情報の使用 | 個人データを収集または処理する前に同意を得る | 1.1.0 |
| プライバシーに関する追加条件 | P4.1 | 個人情報の使用 | プライバシーに関する通知を行う | 1.1.0 |
| プライバシーに関する追加条件 | P4.1 | 個人情報の使用 | 通信を制限する | 1.1.0 |
| プライバシーに関する追加条件 | P4.2 | 個人情報の保持 | 定義されている保持期間に従う | 1.1.0 |
| プライバシーに関する追加条件 | P4.2 | 個人情報の保持 | PII の整合性を確保するための手順を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P4.3 | 個人情報の破棄 | 処理確認を実行する | 1.1.0 |
| プライバシーに関する追加条件 | P4.3 | 個人情報の破棄 | 処理の終わりに個人データが削除されたことを確認する | 1.1.0 |
| プライバシーに関する追加条件 | P5.1 | 個人情報へのアクセス | コンシューマー リクエストのためのメソッドを実装する | 1.1.0 |
| プライバシーに関する追加条件 | P5.1 | 個人情報へのアクセス | プライバシーに関する法律の記録にアクセスするルールと規制を公開する | 1.1.0 |
| プライバシーに関する追加条件 | P5.2 | 個人情報の訂正 | 訂正リクエストに応答する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | データ処理者の職務を定義する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | サプライヤー契約の義務を決定する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | 契約社員とサービス プロバイダーのプライバシー要件を確立する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | サードパーティに対する PII の開示を記録する | 1.1.0 |
| プライバシーに関する追加条件 | P6.1 | 個人情報の第三者への開示 | PII 共有とその結果に関するスタッフのトレーニング | 1.1.0 |
| プライバシーに関する追加条件 | P6.2 | 個人情報記録の承認された開示 | 情報の開示を正確に把握する | 1.1.0 |
| プライバシーに関する追加条件 | P6.3 | 個人情報記録の不正開示 | 情報の開示を正確に把握する | 1.1.0 |
| プライバシーに関する追加条件 | P6.4 | サード パーティ契約 | データ処理者の職務を定義する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | サプライヤー契約の義務を決定する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | 取得契約の受け入れ基準を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | 買収契約における個人データの保護を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | 取得契約におけるセキュリティ情報の保護を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | 契約における共有データの使用に関する要件を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | 買収契約におけるセキュリティ アシュアランス要件を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | 買収契約におけるセキュリティのドキュメント要件を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | 買収契約におけるセキュリティ機能要件を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | 買収契約におけるセキュリティ強度要件を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | 買収契約における情報システム環境を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | サード パーティの契約におけるカード所有者データの保護を文書化する | 1.1.0 |
| プライバシーに関する追加条件 | P6.5 | サード パーティの不正開示通知 | 情報セキュリティと個人データの保護 | 1.1.0 |
| プライバシーに関する追加条件 | P6.6 | プライバシー インシデントの通知 | インシデント レスポンス計画を策定する | 1.1.0 |
| プライバシーに関する追加条件 | P6.6 | プライバシー インシデントの通知 | 情報セキュリティと個人データの保護 | 1.1.0 |
| プライバシーに関する追加条件 | P6.7 | 個人情報の開示に関する会計処理 | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| プライバシーに関する追加条件 | P6.7 | 個人情報の開示に関する会計処理 | 情報の開示を正確に把握する | 1.1.0 |
| プライバシーに関する追加条件 | P6.7 | 個人情報の開示に関する会計処理 | 開示の会計処理を要求に応じて利用できるようにする | 1.1.0 |
| プライバシーに関する追加条件 | P6.7 | 個人情報の開示に関する会計処理 | プライバシーに関する通知を行う | 1.1.0 |
| プライバシーに関する追加条件 | P6.7 | 個人情報の開示に関する会計処理 | 通信を制限する | 1.1.0 |
| プライバシーに関する追加条件 | P7.1 | 個人情報の品質 | PII の品質と整合性を確認する | 1.1.0 |
| プライバシーに関する追加条件 | P7.1 | 個人情報の品質 | データの品質と整合性を確保するためのガイドラインを発行する | 1.1.0 |
| プライバシーに関する追加条件 | P7.1 | 個人情報の品質 | 不正確または古くなった PII を確認する | 1.1.0 |
| プライバシーに関する追加条件 | P8.1 | プライバシーに関する苦情処理とコンプライアンス管理 | プライバシーに関する苦情の手順を文書化して実装する | 1.1.0 |
| プライバシーに関する追加条件 | P8.1 | プライバシーに関する苦情処理とコンプライアンス管理 | PII の保有を定期的に評価して確認する | 1.1.0 |
| プライバシーに関する追加条件 | P8.1 | プライバシーに関する苦情処理とコンプライアンス管理 | 情報セキュリティと個人データの保護 | 1.1.0 |
| プライバシーに関する追加条件 | P8.1 | プライバシーに関する苦情処理とコンプライアンス管理 | 苦情、懸念事項、または質問にタイムリーに対応する | 1.1.0 |
| プライバシーに関する追加条件 | P8.1 | プライバシーに関する苦情処理とコンプライアンス管理 | PII 共有とその結果に関するスタッフのトレーニング | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.1 | データ処理の定義 | プライバシーに関する通知の配信方法を導入する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.1 | データ処理の定義 | プライバシーに関する通知を行う | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.1 | データ処理の定義 | 通信を制限する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.2 | 完全性と精度に対するシステム入力 | 情報入力の検証を実行 | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.3 | システム処理 | 物理的なアクセスを制御する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.3 | システム処理 | エラー メッセージの生成 | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.3 | システム処理 | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.3 | システム処理 | 情報入力の検証を実行 | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.3 | システム処理 | ラベル アクティビティと分析を確認する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.4 | システム出力は完全、正確、タイムリーである | 物理的なアクセスを制御する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.4 | システム出力は完全、正確、タイムリーである | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.4 | システム出力は完全、正確、タイムリーである | ラベル アクティビティと分析を確認する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.5 | 入出力を完全、正確、適切に保存する | 物理的なアクセスを制御する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.5 | 入出力を完全、正確、適切に保存する | バックアップのポリシーと手順を確立する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.5 | 入出力を完全、正確、適切に保存する | すべてのメディアをセキュリティで保護するためのコントロールを実装する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.5 | 入出力を完全、正確、適切に保存する | データの入力、出力、処理、ストレージを管理する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.5 | 入出力を完全、正確、適切に保存する | ラベル アクティビティと分析を確認する | 1.1.0 |
| 処理整合性に関する追加条件 | PI1.5 | 入出力を完全、正確、適切に保存する | バックアップ情報を個別に保存する | 1.1.0 |
UK OFFICIAL および UK NHS
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - UK OFFICIAL および UK NHS に関する記事をご覧ください。 このコンプライアンス標準の詳細については、UK OFFICIAL に関するドキュメントをご覧ください。
次のステップ
- Azure Policy の規制コンプライアンスの詳細を確認します。
- Azure Policy GitHub リポジトリのビルトインを参照します。