NIST SP 800-53 Rev. 5 (Azure Government) 規制コンプライアンスの組み込みイニシアチブの詳細
この記事では、Azure Policy 規制コンプライアンスの組み込みイニシアチブの定義が、NIST SP 800-53 Rev. 5 (Azure Government) のコンプライアンス ドメインとコントロールにどのように対応するのかについて詳しく説明します。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。 "所有権" については、Azure Policy のポリシー定義に関するページと、「クラウドにおける共同責任」を参照してください。
以下のマッピングは、NIST SP 800-53 Rev. 5 コントロールに対するものです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、 [NIST SP 800-53 Rev. 5] 規制コンプライアンスの組み込みイニシアチブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
アクセス制御
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 AC-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1000 - アクセス制御ポリシーと手順の要件 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1001 - アクセスの制御のポリシーと手順の要件 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
アカウント管理
ID: NIST SP 800-53 Rev. 5 AC-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft マネージド コントロール 1002 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1003 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1004 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1005 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1006 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1007 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1008 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1009 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1010 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1011 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1012 - アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1022 - アカウント管理 | 共有/グループ アカウントの資格情報の終了 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
システム アカウント管理の自動化
ID: NIST SP 800-53 Rev. 5 AC-2 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1013 - アカウント管理 | 自動システム アカウント管理 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
自動一時および緊急アカウント管理
ID: NIST SP 800-53 Rev. 5 AC-2 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1014 - アカウント管理 | 一時的/緊急アカウントの削除 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
アカウントの無効化
ID: NIST SP 800-53 Rev. 5 AC-2 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1015 - アカウント管理 | 非アクティブなアカウントの無効化 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監査処理の自動化
ID: NIST SP 800-53 Rev. 5 AC-2 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1016 - アカウント管理 | 自動監査アクション | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
非アクティブな状態のログアウト
ID: NIST SP 800-53 Rev. 5 AC-2 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1017 - アカウント管理 | 非アクティブ ログアウト | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
特権ユーザー アカウント
ID: NIST SP 800-53 Rev. 5 AC-2 (7) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Microsoft マネージド コントロール 1018 - アカウント管理 | ロールベースのスキーム | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1019 - アカウント管理 | ロールベースのスキーム | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1020 - アカウント管理 | ロールベースのスキーム | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
共有およびグループ アカウントの使用に関する制限
ID: NIST SP 800-53 Rev. 5 AC-2 (9) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1021 - アカウント管理 | 共有/グループ アカウントの使用に対する制限 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
使用条件
ID: NIST SP 800-53 Rev. 5 AC-2 (11) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1023 - アカウント管理 | 使用条件 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
一般的でない使用法に対するアカウントの監視
ID: NIST SP 800-53 Rev. 5 AC-2 (12) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 4.0.1-preview |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1024 - アカウント管理 | アカウントの監視または一般的でない使用法 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1025 - アカウント管理 | アカウントの監視または一般的でない使用法 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
危険性の高い個人のアカウントの無効化
ID: NIST SP 800-53 Rev. 5 AC-2 (13) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1026 - アカウント管理 | 危険性の高い個人のアカウントの無効化 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
アクセスの適用
ID: NIST SP 800-53 Rev. 5 AC-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 1.3.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 1.3.0 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 1.4.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.4.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1027 - アクセスの適用 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
ロールベースのアクセス制御
ID: NIST SP 800-53 Rev. 5 AC-3 (7) 所有権: 顧客
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Kubernetes Services では Azure ロールベースのアクセス制御 (RBAC) を使用する必要がある | ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、Azure ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 | Audit、Disabled | 1.0.3 |
情報フローの適用
ID: NIST SP 800-53 Rev. 5 AC-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | Audit、Disabled | 2.0.0 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.0.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 1.4.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Cognitive Services アカウントでパブリック ネットワーク アクセスを無効にする必要がある | Cognitive Services アカウントのセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 https://go.microsoft.com/fwlink/?linkid=2129800 の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 3.0.1 |
| Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.0 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、および https://aka.ms/acr/vnet を参照してください。 | Audit、Deny、Disabled | 2.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1028 - 情報フローの適用 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
動的な情報フローの制御
ID: NIST SP 800-53 Rev. 5 AC-4 (3) 所有権: 顧客
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
セキュリティおよびプライバシー ポリシーのフィルター
ID: NIST SP 800-53 Rev. 5 AC-4 (8) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1029 - 情報フローの適用 | セキュリティ ポリシーのフィルター | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
情報フローの物理的または論理的分離
ID: NIST SP 800-53 Rev. 5 AC-4 (21) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1030 - 情報フローの適用 | 情報フローの物理的または論理的分離 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
職務の分離
ID: NIST SP 800-53 Rev. 5 AC-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1031 - 職務の分離 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1032 - 職務の分離 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1033 - 職務の分離 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
最小限の特権
ID: NIST SP 800-53 Rev. 5 AC-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| Microsoft マネージド コントロール 1034 - 最小限の特権 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティ機能へのアクセスの認可
ID: NIST SP 800-53 Rev. 5 AC-6 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1035 - 最小限の特権 | セキュリティ機能へのアクセスの認可 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティ以外の機能に対する非特権アクセス
ID: NIST SP 800-53 Rev. 5 AC-6 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1036 - 最小限の特権 | セキュリティ以外の機能に対する特権なしのアクセス | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
特権コマンドへのネットワーク アクセス
ID: NIST SP 800-53 Rev. 5 AC-6 (3) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1037 - 最小限の特権 | 特権コマンドへのネットワーク アクセス | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
特権アカウント
ID: NIST SP 800-53 Rev. 5 AC-6 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1038 - 最小限の特権 | 特権アカウント | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ユーザー特権のレビュー
ID: NIST SP 800-53 Rev. 5 AC-6 (7) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| Microsoft マネージド コントロール 1039 - 最小限の特権 | ユーザー特権の確認 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1040 - 最小限の特権 | ユーザー特権の確認 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
コード実行の特権レベル
ID: NIST SP 800-53 Rev. 5 AC-6 (8) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1041 - 最小限の特権 | コード実行の特権レベル | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
特権機能の使用のログ
ID: NIST SP 800-53 Rev. 5 AC-6 (9) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1042 - 最小限の特権 | 特権機能の使用の監査 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
非特権ユーザーによる特権機能の実行禁止
ID: NIST SP 800-53 Rev. 5 AC-6 (10) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1043 - 最小限の特権 | 特権のないユーザーによる特権機能の実行禁止 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ログオン試行の失敗
ID: NIST SP 800-53 Rev. 5 AC-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1044 - ログオン試行の失敗 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1045 - ログオン試行の失敗 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
モバイル デバイスの消去またはワイプ
ID: NIST SP 800-53 Rev. 5 AC-7 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1046 - ログオン試行の失敗 |モバイル デバイスの消去/ワイプ | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システム使用通知
ID: NIST SP 800-53 Rev. 5 AC-8 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1047 - システム使用通知 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1048 - システム使用通知 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1049 - システム使用通知 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
同時セッション制御
ID: NIST SP 800-53 Rev. 5 AC-10 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1050 - 同時セッション制御 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
デバイスのロック
ID: NIST SP 800-53 Rev. 5 AC-11 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1051 - セッションのロック | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1052 - セッションのロック | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
パターン非表示ディスプレイ
ID: NIST SP 800-53 Rev. 5 AC-11 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1053 - セッションのロック | パターン非表示ディスプレイ | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セッションの終了
ID: NIST SP 800-53 Rev. 5 AC-12 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1054 - セッションの終了 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ユーザーが開始したログアウト
ID: NIST SP 800-53 Rev. 5 AC-12 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1055 - セッションの終了 | ユーザーによって開始されたログアウト/メッセージの表示 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1056 - セッションの終了 | ユーザーによって開始されたログアウト/メッセージの表示 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ID または認証なしで許可されるアクション
ID: NIST SP 800-53 Rev. 5 AC-14 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1057 - ID または認証なしで許可されるアクション | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1058 - ID または認証なしで許可されるアクション | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティとプライバシーの属性
ID: NIST SP 800-53 Rev. 5 AC-16 所有権: 顧客
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
リモート アクセス
ID: NIST SP 800-53 Rev. 5 AC-17 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 1.3.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 1.3.0 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 1.4.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.4.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| Microsoft マネージド コントロール 1059 - リモート アクセス | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1060 - リモート アクセス | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
監視および制御
ID: NIST SP 800-53 Rev. 5 AC-17 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 1.3.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 1.3.0 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 1.4.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.4.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| Microsoft マネージド コントロール 1061 - リモート アクセス | 自動監視/制御 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
暗号化を使用した機密性と整合性の保護
ID: NIST SP 800-53 Rev. 5 AC-17 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1062 - リモート アクセス | 暗号化を使用した機密性/整合性の保護 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
マネージド Access Control ポイント
ID: NIST SP 800-53 Rev. 5 AC-17 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1063 - リモート アクセス | マネージド Access Control ポイント | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
特権付きのコマンドとアクセス
ID: NIST SP 800-53 Rev. 5 AC-17 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1064 - リモート アクセス | 特権のあるコマンド/アクセス | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1065 - リモート アクセス | 特権のあるコマンド/アクセス | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
アクセスの切断または無効化
ID: NIST SP 800-53 Rev. 5 AC-17 (9) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1066 - リモート アクセス | アクセスの切断/無効化 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ワイヤレス アクセス
ID: NIST SP 800-53 Rev. 5 AC-18 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1067 - ワイヤレス アクセスの制限 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1068 - ワイヤレス アクセスの制限 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
認証と暗号化
ID: NIST SP 800-53 Rev. 5 AC-18 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1069 - ワイヤレス アクセスの制限 | 認証と暗号化 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ワイヤレス ネットワークの無効化
ID: NIST SP 800-53 Rev. 5 AC-18 (3) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1070 - ワイヤレス アクセスの制限 | ワイヤレス ネットワーキングの無効化 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ユーザーによる構成の制限
ID: NIST SP 800-53 Rev. 5 AC-18 (4) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1071 - ワイヤレス アクセスの制限 | ユーザーによる構成の制限 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
アンテナおよび送信電力レベル
ID: NIST SP 800-53 Rev. 5 AC-18 (5) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1072 - ワイヤレス アクセスの制限 | アンテナ/送電レベル | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
モバイル デバイスのアクセスの制御
ID: NIST SP 800-53 Rev. 5 AC-19 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1073 - ポータブル およびモバイル システムのアクセス制御 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1074 - ポータブル およびモバイル システムのアクセス制御 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
フル デバイスまたはコンテナーベースの暗号化
ID: NIST SP 800-53 Rev. 5 AC-19 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1075 - ポータブル システムおよびモバイル システムのアクセスの制御 | 完全なデバイス/コンテナーベースの暗号化 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
外部システムの使用
ID: NIST SP 800-53 Rev. 5 AC-20 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1076 - 外部情報システムの使用 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1077 - 外部情報システムの使用 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
許可された使用に関する制限
ID: NIST SP 800-53 Rev. 5 AC-20 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1078 - 外部情報システムの使用 | 許可された使用に関する制限 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1079 - 外部情報システムの使用 | 許可された使用に関する制限 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ポータブル ストレージ デバイス ??? 制限付き使用
ID: NIST SP 800-53 Rev. 5 AC-20 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1080 - 外部情報システムの使用 | ポータブル ストレージ デバイス | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
情報共有
ID: NIST SP 800-53 Rev. 5 AC-21 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1081 - 情報共有 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1082 - 情報共有 | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
パブリックにアクセスできるコンテンツ
ID: NIST SP 800-53 Rev. 5 AC-22 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1083 - パブリックにアクセスできるコンテンツ | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1084 - パブリックにアクセスできるコンテンツ | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1085 - パブリックにアクセスできるコンテンツ | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1086 - パブリックにアクセスできるコンテンツ | このアクセスの制御コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
認識とトレーニング
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 AT-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1087 - セキュリティの意識向上とトレーニングに関するポリシーと手順 | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1088 - セキュリティの意識向上とトレーニングに関するポリシーと手順 | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
リテラシーのトレーニングと認識
ID: NIST SP 800-53 Rev. 5 AT-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1089 - セキュリティ意識向上 | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1090 - セキュリティ意識向上 | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1091 - セキュリティ意識向上 | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
内部関係者による脅威
ID: NIST SP 800-53 Rev. 5 AT-2 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1092 - セキュリティ意識向上トレーニング | 内部関係者の脅威 | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ロールベースのトレーニング
ID: NIST SP 800-53 Rev. 5 AT-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1093 - ロールベースのセキュリティ トレーニング | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1094 - ロールベースのセキュリティ トレーニング | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1095 - ロールベースのセキュリティ トレーニング | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
実践的な演習
ID: NIST SP 800-53 Rev. 5 AT-3 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1096 - ロールベースのセキュリティ トレーニング | 実践的な演習 | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
トレーニングの記録
ID: NIST SP 800-53 Rev. 5 AT-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1098 - セキュリティ トレーニングの記録 | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1099 - セキュリティ トレーニングの記録 | この認識とトレーニング コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監査とアカウンタビリティ
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 AU-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1100 - 監査とアカウンタビリティのポリシーと手順 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1101 - 監査とアカウンタビリティのポリシーと手順 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
イベント ログ
ID: NIST SP 800-53 Rev. 5 AU-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1102 - イベントの監査 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1103 - イベントの監査 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1104 - イベントの監査 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1105 - イベントの監査 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1106 - イベントの監査| レビューと更新 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監査レコードの内容
ID: NIST SP 800-53 Rev. 5 AU-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1107 - 監査レコードの内容 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
その他の監査情報
ID: NIST SP 800-53 Rev. 5 AU-3 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1108 - 監査レコードの内容 | その他の監査情報 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監査ログのストレージ容量
ID: NIST SP 800-53 Rev. 5 AU-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1110 - 監査記憶域の容量 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監査ログ プロセス エラーへの対応
ID: NIST SP 800-53 Rev. 5 AU-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1111 - 監査処理エラーへの対応 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1112 - 監査処理エラーへの対応 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ストレージ容量の警告
ID: NIST SP 800-53 Rev. 5 AU-5 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1113 - 監査処理エラーへの対応 | 監査記憶域の容量 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
リアルタイム アラート
ID: NIST SP 800-53 Rev. 5 AU-5 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1114 - 監査処理エラーへの対応 | リアルタイム アラート | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監査レコードのレビュー、分析、レポート作成
ID: NIST SP 800-53 Rev. 5 AU-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 4.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1115 - 監査の確認、分析、および報告 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1116 - 監査の確認、分析、および報告 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1123 - 監査の確認、分析、および報告 | 監査レベルの調整 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
自動プロセス統合
ID: NIST SP 800-53 Rev. 5 AU-6 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1117 - 監査の確認、分析、および報告| プロセスの統合 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監査レコード リポジトリの関連付け
ID: NIST SP 800-53 Rev. 5 AU-6 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1118 - 監査の確認、分析、および報告 | 監査リポジトリの関連付け | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
一元的なレビューと分析
ID: NIST SP 800-53 Rev. 5 AU-6 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 4.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | このポリシーは、Log Analytics エージェントがインストールされていない場合にすべての Windows または Linux 仮想マシン (VM) を監査します。Security Center ではこれを使用してセキュリティの脆弱性や脅威を監視します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1119 - 監査の確認、分析、および報告 | 一元的なレビューと分析 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
監査レコードの統合分析
ID: NIST SP 800-53 Rev. 5 AU-6 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 4.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | このポリシーは、Log Analytics エージェントがインストールされていない場合にすべての Windows または Linux 仮想マシン (VM) を監査します。Security Center ではこれを使用してセキュリティの脆弱性や脅威を監視します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1120 - 監査の確認、分析、および報告 | 統合またはスキャンと監視機能 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
物理的監視との関連付け
ID: NIST SP 800-53 Rev. 5 AU-6 (6) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1121 - 監査の確認、分析、および報告 | 物理監視との関連付け | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
許可された操作
ID: NIST SP 800-53 Rev. 5 AU-6 (7) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1122 - 監査の確認、分析、および報告 | 許可された操作 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監査レコードの削減とレポート生成
ID: NIST SP 800-53 Rev. 5 AU-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1124 - 監査の削減とレポートの生成 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1125 - 監査の削減とレポートの生成 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
自動処理
ID: NIST SP 800-53 Rev. 5 AU-7 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1126 - 監査の削減とレポートの生成 | 自動処理 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
タイム スタンプ
ID: NIST SP 800-53 Rev. 5 AU-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1127 - タイム スタンプ | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1128 - タイム スタンプ | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監査情報の保護
ID: NIST SP 800-53 Rev. 5 AU-9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1131 - 監査情報の保護 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
個別の物理システムまたはコンポーネントへの保存
ID: NIST SP 800-53 Rev. 5 AU-9 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1132 - 監査情報の保護 | 個別の物理システム/コンポーネントのバックアップの監査 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
暗号化による保護
ID: NIST SP 800-53 Rev. 5 AU-9 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1133 - 監査情報の保護 | 暗号化による保護 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
一部の特権ユーザーによるアクセス
ID: NIST SP 800-53 Rev. 5 AU-9 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1134 - 監査情報の保護 | 一部の特権ユーザーによるアクセス | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
否認防止
ID: NIST SP 800-53 Rev. 5 AU-10 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1135 - 否認不可 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監査レコードの保持
ID: NIST SP 800-53 Rev. 5 AU-11 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1136 - 監査レコードの保持 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 3.0.0 |
監査レコードの生成
ID: NIST SP 800-53 Rev. 5 AU-12 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 4.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | このポリシーは、Log Analytics エージェントがインストールされていない場合にすべての Windows または Linux 仮想マシン (VM) を監査します。Security Center ではこれを使用してセキュリティの脆弱性や脅威を監視します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1137 - 監査の生成 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1138 - 監査の生成 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1139 - 監査の生成 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
システム全体および時間相関の監査証跡
ID: NIST SP 800-53 Rev. 5 AU-12 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 4.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | このポリシーは、Log Analytics エージェントがインストールされていない場合にすべての Windows または Linux 仮想マシン (VM) を監査します。Security Center ではこれを使用してセキュリティの脆弱性や脅威を監視します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1140 - 監査の生成 | システム全体または時間相関の監査証跡 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Data Lake Store のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Azure Stream Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analytics のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
許可された個人による変更
ID: NIST SP 800-53 Rev. 5 AU-12 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1141 - 監査の生成 | 許可された個人による変更 | この監査とアカウンタビリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
評価、承認、監視
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 CA-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1142 - 認定、承認、セキュリティ評価に関するポリシーと手順 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1143 - 認定、承認、セキュリティ評価に関するポリシーと手順 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
評価の制御
ID: NIST SP 800-53 Rev. 5 CA-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1144 - セキュリティ評価 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1145 - セキュリティ評価 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1146 - セキュリティ評価 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1147 - セキュリティ評価 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
独立した審査機関
ID: NIST SP 800-53 Rev. 5 CA-2 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1148 - セキュリティ評価 | 独立した審査機関 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
特殊な評価
ID: NIST SP 800-53 Rev. 5 CA-2 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1149 - セキュリティ評価 | 特別な評価 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
外部組織からの結果の活用
ID: NIST SP 800-53 Rev. 5 CA-2 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1150 - セキュリティ評価 | 外部組織 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
情報交換
ID: NIST SP 800-53 Rev. 5 CA-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1151 - システムの相互接続 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1152 - システムの相互接続 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1153 - システムの相互接続 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
アクションとマイルストーンのプラン
ID: NIST SP 800-53 Rev. 5 CA-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1156 - アクションとマイルストーンのプラン | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1157 - アクションとマイルストーンのプラン | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
承認
ID: NIST SP 800-53 Rev. 5 CA-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1158 - セキュリティ承認 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1159 - セキュリティ承認 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1160 - セキュリティ承認 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
継続的な監視
ID: NIST SP 800-53 Rev. 5 CA-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1161 - 継続的な監視 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1162 - 継続的な監視 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1163 - 継続的な監視 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1164 - 継続的な監視 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1165 - 継続的な監視 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1166 - 継続的な監視 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1167 - 継続的な監視 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
独立した評価
ID: NIST SP 800-53 Rev. 5 CA-7 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1168 - 継続的な監視 | 独立した評価 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
傾向分析
ID: NIST SP 800-53 Rev. 5 CA-7 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1169 - 継続的な監視 | 傾向分析 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
侵入テスト
ID: NIST SP 800-53 Rev. 5 CA-8 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1170 - 侵入テスト | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
独立した侵入テスト エージェントまたはチーム
ID: NIST SP 800-53 Rev. 5 CA-8 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1171 - 侵入テスト | 独立した侵入エージェントまたはチーム | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
内部システム接続
ID: NIST SP 800-53 Rev. 5 CA-9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1172 - 内部システム接続 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1173 - 内部システム接続 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
構成管理
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 CM-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1174 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1175 - 構成管理ポリシーおよび手順 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ベースライン構成
ID: NIST SP 800-53 Rev. 5 CM-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1176 - ベースライン構成 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1177 - ベースライン構成 | レビューと更新 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1178 - ベースライン構成 | レビューと更新 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1179 - ベースライン構成 | レビューと更新 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
正確性と現行性のオートメーション サポート
ID: NIST SP 800-53 Rev. 5 CM-2 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1180 - ベースライン構成 | 正確性/最新性に対する自動化サポート | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
以前の構成の保持
ID: NIST SP 800-53 Rev. 5 CM-2 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1181 - ベースライン構成 | 以前の構成の保持 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
危険性の高い領域に対するシステムとコンポーネントの構成
ID: NIST SP 800-53 Rev. 5 CM-2 (7) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1182 - ベースライン構成 | 危険度の高い領域用のシステム、コンポーネント、またはデバイスの構成 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1183 - ベースライン構成 | 危険度の高い領域用のシステム、コンポーネント、またはデバイスの構成 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
構成変更コントロール
ID: NIST SP 800-53 Rev. 5 CM-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1184 - 構成変更コントロール | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1185 - 構成変更コントロール | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1186 - 構成変更コントロール | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1187 - 構成変更コントロール | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1188 - 構成変更コントロール | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1189 - 構成変更コントロール | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1190 - 構成変更コントロール | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
変更の文書化、通知、禁止の自動化
ID: NIST SP 800-53 Rev. 5 CM-3 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1191 - 構成変更コントロール | 変更の自動化された文書化/通知/禁止 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1192 - 構成変更コントロール | 変更の自動化された文書化/通知/禁止 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1193 - 構成変更コントロール | 変更の自動化された文書化/通知/禁止 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1194 - 構成変更コントロール | 変更の自動化された文書化/通知/禁止 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1195 - 構成変更コントロール | 変更の自動化された文書化/通知/禁止 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1196 - 構成変更コントロール | 変更の自動化された文書化/通知/禁止 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
変更のテスト、検証、文書化
ID: NIST SP 800-53 Rev. 5 CM-3 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1197 - 構成変更コントロール | 変更のテスト/検証/文書化 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティとプライバシーの要件
ID: NIST SP 800-53 Rev. 5 CM-3 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1198 - 構成変更コントロール | セキュリティ担当者 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
暗号化の管理
ID: NIST SP 800-53 Rev. 5 CM-3 (6) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1199 - 構成変更コントロール | 暗号化の管理 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
影響分析
ID: NIST SP 800-53 Rev. 5 CM-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1200 - セキュリティ影響分析 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
個別のテスト環境
ID: NIST SP 800-53 Rev. 5 CM-4 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1201 - セキュリティ影響分析 | 個別のテスト環境 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
変更に関するアクセス制限
ID: NIST SP 800-53 Rev. 5 CM-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1202 - 変更に関するアクセス制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
自動化されたアクセスの強制と監査レコード
ID: NIST SP 800-53 Rev. 5 CM-5 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1203 - 変更に関するアクセス制限 | 自動化されたアクセスの適用/監査 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
実稼働と運用に関する特権の制限
ID: NIST SP 800-53 Rev. 5 CM-5 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1206 - 変更に関するアクセス制限 | 運用/操作特権の制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1207 - 変更に関するアクセス制限 | 運用/操作特権の制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
構成設定
ID: NIST SP 800-53 Rev. 5 CM-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Http 2.0 はクライアント証明書をサポートしていないため、このポリシーは同じ名前の新しいポリシーに置き換えられました。 | Audit、Disabled | 3.1.0 (非推奨) |
| App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある | Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 | Audit、Disabled | 1.0.2 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 10.1.0 |
| ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.1.0 | |
| Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある | コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.1 |
| Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.0 | |
| 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 10.1.1 | |
| Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.0 |
| Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.1 |
| Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.1 |
| Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある | ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 7.1.0 |
| Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.1.0 |
| Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 10.1.0 |
| Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.1.0 |
| Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 1.5.0 |
| Microsoft マネージド コントロール 1208 - 構成設定 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1209 - 構成設定 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1210 - 構成設定 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1211 - 構成設定 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Azure Compute セキュリティ ベースラインの推奨事項のいずれかについて、マシンが正しく構成されていない場合、マシンは非準拠となります。 | AuditIfNotExists、Disabled | 1.0.0 |
自動化された管理、適用、検証
ID: NIST SP 800-53 Rev. 5 CM-6 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1212 - 構成設定 | 自動化された集中管理/適用/検証 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
許可されていない変更への対応
ID: NIST SP 800-53 Rev. 5 CM-6 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1213 - 構成設定 | 許可されていない変更への対応 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
最小限の機能
ID: NIST SP 800-53 Rev. 5 CM-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | Azure Security Center の適応型アプリケーション制御によって監査用に構成されているマシン グループでの動作の変更を監視します。 Security Center では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。 | AuditIfNotExists、Disabled | 3.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft マネージド コントロール 1214 - 最小限の機能 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1215 - 最小限の機能 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
定期的なレビュー
ID: NIST SP 800-53 Rev. 5 CM-7 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1216 - 最小限の機能 | 定期的なレビュー | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1217 - 最小限の機能 | 定期的なレビュー | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
プログラムの実行禁止
ID: NIST SP 800-53 Rev. 5 CM-7 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | Azure Security Center の適応型アプリケーション制御によって監査用に構成されているマシン グループでの動作の変更を監視します。 Security Center では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1218 - 最小限の機能 | プログラムの実行禁止 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
認可されたソフトウェア ??? 例外的に許可
ID: NIST SP 800-53 Rev. 5 CM-7 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | Azure Security Center の適応型アプリケーション制御によって監査用に構成されているマシン グループでの動作の変更を監視します。 Security Center では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1219 - 最小限の機能 | 認可されたソフトウェア/ホワイトリスト登録 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1220 - 最小限の機能 | 認可されたソフトウェア/ホワイトリスト登録 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1221 - 最小限の機能 | 認可されたソフトウェア/ホワイトリスト登録 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システム コンポーネントのインベントリ
ID: NIST SP 800-53 Rev. 5 CM-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1222 - 情報システム コンポーネント インベントリ | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1223 - 情報システム コンポーネント インベントリ | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1229 - 情報システム コンポーネント インベントリ | コンポーネントの重複会計処理なし | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
インストール中および削除中の更新
ID: NIST SP 800-53 Rev. 5 CM-8 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1224 - 情報システム コンポーネント インベントリ | インストール/削除中の更新 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メンテナンスの自動化
ID: NIST SP 800-53 Rev. 5 CM-8 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1225 - 情報システム コンポーネント インベントリ | メンテナンスの自動化 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
許可されていないコンポーネントの検出の自動化
ID: NIST SP 800-53 Rev. 5 CM-8 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1226 - 情報システム コンポーネント インベントリ | 許可されていないコンポーネントの検出の自動化 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1227 - 情報システム コンポーネント インベントリ | 許可されていないコンポーネントの検出の自動化 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1241 - ユーザーがインストールするソフトウェア | 承認されていないインストールに対するアラート | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
説明責任の情報
ID: NIST SP 800-53 Rev. 5 CM-8 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1228 - 情報システム コンポーネント インベントリ | 説明責任の情報 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
構成管理プラン
ID: NIST SP 800-53 Rev. 5 CM-9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1230 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1231 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1232 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1233 - 構成管理プラン | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ソフトウェアの使用制限
ID: NIST SP 800-53 Rev. 5 CM-10 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | Azure Security Center の適応型アプリケーション制御によって監査用に構成されているマシン グループでの動作の変更を監視します。 Security Center では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1234 - ソフトウェアの使用制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1235 - ソフトウェアの使用制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1236 - ソフトウェアの使用制限 | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
オープンソース ソフトウェア
ID: NIST SP 800-53 Rev. 5 CM-10 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1237 - ソフトウェアの使用制限 | オープン ソース ソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ユーザーがインストールするソフトウェア
ID: NIST SP 800-53 Rev. 5 CM-11 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある | Azure Security Center の適応型アプリケーション制御によって監査用に構成されているマシン グループでの動作の変更を監視します。 Security Center では、Machine Learning を使用して、マシン上の実行中のプロセスを分析し、既知の安全なアプリケーションの一覧を提示します。 これらは、適応型アプリケーション制御ポリシーで許可する推奨アプリとして提供されています。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1238 - ユーザーがインストールするソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1239 - ユーザーがインストールするソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1240 - ユーザーがインストールするソフトウェア | この構成管理コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
代替計画
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 CP-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1242 - コンティンジェンシー計画ポリシーおよび手順 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1243 - コンティンジェンシー計画ポリシーおよび手順 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
コンティンジェンシー計画
ID: NIST SP 800-53 Rev. 5 CP-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1244 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1245 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1246 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1247 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1248 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1249 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1250 - コンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
関連する計画との調整
ID: NIST SP 800-53 Rev. 5 CP-2 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1251 - コンティンジェンシー計画 | 関連する計画との調整 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
キャパシティ プランニング
ID: NIST SP 800-53 Rev. 5 CP-2 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1252 - コンティンジェンシー計画 | キャパシティ プランニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ミッションとビジネスの機能の再開
ID: NIST SP 800-53 Rev. 5 CP-2 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1253 - コンティンジェンシー計画 | 不可欠なミッション/ビジネス機能の再開 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1254 - コンティンジェンシー計画 | すべてのミッション/ビジネス機能の再開 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ミッションとビジネスの機能の続行
ID: NIST SP 800-53 Rev. 5 CP-2 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1255 - コンティンジェンシー計画 | 不可欠なミッション/ビジネス機能の継続 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
重要な資産の識別
ID: NIST SP 800-53 Rev. 5 CP-2 (8) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1256 - コンティンジェンシー計画 | 重要な資産の識別 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
コンティンジェンシー トレーニング
ID: NIST SP 800-53 Rev. 5 CP-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1257 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1258 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1259 - コンティンジェンシー トレーニング | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
シミュレートされたイベント
ID: NIST SP 800-53 Rev. 5 CP-3 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1260 - コンティンジェンシー トレーニング | シミュレートされたイベント | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
コンティンジェンシー計画のテスト
ID: NIST SP 800-53 Rev. 5 CP-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1261 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1262 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1263 - コンティンジェンシー計画のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
関連する計画との調整
ID: NIST SP 800-53 Rev. 5 CP-4 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1264 - コンティンジェンシー計画のテスト | 関連する計画との調整 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
代替処理サイト
ID: NIST SP 800-53 Rev. 5 CP-4 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1265 - コンティンジェンシー計画のテスト | 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1266 - コンティンジェンシー計画のテスト | 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
代替ストレージ サイト
ID: NIST SP 800-53 Rev. 5 CP-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| ストレージ アカウントの geo 冗長ストレージを有効にする必要があります | Geo 冗長を使用して高可用性アプリケーションを作成します | Audit、Disabled | 1.0.0 |
| Azure SQL データベースの長期的な geo 冗長バックアップを有効にする必要がある | このポリシーは、長期的な geo 冗長バックアップが有効になっていないすべての Azure SQL データベースを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft マネージド コントロール 1267 - 代替ストレージ サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1268 - 代替ストレージ サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
プライマリ サイトからの分離
ID: NIST SP 800-53 Rev. 5 CP-6 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| ストレージ アカウントの geo 冗長ストレージを有効にする必要があります | Geo 冗長を使用して高可用性アプリケーションを作成します | Audit、Disabled | 1.0.0 |
| Azure SQL データベースの長期的な geo 冗長バックアップを有効にする必要がある | このポリシーは、長期的な geo 冗長バックアップが有効になっていないすべての Azure SQL データベースを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft マネージド コントロール 1269 - 代替ストレージ サイト | プライマリ サイトからの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
回復時間と回復ポイントの目標
ID: NIST SP 800-53 Rev. 5 CP-6 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1270 - 代替ストレージ サイト | 目標復旧時間/目標復旧時点 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ユーザー補助
ID: NIST SP 800-53 Rev. 5 CP-6 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1271 - 代替ストレージ サイト | アクセシビリティ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
代替処理サイト
ID: NIST SP 800-53 Rev. 5 CP-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ディザスター リカバリーを構成されていない仮想マシンの監査 | ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | auditIfNotExists | 1.0.0 |
| Microsoft マネージド コントロール 1272 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1273 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1274 - 代替処理サイト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
プライマリ サイトからの分離
ID: NIST SP 800-53 Rev. 5 CP-7 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1275 - 代替処理サイト | プライマリ サイトからの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ユーザー補助
ID: NIST SP 800-53 Rev. 5 CP-7 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1276 - 代替処理サイト | アクセシビリティ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
サービスの優先順位
ID: NIST SP 800-53 Rev. 5 CP-7 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1277 - 代替処理サイト | サービスの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
使用の準備
ID: NIST SP 800-53 Rev. 5 CP-7 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1278 - 代替処理サイト | 使用の準備 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
電気通信サービス
ID: NIST SP 800-53 Rev. 5 CP-8 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1279 - 電気通信サービス | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
サービスのプロビジョニングの優先度
ID: NIST SP 800-53 Rev. 5 CP-8 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1280 - 電気通信サービス | サービスのプロビジョニングの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1281 - 電気通信サービス | サービスのプロビジョニングの優先順位 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
単一障害点
ID: NIST SP 800-53 Rev. 5 CP-8 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1282 - 電気通信サービス | 単一障害点 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
プライマリおよび代替プロバイダーの分離
ID: NIST SP 800-53 Rev. 5 CP-8 (3) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1283 - 電気通信サービス | プライマリ/代替プロバイダーの分離 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
プロバイダーのコンティンジェンシー計画
ID: NIST SP 800-53 Rev. 5 CP-8 (4) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1284 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1285 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1286 - 電気通信サービス | プロバイダーのコンティンジェンシー計画 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システム バックアップ
ID: NIST SP 800-53 Rev. 5 CP-9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある | Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある | Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある | Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | Audit、Disabled | 1.0.1 |
| キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
| キー コンテナーで論理的な削除が有効になっている必要がある | 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 | Audit、Deny、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1287 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1288 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1289 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1290 - 情報システムのバックアップ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
信頼性および整合性に対するテスト
ID: NIST SP 800-53 Rev. 5 CP-9 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1291 - 情報システムのバックアップ | 信頼性/整合性に対するテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
サンプリングを使用した復元のテスト
ID: NIST SP 800-53 Rev. 5 CP-9 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1292 - 情報システムのバックアップ | サンプリングを使用した復元のテスト | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
重要な情報用の個別のストレージ
ID: NIST SP 800-53 Rev. 5 CP-9 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1293 - 情報システムのバックアップ | 重要な情報用の個別のストレージ | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
代替ストレージ サイトへの移動
ID: NIST SP 800-53 Rev. 5 CP-9 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1294 - 情報システムのバックアップ | 代替ストレージ サイトへの転送 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システムの回復と再構成
ID: NIST SP 800-53 Rev. 5 CP-10 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1295 - 情報システムの復旧および再構成 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
トランザクションの回復
ID: NIST SP 800-53 Rev. 5 CP-10 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1296 - 情報システムの復旧および再構成 | トランザクションの回復 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
一定期間内の復元
ID: NIST SP 800-53 Rev. 5 CP-10 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1297 - 情報システムの復旧および再構成 | 期間内の復元 | このコンティンジェンシー計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
識別と認証
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 IA-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1298 - 識別と認証のポリシーと手順 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1299 - 識別と認証のポリシーと手順 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
識別と認証 (組織のユーザー)
ID: NIST SP 800-53 Rev. 5 IA-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1300 - ユーザーの識別と認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
特権アカウントへの多要素認証
ID: NIST SP 800-53 Rev. 5 IA-2 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft マネージド コントロール 1301 - ユーザーの識別と認証 | 特権アカウントへのネットワーク アクセス | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1303 - ユーザーの識別と認証 | 特権アカウントへのローカル アクセス | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
非特権アカウントへの多要素認証
ID: NIST SP 800-53 Rev. 5 IA-2 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft マネージド コントロール 1302 - ユーザーの識別と認証 | 非特権アカウントへのネットワーク アクセス | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1304 - ユーザーの識別と認証 | 非特権アカウントへのローカル アクセス | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
グループ認証を使用した個別認証
ID: NIST SP 800-53 Rev. 5 IA-2 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1305 - ユーザーの識別と認証 | グループ認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
アカウントへのアクセス リプレイへの耐性
ID: NIST SP 800-53 Rev. 5 IA-2 (8) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1306 - ユーザーの識別と認証 | 特権アカウントへのネットワーク アクセス - リプレイ... | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1307 - ユーザーの識別と認証 | 非特権アカウントへのネットワーク アクセス - リプレイ | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
PIV 資格情報の承諾
ID: NIST SP 800-53 Rev. 5 IA-2 (12) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1309 - ユーザーの識別と認証 | PIV 資格情報の承諾 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
デバイスの識別と認証
ID: NIST SP 800-53 Rev. 5 IA-3 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1310 - デバイスの識別と認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
識別子の管理
ID: NIST SP 800-53 Rev. 5 IA-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1311 - 識別子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1312 - 識別子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1313 - 識別子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1314 - 識別子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1315 - 識別子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある | Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します | Audit、Deny、Disabled | 1.1.0 |
ユーザーの状態の識別
ID: NIST SP 800-53 Rev. 5 IA-4 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1316 - 識別子の管理 | ユーザーの状態の識別 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
認証子の管理
ID: NIST SP 800-53 Rev. 5 IA-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 1.3.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 1.3.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 1.4.0 |
| 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 1.0.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.4.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| Microsoft マネージド コントロール 1317 - 認証子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1318 - 認証子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1319 - 認証子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1320 - 認証子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1321 - 認証子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1322 - 認証子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1323 - 認証子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1324 - 認証子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1325 - 認証子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1326 - 認証子の管理 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
パスワードベースの認証
ID: NIST SP 800-53 Rev. 5 IA-5 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 1.3.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 1.3.0 |
| passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 1.4.0 |
| 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 1.1.0 |
| パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最大有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 1.1.0 |
| パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最小有効期間の既定値は 1 日です | AuditIfNotExists、Disabled | 1.1.0 |
| パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 | AuditIfNotExists、Disabled | 1.0.0 |
| パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 1.1.0 |
| 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 1.0.0 |
| Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.4.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| Microsoft マネージド コントロール 1327 - 認証子の管理 | パスワード ベースの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1328 - 認証子の管理 | パスワード ベースの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1329 - 認証子の管理 | パスワード ベースの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1330 - 認証子の管理 | パスワード ベースの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1331 - 認証子の管理 | パスワード ベースの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1332 - 認証子の管理 | パスワード ベースの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1338 - 認証子の管理 | パスワードの強度決定のための自動化されたサポート | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
公開キーベースの認証
ID: NIST SP 800-53 Rev. 5 IA-5 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1333 - 認証子の管理 | PKI ベースの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1334 - 認証子の管理 | PKI ベースの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1335 - 認証子の管理 | PKI ベースの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1336 - 認証子の管理 | PKI ベースの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
認証子の保護
ID: NIST SP 800-53 Rev. 5 IA-5 (6) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1339 - 認証子の管理 | 認証子の保護 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
暗号化されていない静的認証子の埋め込みなし
ID: NIST SP 800-53 Rev. 5 IA-5 (7) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1340 - 認証子の管理 | 暗号化されていない静的認証子の埋め込みなし | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
複数のシステム アカウント
ID: NIST SP 800-53 Rev. 5 IA-5 (8) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1341 - 認証子の管理 | 複数の情報システム アカウント | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
キャッシュされた認証子の有効期限
ID: NIST SP 800-53 Rev. 5 IA-5 (13) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1343 - 認証子の管理 | キャッシュされた認証子の有効期限 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
認証フィードバック
ID: NIST SP 800-53 Rev. 5 IA-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1344 - 認証子のフィードバック | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
暗号化モジュールの認証
ID: NIST SP 800-53 Rev. 5 IA-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1345 - 暗号化モジュールの認証 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
識別と認証 (組織外のユーザー)
ID: NIST SP 800-53 Rev. 5 IA-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1346 - 識別と認証 (組織外のユーザー) | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
他の政府機関からの PIV 資格情報の受け入れ
ID: NIST SP 800-53 Rev. 5 IA-8 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1347 - 識別と認証 (組織外のユーザー) | PIV 資格情報の承諾... | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
外部認証子の受け入れ
ID: NIST SP 800-53 Rev. 5 IA-8 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1348 - 識別と認証 (組織外のユーザー) | サード パーティの資格情報の受け入れ... | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1349 - 識別と認証 (組織外のユーザー) | Ficam 承認済みの製品の使用 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
定義されたプロファイルの使用
ID: NIST SP 800-53 Rev. 5 IA-8 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1350 - 識別と認証 (組織外のユーザー) | Ficam 発行のプロファイルの使用 | この識別と認証コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
インシデント対応
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 IR-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1351 - インシデント対応ポリシーおよび手順 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1352 - インシデント対応ポリシーおよび手順 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
インシデント対応トレーニング
ID: NIST SP 800-53 Rev. 5 IR-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1353 - インシデント対応トレーニング | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1354 - インシデント対応トレーニング | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1355 - インシデント対応トレーニング | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
シミュレートされたイベント
ID: NIST SP 800-53 Rev. 5 IR-2 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1356 - インシデント対応トレーニング | シミュレートされたイベント | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
トレーニング環境の自動化
ID: NIST SP 800-53 Rev. 5 IR-2 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1357 - インシデント対応トレーニング | 自動化されたトレーニング環境 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
インシデント対応のテスト
ID: NIST SP 800-53 Rev. 5 IR-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1358 - インシデント対応のテスト | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
関連する計画との調整
ID: NIST SP 800-53 Rev. 5 IR-3 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1359 - インシデント対応のテスト | 関連する計画との調整 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
インシデント処理
ID: NIST SP 800-53 Rev. 5 IR-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.0.1 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1360 - インシデント処理 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1361 - インシデント処理 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1362 - インシデント処理 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
自動化されたインシデント処理プロセス
ID: NIST SP 800-53 Rev. 5 IR-4 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1363 - インシデント処理 | 自動化されたインシデント処理プロセス | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
動的再構成
ID: NIST SP 800-53 Rev. 5 IR-4 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1364 - インシデント処理 | 動的再構成 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
運用の継続性
ID: NIST SP 800-53 Rev. 5 IR-4 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1365 - インシデント処理 | 運用の継続性 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
情報の相関関係
ID: NIST SP 800-53 Rev. 5 IR-4 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1366 - インシデント処理 | 情報の相関関係 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
内部関係者による脅威
ID: NIST SP 800-53 Rev. 5 IR-4 (6) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1367 - インシデント処理 | 内部関係者の脅威 - 特定の機能 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
外部組織との相関関係
ID: NIST SP 800-53 Rev. 5 IR-4 (8) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1368 - インシデント処理 | 外部組織との相関関係 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
インシデント監視
ID: NIST SP 800-53 Rev. 5 IR-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.0.1 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1369 - インシデント監視 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
自動化された追跡、データ収集、分析
ID: NIST SP 800-53 Rev. 5 IR-5 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1370 - インシデント監視 | 自動化された追跡/データ収集/分析 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
インシデント報告
ID: NIST SP 800-53 Rev. 5 IR-6 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1371 - インシデント報告 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1372 - インシデント報告 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
自動化された報告
ID: NIST SP 800-53 Rev. 5 IR-6 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1373 - インシデント報告 | 自動化された報告 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
インシデントに関連する脆弱性
ID: NIST SP 800-53 Rev. 5 IR-6 (2) 所有権: 顧客
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.0.1 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
インシデント対応サポート
ID: NIST SP 800-53 Rev. 5 IR-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1374 - インシデント対応サポート | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
情報とサポートの可用性に対する自動化サポート
ID: NIST SP 800-53 Rev. 5 IR-7 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1375 - インシデント対応サポート | 情報/サポートの可用性に対する自動化サポート | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
外部プロバイダーとの調整
ID: NIST SP 800-53 Rev. 5 IR-7 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1376 - インシデント対応サポート | 外部プロバイダーとの調整 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1377 - インシデント対応サポート | 外部プロバイダーとの調整 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
インシデント対応計画
ID: NIST SP 800-53 Rev. 5 IR-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1378 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1379 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1380 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1381 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1382 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1383 - インシデント対応計画 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
情報流出対応
ID: NIST SP 800-53 Rev. 5 IR-9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1384 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1385 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1386 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1387 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1388 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1389 - 情報流出対応 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1390 - 情報流出対応 | 責任者 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
トレーニング
ID: NIST SP 800-53 Rev. 5 IR-9 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1391 - 情報流出対応 | トレーニング | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
流出後の運用
ID: NIST SP 800-53 Rev. 5 IR-9 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1392 - 情報流出対応 | 流出後の運用 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
許可されていない職員への公開
ID: NIST SP 800-53 Rev. 5 IR-9 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1393 - 情報流出対応 | 許可されていない職員への公開 | このインシデント対応コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メンテナンス
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 MA-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1394 - システム メンテナンスのポリシーと手順 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1395 - システム メンテナンスのポリシーと手順 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メンテナンスの管理
ID: NIST SP 800-53 Rev. 5 MA-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1396 - メンテナンスの管理 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1397 - メンテナンスの管理 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1398 - メンテナンスの管理 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1399 - メンテナンスの管理 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1400 - メンテナンスの管理 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1401 - メンテナンスの管理 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メンテナンス作業の自動化
ID: NIST SP 800-53 Rev. 5 MA-2 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1402 - メンテナンスの管理 | メンテナンス作業の自動化 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1403 - メンテナンスの管理 | メンテナンス作業の自動化 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メンテナンス ツール
ID: NIST SP 800-53 Rev. 5 MA-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1404 - メンテナンス ツール | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ツールの検査
ID: NIST SP 800-53 Rev. 5 MA-3 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1405 - メンテナンス ツール | ツールの検査 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メディアの検査
ID: NIST SP 800-53 Rev. 5 MA-3 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1406 - メンテナンス ツール | メディアの検査 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
未承認の削除の防止
ID: NIST SP 800-53 Rev. 5 MA-3 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1407 - メンテナンス ツール | 未承認の削除の防止 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1408 - メンテナンス ツール | 未承認の削除の防止 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1409 - メンテナンス ツール | 未承認の削除の防止 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1410 - メンテナンス ツール | 未承認の削除の防止 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
非ローカル メンテナンス
ID: NIST SP 800-53 Rev. 5 MA-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1411 - リモート メンテナンス | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1412 - リモート メンテナンス | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1413 - リモート メンテナンス | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1414 - リモート メンテナンス | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1415 - リモート メンテナンス | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
同等のセキュリティとサニタイズ
ID: NIST SP 800-53 Rev. 5 MA-4 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1417 - リモート メンテナンス | 同等のセキュリティ/サニタイズ | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1418 - リモート メンテナンス | 同等のセキュリティ/サニタイズ | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
暗号化による保護
ID: NIST SP 800-53 Rev. 5 MA-4 (6) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1419 - リモート メンテナンス | 暗号化による保護 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メンテナンス担当者
ID: NIST SP 800-53 Rev. 5 MA-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1420 - メンテナンス担当者 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1421 - メンテナンス担当者 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1422 - メンテナンス担当者 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
適切なアクセス権のない個人
ID: NIST SP 800-53 Rev. 5 MA-5 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1423 - メンテナンス担当者 | 適切なアクセス権のない個人 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1424 - メンテナンス担当者 | 適切なアクセス権のない個人 | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
タイムリーなメンテナンス
ID: NIST SP 800-53 Rev. 5 MA-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1425 - タイムリーなメンテナンス | このメンテナンス コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メディア保護
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 MP-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1426 - メディア保護のポリシーと手順 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1427 - メディア保護のポリシーと手順 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メディア アクセス
ID: NIST SP 800-53 Rev. 5 MP-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1428 - メディア アクセス | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メディアのマーキング
ID: NIST SP 800-53 Rev. 5 MP-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1429 - メディアのラベル付け | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1430 - メディアのラベル付け | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メディアの保管
ID: NIST SP 800-53 Rev. 5 MP-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1431 - メディアの保管 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1432 - メディアの保管 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メディアの輸送
ID: NIST SP 800-53 Rev. 5 MP-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1433 - メディアの輸送 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1434 - メディアの輸送 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1435 - メディアの輸送 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1436 - メディアの輸送 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メディアのサニタイズ
ID: NIST SP 800-53 Rev. 5 MP-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1438 - メディアのサニタイズおよび廃棄 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1439 - メディアのサニタイズおよび廃棄 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
レビュー、承認、追跡、文書化、検証
ID: NIST SP 800-53 Rev. 5 MP-6 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1440 - メディアのサニタイズおよび廃棄 | レビュー/承認/追跡/文書化/検証 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
機器のテスト
ID: NIST SP 800-53 Rev. 5 MP-6 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1441 - メディアのサニタイズおよび廃棄 | 機器のテスト | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
非破壊法
ID: NIST SP 800-53 Rev. 5 MP-6 (3) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1442 - メディアのサニタイズおよび廃棄 | 非破壊法 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メディアの使用
ID: NIST SP 800-53 Rev. 5 MP-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1443 - メディアの使用 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1444 - メディアの使用 | 所有者なしでの使用の禁止 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
物理的および環境的な保護
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 PE-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1445 - 物理的および環境的保護に関するポリシーと手順 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1446 - 物理的および環境的保護に関するポリシーと手順 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
物理的なアクセスの承認
ID: NIST SP 800-53 Rev. 5 PE-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1447 - 物理的なアクセスの承認 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1448 - 物理的なアクセスの承認 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1449 - 物理的なアクセスの承認 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1450 - 物理的なアクセスの承認 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
物理的なアクセスの制御
ID: NIST SP 800-53 Rev. 5 PE-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1451 - 物理的なアクセスの制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1452 - 物理的なアクセスの制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1453 - 物理的なアクセスの制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1454 - 物理的なアクセスの制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1455 - 物理的なアクセスの制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1456 - 物理的なアクセスの制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1457 - 物理的なアクセスの制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システム アクセス
ID: NIST SP 800-53 Rev. 5 PE-3 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1458 - 物理的なアクセスの制御 | 情報システムへのアクセス | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
転送に対するアクセス制御
ID: NIST SP 800-53 Rev. 5 PE-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1459 - 転送メディアに対するアクセスの制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
出力デバイスのアクセスの制御
ID: NIST SP 800-53 Rev. 5 PE-5 しょ: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1460 - 出力デバイスのアクセスの制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
物理的なアクセスの監視
ID: NIST SP 800-53 Rev. 5 PE-6 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1461 - 物理的なアクセスの監視 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1462 - 物理的なアクセスの監視 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1463 - 物理的なアクセスの監視 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
侵入警報および監視装置
ID: NIST SP 800-53 Rev. 5 PE-6 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1464 - 物理的なアクセスの監視 | 侵入警報装置/監視装置 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システムへの物理的なアクセスの監視
ID: NIST SP 800-53 Rev. 5 PE-6 (4) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1465 - 物理的なアクセスの監視 | 情報システムへの物理的なアクセスの監視 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
訪問者のアクセスの記録
ID: NIST SP 800-53 Rev. 5 PE-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1466 - 訪問者のアクセスの記録 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1467 - 訪問者のアクセスの記録 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
自動化された記録のメンテナンスとレビュー
ID: NIST SP 800-53 Rev. 5 PE-8 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1468 - 訪問者のアクセス記録 | 記録の自動メンテナンス/レビュー | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
電源装置およびケーブル
ID: NIST SP 800-53 Rev. 5 PE-9 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1469 - 電源装置およびケーブル | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
緊急遮断
ID: NIST SP 800-53 Rev. 5 PE-10 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1470 - 緊急遮断 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1471 - 緊急遮断 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1472 - 緊急遮断 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
非常用電源
ID: NIST SP 800-53 Rev. 5 PE-11 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1473 - 非常用電源 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
代替電源??? 最小限の運用機能
ID: NIST SP 800-53 Rev. 5 PE-11 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1474 - 非常用電源 | 長期的な代替電源装置 - 最小限の運用機能 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
非常用照明
ID: NIST SP 800-53 Rev. 5 PE-12 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1475 - 非常用照明 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
防火
ID: NIST SP 800-53 Rev. 5 PE-13 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1476 - 防火 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
検出システム ??? 自動的なアクティブ化と通知
ID: NIST SP 800-53 Rev. 5 PE-13 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1477 - 防火 | 探知装置/システム | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
抑制システム ??? 自動的なアクティブ化と通知
ID: NIST SP 800-53 Rev. 5 PE-13 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1478 - 防火 | 消火装置/システム | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1479 - 防火 | 自動消火装置 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
環境コントロール
ID: NIST SP 800-53 Rev. 5 PE-14 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1480 - 温湿度制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1481 - 温湿度制御 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
アラームと通知を使用した監視
ID: NIST SP 800-53 Rev. 5 PE-14 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1482 - 温湿度制御 | 監視と警報/通知 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
水害からの保護
ID: NIST SP 800-53 Rev. 5 PE-15 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1483 - 水害からの保護 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
自動化サポート
ID: NIST SP 800-53 Rev. 5 PE-15 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1484 - 水害からの保護 | 自動化サポート | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
納入と撤去
ID: NIST SP 800-53 Rev. 5 PE-16 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1485 - 納入と撤去 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
代替作業サイト
ID: NIST SP 800-53 Rev. 5 PE-17 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1486 - 代替作業サイト | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1487 - 代替作業サイト | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1488 - 代替作業サイト | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システム コンポーネントの場所
ID: NIST SP 800-53 Rev. 5 PE-18 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1489 - 情報システム コンポーネントの場所 | この物理的および環境的な保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
計画
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 PL-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1490 - セキュリティ計画のポリシーと手順 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1491 - セキュリティ計画のポリシーと手順 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システムのセキュリティとプライバシーに関する計画
ID: NIST SP 800-53 Rev. 5 PL-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1492 - システム セキュリティ計画 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1493 - システム セキュリティ計画 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1494 - システム セキュリティ計画 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1495 - システム セキュリティ計画 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1496 - システム セキュリティ計画 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1497 - システム セキュリティ プラン | 他の組織エンティティとの計画/調整 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
行動規範
ID: NIST SP 800-53 Rev. 5 PL-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1498 - 行動規範 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1499 - 行動規範 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1500 - 行動規範 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1501 - 行動規範 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ソーシャル メディアと外部サイト/アプリケーションの使用制限
ID: NIST SP 800-53 Rev. 5 PL-4 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1502 - 行動規範 | ソーシャルメディアとネットワーキングの制限 | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティとプライバシーのアーキテクチャ
ID: NIST SP 800-53 Rev. 5 PL-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1503 - 情報セキュリティ アーキテクチャ | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1504 - 情報セキュリティ アーキテクチャ | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1505 - 情報セキュリティ アーキテクチャ | この計画コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
人的セキュリティ
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 PS-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1506 - 人的セキュリティのポリシーと手順 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1507 - 人的セキュリティのポリシーと手順 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
職位に対するリスク指定
ID: NIST SP 800-53 Rev. 5 PS-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1508 - 職位の分類 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1509 - 職位の分類 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1510 - 職位の分類 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
職員のスクリーニング
ID: NIST SP 800-53 Rev. 5 PS-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1511 - 職員のスクリーニング | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1512 - 職員のスクリーニング | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
特殊な保護対策が必要な情報
ID: NIST SP 800-53 Rev. 5 PS-3 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1513 - 職員のスクリーニング | 特殊な保護対策のある情報 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1514 - 職員のスクリーニング | 特殊な保護対策のある情報 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
職員の離職
ID: NIST SP 800-53 Rev. 5 PS-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1515 - 職員の離職 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1516 - 職員の離職 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1517 - 職員の離職 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1518 - 職員の離職 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1519 - 職員の離職 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1520 - 職員の離職 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
自動化されたアクション
ID: NIST SP 800-53 Rev. 5 PS-4 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1521 - 職員の離職 | 自動通知 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
職員の異動
ID: NIST SP 800-53 Rev. 5 PS-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1522 - 職員の異動 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1523 - 職員の異動 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1524 - 職員の異動 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1525 - 職員の異動 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
アクセス契約
ID: NIST SP 800-53 Rev. 5 PS-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1526 - アクセス契約 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1527 - アクセス契約 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1528 - アクセス契約 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
外部の人的セキュリティ
ID: NIST SP 800-53 Rev. 5 PS-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1529 - サードパーティの人的セキュリティ | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1530 - サードパーティの人的セキュリティ | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1531 - サードパーティの人的セキュリティ | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1532 - サードパーティの人的セキュリティ | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1533 - サードパーティの人的セキュリティ | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
職員の処罰
ID: NIST SP 800-53 Rev. 5 PS-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1534 - 職員の処罰 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1535 - 職員の処罰 | この人的セキュリティ コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
リスク評価
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 RA-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1536 - リスク評価のポリシーと手順 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1537 - リスク評価のポリシーと手順 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティ分類
ID: NIST SP 800-53 Rev. 5 RA-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1538 - セキュリティ分類 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1539 - セキュリティ分類 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1540 - セキュリティ分類 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
リスク評価
ID: NIST SP 800-53 Rev. 5 RA-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1541 - リスク評価 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1542 - リスク評価 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1543 - リスク評価 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1544 - リスク評価 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1545 - リスク評価 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
脆弱性の監視とスキャン
ID: NIST SP 800-53 Rev. 5 RA-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1546 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1547 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1548 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1549 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1550 - 脆弱性のスキャン | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1551 - 脆弱性のスキャン | 更新ツールの機能 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| コンテナーのセキュリティ構成の脆弱性を修復する必要があります | Docker がインストールされているマシンのセキュリティ構成の脆弱性を監査し、Azure Security Center で推奨事項として表示します。 | AuditIfNotExists、Disabled | 3.0.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
| 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 攻撃から保護するため、お使いの仮想マシン スケール セットの OS 脆弱性を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| SQL Managed Instance で脆弱性評価を有効にする必要がある | 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Synapse ワークスペースで脆弱性評価を有効にする必要がある | Synapse ワークスペースで定期的な SQL 脆弱性評価スキャンを構成することで、潜在的な脆弱性を検出、追跡、修復します。 | AuditIfNotExists、Disabled | 1.0.0 |
スキャン対象の脆弱性の更新
ID: NIST SP 800-53 Rev. 5 RA-5 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1552 - 脆弱性のスキャン | 頻度による更新/新規スキャンの前の更新/識別時の更新 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
対象範囲の広さと深さ
ID: NIST SP 800-53 Rev. 5 RA-5 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1553 - 脆弱性のスキャン | 対象範囲の広さと深さ | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
検出可能な情報
ID: NIST SP 800-53 Rev. 5 RA-5 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1554 - 脆弱性のスキャン | 検出可能な情報 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
特権アクセス
ID: NIST SP 800-53 Rev. 5 RA-5 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1555 - 脆弱性のスキャン | 特権アクセス | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
自動傾向分析
ID: NIST SP 800-53 Rev. 5 RA-5 (6) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1556 - 脆弱性のスキャン | 自動傾向分析 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
履歴監査ログの確認
ID: NIST SP 800-53 Rev. 5 RA-5 (8) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1557 - 脆弱性のスキャン | 履歴監査ログの確認 | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
スキャン情報の関連付け
ID: NIST SP 800-53 Rev. 5 RA-5 (10) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1558 - 脆弱性のスキャン | スキャン情報の関連付け | このリスク評価コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システムとサービスの取得
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 SA-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1559 - システムとサービスの取得のポリシーおよび手順 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1560 - システムとサービスの取得のポリシーおよび手順 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
リソースの割り当て
ID: NIST SP 800-53 Rev. 5 SA-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1561 - リソースの割り当て | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1562 - リソースの割り当て | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1563 - リソースの割り当て | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システム開発ライフ サイクル
ID: NIST SP 800-53 Rev. 5 SA-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1564 - システム開発ライフ サイクル | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1565 - システム開発ライフ サイクル | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1566 - システム開発ライフ サイクル | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1567 - システム開発ライフ サイクル | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
取得プロセス
ID: NIST SP 800-53 Rev. 5 SA-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1568 - 取得プロセス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1569 - 取得プロセス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1570 - 取得プロセス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1571 - 取得プロセス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1572 - 取得プロセス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1573 - 取得プロセス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1574 - 取得プロセス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
コントロールの機能プロパティ
ID: NIST SP 800-53 Rev. 5 SA-4 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1575 - 取得プロセス | セキュリティ コントロールの機能プロパティ | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
コントロールの設計と実装に関する情報
ID: NIST SP 800-53 Rev. 5 SA-4 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1576 - 取得プロセス | セキュリティ コントロールの設計/実装の情報 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
コントロールの継続的な監視計画
ID: NIST SP 800-53 Rev. 5 SA-4 (8) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1577 - 取得プロセス | 継続的な監視計画 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
使用される機能、ポート、プロトコル、サービス
ID: NIST SP 800-53 Rev. 5 SA-4 (9) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1578 - 取得プロセス | 使用される機能/ポート/プロトコル/サービス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
承認済み PIV 製品の使用
ID: NIST SP 800-53 Rev. 5 SA-4 (10) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1579 - 取得プロセス | 承認済み PIV 製品の使用 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システム ドキュメント
ID: NIST SP 800-53 Rev. 5 SA-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1580 - 情報システム ドキュメント | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1581 - 情報システム ドキュメント | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1582 - 情報システム ドキュメント | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1583 - 情報システム ドキュメント | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1584 - 情報システム ドキュメント | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティおよびプライバシー エンジニアリングの原則
ID: NIST SP 800-53 Rev. 5 SA-8 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1585 - セキュリティ エンジニアリングの原則 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
外部システム サービス
ID: NIST SP 800-53 Rev. 5 SA-9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1586 - 外部の情報システム サービス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1587 - 外部の情報システム サービス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1588 - 外部の情報システム サービス | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
リスク評価と組織の承認
ID: NIST SP 800-53 Rev. 5 SA-9 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1589 - 外部の情報システム サービス | リスク評価または組織の承認 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1590 - 外部の情報システム サービス | リスク評価または組織の承認 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
機能、ポート、プロトコル、サービスの識別
ID: NIST SP 800-53 Rev. 5 SA-9 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1591 - 外部の情報システム サービス | 機能/ポート/プロトコルの識別... | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
コンシューマーとプロバイダーの関心の整合性
ID: NIST SP 800-53 Rev. 5 SA-9 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1592 - 外部の情報システム サービス | コンシューマーとプロバイダーの関心の整合性 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
処理、ストレージ、サービスの場所
ID: NIST SP 800-53 Rev. 5 SA-9 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1593 - 外部の情報システム サービス | 処理、ストレージ、サービスの場所 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
開発者による構成管理
ID: NIST SP 800-53 Rev. 5 SA-10 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1594 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1595 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1596 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1597 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1598 - 開発者による構成管理 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ソフトウェアとファームウェアの整合性の検証
ID: NIST SP 800-53 Rev. 5 SA-10 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1599 - 開発者の構成管理 | ソフトウェア/ファームウェアの整合性の検証 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
開発者によるテストと評価
ID: NIST SP 800-53 Rev. 5 SA-11 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1600 - 開発者によるセキュリティのテストと評価 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1601 - 開発者によるセキュリティのテストと評価 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1602 - 開発者によるセキュリティのテストと評価 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1603 - 開発者によるセキュリティのテストと評価 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1604 - 開発者によるセキュリティのテストと評価 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
スタティック コード分析
ID: NIST SP 800-53 Rev. 5 SA-11 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1605 - 開発者によるセキュリティのテストと評価 | 静的コード分析 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
脅威のモデル化と脆弱性分析
ID: NIST SP 800-53 Rev. 5 SA-11 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1606 - 開発者によるセキュリティのテストと評価 | 脅威と脆弱性の分析 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
動的コード分析
ID: NIST SP 800-53 Rev. 5 SA-11 (8) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1607 - 開発者によるセキュリティのテストと評価 | 動的コード分析 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
開発プロセス、標準、およびツール
ID: NIST SP 800-53 Rev. 5 SA-15 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1609 - 開発プロセス、標準、およびツール | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1610 - 開発プロセス、標準、およびツール | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
開発者が提供するトレーニング
ID: NIST SP 800-53 Rev. 5 SA-16 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1611 - 開発者が提供するトレーニング | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
開発者によるセキュリティとプライバシーのアーキテクチャと設計
ID: NIST SP 800-53 Rev. 5 SA-17 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1612 - 開発者によるセキュリティ アーキテクチャと設計 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1613 - 開発者によるセキュリティ アーキテクチャと設計 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1614 - 開発者によるセキュリティ アーキテクチャと設計 | このシステムとサービスの取得コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システムと通信の保護
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 SC-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1615 - システムと通信の保護のポリシーと手順 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1616 - システムと通信の保護のポリシーと手順 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システム機能とユーザー機能の分離
ID: NIST SP 800-53 Rev. 5 SC-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1617 - アプリケーションのパーティション分割 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティ機能の分離
ID: NIST SP 800-53 Rev. 5 SC-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 脅威と脆弱性から保護するため、お使いの仮想マシン スケール セットでのエンドポイント保護ソリューションの存在と正常性を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1618 - セキュリティ機能の分離 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 1.1.1 |
共有システム リソースの情報
ID: NIST SP 800-53 Rev. 5 SC-4 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1619 - 共有リソースの情報 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
サービス拒否の防止
ID: NIST SP 800-53 Rev. 5 SC-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection を有効にする必要があります | パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 | AuditIfNotExists、Disabled | 3.0.1 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1620 - サービス拒否の防止 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
リソースの可用性
ID: NIST SP 800-53 Rev. 5 SC-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1621 - リソースの可用性 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
境界保護
ID: NIST SP 800-53 Rev. 5 SC-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | Audit、Disabled | 2.0.0 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.0.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 1.4.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| Cognitive Services アカウントでパブリック ネットワーク アクセスを無効にする必要がある | Cognitive Services アカウントのセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 https://go.microsoft.com/fwlink/?linkid=2129800 の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 3.0.1 |
| Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.0 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、および https://aka.ms/acr/vnet を参照してください。 | Audit、Deny、Disabled | 2.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1622 - 境界保護 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1623 - 境界保護 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1624 - 境界保護 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
アクセス ポイント
ID: NIST SP 800-53 Rev. 5 SC-7 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | Audit、Disabled | 2.0.0 |
| Azure AI Services リソースでネットワーク アクセスを制限する必要がある | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 | Audit、Deny、Disabled | 3.2.0 |
| Azure Cache for Redis でプライベート リンクを使用する必要がある | プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cognitive Search サービスでは、プライベート リンクをサポートする SKU を使用する必要がある | Azure Cognitive Search 用のサポートされる SKU を使用すると、Azure Private Link により、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Search サービスにプライベート エンドポイントをマッピングすると、データ漏えいのリスクが削減されます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスではパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセスを無効にすると、パブリック インターネットに Azure Cognitive Search サービスが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、Search サービスの露出を制限できます。 詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Cognitive Search サービスはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Cognitive Search にマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/azure-cognitive-search/inbound-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.0.0 |
| Azure Data Factory にはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Data Factory にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/data-factory/data-factory-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | Audit、Disabled | 1.0.2 |
| Azure File Sync ではプライベート リンクを使用する必要がある | 指定されたストレージ同期サービス リソースに対してプライベート エンドポイントを作成すると、インターネット アクセス可能なパブリック エンドポイントを使用せずに、組織のネットワークのプライベート IP アドレス空間内からストレージ同期サービスのリソースをアドレス指定できます。 プライベート エンドポイントを作成するだけでは、パブリック エンドポイントは無効になりません。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 1.4.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Service Bus 名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Service Bus 名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/service-bus-messaging/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure SignalR Service ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | Audit、Disabled | 1.0.0 |
| Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Synapse ワークスペースにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links を参照してください。 | Audit、Disabled | 1.0.1 |
| Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 |
| Cognitive Services アカウントでパブリック ネットワーク アクセスを無効にする必要がある | Cognitive Services アカウントのセキュリティを強化するには、パブリック インターネットに公開されないようにして、プライベート エンドポイントからのみアクセスできるようにします。 https://go.microsoft.com/fwlink/?linkid=2129800 の説明に従って、公衆ネットワーク アクセス プロパティを無効にします。 このオプションにより、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 これにより、データ漏洩のリスクが軽減されます。 | Audit、Deny、Disabled | 3.0.1 |
| Cognitive Services ではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 | Audit、Disabled | 3.0.0 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network、および https://aka.ms/acr/vnet を参照してください。 | Audit、Deny、Disabled | 2.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | Audit、Disabled | 1.0.1 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | Audit、Disabled | 1.0.0 |
| ディスク アクセス リソースにはプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをディスク アクセスにマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/disksprivatelinksdoc を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| イベント ハブ名前空間でプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントをイベント ハブ名前空間にマッピングすることにより、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/event-hubs/private-link-service を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service インスタンスでプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを IoT Hub Device Provisioning Service にマッピングすることにより、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://aka.ms/iotdpsvnet を参照してください。 | Audit、Disabled | 1.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1625 - 境界保護 | アクセス ポイント | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある | プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 | Audit、Disabled | 1.1.0 |
| Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある | 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
外部通信サービス
ID: NIST SP 800-53 Rev. 5 SC-7 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1626 - 境界保護 | 外部通信サービス | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1627 - 境界保護 | 外部通信サービス | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1628 - 境界保護 | 外部通信サービス | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1629 - 境界保護 | 外部通信サービス | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1630 - 境界保護 | 外部通信サービス | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
[既定で拒否] ??? 例外的に許可
ID: NIST SP 800-53 Rev. 5 SC-7 (5) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1155 - システムの相互接続 | 外部システム接続に関する制限 | このセキュリティの評価と承認コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1631 - 境界保護 | 既定で拒否/例外的に許可 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
リモート デバイスの分割トンネリング
ID: NIST SP 800-53 Rev. 5 SC-7 (7) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1632 - 境界保護 | リモート デバイスの分割トンネリングの防止 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
認証済みプロキシ サーバーへのトラフィックのルーティング
ID: NIST SP 800-53 Rev. 5 SC-7 (8) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1633 - 境界保護 | 認証済みプロキシ サーバーへのトラフィックのルーティング | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
流出の防止
ID: NIST SP 800-53 Rev. 5 SC-7 (10) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1634 - 境界保護 | 不正流出の防止 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ホストベースの保護
ID: NIST SP 800-53 Rev. 5 SC-7 (12) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1635 - 境界保護 | ホストベースの保護 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティ ツール、メカニズム、サポート コンポーネントの分離
ID: NIST SP 800-53 Rev. 5 SC-7 (13) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1636 - 境界保護 | セキュリティ ツール/メカニズム/サポート コンポーネントの分離 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
フェール セキュア
ID: NIST SP 800-53 Rev. 5 SC-7 (18) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1637 - 境界保護 | フェール セキュア | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
動的な分離と隔離
ID: NIST SP 800-53 Rev. 5 SC-7 (20) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1638 - 境界保護 | 動的な分離または隔離 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システム コンポーネントの分離
ID: NIST SP 800-53 Rev. 5 SC-7 (21) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1639 - 境界保護 | 情報システム コンポーネントの分離 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
送信の機密性と整合性
ID: NIST SP 800-53 Rev. 5 SC-8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
| App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| Azure HDInsight クラスターでは、転送中の暗号化を使用して、Azure HDInsight クラスター ノード間の通信を暗号化する必要がある | Azure HDInsight クラスター ノード間での転送中に、データが改ざんされる可能性があります。 転送中の暗号化を有効にすると、この転送中の悪用や改ざんの問題に対処できます。 | Audit、Deny、Disabled | 1.0.0 |
| MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| 関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
| 関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.1.0 |
| Microsoft マネージド コントロール 1640 - 送信の機密性と整合性 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 3.0.1 |
暗号化による保護
ID: NIST SP 800-53 Rev. 5 SC-8 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
| App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| Azure HDInsight クラスターでは、転送中の暗号化を使用して、Azure HDInsight クラスター ノード間の通信を暗号化する必要がある | Azure HDInsight クラスター ノード間での転送中に、データが改ざんされる可能性があります。 転送中の暗号化を有効にすると、この転送中の悪用や改ざんの問題に対処できます。 | Audit、Deny、Disabled | 1.0.0 |
| MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | Audit、Disabled | 1.0.1 |
| 関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
| 関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.0.1 |
| Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.1.0 |
| Microsoft マネージド コントロール 1641 - 送信の機密性と整合性 | 暗号化または代替の物理的保護 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 3.0.1 |
ネットワークの切断
ID: NIST SP 800-53 Rev. 5 SC-10 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1642 - ネットワークの切断 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
暗号化キーの確立と管理
ID: NIST SP 800-53 Rev. 5 SC-12 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Recovery Services コンテナーでは、バックアップ データを暗号化するために、カスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、バックアップ データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/AB-CmkEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0-preview |
| [プレビュー]: IoT Hub デバイス プロビジョニング サービスのデータはカスタマー マネージド キー (CMK) を使用して暗号化する必要がある | カスタマー マネージド キーを使用して、IoT Hub Device Provisioning Service の保存時の暗号化を管理します。 データはサービス マネージド キーを使用して保存時に自動的に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 CMK 暗号化の詳細については、https://aka.ms/dps/CMK を参照してください。 | Audit、Deny、Disabled | 1.0.0-preview |
| Azure Automation アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Automation アカウントの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/automation-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Batch アカウントではデータの暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Batch アカウントのデータの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/Batch-CMK をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Container Instance コンテナー グループでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、コンテナーをより柔軟にセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit, Disabled, Deny | 1.0.0 |
| Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Data Box ジョブは、カスタマー マネージド キーを使用してデバイスのロック解除パスワードを暗号化する必要がある | Azure Data Box に使用するデバイスのロック解除パスワードの暗号化は、カスタマー マネージド キーを使用して管理してください。 また、デバイスの準備とデータのコピーを自動化する目的で、デバイスのロック解除パスワードに対する Data Box サービスのアクセスを管理する際にも、カスタマー マネージド キーが役立ちます。 デバイス上の保存データ自体は、あらかじめ Advanced Encryption Standard 256 ビット暗号化を使用して暗号化されており、また、デバイスのロック解除パスワードも既定で Microsoft マネージド キーを使用して暗号化されています。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Data Explorer における保存時の暗号化でカスタマー マネージド キーを使用する必要がある | Azure Data Explorer クラスターでカスタマー マネージド キーを使用した保存時の暗号化を有効にすると、保存時の暗号化で使用されるキーをさらに制御できるようになります。 この機能は、多くの場合、特別なコンプライアンス要件を持つ顧客に適用でき、キーの管理に Key Vault を必要とします。 | Audit、Deny、Disabled | 1.0.0 |
| Azure データ ファクトリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure データ ファクトリの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/adf-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure HDInsight クラスターでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある | カスタマー マネージド キーを使用して、Azure HDInsight クラスターの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/hdi.cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure HDInsight クラスターでは、ホストでの暗号化を使用して保存データを暗号化する必要がある | ホストでの暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 ホストでの暗号化を有効にすると、VM ホスト上の格納データは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 | Audit、Deny、Disabled | 1.0.3 |
| Azure Monitor ログ クラスターは、カスタマー マネージド キーを使用して暗号化する必要がある | Azure Monitor ログ クラスターは、カスタマー マネージド キー暗号化を使用して作成します。 既定では、ログ データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンスを満たすには、一般にカスタマー マネージド キーが必要です。 Azure Monitor にカスタマー マネージド キーを使用することで、データへのアクセスをより細かく制御することができます。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Stream Analytics ジョブでは、データの暗号化にカスタマー マネージド キーを使用する必要がある | ストレージ アカウントに Stream Analytics ジョブのメタデータとプライベート データ資産を安全に格納したい場合は、カスタマー マネージド キーを使用します。 これで、Stream Analytics データが暗号化される方法を完全に制御できるようになります。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーは、Azure Synapse ワークスペースに格納されているデータの保存時の暗号化を制御するために使用されます。 カスタマー マネージド キーを使用すると、サービス マネージド キーによる既定の暗号化の上に 2 番目の暗号化レイヤーが追加されて、二重の暗号化が提供されます。 | Audit、Deny、Disabled | 1.0.0 |
| Bot Service は、カスタマー マネージド キーを使用して暗号化する必要がある | Azure Bot Service は、リソースを自動的に暗号化してデータを保護し、組織のセキュリティとコンプライアンスのコミットメントを満たします。 既定では、Microsoft マネージド暗号化キーが使用されます。 キーの管理やサブスクリプションへのアクセスの制御の柔軟性を高めるには、カスタマー マネージド キーを選択します。これは、Bring Your Own Key (BYOK) とも呼ばれます。 Azure Bot Service 暗号化の詳細については、https://docs.microsoft.com/azure/bot-service/bot-service-encryption を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Kubernetes Service クラスターのオペレーティング システムとデータ ディスクは両方とも、カスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して OS とデータ ディスクを暗号化することで、キー管理をより細かく制御し、柔軟性を高めることができます。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
| Cognitive Services アカウントでカスタマー マネージド キーによるデータ暗号化を有効にする必要がある | 規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用して、Cognitive Services に格納されているデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 カスタマー マネージド キーの詳細については、https://go.microsoft.com/fwlink/?linkid=2121321 をご覧ください。 | Audit、Deny、Disabled | 2.1.0 |
| コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 | Audit、Deny、Disabled | 1.1.2 |
| イベント ハブの名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある | Azure Event Hubs では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するためにイベント ハブで使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 イベント ハブでは、専用クラスター内の名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 | Audit、Disabled | 1.0.0 |
| Logic Apps 統合サービス環境は、カスタマー マネージド キーを使用して暗号化する必要がある | 統合サービス環境にデプロイし、カスタマー マネージド キーを使用して Logic Apps データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | Audit、Deny、Disabled | 1.0.0 |
| マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある | セキュリティに対する要件が高く、特定の暗号化アルゴリズム、実装、または侵害されたキーに関連するリスクを懸念しているお客様は、プラットフォーム マネージド暗号化キーを使用してインフラストラクチャ レイヤーに異なる暗号化アルゴリズムまたはモードを使用することにより、暗号化の追加レイヤーを設けることを選ぶことができます。 二重暗号化を使用するには、ディスク暗号化セットが必要です。 詳細については、https://aka.ms/disks-doubleEncryption をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Microsoft マネージド コントロール 1643 - 暗号化キーの確立と管理 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある | カスタマー マネージド キーを使用して、マネージド ディスクのコンテンツ保存時の暗号化を管理します。 既定では、データはプラットフォーム マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/disks-cmk をご覧ください。 | Audit、Deny、Disabled | 3.0.0 |
| Azure Monitor 内の保存されたクエリはログ暗号化のためにカスタマー ストレージ アカウントに保存する必要があります | 保存済みのクエリをストレージ アカウントの暗号化によって保護するには、Log Analytics ワークスペースにストレージ アカウントをリンクします。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor の保存済みのクエリに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 上記の点について詳しくは、https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Service Bus Premium の名前空間では、暗号化のためにカスタマー マネージド キーを使用する必要がある | Azure Service Bus では、Microsoft マネージド キー (既定) またはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 カスタマー マネージド キーを使用してデータを暗号化することを選択すると、名前空間内のデータを暗号化するために Service Bus で使用するキーへのアクセスを割り当て、ローテーション、無効化、および取り消すことができます。 Service Bus では、Premium 名前空間のカスタマー マネージド キーを使用した暗号化のみをサポートしていることに注意してください。 | Audit、Disabled | 1.0.0 |
| SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.0 |
| SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウントの暗号化スコープでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | ストレージ アカウントの暗号化スコープの保存データを管理するには、カスタマー マネージド キーを使用します。 カスタマー マネージド キーを使用すると、自分で作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 ストレージ アカウントの暗号化スコープの詳細については、https://aka.ms/encryption-scopes-overview を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | Audit、Disabled | 1.0.3 |
可用性
ID: NIST SP 800-53 Rev. 5 SC-12 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1644 - 暗号化キーの確立と管理 | 可用性 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
対称キー
ID: NIST SP 800-53 Rev. 5 SC-12 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1645 - 暗号化キーの確立と管理 | 対称キー | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
非対称キー
ID: NIST SP 800-53 Rev. 5 SC-12 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1646 - 暗号化キーの確立と管理 | 非対称キー | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
暗号化による保護
ID: NIST SP 800-53 Rev. 5 SC-13 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1647 - 暗号の使用 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
コラボレーション コンピューティング デバイスとアプリケーション
ID: NIST SP 800-53 Rev. 5 SC-15 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1648 - コラボレーション コンピューティング デバイス | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1649 - コラボレーション コンピューティング デバイス | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
公開キー基盤証明書
ID: NIST SP 800-53 Rev. 5 SC-17 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1650 - 公開キー基盤証明書 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
モバイル コード
ID: NIST SP 800-53 Rev. 5 SC-18 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1651 - モバイル コード | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1652 - モバイル コード | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1653 - モバイル コード | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティで保護された名前/アドレス解決サービス (権限のあるソース)
ID: NIST SP 800-53 Rev. 5 SC-20 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1656 - セキュリティで保護された名前/アドレス解決サービス (権限のあるソース) | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1657 - セキュリティで保護された名前/アドレス解決サービス (権限のあるソース) | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティで保護された名前/アドレス解決サービス (再帰的リゾルバーまたはキャッシュ リゾルバー)
ID: NIST SP 800-53 Rev. 5 SC-21 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1658 - セキュリティで保護された名前/アドレス解決サービス (再帰的リゾルバーまたはキャッシュ リゾルバー) | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
名前/アドレス解決サービスのアーキテクチャとプロビジョニング
ID: NIST SP 800-53 Rev. 5 SC-22 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1659 - 名前/アドレス解決サービスのアーキテクチャとプロビジョニング | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セッションの信頼性
ID: NIST SP 800-53 Rev. 5 SC-23 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1660 - セッションの信頼性 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ログアウト時のセッション識別子の無効化
ID: NIST SP 800-53 Rev. 5 SC-23 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1661 - セッションの信頼性 | ログアウト時のセッション識別子の無効化 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
既知の状態での機能停止
ID: NIST SP 800-53 Rev. 5 SC-24 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1662 - 既知の状態での機能停止 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
保存情報の保護
ID: NIST SP 800-53 Rev. 5 SC-28 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service Environment では内部暗号化を有効にする必要がある | InternalEncryption を true に設定すると、App Service Environment のフロント エンドと worker の間で、ページファイル、worker ディスク、内部ネットワーク トラフィックが暗号化されます。 詳細については、https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption を参照してください。 | Audit、Disabled | 1.0.1 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| Azure Data Box ジョブは、デバイス上の保存データに対する二重暗号化を有効にする必要がある | デバイス上の保存データに対し、ソフトウェアベースの暗号化の第 2 のレイヤーを有効にしてください。 デバイスの保存データはあらかじめ、Advanced Encryption Standard 256 ビット暗号化で保護されています。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Monitor ログ クラスターはインフラストラクチャ暗号化を有効にして作成する必要がある (二重暗号化) | 2 種類の暗号化アルゴリズムと 2 種類のキーを使用を使用して、サービス レベルおよびインフラストラクチャ レベルでデータ暗号化の安全を確保するには、Azure Monitor 専用クラスターを使用します。 このオプションは、リージョンでサポートされていれば既定で有効になります。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Stack Edge デバイスは二重暗号化を使用する必要がある | デバイス上の保存データのセキュリティを確保するには、そのデータが二重に暗号化されていること、データへのアクセスが制御されていること、また、デバイスが非アクティブになったときにデータがデータ ディスクから安全な方法で消去されることが必要です。 二重暗号化とは、2 つの暗号化レイヤーを使用することです (データ ボリュームに対する BitLocker XTS-AES 256 ビット暗号化と、ハード ドライブに対する組み込みの暗号化)。 詳細については、特定の Stack Edge デバイスのセキュリティの概要ドキュメントを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Data Explorer でディスク暗号化を有効にする必要がある | ディスク暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 | Audit、Deny、Disabled | 2.0.0 |
| Azure Data Explorer で二重暗号化を有効にする必要がある | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | Audit、Deny、Disabled | 2.0.0 |
| Microsoft マネージド コントロール 1663 - 保存情報の保護 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントはインフラストラクチャ暗号化を行う必要がある | インフラストラクチャ暗号化を有効にして、データが安全であることをより高いレベルで保証します。 インフラストラクチャ暗号化が有効な場合、ストレージ アカウントのデータは 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある | データ セキュリティを強化するために、Azure Kubernetes Service ノード仮想マシン (VM) の VM ホストに格納されているデータは、保存時に暗号化する必要があります。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れているデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化を使用している場合。または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 Azure Disk Storage のサーバー側暗号化の詳細は、https://aka.ms/disksse、さまざまなディスク暗号化オファリングhttps://aka.ms/diskencryptioncomparisonを参照してください。 | AuditIfNotExists、Disabled | 2.0.3 |
暗号化による保護
ID: NIST SP 800-53 Rev. 5 SC-28 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service Environment では内部暗号化を有効にする必要がある | InternalEncryption を true に設定すると、App Service Environment のフロント エンドと worker の間で、ページファイル、worker ディスク、内部ネットワーク トラフィックが暗号化されます。 詳細については、https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption を参照してください。 | Audit、Disabled | 1.0.1 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| Azure Data Box ジョブは、デバイス上の保存データに対する二重暗号化を有効にする必要がある | デバイス上の保存データに対し、ソフトウェアベースの暗号化の第 2 のレイヤーを有効にしてください。 デバイスの保存データはあらかじめ、Advanced Encryption Standard 256 ビット暗号化で保護されています。 このオプションは、第 2 のデータ暗号化レイヤーを追加するものです。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Monitor ログ クラスターはインフラストラクチャ暗号化を有効にして作成する必要がある (二重暗号化) | 2 種類の暗号化アルゴリズムと 2 種類のキーを使用を使用して、サービス レベルおよびインフラストラクチャ レベルでデータ暗号化の安全を確保するには、Azure Monitor 専用クラスターを使用します。 このオプションは、リージョンでサポートされていれば既定で有効になります。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Stack Edge デバイスは二重暗号化を使用する必要がある | デバイス上の保存データのセキュリティを確保するには、そのデータが二重に暗号化されていること、データへのアクセスが制御されていること、また、デバイスが非アクティブになったときにデータがデータ ディスクから安全な方法で消去されることが必要です。 二重暗号化とは、2 つの暗号化レイヤーを使用することです (データ ボリュームに対する BitLocker XTS-AES 256 ビット暗号化と、ハード ドライブに対する組み込みの暗号化)。 詳細については、特定の Stack Edge デバイスのセキュリティの概要ドキュメントを参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Data Explorer でディスク暗号化を有効にする必要がある | ディスク暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 | Audit、Deny、Disabled | 2.0.0 |
| Azure Data Explorer で二重暗号化を有効にする必要がある | 二重暗号化を有効にすると、データを保護して、組織のセキュリティとコンプライアンスのコミットメントを満たすことができます。 二重暗号化が有効になっている場合、ストレージ アカウント内のデータは、2 つの異なる暗号化アルゴリズムと 2 つの異なるキーを使用して、2 回 (サービス レベルで 1 回、インフラストラクチャ レベルで 1 回) 暗号化されます。 | Audit、Deny、Disabled | 2.0.0 |
| Microsoft マネージド コントロール 1437 - メディアの輸送 | 暗号化による保護 | このメディア保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1664 - 保存情報の保護 | 暗号化による保護 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| ストレージ アカウントはインフラストラクチャ暗号化を行う必要がある | インフラストラクチャ暗号化を有効にして、データが安全であることをより高いレベルで保証します。 インフラストラクチャ暗号化が有効な場合、ストレージ アカウントのデータは 2 回暗号化されます。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Kubernetes Service クラスターのエージェント ノード プールのための一時ディスクおよびキャッシュは、ホストで暗号化する必要がある | データ セキュリティを強化するために、Azure Kubernetes Service ノード仮想マシン (VM) の VM ホストに格納されているデータは、保存時に暗号化する必要があります。 これは、さまざまな規制や業界のコンプライアンス標準での一般的な要件です。 | Audit、Deny、Disabled | 1.0.1 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れているデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化を使用している場合。または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 Azure Disk Storage のサーバー側暗号化の詳細は、https://aka.ms/disksse、さまざまなディスク暗号化オファリングhttps://aka.ms/diskencryptioncomparisonを参照してください。 | AuditIfNotExists、Disabled | 2.0.3 |
プロセスによる分離
ID: NIST SP 800-53 Rev. 5 SC-39 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1665 - プロセスの分離 | このシステムと通信の保護コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システムと情報の整合性
ポリシーと手順
ID: NIST SP 800-53 Rev. 5 SI-1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1666 - システムと情報の整合性のポリシーおよび手順 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1667 - システムと情報の整合性のポリシーおよび手順 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
欠陥の修復
ID: NIST SP 800-53 Rev. 5 SI-2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 関数アプリでは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 現在の Kubernetes バージョンの既知の脆弱性から保護するため、Kubernetes Service クラスターを新しい Kubernetes バージョンにアップグレードしてください。 脆弱性 CVE-2019-9946 は、Kubernetes バージョン 1.11.9 以上、1.12.7 以上、1.13.5 以上、および 1.14.0 以上でパッチが適用されています | Audit、Disabled | 1.0.2 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1668 - 欠陥の修復 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1669 - 欠陥の修復 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1670 - 欠陥の修復 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1671 - 欠陥の修復 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある | お使いの Windows と Linux の仮想マシン スケール セットが確実にセキュリティで保護されるようにするため、インストールする必要のあるシステムのセキュリティ更新プログラムおよび重要な更新プログラムが不足していないかどうかを監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
| 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある | 攻撃から保護するため、お使いの仮想マシン スケール セットの OS 脆弱性を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
自動的な欠陥修復状態
ID: NIST SP 800-53 Rev. 5 SI-2 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1673 - 欠陥の修復 | 自動的な欠陥修復状態 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
欠陥を修復するまでの時間と是正措置のベンチマーク
ID: NIST SP 800-53 Rev. 5 SI-2 (3) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1674 - 欠陥の修復 | 欠陥を修復するまでの時間/是正措置のベンチマーク | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1675 - 欠陥の修復 | 欠陥を修復するまでの時間/是正措置のベンチマーク | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
以前のバージョンのソフトウェアおよびファームウェアの削除
ID: NIST SP 800-53 Rev. 5 SI-2 (6) 所有権: 顧客
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| 関数アプリでは最新の 'HTTP バージョン' を使用する必要がある | セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 | AuditIfNotExists、Disabled | 4.0.0 |
| Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 現在の Kubernetes バージョンの既知の脆弱性から保護するため、Kubernetes Service クラスターを新しい Kubernetes バージョンにアップグレードしてください。 脆弱性 CVE-2019-9946 は、Kubernetes バージョン 1.11.9 以上、1.12.7 以上、1.13.5 以上、および 1.14.0 以上でパッチが適用されています | Audit、Disabled | 1.0.2 |
悪意のあるコードからの保護
ID: NIST SP 800-53 Rev. 5 SI-3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | 脅威と脆弱性から保護するため、お使いの仮想マシン スケール セットでのエンドポイント保護ソリューションの存在と正常性を監査します。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft マネージド コントロール 1676 - 悪意のあるコードからの保護 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1677 - 悪意のあるコードからの保護 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1678 - 悪意のあるコードからの保護 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1679 - 悪意のあるコードからの保護 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1681 - 悪意のあるコードからの保護 | 自動更新 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1682 - 悪意のあるコードからの保護 | シグネチャ ベースではない検出 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 1.1.1 |
システム監視
ID: NIST SP 800-53 Rev. 5 SI-4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある | Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 4.0.1-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| サブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある | Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Defender for Azure SQL Database サーバーを有効にする必要がある | Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for Resource Manager を有効にする必要がある | Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| 保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| 保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある | Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要がある | このポリシーは、Log Analytics エージェントがインストールされていない場合にすべての Windows または Linux 仮想マシン (VM) を監査します。Security Center ではこれを使用してセキュリティの脆弱性や脅威を監視します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要がある | Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM) からデータを収集します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要がある | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage (クラシック) を有効にする必要がある | Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 | AuditIfNotExists、Disabled | 1.0.4 |
| Microsoft マネージド コントロール 1683 - 情報システムの監視 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1684 - 情報システムの監視 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1685 - 情報システムの監視 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1686 - 情報システムの監視 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1687 - 情報システムの監視 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1688 - 情報システムの監視 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1689 - 情報システムの監視 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
システム全体の侵入検出システム
ID: NIST SP 800-53 Rev. 5 SI-4 (1) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1690 - 情報システムの監視 | システム全体の侵入検出システム | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
リアルタイム分析のための自動化されたツールとメカニズム
ID: NIST SP 800-53 Rev. 5 SI-4 (2) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1691 - 情報システムの監視 | リアルタイム分析のための自動化ツール | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
受信と送信の通信トラフィック
ID: NIST SP 800-53 Rev. 5 SI-4 (4) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1692 - 情報システムの監視 | 受信と送信の通信トラフィック | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
システム生成のアラート
ID: NIST SP 800-53 Rev. 5 SI-4 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1693 - 情報システムの監視 | システム生成のアラート | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
通信トラフィックの異常の分析
ID: NIST SP 800-53 Rev. 5 SI-4 (11) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1694 - 情報システムの監視 | 通信トラフィックの異常の分析 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
組織で生成された自動アラート
ID: NIST SP 800-53 Rev. 5 SI-4 (12) 所有権: 顧客
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.0.1 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.0.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
ワイヤレス侵入の検出
ID: NIST SP 800-53 Rev. 5 SI-4 (14) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1695 - 情報システムの監視 | ワイヤレス侵入の検出 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
監視情報の関連付け
ID: NIST SP 800-53 Rev. 5 SI-4 (16) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1696 - 情報システムの監視 | 監視情報の関連付け | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
トラフィックおよび隠ぺいされた流出の分析
ID: NIST SP 800-53 Rev. 5 SI-4 (18) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1697 - 情報システムの監視 | トラフィックまたは隠ぺいされた流出の分析 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
個人のリスク
ID: NIST SP 800-53 Rev. 5 SI-4 (19) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1698 - 情報システムの監視 | 重大なリスクをもたらしている個人 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
特権のあるユーザー
ID: NIST SP 800-53 Rev. 5 SI-4 (20) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1699 - 情報システムの監視 | 特権のあるユーザー | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
承認されていないネットワーク サービス
ID: NIST SP 800-53 Rev. 5 SI-4 (22) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1700 - 情報システムの監視 | 承認されていない Network Services | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ホストベースのデバイス
ID: NIST SP 800-53 Rev. 5 SI-4 (23) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1701 - 情報システムの監視 | ホストベースのデバイス | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティ侵害のインジケーター
ID: NIST SP 800-53 Rev. 5 SI-4 (24) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1702 - 情報システムの監視 | セキュリティ侵害のインジケーター | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティに関する警告、勧告、命令
ID: NIST SP 800-53 Rev. 5 SI-5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1703 - セキュリティ アラートとアドバイザリ | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1704 - セキュリティ アラートとアドバイザリ | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1705 - セキュリティ アラートとアドバイザリ | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1706 - セキュリティ アラートとアドバイザリ | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
警告および勧告の自動化
ID: NIST SP 800-53 Rev. 5 SI-5 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1707 - セキュリティ アラートとアドバイザリ | 自動的な警告および勧告 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
セキュリティおよびプライバシー機能の検証
ID: NIST SP 800-53 Rev. 5 SI-6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1708 - セキュリティ機能の検証 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1709 - セキュリティ機能の検証 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1710 - セキュリティ機能の検証 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1711 - セキュリティ機能の検証 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
ソフトウェア、ファームウェア、情報の整合性
ID: NIST SP 800-53 Rev. 5 SI-7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1712 - ソフトウェアと情報の整合性 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
整合性チェック
ID: NIST SP 800-53 Rev. 5 SI-7 (1) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1713 - ソフトウェアと情報の整合性 | 整合性チェック | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
整合性違反の自動通知
ID: NIST SP 800-53 Rev. 5 SI-7 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1714 - ソフトウェアと情報の整合性 | 整合性違反の自動通知 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
整合性違反への自動対応
ID: NIST SP 800-53 Rev. 5 SI-7 (5) 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1715 - ソフトウェアと情報の整合性 | 整合性違反への自動対応 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
検出と応答の統合
ID: NIST SP 800-53 Rev. 5 SI-7 (7) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1716 - ソフトウェアと情報の整合性 | 検出と応答の統合 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
スパムからの保護
ID: NIST SP 800-53 Rev. 5 SI-8 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1719 - スパムからの保護 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1720 - スパムからの保護 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
自動更新
ID: NIST SP 800-53 Rev. 5 SI-8 (2) 所有権: Microsoft
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1722 - スパムからの保護 | 自動更新 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
情報入力の検証
ID: NIST SP 800-53 Rev. 5 SI-10 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1723 - 情報入力の検証 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
エラー処理
ID: NIST SP 800-53 Rev. 5 SI-11 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1724 - エラー処理 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| Microsoft マネージド コントロール 1725 - エラー処理 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
情報の管理と保持
ID: NIST SP 800-53 Rev. 5 SI-12 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Microsoft マネージド コントロール 1726 - 情報出力の処理とリテンション期間 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
メモリの保護
ID: NIST SP 800-53 Rev. 5 SI-16 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft マネージド コントロール 1727 - メモリの保護 | このシステムと情報の整合性コントロールは、Microsoft によって実装されています | 監査 | 1.0.0 |
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 1.1.1 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。