Azure Data Explorer 用の Azure セキュリティ ベースラインAzure security baseline for Azure Data Explorer

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 1.0 のガイダンスが Azure Data Explorer に適用されます。This security baseline applies guidance from the Azure Security Benchmark version 1.0 to Azure Data Explorer. Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。The Azure Security Benchmark provides recommendations on how you can secure your cloud solutions on Azure. 内容は、セキュリティ制御 によってグループ化されています。これは、Azure セキュリティ ベンチマークと、Azure Data Explorer に適用できる関連ガイダンスによって定義されています。The content is grouped by the security controls defined by the Azure Security Benchmark and the related guidance applicable to Azure Data Explorer. Azure Data Explorer に適用できない 制御 は、除外されています。Controls not applicable to Azure Data Explorer have been excluded.

Azure Data Explorer を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Azure Data Explorer セキュリティ ベースライン マッピング ファイルを参照してください。To see how Azure Data Explorer completely maps to the Azure Security Benchmark, see the full Azure Data Explorer security baseline mapping file.

ネットワークのセキュリティNetwork Security

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。For more information, see the Azure Security Benchmark: Network Security.

1.1:仮想ネットワーク内の Azure リソースを保護する1.1: Protect Azure resources within virtual networks

ガイダンス: Azure Data Explorer では、ご利用の仮想ネットワーク内のサブネットへのクラスターのデプロイがサポートされています。Guidance: Azure Data Explorer supports deploying a cluster into a subnet in your virtual network. この機能を使用すれば、ご利用の Azure Data Explorer クラスターのトラフィックにネットワーク セキュリティ グループ (NSG) 規則を適用し、ご利用のオンプレミスのネットワークを Azure Data Explorer クラスターのサブネットに接続し、ご利用のデータ接続ソース (Event Hub や Event Grid) をサービス エンドポイントによってセキュリティで保護することができます。This capability enables you to enforce network security group (NSG) rules on your Azure Data Explorer cluster traffic, connect your on-premises network to Azure Data Explorer cluster's subnet, and Secure your data connection sources (Event Hub and Event Grid) with service endpoints.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.2:仮想ネットワーク、サブネット、ネットワーク インターフェイスの構成とトラフィックを監視してログに記録する1.2: Monitor and log the configuration and traffic of virtual networks, subnets, and network interfaces

ガイダンス: ネットワーク セキュリティ グループ (NSG) フロー ログを有効にし、トラフィック監査のためにログをストレージ アカウントに送信します。Guidance: Enable network security group (NSG) flow logs and send logs into a Storage Account for traffic audit.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.4:既知の悪意のある IP アドレスとの通信を拒否する1.4: Deny communications with known-malicious IP addresses

ガイダンス:DDoS 攻撃から保護するために、ご利用の Azure Data Explorer クラスターを保護する仮想ネットワーク上で Azure DDoS Protection Standard を有効にします。Guidance: Enable Azure DDoS Protection Standard on the virtual network protecting your Azure Data Explorer clusters for protection against DDoS attacks. Azure Security Center の統合された脅威インテリジェンスを使用して、既知の悪意のある、または未使用のインターネット IP アドレスとの通信を拒否します。Use Azure Security Center Integrated Threat Intelligence to deny communications with known malicious or unused Internet IP addresses.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.5:ネットワーク パケットを記録する1.5: Record network packets

ガイダンス: ご利用の Azure Data Explorer クラスターを保護するために使用されるネットワーク セキュリティ グループ (NSG) に関するフロー ログを有効にし、トラフィックの監査のためにストレージ アカウントにログを送信します。Guidance: Enable Flow Logs on the network security groups (NSG) being used to protect your Azure Data Explorer cluster, and send logs into a Storage Account for traffic audit.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.8:ネットワーク セキュリティ規則の複雑さと管理オーバーヘッドを最小限に抑える1.8: Minimize complexity and administrative overhead of network security rules

ガイダンス: 仮想ネットワーク サービス タグを使用することで、ご利用の Azure Data Explorer クラスターに関連付けられているネットワーク セキュリティ グループまたは Azure Firewall でのネットワーク アクセス制御を定義します。Guidance: Use Virtual Network Service Tags to define network access controls on Network Security Groups or Azure Firewalls associated with your Azure Data Explorer clusters. セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。You can use service tags in place of specific IP addresses when creating security rules. 規則の適切なソースまたは宛先フィールドにサービス タグ名 (ApiManagement など) を指定することにより、対応するサービスのトラフィックを許可または拒否できます。By specifying the service tag name (e.g., ApiManagement) in the appropriate source or destination field of a rule, you can allow or deny the traffic for the corresponding service. サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.9:ネットワーク デバイスの標準的なセキュリティ構成を維持する1.9: Maintain standard security configurations for network devices

ガイダンス: 顧客は Azure Policy を使用して、ネットワーク リソース用の標準的なセキュリティ構成を定義し、実装できます。Guidance: Customer to define and implement standard security configurations for network resources with Azure Policy.

また、Azure Blueprints を使用して、Azure Resource Manager テンプレート、Azure RBAC の制御、Azure Policy の割り当てなどの主要な環境成果物を、単一のブループリント定義にパッケージ化することにより、大規模な Azure デプロイを簡略化することもできます。Customer may also use Azure Blueprints to simplify large scale Azure deployments by packaging key environment artifacts, such as Azure Resource Manager templates, Azure RBAC controls, and Azure Policy assignments, in a single blueprint definition. ブループリントを新しいサブスクリプションと環境に簡単に適用し、バージョン管理によって制御と管理を微調整します。Easily apply the blueprint to new subscriptions and environments, and fine-tune control and management through versioning.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

1.10:トラフィック構成規則を文書化する1.10: Document traffic configuration rules

ガイダンス:ご利用の Azure Data Explorer クラスターに対するネットワーク セキュリティおよびトラフィック フローに関連したネットワーク セキュリティ グループ (NSG) やその他のリソースにタグを使用します。Guidance: Use tags for network security groups (NSG) and other resources related to network security and traffic flow for your Azure Data Explorer clusters. 個々の NSG 規則については、[説明] フィールドを使用して、ネットワークとの間のトラフィックを許可する規則のビジネス ニーズや期間 (など) を指定します。For individual NSG rules, use the "Description" field to specify business need and/or duration (etc.) for any rules that allow traffic to/from a network.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

1.11:自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する1.11: Use automated tools to monitor network resource configurations and detect changes

ガイダンス: Azure Policy を使用して、ネットワーク リソースの構成の検証 (または修復、あるいはその両方) を行います。Guidance: Use Azure Policy to validate (and/or remediate) configuration for network resources.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

ログ記録と監視Logging and Monitoring

詳細については、Azure セキュリティ ベンチマークの「ログ記録と監視」を参照してください。For more information, see the Azure Security Benchmark: Logging and Monitoring.

2.2:セキュリティ ログの一元管理を構成する2.2: Configure central security log management

ガイダンス: Azure Data Explorer は、診断ログを使用してインジェストの成功と失敗に関する分析情報を取得します。Guidance: Azure Data Explorer uses diagnostic logs for insights on ingestion successes and failures. 操作ログを Azure Storage、イベント ハブ、または Log Analytics にエクスポートして、インジェスト ステータスを監視することができます。You can export operation logs to Azure Storage, Event Hub, or Log Analytics to monitor ingestion status.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

2.3:Azure リソースの監査ログ記録を有効にする2.3: Enable audit logging for Azure resources

ガイダンス: 特定の操作とログ記録を使用するには、アクセスとログ記録に関する Azure Data Explorer の診断設定を有効にします。Guidance: Enable Diagnostic Settings for Azure Data Explorer for access and logging to service specific operations and logging. Azure Monitor 内の Azure のアクティビティ ログ (リソースに関する概要レベルのログが含まれる) は、既定で有効になっています。Azure Activity logs within Azure Monitor, which includes high-level logging about the resource are enabled by default.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

2.5:セキュリティ ログのストレージ保持を構成する2.5: Configure security log storage retention

ガイダンス: Azure Monitor 内で、組織のコンプライアンス規則に従って Log Analytics ワークスペースの保持期間を設定します。Guidance: Within Azure Monitor, set your Log Analytics Workspace retention period according to your organization's compliance regulations. 長期/アーカイブ ストレージには Azure Storage アカウントを使用します。Use Azure Storage Accounts for long-term/archival storage.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.6:ログを監視して確認する2.6: Monitor and review logs

ガイダンス: 異常な動作がないかどうかログを分析および監視し、結果を定期的に確認します。Guidance: Analyze and monitor logs for anomalous behaviors and regularly review results. Azure Data Explorer 用の診断設定を有効にしたら、Azure Monitor の Log Analytics ワークスペースを使用してログを確認し、ログ データに対してクエリを実行します。After enabling Diagnostic Settings for Azure Data Explorer, use Azure Monitor's Log Analytics Workspace to review logs and perform queries on log data.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

ID およびアクセス制御Identity and Access Control

詳細については、Azure セキュリティ ベンチマークの「ID およびアクセス制御」を参照してください。For more information, see the Azure Security Benchmark: Identity and Access Control.

3.1: 管理アカウントのインベントリを維持する3.1: Maintain an inventory of administrative accounts

ガイダンス:Azure Data Explorer では、データベースやテーブルなどのセキュリティで保護されたリソースを操作するためのアクセス許可を持つセキュリティ プリンシパル (ユーザーおよびアプリケーション) と、許可される操作が、セキュリティ ロールによって定義されます。Guidance: In Azure Data Explorer, security roles define which security principals (users and applications) have permissions to operate on a secured resource such as a database or a table, and what operations are permitted. Kusto クエリを活用すれば、Azure Data Explorer クラスターおよびデータベース用の管理者ロールでプリンシパルを一覧表示できます。You can leverage Kusto query to list principles in the admin role for the Azure Data Explorer clusters and databases.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.2: 既定のパスワードを変更する (該当する場合)3.2: Change default passwords where applicable

ガイダンス: Azure Active Directory (Azure AD) には、既定のパスワードの概念がありません。Guidance: Azure Active Directory (Azure AD) does not have the concept of default passwords. パスワードを必要とする他の Azure リソースでは、パスワードが強制的に作成されます。これには複雑な要件と、サービスによって異なるパスワードの最小文字数が適用されます。Other Azure resources requiring a password forces a password to be created with complexity requirements and a minimum password length, which differs depending on the service. 既定のパスワードが使用される可能性があるサードパーティ製のアプリケーションとマーケットプレース サービスについては、お客様が責任を負うものとします。You are responsible for third party applications and marketplace services that may use default passwords.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.3: 専用管理者アカウントを使用する3.3: Use dedicated administrative accounts

ガイダンス: 顧客は、専用管理者アカウントの使用に関する標準的な操作手順を作成できます。Guidance: Customer to create standard operating procedures around the use of dedicated administrative accounts. Azure Security Center ID とアクセス管理を使用して、管理者アカウントの数を監視します。Use Azure Security Center Identity and Access Management to monitor the number of administrative accounts.

顧客はまた、Microsoft サービスの Azure Active Directory (Azure AD) Privileged Identity Management の特権ロール、および Azure ARM を使用して、Just-In-Time または Just-Enough-Access を有効にすることもできます。Customers can also enable a Just-In-Time / Just-Enough-Access by using Azure Active Directory (Azure AD) Privileged Identity Management Privileged Roles for Microsoft Services, and Azure ARM.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.4: Azure Active Directory シングル サインオン (SSO) を使用する3.4: Use Azure Active Directory single sign-on (SSO)

ガイダンス: 可能な限り、顧客はサービスごとに個別のスタンドアロン資格情報を構成するのではなく、SSO を Azure Active Directory (Azure AD) と一緒に使用します。Guidance: Wherever possible, customer to use SSO with Azure Active Directory (Azure AD) rather than configuring individual stand-alone credentials per-service. Azure Security Center ID とアクセス管理の推奨事項を使用してください。Use Azure Security Center Identity and Access Management recommendations.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する3.5: Use multi-factor authentication for all Azure Active Directory-based access

ガイダンス: Azure Active Directory (Azure AD) 多要素認証 (MFA) を有効にし、Azure Security Center ID とアクセス管理の推奨事項に従います。Guidance: Enable Azure Active Directory (Azure AD) multi-factor authentication (MFA) and follow Azure Security Center Identity and Access Management recommendations.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.6: セキュリティで保護された Azure マネージド ワークステーションを管理タスクに使用する3.6: Use secure, Azure-managed workstations for administrative tasks

ガイダンス: 多要素認証 (MFA) が構成された PAW (特権アクセス ワークステーション) を使用してログインし、Azure リソースを構成します。Guidance: Use PAWs (privileged access workstations) with multi-factor authentication (MFA) configured to log into and configure Azure resources.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

3.7: 管理者アカウントからの疑わしいアクティビティに関するログとアラート3.7: Log and alert on suspicious activities from administrative accounts

ガイダンス: 環境内で疑わしいアクティビティまたは安全でないアクティビティが発生したときに、Azure Active Directory (Azure AD) セキュリティ レポートを使用して、ログおよびアラートを生成します。Guidance: Use Azure Active Directory (Azure AD) security reports for generation of logs and alerts when suspicious or unsafe activity occurs in the environment. Azure Security Center を使用して ID およびアクセス アクティビティを監視します。Use Azure Security Center to monitor identity and access activity

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.8:承認された場所からのみ Azure リソースを管理する3.8: Manage Azure resources from only approved locations

ガイダンス: 顧客は、条件付きアクセスのネームド ロケーションを使用して、IP アドレス範囲または国もしくはリージョンの特定の論理グループからのアクセスのみを許可します。Guidance: Customer to use Conditional Access named locations to allow access from only specific logical groupings of IP address ranges or countries/regions.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.9: Azure Active Directory を使用する3.9: Use Azure Active Directory

ガイダンス: Azure Active Directory (Azure AD) は、Azure Data Explorer に対する認証方法として推奨されています。Guidance: Azure Active Directory (Azure AD) is the preferred method for authenticating to Azure Data Explorer. Azure AD では、次のようなさまざまな認証シナリオがサポートされています。Azure AD supports a number of authentication scenarios:

  • ユーザー認証 (対話型ログオン): 人間のプリンシパルを認証するために使用されます。User authentication (interactive logon): Used to authenticate human principals.

  • アプリケーション認証 (非対話型ログオン): 人間のユーザーがいない状態で実行または認証する必要があるサービスおよびアプリケーションを認証するために使用されます。Application authentication (non-interactive logon): Used to authenticate services and applications that have to run/authenticate with no human user being present.

詳細については、次のリファレンスを参照してください。For more information, see the following references:

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.10: ユーザー アクセスを定期的に確認して調整する3.10: Regularly review and reconcile user access

ガイダンス: Azure Active Directory (Azure AD) では、古いアカウントの検出に役立つログが提供されます。Guidance: Azure Active Directory (Azure AD) provides logs to help discover stale accounts. また、Azure ID アクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理します。In addition, use Azure Identity Access Reviews to efficiently manage group memberships, access to enterprise applications, and role assignments. ユーザーのアクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。User's access can be reviewed on a regular basis to make sure only the right Users have continued access.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.11: 非アクティブ化された資格情報へのアクセスの試行を監視する3.11: Monitor attempts to access deactivated credentials

ガイダンス: Azure Active Directory (Azure AD) サインイン アクティビティ、監査、およびリスク イベント ログのソースを使用して監視を行うことができるため、任意のセキュリティ情報イベント管理 (SIEM) または監視ツールとの統合が可能です。Guidance: You may use Azure Active Directory (Azure AD) Sign in Activity, Audit and Risk Event log sources for monitoring which allows you to integrate with any Security Information and Event Management (SIEM) / Monitoring tool.

このプロセスを効率化するには、Azure Active Directory ユーザー アカウントの診断設定を作成し、監査ログとサインイン ログを Log Analytics ワークスペースに送信します。You can streamline this process by creating Diagnostic Settings for Azure Active Directory user accounts, sending the audit logs and sign-in logs to a Log Analytics Workspace. 顧客は Log Analytics ワークスペースで必要なアラートを構成します。Customer to configure desired Alerts within Log Analytics Workspace.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.12: アカウント サインイン動作の偏差に関するアラートを生成する3.12: Alert on account sign-in behavior deviation

ガイダンス: ユーザー ID に関連する検出された疑わしいアクションへの自動応答を構成するには、Azure Active Directory (Azure AD) リスク検出および Identity Protection 機能を使用します。Guidance: Use Azure Active Directory (Azure AD) Risk Detections and Identity Protection feature to configure automated responses to detected suspicious actions related to user identities. また、さらに詳しく調査するためにデータを Azure Sentinel に取り込むこともできます。Additionally, you can ingest data into Azure Sentinel for further investigation.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.13: サポート シナリオで関連する顧客データに Microsoft がアクセスできるようにする3.13: Provide Microsoft with access to relevant customer data during support scenarios

ガイダンス: Microsoft が顧客データにアクセスする必要のあるサポート シナリオでは、カスタマー ロックボックスに、顧客が顧客データへのアクセス要求を確認し、承認または拒否するためのインターフェイスが用意されています。Guidance: In support scenarios where Microsoft needs to access customer data, Customer Lockbox provides an interface for customers to review and approve or reject customer data access requests.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

データ保護Data Protection

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。For more information, see the Azure Security Benchmark: Data Protection.

4.1: 機密情報のインベントリを維持する4.1: Maintain an inventory of sensitive Information

ガイダンス: 機密情報を格納または処理する Azure リソースを追跡しやすくするには、タグを使用します。Guidance: Use tags to assist in tracking Azure resources that store or process sensitive information.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.2:機密情報を格納または処理するシステムを分離する4.2: Isolate systems storing or processing sensitive information

ガイダンス:開発、テスト、および運用で別々のサブスクリプションまたは管理グループ、あるいはその両方を実装します。Guidance: Implement separate subscriptions and/or management groups for development, test, and production. Azure Data Explorer クラスターについては、仮想ネットワークまたはサブネットによって他のリソースから分離し、適切にタグ付けを行い、ネットワーク セキュリティ グループ (NSG) または Azure Firewall 内でセキュリティで保護する必要があります。Azure Data Explorer clusters should be separated from other resources by virtual network/subnet, tagged appropriately, and secured within an network security group (NSG) or Azure Firewall. 機密データを格納または処理する Azure Data Explorer クラスターは、十分に分離する必要があります。Azure Data Explorer clusters storing or processing sensitive data should be sufficiently isolated.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

4.4:転送中のすべての機密情報を暗号化する4.4: Encrypt all sensitive information in transit

ガイダンス: Azure Data Explorer クラスターでは、既定で TLS 1.2 がネゴシエートされます。Guidance: Azure Data Explorer cluster negotiate TLS 1.2 by default. Azure リソースに接続しているすべてのクライアントが TLS 1.2 以上をネゴシエートできることを確認します。Ensure that any clients connecting to your Azure resources are able to negotiate TLS 1.2 or greater.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: 共有Responsibility: Shared

4.5:アクティブ検出ツールを使用して機密データを特定する4.5: Use an active discovery tool to identify sensitive data

ガイダンス: Azure Data Explorer では、データの識別、分類、損失防止機能はまだ使用できません。Guidance: Data identification, classification, and loss prevention features are not yet available for Azure Data Explorer. コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。Implement third-party solution if required for compliance purposes.

Microsoft によって管理される基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護するためにあらゆる手段を尽くします。For the underlying platform which is managed by Microsoft, Microsoft treats all customer content as sensitive and goes to great lengths to guard against customer data loss and exposure. Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

4.6:ロールベースのアクセス制御を使用してリソースへのアクセスを制御する4.6: Use Role-based access control to control access to resources

ガイダンス:Azure Data Explorer を使用すると、Azure のロールベースのアクセス制御 (RBAC) モデルを使用して、データベースとテーブルへのアクセスを制御することができます。Guidance: Azure Data Explorer enables you to control access to databases and tables, using an Azure role-based access control (RBAC) model. このモデルでは、プリンシパル (ユーザー、グループ、およびアプリ) がロールにマッピングされます。Under this model, principals (users, groups, and apps) are mapped to roles. プリンシパルは、割り当てられたロールに従ってリソースにアクセスできます。Principals can access resources according to the roles they're assigned.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.8:機密情報を保存時に暗号化する4.8: Encrypt sensitive information at rest

ガイダンス: Azure Disk Encryption は、データを保護して、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。Guidance: Azure Disk Encryption helps protect and safeguard your data to meet your organizational security and compliance commitments. クラスター仮想マシンの OS とデータ ディスクのボリューム暗号化が提供されます。It provides volume encryption for the OS and data disks of your cluster virtual machines. また、Azure Key Vault とも統合されます。これにより、ディスク暗号化キーとシークレットを制御および管理できると共に、Azure Storage で保存中の VM ディスクの全データが確実に暗号化されるようにすることができます。It also integrates with Azure Key Vault which allows us to control and manage the disk encryption keys and secrets, and ensure all data on the VM disks is encrypted at rest while in Azure Storage.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.9:重要な Azure リソースへの変更に関するログとアラート4.9: Log and alert on changes to critical Azure resources

ガイダンス: ご利用の Azure Data Explorer クラスター上でリソース レベルの変更が行われたときにアラートを作成するには、Azure Monitor を Azure アクティビティ ログと一緒に使用します。Guidance: Use Azure Monitor with the Azure Activity Log to create alerts for when resource-level changes take place on your Azure Data Explorer clusters.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

脆弱性の管理Vulnerability Management

詳細については、Azure セキュリティ ベンチマークの「脆弱性の管理」を参照してください。For more information, see the Azure Security Benchmark: Vulnerability Management.

5.5:リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける5.5: Use a risk-rating process to prioritize the remediation of discovered vulnerabilities

ガイダンス: Azure Security Center によって提供される既定のリスク評価 (セキュリティ スコア) を使用します。Guidance: Use the default risk ratings (Secure Score) provided by Azure Security Center.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

インベントリと資産の管理Inventory and Asset Management

詳細については、Azure セキュリティ ベンチマークの「インベントリと資産の管理」を参照してください。For more information, see the Azure Security Benchmark: Inventory and Asset Management.

6.1:自動化された資産検出ソリューションを使用する6.1: Use automated asset discovery solution

ガイダンス:Azure Resource Graph を使用して、サブスクリプション内のすべてのリソースのクエリを実行して検出します。Guidance: Use Azure Resource Graph to query and discover all resources in your subscriptions. テナントで適切な (読み取り) アクセス許可を確認し、サブスクリプション内のリソースだけでなく、すべての Azure サブスクリプションを列挙します。Ensure appropriate (read) permissions in your tenant and enumerate all Azure subscriptions as well as resources within your subscriptions.

従来の Azure リソースは Resource Graph で検出できますが、今後は Azure Resource Manager リソースを作成して使用することを強くお勧めします。Although classic Azure resources may be discovered via Resource Graph, it is highly recommended to create and use Azure Resource Manager resources going forward.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

6.2:資産メタデータを保持する6.2: Maintain asset metadata

ガイダンス:メタデータを提供する Azure リソースにタグを適用すると、それらのリソースが各分類に論理的に整理されます。Guidance: Apply tags to Azure resources giving metadata to logically organize them into a taxonomy.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

6.3:承認されていない Azure リソースを削除する6.3: Delete unauthorized Azure resources

ガイダンス: 資産の整理と追跡を行うには、適切な名前付け規則、タグ付け、管理グループ、または個別のサブスクリプションを必要に応じて使用できます。Guidance: You may use appropriate naming conventions, tagging, management groups, or separate subscriptions, where appropriate, to organize and track assets. Azure Resource Graph を使用すれば、定期的にインベントリを調整し、承認されていないリソースがサブスクリプションから適切なタイミングで確実に削除されるようにすることができます。You may use Azure Resource Graph to reconcile inventory on a regular basis and ensure unauthorized resources are deleted from the subscription in a timely manner.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

6.4:承認された Azure リソースのインベントリを定義および管理する6.4: Define and maintain inventory of approved Azure resources

ガイダンス:組織のニーズに応じて、承認された Azure リソースとコンピューティング リソース用に承認されたソフトウェアのインベントリを作成する必要があります。Guidance: You will need to create an inventory of approved Azure resources and approved software for compute resources as per your organizational needs.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

6.5:承認されていない Azure リソースを監視する6.5: Monitor for unapproved Azure resources

ガイダンス:Azure Policy を使用すると、次の組み込みのポリシー定義によって、顧客のサブスクリプション内に作成できるリソースの種類に制限を設けることができます。Guidance: You may use Azure policies to put restrictions on the type of resources that can be created in customer subscriptions using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types

  • 許可されるリソースの種類Allowed resource types

Azure Monitor を使用して監視できるアクティビティ ログを使用して、ポリシーによって生成されたイベントを監視することができます。You will be able to monitor the policy generated events using the Activity logs which can be monitored using Azure Monitor.

さらに、Azure Resource Graph を使用すると、サブスクリプション内のリソースのクエリまたは検出を行うことができます。In addition, you may use the Azure Resource Graph to query/discover resources within the subscriptions.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

6.9:承認された Azure サービスのみを使用する6.9: Use only approved Azure services

ガイダンス: Azure Policy を使用すると、次の組み込みのポリシー定義によって、顧客のサブスクリプション内に作成できるリソースの種類に制限を設けることができます。Guidance: You may use Azure policies to put restrictions on the type of resources that can be created in customer subscription(s) using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types

  • 許可されるリソースの種類Allowed resource types

詳細については、次のリファレンスを参照してください。For more information, see the following references:

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

6.11:Azure Resource Manager を操作するユーザーの機能を制限する6.11: Limit users' ability to interact with Azure Resource Manager

ガイダンス: Azure Conditional Access を使用して Azure Resource Manager を操作するユーザーの権限を制限するには、"Microsoft Azure 管理" アプリに対して [アクセスのブロック] を構成します。Guidance: Use the Azure Conditional Access to limit users' ability to interact with Azure Resource Manager by configuring "Block access" for the "Microsoft Azure Management" App. これにより、ご利用の Azure サブスクリプション内でのリソースの作成と変更ができなくなります。This will prevent the creation and changes to resources within your Azure subscriptions.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

セキュリティで保護された構成Secure Configuration

詳細については、Azure セキュリティ ベンチマークの「セキュリティで保護された構成」を参照してください。For more information, see the Azure Security Benchmark: Secure Configuration.

7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する7.1: Establish secure configurations for all Azure resources

ガイダンス: ご利用の Azure リソースの構成を監査または適用するには、Azure Policy エイリアスを使用してカスタム ポリシーを作成します。Guidance: Use Azure Policy aliases to create custom policies to audit or enforce the configuration of your Azure resources. 組み込みの Azure Policy 定義を使用することもできます。You may also use built-in Azure Policy definitions.

また、Azure Resource Manager には、テンプレートを JavaScript Object Notation (JSON) でエクスポートする機能があります。これを確認して、構成が確実に組織のセキュリティ要件を満たすかそれを超えるようにする必要があります。Also, Azure Resource Manager has the ability to export the template in JavaScript Object Notation (JSON), which should be reviewed to ensure that the configurations meet or exceed the security requirements for your organization.

また、ご利用の Azure リソース用の安全な構成基準として Azure Security Center からのレコメンデーションを使用することもできます。You can also use recommendations from Azure Security Center as a secure configuration baseline for your Azure resources.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

7.3:セキュリティで保護された Azure リソースの構成を維持する7.3: Maintain secure Azure resource configurations

ガイダンス: Azure リソース全体にセキュリティで保護された設定を適用するには、Azure ポリシー [拒否] と [存在する場合はデプロイする] を使用します。Guidance: Use Azure policy [deny] and [deploy if not exist] to enforce secure settings across your Azure resources. Change Tracking、ポリシー コンプライアンス ダッシュボード、カスタム ソリューションなどのソリューションを使用すれば、ご利用の環境内でのセキュリティの変更を容易に特定できます。You may use solutions such as Change Tracking, Policy compliance dashboard or a custom solution to easily identify security changes in your environment.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

7.5:Azure リソースの構成を安全に格納する7.5: Securely store configuration of Azure resources

ガイダンス: カスタム Azure ポリシー、Azure Resource Manager テンプレート、Desired State Configuration スクリプトなど、ご利用のコードを安全に格納して管理するには、Azure Repos を使用します。Azure DevOps で管理するリソースにアクセスするには、Azure Active Directory (Azure AD) で定義された (Azure DevOps に統合されている場合)、または Active Directory で定義された (TFS に統合されている場合) 特定のユーザー、組み込みのセキュリティ グループ、またはグループにアクセス許可を付与したり、そのアクセス許可を拒否したりできます。Guidance: Use Azure Repos to securely store and manage your code like custom Azure policies, Azure Resource Manager templates, Desired State Configuration scripts etc. To access the resources you manage in Azure DevOps, you can grant or deny permissions to specific users, built-in security groups, or groups defined in Azure Active Directory (Azure AD) if integrated with Azure DevOps, or Active Directory if integrated with TFS.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

7.7:Azure リソース用の構成管理ツールをデプロイする7.7: Deploy configuration management tools for Azure resources

ガイダンス:Azure Policy を使用して、Azure リソースの標準的なセキュリティ構成を定義して実装します。Guidance: Define and implement standard security configurations for Azure resources using Azure Policy. ご利用の Azure リソースのネットワーク構成を監査または適用するには、Azure Policy エイリアスを使用してカスタム ポリシーを作成します。Use Azure Policy aliases to create custom policies to audit or enforce the network configuration of your Azure resources. また、特定のリソースに関連する組み込みのポリシー定義を使用することもできます。You may also make use of built-in policy definitions related to your specific resources. さらに、Azure Automation を使用して、構成の変更をデプロイすることもできます。Additionally, you may use Azure Automation to deploy configuration changes.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

7.9:Azure リソースの自動構成監視を実装する7.9: Implement automated configuration monitoring for Azure resources

ガイダンス: システム構成に関するアラートの生成、システム構成の監査および適用を行うには、Azure Policy エイリアスを使用してカスタム ポリシーを作成します。Guidance: Use Azure Policy aliases to create custom policies to alert, audit, and enforce system configurations. ご利用の Azure リソースの構成を自動的に適用するには、Azure Policy の [audit]、[deny]、[deploy if not exist] を使用します。Use Azure policy [audit], [deny], and [deploy if not exist] to automatically enforce configurations for your Azure resources.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

7.12:ID を安全かつ自動的に管理する7.12: Manage identities securely and automatically

ガイダンス: マネージド ID を使用して、Azure Active Directory (Azure AD) で自動的に管理される ID を Azure サービスに提供します。Guidance: Use Managed Identities to provide Azure services with an automatically managed identity in Azure Active Directory (Azure AD). マネージド ID を使用すると、コードに資格情報を追加しなくても、Azure AD の認証をサポートするさまざまなサービス (Key Vault を含む) に対して認証を行うことができます。Managed Identities allows you to authenticate to any service that supports Azure AD authentication, including Key Vault, without any credentials in your code.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.13:意図しない資格情報の公開を排除する7.13: Eliminate unintended credential exposure

ガイダンス: コード内で資格情報を特定する資格情報スキャナーを実装します。Guidance: Implement Credential Scanner to identify credentials within code. また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。Credential Scanner will also encourage moving discovered credentials to more secure locations such as Azure Key Vault.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

マルウェアからの防御Malware Defense

詳細については、Azure セキュリティ ベンチマークの「マルウェアからの防御」を参照してください。For more information, see the Azure Security Benchmark: Malware Defense.

8.2:非コンピューティング Azure リソースにアップロードするファイルを事前にスキャンする8.2: Pre-scan files to be uploaded to non-compute Azure resources

ガイダンス: Microsoft のマルウェア対策は、Azure サービス (Azure Data Explorer など) をサポートしている基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。Guidance: Microsoft anti-malware is enabled on the underlying host that supports Azure services (for example, Azure Data Explorer), however it does not run on customer content.

Azure Data Explorer、Data Lake Storage、Blob Storage、Azure Database for PostgreSQL などの非コンピューティング Azure リソースにアップロードされるコンテンツはすべて、事前にスキャンしてください。Microsoft は、これらのインスタンス内のデータにアクセスできません。Pre-scan any content being uploaded to non-compute Azure resources, such as Azure Data Explorer, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL, etc. Microsoft cannot access your data in these instances.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

データの復旧Data Recovery

詳細については、Azure セキュリティ ベンチマークの「データの復旧」を参照してください。For more information, see the Azure Security Benchmark: Data Recovery.

9.1:定期的な自動バックアップを保証する9.1: Ensure regular automated back-ups

ガイダンス:ご利用の Azure Data Explorer クラスターで使用される Microsoft Azure ストレージ アカウント内のデータは、持続性と高可用性を確保するため、常にレプリケートされています。Guidance: The data in your Microsoft Azure storage account used by your Azure Data Explorer cluster is always replicated to ensure durability and high availability. Azure Storage では、計画されたイベントや計画外のイベント (一時的なハードウェア障害、ネットワークの停止または停電、大規模な自然災害など) から保護するためにデータがコピーされます。Azure Storage copies your data so that it is protected from planned and unplanned events, including transient hardware failures, network or power outages, and massive natural disasters. 同じデータ センター内、同じリージョン内の複数のゾーン データ センター間、または地理的に分離されたリージョン間でデータをレプリケートすることもできます。You can choose to replicate your data within the same data center, across zonal data centers within the same region, or across geographically separated regions.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

9.2: システムの完全バックアップを実行し、すべてのカスタマー マネージド キーをバックアップする9.2: Perform complete system backups and backup any customer-managed keys

ガイダンス: Azure Data Explorer は、保存されているストレージ アカウント内のすべてのデータを暗号化します。Guidance: Azure Data Explorer encrypts all data in a storage account at rest. 規定では、データは Microsoft のマネージド キーで暗号化されます。By default, data is encrypted with Microsoft-managed keys. 暗号化キーをさらに制御するために、データの暗号化に使用する目的で、カスタマー マネージド キーを提供できます。For additional control over encryption keys, you can supply customer-managed keys to use for data encryption. 顧客が管理するキーは Azure Key Vault に格納する必要があります。Customer-managed keys must be stored in an Azure Key Vault.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

9.3:カスタマー マネージド キーを含むすべてのバックアップを検証する9.3: Validate all backups including customer-managed keys

ガイダンス: ご利用の Azure Key Vault シークレットのデータ復元を定期的にテストします。Guidance: Periodically test data restoration of your Azure Key Vault secrets.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

9.4: バックアップとカスタマー マネージド キーの保護を保証する9.4: Ensure protection of backups and customer-managed keys

ガイダンス: 顧客は Key Vault で論理的な削除を有効にして、偶発的または悪意のある削除からキーを保護することができます。Guidance: Customer to enable Soft-Delete in Key Vault to protect keys against accidental or malicious deletion. また、コンテナーまたはオブジェクトが削除状態にある場合に保持期間が経過するまでそれらを消去できないように、削除保護を有効にすることもできます。You can also enable purge protection so that if a vault or an object in the deleted state, it cannot be purged until the retention period has passed.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

インシデント対応Incident Response

詳細については、Azure セキュリティ ベンチマークの「インシデント対応」を参照してください。For more information, see the Azure Security Benchmark: Incident Response.

10.1:インシデント対応ガイドを作成する10.1: Create an incident response guide

ガイダンス: 組織のインシデント対応ガイドを作成します。Guidance: Build out an incident response guide for your organization. 要員のすべてのロールを定義するインシデント対応計画が記述されていることと、検出からインシデント後のレビューまでのインシデント対応/管理のフェーズがあることを確認します。Ensure that there are written incident response plans that define all roles of personnel as well as phases of incident handling/management from detection to post-incident review.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

10.2:インシデントのスコアリングと優先順位付けの手順を作成する10.2: Create an incident scoring and prioritization procedure

ガイダンス: Security Center によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。Guidance: Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. 重要度は、アラートの発行に使用された Security Center の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert as well as the confidence level that there was malicious intent behind the activity that led to the alert.

また、サブスクリプション (Additionally, clearly mark subscriptions (for ex. 運用、非運用など) をタグを使用して明確にマークし、Azure リソース (特に、機密データを処理するもの) を明確に識別して分類するための命名システムを作成します。production, non-prod) using tags and create a naming system to clearly identify and categorize Azure resources, especially those processing sensitive data. インシデントが発生した Azure リソースと環境の重要度に基づいて、アラートの修復に優先順位を付けることは、お客様の責任です。It is your responsibility to prioritize the remediation of alerts based on the criticality of the Azure resources and environment where the incident occurred.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

10.3:セキュリティ対応手順のテスト10.3: Test security response procedures

ガイダンス:ご利用のシステムのインシデント対応機能を定期的にテストする演習を実施することで、ご利用の Azure リソースの保護を支援できます。Guidance: Conduct exercises to test your systems’ incident response capabilities on a regular cadence to help protect your Azure resources. 弱点やギャップを特定し、必要に応じて計画を見直します。Identify weak points and gaps and revise plan as needed.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: CustomerResponsibility: Customer

10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します10.4: Provide security incident contact details and configure alert notifications for security incidents

ガイダンス:セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないユーザーによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。Guidance: Security incident contact information will be used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party. 事後にインシデントをレビューして、問題が解決されていることを確認します。Review incidents after the fact to ensure that issues are resolved.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

10.5:インシデント対応システムにセキュリティ アラートを組み込む10.5: Incorporate security alerts into your incident response system

ガイダンス: 連続エクスポート機能を使用して Azure Security Center のアラートと推奨事項をエクスポートすると、Azure リソースへのリスクを特定できます。Guidance: Export your Azure Security Center alerts and recommendations using the Continuous Export feature to help identify risks to Azure resources. 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。Continuous Export allows you to export alerts and recommendations either manually or in an ongoing, continuous fashion. Azure Security Center データ コネクタを使用してアラートを Azure Sentinel にストリーミングできます。You may use the Azure Security Center data connector to stream the alerts to Azure Sentinel.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

10.6:セキュリティ アラートへの対応を自動化する10.6: Automate the response to security alerts

ガイダンス: Azure Security Center のワークフロー自動化機能を使用すると、セキュリティのアラートと推奨事項に対して "Logic Apps" で自動的に応答をトリガーし、Azure リソースを保護できます。Guidance: Use the Workflow Automation feature in Azure Security Center to automatically trigger responses via "Logic Apps" on security alerts and recommendations to protect your Azure resources.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

侵入テストとレッド チーム演習Penetration Tests and Red Team Exercises

詳細については、Azure セキュリティ ベンチマークの「侵入テストとレッド チーム演習」を参照してください。For more information, see the Azure Security Benchmark: Penetration Tests and Red Team Exercises.

11.1:Azure リソースの通常の侵入テストを実施し、セキュリティに関する重大な調査結果がすべて、確実に修復されるようにする11.1: Conduct regular penetration testing of your Azure resources and ensure remediation of all critical security findings

ガイダンス: お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。Guidance: Follow the Microsoft Cloud Penetration Testing Rules of Engagement to ensure your penetration tests are not in violation of Microsoft policies. Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。Use Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications.

Azure Security Center の監視: 適用外Azure Security Center monitoring: Not Applicable

責任: 共有Responsibility: Shared

次のステップNext steps