エンタープライズ規模のセキュリティ ガバナンスとコンプライアンスEnterprise-scale security governance and compliance

この記事では、暗号化とキー管理の定義、ガバナンスの計画、セキュリティの監視と監査ポリシーの定義、プラットフォーム セキュリティの計画について説明します。This article covers defining encryption and key management, planning for governance, defining security monitoring and an audit policy, and planning for platform security. 記事の最後に、Azure サービスのエンタープライズ セキュリティの準備状況を評価するためのフレームワークについて説明した表を掲載します。At the end of the article, you can refer to a table that describes a framework to assess enterprise security readiness of Azure services.

暗号化とキー管理を定義するDefine encryption and key management

暗号化は、Microsoft Azure でデータのプライバシー、コンプライアンス、データ所在地を確保するための重要な手順です。Encryption is a vital step toward ensuring data privacy, compliance, and data residency in Microsoft Azure. また、多くの企業にとって、最も重要なセキュリティに関する考慮事項の 1 つでもあります。It's also one of the most important security concerns of many enterprises. このセクションでは、暗号化とキー管理に関連する設計上の考慮事項と推奨事項について説明します。This section covers design considerations and recommendations as they pertain to encryption and key management.

設計上の考慮事項Design considerations

  • Azure Key Vault に適用されるサブスクリプションとスケールの制限:Key Vault には、キーとシークレットのトランザクション制限があります。Subscription and scale limits as they apply to Azure Key Vault: Key Vault has transaction limits for keys and secrets. 特定期間内のコンテナーごとのトランザクションを調整するには、Azure の制限に関するページを参照してください。To throttle transactions per vault in a certain period, see Azure limits.

  • キー、シークレット、証明書のアクセス許可はコンテナー レベルであるため、Key Vault はセキュリティ境界として機能します。Key Vault serves a security boundary because access permissions for keys, secrets, and certificates are at the vault level. Key Vault アクセス ポリシーの割り当てにより、キー、シークレット、または証明書へのアクセス許可が個別に付与されます。Key Vault access policy assignments grant permissions separately to keys, secrets, or certificates. これらによって、特定のキー、シークレット、または証明書など、オブジェクト レベルのきめ細かなアクセス許可はサポートされていません (キー管理)。They don't support granular, object-level permissions like a specific key, secret, or certificate key management.

  • 必要に応じて、アプリケーション固有とワークロード固有のシークレットと共有シークレットを分離できます (アクセス制御)。You can isolate application-specific and workload-specific secrets and shared secrets, as appropriate control access.

  • ハードウェア セキュリティ モジュールで保護されたキーが必要な場合は、Premium SKU を最適化できます。You can optimize premium SKUs where hardware-security-module-protected keys are required. 基となるハードウェア セキュリティ モジュール (HSM) は、FIPS 140-2 レベル 2 に準拠しています。Underlying hardware security modules (HSMs) are FIPS 140-2 level 2 compliant. サポートされているシナリオを考慮して、FIPS 140-2 レベル 3 に準拠するように Azure 専用 HSM を管理します。Manage Azure dedicated HSM for FIPS 140-2 level 3 compliance by considering the supported scenarios.

  • キーのローテーションとシークレットの有効期限。Key rotation and secret expiration.

    • Key Vault を使用した、証明書の調達と署名: 証明書についてCertificate procurement and signing by using Key Vault about certificates.
    • アラートまたは通知と証明書の自動更新。Alerting/notifications and automated certificate renewals.
  • キー、証明書、およびシークレットのディザスター リカバリーの要件。Disaster recovery requirements for keys, certificates, and secrets.

    Key Vault サービスのレプリケーションとフェールオーバー機能: 可用性と冗長性Key Vault service replication and failover capabilities: availability and redundancy.

  • キー、証明書、シークレットの使用状況の監視。Monitoring key, certificate, and secret usage.

    キー コンテナーまたは Azure Monitor Log Analytics ワークスペースを使用した不正アクセスの検出: 監視とアラートDetecting unauthorized access by using a key vault or Azure Monitor Log Analytics workspace: monitoring and alerting.

  • 委任された Key Vault のインスタンス化と特権アクセス: セキュリティで保護されたアクセスDelegated Key Vault instantiation and privileged access: secure access.

  • Azure Storage 暗号化などのネイティブな暗号化メカニズムにカスタマー マネージド キーを使用するための要件:Requirements for using customer-managed keys for native encryption mechanisms such as Azure Storage encryption:

設計の推奨事項Design recommendations

  • トランザクション スケールの制限を回避するために、フェデレーション Azure Key Vault モデルを使用します。Use a federated Azure Key Vault model to avoid transaction scale limits.

  • 削除されたオブジェクトのリテンション期間の保護を可能にするために、論理的な削除と消去のポリシーを有効にして Azure Key Vault をプロビジョニングします。Provision Azure Key Vault with the soft delete and purge policies enabled to allow retention protection for deleted objects.

  • キー、シークレット、証明書を完全に削除する承認を、特別なカスタム Azure Active Directory (Azure AD) ロールに制限して、最小限の特権モデルに従います。Follow a least privilege model by limiting authorization to permanently delete keys, secrets, and certificates to specialized custom Azure Active Directory (Azure AD) roles.

  • 管理を容易にするために、公開証明機関を使用して証明書の管理と更新プロセスを自動化します。Automate the certificate management and renewal process with public certificate authorities to ease administration.

  • キーと証明書のローテーションの自動化プロセスを確立します。Establish an automated process for key and certificate rotation.

  • コンテナーに対してファイアウォールと仮想ネットワーク サービス エンドポイントを有効にして、キー コンテナーへのアクセスを制御します。Enable firewall and virtual network service endpoint on the vault to control access to the key vault.

  • プラットフォーム中心の Azure Monitor Log Analytics ワークスペースを使用して、Key Vault の各インスタンス内のキー、証明書、シークレットの使用状況を監査します。Use the platform-central Azure Monitor Log Analytics workspace to audit key, certificate, and secret usage within each instance of Key Vault.

  • Key Vault のインスタンス化と特権アクセスを委任し、Azure Policy を使用して一貫性のある準拠構成を適用します。Delegate Key Vault instantiation and privileged access and use Azure Policy to enforce a consistent compliant configuration.

  • 既定で主要な暗号化機能には Microsoft マネージド キーが使用され、必要に応じてカスタマーマネージド キーが使用されます。Default to Microsoft-managed keys for principal encryption functionality and use customer-managed keys when required.

  • アプリケーション キーまたはシークレットには、Key Vault の集中インスタンスを使用しないでください。Don't use centralized instances of Key Vault for application keys or secrets.

  • 環境全体でのシークレットの共有を避けるため、アプリケーション間で Key Vault インスタンスを共有しないでください。Don't share Key Vault instances between applications to avoid secret sharing across environments.

ガバナンスを計画するPlan for governance

ガバナンスは、Azure のアプリケーションとリソースに対するコントロールを維持するメカニズムとプロセスを提供します。Governance provides mechanisms and processes to maintain control over your applications and resources in Azure. Azure ポリシーは、企業の技術資産内のセキュリティとコンプライアンスを確保するために不可欠です。Azure Policy is essential to ensuring security and compliance within enterprise technical estates. Azure プラットフォーム サービス全体に重要な管理とセキュリティの規則を適用でき、承認されたユーザーが実行できるアクションを制御するロールベースのアクセス制御 (RBAC) を補うことができます。It can enforce vital management and security conventions across Azure platform services and supplement role-based access control (RBAC) that controls what actions authorized users can perform.

設計上の考慮事項Design considerations

  • 必要な Azure ポリシーを決定します。Determine what Azure policies are needed.

  • プライベート エンドポイントの使用などの管理およびセキュリティ規則を適用します。Enforce management and security conventions, such as the use of private endpoints.

  • 継承された複数の割り当てスコープで再利用できるポリシー定義を使用して、ポリシー割り当てを管理および作成します。Manage and create policy assignments by using policy definitions can be reused at multiple inherited assignment scopes. 管理グループ、サブスクリプション、リソース グループのスコープで、一元的なベースライン ポリシーを割り当てることができます。You can have centralized, baseline policy assignments at management group, subscription, and resource group scopes.

  • コンプライアンス レポートと監査を使用して、継続的なコンプライアンスを確保します。Ensure continuous compliance with compliance reporting and auditing.

  • Azure Policy には、特定のスコープでの定義の制限など、制限があることを理解します (ポリシーの制限)。Understand that Azure Policy has limits, such as the restriction of definitions at any particular scope: policy limits.

  • 規制コンプライアンス ポリシーを理解します。Understand regulatory compliance policies. これらには、健康保険の携帯性と説明責任に関する法律、クレジット カード業界、データ セキュリティ基準、サービス組織制御信頼サービス プリンシパルおよび基準などが含まれます。These might include the health insurance portability and accountability act, payment card industry, data security standards, service organization controls trust service principals, and criteria.

設計の推奨事項Design recommendations

  • 必要な Azure タグを特定し、追加ポリシー モードを使用して使用法を適用します。Identify required Azure tags and use the append policy mode to enforce usage.

  • 規制およびコンプライアンスの要件を、Azure Policy 定義と Azure AD RBAC の割り当てにマッピングします。Map regulatory and compliance requirements to Azure Policy definitions and Azure AD RBAC assignments.

  • 継承されたスコープで割り当てることができるように、最上位レベルのルート管理グループで Azure Policy 定義を確立します。Establish Azure Policy definitions at the top-level root management group so that they can be assigned at inherited scopes.

  • 必要に応じて、最下位レベルでの除外を使用して、最適なレベルでポリシーの割り当てを管理します。Manage policy assignments at the highest appropriate level with exclusions at bottom levels, if required.

  • Azure Policy を使用して、サブスクリプションまたは管理グループ、またはその両方のレベルでリソース プロバイダーの登録を制御します。Use Azure Policy to control resource provider registrations at the subscription and/or management group levels.

  • 可能な場合は組み込みポリシーを使用して、運用上のオーバーヘッドを最小限に抑えます。Use built-in policies where possible to minimize operational overhead.

  • 組み込みのポリシー共同作成者ロールを特定のスコープに割り当てて、アプリケーションレベルのガバナンスを有効にします。Assign the built-in policy contributor role at a particular scope to enable application-level governance.

  • 継承されたスコープでの除外による管理を回避するために、ルート管理グループ スコープで行われる Azure Policy 割り当ての数を制限します。Limit the number of Azure Policy assignments made at the root management group scope to avoid managing through exclusions at inherited scopes.

セキュリティの監視と監査ポリシーを定義するDefine security monitoring and an audit policy

企業は、技術的なクラウド資産内で何が起こっているかを把握する必要があります。An enterprise must have visibility into what's happening within their technical cloud estate. Azure プラットフォーム サービスのセキュリティの監視と監査ログは、スケーラブルなフレームワークの主要コンポーネントです。Security monitoring and audit logging of Azure platform services is a key component of a scalable framework.

設計上の考慮事項Design considerations

  • 監査データのデータ保持期間。Data retention periods for audit data. Azure AD Premium レポートの保持期間は、30 日です。Azure AD Premium reports have a 30-day retention period.

  • Azure アクティビティ ログ、VM ログ、サービスとしてのプラットフォーム (PaaS) ログなどのログの長期アーカイブ。Long-term archiving of logs such as Azure activity logs, VM logs, and platform as a service (PaaS) logs.

  • Azure のゲスト内 VM ポリシーによるベースライン セキュリティ構成。Baseline security configuration via Azure in-guest VM policy.

  • 重大な脆弱性に対する緊急パッチ。Emergency patching for critical vulnerabilities.

  • 長期間オフラインである VM のパッチ。Patching for VMs that are offline for extended periods of time.

  • リアルタイムの監視とアラートの要件。Requirements for real-time monitoring and alerting.

  • セキュリティ情報およびイベント管理と、Azure Security Center および Azure Sentinel との統合。Security information and event management integration with Azure Security Center and Azure Sentinel.

  • VM の脆弱性評価。Vulnerability assessment of VMs.

設計の推奨事項Design recommendations

  • Azure AD レポート機能を使用してアクセス制御の監査レポートを生成します。Use Azure AD reporting capabilities to generate access control audit reports.

  • 長期間にわたるデータ保持のために、Azure アクティビティ ログを Azure Monitor ログにエクスポートします。Export Azure activity logs to Azure Monitor logs for long-term data retention. 必要に応じて、2 年以上の長期間保存する場合は、Azure Storage にエクスポートします。Export to Azure Storage for long-term storage beyond two years, if necessary.

  • すべてのサブスクリプションに対して Security Center Standard を有効にし、Azure Policy を使用してコンプライアンスを確保します。Enable Security Center Standard for all subscriptions, and use Azure Policy to ensure compliance.

  • Azure Monitor ログと Azure Security Center を介して基本オペレーティング システムのパッチ ドリフトを監視します。Monitor base operating system patching drift via Azure Monitor logs and Azure Security Center.

  • Azure ポリシーを使用して、VM 拡張機能を介してソフトウェア構成を自動的にデプロイし、準拠するベースライン VM 構成を適用します。Use Azure policies to automatically deploy software configurations through VM extensions and enforce a compliant baseline VM configuration.

  • Azure Policy を介して VM セキュリティ構成のドリフトを監視します。Monitor VM security configuration drift via Azure Policy.

  • 一元化された Azure Monitor Log Analytics ワークスペースに既定のリソース構成を接続します。Connect default resource configurations to a centralized Azure Monitor Log Analytics workspace.

  • ログ指向のリアルタイム アラートに Azure Event Grid ベースのソリューションを使用します。Use an Azure Event Grid-based solution for log-oriented, real-time alerting.

プラットフォームのセキュリティを計画するPlan for platform security

Azure を採用する場合には、正常なセキュリティ体制を維持する必要があります。You must maintain a healthy security posture as you adopt Azure. 可視性に加えて、Azure サービスの進化に伴う初期設定と変更を制御できる必要があります。Besides visibility, you have to be able to control the initial settings and changes as the Azure services evolve. そのため、プラットフォームのセキュリティを計画することが重要です。Therefore, planning for platform security is key.

設計上の考慮事項Design considerations

  • 共有責任。Shared responsibility.

  • 高可用性とディザスター リカバリー。High availability and disaster recovery.

  • データ管理とコントロール プレーンの運用に関して、Azure サービス全体で一貫したセキュリティ。Consistent security across Azure services in terms of data management and control plane operations.

  • 主要なプラットフォーム コンポーネントのマルチテナント機能。Multitenancy for key platform components. これには、Hyper-V、Key Vault を支える HSM、データベース エンジンなどが含まれます。This includes Hyper-V, the HSMs underpinning Key Vault, and database engines.

設計の推奨事項Design recommendations

  • 必要な各サービスの共同検査は、基になる要件のコンテキスト内で行います。In the context of your underlying requirements, conduct a joint examination of each required service. 独自のキーを持ち込む場合、考慮されているすべてのサービスでこの点がサポートされていない可能性があります。If you want to bring your own keys, this might not be supported across all considered services. 不整合によって意図した結果が妨げられないように、関連する軽減策を実装します。Implement relevant mitigation so that inconsistencies don't hinder desired outcomes. 待機時間を最小限に抑える適切なリージョン ペアとディザスター リカバリー リージョンを選択します。Choose appropriate region pairs and disaster recovery regions that minimize latency.

  • サービスのセキュリティ構成、監視、アラート、およびこれらを既存のシステムと統合する方法を評価するために、セキュリティ許可リスト登録計画を作成します。Develop a security allow-list plan to assess services security configuration, monitoring, alerts, and how to integrate these with existing systems.

  • 実稼働する前に、Azure サービスのインシデント対応計画を決定します。Determine the incident response plan for Azure services before allowing it into production.

  • Azure AD レポート機能を使用してアクセス制御の監査レポートを生成します。Use Azure AD reporting capabilities to generate access control audit reports.

  • セキュリティ要件を Azure プラットフォームのロード マップに合わせて、新しくリリースされたセキュリティ コントロールを現在の状態に保ちます。Align your security requirements with Azure platform roadmaps to stay current with newly released security controls.

  • 必要に応じて、Azure プラットフォームにアクセスするためのゼロ信頼アプローチを実装します。Implement a zero-trust approach for access to the Azure platform, where appropriate.

Azure セキュリティ ベンチマークAzure Security Benchmarks

Azure セキュリティ ベンチマークには、Azure で使用するほとんどのサービスをセキュリティで保護するために使用できる、影響力の高いセキュリティに関する推奨事項のコレクションが含まれています。The Azure Security Benchmark includes a collection of high-impact security recommendations you can use to help secure most of the services you use in Azure. これらの推奨事項は、ほとんどの Azure サービスに適用できるため、"一般的" または "組織的" と考えることができます。You can think of these recommendations as "general" or "organizational" as they are applicable to most Azure services. Azure セキュリティ ベンチマークの推奨事項は Azure サービスごとにカスタマイズされ、このカスタマイズされたガイダンスがサービスの推奨事項に関する記事に含まれています。The Azure Security Benchmark recommendations are then customized for each Azure service, and this customized guidance is contained in service recommendations articles.

Azure セキュリティ ベンチマークのドキュメントでは、セキュリティ コトロールとサービスに関するレコメンデーションを規定しています。The Azure Security Benchmark documentation specifies security controls and service recommendations.

  • セキュリティ コントロール: Azure セキュリティ ベンチマークの推奨事項は、セキュリティ コントロール別に分類されています。Security Controls: The Azure Security Benchmark recommendations are categorized by security controls. セキュリティ コントロールは、ネットワーク セキュリティやデータ保護など、ベンダーに依存しない高度なセキュリティ要件を表します。Security controls represent high-level vendor-agnostic security requirements, such as network security and data protection. 各セキュリティ コントロールには、これらのレコメンデーションを有効にするための一連のセキュリティに関する推奨事項と指示内容があります。Each security control has a set of security recommendations and instructions that help you implement those recommendations.
  • サービスの推奨事項Azure サービスに対するベンチマークのレコメンデーションが利用できる場合、そこにはサービスに合わせて調整された Azure セキュリティ ベンチマークの推奨事項と、特定のサービスに固有のその他の推奨事項が含まれます。Service Recommendations: When available, benchmark recommendations for Azure services will include Azure Security Benchmark recommendations that are tailored specifically for that service.

サービスの有効化フレームワークService enablement framework

ビジネス ユニットからワークロードを Azure にデプロイするように要求される場合、適切なレベルのガバナンス、セキュリティ、コンプライアンスを達成する方法を決定するために、ワークロードをさらに視覚化する必要があります。As business units request to deploy workloads to Azure, you need additional visibility into a workload to determine how to achieve appropriate levels of governance, security, and compliance. 新しいサービスが必要な場合、それを許可する必要があります。When a new service is required, you need to allow it. Azure サービスのエンタープライズ セキュリティの準備状況を評価するためのフレームワークを次の表に示します。The following table provides a framework to assess enterprise security readiness of Azure services:

評価Assessment カテゴリCategory 条件Criteria
セキュリティSecurity ネットワーク エンドポイントNetwork endpoint サービスには、仮想ネットワークの外部からアクセスできるパブリック エンドポイントがありますか。Does the service have a public endpoint that is accessible outside of a virtual network?
仮想ネットワーク サービス エンドポイントをサポートしていますか。Does it support virtual network service endpoints?
Azure サービスとサービス エンドポイントは直接対話できますか。Can Azure services interact directly with the service endpoint?
Azure Private Link エンドポイントをサポートしていますか?Does it support Azure Private Link endpoints?
仮想ネットワーク内にデプロイできますか。Can it be deployed within a virtual network?
データの流出防止Data exfiltration prevention PaaS サービスには、Azure ExpressRoute Microsoft ピアリングに個別のボーダー ゲートウェイ プロトコル コミュニティがありますか?Does the PaaS service have a separate border gateway protocol community in Azure ExpressRoute Microsoft peering? ExpressRoute によって、サービスのルート フィルターは公開されますか?Does ExpressRoute expose a route filter for the service?
サービスは Private Link エンドポイントをサポートしていますか。Does the service support Private Link endpoints?
管理およびデータ プレーン操作にネットワーク トラフィック フローを適用するEnforce network traffic flow for management and data plane operations サービスに出入りするトラフィックを検査することはできますか。Is it possible to inspect traffic entering/exiting the service? ユーザー定義のルーティングを使用してトラフィックを強制的にトンネリングできますか。Can traffic be force-tunnelled with user-defined routing?
管理操作に Azure 共有パブリック IP 範囲は使用されますか。Do management operations use Azure shared public IP ranges?
管理トラフィックは、ホストで公開されているリンクローカル エンドポイントを介して送信されていますか。Is management traffic directed via a link-local endpoint exposed on the host?
保存時のデータの暗号化Data encryption at-rest 暗号化は既定で適用されますか。Is encryption applied by default?
暗号化を無効にすることはできますか。Can encryption be disabled?
暗号化は、Microsoft マネージド キーとカスタマーマネージド キーのどちらを使用して実行されますか。Is encryption performed with Microsoft-managed keys or customer-managed keys?
転送中のデータの暗号化Data encryption in-transit サービスへのトラフィックはプロトコル レベル (セキュア ソケット レイヤー、トランスポート層セキュリティ) で暗号化されていますか。Is traffic to the service encrypted at a protocol level (secure sockets layer/transport layer security)?
HTTP エンドポイントはありますか。また、それらを無効にすることはできますか。Are there any HTTP endpoints, and can they be disabled?
基となるサービス通信も暗号化されていますか。Is underlying service communication also encrypted?
暗号化は、Microsoft マネージド キーとカスタマーマネージド キーのどちらを使用して実行されますか。Is encryption performed with Microsoft-managed keys or customer-managed keys? (独自の暗号化をサポートしていますか)。(Is bring your own encryption supported?)
ソフトウェアのデプロイSoftware deployment アプリケーション ソフトウェアまたはサードパーティ製品をサービスにデプロイすることはできますか。Can application software or third-party products be deployed to the service?
ソフトウェアのデプロイの実行と管理はどのように行われますか。How is software deployment performed and managed?
ソースまたはコードの整合性を制御するためにポリシーを適用できますか?Can policies be enforced to control source or code integrity?
ソフトウェアがデプロイ可能な場合、マルウェア対策機能、脆弱性管理、およびセキュリティ監視ツールを使用できますか?If software is deployable, can antimalware capability, vulnerability management, and security monitoring tools be used?
サービスでは、Azure Kubernetes Service などの機能をネイティブで提供しますか?Does the service provide such capabilities natively, such as with Azure Kubernetes Service?
ID 管理とアクセス管理Identity and access management 認証とアクセス制御Authentication and access control すべてのコントロール プレーン操作は Azure AD によって管理されていますかAre all control plane operations governed by Azure AD? Azure Kubernetes Service など、入れ子になったコントロール プレーンはありますか?Is there a nested control plane, such as with Azure Kubernetes Service?
データ プレーンへのアクセスを提供するにはどのような方法がありますか。What methods exist to provide access to the data plane?
データ プレーンは Azure AD と統合されますか。Does the data plane integrate with Azure AD?
Azure 間 (サービス間) の認証では、MSI およびサービス プリンシパルが使用されますか?Does Azure-to-Azure (service-to-service) authentication use an MSI/service principal?
Azure から IaaS (サービスから仮想ネットワーク) への認証は Azure AD を介しますか?Is Azure-to-IaaS (service-to-virtual-network) authentication via Azure AD?
適用可能なキーまたは共有アクセス署名はどのように管理されますか?How are any applicable keys or shared access signatures managed?
アクセスはどのような方法で取り消すことができますか。How can access be revoked?
職務の分離Segregation of duties サービスでは、Azure AD 内のコントロール プレーンとデータ プレーンの操作は分離されていますか。Does the service separate control plane and data plane operations within Azure AD?
多要素認証と条件付きアクセスMulti-factor authentication and conditional access ユーザーからサービスへの対話に多要素認証は適用されますか。Is multi-factor authentication enforced for user to service interactions?
ガバナンスGovernance データのエクスポートとインポートData export and import サービスでは、データを安全に暗号化してインポートおよびエクスポートできますか。Does service allow you to import and export data securely and encrypted?
データのプライバシーと使用状況Data privacy and usage Microsoft のエンジニアはデータにアクセスできますか。Can Microsoft engineers access the data?
Microsoft サポートによる監査対象サービスの操作はありますか。Is any Microsoft Support interaction with the service audited?
データの保存場所Data residency データはサービス デプロイ リージョンに含まれていますか。Is data contained to the service deployment region?
操作Operations 監視Monitoring サービスは Azure Monitor と統合されますか。Does the service integrate with Azure Monitor?
バックアップ管理Backup management どのワークロード データをバックアップする必要がありますか?Which workload data need to be backed up?
バックアップはどのようにキャプチャされますか。How are backups captured?
バックアップはどのくらいの頻度で実行できますか。How frequently can backups be taken?
バックアップはどのくらいの期間保持されますか。How long can backups be retained for?
バックアップは暗号化されますか?Are backups encrypted?
バックアップ暗号化は、Microsoft マネージド キーとカスタマーマネージド キーのどちらを使用して実行されますか?Is backup encryption performed with Microsoft-managed keys or customer-managed keys?
障害復旧Disaster recovery このサービスはリージョン冗長の方法でどのように使用できますか。How can the service be used in a regional redundant fashion?
達成可能な回復時間の目標と回復ポイントの目標は何時間ですか?What is the attainable recovery time objective and recovery point objective?
SKUSKU 使用可能な SKU は何ですか。What SKUs are available? それらにどのような違いがありますか。And how do they differ?
Premium SKU のセキュリティに関連する機能はありますか。Are there any features related to security for Premium SKU?
容量管理Capacity management 容量はどのように監視されますか。How is capacity monitored?
水平スケールの単位は何ですか。What is the unit of horizontal scale?
パッチと更新プログラムの管理Patch and update management サービスには、アクティブな更新が必要ですか? それとも、更新は自動的に行われますか?Does the service require active updating or do updates happen automatically?
適用される更新の頻度はどのくらいですか?How frequently are updates applied? それを自動化できますか?Can they be automated?
AuditAudit 入れ子になったコントロール プレーン操作はキャプチャされますか (Azure Kubernetes Service や Azure Databricks など)?Are nested control plane operations captured (for example, Azure Kubernetes Service or Azure Databricks)?
主要なデータ プレーン アクティビティは記録されますか。Are key data plane activities recorded?
構成管理Configuration management すべてのリソースにタグをサポートし、put スキーマを用意しますか。Does it support tags and provide a put schema for all resources?
Azure サービスのコンプライアンスAzure service compliance サービスの構成証明、認定、および外部監査Service attestation, certification, and external audits サービスは PCI、ISO、または SOC に準拠していますか。Is the service PCI/ISO/SOC compliant?
サービスの提供状況Service availability サービスは、プライベート プレビュー、パブリック プレビュー、または一般提供のどの状態ですか?Is the service a private preview, a public preview, or generally available?
このサービスは、どのリージョンで利用できますか。In what regions is the service available?
サービスはどのようなデプロイ スコープですかWhat is the deployment scope of the service? 地域サービスとグローバル サービスのどちらですか?Is it a regional or global service?
サービス レベル アグリーメント (SLA)Service-level agreements (SLAs) サービス可用性の SLA はどのようなものですか。What is the SLA for service availability?
該当する場合、パフォーマンスの SLA はどのようなものですか。If applicable, what is the SLA for performance?