Data Lake Analytics 用の Azure セキュリティ ベースラインAzure security baseline for Data Lake Analytics

Data Lake Analytics 用の Azure セキュリティ ベースラインには、デプロイのセキュリティ体制を改善するために役立つ推奨事項が含まれています。The Azure Security Baseline for Data Lake Analytics contains recommendations that will help you improve the security posture of your deployment.

このサービス用のベースラインは、ベスト プラクティス ガイダンスを使用して Azure 上のクラウド ソリューションをセキュリティで保護する方法について推奨事項を提供する Azure セキュリティ ベンチマーク バージョン 1.0 に基づいて作成されています。The baseline for this service is drawn from the Azure Security Benchmark version 1.0, which provides recommendations on how you can secure your cloud solutions on Azure with our best practices guidance.

詳細については、Azure セキュリティ ベースラインの概要に関するページを参照してください。For more information, see Azure Security Baselines overview.

ネットワークのセキュリティNetwork security

詳細については、「セキュリティ コントロール: ネットワークのセキュリティ」を参照してください。For more information, see Security control: Network security.

1.1:仮想ネットワーク内の Azure リソースを保護する1.1: Protect Azure resources within virtual networks

ガイダンス:Data Lake Analytics のファイアウォール設定を使用して、外部 IP 範囲を制限し、オンプレミスのクライアントとサード パーティのサービスからのアクセスを許可します。Guidance: Use firewall settings for Data Lake Analytics to limit external IP ranges to allow access from your on-premise clients and 3rd party services. ファイアウォール設定の構成は、ポータル、REST API、または PowerShell を使用して行うことができます。Configuration of firewall settings is available via Portal, REST APIs or PowerShell.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.2:仮想ネットワーク、サブネット、ネットワーク インターフェイスの構成とトラフィックを監視してログに記録する1.2: Monitor and log the configuration and traffic of virtual networks, subnets, and network interfaces

ガイダンス: 適用できません。Azure Data Lake Analytics は仮想ネットワークでは実行されません。フェデレーション クエリを使用する場合、発信呼び出しは顧客の仮想ネットワークを経由してルーティングするように構成することはできません。Guidance: Not applicable; Azure Data Lake Analytics does not run in a virtual network and when using federated queries the outgoing calls can not be configured to route through a customer virtual network.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.3:重要な Web アプリケーションを保護する1.3: Protect critical web applications

ガイダンス:適用できません。このコントロールは、Azure App Service または IaaS インスタンス上で実行されている Web アプリケーションを対象にしています。Guidance: Not applicable; This control is intended for web applications running on Azure App Service or IaaS instances.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.4:既知の悪意のある IP アドレスとの通信を拒否する1.4: Deny communications with known-malicious IP addresses

ガイダンス: Data Lake Analytics のファイアウォール設定を使用して、外部 IP 範囲を制限し、オンプレミスのクライアントとサード パーティのサービスからのアクセスを許可します。Guidance: Use firewall settings for Data Lake Analytics to limit external IP ranges to allow access from your on-premise clients and 3rd party services. ファイアウォール設定の構成は、ポータル、REST API、または PowerShell を使用して行うことができます。Configuration of firewall settings is available via Portal, REST APIs or PowerShell.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.5:ネットワーク パケットを記録する1.5: Record network packets

ガイダンス:適用できません。Data Lake Analytics は、顧客の仮想ネットワーク内では実行されず、ネットワーク セキュリティ グループ (NSGs) を使用してネットワーク フロー ログを記録することはできません。Guidance: Not applicable; Data Lake Analytics does not run inside customer virtual networks and cannot use network security groups (NSGs) to record network flow logs.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.6:ネットワーク ベースの侵入検出/侵入防止システム (IDS/IPS) をデプロイする1.6: Deploy network-based intrusion detection/intrusion prevention systems (IDS/IPS)

ガイダンス: 適用できません。Data Lake Analytics は、顧客のネットワークにデプロイされない PaaS オファリングです。Guidance: Not applicable; Data Lake Analytics is a PaaS offering which does not deploy into customer networks.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.7:Web アプリケーションへのトラフィックを管理する1.7: Manage traffic to web applications

ガイダンス: 適用できません。この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。Guidance: Not applicable; This recommendation is intended for web applications running on Azure App Service or compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.8:ネットワーク セキュリティ規則の複雑さと管理オーバーヘッドを最小限に抑える1.8: Minimize complexity and administrative overhead of network security rules

ガイダンス:適用できません。Data Lake Analytics は、顧客の仮想ネットワーク内では実行されず、ネットワーク セキュリティ グループ (NSGs) を使用することはできません。Guidance: Not applicable; Data Lake Analytics does not run inside customer virtual networks and cannot use network security groups (NSGs).

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.9:ネットワーク デバイスの標準的なセキュリティ構成を維持する1.9: Maintain standard security configurations for network devices

ガイダンス: 適用できません。Data Lake Analytics は、顧客の仮想ネットワーク内では実行されず、ネットワーク セキュリティ グループ (NSGs) を使用することはできません。Guidance: Not applicable; Data Lake Analytics does not run inside customer virtual networks and cannot use network security groups (NSGs).

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.10:トラフィック構成規則を文書化する1.10: Document traffic configuration rules

ガイダンス: 適用できません。Data Lake Analytics は、顧客の仮想ネットワーク内では実行されず、ネットワーク セキュリティ グループ (NSGs) を使用することはできません。Guidance: Not applicable; Data Lake Analytics does not run inside customer virtual networks and cannot use network security groups (NSGs).

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.11:自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する1.11: Use automated tools to monitor network resource configurations and detect changes

ガイダンス: 適用できません。Data Lake Analytics は、顧客の仮想ネットワーク内では実行されず、ネットワーク セキュリティ グループ (NSGs) を使用することはできません。Guidance: Not applicable; Data Lake Analytics does not run inside customer virtual networks and cannot use network security groups (NSGs).

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

ログ記録と監視Logging and monitoring

詳細については、「セキュリティ コントロール: ログ記録と監視」を参照してください。For more information, see Security control: Logging and monitoring.

2.1:承認された時刻同期ソースを使用する2.1: Use approved time synchronization sources

ガイダンス: 適用できません。Microsoft が、Data Lake Analytics のタイム ソースを管理します。Guidance: Not applicable; Microsoft maintains the time source for Data Lake Analytics.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

2.2:セキュリティ ログの一元管理を構成する2.2: Configure central security log management

ガイダンス: Azure Monitor を介してログを取り込み、Data Lake Analytics の ’監査’ や ’要求’ 診断などのセキュリティ データを集計します。Guidance: Ingest logs via Azure Monitor to aggregate security data like Data Lake Analytics 'audit' and 'requests' diagnostics. Azure Monitor 内で Log Analytics ワークスペースを使用してクエリを発行し、分析を実行して、長期/アーカイブ ストレージには Azure Storage アカウントを使用します。必要に応じて、不変ストレージや保有期間の保持の強制などのセキュリティ機能を使用できます。Within Azure Monitor, use a Log Analytics Workspace to query and perform analytics, and use Azure Storage Accounts for long-term/archival storage, optionally with security features such as immutable storage and enforced retention holds.

または、Azure Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードすることもできます。Alternatively, you can enable and on-board data to Azure Sentinel or a third-party SIEM.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.3:Azure リソースの監査ログ記録を有効にする2.3: Enable audit logging for Azure resources

ガイダンス: Data Lake Analytics の診断設定を有効にして、監査ログと要求ログにアクセスします。Guidance: Enable Diagnostic Settings for Data Lake Analytics to access audit and requests logs. これには、イベント ソース、日付、ユーザー、timestamp、およびその他の便利な要素などのデータが含まれます。These include data like event source, date, user, timestamp and other useful elements.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

2.4:オペレーティング システムからセキュリティ ログを収集する2.4: Collect security logs from operating systems

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

2.5:セキュリティ ログのストレージ保持を構成する2.5: Configure security log storage retention

ガイダンス: Azure Monitor 内で、組織のコンプライアンス規則に従って Log Analytics ワークスペースの保持期間を設定します。Guidance: In Azure Monitor, set your Log Analytics workspace retention period according to your organization's compliance regulations. 長期およびアーカイブ ストレージには Azure Storage アカウントを使用します。Use Azure Storage accounts for long-term and archival storage.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

2.6:ログを監視して確認する2.6: Monitor and review logs

ガイダンス: Data Lake Analytics のリソースについて、異常な動作がないかログの分析と監視を行い、定期的に結果を確認します。Guidance: Analyze and monitor logs for anomalous behavior and regularly review results for your Data Lake Analytics resources. Azure Monitor の Log Analytics ワークスペースを使用してログを確認し、ログ データに対してクエリを実行します。Use Azure Monitor's Log Analytics Workspace to review logs and perform queries on log data. または、Azure Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードすることもできます。Alternatively, you may enable and on-board data to Azure Sentinel or a third party SIEM.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

2.7:異常なアクティビティについてのアラートを有効にする2.7: Enable alerts for anomalous activities

ガイダンス: Data Lake Analytics の診断設定を有効にし、Log Analytics ワークスペースにログを送信します。Guidance: Enable Diagnostic Settings for Data Lake Analytics and send logs to a Log Analytics Workspace. Log Analytics ワークスペースを Azure Sentinel にオンボードします。これは、セキュリティ オーケストレーション自動応答 (SOAR) ソリューションが提供されるためです。Onboard your Log Analytics Workspace to Azure Sentinel as it provides a security orchestration automated response (SOAR) solution. これにより、プレイブック (自動化されたソリューション) を作成して、セキュリティの問題を修復するために使用できます。This allows for playbooks (automated solutions) to be created and used to remediate security issues.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.8:マルウェア対策のログ記録を一元管理する2.8: Centralize anti-malware logging

ガイダンス: 適用できません。Data Lake Analytics では、マルウェア対策関連のログの処理や生成を行いません。Guidance: Not applicable; Data Lake Analytics does not process or produce anti-malware related logs.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

2.9:DNS クエリのログ記録を有効にする2.9: Enable DNS query logging

ガイダンス: 組織のニーズに応じて、DNS ログ ソリューション用に Azure Marketplace のサードパーティ製ソリューションを実装します。Guidance: Implement a third-party solution from Azure Marketplace for DNS logging solution as per your organizations need.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

2.10:コマンドライン監査ログ記録を有効にする2.10: Enable command-line audit logging

ガイダンス: 適用できません。このコントロールは、顧客が基盤となるオペレーティング システムにアクセスできるコンピューティング リソースを対象としています。Guidance: Not applicable; this control is intended for compute resources where the customer has access to the underlying operating system.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

ID とアクセスの制御Identity and access control

詳細については、「セキュリティ コントロール: ID およびアクセス制御」を参照してください。For more information, see Security control: Identity and access control.

3.1: 管理アカウントのインベントリを維持する3.1: Maintain an inventory of administrative accounts

ガイダンス: Azure AD の組み込みロールは、明示的に割り当てる必要があり、クエリ可能でなければなりません。Guidance: Azure AD has built-in roles that must be explicitly assigned and are queryable. Azure AD PowerShell モジュールを使用してアドホック クエリを実行し、管理グループのメンバーであるアカウントを検出します。Use the Azure AD PowerShell module to perform ad hoc queries to discover accounts that are members of administrative groups.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.2: 既定のパスワードを変更する (該当する場合)3.2: Change default passwords where applicable

ガイダンス:Data Lake Analytics には既定のパスワードの概念がありません。認証は、Azure Active Directory によって提供され、Azure ロールベースのアクセス制御 (Azure RBAC) によってセキュリティ保護されるためです。Guidance: Data Lake Analytics does not have the concept of default passwords as authentication is provided with Azure Active Directory and secured by Azure role-based access control (Azure RBAC).

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.3: 専用管理者アカウントを使用する3.3: Use dedicated administrative accounts

ガイダンス: 専用管理者アカウントの使用に関する標準的な操作手順を作成します。Guidance: Create standard operating procedures around the use of dedicated administrative accounts.

また、Azure AD Privileged Identity Management および Azure Resource Manager を使用して、Just-In-Time アクセスを有効にすることもできます。You can also enable a Just-In-Time access by using Azure AD Privileged Identity Management and Azure Resource Manager.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.4: Azure Active Directory シングル サインオン (SSO) を使用する3.4: Use Azure Active Directory single sign-on (SSO)

ガイダンス:可能な限り、サービスごとに個別のスタンドアロン資格情報を構成するのではなく、Azure Active Directory SSO を使用します。Guidance: Wherever possible, use Azure Active Directory SSO instead of configuring individual stand-alone credentials per-service. Azure Security Center ID とアクセスの推奨事項を使用してください。Use Azure Security Center identity and access recommendations.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する3.5: Use multi-factor authentication for all Azure Active Directory-based access

ガイダンス: Azure Active Directory の多要素認証 (MFA) を有効にし、Data Lake Analytics リソースを保護するための Azure Security Center ID とアクセス管理の推奨事項に従います。Guidance: Enable Azure Active Directory multi-factor authentication(MFA) and follow Azure Security Center Identity and access management recommendations to help protect your Data Lake Analytics resources.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.6: セキュリティで保護された Azure マネージド ワークステーションを管理タスクに使用する3.6: Use secure, Azure-managed workstations for administrative tasks

ガイダンス:高度な特権を必要とする管理タスクには、セキュリティで保護された Azure マネージド ワークステーション (特権アクセス ワークステーション (PAW) とも呼ばれます) を使用します。Guidance: Use a secure, Azure-managed workstation (also known as a Privileged Access Workstation, or PAW) for administrative tasks that require elevated privileges.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.7: 管理者アカウントからの疑わしいアクティビティに関するログとアラート3.7: Log and alert on suspicious activities from administrative accounts

ガイダンス: 環境内で疑わしいアクティビティまたは安全でないアクティビティが環境で発生したときに、Azure Active Directory セキュリティ レポートを使用して、ログおよびアラートを生成します。Guidance: Use Azure Active Directory security reports for generation of logs and alerts when suspicious or unsafe activity occurs in the environment. Azure Security Center を使用して ID およびアクセス アクティビティを監視します。Use Azure Security Center to monitor identity and access activity.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.8:承認された場所からのみ Azure リソースを管理する3.8: Manage Azure resources from only approved locations

ガイダンス: Azure AD のネームド ロケーションを使用して、IP アドレス範囲または国、地域の特定の論理グループからのアクセスのみを許可します。Guidance: Use Azure AD named locations to allow access only from specific logical groupings of IP address ranges or countries/regions.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.9: Azure Active Directory を使用する3.9: Use Azure Active Directory

ガイダンス: Azure Active Directory (Azure AD) を中央認証と承認システムとして使用します。Guidance: Use Azure Active Directory (Azure AD) as the central authentication and authorization system. Azure ロールベースのアクセス制御 (Azure RBAC) を使用すると、Data Lake Analytics リソースに対するクライアントのアクセスをきめ細かく制御できます。Azure role-based access control (Azure RBAC) provides fine-grained control over a client's access to Data Lake Analytics resources.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.10: ユーザー アクセスを定期的に確認して調整する3.10: Regularly review and reconcile user access

ガイダンス: Azure AD には、古いアカウントの検出に役立つログが用意されています。Guidance: Azure AD provides logs to help discover stale accounts. また、Azure AD の ID およびアクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理します。In addition, use Azure AD identity and access reviews to efficiently manage group memberships, access to enterprise applications, and role assignments. ユーザー アクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。User access can be reviewed on a regular basis to make sure only the right users have continued access.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.11: 非アクティブ化された資格情報へのアクセスの試行を監視する3.11: Monitor attempts to access deactivated credentials

ガイダンス: Data Lake Analytics および Azure Active Directory の診断設定を有効にし、すべてのログを Log Analytics ワークスペースに送信します。Guidance: Enable diagnostic settings for Data Lake Analytics and Azure Active Directory, sending all logs to a Log Analytics workspace. Log Analytics 内で、目的のアラート (無効なシークレットへのアクセスの試行など) を構成します。Configure desired alerts (such as attempts to access disabled secrets) within Log Analytics.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.12: アカウントのサインイン動作の偏差に関するアラートを生成する3.12: Alert on account sign-in behavior deviation

ガイダンス:Azure Active Directory のリスクおよび ID Protection 機能を使用して、Data Lake Analytics リソースに関連して検出された疑わしいアクションに対する自動応答を構成します。Guidance: Use Azure Active Directory's Risk and Identity Protection features to configure automated responses to detected suspicious actions related to your Data Lake Analytics resources. 組織のセキュリティ対応を実装するには、Azure Sentinel によって自動応答を有効にする必要があります。You should enable automated responses through Azure Sentinel to implement your organization's security responses.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.13: サポート シナリオで関連する顧客データに Microsoft がアクセスできるようにする3.13: Provide Microsoft with access to relevant customer data during support scenarios

ガイダンス: 適用できません。Azure Data Lake Analytics ではカスタマー ロックボックスはサポートされていません。Guidance: Not applicable; Customer Lockbox not supported for Azure Data Lake Analytics.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

データ保護Data protection

詳細については、「セキュリティ コントロール: データ保護」を参照してください。For more information, see Security control: Data protection.

4.1: 機密情報のインベントリを維持する4.1: Maintain an inventory of sensitive Information

ガイダンス: 機密情報を格納または処理する Data Lake Analytics リソースを追跡しやすくするには、タグを使用します。Guidance: Use tags to assist in tracking Data Lake Analytics resources that store or process sensitive information.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

4.2:機密情報を格納または処理するシステムを分離する4.2: Isolate systems storing or processing sensitive information

ガイダンス: 環境やデータの機密度など、個々のセキュリティ ドメイン用の個別のサブスクリプション、管理グループを使用して分離を実装します。Guidance: Implement isolation using separate subscriptions, management groups for individual security domains such as environment, data sensitivity. Data Lake Analytics を制限して、アプリケーションやエンタープライズ環境で必要とされる Data Lake Analytics リソースへのアクセス レベルを制御できます。You can restrict your Data Lake Analytics to control the level of access to your Data Lake Analytics resources that your applications and enterprise environments demand. ファイアウォール ルールが構成されている場合、指定された一連のネットワークを介してデータを要求するアプリケーションのみが、Data Lake Analytics リソースにアクセスできます。When firewall rules are configured, only applications requesting data over the specified set of networks can access your Data Lake Analytics resources. Azure RBAC を使用して Azure Data Lake Analytics へのアクセスを制御できます。You can control access to Azure Data Lake Analytics via Azure RBAC.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.3:機密情報の承認されていない転送を監視してブロックする4.3: Monitor and block unauthorized transfer of sensitive information

ガイダンス: データ損失防止機能は、Azure Data Lake Analytics リソースではまだ使用できません。Guidance: Data loss prevention features are not yet available for Azure Data Lake Analytics resources. コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。Implement third-party solution if required for compliance purposes.

Microsoft によって管理される基になるプラットフォームの場合、Microsoft では顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護します。For the underlying platform which is managed by Microsoft, Microsoft treats all customer content as sensitive and guards against customer data loss and exposure. Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.4:転送中のすべての機密情報を暗号化する4.4: Encrypt all sensitive information in transit

ガイダンス:Microsoft Azure リソースでは、既定で TLS 1.2 をネゴシエートします。Guidance: Microsoft Azure resources will negotiate TLS 1.2 by default. Data Lake Analytics リソースに接続しているすべてのクライアントが TLS 1.2 以上を使用してネゴシエートできることを確認します。Ensure that any clients connecting to your Data Lake Analytics can negotiate using TLS 1.2 or greater.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

4.5:アクティブ検出ツールを使用して機密データを特定する4.5: Use an active discovery tool to identify sensitive data

ガイダンス: Azure Data Lake Analytics リソースでは、データ特定機能をまだ使用できません。Guidance: Data identification features are not yet available for Azure Data Lake Analytics resources. コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。Implement third-party solution if required for compliance purposes.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.6:Azure RBAC を使用してリソースへのアクセスを制御する4.6: Use Azure RBAC to control access to resources

ガイダンス: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、ユーザーがサービスと対話する方法を制御します。Guidance: Use Azure role-based access control (Azure RBAC) to control how users interact with the service.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.7:ホストベースのデータ損失防止を使用してアクセス制御を実施する4.7: Use host-based data loss prevention to enforce access control

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

4.8:機密情報を保存時に暗号化する4.8: Encrypt sensitive information at rest

ガイダンス: データは既定の Data Lake Storage Gen1 アカウントに格納されます。Guidance: Data is stored in the default Data Lake Storage Gen1 account. 保存データに関しては、Data Lake Storage Gen1 では "既定でオン" の透過的な暗号化がサポートされます。For data at rest, Data Lake Storage Gen1 supports "on by default," transparent encryption.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

4.9:重要な Azure リソースへの変更に関するログとアラート4.9: Log and alert on changes to critical Azure resources

ガイダンス: Azure アクティビティ ログで Azure Monitor を使用して、Azure Data Lake Analytics リソースの実稼働インスタンスに対して変更が行われたときのアラートを作成します。Guidance: Use Azure Monitor with the Azure Activity log to create alerts for when changes take place to production instances of Azure Data Lake Analytics resources.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

脆弱性の管理Vulnerability management

詳細については、「セキュリティ コントロール: 脆弱性の管理」を参照してください。For more information, see Security control: Vulnerability management.

5.1:自動化された脆弱性スキャン ツールを実行する5.1: Run automated vulnerability scanning tools

ガイダンス: ご利用の Azure Data Lake Analytics リソースをセキュリティで保護する方法については Azure Security Center からの推奨事項に従ってください。Guidance: Follow recommendations from Azure Security Center on securing your Azure Data Lake Analytics resources.

Microsoft では、Azure Data Lake Analytics をサポートしている基になるシステムで脆弱性の管理を行います。Microsoft performs vulnerability management on the underlying systems that support Azure Data Lake Analytics.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

5.2:自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する5.2: Deploy automated operating system patch management solution

ガイダンス:適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

5.3:サード パーティ ソフトウェア タイトル用の自動化された修正プログラム管理ソリューションをデプロイする5.3: Deploy automated patch management solution for third-party software titles

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

5.4:バックツーバックの脆弱性スキャンを比較する5.4: Compare back-to-back vulnerability scans

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

5.5:リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける5.5: Use a risk-rating process to prioritize the remediation of discovered vulnerabilities

ガイダンス: 一般的なリスク スコアリング プログラム (例: Common Vulnerability Scoring System) またはサードパーティのスキャンツールによって提供された既定のリスク評価を使用します。Guidance: Use a common risk scoring program (for example, Common Vulnerability Scoring System) or the default risk ratings provided by your third-party scanning tool.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

インベントリと資産の管理Inventory and asset management

詳細については、「セキュリティ コントロール: インベントリと資産の管理」を参照してください。For more information, see Security control: Inventory and asset management.

6.1:自動化された資産検出ソリューションを使用する6.1: Use automated asset discovery solution

ガイダンス: Azure Resource Graph を使用して、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) のクエリおよび検出を行います。Guidance: Use Azure Resource Graph to query for and discover all resources (such as compute, storage, network, ports, and protocols etc.) in your subscriptions. テナントで適切な (読み取り) アクセス許可を確認し、サブスクリプション内のリソースだけでなく、すべての Azure サブスクリプションを列挙します。Ensure appropriate (read) permissions in your tenant and enumerate all Azure subscriptions as well as resources in your subscriptions.

従来の Azure リソースは Azure Resource Graph Explorer で検出できますが、今後は Azure Resource Manager リソースを作成して使用することを強くお勧めします。Although classic Azure resources may be discovered via Azure Resource Graph Explorer, it is highly recommended to create and use Azure Resource Manager resources going forward.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.2:資産メタデータを保持する6.2: Maintain asset metadata

ガイダンス:メタデータを提供する Azure リソースにタグを適用すると、それらのリソースが各分類に論理的に整理されます。Guidance: Apply tags to Azure resources giving metadata to logically organize them into a taxonomy.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

6.3:承認されていない Azure リソースを削除する6.3: Delete unauthorized Azure resources

ガイダンス:Azure Data Lake Analytics リソースを整理および追跡するには、必要に応じて、タグ付け、管理グループ、個別のサブスクリプションを使用します。Guidance: Use tagging, management groups, and separate subscriptions, where appropriate, to organize and track Azure Data Lake Analytics resources. 定期的にインベントリを調整し、承認されていないリソースがサブスクリプションから適切なタイミングで削除されるようにします。Reconcile inventory on a regular basis and ensure unauthorized resources are deleted from the subscription in a timely manner.

さらに、Azure Policy を使用し、次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類を制限します。In addition, use Azure policy to put restrictions on the type of resources that can be created in customer subscriptions using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types
  • 許可されるリソースの種類Allowed resource types

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

6.4:承認された Azure リソースのインベントリを定義および管理する6.4: Define and maintain inventory of approved Azure resources

ガイダンス: 組織のニーズに応じて、承認された Azure リソースとコンピューティング リソース用に承認されたソフトウェアのインベントリを作成します。Guidance: Create an inventory of approved Azure resources and approved software for compute resources as per your organizational needs.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.5:承認されていない Azure リソースを監視する6.5: Monitor for unapproved Azure resources

ガイダンス:次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。Guidance: Use Azure policy to put restrictions on the type of resources that can be created in customer subscription(s) using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types
  • 許可されるリソースの種類Allowed resource types

さらに、Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。In addition, use Azure Resource Graph to query/discover resources within the subscription(s).

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

6.6:コンピューティング リソース内の承認されていないソフトウェア アプリケーションを監視する6.6: Monitor for unapproved software applications within compute resources

ガイダンス:適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.7:承認されていない Azure リソースとソフトウェア アプリケーションを削除する6.7: Remove unapproved Azure resources and software applications

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.8:承認されたアプリケーションのみを使用する6.8: Use only approved applications

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.9:承認された Azure サービスのみを使用する6.9: Use only approved Azure services

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。Guidance: Use Azure Policy to put restrictions on the type of resources that can be created in customer subscription(s) using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types
  • 許可されるリソースの種類Allowed resource types

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

6.10:承認されたソフトウェア タイトルのインベントリを管理する6.10: Maintain an inventory of approved software titles

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.11:Azure Resource Manager を操作するユーザーの機能を制限する6.11: Limit users' ability to interact with Azure Resource Manager

ガイダンス: Azure 条件付きアクセスを使用して Azure Resource Manager とやりとりするユーザーの機能を制限するには、"Microsoft Azure 管理" アプリに対して [アクセスのブロック] を構成します。Guidance: Configure Azure Conditional Access to limit users' ability to interact with Azure Resource Manager by configuring "Block access" for the "Microsoft Azure Management" App.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.12:コンピューティング リソース内でスクリプトを実行するユーザーの機能を制限する6.12: Limit users' ability to execute scripts within compute resources

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.13:リスクの高いアプリケーションを物理的または論理的に分離する6.13: Physically or logically segregate high risk applications

ガイダンス: 適用できません。この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。Guidance: Not applicable; this recommendation is intended for web applications running on Azure App Service or compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

セキュリティで保護された構成Secure configuration

詳細については、「セキュリティ コントロール: セキュリティで保護された構成」を参照してください。For more information, see Security control: Secure configuration.

7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する7.1: Establish secure configurations for all Azure resources

ガイダンス:Azure Data Lake Analytics の構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.DataLakeAnalytics" 名前空間で Azure Policy エイリアスを使用します。Guidance: Use Azure Policy aliases in the "Microsoft.DataLakeAnalytics" namespace to create custom policies to audit or enforce the configuration of your Azure Data Lake Analytics. 次のように、Azure Data Lake Analytics に関連する組み込みのポリシー定義を使用することもできます。You may also make use of built-in policy definitions related to your Azure Data Lake Analytics, such as:

  • Data Lake Analytics の診断ログを有効にする必要があるDiagnostic logs in Data Lake Analytics should be enabled

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

7.2:セキュリティで保護されたオペレーティング システムの構成を確立する7.2: Establish secure operating system configurations

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.3:セキュリティで保護された Azure リソースの構成を維持する7.3: Maintain secure Azure resource configurations

ガイダンス: Azure リソース全体にセキュリティで保護された設定を適用するには、Azure ポリシー [拒否] と [存在する場合はデプロイする] を使用します。Guidance: Use Azure policy [deny] and [deploy if not exist] to enforce secure settings across your Azure resources.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

7.4:セキュリティで保護されたオペレーティング システムの構成を維持する7.4: Maintain secure operating system configurations

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.5:Azure リソースの構成を安全に格納する7.5: Securely store configuration of Azure resources

ガイダンス: カスタム Azure ポリシー、Azure Resource Manager テンプレート、Desired State Configuration スクリプトなど、ご利用のコードを安全に格納して管理するには、Azure Repos を使用します。Azure DevOps で管理するリソースにアクセスするには、Azure Active Directory (Azure AD) で定義された (Azure DevOps に統合されている場合)、または Active Directory で定義された (TFS に統合されている場合) 特定のユーザー、組み込みのセキュリティ グループ、またはグループにアクセス許可を付与したり、そのアクセス許可を拒否したりできます。Guidance: Use Azure Repos to securely store and manage your code like custom Azure policies, Azure Resource Manager templates, Desired State Configuration scripts etc. To access the resources you manage in Azure DevOps, you can grant or deny permissions to specific users, built-in security groups, or groups defined in Azure Active Directory (Azure AD) if integrated with Azure DevOps, or Active Directory if integrated with TFS.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.6:カスタム オペレーティング システム イメージを安全に格納する7.6: Securely store custom operating system images

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.7:Azure リソース用の構成管理ツールをデプロイする7.7: Deploy configuration management tools for Azure resources

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.8:オペレーティング システム用の構成管理ツールをデプロイする7.8: Deploy configuration management tools for operating systems

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.9:Azure リソースの自動構成監視を実装する7.9: Implement automated configuration monitoring for Azure resources

ガイダンス:システム構成を警告処理、監査、適用するためのカスタム ポリシーを作成するには、"Microsoft.DataLakeAnalytics" 名前空間で Azure Policy エイリアスを使用します。Guidance: Use Azure Policy aliases in the "Microsoft.DataLakeAnalytics" namespace to create custom policies to alert, audit, and enforce system configurations. Azure Data Lake Analytics リソースの構成を自動的に適用するには、Azure Policy の [audit]、[deny]、[deploy if not exist] を使用します。Use Azure policy [audit], [deny], and [deploy if not exist] to automatically enforce configurations for your Azure Data Lake Analytics resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.10:オペレーティング システムの自動構成監視を実装する7.10: Implement automated configuration monitoring for operating systems

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.11:Azure シークレットを安全に管理する7.11: Manage Azure secrets securely

ガイダンス: 適用できません。Data Lake Analytics では、顧客が管理する必要のあるシークレットは公開されません。Guidance: Not applicable; Data Lake Analytics does not expose any secrets that the customer needs to manage.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.12:ID を安全かつ自動的に管理する7.12: Manage identities securely and automatically

ガイダンス: 適用できません。Data Lake Analytics では、Azure マネージド ID はサポートされていません。Guidance: Not applicable; Data Lake Analytics does not support Azure managed identities.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.13:意図しない資格情報の公開を排除する7.13: Eliminate unintended credential exposure

ガイダンス: コード内で資格情報を特定する資格情報スキャナーを実装します。Guidance: Implement Credential Scanner to identify credentials within code. また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。Credential Scanner will also encourage moving discovered credentials to more secure locations such as Azure Key Vault.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

マルウェアからの防御Malware defense

詳細については、「セキュリティ コントロール: マルウェアからの防御」を参照してください。For more information, see Security control: Malware defense.

8.1:一元管理されたマルウェア対策ソフトウェアを使用する8.1: Use centrally-managed anti-malware software

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

8.2:非コンピューティング Azure リソースにアップロードするファイルを事前にスキャンする8.2: Pre-scan files to be uploaded to non-compute Azure resources

ガイダンス: Microsoft のマルウェア対策は、Azure サービス (Azure Data Lake Analytics など) をサポートしている基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。Guidance: Microsoft anti-malware is enabled on the underlying host that supports Azure services (for example, Azure Data Lake Analytics), however it does not run on customer content.

App Service、Data Lake Analytics、Blob Storage などの Azure リソースにアップロードされるすべてのコンテンツを事前にスキャンします。Microsoft は、これらのインスタンス内のデータにアクセスできません。Pre-scan any content being uploaded to Azure resources, such as App Service, Data Lake Analytics, Blob Storage etc. Microsoft cannot access your data in these instances.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

手順 8.3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする8.3: Ensure anti-malware software and signatures are updated

ガイダンス: 適用できません。このコントロールは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this control is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

データの復旧Data recovery

詳細については、「セキュリティ コントロール: データの復旧」を参照してください。For more information, see Security control: Data recovery.

9.1:定期的な自動バックアップを保証する9.1: Ensure regular automated back-ups

ガイダンス: Data Lake Analytics ジョブ ログとデータ出力は、基になる Data Lake Storage Gen1 サービスに格納されます。Guidance: Data Lake Analytics jobs logs and data output are stored in the underlying Data Lake Storage Gen1 service. ADLCopy、Azure PowerShell、Azure Data Factory など、データをコピーするさまざまな方法があります。You can use various methods to copy data including ADLCopy, Azure PowerShell or Azure Data Factory. また、Azure Automation を使用して、定期的にデータを自動的にバックアップすることもできます。You can also use Azure Automation to backup data on a regular basis automatically.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

9.2: システムの完全バックアップを実行し、すべてのカスタマー マネージド キーをバックアップする9.2: Perform complete system backups and backup any customer-managed keys

ガイダンス: Data Lake Analytics ジョブ ログとデータ出力は、基になる Data Lake Storage Gen1 サービスに格納されます。Guidance: Data Lake Analytics jobs logs and data output are stored in the underlying Data Lake Storage Gen1 service. ADLCopy、Azure PowerShell、Azure Data Factory など、データをコピーするさまざまな方法があります。You can use various methods to copy data including ADLCopy, Azure PowerShell or Azure Data Factory.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

9.3:カスタマー マネージド キーを含むすべてのバックアップを検証する9.3: Validate all backups including customer-managed keys

ガイダンス:データの整合性をテストするために、バックアップ データのデータ復元を定期的に実行します。Guidance: Periodically perform data restoration of your backup data to test the integrity of the data.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

9.4: バックアップとカスタマー マネージド キーの保護を保証する9.4: Ensure protection of backups and customer-managed keys

ガイダンス: Data Lake Storage Gen1 または Azure Storage 内に格納されている Data Lake Analytics バックアップは、既定で暗号化をサポートしており、無効にすることはできません。Guidance: Data Lake Analytics backups stored within your Data Lake Storage Gen1 or Azure Storage supports encryption by default and cannot be turned off. バックアップを機密データとして扱い、このベースラインの一部として関連するアクセスとデータ保護制御を適用する必要があります。You should treat your backups as sensitive data and apply the relevant access and data protection controls as part of this baseline.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

インシデント対応Incident response

詳細については、「セキュリティ コントロール: インシデント対応」を参照してください。For more information, see Security control: Incident response.

10.1:インシデント対応ガイドを作成する10.1: Create an incident response guide

ガイダンス: 組織のインシデント対応ガイドを作成します。Guidance: Build out an incident response guide for your organization. 要員のすべてのロールを定義するインシデント対応計画が記述されていることと、検出からインシデント後のレビューまでのインシデント対応/管理のフェーズがあることを確認します。Ensure that there are written incident response plans that define all roles of personnel as well as phases of incident handling/management from detection to post-incident review.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.2:インシデントのスコアリングと優先順位付けの手順を作成する10.2: Create an incident scoring and prioritization procedure

ガイダンス: Security Center によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。Guidance: Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. 重要度は、アラートの発行に使用された Security Center の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert as well as the confidence level that there was malicious intent behind the activity that led to the alert.

また、サブスクリプション (Additionally, clearly mark subscriptions (for ex. 運用、非運用など) をタグを使用して明確にマークし、Azure リソース (特に、機密データを処理するもの) を明確に識別して分類するための命名システムを作成します。production, non-prod) using tags and create a naming system to clearly identify and categorize Azure resources, especially those processing sensitive data. インシデントが発生した Azure リソースと環境の重要度に基づいて、アラートの修復に優先順位を付けることは、お客様の責任です。It is your responsibility to prioritize the remediation of alerts based on the criticality of the Azure resources and environment where the incident occurred.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.3:セキュリティ対応手順のテスト10.3: Test security response procedures

ガイダンス: ご利用のシステムのインシデント対応機能を定期的にテストする演習を実施することで、ご利用の Azure リソースの保護を支援できます。Guidance: Conduct exercises to test your systems' incident response capabilities on a regular cadence to help protect your Azure resources. 弱点やギャップを特定し、必要に応じて対応計画を見直します。Identify weak points and gaps and then revise your response plan as needed.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します10.4: Provide security incident contact details and configure alert notifications for security incidents

ガイダンス:セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないユーザーによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。Guidance: Security incident contact information will be used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party. 事後にインシデントをレビューして、問題が解決されていることを確認します。Review incidents after the fact to ensure that issues are resolved.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.5:インシデント対応システムにセキュリティ アラートを組み込む10.5: Incorporate security alerts into your incident response system

ガイダンス: 連続エクスポート機能を使用して Azure Security Center のアラートと推奨事項をエクスポートすると、Azure リソースへのリスクを特定できます。Guidance: Export your Azure Security Center alerts and recommendations using the Continuous Export feature to help identify risks to Azure resources. 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。Continuous Export allows you to export alerts and recommendations either manually or in an ongoing, continuous fashion. Azure Security Center データ コネクタを使用してアラートを Azure Sentinel にストリーミングできます。You may use the Azure Security Center data connector to stream the alerts to Azure Sentinel.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.6:セキュリティ アラートへの対応を自動化する10.6: Automate the response to security alerts

ガイダンス: Azure Security Center のワークフロー自動化機能を使用すると、セキュリティのアラートと推奨事項に対して "Logic Apps" で自動的に応答をトリガーし、Azure リソースを保護できます。Guidance: Use the Workflow Automation feature in Azure Security Center to automatically trigger responses via "Logic Apps" on security alerts and recommendations to protect your Azure resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

侵入テストとレッド チーム演習Penetration tests and red team exercises

詳細については、「セキュリティ コントロール: 侵入テストとレッド チーム演習」を参照してください。For more information, see Security control: Penetration tests and red team exercises.

11.1:Azure リソースの通常の侵入テストを実施し、セキュリティに関する重大な調査結果がすべて、確実に修復されるようにする11.1: Conduct regular penetration testing of your Azure resources and ensure remediation of all critical security findings

ガイダンス: お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。Guidance: Follow the Microsoft Cloud Penetration Testing Rules of Engagement to ensure your penetration tests are not in violation of Microsoft policies. Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。Use Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

次のステップNext steps