Cosmos DB 用の Azure セキュリティ ベースラインAzure Security Baseline for Cosmos DB

適用対象: SQL API Cassandra API Gremlin API Table API MongoDB 用 Azure Cosmos DB API

Cosmos DB 用の Azure セキュリティ ベースラインには、デプロイのセキュリティ体制を改善するために役立つ推奨事項が含まれています。The Azure Security Baseline for Cosmos DB contains recommendations that will help you improve the security posture of your deployment.

このサービス用のベースラインは、ベスト プラクティス ガイダンスを使用して Azure 上のクラウド ソリューションをセキュリティで保護する方法について推奨事項を提供する Azure セキュリティ ベンチマーク バージョン 1.0 に基づいて作成されています。The baseline for this service is drawn from the Azure Security Benchmark version 1.0, which provides recommendations on how you can secure your cloud solutions on Azure with our best practices guidance.

詳細については、Azure セキュリティ ベースラインの概要に関するページを参照してください。For more information, see Azure Security Baselines overview.

ネットワークのセキュリティNetwork Security

詳細については、「セキュリティ コントロール: ネットワークのセキュリティ」を参照してください。For more information, see Security Control: Network Security.

1.1:Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護する1.1: Protect resources using Network Security Groups or Azure Firewall on your Virtual Network

ガイダンス: Azure Private Link を使用すると、プライベート エンドポイント経由で Azure Cosmos アカウントに接続できます。Guidance: By using Azure Private Link, you can connect to an Azure Cosmos account via a Private Endpoint. 仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを経由して、パブリック インターネットからの公開を排除します。Traffic between your virtual network and the service traverses over the Microsoft backbone network, eliminating exposure from the public Internet. また、ネットワーク セキュリティ グループ (NSG) に対して厳格な一連のアウトバウンド規則を構成し、その NSG をサブネットに関連付けることによって、データ窃盗のリスクを軽減することもできます。You can also reduce the risk of data exfiltration by configuring a strict set of outbound rules on a network security group (NSG) and associating that NSG with your subnet.

さらに、サービス エンドポイントを使用して Azure Cosmos アカウントをセキュリティで保護することもできます。You can also use Service Endpoints to secure your Azure Cosmos account. サービス エンドポイントを有効にすることで、Azure Virtual Network の特定のサブネットのみからアクセスを許可するように Azure Cosmos アカウントを構成できます。By enabling a Service Endpoint, you can configure Azure Cosmos accounts to allow access from only a specific subnet of an Azure virtual network. Azure Cosmos DB サービス エンドポイントを有効にすると、仮想ネットワーク内のサブネットからの接続について Azure Cosmos アカウントへのアクセスを制限することができます。Once the Azure Cosmos DB Service Endpoint is enabled, you can limit access to an Azure Cosmos account with connections from a subnet in a virtual network.

また、IP ファイアウォールを使用して、Azure Cosmos アカウント内の格納データをセキュリティで保護することもできます。You can also secure the data stored in your Azure Cosmos account by using IP firewalls. Azure Cosmos DB では、受信ファイアウォールをサポートするために IP ベースのアクセス制御に対応しています。Azure Cosmos DB supports IP-based access controls for inbound firewall support. Azure Cosmos アカウントに IP ファイアウォールを設定するには、Azure portal、Azure Resource Manager テンプレートを使用するか、Azure CLI または Azure PowerShell を使用します。You can set an IP firewall on the Azure Cosmos account by using the Azure portal, Azure Resource Manager templates, or through the Azure CLI or Azure PowerShell.

Azure Private Link の概要: https://docs.microsoft.com/azure/private-link/private-link-overviewAzure Private Link Overview: https://docs.microsoft.com/azure/private-link/private-link-overview

Azure Cosmos DB のプライベート エンドポイントを構成する方法: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpointsHow to configure a Private Endpoint for Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints

セキュリティ構成を使用してネットワーク セキュリティ グループを作成する方法: https://docs.microsoft.com/azure/virtual-network/tutorial-filter-network-trafficHow to create a Network Security Group with a Security Config: https://docs.microsoft.com/azure/virtual-network/tutorial-filter-network-traffic

Cosmos DB で IP ファイアウォールを構成する方法: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-firewallHow to configure IP firewall in Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-firewall

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.2:VNet、サブネット、NIC の構成とトラフィックを監視してログに記録する1.2: Monitor and log the configuration and traffic of Vnets, Subnets, and NICs

ガイダンス: Azure Security Center を使用し、ネットワークの保護に関する推奨事項に従って、Azure Cosmos アカウントに関連するネットワーク リソースをセキュリティで保護します。Guidance: Use Azure Security Center and follow network protection recommendations to help secure network resources related to your Azure Cosmos account.

Azure Cosmos アカウントと同じ仮想ネットワークに仮想マシンがデプロイされている場合、ネットワーク セキュリティ グループ (NSG) を使用して、データ窃盗のリスクを軽減することができます。When virtual machines are deployed in the same virtual network as your Azure Cosmos account, you can use a network security group (NSG) to reduce the risk of data exfiltration. NSG フロー ログを有効にし、トラフィック監査のためにログを Azure Storage アカウントに送信します。Enable NSG flow logs and send logs into an Azure Storage Account for traffic audits. また、NSG フロー ログを Log Analytics ワークスペースに送信し、Traffic Analytics を使用して Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。You may also send NSG flow logs to a Log Analytics workspace and use Traffic Analytics to provide insights into traffic flow in your Azure cloud. Traffic Analytics のいくつかの利点として、ネットワーク アクティビティを視覚化してホット スポットを特定したり、セキュリティの脅威を識別したり、トラフィック フロー パターンを把握したり、ネットワークの誤った構成の正確な場所を特定したりする機能が挙げられます。Some advantages of Traffic Analytics are the ability to visualize network activity and identify hot spots, identify security threats, understand traffic flow patterns, and pinpoint network misconfigurations.

Azure Security Center によって提供されるネットワークのセキュリティの概要: https://docs.microsoft.com/azure/security-center/security-center-network-recommendationsUnderstand Network Security provided by Azure Security Center: https://docs.microsoft.com/azure/security-center/security-center-network-recommendations

NSG フロー ログを有効にする方法: https://docs.microsoft.com/azure/network-watcher/network-watcher-nsg-flow-logging-portalHow to Enable NSG Flow Logs: https://docs.microsoft.com/azure/network-watcher/network-watcher-nsg-flow-logging-portal

Traffic Analytics を有効にして使用する方法: https://docs.microsoft.com/azure/network-watcher/traffic-analyticsHow to Enable and use Traffic Analytics: https://docs.microsoft.com/azure/network-watcher/traffic-analytics

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.3:重要な Web アプリケーションを保護する1.3: Protect critical web applications

ガイダンス: クロス オリジン リソース共有 (CORS) 機能を有効にして、あるドメインで実行されている Web アプリケーションが別のドメイン内にあるリソースにアクセスできるようにします。Guidance: Use the Cross-Origin Resource Sharing (CORS) feature to enable a web application running under one domain to access resources in another domain. Web ブラウザーでは、Web ページから別のドメインの API を呼び出すことを防ぐために、同一オリジン ポリシーと呼ばれるセキュリティ制限が実装されています。Web browsers implement a security restriction known as same-origin policy that prevents a web page from calling APIs in a different domain. ただし、CORS を使用すれば、オリジン ドメインから他のドメイン内の API を安全に呼び出すことができます。However, CORS provides a secure way to allow the origin domain to call APIs in another domain. Azure Cosmos アカウントに対して CORS のサポートを有効すると、認証済みの要求だけが指定されたルールに従って評価され、それらが許可されるかどうかが判断されます。After you enable the CORS support for your Azure Cosmos account, only authenticated requests are evaluated to determine whether they are allowed according to the rules you have specified.

クロスオリジン リソース共有の構成: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-cross-origin-resource-sharingConfigure Cross-Origin Resource Sharing: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-cross-origin-resource-sharing

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.4:既知の悪意のある IP アドレスとの通信を拒否する1.4: Deny communications with known malicious IP addresses

ガイダンス: Azure Cosmos DB の Advanced Threat Protection (ATP) を使用します。Guidance: Use Advanced Threat Protection (ATP) for Azure Cosmos DB . Azure Cosmos DB の ATP は、Azure Cosmos DB アカウントに対して通常と異なる潜在的に有害なアクセスまたは悪用が試行されたことを検出するセキュリティ インテリジェンスの追加レイヤーを提供します。ATP for Azure Cosmos DB provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit Azure Cosmos accounts. この保護レイヤーにより、脅威に対処でき、中央のセキュリティ監視システムと統合することができます。This layer of protection allows you to address threats and integrate them with central security monitoring systems.

Azure Cosmos DB インスタンスに関連付けられている Virtual Network に対して DDoS Protection 標準を有効にして、DDoS 攻撃から保護します。Enable DDoS Protection Standard on the Virtual Networks associated with your Azure Cosmos DB instances to guard against DDoS attacks. Azure Security Center の統合された脅威インテリジェンスを使用して、既知の悪意のある、または未使用のインターネット IP アドレスとの通信を拒否します。Use Azure Security Center Integrated Threat Intelligence to deny communications with known malicious or unused Internet IP addresses.

Azure Cosmos DB Advanced Threat Protection を構成する方法: https://docs.microsoft.com/azure/cosmos-db/cosmos-db-advanced-threat-protectionHow to configure Azure Cosmos DB Advanced Threat Protection: https://docs.microsoft.com/azure/cosmos-db/cosmos-db-advanced-threat-protection

DDoS 保護を構成する方法: https://docs.microsoft.com/azure/virtual-network/manage-ddos-protectionHow to configure DDoS protection: https://docs.microsoft.com/azure/virtual-network/manage-ddos-protection

Azure Security Center の統合された脅威インテリジェンスの概要: https://docs.microsoft.com/azure/security-center/security-center-alerts-service-layerUnderstand Azure Security Center Integrated Threat Intelligence: https://docs.microsoft.com/azure/security-center/security-center-alerts-service-layer

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.5:ネットワーク パケットとフロー ログを記録する1.5: Record network packets and flow logs

ガイダンス:ネットワーク セキュリティ グループ (NSG) フロー ログを有効にし、トラフィック監査のためにログをストレージ アカウントに送信します。Guidance: Enable network security group (NSG) flow logs and send logs into a storage account for traffic audit. NSG フロー ログを Log Analytics ワークスペースに送信し、Traffic Analytics を使用して、Azure クラウド内のトラフィック フローに関する分析情報を提供できます。You can send NSG flow logs to a Log Analytics workspace and use Traffic Analytics to provide insights into traffic flow in your Azure cloud. Traffic Analytics のいくつかの利点として、ネットワーク アクティビティを視覚化してホット スポットを特定したり、セキュリティの脅威を識別したり、トラフィック フロー パターンを把握したり、ネットワークの誤った構成の正確な場所を特定したりする機能が挙げられます。Some advantages of Traffic Analytics are the ability to visualize network activity and identify hot spots, identify security threats, understand traffic flow patterns, and pinpoint network misconfigurations.

NSG フロー ログを有効にする方法: https://docs.microsoft.com/azure/network-watcher/network-watcher-nsg-flow-logging-portalHow to Enable NSG Flow Logs: https://docs.microsoft.com/azure/network-watcher/network-watcher-nsg-flow-logging-portal

Traffic Analytics を有効にして使用する方法: https://docs.microsoft.com/azure/network-watcher/traffic-analyticsHow to Enable and use Traffic Analytics: https://docs.microsoft.com/azure/network-watcher/traffic-analytics

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.6:ネットワーク ベースの侵入検出/侵入防止システム (IDS/IPS) をデプロイする1.6: Deploy network based intrusion detection/intrusion prevention systems (IDS/IPS)

ガイダンス: Azure Cosmos DB の Advanced Threat Protection (ATP) を使用します。Guidance: Use Advanced Threat Protection (ATP) for Azure Cosmos DB. Azure Cosmos DB の ATP は、Azure Cosmos DB アカウントに対して通常と異なる潜在的に有害なアクセスまたは悪用が試行されたことを検出するセキュリティ インテリジェンスの追加レイヤーを提供します。ATP for Azure Cosmos DB provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit Azure Cosmos accounts. この保護レイヤーにより、脅威に対処でき、中央のセキュリティ監視システムと統合することができます。This layer of protection allows you to address threats and integrate them with central security monitoring systems.

Cosmos DB Advanced Threat Protection を構成する方法: https://docs.microsoft.com/azure/cosmos-db/cosmos-db-advanced-threat-protectionHow to configure Cosmos DB Advanced Threat Protection: https://docs.microsoft.com/azure/cosmos-db/cosmos-db-advanced-threat-protection

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.7:Web アプリケーションへのトラフィックを管理する1.7: Manage traffic to web applications

ガイダンス: 適用できません。推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。Guidance: Not applicable; recommendation is intended for web applications running on Azure App Service or compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.8:ネットワーク セキュリティ規則の複雑さと管理オーバーヘッドを最小限に抑える1.8: Minimize complexity and administrative overhead of network security rules

ガイダンス: Azure Cosmos アカウントにアクセスする必要があるリソースについては、Virtual Network サービス タグを使用して、ネットワーク セキュリティ グループまたは Azure Firewall に対するネットワーク アクセス制御を定義します。Guidance: For resources that need access to your Azure Cosmos account, use Virtual Network service tags to define network access controls on network security groups or Azure Firewall. セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。You can use service tags in place of specific IP addresses when creating security rules. 規則の適切なソース フィールドまたはターゲット フィールドにサービス タグ名 (たとえば AzureCosmosDB) を指定することにより、対応するサービスのトラフィックを許可または拒否できます。By specifying the service tag name (e.g., AzureCosmosDB) in the appropriate source or destination field of a rule, you can allow or deny the traffic for the corresponding service. サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change.

サービス タグの使用方法の詳細については、 https://docs.microsoft.com/azure/virtual-network/service-tags-overview を参照してください。For more information about using service tags: https://docs.microsoft.com/azure/virtual-network/service-tags-overview

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

1.9:ネットワーク デバイスの標準的なセキュリティ構成を維持する1.9: Maintain standard security configurations for network devices

ガイダンス: Azure Policy を使用して、ネットワーク リソースの標準的なセキュリティ構成を定義し、実装します。Guidance: Define and implement standard security configurations for network resources with Azure Policy. "Microsoft.DocumentDB" と "Microsoft.Network" の名前空間で Azure Policy エイリアスを使用して、Azure Cosmos DB インスタンスのネットワーク構成を監査または適用するためのカスタム ポリシーを作成します。Use Azure Policy aliases in the "Microsoft.DocumentDB" and "Microsoft.Network" namespaces to create custom policies to audit or enforce the network configuration of your Azure Cosmos DB instances. また、次のような Azure Cosmos DB 用の組み込みのポリシー定義を使用することもできます。You may also make use of built-in policy definitions for Azure Cosmos DB, such as:

  • Cosmos DB アカウントの Advanced Threat Protection のデプロイDeploy Advanced Threat Protection for Cosmos DB Accounts

  • Cosmos DB は仮想ネットワーク サービス エンドポイントを使用する必要があるCosmos DB should use a virtual network service endpoint

また、Azure Blueprints を使用して、Azure Resource Manager テンプレート、Azure ロールベースのアクセス制御 (Azure RBAC)、ポリシーなどの主要な環境成果物を単一のブループリント定義にパッケージ化することによって大規模な Azure デプロイを簡略化することもできます。You may also use Azure Blueprints to simplify large-scale Azure deployments by packaging key environment artifacts, such as Azure Resource Manager templates, Azure role-based access control (Azure RBAC), and policies in a single blueprint definition. ブループリントを新しいサブスクリプションと環境に簡単に適用し、バージョン管理によって制御と管理を微調整できます。You can easily apply the blueprint to new subscriptions, environments, and fine-tune control and management through versioning.

Azure Policy を構成して管理する方法: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manageHow to configure and manage Azure Policy: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Blueprint を作成する方法: https://docs.microsoft.com/azure/governance/blueprints/create-blueprint-portalHow to create an Azure Blueprint: https://docs.microsoft.com/azure/governance/blueprints/create-blueprint-portal

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

1.10:トラフィック構成規則を文書化する1.10: Document traffic configuration rules

ガイダンス: Azure Cosmos DB デプロイに関連付けられているネットワーク リソースを分類別に論理的に整理するために、それらのリソースにタグを使用します。Guidance: Use tags for network resources associated with your Azure Cosmos DB deployment in order to logically organize them into a taxonomy.

タグを作成して使用する方法: https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tagsHow to create and use tags: https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tags

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

1.11:自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する1.11: Use automated tools to monitor network resource configurations and detect changes

ガイダンス: Azure アクティビティ ログを使用して、ネットワーク リソース構成を監視し、Azure Cosmos DB インスタンスに関連するネットワーク リソースの変更を検出します。Guidance: Use Azure Activity Log to monitor network resource configurations and detect changes for network resources related to your Azure Cosmos DB instances. 重要なネットワーク リソースへの変更が発生するとトリガーされる Azure Monitor 内のアラートを作成します。Create alerts within Azure Monitor that will trigger when changes to critical network resources take place.

Azure アクティビティ ログ イベントを表示して取得する方法: https://docs.microsoft.com/azure/azure-monitor/platform/activity-log-viewHow to view and retrieve Azure Activity Log events: https://docs.microsoft.com/azure/azure-monitor/platform/activity-log-view

Azure Monitor でアラートを作成する方法: https://docs.microsoft.com/azure/azure-monitor/platform/alerts-activity-logHow to create alerts in Azure Monitor: https://docs.microsoft.com/azure/azure-monitor/platform/alerts-activity-log

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

ログ記録と監視Logging and Monitoring

詳細については、「セキュリティ コントロール: ログ記録と監視」を参照してください。For more information, see Security Control: Logging and Monitoring.

2.1:承認された時刻同期ソースを使用する2.1: Use approved time synchronization sources

ガイダンス: Microsoft では、Azure Cosmos DB などの Azure リソースに使用するタイム ソースを、ログ内にタイムスタンプとして保持します。Guidance: Microsoft maintains the time source used for Azure resources such as Azure Cosmos DB for timestamps in the logs.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

2.2:セキュリティ ログの一元管理を構成する2.2: Configure central security log management

ガイダンス:Azure Monitor を介してログを取り込み、Azure Cosmos DB によって生成されたセキュリティ データを集計します。Guidance: Ingest logs via Azure Monitor to aggregate security data generated by Azure Cosmos DB. Azure Monitor 内で Log Analytics ワークスペースを使用してクエリを発行し、分析を実行して、長期/アーカイブ ストレージにはストレージ アカウントを使用します。Within the Azure Monitor, use Log Analytics workspace(s) to query and perform analytics, and use storage accounts for long-term/archival storage. または、Azure Sentinel またはサードパーティのセキュリティ インシデントおよびイベント管理 (SIEM) に対してデータを有効にしてオンボードすることもできます。Alternatively, you may enable, and on-board data to Azure Sentinel or a third-party Security Incident and Event Management (SIEM).

Azure Cosmos DB の診断ログを有効にする方法: https://docs.microsoft.com/azure/cosmos-db/loggingHow to enable diagnostic logs for Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/logging

Azure Sentinel をオンボードする方法: https://docs.microsoft.com/azure/sentinel/quickstart-onboardHow to onboard Azure Sentinel: https://docs.microsoft.com/azure/sentinel/quickstart-onboard

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.3:Azure リソースの監査ログ記録を有効にする2.3: Enable audit logging for Azure resources

ガイダンス: Azure Cosmos DB の診断設定を有効にして、ログを Log Analytics ワークスペースまたはストレージ アカウントに送信します。Guidance: Enable diagnostic settings for Azure Cosmos DB and send the logs to a Log Analytics workspace or storage account. Azure Cosmos DB の診断設定は、リソース ログの収集に使用されます。Diagnostic settings in Azure Cosmos DB are used to collect resource logs. これらのログは、要求ごとにキャプチャされ、"データ プレーン ログ" とも呼ばれます。These logs are captured per request and they are also referred to as "data plane logs". データ プレーン操作の例としては、delete、insert、read などがあります。Some examples of the data plane operations include delete, insert, and read. また、Azure アクティビティ ログの診断設定を有効にして、それを同一の Log Analytics ワークスペースに送信することもできます。You may also enable Azure Activity Log Diagnostic Settings and send them to the same Log Analytics Workspace.

Azure Cosmos DB の診断設定を有効にする方法: https://docs.microsoft.com/azure/cosmos-db/loggingHow to enable Diagnostic Settings for Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/logging

Azure アクティビティ ログの診断設定を有効にする方法: https://docs.microsoft.com/azure/azure-monitor/platform/diagnostic-settings-legacyHow to enable Diagnostic Settings for Azure Activity Log: https://docs.microsoft.com/azure/azure-monitor/platform/diagnostic-settings-legacy

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.4:オペレーティング システムからセキュリティ ログを収集する2.4: Collect security logs from operating systems

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

2.5:セキュリティ ログのストレージ保持を構成する2.5: Configure security log storage retention

ガイダンス:Azure Monitor で、組織のコンプライアンス規則に従って、Azure Cosmos DB インスタンスに関連付けられている Log Analytics ワークスペースのログ保有期間を設定します。Guidance: In Azure Monitor, set the log retention period for Log Analytics workspaces associated with your Azure Cosmos DB instances according to your organization's compliance regulations.

ログ保有期間のパラメーターを設定する方法: https://docs.microsoft.com/azure/azure-monitor/platform/manage-cost-storage#change-the-data-retention-periodHow to set log retention parameters: https://docs.microsoft.com/azure/azure-monitor/platform/manage-cost-storage#change-the-data-retention-period

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

2.6:ログを監視して確認する2.6: Monitor and review Logs

ガイダンス: Log Analytics ワークスペースでクエリを実行して、用語の検索、傾向の特定、パターンの分析を行うことができ、収集した Azure Cosmos DB ログに基づいて他の多くの分析情報を提供することもできます。Guidance: You can perform queries in Log Analytics a workspace to search terms, identify trends, analyze patterns, and provide many other insights based on the Azure Cosmos DB logs that you gathered.

Log Analytics ワークスペースで Azure Cosmos DB に対するクエリを実行する方法: https://docs.microsoft.com/azure/cosmos-db/monitor-cosmos-dbHow to perform queries for Azure Cosmos DB in Log Analytics Workspaces: https://docs.microsoft.com/azure/cosmos-db/monitor-cosmos-db

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

2.7:異常なアクティビティについてのアラートを有効にする2.7: Enable alerts for anomalous activity

ガイダンス:Azure Security Center で、Azure Cosmos DB の Advanced Threat Protection を有効にして、セキュリティ ログおよびイベント内の異常なアクティビティを監視します。Guidance: In Azure Security Center, enable Advanced Threat Protection for Azure Cosmos DB to monitor anomalous activities in security logs and events. Azure Cosmos DB で診断設定を有効にし、Log Analytics ワークスペースにログを送信します。Enable diagnostic settings in Azure Cosmos DB and send logs to a Log Analytics workspace.

セキュリティ オーケストレーション自動応答 (SOAR) ソリューションが提供されるため、Log Analytics ワークスペースを Azure Sentinel にオンボードすることもできます。You can also onboard your Log Analytics workspace to Azure Sentinel as it provides a security orchestration automated response (SOAR) solution. これにより、プレイブック (自動化されたソリューション) を作成して、セキュリティの問題を修復するために使用できます。This allows for playbooks (automated solutions) to be created and used to remediate security issues. また、Azure Monitor を使用して、Log Analytics ワークスペースでカスタムのログ アラートを作成することもできます。Additionally, you can create custom log alerts in your Log Analytics workspace using Azure Monitor.

Azure Cosmos DB 向け脅威保護アラートの一覧: https://docs.microsoft.com/azure/security-center/alerts-reference#alerts-azurecosmosList of threat protection alerts for Azure Cosmos DB: https://docs.microsoft.com/azure/security-center/alerts-reference#alerts-azurecosmos

Azure Sentinel をオンボードする方法: https://docs.microsoft.com/azure/sentinel/quickstart-onboardHow to onboard Azure Sentinel: https://docs.microsoft.com/azure/sentinel/quickstart-onboard

Azure Monitor を使用してログ アラートを作成、表示、管理する: https://docs.microsoft.com/azure/azure-monitor/platform/alerts-logCreate, view, and manage log alerts using Azure Monitor: https://docs.microsoft.com/azure/azure-monitor/platform/alerts-log

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

2.8:マルウェア対策のログ記録を一元管理する2.8: Centralize anti-malware logging

ガイダンス: 適用できません。Azure Cosmos DB では、マルウェア対策関連のログの処理や生成を行いません。Guidance: Not applicable; Azure Cosmos DB does not process or produce anti-malware related logs.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

2.9:DNS クエリのログ記録を有効にする2.9: Enable DNS query logging

ガイダンス: 適用できません。Azure Cosmos DB では、DNS 関連のログの処理や生成を行いません。Guidance: Not applicable; Azure Cosmos DB does not process or produce DNS-related logs.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

2.10:コマンドライン監査ログ記録を有効にする2.10: Enable command-line audit logging

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

ID およびアクセス制御Identity and Access Control

詳細については、「セキュリティ コントロール: ID およびアクセス制御」を参照してください。For more information, see Security Control: Identity and Access Control.

3.1: 管理アカウントのインベントリを維持する3.1: Maintain an inventory of administrative accounts

ガイダンス:Azure portal の ID およびアクセス管理 (IAM) ペインを使用して、Azure Cosmos DB リソースで Azure ロールベースのアクセス制御 (Azure RBAC) を構成し、インベントリを保持することができます。Guidance: You can use the Identity and Access control (IAM) pane in the Azure portal to configure Azure role-based access control (Azure RBAC) and maintain inventory on Azure Cosmos DB resources. ロールは、Active Directory 内のユーザー、グループ、サービス プリンシパル、およびマネージド ID に適用されます。The roles are applied to users, groups, service principals, and managed identities in Active Directory. 組み込みのロールまたはカスタム ロールは、個人とグループに使用できます。You can use built-in roles or custom roles for individuals and groups.

Azure Cosmos DB には、Azure Cosmos DB の一般的な管理シナリオに対応する Azure RBAC が組み込まれています。Azure Cosmos DB provides built-in Azure RBAC for common management scenarios in Azure Cosmos DB. Azure Active Directory (AD) にプロファイルを持つ個人は、これらの Azure ロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てて、Azure Cosmos DB リソース上のリソースと操作へのアクセスを許可または拒否できます。An individual who has a profile in Azure Active Directory (AD) can assign these Azure roles to users, groups, service principals, or managed identities to grant or deny access to resources and operations on Azure Cosmos DB resources.

Azure AD PowerShell モジュールを使用してアドホック クエリを実行し、管理グループのメンバーであるアカウントを検出することもできます。You can also use the Azure AD PowerShell module to perform adhoc queries to discover accounts that are members of administrative groups.

さらに、Azure Cosmos DB での一部のアクションを、Azure Active Directory およびアカウント固有の主キーで制御することもできます。Additionally, some actions in Azure Cosmos DB can be controlled with Azure Active Directory and account-specific primary keys. 'disableKeyBasedMetadataWriteAccess' アカウント設定を使用してキー アクセスを制御します。Use the 'disableKeyBasedMetadataWriteAccess' account setting to control key access.

Azure Cosmos DB の Azure ロールベースのアクセス制御の概要: https://docs.microsoft.com/azure/cosmos-db/role-based-access-controlUnderstand Azure role-based access control in Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/role-based-access-control

Azure Cosmos DB アクション (Microsoft.DocumentDB 名前空間) を使用して独自のカスタム ロールを作成する: https://docs.microsoft.com/azure/role-based-access-control/resource-provider-operations#microsoftdocumentdbBuild your own custom roles using Azure Cosmos DB Actions (Microsoft.DocumentDB namespace): https://docs.microsoft.com/azure/role-based-access-control/resource-provider-operations#microsoftdocumentdb

Azure Active Directory で新しいロールを作成する: https://docs.microsoft.com/azure/role-based-access-control/custom-rolesCreate a new role in Azure Active Directory: https://docs.microsoft.com/azure/role-based-access-control/custom-roles

PowerShell を使用して Azure Active Directory でディレクトリ ロールを取得する方法: https://docs.microsoft.com/powershell/module/azuread/get-azureaddirectoryrole?view=azureadps-2.0&preserve-view=trueHow to get a directory role in Azure Active Directory with PowerShell: https://docs.microsoft.com/powershell/module/azuread/get-azureaddirectoryrole?view=azureadps-2.0&preserve-view=true

PowerShell を使用して Azure Active Directory でディレクトリ ロールのメンバーを取得する方法: https://docs.microsoft.com/powershell/module/azuread/get-azureaddirectoryrolemember?view=azureadps-2.0&preserve-view=trueHow to get members of a directory role in Azure Active Directory with PowerShell: https://docs.microsoft.com/powershell/module/azuread/get-azureaddirectoryrolemember?view=azureadps-2.0&preserve-view=true

ユーザー アクセスをデータ操作のみに制限する: https://docs.microsoft.com/azure/cosmos-db/how-to-restrict-user-dataRestrict user access to data operations only: https://docs.microsoft.com/azure/cosmos-db/how-to-restrict-user-data

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.2: 既定のパスワードを変更する (該当する場合)3.2: Change default passwords where applicable

ガイダンス:Azure AD または Azure Cosmos DB に関しては、既定または空白のパスワードの概念は存在しません。Guidance: The concept of default or blank passwords does not exist in relation to Azure AD or Azure Cosmos DB. 代わりに、Azure Cosmos DB では、2 種類のキー (主キーとリソース トークン) を使用してユーザーを認証し、そのデータとリソースへのアクセスを提供しています。Instead, Azure Cosmos DB uses two types of keys to authenticate users and provide access to its data and resources; primary keys and resource tokens. キーは、いつでも再生成することができます。The keys can be regenerated at any time.

Azure Cosmos DB のデータへのアクセスのセキュリティ保護の概要: https://docs.microsoft.com/azure/cosmos-db/secure-access-to-dataUnderstanding secure access to data in Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/secure-access-to-data

Azure Cosmos DB キーを再生成する方法: https://docs.microsoft.com/azure/cosmos-db/manage-with-powershell#regenerate-keysHow to regenerate Azure Cosmos DB Keys: https://docs.microsoft.com/azure/cosmos-db/manage-with-powershell#regenerate-keys

Azure Active Directory を使用してプログラムでキーにアクセスする方法: https://docs.microsoft.com/azure/cosmos-db/certificate-based-authenticationHow to programmatically access keys using Azure Active Directory: https://docs.microsoft.com/azure/cosmos-db/certificate-based-authentication

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

3.3: 専用管理者アカウントを使用する3.3: Use dedicated administrative accounts

ガイダンス: 適用できません。Azure Cosmos DB は、管理者アカウントをサポートしていません。Guidance: Not applicable; Azure Cosmos DB does not support administrator accounts. すべてのアクセスは、Azure Active Directory と Azure ロールベースのアクセス制御 (Azure RBAC) に統合されています。All access is integrated with Azure Active Directory and Azure role-based access control (Azure RBAC).

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.4: シングル サインオン (SSO) と Azure Active Directory を統合する3.4: Use single sign-on (SSO) with Azure Active Directory

ガイダンス:Azure Cosmos DB は、2 種類のキーを使用してユーザーを承認し、データ プレーン レベルでのシングル サインオン (SSO) はサポートされていません。Guidance: Azure Cosmos DB uses two types of keys to authorize users and does not support Single Sign-On (SSO) at the data plane level. Cosmos DB のコントロール プレーンへのアクセスは、REST API 経由で行うことができ、SSO がサポートされています。Access to the control plane for Cosmos DB is available via REST API and supports SSO. 認証を行うには、Azure Active Directory から取得した要求の Authorization ヘッダーを JSON Web トークンに設定します。To authenticate, set the Authorization header for your requests to a JSON Web Token that you obtain from Azure Active Directory.

Azure Database for Cosmos DB REST API の概要: https://docs.microsoft.com/rest/api/cosmos-db/Understand Azure Database for Cosmos DB REST API: https://docs.microsoft.com/rest/api/cosmos-db/

Azure Active Directory での SSO の概要: https://docs.microsoft.com/azure/active-directory/manage-apps/what-is-single-sign-onUnderstand SSO with Azure Active Directory: https://docs.microsoft.com/azure/active-directory/manage-apps/what-is-single-sign-on

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する3.5: Use multi-factor authentication for all Azure Active Directory based access

ガイダンス: Azure Active Directory Multi-Factor Authentication を有効にし、Azure Security Center ID とアクセス管理の推奨事項に従います。Guidance: Enable Azure Active Directory Multi-Factor Authentication and follow Azure Security Center Identity and Access Management recommendations.

Azure で MFA を有効にする方法: https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-getstartedHow to enable MFA in Azure: https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-getstarted

Azure Security Center 内で ID とアクセスを監視する方法: https://docs.microsoft.com/azure/security-center/security-center-identity-accessHow to monitor identity and access within Azure Security Center: https://docs.microsoft.com/azure/security-center/security-center-identity-access

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.6: すべての管理タスクに専用マシン (特権アクセス ワークステーション) を使用する3.6: Use dedicated machines (Privileged Access Workstations) for all administrative tasks

ガイダンス: Multi-Factor Authentication が構成された特権アクセス ワークステーション (PAW) を使用してログインし、Azure リソースを構成します。Guidance: Use Privileged Access Workstations (PAW) with Multi-Factor Authentication configured to log into and configure Azure resources.

特権アクセス ワークステーションについて: https://4sysops.com/archives/understand-the-microsoft-privileged-access-workstation-paw-security-model/Learn about Privileged Access Workstations: https://4sysops.com/archives/understand-the-microsoft-privileged-access-workstation-paw-security-model/

Azure で MFA を有効にする方法: https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-getstartedHow to enable MFA in Azure: https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-getstarted

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.7: 管理者アカウントからの疑わしいアクティビティを記録してアラートを生成する3.7: Log and alert on suspicious activity from administrative accounts

ガイダンス: Azure Cosmos DB の Advanced Threat Protection (ATP) を使用します。Guidance: Use Advanced Threat Protection (ATP) for Azure Cosmos DB. Azure Cosmos DB の ATP は、Azure Cosmos DB アカウントに対して通常と異なる潜在的に有害なアクセスまたは悪用が試行されたことを検出するセキュリティ インテリジェンスの追加レイヤーを提供します。ATP for Azure Cosmos DB provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit Azure Cosmos accounts. この保護レイヤーにより、脅威に対処でき、中央のセキュリティ監視システムと統合することができます。This layer of protection allows you to address threats and integrate them with central security monitoring systems.

さらに、Azure Active Directory (AD) Privileged Identity Management (PIM) を使用して、環境内で疑わしいアクティビティまたは安全でないアクティビティが発生したときにログとアラートを生成できます。In addition, you may use Azure Active Directory (AD) Privileged Identity Management (PIM) for generation of logs and alerts when suspicious or unsafe activity occurs in the environment.

Azure AD のリスク検出を使用して、危険なユーザーの行動に関するアラートとレポートを表示します。Use Azure AD Risk Detections to view alerts and reports on risky user behavior.

Privileged Identity Management (PIM) をデプロイする方法: https://docs.microsoft.com/azure/active-directory/privileged-identity-management/pim-deployment-planHow to deploy Privileged Identity Management (PIM): https://docs.microsoft.com/azure/active-directory/privileged-identity-management/pim-deployment-plan

Azure AD のリスク検出の概要: https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-risk-eventsUnderstand Azure AD risk detections: https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-risk-events

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.8:承認された場所からのみ Azure リソースを管理する3.8: Manage Azure resources from only approved locations

ガイダンス: 条件付きアクセス ポリシーの場所の条件を構成し、ネームド ロケーションを管理します。Guidance: Configure the location condition of a Conditional Access policy and manage your named locations. ネームド ロケーションを使用すると、IP アドレス範囲または国や地域の論理グループを作成できます。With named locations, you can create logical groupings of IP address ranges or countries and regions. 機密性の高いリソース (Azure Cosmos DB インスタンスなど) へのアクセスを、構成したネームド ロケーションに制限することができます。You can restrict access to sensitive resources, such as your Azure Cosmos DB instances, to your configured named locations.

Azure でネームド ロケーションを構成する方法: https://docs.microsoft.com/azure/active-directory/reports-monitoring/quickstart-configure-named-locationsHow to configure Named Locations in Azure: https://docs.microsoft.com/azure/active-directory/reports-monitoring/quickstart-configure-named-locations

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.9: Azure Active Directory を使用する3.9: Use Azure Active Directory

ガイダンス: Azure Active Directory (AD) を中央認証および承認システムとして使用します。Guidance: Use Azure Active Directory (AD) as the central authentication and authorization system. Azure AD でデータを保護するには、保存データと転送中のデータに強力な暗号化を使用します。Azure AD protects data by using strong encryption for data at rest and in transit. また、Azure AD では、ユーザーの資格情報がソルト化およびハッシュされ、安全に格納されます。Azure AD also salts, hashes, and securely stores user credentials.

Azure Active Directory インスタンスを作成して構成する方法: https://docs.microsoft.com/azure/active-directory-domain-services/tutorial-create-instanceHow to create and configure an Azure Active Directory instance: https://docs.microsoft.com/azure/active-directory-domain-services/tutorial-create-instance

Azure SQL による Azure Active Directory 認証を構成して管理する方法: https://docs.microsoft.com/azure/sql-database/sql-database-aad-authentication-configureHow to configure and manage Azure Active Directory authentication with Azure SQL: https://docs.microsoft.com/azure/sql-database/sql-database-aad-authentication-configure

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.10: ユーザー アクセスを定期的に確認して調整する3.10: Regularly review and reconcile user access

ガイダンス: Azure Active Directory では、古いアカウントの検出に役立つログが提供されます。Guidance: Azure Active Directory provides logs to help discover stale accounts. さらに、Azure ID アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理できます。In addition, you can use Azure Identity Access Reviews to efficiently manage group memberships, access to enterprise applications, and role assignments. ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。User's access can be reviewed on a regular basis to make sure only the right Users have continued access.

Azure ID アクセスレビューの使用方法: https://docs.microsoft.com/azure/active-directory/governance/access-reviews-overviewHow to use Azure Identity Access Reviews: https://docs.microsoft.com/azure/active-directory/governance/access-reviews-overview

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.11: 非アクティブ化されたアカウントへのアクセス試行を監視する3.11: Monitor attempts to access deactivated accounts

ガイダンス: Azure Active Directory ユーザー アカウントの診断設定を作成し、監査ログとサインイン ログを Log Analytics ワークスペースに送信して、そこで目的のアラートを構成できます。Guidance: You can create diagnostic settings for Azure Active Directory user accounts, sending the audit logs and sign-in logs to a Log Analytics workspace where you can configure desired alerts.

Azure Activity Logs を Azure Monitor に統合する方法: https://docs.microsoft.com/azure/active-directory/reports-monitoring/howto-integrate-activity-logs-with-log-analyticsHow to integrate Azure Activity Logs into Azure Monitor: https://docs.microsoft.com/azure/active-directory/reports-monitoring/howto-integrate-activity-logs-with-log-analytics

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.12: アカウント ログイン動作の偏差に関するアラートを生成する3.12: Alert on account login behavior deviation

ガイダンス: Azure Cosmos DB の Advanced Threat Protection (ATP) を使用します。Guidance: Use Advanced Threat Protection (ATP) for Azure Cosmos DB. Azure Cosmos DB の ATP は、Azure Cosmos DB アカウントに対して通常と異なる潜在的に有害なアクセスまたは悪用が試行されたことを検出するセキュリティ インテリジェンスの追加レイヤーを提供します。ATP for Azure Cosmos DB provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit Azure Cosmos accounts. この保護レイヤーにより、脅威に対処でき、中央のセキュリティ監視システムと統合することができます。This layer of protection allows you to address threats and integrate them with central security monitoring systems.

検出された、ユーザー ID に関連する疑わしいアクションへの自動応答を構成するには、Azure AD Identity Protection とリスク検出機能を使用することもできます。You can also use Azure AD Identity Protection and risk detections feature to configure automated responses to detected suspicious actions related to user identities. また、さらに詳しく調査するためにログを Azure Sentinel に取り込むこともできます。Additionally, you can ingest logs into Azure Sentinel for further investigation.

Azure Active Directory の危険なサインインを表示する方法: https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-risky-sign-insHow to view Azure Active Directory risky sign-ins: https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-risky-sign-ins

Identity Protection のリスク ポリシーを構成して有効にする方法: https://docs.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-risk-policiesHow to configure and enable Identity Protection risk policies: https://docs.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-risk-policies

Azure Sentinel をオンボードする方法: https://docs.microsoft.com/azure/sentinel/quickstart-onboardHow to onboard Azure Sentinel: https://docs.microsoft.com/azure/sentinel/quickstart-onboard

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.13: サポート シナリオで関連する顧客データに Microsoft がアクセスできるようにする3.13: Provide Microsoft with access to relevant customer data during support scenarios

ガイダンス:カスタマー ロックボックスは、Cosmos DB には適用されません。Guidance: Customer Lockbox is not applicable for Cosmos DB. Microsoft の従業員は、顧客から許可されていてもデータ リソースにアクセスできません。Microsoft employees cannot access data resources even with customer permissions.

カスタマー ロックボックスでサポートされているサービスの一覧: https://docs.microsoft.com/azure/security/fundamentals/customer-lockbox-overview#supported-services-and-scenarios-in-general-availabilityList of Customer Lockbox supported services: https://docs.microsoft.com/azure/security/fundamentals/customer-lockbox-overview#supported-services-and-scenarios-in-general-availability

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

データ保護Data Protection

詳細については、「セキュリティ コントロール: データ保護」を参照してください。For more information, see Security Control: Data Protection.

4.1: 機密情報のインベントリを維持する4.1: Maintain an inventory of sensitive Information

ガイダンス: 機密情報を格納または処理する Azure Cosmos DB インスタンスを追跡しやすくするには、タグを使用します。Guidance: Use tags to assist in tracking Azure Cosmos DB instances that store or process sensitive information.

タグを作成して使用する方法: https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tagsHow to create and use tags: https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tags

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

4.2:機密情報を格納または処理するシステムを分離する4.2: Isolate systems storing or processing sensitive information

ガイダンス:開発、テスト、および運用で別々のサブスクリプションまたは管理グループ、あるいはその両方を実装します。Guidance: Implement separate subscriptions and/or management groups for development, test, and production. Azure Cosmos DB インスタンスは、仮想ネットワークまたはサブネットで分離され、適切なタグが付けられ、ネットワーク セキュリティ グループ (NSG) または Azure Firewall 内でセキュリティ保護されます。Azure Cosmos DB instances are separated by virtual network/subnet, tagged appropriately, and secured within a network security group (NSG) or Azure Firewall. 機密データを格納する Azure Cosmos DB インスタンスは、分離する必要があります。Azure Cosmos DB instances storing sensitive data should be isolated. Azure Private Link を使用すると、プライベート エンドポイント経由で Azure Cosmos DB インスタンス アカウントに接続できます。By using Azure Private Link, you can connect to an Azure Cosmos DB instance account via a private endpoint. プライベート エンドポイントは、仮想ネットワークのサブネットにある一組のプライベート IP アドレスです。The private endpoint is a set of private IP addresses in a subnet within your virtual network. その後、選択したプライベート IP アドレスへのアクセスを制限できます。You can then limit access to the selected private IP addresses.

追加の Azure サブスクリプションを作成する方法: https://docs.microsoft.com/azure/billing/billing-create-subscriptionHow to create additional Azure subscriptions: https://docs.microsoft.com/azure/billing/billing-create-subscription

管理グループを作成する方法: https://docs.microsoft.com/azure/governance/management-groups/createHow to create management groups: https://docs.microsoft.com/azure/governance/management-groups/create

タグを作成して使用する方法: https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tagsHow to create and use tags: https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tags

Azure Cosmos DB のプライベート エンドポイントを構成する方法: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpointsHow to configure a Private Endpoint for Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints

セキュリティ構成を使用してネットワーク セキュリティ グループを作成する方法: https://docs.microsoft.com/azure/virtual-network/tutorial-filter-network-trafficHow to create a Network Security Group with a Security Config: https://docs.microsoft.com/azure/virtual-network/tutorial-filter-network-traffic

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

4.3:機密情報の承認されていない転送を監視してブロックする4.3: Monitor and block unauthorized transfer of sensitive information

ガイダンス: Azure Cosmos DB の Advanced Threat Protection をデプロイすることができます。これにより、データベースに対して通常と異なる潜在的に有害なアクセスまたは悪用が試行されたことを示す異常なアクティビティが検出されます。Guidance: You can deploy Advanced Threat Protection for Azure Cosmos DB, which will detect anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases. 現在、これにより次のアラートがトリガーされる場合があります。It can currently trigger the following alerts:

  • 通常と異なる場所からのアクセスAccess from unusual locations

  • 通常と異なるデータの抽出Unusual data extraction

さらに、仮想マシンを使用して Azure Cosmos DB インスタンスにアクセスする場合は、Private Link、Firewall、ネットワーク セキュリティ グループ、サービス タグを使用して、データ窃盗の可能性を軽減します。Additionally, when using virtual machines to access your Azure Cosmos DB instances, make use of Private Link, Firewall, network security groups, and service tags to mitigate the possibility of data exfiltration. Microsoft では、Azure Cosmos DB 用の基になるインフラストラクチャを管理し、顧客データの損失や漏洩を防ぐための厳格な管理を実施してきました。Microsoft manages the underlying infrastructure for Azure Cosmos DB and has implemented strict controls to prevent the loss or exposure of customer data.

Cosmos DB Advanced Threat Protection を構成する方法: https://docs.microsoft.com/azure/cosmos-db/cosmos-db-advanced-threat-protectionHow to configure Cosmos DB Advanced Threat Protection: https://docs.microsoft.com/azure/cosmos-db/cosmos-db-advanced-threat-protection

Azure での顧客データの保護の概要: https://docs.microsoft.com/azure/security/fundamentals/protection-customer-dataUnderstand customer data protection in Azure: https://docs.microsoft.com/azure/security/fundamentals/protection-customer-data

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: 共有Responsibility: Shared

4.4:転送中のすべての機密情報を暗号化する4.4: Encrypt all sensitive information in transit

ガイダンス: Azure Cosmos DB へのすべての接続で HTTPS がサポートされます。Guidance: All connections to Azure Cosmos DB support HTTPS. Azure Cosmos DB では TLS 1.2 もサポートされます。Azure Cosmos DB also supports TLS1.2. サーバー側で最低限の TLS バージョンを強制できます。It is possible to enforce a minimum TLS version server-side. それを行うには、azurecosmosdbtls@service.microsoft.com にお問い合わせください。To do so, please contact azurecosmosdbtls@service.microsoft.com.

Cosmos DB セキュリティの概要: https://docs.microsoft.com/azure/cosmos-db/database-securityOverview of Cosmos DB Security: https://docs.microsoft.com/azure/cosmos-db/database-security

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

4.5:アクティブ検出ツールを使用して機密データを特定する4.5: Use an active discovery tool to identify sensitive data

ガイダンス: Azure Cosmos DB では、データの自動識別、分類、損失防止の各機能はまだ使用できません。Guidance: Automatic data identification, classification, and loss prevention features are not yet available for Azure Cosmos DB. ただし、分類とデータ分析には、Azure Cognitive Search 統合を使用できます。However, you can use the Azure Cognitive Search integration for classification and data analysis. さらに、コンプライアンスのために、必要に応じて、サードパーティ製のソリューションを実装することもできます。You can also implement a third-party solution if required for compliance purposes.

Microsoft によって管理される基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護するためにあらゆる手段を尽くします。For the underlying platform which is managed by Microsoft, Microsoft treats all customer content as sensitive and goes to great lengths to guard against customer data loss and exposure. Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Azure Cognitive Search を使用して Azure Cosmos DB データのインデックスを作成する方法: https://docs.microsoft.com/azure/search/search-howto-index-cosmosdb?toc=/azure/cosmos-db/toc.json&bc=/azure/cosmos-db/breadcrumb/toc.jsonIndex Azure Cosmos DB data with Azure Cognitive Search: https://docs.microsoft.com/azure/search/search-howto-index-cosmosdb?toc=/azure/cosmos-db/toc.json&bc=/azure/cosmos-db/breadcrumb/toc.json

Azure での顧客データの保護の概要: https://docs.microsoft.com/azure/security/fundamentals/protection-customer-dataUnderstand customer data protection in Azure: https://docs.microsoft.com/azure/security/fundamentals/protection-customer-data

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

4.6:Azure RBAC を使用してリソースへのアクセスを制御する4.6: Use Azure RBAC to control access to resources

ガイダンス:Azure Cosmos DB には、Azure Cosmos DB の一般的な管理シナリオに対応する Azure ロールベースのアクセス制御 (Azure RBAC) が組み込まれています。Guidance: Azure Cosmos DB provides built-in Azure role-based access control (Azure RBAC) for common management scenarios in Azure Cosmos DB. Azure Active Directory にプロファイルを持つ個人は、これらの Azure ロールをユーザー、グループ、サービス プリンシパル、またはマネージド ID に割り当てて、Azure Cosmos DB リソース上のリソースと操作へのアクセスを許可または拒否できます。An individual who has a profile in Azure Active Directory can assign these Azure roles to users, groups, service principals, or managed identities to grant or deny access to resources and operations on Azure Cosmos DB resources. ロールの割り当ては、Azure Cosmos アカウント、データベース、コンテナー、およびオファー (スループット) へのアクセスを含む、コントロールプレーン アクセスのみに限定されています。Role assignments are scoped to control-plane access only, which includes access to Azure Cosmos accounts, databases, containers, and offers (throughput).

Azure Cosmos DB で Azure RBAC を実装する方法: https://docs.microsoft.com/azure/cosmos-db/role-based-access-controlHow to implement Azure RBAC in Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/role-based-access-control

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

4.7:ホストベースのデータ損失防止を使用してアクセス制御を実施する4.7: Use host-based data loss prevention to enforce access control

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Microsoft では、Cosmos DB 用の基になるインフラストラクチャを管理し、顧客データの損失や漏洩を防ぐための厳格な管理を実施してきました。Microsoft manages the underlying infrastructure for Cosmos DB and has implemented strict controls to prevent the loss or exposure of customer data.

Azure での顧客データの保護の概要: https://docs.microsoft.com/azure/security/fundamentals/protection-customer-dataUnderstand customer data protection in Azure: https://docs.microsoft.com/azure/security/fundamentals/protection-customer-data

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

4.8:機密情報を保存時に暗号化する4.8: Encrypt sensitive information at rest

ガイダンス: Cosmos DB に格納されているユーザー データはすべて、既定により、保存時に暗号化されます。Guidance: All user data stored in Cosmos DB is encrypted at rest by default. これをオフにするコントロールはありません。There are no controls to turn it off. Azure Cosmos DB では、アカウントが実行されているすべてのリージョンで AES 256 暗号化が使われます。Azure Cosmos DB uses AES-256 encryption on all regions where the account is running.

既定では、お使いの Azure Cosmos アカウントのデータの暗号化に使用するキーは Microsoft が管理します。By default, Microsoft manages the keys that are used to encrypt the data in your Azure Cosmos account. 必要に応じ、お使いのご自分のキーに 2 番目の暗号化レイヤーの追加を選択できます。You can optionally choose to add a second layer of encryption with your own keys.

Azure Cosmos DB での保存時の暗号化の概要: https://docs.microsoft.com/azure/cosmos-db/database-encryption-at-restUnderstanding encryption at rest with Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/database-encryption-at-rest

Azure Cosmos DB での保存時の暗号化のためのキー管理の概要: https://docs.microsoft.com/azure/cosmos-db/cosmos-db-security-controlsUnderstanding key management for encryption at rest with Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/cosmos-db-security-controls

Azure Cosmos DB アカウントのカスタマー マネージド キーを構成する方法: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-cmkHow to configure customer-managed keys for your Azure Cosmos DB account: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-cmk

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

4.9:重要な Azure リソースへの変更に関するログとアラート4.9: Log and alert on changes to critical Azure resources

ガイダンス: Azure アクティビティ ログで Azure Monitor を使用して、Azure Cosmos DB の実稼働インスタンスに対して変更が行われたときのアラートを作成します。Guidance: Use Azure Monitor with the Azure Activity Log to create alerts for when changes take place to production instances of Azure Cosmos DB.

Azure アクティビティ ログ イベントのアラートを作成する方法: https://docs.microsoft.com/azure/azure-monitor/platform/alerts-activity-logHow to create alerts for Azure Activity Log events: https://docs.microsoft.com/azure/azure-monitor/platform/alerts-activity-log

Azure アクティビティ ログ イベントのアラートを作成する方法: https://docs.microsoft.com/azure/azure-monitor/platform/alerts-activity-logHow to create alerts for Azure Activity Log events: https://docs.microsoft.com/azure/azure-monitor/platform/alerts-activity-log

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

脆弱性の管理Vulnerability Management

詳細については、「セキュリティ コントロール: 脆弱性の管理」を参照してください。For more information, see Security Control: Vulnerability Management.

5.1:自動化された脆弱性スキャン ツールを実行する5.1: Run automated vulnerability scanning tools

ガイダンス:Azure Security Center からの Azure Cosmos DB インスタンスに関する推奨事項に従います。Guidance: Follow recommendations from Azure Security Center for your Azure Cosmos DB instances.

Microsoft では、Azure Cosmos DB インスタンスをサポートする、基になるホストに対してシステム パッチと脆弱性管理を実行します。Microsoft performs system patching and vulnerability management on the underlying hosts that support your Azure Cosmos DB instances. Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Azure Security Center でサポートされている使用可能な機能: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windowsSupported features available in Azure Security Center: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: 共有Responsibility: Shared

5.2:自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する5.2: Deploy automated operating system patch management solution

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

5.3:サードパーティの自動化されたソフトウェア修正プログラム管理ソリューションを展開する5.3: Deploy automated third-party software patch management solution

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

5.4:バックツーバックの脆弱性スキャンを比較する5.4: Compare back-to-back vulnerability scans

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

5.5:リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける5.5: Use a risk-rating process to prioritize the remediation of discovered vulnerabilities

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

インベントリと資産の管理Inventory and Asset Management

詳細については、「セキュリティ コントロール: インベントリと資産の管理」を参照してください。For more information, see Security Control: Inventory and Asset Management.

6.1:Azure Asset Discovery を使用する6.1: Use Azure Asset Discovery

ガイダンス: Azure portal または Azure Resource Graph を使用して、サブスクリプション内のすべてのリソース (Azure Cosmos DB に限定されず、コンピューティング、その他のストレージ、ネットワーク、ポート プロトコルなどのリソースも含まれます) を検出します。Guidance: Use the Azure portal or Azure Resource Graph to discover all resources (not limited to Azure Cosmos DB, but also including resources such as compute, other storage, network, ports, and protocols etc.) within your subscription(s). テナント内の適切なアクセス許可を持っていること、およびサブスクリプション内のリソースだけでなく、すべての Azure サブスクリプションを列挙できることを確認します。Ensure you have appropriate permissions in your tenant and are able to enumerate all Azure subscriptions as well as resources within your subscriptions.

従来の Azure リソースは Resource Graph で検出できますが、今後は Azure Resource Manager リソースを作成して使用することを強くお勧めします。Although classic Azure resources may be discovered via Resource Graph, it is highly recommended to create and use Azure Resource Manager resources going forward.

Azure Resource Graph を使用してクエリを作成する方法: https://docs.microsoft.com/azure/governance/resource-graph/first-query-portalHow to create queries with Azure Resource Graph: https://docs.microsoft.com/azure/governance/resource-graph/first-query-portal

Azure サブスクリプションを表示する方法: https://docs.microsoft.com/powershell/module/az.accounts/get-azsubscription?view=azps-3.0.0&preserve-view=trueHow to view your Azure Subscriptions: https://docs.microsoft.com/powershell/module/az.accounts/get-azsubscription?view=azps-3.0.0&preserve-view=true

Azure ロールベースのアクセス制御の概要: https://docs.microsoft.com/azure/role-based-access-control/overviewUnderstanding Azure role-based access control: https://docs.microsoft.com/azure/role-based-access-control/overview

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.2:資産メタデータを保持する6.2: Maintain asset metadata

ガイダンス:メタデータを使用して Azure Cosmos DB インスタンスと関連リソースにタグを適用し、それらを論理的に整理して分類します。Guidance: Apply tags to your Azure Cosmos DB instances and related resources with metadata to logically organize them into a taxonomy.

タグを作成して使用する方法: https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tagsHow to create and use tags: https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tags

タグをサポートする Azure Cosmos DB リソース: https://docs.microsoft.com/azure/azure-resource-manager/management/tag-support#microsoftdocumentdbWhich Azure Cosmos DB resources support tags: https://docs.microsoft.com/azure/azure-resource-manager/management/tag-support#microsoftdocumentdb

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.3:承認されていない Azure リソースを削除する6.3: Delete unauthorized Azure resources

ガイダンス: タグ付け、管理グループ、必要に応じて個別のサブスクリプションを使用して、資産 (Azure Cosmos DB リソースも含まれますが、これに限定されません) の整理と追跡を行うことができます。Guidance: Use tagging, management groups, and separate subscriptions, where appropriate, to organize and track assets, including but not limited to Azure Cosmos DB resources. 定期的にインベントリを調整し、承認されていないリソースがサブスクリプションから適切なタイミングで削除されるようにします。Reconcile inventory on a regular basis and ensure unauthorized resources are deleted from the subscription in a timely manner.

追加の Azure サブスクリプションを作成する方法: https://docs.microsoft.com/azure/billing/billing-create-subscriptionHow to create additional Azure subscriptions: https://docs.microsoft.com/azure/billing/billing-create-subscription

管理グループを作成する方法: https://docs.microsoft.com/azure/governance/management-groups/createHow to create Management Groups: https://docs.microsoft.com/azure/governance/management-groups/create

タグを作成して使用する方法: https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tagsHow to create and use Tags: https://docs.microsoft.com/azure/azure-resource-manager/resource-group-using-tags

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.4:承認された Azure リソースとソフトウェア タイトルのインベントリを管理する6.4: Maintain an inventory of approved Azure resources and software titles

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースと Azure 全体を対象にしています。Guidance: Not applicable; this guideline is intended for compute resources and Azure as a whole.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.5:承認されていない Azure リソースを監視する6.5: Monitor for unapproved Azure resources

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。Guidance: Use Azure Policy to put restrictions on the type of resources that can be created in customer subscription(s) using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types

  • 許可されるリソースの種類Allowed resource types

また、Azure Resource Graph を使用すると、サブスクリプション内のリソースのクエリまたは検出を行えます。In addition, use the Azure Resource Graph to query/discover resources within the subscription(s).

Azure Policy を構成して管理する方法: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manageHow to configure and manage Azure Policy: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Graph を使用してクエリを作成する方法: https://docs.microsoft.com/azure/governance/resource-graph/first-query-portalHow to create queries with Azure Graph: https://docs.microsoft.com/azure/governance/resource-graph/first-query-portal

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.6:コンピューティング リソース内の承認されていないソフトウェア アプリケーションを監視する6.6: Monitor for unapproved software applications within compute resources

ガイダンス: 適用できません。このベースラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this baseline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.7:承認されていない Azure リソースとソフトウェア アプリケーションを削除する6.7: Remove unapproved Azure resources and software applications

ガイダンス:適用できません。このガイドラインは、コンピューティング リソースと Azure 全体を対象にしています。Guidance: Not applicable; this guideline is intended for compute resources and Azure as a whole.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.8:承認されたアプリケーションのみを使用する6.8: Use only approved applications

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.9:承認された Azure サービスのみを使用する6.9: Use only approved Azure services

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。Guidance: Use Azure Policy to put restrictions on the type of resources that can be created in customer subscription(s) using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types

  • 許可されるリソースの種類Allowed resource types

Azure Policy を構成して管理する方法: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manageHow to configure and manage Azure Policy: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Policy を使用して特定のリソースの種類を拒否する方法: https://docs.microsoft.com/azure/governance/policy/samples/not-allowed-resource-typesHow to deny a specific resource type with Azure Policy: https://docs.microsoft.com/azure/governance/policy/samples/not-allowed-resource-types

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.10:承認されたアプリケーションの一覧を実装する6.10: Implement approved application list

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.11:スクリプトを使用して Azure Resource Manager を操作するユーザーの権限を制限する6.11: Limit users' ability to interact with AzureResources Manager via scripts

ガイダンス: Azure Conditional Access を使用して Azure Resource Manager を操作するユーザーの権限を制限するには、"Microsoft Azure 管理" アプリに対して [アクセスのブロック] を構成します。Guidance: Use the Azure Conditional Access to limit users' ability to interact with Azure Resource Manager by configuring "Block access" for the "Microsoft Azure Management" App. これにより、高セキュリティ環境内でのリソースの作成や変更を防ぐことができます。This can prevent the creation and changes to resources within a high security environment.

条件付きアクセスを構成して Azure Resource Manager へのアクセスをブロックする方法: https://docs.microsoft.com/azure/role-based-access-control/conditional-access-azure-managementHow to configure Conditional Access to block access to Azure Resource Manager: https://docs.microsoft.com/azure/role-based-access-control/conditional-access-azure-management

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.12:コンピューティング リソース内でスクリプトを実行するユーザーの機能を制限する6.12: Limit users' ability to execute scripts within compute resources

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.13:リスクの高いアプリケーションを物理的または論理的に分離する6.13: Physically or logically segregate high risk applications

ガイダンス:適用できません。このガイドラインは、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。Guidance: Not applicable; this guideline is intended for web applications running on Azure App Service or compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

セキュリティで保護された構成Secure Configuration

詳細については、「セキュリティ コントロール: セキュリティで保護された構成」を参照してください。For more information, see Security Control: Secure Configuration.

7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する7.1: Establish secure configurations for all Azure resources

ガイダンス:Azure Policy を使用して、Cosmos DB インスタンスの標準的なセキュリティ構成を定義して実装します。Guidance: Define and implement standard security configurations for your Cosmos DB instances with Azure Policy. "Microsoft.DocumentDB" 名前空間で Azure Policy エイリアスを使用して、Cosmos DB インスタンスの構成を監査または適用するためのカスタム ポリシーを作成します。Use Azure Policy aliases in the "Microsoft.DocumentDB" namespace to create custom policies to audit or enforce the configuration of your Cosmos DB instances. また、次のような Azure Cosmos DB 用の組み込みのポリシー定義を使用することもできます。You may also make use of built-in policy definitions for Azure Cosmos DB, such as:

  • Cosmos DB アカウントの Advanced Threat Protection のデプロイDeploy Advanced Threat Protection for Cosmos DB Accounts

  • Cosmos DB は仮想ネットワーク サービス エンドポイントを使用する必要があるCosmos DB should use a virtual network service endpoint

使用可能な Azure Policy エイリアスを表示する方法: https://docs.microsoft.com/powershell/module/az.resources/get-azpolicyalias?view=azps-3.3.0&preserve-view=trueHow to view available Azure Policy aliases: https://docs.microsoft.com/powershell/module/az.resources/get-azpolicyalias?view=azps-3.3.0&preserve-view=true

Azure Policy を構成して管理する方法: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manageHow to configure and manage Azure Policy: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.2:セキュリティで保護されたオペレーティング システムの構成を確立する7.2: Establish secure operating system configurations

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.3:セキュリティで保護された Azure リソースの構成を維持する7.3: Maintain secure Azure resource configurations

ガイダンス:Azure リソース全体にセキュリティで保護された設定を適用するには、Azure Policy の [deny] と [deploy if not exist] を使用します。Guidance: Use Azure Policy [deny] and [deploy if not exist] to enforce secure settings across your Azure resources.

Azure Policy を構成して管理する方法: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manageHow to configure and manage Azure Policy: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Policy の効果の概要: https://docs.microsoft.com/azure/governance/policy/concepts/effectsUnderstand Azure Policy Effects: https://docs.microsoft.com/azure/governance/policy/concepts/effects

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.4:セキュリティで保護されたオペレーティング システムの構成を維持する7.4: Maintain secure operating system configurations

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.5:Azure リソースの構成を安全に格納する7.5: Securely store configuration of Azure resources

ガイダンス:Cosmos DB または関連リソースにカスタムの Azure Policy 定義を使用している場合は、Azure Repos を使用してコードを安全に格納して管理します。Guidance: If using custom Azure Policy definitions for your Cosmos DB or related resources, use Azure Repos to securely store and manage your code.

Azure Repos のドキュメント: https://docs.microsoft.com/azure/devops/repos/index?view=azure-devops&preserve-view=true https://docs.microsoft.com/azure/devops/repos/git/gitworkflow?view=azure-devops&preserve-view=trueAzure Repos Documentation: https://docs.microsoft.com/azure/devops/repos/index?view=azure-devops&preserve-view=true https://docs.microsoft.com/azure/devops/repos/git/gitworkflow?view=azure-devops&preserve-view=true

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.6:カスタム オペレーティング システム イメージを安全に格納する7.6: Securely store custom operating system images

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.7:システム構成管理ツールをデプロイする7.7: Deploy system configuration management tools

ガイダンス: "Microsoft.DocumentDB" 名前空間で Azure Policy エイリアスを使用して、システム構成を警告処理、監査、適用するためのカスタム ポリシーを作成します。Guidance: Use Azure Policy aliases in the "Microsoft.DocumentDB" namespace to create custom policies to alert, audit, and enforce system configurations. さらに、ポリシー例外を管理するためのプロセスとパイプラインを作成します。Additionally, develop a process and pipeline for managing policy exceptions.

Azure Policy を構成して管理する方法: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manageHow to configure and manage Azure Policy: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.8:オペレーティング システム用のシステム構成管理ツールをデプロイする7.8: Deploy system configuration management tools for operating systems

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.9:Azure サービスの自動構成監視を実装する7.9: Implement automated configuration monitoring for Azure services

ガイダンス: "Microsoft.DocumentDB" 名前空間で Azure Policy エイリアスを使用して、システム構成を警告処理、監査、適用するためのカスタム ポリシーを作成します。Guidance: Use Azure Policy aliases in the "Microsoft.DocumentDB" namespace to create custom policies to alert, audit, and enforce system configurations. Azure Policy の [audit]、[deny]、[deploy if not exist] を使用して、Azure Cosmos DB インスタンスおよび関連リソースの構成を自動的に適用します。Use Azure Policy [audit], [deny], and [deploy if not exist] to automatically enforce configurations for your Azure Cosmos DB instances and related resources.

Azure Policy を構成して管理する方法: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manageHow to configure and manage Azure Policy: https://docs.microsoft.com/azure/governance/policy/tutorials/create-and-manage

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.10:オペレーティング システムの自動構成監視を実装する7.10: Implement automated configuration monitoring for operating systems

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.11:Azure シークレットを安全に管理する7.11: Manage Azure secrets securely

ガイダンス: Azure Cosmos DB インスタンスへのアクセスに使用されている Azure App Service で実行中の Azure 仮想マシンまたは Web アプリでは、マネージド サービス ID を Azure Key Vault と組み合わせて使用して、Azure Cosmos DB のシークレット管理を簡素化し、セキュリティで保護します。Guidance: For Azure virtual machines or web applications running on Azure App Service being used to access your Azure Cosmos DB instances, use Managed Service Identity in conjunction with Azure Key Vault to simplify and secure Azure Cosmos DB secret management. Key Vault の論理的な削除が有効になっていることを確認します。Ensure Key Vault Soft Delete is enabled.

Azure マネージド ID と統合する方法: https://docs.microsoft.com/azure/azure-app-configuration/howto-integrate-azure-managed-service-identityHow to integrate with Azure Managed Identities: https://docs.microsoft.com/azure/azure-app-configuration/howto-integrate-azure-managed-service-identity

キー コンテナーを作成する方法: https://docs.microsoft.com/azure/key-vault/general/quick-create-portalHow to create a Key Vault: https://docs.microsoft.com/azure/key-vault/general/quick-create-portal

Key Vault に対して認証を行う方法: https://docs.microsoft.com/azure/key-vault/general/authenticationHow to authenticate to Key Vault: https://docs.microsoft.com/azure/key-vault/general/authentication

Key Vault のアクセス ポリシーを割り当てる方法: https://docs.microsoft.com/azure/key-vault/general/assign-access-policy-portalHow to assign a Key Vault access policy: https://docs.microsoft.com/azure/key-vault/general/assign-access-policy-portal

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

7.12:ID を安全かつ自動的に管理する7.12: Manage identities securely and automatically

ガイダンス: Azure Cosmos DB インスタンスへのアクセスに使用されている Azure App Service で実行中の Azure 仮想マシンまたは Web アプリでは、マネージド サービス ID を Azure Key Vault と組み合わせて使用して、Azure Cosmos DB のシークレット管理を簡素化し、セキュリティで保護します。Guidance: For Azure virtual machines or web applications running on Azure App Service being used to access your Azure Cosmos DB instances, use Managed Service Identity in conjunction with Azure Key Vault to simplify and secure Azure Cosmos DB secret management.

マネージド ID を使用して、Azure Active Directory (AD) で自動的に管理される ID を Azure サービスに提供します。Use Managed Identities to provide Azure services with an automatically managed identity in Azure Active Directory (AD). マネージド ID を使用すると、コードに資格情報を追加しなくても、Azure AD の認証をサポートするさまざまなサービス (Key Vault を含む) に対して認証を行うことができます。Managed Identities allows you to authenticate to any service that supports Azure AD authentication, including Key Vault, without any credentials in your code.

マネージド ID を構成する方法: https://docs.microsoft.com/azure/active-directory/managed-identities-azure-resources/qs-configure-portal-windows-vmHow to configure Managed Identities: https://docs.microsoft.com/azure/active-directory/managed-identities-azure-resources/qs-configure-portal-windows-vm

Azure マネージド ID と統合する方法: https://docs.microsoft.com/azure/azure-app-configuration/howto-integrate-azure-managed-service-identityHow to integrate with Azure Managed Identities: https://docs.microsoft.com/azure/azure-app-configuration/howto-integrate-azure-managed-service-identity

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

7.13:意図しない資格情報の公開を排除する7.13: Eliminate unintended credential exposure

ガイダンス: コード内で資格情報を特定する資格情報スキャナーを実装します。Guidance: Implement Credential Scanner to identify credentials within code. また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。Credential Scanner will also encourage moving discovered credentials to more secure locations such as Azure Key Vault.

資格情報スキャナーを設定する方法: https://secdevtools.azurewebsites.net/helpcredscan.htmlHow to set up Credential Scanner: https://secdevtools.azurewebsites.net/helpcredscan.html

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

マルウェアからの防御Malware Defense

詳細については、「セキュリティ コントロール: マルウェアからの防御」を参照してください。For more information, see Security Control: Malware Defense.

8.1:一元管理されるマルウェア対策ソフトウェアを使用する8.1: Use centrally managed anti-malware software

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources. Microsoft Antimalware は、Azure サービス (Azure App Service など) をサポートする基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。Microsoft Antimalware is enabled on the underlying host that supports Azure services (for example, Azure App Service), however it does not run on customer content.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

8.2:非コンピューティング Azure リソースにアップロードするファイルを事前にスキャンする8.2: Pre-scan files to be uploaded to non-compute Azure resources

ガイダンス:Microsoft Antimalware は、Azure サービス (Azure App Service など) をサポートする基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。Guidance: Microsoft Antimalware is enabled on the underlying host that supports Azure services (for example, Azure App Service), however it does not run on customer content.

Azure Cosmos DB を含む非コンピューティング Azure リソースにアップロードされているファイルを事前にスキャンする必要があります。It is your responsibility to pre-scan any files being uploaded to non-compute Azure resources, including Azure Cosmos DB. Microsoft は、お客様のデータにアクセスできないため、お客様に代わってお客様のコンテンツのマルウェア対策スキャンを実行することはできません。Microsoft cannot access customer data, and therefore cannot conduct anti-malware scans of customer content on your behalf.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

手順 8.3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする8.3: Ensure anti-malware software and signatures are updated

ガイダンス: 適用できません。ベンチマークは、コンピューティング リソースを対象にしています。Guidance: Not applicable; benchmark is intended for compute resources. Microsoft Antimalware は、Azure サービスをサポートする基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。Microsoft Antimalware is enabled on the underlying host that supports Azure services, however it does not run on customer content.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

データの復旧Data Recovery

詳細については、「セキュリティ コントロール: データの復旧」を参照してください。For more information, see Security Control: Data Recovery.

9.1:定期的に自動バックアップを行う9.1: Ensure regular automated back ups

ガイダンス:Azure Cosmos DB では、4 時間ごとにデータのスナップショットが取得されます。Guidance: Azure Cosmos DB takes snapshots of your data every four hours. すべてのバックアップは別々のストレージ サービス内に個別に保存されます。これらのバックアップは、リージョンの障害からの回復性を確保するためにグローバルにレプリケートされます。All the backups are stored separately in a storage service, and those backups are globally replicated for resiliency against regional disasters. どのような場合でも、最新の 2 つのスナップショットのみが保持されます。At any given time, only the last two snapshots are retained. ただし、コンテナーまたはデータベースが削除された場合、Azure Cosmos DB には、ある特定のコンテナーまたはデータベースの既存のスナップショットが 30 日間保持されます。However, if the container or database is deleted, Azure Cosmos DB retains the existing snapshots of a given container or database for 30 days. Azure サポートに連絡して、バックアップから復元してください。Contact Azure Support to restore from a backup.

Azure Cosmos DB の自動バックアップの概要: https://docs.microsoft.com/azure/cosmos-db/online-backup-and-restoreUnderstanding Azure Cosmos DB Automated Backups: https://docs.microsoft.com/azure/cosmos-db/online-backup-and-restore

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

9.2: システムの完全バックアップを実行し、カスタマー マネージド キーをバックアップする9.2: Perform complete system backups and backup any customer managed keys

ガイダンス: Azure Cosmos DB では、データのバックアップが一定の間隔で自動的に取得されます。Guidance: Azure Cosmos DB automatically takes backups of your data at regular intervals. データベースまたはコンテナーを削除した場合、サポート チケットを申請するか、Azure サポートに連絡して、自動オンライン バックアップからデータを復元できます。If database or container is deleted, you can file a support ticket or call Azure support to restore the data from automatic online backups. Azure サポートは、Standard、Developer、またはそれよりも高度なプランなどの特定のプランでのみ利用できます。Azure support is available for selected plans only such as Standard, Developer, and plans higher than them. バックアップの特定のスナップショットを復元するには、該当のスナップショットのバックアップ サイクル期間中にデータが利用可能であることが、Azure Cosmos DB から求められます。To restore a specific snapshot of the backup, Azure Cosmos DB requires that the data is available for the duration of the backup cycle for that snapshot.

Key Vault を使用して Cosmos DB インスタンスの資格情報を格納する場合は、キーの自動バックアップが定期的に実行されていることを確認してください。If using Key Vault to store credentials for your Cosmos DB instances, ensure regular automated backups of your keys.

Azure Cosmos DB の自動バックアップの概要: https://docs.microsoft.com/azure/cosmos-db/online-backup-and-restoreUnderstand Azure Cosmos DB Automated Backups: https://docs.microsoft.com/azure/cosmos-db/online-backup-and-restore

Azure Cosmos DB 内のデータを復元する方法: https://docs.microsoft.com/azure/cosmos-db/how-to-backup-and-restoreHow to restore data in Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/how-to-backup-and-restore

Key Vault のキーをバックアップする方法: https://docs.microsoft.com/powershell/module/azurerm.keyvault/backup-azurekeyvaultkeyHow to backup Key Vault Keys: https://docs.microsoft.com/powershell/module/azurerm.keyvault/backup-azurekeyvaultkey

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

9.3:カスタマー マネージド キーを含むすべてのバックアップを検証する9.3: Validate all backups including customer managed keys

ガイダンス: データベースまたはコンテナーを削除した場合、サポート チケットを申請するか、Azure サポートに連絡して、自動オンライン バックアップからデータを復元できます。Guidance: If database or container is deleted, you can file a support ticket or call Azure support to restore the data from automatic online backups. Azure サポートは、Standard、Developer、またはそれよりも高度なプランなどの特定のプランでのみ利用できます。Azure support is available for selected plans only such as Standard, Developer, and plans higher than them. バックアップの特定のスナップショットを復元するには、該当のスナップショットのバックアップ サイクル期間中にデータが利用可能であることが、Azure Cosmos DB から求められます。To restore a specific snapshot of the backup, Azure Cosmos DB requires that the data is available for the duration of the backup cycle for that snapshot.

PowerShell を使用して、Azure Key Vault に格納されているシークレットの復元をテストします。Test restoration of your secrets stored in Azure Key Vault using PowerShell. Restore-AzureKeyVaultKey コマンドレットは、指定されたキー コンテナー内にキーを作成します。The Restore-AzureKeyVaultKey cmdlet creates a key in the specified key vault. このキーは、入力ファイル内のバックアップ キーのレプリカであり、元のキーと同じ名前を持ちます。This key is a replica of the backed-up key in the input file and has the same name as the original key.

Azure Cosmos DB の自動バックアップの概要:Understand Azure Cosmos DB Automated Backups:

https://docs.microsoft.com/azure/cosmos-db/online-backup-and-restore

Azure Cosmos DB 内のデータを復元する方法:How to restore data in Azure Cosmos DB:

https://docs.microsoft.com/azure/cosmos-db/how-to-backup-and-restore

Azure Key Vault のシークレットを復元する方法:How to restore Azure Key Vault Secrets:

https://docs.microsoft.com/powershell/module/azurerm.keyvault/restore-azurekeyvaultkey?view=azurermps-6.13.0&preserve-view=true

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

9.4: バックアップとカスタマー マネージド キーの保護を確保する9.4: Ensure protection of backups and customer managed keys

ガイダンス:Cosmos DB に保存されているすべてのユーザー データは、保存時と転送時に暗号化されているため、操作は何も必要ありません。Guidance: Because all user data stored in Cosmos DB is encrypted at rest and in transport, you don't have to take any action. つまり、保存時の暗号化機能は、既定で "オン" になっています。Another way to put this is that encryption at rest is "on" by default. オンまたはオフにするコントロールはありません。There are no controls to turn it off or on. Azure Cosmos DB では、アカウントが実行されているすべてのリージョンで AES 256 暗号化が使われます。Azure Cosmos DB uses AES-256 encryption on all regions where the account is running.

Key Vault で論理的な削除を有効にして、偶発的または悪意のある削除からキーを保護します。Enable Soft-Delete in Key Vault to protect keys against accidental or malicious deletion.

Azure Cosmos DB でのデータの暗号化の概要: https://docs.microsoft.com/azure/cosmos-db/database-encryption-at-restUnderstand data encryption in Azure Cosmos DB: https://docs.microsoft.com/azure/cosmos-db/database-encryption-at-rest

Key Vault で論理的な削除を有効にする方法: https://docs.microsoft.com/azure/storage/blobs/storage-blob-soft-delete?tabs=azure-portalHow to enable Soft-Delete in Key Vault: https://docs.microsoft.com/azure/storage/blobs/storage-blob-soft-delete?tabs=azure-portal

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: 共有Responsibility: Shared

インシデント対応Incident Response

詳細については、「セキュリティ コントロール: インシデント対応」を参照してください。For more information, see Security Control: Incident Response.

10.1:インシデント対応ガイドを作成する10.1: Create an incident response guide

ガイダンス: 組織のインシデント対応ガイドを作成します。Guidance: Build out an incident response guide for your organization. 要員のすべてのロールを定義するインシデント対応計画が記述されていることと、検出からインシデント後のレビューまでのインシデント対応/管理のフェーズがあることを確認します。Ensure that there are written incident response plans that define all roles of personnel as well as phases of incident handling/management from detection to post-incident review.

独自のインシデント対応計画の作成のために、NIST の「コンピューター セキュリティ インシデント対応ガイド」 (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf ) を利用することもできます。You may also leverage NIST's Computer Security Incident Handling Guide to aid in the creation of your own incident response plan: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

Azure Security Center 内でワークフロー自動化を構成する方法: https://docs.microsoft.com/azure/security-center/security-center-planning-and-operations-guideHow to configure Workflow Automations within Azure Security Center: https://docs.microsoft.com/azure/security-center/security-center-planning-and-operations-guide

独自のセキュリティ インシデント対応プロセスを構築するためのガイダンス: https://msrc-blog.microsoft.com/2019/07/01/inside-the-msrc-building-your-own-security-incident-response-process/Guidance on building your own security incident response process: https://msrc-blog.microsoft.com/2019/07/01/inside-the-msrc-building-your-own-security-incident-response-process/

Microsoft Security Response Center のインシデントの構造: https://msrc-blog.microsoft.com/2019/07/01/inside-the-msrc-building-your-own-security-incident-response-process/Microsoft Security Response Center's Anatomy of an Incident: https://msrc-blog.microsoft.com/2019/07/01/inside-the-msrc-building-your-own-security-incident-response-process/

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.2:インシデントのスコアリングと優先順位付けの手順を作成する10.2: Create an incident scoring and prioritization procedure

ガイダンス: Security Center によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。Guidance: Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. 重要度は、アラートの発行に使用された結果または分析における Security Center の信頼度と、アラートの原因となったアクティビティの背後に悪意のある目的があったかどうかの信頼レベルに基づいて決定されます。The severity is based on how confident the Security Center is in finding or the analytics used to issue the alert as well as the confidence level that there was malicious intent behind the activity that led to the alert.

また、サブスクリプション (Additionally, clearly mark subscriptions (for ex. 稼働、非稼働など) を明確にマークし、Azure リソースを明確に識別および分類するための命名システムを作成します。production, non-prod) and create a naming system to clearly identify and categorize Azure resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.3:セキュリティ対応手順のテスト10.3: Test security response procedures

ガイダンス: 定期的にシステムのインシデント対応機能をテストする演習を実施します。Guidance: Conduct exercises to test your systems' incident response capabilities on a regular cadence. 弱点やギャップを特定し、必要に応じて計画を見直します。Identify weak points and gaps and revise plan as needed.

NIST の出版物を参照してください。IT の計画と機能に関するテスト、トレーニング、演習プログラムのガイド: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-84.pdfRefer to NIST's publication: Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-84.pdf

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します10.4: Provide security incident contact details and configure alert notifications for security incidents

ガイダンス:セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) で、不正なユーザーまたは権限のないユーザーによるお客様のデータへのアクセスが検出された場合に、Microsoft からの連絡先として使用されます。Guidance: Security incident contact information will be used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that the customer's data has been accessed by an unlawful or unauthorized party. 事後にインシデントをレビューして、問題が解決されていることを確認します。Review incidents after the fact to ensure that issues are resolved.

Azure Security Center のセキュリティ連絡先を設定する方法: https://docs.microsoft.com/azure/security-center/security-center-provide-security-contact-detailsHow to set the Azure Security Center Security Contact: https://docs.microsoft.com/azure/security-center/security-center-provide-security-contact-details

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

10.5:インシデント対応システムにセキュリティ アラートを組み込む10.5: Incorporate security alerts into your incident response system

ガイダンス:連続エクスポート機能を使用して Azure Security Center のアラートと推奨事項をエクスポートします。Guidance: Export your Azure Security Center alerts and recommendations using the Continuous Export feature. 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。Continuous Export allows you to export alerts and recommendations either manually or in an ongoing, continuous fashion. Azure Security Center データ コネクタを使用して、アラートの Sentinel のストリーミングを実行できます。You may use the Azure Security Center data connector to stream the alerts Sentinel.

連続エクスポートを構成する方法: https://docs.microsoft.com/azure/security-center/continuous-exportHow to configure continuous export: https://docs.microsoft.com/azure/security-center/continuous-export

Azure Sentinel にアラートをストリーミングする方法: https://docs.microsoft.com/azure/sentinel/connect-azure-security-centerHow to stream alerts into Azure Sentinel: https://docs.microsoft.com/azure/sentinel/connect-azure-security-center

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.6:セキュリティ アラートへの対応を自動化する10.6: Automate the response to security alerts

ガイダンス:セキュリティ アラートやセキュリティに関する推奨事項に対して "Logic Apps" 経由で応答を自動的にトリガーするには、Azure Security Center のワークフローの自動化機能を使用します。Guidance: Use the Workflow Automation feature in Azure Security Center to automatically trigger responses via "Logic Apps" on security alerts and recommendations.

ワークフローの自動化と Logic Apps を構成する方法: https://docs.microsoft.com/azure/security-center/workflow-automationHow to configure Workflow Automation and Logic Apps: https://docs.microsoft.com/azure/security-center/workflow-automation

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

侵入テストとレッド チーム演習Penetration Tests and Red Team Exercises

詳細については、「セキュリティ コントロール: 侵入テストとレッド チーム演習」を参照してください。For more information, see Security Control: Penetration Tests and Red Team Exercises.

11.1:Azure リソースの通常の侵入テストを実施し、セキュリティに関する重大な調査結果がすべて、60 日以内に確実に修復されるようにします11.1: Conduct regular penetration testing of your Azure resources and ensure remediation of all critical security findings within 60 days

ガイダンス:お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft の活動規則 https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1 に従ってください。Guidance: Follow the Microsoft Rules of Engagement to ensure your Penetration Tests are not in violation of Microsoft policies: https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1

Microsoft マネージド クラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施の詳細については、こちらの https://gallery.technet.microsoft.com/Cloud-Red-Teaming-b837392e で確認できます。You can find more information on Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications, here: https://gallery.technet.microsoft.com/Cloud-Red-Teaming-b837392e

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

次のステップNext steps