PCI DSS v4.0 規制コンプライアンスの組み込みイニシアティブの詳細
この記事では、Azure Policy 規制コンプライアンスの組み込みイニシアティブ定義が、PCI DSS v4.0 のコンプライアンス ドメインとコントロールにどのように対応するのかについて詳しく説明します。 このコンプライアンス標準の詳細については、「PCI DSS v4.0」をご覧ください。 "所有権" については、Azure Policy のポリシー定義に関するページと、「クラウドにおける共同責任」を参照してください。
以下のマッピングは、PCI DSS v4.0 コントロールに対するものです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、PCI DSS v4 規制コンプライアンスの組み込みイニシアティブ定義を見つけて選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
要件 01: ネットワーク セキュリティ制御をインストールして維持する
ネットワーク セキュリティ制御をインストールして、維持するためのプロセスとメカニズムが定義され、理解されている
ID: PCI DSS v4.0 1.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
ネットワーク セキュリティ制御 (NSG) が構成され、維持されている
ID: PCI DSS v4.0 1.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 非準拠のデバイスに対するアクションを構成する | CMA_0062 - 非準拠のデバイスに対するアクションを構成する | Manual、Disabled | 1.1.0 |
| ベースライン構成を作成して維持する | CMA_0153 - ベースライン構成を作成して維持する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| 構成コントロール ボードを設立する | CMA_0254 - 構成コントロール ボードを設立する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
ネットワーク セキュリティ制御 (NSG) が構成され、維持されている
ID: PCI DSS v4.0 1.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
ネットワーク セキュリティ制御 (NSG) が構成され、維持されている
ID: PCI DSS v4.0 1.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
ネットワーク セキュリティ制御 (NSG) が構成され、維持されている
ID: PCI DSS v4.0 1.2.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
ネットワーク セキュリティ制御 (NSG) が構成され、維持されている
ID: PCI DSS v4.0 1.2.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 外部サービス プロバイダーを識別する | CMA_C1591 - 外部サービス プロバイダーを識別する | Manual、Disabled | 1.1.0 |
| SDLC ポート、プロトコル、サービスの識別を開発者に要求する | CMA_C1578 - SDLC ポート、プロトコル、サービスの識別を開発者に要求する | Manual、Disabled | 1.1.0 |
ネットワーク セキュリティ制御 (NSG) が構成され、維持されている
ID: PCI DSS v4.0 1.2.8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制限の適用と監査 | CMA_C1203 - アクセス制限の適用と監査 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 承認されていない変更の変更を確認する | CMA_C1204 - 承認されていない変更の変更を確認する | Manual、Disabled | 1.1.0 |
カード所有者データの環境との間のネットワーク アクセスが制限されている
ID: PCI DSS v4.0 1.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
カード所有者データの環境との間のネットワーク アクセスが制限されている
ID: PCI DSS v4.0 1.3.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている
ID: PCI DSS v4.0 1.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている
ID: PCI DSS v4.0 1.4.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
| 各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
| システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
| 外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている
ID: PCI DSS v4.0 1.4.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている
ID: PCI DSS v4.0 1.4.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
| 暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
信頼されていないネットワークと CDE の両方に接続できるコンピューティング デバイスからの CDE に対するリスクが軽減されている
ID: PCI DSS v4.0 1.5.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する
システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視するためのプロセスとメカニズムが定義され、文書化されている
ID: PCI DSS v4.0 10.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査と責任のポリシーと手順を作成する | CMA_0154 - 監査と責任のポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている
ID: PCI DSS v4.0 10.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている
ID: PCI DSS v4.0 10.2.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている
ID: PCI DSS v4.0 10.2.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| ログに記録された特権コマンドのフル テキスト分析を実行する | CMA_0056 - ログに記録された特権コマンドのフル テキスト分析を実行する | Manual、Disabled | 1.1.0 |
| アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている
ID: PCI DSS v4.0 10.2.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| ログに記録された特権コマンドのフル テキスト分析を実行する | CMA_0056 - ログに記録された特権コマンドのフル テキスト分析を実行する | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている
ID: PCI DSS v4.0 10.2.1.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている
ID: PCI DSS v4.0 10.2.1.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| ログに記録された特権コマンドのフル テキスト分析を実行する | CMA_0056 - ログに記録された特権コマンドのフル テキスト分析を実行する | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている
ID: PCI DSS v4.0 10.2.1.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| ログに記録された特権コマンドのフル テキスト分析を実行する | CMA_0056 - ログに記録された特権コマンドのフル テキスト分析を実行する | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている
ID: PCI DSS v4.0 10.2.1.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている
ID: PCI DSS v4.0 10.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 選択したリソースの種類の診断設定を監査します | 選択したリソースの種類の診断設定の監査。 必ず、診断設定をサポートするリソースの種類のみを選んでください。 | AuditIfNotExists | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
監査ログは、破棄および非認可の変更から保護されている
ID: PCI DSS v4.0 10.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 二重または共同の認可を有効にする | CMA_0226 - 二重または共同の認可を有効にする | Manual、Disabled | 1.1.0 |
| 監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
監査ログは、破棄および非認可の変更から保護されている
ID: PCI DSS v4.0 10.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 二重または共同の認可を有効にする | CMA_0226 - 二重または共同の認可を有効にする | Manual、Disabled | 1.1.0 |
| 監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
監査ログは、破棄および非認可の変更から保護されている
ID: PCI DSS v4.0 10.3.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 選択したリソースの種類の診断設定を監査します | 選択したリソースの種類の診断設定の監査。 必ず、診断設定をサポートするリソースの種類のみを選んでください。 | AuditIfNotExists | 2.0.1 |
| SQL Server の監査を有効にする必要があります | サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある | 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります | Audit、Deny、Disabled | 1.0.0 |
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
監査ログは、破棄および非認可の変更から保護されている
ID: PCI DSS v4.0 10.3.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 二重または共同の認可を有効にする | CMA_0226 - 二重または共同の認可を有効にする | Manual、Disabled | 1.1.0 |
| 監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
異常または疑わしいアクティビティを識別するために、監査ログが確認される
ID: PCI DSS v4.0 10.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
異常または疑わしいアクティビティを識別するために、監査ログが確認される
ID: PCI DSS v4.0 10.4.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
異常または疑わしいアクティビティを識別するために、監査ログが確認される
ID: PCI DSS v4.0 10.4.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
異常または疑わしいアクティビティを識別するために、監査ログが確認される
ID: PCI DSS v4.0 10.4.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
異常または疑わしいアクティビティを識別するために、監査ログが確認される
ID: PCI DSS v4.0 10.4.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
| 監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
| 監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
| Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| 管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
| 監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
| クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
| フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
| ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
| 役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
監査ログの履歴が保持され、分析に使用できる
ID: PCI DSS v4.0 10.5.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシーと手順を保持する | CMA_0454 - セキュリティ ポリシーと手順を保持する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている
ID: PCI DSS v4.0 10.6.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査レコードにシステム クロックを使用する | CMA_0535 - 監査レコードにシステム クロックを使用する | Manual、Disabled | 1.1.0 |
時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている
ID: PCI DSS v4.0 10.6.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 監査レコードにシステム クロックを使用する | CMA_0535 - 監査レコードにシステム クロックを使用する | Manual、Disabled | 1.1.0 |
時刻同期メカニズムにより、すべてのシステムで一貫した時刻設定がサポートされている
ID: PCI DSS v4.0 10.6.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| ログに記録された特権コマンドのフル テキスト分析を実行する | CMA_0056 - ログに記録された特権コマンドのフル テキスト分析を実行する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
| 特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
| 特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
| 特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される
ID: PCI DSS v4.0 10.7.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定された異常に対する代替アクションを作成する | CMA_C1711 - 特定された異常に対する代替アクションを作成する | Manual、Disabled | 1.1.0 |
| 監査処理アクティビティを管理および監視する | CMA_0289 - 監査処理アクティビティを管理および監視する | Manual、Disabled | 1.1.0 |
| 失敗したセキュリティ検証テストについて担当者に通知する | CMA_C1710 - 失敗したセキュリティ検証テストについて担当者に通知する | Manual、Disabled | 1.1.0 |
| 定義された頻度でセキュリティ関数の検証を実行する | CMA_C1709 - 定義された頻度でセキュリティ関数の検証を実行する | Manual、Disabled | 1.1.0 |
| セキュリティ機能を確認する | CMA_C1708 - セキュリティ機能を確認する | Manual、Disabled | 1.1.0 |
重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される
ID: PCI DSS v4.0 10.7.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定された異常に対する代替アクションを作成する | CMA_C1711 - 特定された異常に対する代替アクションを作成する | Manual、Disabled | 1.1.0 |
| 監査処理アクティビティを管理および監視する | CMA_0289 - 監査処理アクティビティを管理および監視する | Manual、Disabled | 1.1.0 |
| 失敗したセキュリティ検証テストについて担当者に通知する | CMA_C1710 - 失敗したセキュリティ検証テストについて担当者に通知する | Manual、Disabled | 1.1.0 |
| 定義された頻度でセキュリティ関数の検証を実行する | CMA_C1709 - 定義された頻度でセキュリティ関数の検証を実行する | Manual、Disabled | 1.1.0 |
| セキュリティ機能を確認する | CMA_C1708 - セキュリティ機能を確認する | Manual、Disabled | 1.1.0 |
重要なセキュリティ制御システムのエラーは迅速に検出され、報告されて、対応される
ID: PCI DSS v4.0 10.7.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 特定された異常に対する代替アクションを作成する | CMA_C1711 - 特定された異常に対する代替アクションを作成する | Manual、Disabled | 1.1.0 |
| 失敗したセキュリティ検証テストについて担当者に通知する | CMA_C1710 - 失敗したセキュリティ検証テストについて担当者に通知する | Manual、Disabled | 1.1.0 |
| 定義された頻度でセキュリティ関数の検証を実行する | CMA_C1709 - 定義された頻度でセキュリティ関数の検証を実行する | Manual、Disabled | 1.1.0 |
| セキュリティ機能を確認する | CMA_C1708 - セキュリティ機能を確認する | Manual、Disabled | 1.1.0 |
要件 11: システムおよびネットワークのセキュリティを定期的にテストする
システムとネットワークのセキュリティを定期的にテストするためのプロセスとメカニズムが定義され、理解されている
ID: PCI DSS v4.0 11.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| セキュリティ評価と認可に関するポリシーと手順を確認する | CMA_C1143 - セキュリティ評価と認可に関するポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
ワイヤレス アクセス ポイントが特定されて監視され、認可されていないワイヤレス アクセス ポイントには対応が行われる
ID: PCI DSS v4.0 11.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる
ID: PCI DSS v4.0 11.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる
ID: PCI DSS v4.0 11.3.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる
ID: PCI DSS v4.0 11.3.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる
ID: PCI DSS v4.0 11.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる
ID: PCI DSS v4.0 11.3.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
外部および内部の侵入テストが定期的に実行され、悪用可能な脆弱性とセキュリティ上の弱点が修正される
ID: PCI DSS v4.0 11.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 侵入テストに別個のチームを採用する | CMA_C1171 - 侵入テストに別個のチームを採用する | Manual、Disabled | 1.1.0 |
外部および内部の侵入テストが定期的に実行され、悪用可能な脆弱性とセキュリティ上の弱点が修正される
ID: PCI DSS v4.0 11.4.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 侵入テストに別個のチームを採用する | CMA_C1171 - 侵入テストに別個のチームを採用する | Manual、Disabled | 1.1.0 |
ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる
ID: PCI DSS v4.0 11.5.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 職員に情報流出のアラートを通知する | CMA_0007 - 職員に情報流出のアラートを通知する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる
ID: PCI DSS v4.0 11.5.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 職員に情報流出のアラートを通知する | CMA_0007 - 職員に情報流出のアラートを通知する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
ネットワーク侵入と予期しないファイルの変更は検出され、対応が行われる
ID: PCI DSS v4.0 11.5.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 違反が検出されたときに自動シャットダウン/再起動を使用する | CMA_C1715 - 違反が検出されたときに自動シャットダウン/再起動を使用する | Manual、Disabled | 1.1.0 |
| ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
| システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
支払ページでの認可されていない変更は検出され、対応が行われる
ID: PCI DSS v4.0 11.6.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 違反が検出されたときに自動シャットダウン/再起動を使用する | CMA_C1715 - 違反が検出されたときに自動シャットダウン/再起動を使用する | Manual、Disabled | 1.1.0 |
| ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
| システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
要件 12: 組織のポリシーおよびプログラムを使用して情報セキュリティをサポートする
エンティティの情報資産の保護を管理し、方針を提供する包括的な情報セキュリティ ポリシーは既知で、最新である
ID: PCI DSS v4.0 12.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
エンティティの情報資産の保護を管理し、方針を提供する包括的な情報セキュリティ ポリシーは既知で、最新である
ID: PCI DSS v4.0 12.1.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 上級情報セキュリティ責任者を任命する | CMA_C1733 - 上級情報セキュリティ責任者を任命する | Manual、Disabled | 1.1.0 |
CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる
ID: PCI DSS v4.0 12.10.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| データ侵害レコードを保持する | CMA_0351 - データ侵害レコードを保持する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を保護する | CMA_0405 - インシデント対応計画を保護する | Manual、Disabled | 1.1.0 |
CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる
ID: PCI DSS v4.0 12.10.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる
ID: PCI DSS v4.0 12.10.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる
ID: PCI DSS v4.0 12.10.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる
ID: PCI DSS v4.0 12.10.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
| インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
CDE に影響を与える可能性のある、疑わしいセキュリティ インシデントと確認済みのセキュリティ インシデントに対して即時に対応が行われる
ID: PCI DSS v4.0 12.10.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
| セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
| ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
| 汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
| 情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
| インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
エンドユーザー テクノロジの許容される使用ポリシーが定義され、実装されている
ID: PCI DSS v4.0 12.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 利用規約と手順を作成する | CMA_0143 - 利用規約と手順を作成する | Manual、Disabled | 1.1.0 |
| 行動規範とアクセス契約を適用する | CMA_0248 - 行動規範とアクセス契約を適用する | Manual、Disabled | 1.1.0 |
| 知的財産権の遵守を必須にする | CMA_0432 - 知的財産権の遵守を必須にする | Manual、Disabled | 1.1.0 |
| ソフトウェア ライセンスの使用を追跡する | CMA_C1235 - ソフトウェア ライセンスの使用を追跡する | Manual、Disabled | 1.1.0 |
カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される
ID: PCI DSS v4.0 12.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| リスク評価を実施して結果を配布する | CMA_C1544 - リスク評価を実施して結果を配布する | Manual、Disabled | 1.1.0 |
| リスク評価を実施し、その結果を文書化する | CMA_C1542 - リスク評価を実施し、その結果を文書化する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される
ID: PCI DSS v4.0 12.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| リスク評価を実施して結果を配布する | CMA_C1544 - リスク評価を実施して結果を配布する | Manual、Disabled | 1.1.0 |
| リスク評価を実施し、その結果を文書化する | CMA_C1542 - リスク評価を実施し、その結果を文書化する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
カード所有者データの環境に対するリスクが正式に特定され、評価されて、管理される
ID: PCI DSS v4.0 12.3.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ アラートを担当者に送信する | CMA_C1705 - セキュリティ アラートを担当者に送信する | Manual、Disabled | 1.1.0 |
| 脅威インテリジェンス プログラムを確立する | CMA_0260 - 脅威インテリジェンス プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
PCI DSS コンプライアンスが管理されている
ID: PCI DSS v4.0 12.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| コンプライアンス アクティビティを管理する | CMA_0358 - コンプライアンス アクティビティを管理する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
PCI DSS コンプライアンスが管理されている
ID: PCI DSS v4.0 12.4.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| キュリティ コントロールの評価 | CMA_C1145 - セキュリティ コントロールの評価 | Manual、Disabled | 1.1.0 |
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| セキュリティ評価計画の作成 | CMA_C1144 - セキュリティ評価計画の作成 | Manual、Disabled | 1.1.0 |
| セキュリティ制御評価の追加テストを選択する | CMA_C1149 - セキュリティ制御評価の追加テストを選択する | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
PCI DSS コンプライアンスが管理されている
ID: PCI DSS v4.0 12.4.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 検出ホワイトリストを構成する | CMA_0068 - 検出ホワイトリストを構成する | Manual、Disabled | 1.1.0 |
| セキュリティ評価の結果を配信する | CMA_C1147 - セキュリティ評価の結果を配信する | Manual、Disabled | 1.1.0 |
| POA&M の開発 | CMA_C1156 - POA&M を開発する | Manual、Disabled | 1.1.0 |
| セキュリティ評価レポートの生成 | CMA_C1146 - セキュリティ評価レポートの生成 | Manual、Disabled | 1.1.0 |
| エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
| POA&M 項目の更新 | CMA_C1157 - POA&M アイテムを更新する | Manual、Disabled | 1.1.0 |
PCI DSS スコープが文書化され、検証されている
ID: PCI DSS v4.0 12.5.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
PCI DSS スコープが文書化され、検証されている
ID: PCI DSS v4.0 12.5.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
PCI DSS スコープが文書化され、検証されている
ID: PCI DSS v4.0 12.5.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ ポリシーを更新する | CMA_0518 - 情報セキュリティ ポリシーを更新する | Manual、Disabled | 1.1.0 |
セキュリティの認識に関する教育は継続して行われている取り組みである
ID: PCI DSS v4.0 12.6.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
| 情報セキュリティ人材の育成と向上プログラムを策定する | CMA_C1752 - 情報セキュリティ人材の育成と向上プログラムを策定する | Manual、Disabled | 1.1.0 |
セキュリティの認識に関する教育は継続して行われている取り組みである
ID: PCI DSS v4.0 12.6.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 更新されたセキュリティ認識トレーニングを提供する | CMA_C1090 - 更新されたセキュリティ認識トレーニングを提供する | Manual、Disabled | 1.1.0 |
セキュリティの認識に関する教育は継続して行われている取り組みである
ID: PCI DSS v4.0 12.6.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プライバシー要件の職員の同意を文書化する | CMA_0193 - プライバシー要件の職員の同意を文書化する | Manual、Disabled | 1.1.0 |
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 更新されたセキュリティ認識トレーニングを提供する | CMA_C1090 - 更新されたセキュリティ認識トレーニングを提供する | Manual、Disabled | 1.1.0 |
セキュリティの認識に関する教育は継続して行われている取り組みである
ID: PCI DSS v4.0 12.6.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脅威に関する意識向上プログラムを実装する | CMA_C1758 - 脅威に関する意識向上プログラムを実装する | Manual、Disabled | 1.1.0 |
| 内部関係者の脅威プログラムを実装する | CMA_C1751 - 内部関係者の脅威プログラムを実装する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
セキュリティの認識に関する教育は継続して行われている取り組みである
ID: PCI DSS v4.0 12.6.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| 新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
内部関係者による脅威のリスクを軽減するために、担当者は審査されている
ID: PCI DSS v4.0 12.7.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 機密情報へのアクセス権を持つ職員をクリアする | CMA_0054 - 機密情報へのアクセス権を持つ職員をクリアする | Manual、Disabled | 1.1.0 |
| 職員のスクリーニングを実装する | CMA_0322 - 職員のスクリーニングを実装する | Manual、Disabled | 1.1.0 |
| 定義された頻度で個人を再表示する | CMA_C1512 - 定義された頻度で個人を再表示する | Manual、Disabled | 1.1.0 |
サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている
ID: PCI DSS v4.0 12.8.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている
ID: PCI DSS v4.0 12.8.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| データ処理者の職務を定義する | CMA_0127 - データ処理者の職務を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティ コントロールの設計と実装の情報を取得する | CMA_C1576 - セキュリティ コントロールの設計と実装の情報を取得する | Manual、Disabled | 1.1.1 |
| セキュリティ コントロールの機能プロパティを取得する | CMA_C1575 - セキュリティ コントロールの機能プロパティを取得する | Manual、Disabled | 1.1.0 |
| サードパーティに対する PII の開示を記録する | CMA_0422 - サードパーティに対する PII の開示を記録する | Manual、Disabled | 1.1.0 |
サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている
ID: PCI DSS v4.0 12.8.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている
ID: PCI DSS v4.0 12.8.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
| 商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
| セキュリティ制御の継続的監視計画を取得する | CMA_C1577 - セキュリティ制御の継続的監視計画を取得する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
サード パーティのサービス プロバイダー (TPSP) との関係に関連する情報資産に対するリスクが管理されている
ID: PCI DSS v4.0 12.8.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
| 取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
| 取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
| 契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| 買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
| サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
| セキュリティ コントロールの設計と実装の情報を取得する | CMA_C1576 - セキュリティ コントロールの設計と実装の情報を取得する | Manual、Disabled | 1.1.1 |
| セキュリティ コントロールの機能プロパティを取得する | CMA_C1575 - セキュリティ コントロールの機能プロパティを取得する | Manual、Disabled | 1.1.0 |
サード パーティのサービス プロバイダー (TPSP) で、顧客の PCI DSS コンプライアンスがサポートされている
ID: PCI DSS v4.0 12.9.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| データ処理者の職務を定義する | CMA_0127 - データ処理者の職務を定義する | Manual、Disabled | 1.1.0 |
| サードパーティに対する PII の開示を記録する | CMA_0422 - サードパーティに対する PII の開示を記録する | Manual、Disabled | 1.1.0 |
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
サード パーティのサービス プロバイダー (TPSP) で、顧客の PCI DSS コンプライアンスがサポートされている
ID: PCI DSS v4.0 12.9.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
| クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
| 個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
要件 02: セキュリティで保護された構成をすべてのシステム コンポーネントに適用する
セキュリティで保護された構成をすべてのシステム コンポーネントに適用するためのプロセスとメカニズムが定義され、理解されている
ID: PCI DSS v4.0 2.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
システム コンポーネントは安全に構成され、管理されている
ID: PCI DSS v4.0 2.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 非準拠のデバイスに対するアクションを構成する | CMA_0062 - 非準拠のデバイスに対するアクションを構成する | Manual、Disabled | 1.1.0 |
| ベースライン構成を作成して維持する | CMA_0153 - ベースライン構成を作成して維持する | Manual、Disabled | 1.1.0 |
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| 構成コントロール ボードを設立する | CMA_0254 - 構成コントロール ボードを設立する | Manual、Disabled | 1.1.0 |
| 構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
| 自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
システム コンポーネントは安全に構成され、管理されている
ID: PCI DSS v4.0 2.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 認証子の管理 | CMA_C1321 - 認証子の管理 | Manual、Disabled | 1.1.0 |
システム コンポーネントは安全に構成され、管理されている
ID: PCI DSS v4.0 2.2.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
システム コンポーネントは安全に構成され、管理されている
ID: PCI DSS v4.0 2.2.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 暗号化メカニズムを実装する | CMA_C1419 - 暗号化メカニズムを実装する | Manual、Disabled | 1.1.0 |
ワイヤレス環境は安全に構成され、管理されている
ID: PCI DSS v4.0 2.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
ワイヤレス環境は安全に構成され、管理されている
ID: PCI DSS v4.0 2.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
要件 03: 保存されるアカウント データを保護する
保存されるアカウント データを保護するためのプロセスとメカニズムが定義され、理解されている
ID: PCI DSS v4.0 3.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| プライバシー プラン、ポリシー、手順を更新する | CMA_C1807 - プライバシー プラン、ポリシー、手順を更新する | Manual、Disabled | 1.1.0 |
アカウント データのストレージは最小限に保たれる
ID: PCI DSS v4.0 3.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| 個人情報を処理するための法的根拠を文書化する | CMA_0206 - 個人情報を処理するための法的根拠を文書化する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| ラベル アクティビティと分析を確認する | CMA_0474 - ラベル アクティビティと分析を確認する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
機密の認証データ (SAD) は認可後に保存されない
ID: PCI DSS v4.0 3.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 個人情報を処理するための法的根拠を文書化する | CMA_0206 - 個人情報を処理するための法的根拠を文書化する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
機密の認証データ (SAD) は認可後に保存されない
ID: PCI DSS v4.0 3.3.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 個人情報を処理するための法的根拠を文書化する | CMA_0206 - 個人情報を処理するための法的根拠を文書化する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
機密の認証データ (SAD) は認可後に保存されない
ID: PCI DSS v4.0 3.3.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 個人情報を処理するための法的根拠を文書化する | CMA_0206 - 個人情報を処理するための法的根拠を文書化する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
機密の認証データ (SAD) は認可後に保存されない
ID: PCI DSS v4.0 3.3.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 個人情報を処理するための法的根拠を文書化する | CMA_0206 - 個人情報を処理するための法的根拠を文書化する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
機密の認証データ (SAD) は認可後に保存されない
ID: PCI DSS v4.0 3.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 暗号化モジュールに対して認証する | CMA_0021 - 暗号化モジュールに対して認証する | Manual、Disabled | 1.1.0 |
機密の認証データ (SAD) は認可後に保存されない
ID: PCI DSS v4.0 3.3.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| 暗号化モジュールに対して認証する | CMA_0021 - 暗号化モジュールに対して認証する | Manual、Disabled | 1.1.0 |
| 個人情報を処理するための法的根拠を文書化する | CMA_0206 - 個人情報を処理するための法的根拠を文書化する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| 個人データを収集または処理する前に同意を得る | CMA_0385 - 個人データを収集または処理する前に同意を得る | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
PAN 全体の表示へのアクセス権とカード所有者データのコピー機能は制限されている
ID: PCI DSS v4.0 3.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
PAN 全体の表示へのアクセス権とカード所有者データのコピー機能は制限されている
ID: PCI DSS v4.0 3.4.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| プライバシーに関する通知の配信方法を導入する | CMA_0324 - プライバシーに関する通知の配信方法を導入する | Manual、Disabled | 1.1.0 |
| プライバシーに関する通知を行う | CMA_0414 - プライバシーに関する通知を行う | Manual、Disabled | 1.1.0 |
| 通信を制限する | CMA_0449 - 通信を制限する | Manual、Disabled | 1.1.0 |
プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される
ID: PCI DSS v4.0 3.5.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| データ漏えいの管理手順を確立する | CMA_0255 - データ漏えいの管理手順を確立する | Manual、Disabled | 1.1.0 |
| 関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 特別な情報を保護する | CMA_0409 - 特別な情報を保護する | Manual、Disabled | 1.1.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れているデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化を使用している場合。または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 Azure Disk Storage のサーバー側暗号化の詳細は、https://aka.ms/disksse、さまざまなディスク暗号化オファリングhttps://aka.ms/diskencryptioncomparisonを参照してください。 | AuditIfNotExists、Disabled | 2.0.3 |
プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される
ID: PCI DSS v4.0 3.5.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| データ漏えいの管理手順を確立する | CMA_0255 - データ漏えいの管理手順を確立する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 特別な情報を保護する | CMA_0409 - 特別な情報を保護する | Manual、Disabled | 1.1.0 |
プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される
ID: PCI DSS v4.0 3.5.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| データ漏えいの管理手順を確立する | CMA_0255 - データ漏えいの管理手順を確立する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 特別な情報を保護する | CMA_0409 - 特別な情報を保護する | Manual、Disabled | 1.1.0 |
プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される
ID: PCI DSS v4.0 3.5.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| データ漏えいの管理手順を確立する | CMA_0255 - データ漏えいの管理手順を確立する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 特別な情報を保護する | CMA_0409 - 特別な情報を保護する | Manual、Disabled | 1.1.0 |
保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている
ID: PCI DSS v4.0 3.6.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている
ID: PCI DSS v4.0 3.6.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている
ID: PCI DSS v4.0 3.6.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを生成、制御、配布する | CMA_C1645 - 対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている
ID: PCI DSS v4.0 3.6.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
保存されるアカウント データを保護するために使用される暗号化キーはセキュリティで保護されている
ID: PCI DSS v4.0 3.6.1.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている
ID: PCI DSS v4.0 3.7.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている
ID: PCI DSS v4.0 3.7.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを生成、制御、配布する | CMA_C1645 - 対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている
ID: PCI DSS v4.0 3.7.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 情報の可用性を維持する | CMA_C1644 - 情報の可用性を維持する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを生成、制御、配布する | CMA_C1645 - 対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている
ID: PCI DSS v4.0 3.7.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている
ID: PCI DSS v4.0 3.7.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている
ID: PCI DSS v4.0 3.7.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている
ID: PCI DSS v4.0 3.7.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている
ID: PCI DSS v4.0 3.7.8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
暗号化を使用して、保存されるアカウント データを保護する場合、キー ライフサイクルのすべての側面をカバーするキー管理プロセスと手順が定義され、実装されている
ID: PCI DSS v4.0 3.7.9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
要件 04: オープンなパブリック ネットワークを介した転送中に強力な暗号化を使用してカード所有者のデータを保護する
オープンなパブリック ネットワークを介した送信中に強力な暗号化を使用してカード所有者データを保護するためのプロセスとメカニズムが定義され、文書化されている
ID: PCI DSS v4.0 4.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| システムと通信の保護に関するポリシーと手順を確認および更新する | CMA_C1616 - システムと通信の保護に関するポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
PAN は送信中に強力な暗号化で保護されている
ID: PCI DSS v4.0 4.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを生成、制御、配布する | CMA_C1645 - 対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
PAN は送信中に強力な暗号化で保護されている
ID: PCI DSS v4.0 4.2.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
| 暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
| 暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
| アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
| 公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
| 情報の可用性を維持する | CMA_C1644 - 情報の可用性を維持する | Manual、Disabled | 1.1.0 |
| 対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
| 秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
PAN は送信中に強力な暗号化で保護されている
ID: PCI DSS v4.0 4.2.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
PAN は送信中に強力な暗号化で保護されている
ID: PCI DSS v4.0 4.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
| 暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する
悪意のあるソフトウェアからすべてのシステムとネットワークを保護するためのプロセスとメカニズムが定義され、理解されている
ID: PCI DSS v4.0 5.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報の整合性ポリシーと手順を確認および更新する | CMA_C1667 - 情報の整合性ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている
ID: PCI DSS v4.0 5.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
| 脅威に対する保護の状態を毎週確認する | CMA_0479 - 脅威に対する保護の状態を毎週確認する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
| ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている
ID: PCI DSS v4.0 5.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
| 脅威に対する保護の状態を毎週確認する | CMA_0479 - 脅威に対する保護の状態を毎週確認する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
| ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている
ID: PCI DSS v4.0 5.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
| 脅威に対する保護の状態を毎週確認する | CMA_0479 - 脅威に対する保護の状態を毎週確認する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
| ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている
ID: PCI DSS v4.0 5.2.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
| リスク評価を実施し、その結果を文書化する | CMA_C1542 - リスク評価を実施し、その結果を文書化する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている
ID: PCI DSS v4.0 5.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
| ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている
ID: PCI DSS v4.0 5.3.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
| 脅威に対する保護の状態を毎週確認する | CMA_0479 - 脅威に対する保護の状態を毎週確認する | Manual、Disabled | 1.1.0 |
| ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている
ID: PCI DSS v4.0 5.3.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定義されている保持期間に従う | CMA_0004 - 定義されている保持期間に従う | Manual、Disabled | 1.1.0 |
| 監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
| セキュリティ ポリシーと手順を保持する | CMA_0454 - セキュリティ ポリシーと手順を保持する | Manual、Disabled | 1.1.0 |
| 終了させられたユーザーのデータを保持する | CMA_0455 - 終了させられたユーザーのデータを保持する | Manual、Disabled | 1.1.0 |
マルウェア対策のメカニズムとプロセスがアクティブであり、維持され、監視されている
ID: PCI DSS v4.0 5.3.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
フィッシング詐欺対策メカニズムでは、フィッシング攻撃からユーザーを保護する
ID: PCI DSS v4.0 5.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
| ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
| 脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
| 脅威に対する保護の状態を毎週確認する | CMA_0479 - 脅威に対する保護の状態を毎週確認する | Manual、Disabled | 1.1.0 |
| ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する
セキュリティで保護されたシステムとソフトウェアを開発および維持するためのプロセスとメカニズムが定義され、理解されている
ID: PCI DSS v4.0 6.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 構成管理ポリシーと手順を確認および更新する | CMA_C1175 - 構成管理ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| システムおよびサービスの取得ポリシーと手順を確認および更新する | CMA_C1560 - システムおよびサービスの取得ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
パッケージおよびカスタム ソフトウェアが安全に開発されている
ID: PCI DSS v4.0 6.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
パッケージおよびカスタム ソフトウェアが安全に開発されている
ID: PCI DSS v4.0 6.2.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 個人の職務を分離する | CMA_0492 - 個人の職務を分離する | Manual、Disabled | 1.1.0 |
パッケージおよびカスタム ソフトウェアが安全に開発されている
ID: PCI DSS v4.0 6.2.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 4.0.0 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| 関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | Audit, Disabled, Deny | 5.0.0 |
| Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある | Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある | Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 |
| Transparent Data Encryption を SQL データベース上で有効にする必要がある | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れているデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化を使用している場合。または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 Azure Disk Storage のサーバー側暗号化の詳細は、https://aka.ms/disksse、さまざまなディスク暗号化オファリングhttps://aka.ms/diskencryptioncomparisonを参照してください。 | AuditIfNotExists、Disabled | 2.0.3 |
セキュリティの脆弱性が特定され、対応が行われる
ID: PCI DSS v4.0 6.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ アラートを担当者に送信する | CMA_C1705 - セキュリティ アラートを担当者に送信する | Manual、Disabled | 1.1.0 |
| 脅威インテリジェンス プログラムを確立する | CMA_0260 - 脅威インテリジェンス プログラムを確立する | Manual、Disabled | 1.1.0 |
| セキュリティ ディレクティブの実装 | CMA_C1706 - セキュリティ ディレクティブの実装 | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
セキュリティの脆弱性が特定され、対応が行われる
ID: PCI DSS v4.0 6.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 管理者向けドキュメントを取得する | CMA_C1580 - 管理者向けドキュメントを取得する | Manual、Disabled | 1.1.0 |
セキュリティの脆弱性が特定され、対応が行われる
ID: PCI DSS v4.0 6.3.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
一般向けの Web アプリケーションが攻撃から保護されている
ID: PCI DSS v4.0 6.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Endpoint Protection の不足を Azure Security Center で監視する | Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
| 情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
| 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
一般向けの Web アプリケーションが攻撃から保護されている
ID: PCI DSS v4.0 6.4.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
| システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
すべてのシステム コンポーネントに対する変更が安全に管理されている
ID: PCI DSS v4.0 6.5.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
| リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
すべてのシステム コンポーネントに対する変更が安全に管理されている
ID: PCI DSS v4.0 6.5.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
すべてのシステム コンポーネントに対する変更が安全に管理されている
ID: PCI DSS v4.0 6.5.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
すべてのシステム コンポーネントに対する変更が安全に管理されている
ID: PCI DSS v4.0 6.5.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| 運用環境で変更を加える特権を制限する | CMA_C1206 - 運用環境で変更を加える特権を制限する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
すべてのシステム コンポーネントに対する変更が安全に管理されている
ID: PCI DSS v4.0 6.5.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| リサーチ処理にセキュリティとデータ プライバシー プラクティスを組み込む | CMA_0331 - リサーチ処理にセキュリティとデータ プライバシー プラクティスを組み込む | Manual、Disabled | 1.1.0 |
すべてのシステム コンポーネントに対する変更が安全に管理されている
ID: PCI DSS v4.0 6.5.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
| 変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
| 開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
| プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
| 構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する
業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限するためのプロセスとメカニズムが定義され、理解されている
ID: PCI DSS v4.0 7.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
| アクセス制御のポリシーと手順を確認する | CMA_0457 - アクセス制御のポリシーと手順を確認する | Manual、Disabled | 1.1.0 |
業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限するためのプロセスとメカニズムが定義され、理解されている
ID: PCI DSS v4.0 7.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセス制御に関するポリシーと手順を作成する | CMA_0144 - アクセス制御に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| ポリシーと手順の管理 | CMA_0292 - ポリシーと手順の管理 | Manual、Disabled | 1.1.0 |
システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている
ID: PCI DSS v4.0 7.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている
ID: PCI DSS v4.0 7.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている
ID: PCI DSS v4.0 7.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている
ID: PCI DSS v4.0 7.2.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
| アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
| ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
| ユーザー特権を確認する | CMA_C1039 - ユーザー特権を確認する | Manual、Disabled | 1.1.0 |
システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている
ID: PCI DSS v4.0 7.2.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている
ID: PCI DSS v4.0 7.2.5.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
システム コンポーネントとデータへのアクセスが適切に定義され、割り当てられている
ID: PCI DSS v4.0 7.2.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
| 最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている
ID: PCI DSS v4.0 7.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている
ID: PCI DSS v4.0 7.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
| 組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
| アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている
ID: PCI DSS v4.0 7.3.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
| アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
| 論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
| 必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
| 機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する
ユーザーを識別し、システム コンポーネントへのアクセスを認証するためのプロセスとメカニズムが定義され、理解されている
ID: PCI DSS v4.0 8.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID と認証に関するポリシーと手順をレビューし更新する | CMA_C1299 - ID と認証に関するポリシーと手順をレビューし更新する | Manual、Disabled | 1.1.0 |
ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている
ID: PCI DSS v4.0 8.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| システム識別子を割り当てる | CMA_0018 - システム識別子の割り当て | Manual、Disabled | 1.1.0 |
| ユーザーの一意性を徹底する | CMA_0250 - ユーザーの一意性を徹底する | Manual、Disabled | 1.1.0 |
| 法的機関によって発行された個人確認の資格情報をサポートする | CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする | Manual、Disabled | 1.1.0 |
ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている
ID: PCI DSS v4.0 8.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 共有アカウントとグループ アカウントの条件を定義して適用する | CMA_0117 - 共有アカウントとグループ アカウントの条件を定義して適用する | Manual、Disabled | 1.1.0 |
| 変更されたグループとアカウントの認証子を再発行する | CMA_0426 - 変更されたグループとアカウントの認証子を再発行する | Manual、Disabled | 1.1.0 |
| 個々の認証子の使用を要求する | CMA_C1305 - 個々の認証子の使用を要求する | Manual、Disabled | 1.1.0 |
| カスタマー コントロールのアカウント資格情報を終了する | CMA_C1022 - カスタマー コントロールのアカウント資格情報を終了する | Manual、Disabled | 1.1.0 |
ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている
ID: PCI DSS v4.0 8.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| トークンの品質要件を満たす | CMA_0487 - トークンの品質要件を満たす | Manual、Disabled | 1.1.0 |
ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている
ID: PCI DSS v4.0 8.2.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| システム識別子を割り当てる | CMA_0018 - システム識別子の割り当て | Manual、Disabled | 1.1.0 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている
ID: PCI DSS v4.0 8.2.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている
ID: PCI DSS v4.0 8.2.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
| 必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている
ID: PCI DSS v4.0 8.2.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 組織外のユーザーを識別して認証する | CMA_C1346 - 組織外のユーザーを識別して認証する | Manual、Disabled | 1.1.0 |
ユーザーと管理者のユーザー ID と関連アカウントが、アカウントのライフサイクル全体を通じて厳密に管理されている
ID: PCI DSS v4.0 8.2.8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アイドル時間ログ ポリシーを定義して適用する | CMA_C1017 - アイドル時間ログ ポリシーを定義して適用する | Manual、Disabled | 1.1.0 |
| ユーザー セッションを自動的に終了する | CMA_C1054 - ユーザー セッションを自動的に終了する | Manual、Disabled | 1.1.0 |
ユーザーと管理者の強力な認証が確立され、管理されている
ID: PCI DSS v4.0 8.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| トークンの品質要件を満たす | CMA_0487 - トークンの品質要件を満たす | Manual、Disabled | 1.1.0 |
ユーザーと管理者の強力な認証が確立され、管理されている
ID: PCI DSS v4.0 8.3.10 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
ユーザーと管理者の強力な認証が確立され、管理されている
ID: PCI DSS v4.0 8.3.10.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
ユーザーと管理者の強力な認証が確立され、管理されている
ID: PCI DSS v4.0 8.3.11 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| 認証子の配布 | CMA_0184 - 認証子を配布する | Manual、Disabled | 1.1.0 |
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| トークンの品質要件を満たす | CMA_0487 - トークンの品質要件を満たす | Manual、Disabled | 1.1.0 |
| 認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
ユーザーと管理者の強力な認証が確立され、管理されている
ID: PCI DSS v4.0 8.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 承認されたユーザーが指定された認証子を保護するようにする | CMA_C1339 - 承認されたユーザーが指定された認証子を保護するようにする | Manual、Disabled | 1.1.0 |
| 暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
ユーザーと管理者の強力な認証が確立され、管理されている
ID: PCI DSS v4.0 8.3.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ログイン試行の連続失敗回数の制限を強制する | CMA_C1044 - ログイン試行の連続失敗回数の制限を強制する | Manual、Disabled | 1.1.0 |
ユーザーと管理者の強力な認証が確立され、管理されている
ID: PCI DSS v4.0 8.3.5 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
ユーザーと管理者の強力な認証が確立され、管理されている
ID: PCI DSS v4.0 8.3.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
| 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最大有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 2.1.0 |
| パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
| Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
ユーザーと管理者の強力な認証が確立され、管理されている
ID: PCI DSS v4.0 8.3.8 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
ユーザーと管理者の強力な認証が確立され、管理されている
ID: PCI DSS v4.0 8.3.9 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている
ID: PCI DSS v4.0 8.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある | Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | AuditIfNotExists、Disabled | 1.0.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | Audit、Disabled | 1.0.1 |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている
ID: PCI DSS v4.0 8.4.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| トークンの品質要件を満たす | CMA_0487 - トークンの品質要件を満たす | Manual、Disabled | 1.1.0 |
CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている
ID: PCI DSS v4.0 8.4.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| トークンの品質要件を満たす | CMA_0487 - トークンの品質要件を満たす | Manual、Disabled | 1.1.0 |
多要素認証 (MFA) システムが誤用を防止するように構成されている
ID: PCI DSS v4.0 8.5.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
| リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
| モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
| リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
| ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
| 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
| トークンの品質要件を満たす | CMA_0487 - トークンの品質要件を満たす | Manual、Disabled | 1.1.0 |
アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている
ID: PCI DSS v4.0 8.6.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
| アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている
ID: PCI DSS v4.0 8.6.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
アプリケーション アカウントとシステム アカウント、および関連する認証要素の使用が厳密に管理されている
ID: PCI DSS v4.0 8.6.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
| パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
| 記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
| 認証子を保護するためのトレーニングを実装する | CMA_0329 - 認証子を保護するためのトレーニングを実装する | Manual、Disabled | 1.1.0 |
| 認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
| 認証子を最新の情報に更新 | CMA_0425 - 認証子を最新の情報に更新 | Manual、Disabled | 1.1.0 |
要件 09: カード所有者データへの物理的なアクセスを制限する
カード所有者データへの物理的なアクセスを制限するためのプロセスとメカニズムが定義され、理解されている
ID: PCI DSS v4.0 9.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メディア保護ポリシーと手順を確認および更新する | CMA_C1427 - メディア保護ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
| 物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
物理的なアクセス制御が、カード所有者データを含む施設とシステムへのエントリを管理する
ID: PCI DSS v4.0 9.2.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
物理的なアクセス制御が、カード所有者データを含む施設とシステムへのエントリを管理する
ID: PCI DSS v4.0 9.2.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
物理的なアクセス制御が、カード所有者データを含む施設とシステムへのエントリを管理する
ID: PCI DSS v4.0 9.2.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
職員と訪問者の物理的なアクセスが承認および管理されている
ID: PCI DSS v4.0 9.3.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
職員と訪問者の物理的なアクセスが承認および管理されている
ID: PCI DSS v4.0 9.3.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
職員と訪問者の物理的なアクセスが承認および管理されている
ID: PCI DSS v4.0 9.3.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
職員と訪問者の物理的なアクセスが承認および管理されている
ID: PCI DSS v4.0 9.3.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
職員と訪問者の物理的なアクセスが承認および管理されている
ID: PCI DSS v4.0 9.3.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている
ID: PCI DSS v4.0 9.4.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている
ID: PCI DSS v4.0 9.4.1.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている
ID: PCI DSS v4.0 9.4.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている
ID: PCI DSS v4.0 9.4.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている
ID: PCI DSS v4.0 9.4.4 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている
ID: PCI DSS v4.0 9.4.5.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| データ インベントリを作成する | CMA_0096 - データ インベントリを作成する | Manual、Disabled | 1.1.0 |
| 個人データの処理に関する記録を保持する | CMA_0353 - 個人データの処理に関する記録を保持する | Manual、Disabled | 1.1.0 |
カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている
ID: PCI DSS v4.0 9.4.6 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
カード所有者データを含むメディアが安全に保存、アクセス、配布、破棄されている
ID: PCI DSS v4.0 9.4.7 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| メディアのサニタイズ メカニズムを使用する | CMA_0208 - メディアのサニタイズ メカニズムを使用する | Manual、Disabled | 1.1.0 |
| すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
| 処理確認を実行する | CMA_0391 - 処理確認を実行する | Manual、Disabled | 1.1.0 |
| 処理の終わりに個人データが削除されたことを確認する | CMA_0540 - 処理の終わりに個人データが削除されたことを確認する | Manual、Disabled | 1.1.0 |
Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている
ID: PCI DSS v4.0 9.5.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている
ID: PCI DSS v4.0 9.5.1.2 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている
ID: PCI DSS v4.0 9.5.1.2.1 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
| オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
| データの入力、出力、処理、ストレージを管理する | CMA_0369 - データの入力、出力、処理、ストレージを管理する | Manual、Disabled | 1.1.0 |
Point of Interaction (POI) デバイスが改ざんおよび未承認の置換から保護されている
ID: PCI DSS v4.0 9.5.1.3 所有権: 共有
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。