Azure Database for MySQL 用の Azure セキュリティ ベースラインAzure security baseline for Azure Database for MySQL

Azure Database for MySQL 用の Azure セキュリティ ベースラインには、デプロイのセキュリティ体制を改善するために役立つ推奨事項が含まれています。The Azure Security Baseline for Azure Database for MySQL contains recommendations that will help you improve the security posture of your deployment.

このサービス用のベースラインは、ベスト プラクティス ガイダンスを使用して Azure 上のクラウド ソリューションをセキュリティで保護する方法について推奨事項を提供する Azure セキュリティ ベンチマーク バージョン 1.0 に基づいて作成されています。The baseline for this service is drawn from the Azure Security Benchmark version 1.0, which provides recommendations on how you can secure your cloud solutions on Azure with our best practices guidance.

詳細については、Azure セキュリティ ベースラインの概要に関するページを参照してください。For more information, see Azure Security Baselines overview.

ネットワークのセキュリティNetwork security

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。For more information, see the Azure Security Benchmark: Network security.

1.1:仮想ネットワーク内の Azure リソースを保護する1.1: Protect Azure resources within virtual networks

ガイダンス: プライベート エンドポイントを使用して、Azure Database for MySQL 用に Private Link を構成します。Guidance: Configure Private Link for Azure Database for MySQL with Private Endpoints. Private Link を使用すると、プライベート エンドポイントを経由して Azure 内のさまざまな PaaS サービスに接続できます。Private Link allows you to connect to various PaaS services in Azure via a private endpoint. Azure Private Link は基本的に、プライベート仮想ネットワーク (VNet) 内に Azure サービスを提供します。Azure Private Link essentially brings Azure services inside your private Virtual Network (VNet). 仮想ネットワークと MySQL インスタンスの間のトラフィックは、Microsoft のバックボーンネットワークを経由します。Traffic between your virtual network and MySQL instance travels the Microsoft backbone network.

また、仮想ネットワーク サービス エンドポイントを使用して、Azure Database for MySQL の実装へのネットワーク アクセスを保護および制限することもできます。Alternatively, you may use Virtual Network Service Endpoints to protect and limit network access to your Azure Database for MySQL implementations. 仮想ネットワーク規則は、Azure Database for MySQL サーバーが仮想ネットワーク内の特定のサブネットから送信される通信を許可するかどうかを制御する 1 つのファイアウォール セキュリティ機能です。Virtual network rules are one firewall security feature that controls whether your Azure Database for MySQL server accepts communications that are sent from particular subnets in virtual networks.

ファイアウォール規則を使用して、Azure Database for MySQL サーバーをセキュリティで保護することもできます。You may also secure your Azure Database for MySQL server with firewall rules. サーバー ファイアウォールでは、どのコンピューターに権限を持たせるかを指定するまで、データベース サーバーへのすべてのアクセスを防ぎます。The server firewall prevents all access to your database server until you specify which computers have permission. ファイアウォールを構成するには、受け入れ可能な IP アドレスの範囲を指定するファイアウォール規則を作成します。To configure your firewall, you create firewall rules that specify ranges of acceptable IP addresses. ファイアウォール規則はサーバー レベルで作成できます。You can create firewall rules at the server level.

Azure Security Center の監視: 使用不可Azure Security Center monitoring: Not available

責任: CustomerResponsibility: Customer

1.2:仮想ネットワーク、サブネット、ネットワーク インターフェイスの構成とトラフィックを監視してログに記録する1.2: Monitor and log the configuration and traffic of virtual networks, subnets, and network interfaces

ガイダンス: Azure Database for MySQL インスタンスがプライベート エンドポイントに対してセキュリティで保護されている場合は、同じ仮想ネットワークに仮想マシンをデプロイできます。Guidance: When your Azure Database for MySQL instance is secured to a private endpoint, you can deploy virtual machines in the same virtual network. ネットワーク セキュリティ グループ (NSG) を使用して、データ流出のリスクを軽減することができます。You can use a network security group (NSG) to reduce the risk of data exfiltration. NSG フロー ログを有効にし、トラフィック監査のためにログをストレージ アカウントに送信します。Enable NSG flow logs and send logs into a Storage Account for traffic audit. また、NSG フロー ログを Log Analytics ワークスペースに送信し、Traffic Analytics を使用して Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。You may also send NSG flow logs to a Log Analytics workspace and use Traffic Analytics to provide insights into traffic flow in your Azure cloud. Traffic Analytics のいくつかの利点として、ネットワーク アクティビティを視覚化してホット スポットを特定したり、セキュリティの脅威を識別したり、トラフィック フロー パターンを把握したり、ネットワークの誤った構成の正確な場所を特定したりする機能が挙げられます。Some advantages of Traffic Analytics are the ability to visualize network activity and identify hot spots, identify security threats, understand traffic flow patterns, and pinpoint network misconfigurations.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.3:重要な Web アプリケーションを保護する1.3: Protect critical web applications

ガイダンス: 適用できません。この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。Guidance: Not applicable; this recommendation is intended for web applications running on Azure App Service or compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

1.4:既知の悪意のある IP アドレスとの通信を拒否する1.4: Deny communications with known-malicious IP addresses

ガイダンス:Azure Database for MySQL の Advanced Threat Protection を使用します。Guidance: Use Advanced Threat Protection for Azure Database for MySQL. Advanced Threat Protection では、データベースにアクセスしたり、データベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。Advanced Threat Protection detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Azure Database for MySQL インスタンスに関連付けられている仮想ネットワークで DDoS Protection Standard を有効にして、DDoS 攻撃から保護します。Enable DDoS Protection Standard on the Virtual Networks associated with your Azure Database for MySQL instances to guard against DDoS attacks. Azure Security Center の統合された脅威インテリジェンスを使用して、既知の悪意のある、または未使用のインターネット IP アドレスとの通信を拒否します。Use Azure Security Center Integrated Threat Intelligence to deny communications with known malicious or unused Internet IP addresses.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.5:ネットワーク パケットを記録する1.5: Record network packets

ガイダンス: Azure Database for MySQL インスタンスがプライベート エンドポイントに対してセキュリティで保護されている場合は、同じ仮想ネットワークに仮想マシンをデプロイできます。Guidance: When your Azure Database for MySQL instance is secured to a private endpoint, you can deploy virtual machines in the same virtual network. その後、データ流出のリスクを軽減するために、ネットワーク セキュリティ グループ (NSG) を構成することができます。You can then configure a network security group (NSG) to reduce the risk of data exfiltration. NSG フロー ログを有効にし、トラフィック監査のためにログをストレージ アカウントに送信します。Enable NSG flow logs and send logs into a Storage Account for traffic audit. また、NSG フロー ログを Log Analytics ワークスペースに送信し、Traffic Analytics を使用して Azure クラウド内のトラフィック フローに関する分析情報を提供することもできます。You may also send NSG flow logs to a Log Analytics workspace and use Traffic Analytics to provide insights into traffic flow in your Azure cloud. Traffic Analytics のいくつかの利点として、ネットワーク アクティビティを視覚化してホット スポットを特定したり、セキュリティの脅威を識別したり、トラフィック フロー パターンを把握したり、ネットワークの誤った構成の正確な場所を特定したりする機能が挙げられます。Some advantages of Traffic Analytics are the ability to visualize network activity and identify hot spots, identify security threats, understand traffic flow patterns, and pinpoint network misconfigurations.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.6:ネットワーク ベースの侵入検出または侵入防止システム (IDS または IPS) をデプロイする1.6: Deploy network-based intrusion detection/intrusion prevention systems (IDS/IPS)

ガイダンス:Azure Database for MySQL の Advanced Threat Protection を使用します。Guidance: Use Advanced Threat Protection for Azure Database for MySQL. Advanced Threat Protection では、データベースにアクセスしたり、データベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。Advanced Threat Protection detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.7:Web アプリケーションへのトラフィックを管理する1.7: Manage traffic to web applications

ガイダンス: 適用できません。この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。Guidance: Not applicable; this recommendation is intended for web applications running on Azure App Service or compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

1.8:ネットワーク セキュリティ規則の複雑さと管理オーバーヘッドを最小限に抑える1.8: Minimize complexity and administrative overhead of network security rules

ガイダンス:Azure Database for MySQL インスタンスへのアクセスが必要なリソースについては、仮想ネットワーク サービス タグを使用して、ネットワーク セキュリティ グループまたは Azure Firewall に対するネットワーク アクセス制御を定義します。Guidance: For resources that need access to your Azure Database for MySQL instances, use Virtual Network Service Tags to define network access controls on Network Security Groups or Azure Firewall. セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。You can use service tags in place of specific IP addresses when creating security rules. 規則の適切なソースまたはターゲット フィールドにサービス タグ名 (SQL.WestUs など) を指定することにより、対応するサービスのトラフィックを許可または拒否できます。By specifying the service tag name (e.g., SQL.WestUs) in the appropriate source or destination field of a rule, you can allow or deny the traffic for the corresponding service. サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change.

注:Azure Database for MySQL では、"Microsoft.Sql" サービス タグが使用されます。Note: Azure Database for MySQL uses the "Microsoft.Sql" Service Tags.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

1.9:ネットワーク デバイスの標準的なセキュリティ構成を維持する1.9: Maintain standard security configurations for network devices

ガイダンス: Azure Policy を使用して、Azure Database for MySQL インスタンスに関連付けられているネットワーク設定とネットワーク リソースの標準的なセキュリティ構成を定義して実装します。Guidance: Define and implement standard security configurations for network settings and network resources associated with your Azure Database for MySQL instances with Azure Policy. Azure Database for MySQL インスタンスのネットワーク構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft. DBforMySQL" および "Microsoft. Network" 名前空間で Azure Policy エイリアスを使用します。Use Azure Policy aliases in the "Microsoft.DBforMySQL" and "Microsoft.Network" namespaces to create custom policies to audit or enforce the network configuration of your Azure Database for MySQL instances. 次のように、ネットワークまたは Azure Database for MySQL インスタンスに関連する組み込みのポリシー定義を使用することもできます。You may also make use of built-in policy definitions related to networking or your Azure Database for MySQL instances, such as:

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

1.10:トラフィック構成規則を文書化する1.10: Document traffic configuration rules

ガイダンス: Azure Database for MySQL インスタンスのネットワーク セキュリティとトラフィック フローに関連するリソースにタグを使用すると、メタデータで論理的にリソースを整理することができます。Guidance: Use tags for resources related to network security and traffic flow for your Azure Database for MySQL instances to provide metadata and logical organization.

すべてのリソースが確実にタグ付きで作成され、既存のタグ付けされていないリソースがユーザーに通知されるようにするには、タグ付けに関連したいずれかの組み込みの Azure Policy 定義 (タグとその値が必要 など) を使用します。Use any of the built-in Azure Policy definitions related to tagging, such as Require tag and its value to ensure that all resources are created with tags and to notify you of existing untagged resources.

リソースに対するアクションをそのタグに基づいて検索または実行するには、Azure PowerShell または Azure CLI を使用できます。You may use Azure PowerShell or Azure CLI to look-up or perform actions on resources based on their tags.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

1.11:自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する1.11: Use automated tools to monitor network resource configurations and detect changes

ガイダンス: ネットワーク リソース構成を監視し、Azure Database for MySQL インスタンスに関連したネットワーク リソースの変更を検出するには、Azure アクティビティ ログを使用します。Guidance: Use Azure Activity Log to monitor network resource configurations and detect changes for network resources related to your Azure Database for MySQL instances. 重要なネットワーク リソースへの変更が発生するとトリガーされる Azure Monitor 内のアラートを作成します。Create alerts within Azure Monitor that will trigger when changes to critical network resources take place.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

ログ記録と監視Logging and monitoring

詳しくは、「Azure Security ベンチマーク:ログ記録と監視」を参照してください。For more information, see the Azure Security Benchmark: Logging and monitoring.

2.1:承認された時刻同期ソースを使用する2.1: Use approved time synchronization sources

ガイダンス: Microsoft では、Azure Database for MySQL などの Azure リソースに使用するタイム ソースを、ログ内にタイムスタンプとして保持します。Guidance: Microsoft maintains the time source used for Azure resources, such as Azure Database for MySQL for timestamps in the logs.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

2.2:セキュリティ ログの一元管理を構成する2.2: Configure central security log management

ガイダンス: 診断設定とサーバー ログを有効にし、ログを取り込み、Azure Database for MySQL インスタンスによって生成されるセキュリティ データを集約します。Guidance: Enable Diagnostic Settings and Server Logs and ingest logs to aggregate security data generated by your Azure Database for MySQL instances. Azure Monitor 内で Log Analytics ワークスペースを使用してクエリを発行し、分析を実行して、長期/アーカイブ ストレージには Azure Storage アカウントを使用します。Within Azure Monitor, use Log Analytics Workspace(s) to query and perform analytics, and use Azure Storage Accounts for long-term/archival storage. または、Azure Sentinel またはサードパーティの SIEM に対してデータを有効にしてオンボードすることもできます。Alternatively, you may enable and on-board data to Azure Sentinel or a third-party SIEM.

Azure Security Center の監視: 使用不可Azure Security Center monitoring: Not available

責任: CustomerResponsibility: Customer

2.3:Azure リソースの監査ログ記録を有効にする2.3: Enable audit logging for Azure resources

ガイダンス: 監査、低速クエリ、MySQL メトリクス ログにアクセスするために、Azure Database for MySQL インスタンスに関する診断設定を有効にします。Guidance: Enable Diagnostic Settings on your Azure Database for MySQL instances for access to audit, slow query, and MySQL metrics logs. MySQL 監査ログを必ず明示的に有効にします。Ensure that you specifically enable the MySQL Audit log. 自動的に使用できるアクティビティ ログには、イベント ソース、日付、ユーザー、タイムスタンプ、送信元アドレス、送信先アドレス、その他の役立つ要素が含まれています。Activity logs, which are automatically available, include event source, date, user, timestamp, source addresses, destination addresses, and other useful elements. また、Azure アクティビティ ログの診断設定を有効にし、同じ Log Analytics ワークスペースまたはストレージ アカウントにログを送信することもできます。You may also enable Azure Activity Log Diagnostic Settings and send the logs to the same Log Analytics workspace or Storage Account.

Azure Security Center の監視: 使用不可Azure Security Center monitoring: Not available

責任: CustomerResponsibility: Customer

2.4:オペレーティング システムからセキュリティ ログを収集する2.4: Collect security logs from operating systems

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

2.5:セキュリティ ログのストレージ保持を構成する2.5: Configure security log storage retention

ガイダンス:Azure Monitor 内で、Azure Database for MySQL ログを保持するために使用される Log Analytics ワークスペースについて、組織のコンプライアンス規則に従って保有期間を設定します。Guidance: Within Azure Monitor, for the Log Analytics workspace being used to hold your Azure Database for MySQL logs, set the retention period according to your organization's compliance regulations. 長期/アーカイブ ストレージには Azure Storage アカウントを使用します。Use Azure Storage Accounts for long-term/archival storage.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

2.6:ログを監視して確認する2.6: Monitor and review logs

ガイダンス: Azure Database for MySQL インスタンスからのログを分析および監視して、異常な動作がないか確認します。Guidance: Analyze and monitor logs from your Azure Database for MySQL instances for anomalous behavior. ログを確認し、ログ データに対してクエリを実行するには、Azure Monitor の Log Analytics を使用します。Use Azure Monitor's Log Analytics to review logs and perform queries on log data. または、Azure Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードすることもできます。Alternatively, you may enable and on-board data to Azure Sentinel or a third party SIEM.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

2.7:異常なアクティビティについてのアラートを有効にする2.7: Enable alerts for anomalous activities

ガイダンス: Azure Database for MySQL の Advanced Threat Protection を有効にします。Guidance: Enable Advanced Threat Protection for Azure Database for MySQL. Advanced Threat Protection では、データベースにアクセスしたり、データベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。Advanced Threat Protection detects anomalous activities indicating unusual and potentially harmful attempts to access or exploit databases.

さらに、MySQL のサーバー ログと診断設定を有効にし、Log Analytics ワークスペースにログを送信することもできます。In addition, you may enable Server Logs and Diagnostic Settings for MySQL and send logs to a Log Analytics workspace. Log Analytics ワークスペースを Azure Sentinel にオンボードします。セキュリティ オーケストレーション自動応答 (SOAR) ソリューションが提供されます。Onboard your Log Analytics workspace to Azure Sentinel as it provides a security orchestration automated response (SOAR) solution. これにより、プレイブック (自動化されたソリューション) を作成して、セキュリティの問題を修復するために使用できます。This allows for playbooks (automated solutions) to be created and used to remediate security issues.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

2.8:マルウェア対策のログ記録を一元管理する2.8: Centralize anti-malware logging

ガイダンス:適用なし。Azure Database for MySQL では、マルウェア対策関連のログの処理や生成は行われません。Guidance: Not applicable; Azure Database for MySQL does not process or produce anti-malware related logs.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

2.9:DNS クエリのログ記録を有効にする2.9: Enable DNS query logging

ガイダンス: 適用なし。Azure Database for MySQL では、DNS 関連のログの処理や生成は行われません。Guidance: Not of applicable; Azure Database for MySQL does not process or produce DNS related logs.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

2.10:コマンドライン監査ログ記録を有効にする2.10: Enable command-line audit logging

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

ID とアクセスの制御Identity and access control

詳細については、Azure セキュリティ ベンチマークの「ID およびアクセス制御」を参照してください。For more information, see the Azure Security Benchmark: Identity and access control.

3.1: 管理アカウントのインベントリを維持する3.1: Maintain an inventory of administrative accounts

ガイダンス: Azure Database for MySQL インスタンスの管理プレーン (Azure portal など) への管理アクセス権を持つユーザー アカウントのインベントリを保持します。Guidance: Maintain an inventory of the user accounts that have administrative access to the management plane (e.g. Azure portal) of your Azure Database for MySQLinstances. さらに、Azure Database for MySQL インスタンスの (データベース自体内の) データ プレーンへのアクセス権を持つ管理アカウントのインベントリを保持します。In addition, maintain an inventory of the administrative accounts that have access to the data plane (within the database itself) of your Azure Database for MySQL instances. (MySQL サーバーを作成する場合は、管理者ユーザーの資格情報を指定します。(When creating the MySQL server, you provide credentials for an administrator user. この管理者は、追加の MySQL ユーザーを作成するために使用できます)This administrator can be used to create additional MySQL users.)

Azure Database for MySQL では、組み込みのロールベースのアクセス制御はサポートされませんが、特定のリソース プロバイダー オプションに基づいてカスタム ロールを作成することはできます。Azure Database for MySQL does not support built-in role-based access control, but you can create custom roles based on specific resource provider options.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.2: 既定のパスワードを変更する (該当する場合)3.2: Change default passwords where applicable

ガイダンス: Azure AD には既定のパスワードという概念がありません。Guidance: Azure AD does not have the concept of default passwords.

Azure Database for MySQL リソース自体の作成時に、Azure では強力なパスワードを使用する管理ユーザーの作成が強制されます。Upon creation of the Azure Database for MySQL resource itself, Azure forces the creation of an administrative user with a strong password. しかしながら、MySQL インスタンスが作成されたら、作成した最初のサーバー管理者アカウントを使用し、追加のユーザーを作成し、それらに管理アクセス権を付与できます。However, once the MySQL instance has been created, you may use the first server admin account you created to create additional users and grant administrative access to them. これらのアカウントを作成するときは、確実に、アカウントごとに異なる強力なパスワードを構成してください。When creating these accounts, ensure you configure a different, strong password for each account.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.3: 専用管理者アカウントを使用する3.3: Use dedicated administrative accounts

ガイダンス: Azure Database for MySQL インスタンスにアクセスできる専用管理者アカウントの使用に関する標準的な操作手順を作成します。Guidance: Create standard operating procedures around the use of dedicated administrative accounts that have access to your Azure Database for MySQL instances. Azure Security Center ID とアクセス管理を使用して、管理者アカウントの数を監視します。Use Azure Security Center Identity and access management to monitor the number of administrative accounts.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.4: Azure Active Directory シングル サインオン (SSO) を使用する3.4: Use Azure Active Directory single sign-on (SSO)

ガイダンス: Azure Database for MySQL へのサインインでは、データベースで直接構成されたユーザー名とパスワードの両方の使用がサポートされます。また、Azure Active Directory (AD) ID を使用することも、Azure AD トークンを利用して接続することもできます。Guidance: Signing into Azure Database for MySQL is supported both using username/password configured directly in the database, as well as using an Azure Active Directory (AD) identity and utilizing an Azure AD token to connect. Azure AD トークンを使用する場合、Azure AD ユーザー、Azure AD グループ、データベースに接続している Azure AD アプリケーションなど、さまざまな方法がサポートされます。When using an Azure AD token, different methods are supported, such as an Azure AD user, an Azure AD group, or an Azure AD application connecting to the database.

これとは別に、MySQL のコントロール プレーン アクセスは、REST API 経由で利用でき、SSO がサポートされます。Separately, control plane access for MySQL is available via REST API and supports SSO. 認証を行うには、Azure Active Directory から取得した要求の Authorization ヘッダーを JSON Web トークンに設定します。To authenticate, set the Authorization header for your requests to a JSON Web Token that you obtain from Azure Active Directory.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する3.5: Use multi-factor authentication for all Azure Active Directory-based access

ガイダンス:Azure Active Directory の Multi-Factor Authentication (MFA) を有効にし、Azure Security Center ID とアクセス管理の推奨事項に従います。Guidance: Enable Azure Active Directory Multi-Factor Authentication (MFA) and follow Azure Security Center Identity and Access Management recommendations. Azure AD トークンを利用してデータベースにサインインする場合、データベースのサインインに対して多要素認証を要求することができます。When utilizing Azure AD tokens for signing into your database, this allows you to require multi-factor authentication for database sign-ins.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.6: セキュリティで保護された Azure マネージド ワークステーションを管理タスクに使用する3.6: Use secure, Azure-managed workstations for administrative tasks

ガイダンス: Multi-Factor Authentication (MFA) が構成された特権アクセス ワークステーション (PAW) を使用してログインし、Azure リソースを構成します。Guidance: Use privileged access workstations (PAWs) with Multi-Factor Authentication (MFA) configured to log into and configure Azure resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.7: 管理者アカウントからの疑わしいアクティビティに関するログとアラート3.7: Log and alert on suspicious activities from administrative accounts

ガイダンス:Azure Database for MySQL 用の Advanced Threat Protection を有効にして、疑わしいアクティビティに関するアラートを生成します。Guidance: Enable Advanced Threat Protection for Azure Database for MySQL to generate alerts for suspicious activity.

さらに、Azure AD Privileged Identity Management (PIM) を使用して、環境内で疑わしいまたは安全でないアクティビティが発生したときにログとアラートを生成できます。In addition, you may use Azure AD Privileged Identity Management (PIM) for generation of logs and alerts when suspicious or unsafe activity occurs in the environment.

Azure AD のリスク検出を使用して、危険なユーザーの行動に関するアラートとレポートを表示します。Use Azure AD Risk Detections to view alerts and reports on risky user behavior.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.8:承認された場所からのみ Azure リソースを管理する3.8: Manage Azure resources from only approved locations

ガイダンス: ポータルや Azure Resource Manager での IP アドレス範囲または国と地域の特定の論理グループからのアクセスのみを許可するには、条件付きアクセスのネームド ロケーションを使用します。Guidance: Use Conditional Access Named Locations to allow portal and Azure Resource Manager access from only specific logical groupings of IP address ranges or countries/regions.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.9: Azure Active Directory を使用する3.9: Use Azure Active Directory

ガイダンス: Azure Active Directory (AD) を中央認証および承認システムとして使用します。Guidance: Use Azure Active Directory (AD) as the central authentication and authorization system. Azure AD でデータを保護するには、保存データと転送中のデータに強力な暗号化を使用します。Azure AD protects data by using strong encryption for data at rest and in transit. また、Azure AD では、ユーザーの資格情報がソルト化およびハッシュされ、安全に格納されます。Azure AD also salts, hashes, and securely stores user credentials.

Azure Database for MySQL にサインインする場合は、Azure AD を使用することと、Azure AD トークンを活用して接続することをお勧めします。For signing into Azure Database for MySQL it is recommended to use Azure AD and utilize an Azure AD token to connect. Azure AD トークンを使用する場合、Azure AD ユーザー、Azure AD グループ、データベースに接続している Azure AD アプリケーションなど、さまざまな方法がサポートされます。When using an Azure AD token, different methods are supported, such as an Azure AD user, an Azure AD group, or an Azure AD application connecting to the database.

Azure AD 資格情報は、MySQL 管理者アカウントを制御するための管理プレーン レベル (Azure portal など) での管理にも使用できます。Azure AD credentials may also be used for administration at the management plane level (e.g. the Azure portal) to control MySQL admin accounts.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.10: ユーザー アクセスを定期的に確認して調整する3.10: Regularly review and reconcile user access

ガイダンス: Azure Active Directory ログを確認します。これは、Azure Database for MySQL 管理ロールを持つアカウントを含めることができる古いアカウントを検出するのに役立ちます。Guidance: Review the Azure Active Directory logs to help discover stale accounts which can include those with Azure Database for MySQL administrative roles. また、Azure ID アクセス レビューを使用して、グループ メンバーシップ、Azure Database for MySQL へのアクセスに使用される可能性のあるエンタープライズ アプリケーションへのアクセス、およびロールの割り当てを効率的に管理します。In addition, use Azure Identity Access Reviews to efficiently manage group memberships, access to enterprise applications that may be used to access Azure Database for MySQL, and role assignments. ユーザー アクセスを定期的 (たとえば、90 日ごと) に確認し、正当なユーザーだけが継続してアクセスできるようにする必要があります。User access should be reviewed on a regular basis such as every 90 days to make sure only the right Users have continued access.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.11: 非アクティブ化された資格情報へのアクセスの試行を監視する3.11: Monitor attempts to access deactivated credentials

ガイダンス: Azure Database for MySQL および Azure Active Directory の診断設定を有効にし、すべてのログを Log Analytics ワークスペースに送信します。Guidance: Enable Diagnostic Settings for Azure Database for MySQL and Azure Active Directory, sending all logs to a Log Analytics workspace. Log Analytics 内で、必要なアラート (認証試行の失敗など) を構成します。Configure desired alerts (such as failed authentication attempts) within Log Analytics.

Azure Security Center の監視: 使用不可Azure Security Center monitoring: Not available

責任: CustomerResponsibility: Customer

3.12: アカウントのサインイン動作の偏差に関するアラートを生成する3.12: Alert on account sign-in behavior deviation

ガイダンス:Azure Database for MySQL 用の Advanced Threat Protection を有効にして、疑わしいアクティビティに関するアラートを生成します。Guidance: Enable Advanced Threat Protection for Azure Database for MySQL to generate alerts for suspicious activity.

検出された疑わしいアクションに対する自動応答を構成するには、Azure Active Directory の Identity Protection とリスク検出機能を使用します。Use Azure Active Directory's Identity Protection and risk detection features to configure automated responses to detected suspicious actions. Azure Sentinel で自動応答を有効にして、組織のセキュリティ対応を実装することができます。You may enable automated responses through Azure Sentinel to implement your organization's security responses.

さらに調査するために、Azure Sentinel にログを取り込むこともできます。You can also ingest logs into Azure Sentinel for further investigation.

Azure Security Center の監視: 使用不可Azure Security Center monitoring: Not available

責任: CustomerResponsibility: Customer

3.13: サポート シナリオで関連する顧客データに Microsoft がアクセスできるようにする3.13: Provide Microsoft with access to relevant customer data during support scenarios

ガイダンス: 適用なし。カスタマー ロックボックスは Azure Database for MySQL ではまだサポートされていません。Guidance: Not applicable; Customer Lockbox is not yet supported for Azure Database for MySQL.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

データ保護Data protection

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。For more information, see the Azure Security Benchmark: Data protection.

4.1: 機密情報のインベントリを維持する4.1: Maintain an inventory of sensitive Information

ガイダンス: タグを使用すると、機密情報を格納または処理する Azure Database for MySQL インスタンスや関連リソースの追跡に役立ちます。Guidance: Use tags to assist in tracking Azure Database for MySQL instances or related resources that store or process sensitive information.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

4.2:機密情報を格納または処理するシステムを分離する4.2: Isolate systems storing or processing sensitive information

ガイダンス:開発、テスト、および運用で別々のサブスクリプションまたは管理グループ、あるいはその両方を実装します。Guidance: Implement separate subscriptions and/or management groups for development, test, and production. Private Link、サービスエンド ポイント、またはファイアウォール規則の組み合わせを使用して、Azure Database for MySQL インスタンスへのネットワーク アクセスを分離して制限します。Use a combination of Private Link, Service Endpoints, and/or firewall rules to isolate and limit network access to your Azure Database for MySQL instances.

Azure Security Center の監視: 使用不可Azure Security Center monitoring: Not available

責任: CustomerResponsibility: Customer

4.3:機密情報の承認されていない転送を監視してブロックする4.3: Monitor and block unauthorized transfer of sensitive information

ガイダンス: Azure VM を使用して Azure Database for MySQL インスタンスにアクセスする場合は、Private Link、MySQL ネットワーク構成、ネットワーク セキュリティ グループ、サービス タグを利用して、データ流出の可能性を軽減させます。Guidance: When using Azure VMs to access Azure Database for MySQL instances, make use of Private Link, MySQL network configurations, network security groups, and service tags to mitigate the possibility of data exfiltration.

Microsoft では、Azure Database for MySQL 用の基になるインフラストラクチャを管理しており、顧客データの損失や漏えいを防ぐために厳重な管理を行っています。Microsoft manages the underlying infrastructure for Azure Database for MySQL and has implemented strict controls to prevent the loss or exposure of customer data.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

4.4:転送中のすべての機密情報を暗号化する4.4: Encrypt all sensitive information in transit

ガイダンス: Azure Database for MySQL では、Secure Sockets Layer (SSL) を使用して、MySQL サーバーをクライアント アプリケーションに接続できます。Guidance: Azure Database for MySQL supports connecting your MySQL server to client applications using Secure Sockets Layer (SSL). データベース サーバーとクライアント アプリケーション間に SSL 接続を適用すると、サーバーとアプリケーション間のデータ ストリームが暗号化されて、"man in the middle" 攻撃から保護されます。Enforcing SSL connections between your database server and your client applications helps protect against "man in the middle" attacks by encrypting the data stream between the server and your application. Azure portal で、すべての Azure Database for MySQL インスタンスに対して [SSL 接続を強制する] を確実に既定で有効にします。In the Azure portal, ensure "Enforce SSL connection" is enabled for all of your Azure Database for MySQL instances by default.

現在、Azure Database for MySQL でサポートされている TLS のバージョンは、TLS 1.0、TLS 1.1、TLS 1.2 です。Currently the TLS version supported for Azure Database for MySQL are TLS 1.0, TLS 1.1, TLS 1.2.

Azure Security Center の監視: 使用不可Azure Security Center monitoring: Not available

責任: 共有Responsibility: Shared

4.5:アクティブ検出ツールを使用して機密データを特定する4.5: Use an active discovery tool to identify sensitive data

ガイダンス: データの識別、分類、損失防止機能は、Azure Database for MySQL ではまだ使用できません。Guidance: Data identification, classification, and loss prevention features are not yet available for Azure Database for MySQL. コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。Implement third-party solution if required for compliance purposes.

Microsoft によって管理される基になるプラットフォームの場合、Microsoft は顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護するためにあらゆる手段を尽くします。For the underlying platform which is managed by Microsoft, Microsoft treats all customer content as sensitive and goes to great lengths to guard against customer data loss and exposure. Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Azure Security Center の監視: 使用不可Azure Security Center monitoring: Not available

責任: 共有Responsibility: Shared

4.6:Azure RBAC を使用してリソースへのアクセスを制御する4.6: Use Azure RBAC to control access to resources

ガイダンス: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、Azure Database for MySQL コントロール プレーン (Azure portal など) へのアクセスを制御します。Guidance: Use Azure role-based access control (Azure RBAC) to control access to the Azure Database for MySQL control plane (e.g. Azure portal). (データベース自体内の) データ プレーン アクセスの場合は、SQL クエリを使用してユーザーを作成し、ユーザーのアクセス許可を構成します。For data plane access (within the database itself), use SQL queries to create users and configure user permissions. Azure RBAC は、データベース内のユーザーのアクセス許可には影響しません。Azure RBAC does not affect user permissions within the database.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

4.7:ホストベースのデータ損失防止を使用してアクセス制御を実施する4.7: Use host-based data loss prevention to enforce access control

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Microsoft では、Azure Database for MySQL 用の基になるインフラストラクチャを管理しており、顧客データの損失や漏えいを防ぐために厳重な管理を行っています。Microsoft manages the underlying infrastructure for Azure Database for MySQL and has implemented strict controls to prevent the loss or exposure of customer data.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

4.8:機密情報を保存時に暗号化する4.8: Encrypt sensitive information at rest

ガイダンス: Azure Database for MySQL サービスでは、保存データのストレージ暗号化に FIPS 140-2 認証済みの暗号モジュールが使用されます。Guidance: The Azure Database for MySQL service uses the FIPS 140-2 validated cryptographic module for storage encryption of data at-rest. バックアップを含むデータは、クエリの実行中に作成された一時ファイルを除き、ディスク上で暗号化されます。Data, including backups, are encrypted on disk, with the exception of temporary files created while running queries. このサービスでは、Azure ストレージ暗号化に含まれる AES 256 ビット暗号が使用され、キーはシステムによって管理されます。The service uses the AES 256-bit cipher included in Azure storage encryption, and the keys are system managed. ストレージの暗号化は常にオンになっており、無効にすることはできません。Storage encryption is always on and can't be disabled.

Azure Database for MySQL のカスタマーマネージド キーによるデータ暗号化では、保存データの保護に Bring Your Own Key (BYOK) を使用できます。Data encryption with customer-managed keys for Azure Database for MySQL enables you to bring your own key (BYOK) for data protection at rest. 現時点では、この機能を使用するにはアクセス権をリクエストする必要があります。At this time, you must request access to use this capability. これを行う場合は、以下にお問い合わせください。To do so, contact:

AskAzureDBforMySQL@service.microsoft.com

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

4.9:重要な Azure リソースへの変更に関するログとアラート4.9: Log and alert on changes to critical Azure resources

ガイダンス: Azure Database for MySQL の運用インスタンスやその他の重要なまたは関連リソースへの変更がいつ発生したかに関するアラートを作成するには、Azure Monitor と Azure アクティビティ ログを使用します。Guidance: Use Azure Monitor with the Azure Activity Log to create alerts for when changes take place to production instances of Azure Database for MySQL and other critical or related resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

脆弱性の管理Vulnerability management

詳細については、Azure セキュリティ ベンチマークの「脆弱性の管理」を参照してください。For more information, see the Azure Security Benchmark: Vulnerability management.

5.1:自動化された脆弱性スキャン ツールを実行する5.1: Run automated vulnerability scanning tools

ガイダンス: Azure Database for MySQL および関連リソースの保護に関する Azure Security Center の推奨事項に従ってください。Guidance: Follow recommendations from Azure Security Center on securing your Azure Database for MySQL and related resources.

Microsoft では、Azure Database for MySQL をサポートする基になるシステムで脆弱性の管理を行います。Microsoft performs vulnerability management on the underlying systems that support Azure Database for MySQL.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: 共有Responsibility: Shared

5.2:自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する5.2: Deploy automated operating system patch management solution

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

5.3:サード パーティ ソフトウェア タイトル用の自動化された修正プログラム管理ソリューションをデプロイする5.3: Deploy automated patch management solution for third-party software titles

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

5.4:バックツーバックの脆弱性スキャンを比較する5.4: Compare back-to-back vulnerability scans

ガイダンス: 適用できません。このガイドラインは、コンピューティング リソースを対象にしています。Guidance: Not applicable; this guideline is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

5.5:リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける5.5: Use a risk-rating process to prioritize the remediation of discovered vulnerabilities

ガイダンス:Microsoft では、Azure Database for MySQL をサポートする基になるシステムで脆弱性の管理を行います。Guidance: Microsoft performs vulnerability management on the underlying systems that support Azure Database for MySQL.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

インベントリと資産の管理Inventory and asset management

詳細については、Azure セキュリティ ベンチマークの「インベントリと資産の管理」を参照してください。For more information, see the Azure Security Benchmark: Inventory and asset management.

6.1:自動化された資産検出ソリューションを使用する6.1: Use automated asset discovery solution

ガイダンス: サブスクリプション内のすべてのリソース (Azure Database for MySQL インスタンスを含む) のクエリや検出を実行するには、Azure Resource Graph を使用します。Guidance: Use Azure Resource Graph to query and discover all resources (including Azure Database for MySQL instances) within your subscriptions. テナント内の適切な (読み取り) アクセス許可を持っており、サブスクリプション内のリソースだけでなく、すべての Azure サブスクリプションを列挙できることを確認します。Ensure you have appropriate (read) permissions in your tenant and are able to enumerate all Azure subscriptions as well as resources within your subscriptions.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.2:資産メタデータを保持する6.2: Maintain asset metadata

ガイダンス: メタデータを提供する Azure Database for MySQL インスタンスやその他の関連リソースにタグを適用し、論理的に分類してまとめます。Guidance: Apply tags to Azure Database for MySQL instances and other related resources giving metadata to logically organize them into a taxonomy.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.3:承認されていない Azure リソースを削除する6.3: Delete unauthorized Azure resources

ガイダンス:必要に応じて、タグ付け、管理グループ、および個別のサブスクリプションを使用して、Azure Database for MySQL インスタンスと関連リソースの整理と追跡を行います。Guidance: Use tagging, management groups, and separate subscriptions, where appropriate, to organize and track Azure Database for MySQL instances and related resources. 定期的にインベントリを調整し、承認されていないリソースがサブスクリプションから適切なタイミングで削除されるようにします。Reconcile inventory on a regular basis and ensure unauthorized resources are deleted from the subscription in a timely manner.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.4:承認された Azure リソースのインベントリを定義および管理する6.4: Define and maintain inventory of approved Azure resources

ガイダンス:適用できません。この推奨事項は、コンピューティング リソースと Azure 全体を対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources and Azure as a whole.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.5:承認されていない Azure リソースを監視する6.5: Monitor for unapproved Azure resources

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。Guidance: Use Azure Policy to put restrictions on the type of resources that can be created in customer subscriptions using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types

  • 許可されるリソースの種類Allowed resource types

また、Azure Resource Graph を使用すると、サブスクリプション内のリソースのクエリまたは検出を行えます。In addition, use the Azure Resource Graph to query for and discover resources within the subscriptions.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.6:コンピューティング リソース内の承認されていないソフトウェア アプリケーションを監視する6.6: Monitor for unapproved software applications within compute resources

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

6.7:承認されていない Azure リソースとソフトウェア アプリケーションを削除する6.7: Remove unapproved Azure resources and software applications

ガイダンス:適用できません。この推奨事項は、コンピューティング リソースと Azure 全体を対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources and Azure as a whole.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

6.8:承認されたアプリケーションのみを使用する6.8: Use only approved applications

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

6.9:承認された Azure サービスのみを使用する6.9: Use only approved Azure services

ガイダンス: 次の組み込みのポリシー定義を使用して、顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。Guidance: Use Azure Policy to put restrictions on the type of resources that can be created in customer subscriptions using the following built-in policy definitions:

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.10:承認されたソフトウェア タイトルのインベントリを管理する6.10: Maintain an inventory of approved software titles

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

6.11:Azure Resource Manager を操作するユーザーの機能を制限する6.11: Limit users' ability to interact with Azure Resource Manager

ガイダンス: Azure Conditional Access を使用して Azure Resource Manager を操作するユーザーの権限を制限するには、"Microsoft Azure 管理" アプリに対して [アクセスのブロック] を構成します。Guidance: Use the Azure Conditional Access to limit users' ability to interact with Azure Resource Manager by configuring "Block access" for the "Microsoft Azure Management" App. これにより、機密情報を含む Azure Database for MySQL のインスタンスなど、高セキュリティ環境内でのリソースの作成と変更を防ぐことができます。This can prevent the creation and changes to resources within a high security environment, such as instances of Azure Database for MySQL containing sensitive information.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.12:コンピューティング リソース内でスクリプトを実行するユーザーの機能を制限する6.12: Limit users' ability to execute scripts within compute resources

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

6.13:リスクの高いアプリケーションを物理的または論理的に分離する6.13: Physically or logically segregate high risk applications

ガイダンス: 適用できません。この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。Guidance: Not applicable; this recommendation is intended for web applications running on Azure App Service or compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

セキュリティで保護された構成Secure configuration

詳細については、Azure セキュリティ ベンチマークの「セキュリティで保護された構成」を参照してください。For more information, see the Azure Security Benchmark: Secure configuration.

7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する7.1: Establish secure configurations for all Azure resources

ガイダンス: Azure Policy を使用して、Azure Database for MySQL インスタンスの標準的なセキュリティ構成を定義して実装します。Guidance: Define and implement standard security configurations for your Azure Database for MySQL instances with Azure Policy. Azure Database for MySQL インスタンスのネットワーク構成を監査または適用するためのカスタム ポリシーを作成するには、Microsoft.DBforMySQL 名前空間で Azure Policy エイリアスを使用します。Use Azure Policy aliases in the Microsoft.DBforMySQL namespace to create custom policies to audit or enforce the network configuration of your Azure Database for MySQL instances. 次のように、Azure Database for MySQL インスタンスに関連する組み込みのポリシー定義を使用することもできます。You can also make use of built-in policy definitions related to your Azure Database for MySQL instances, such as:

MySQL データベース サーバーで [SSL 接続を強制する] が有効でなければならないEnforce SSL connection should be enabled for MySQL database servers

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.2:セキュリティで保護されたオペレーティング システムの構成を確立する7.2: Establish secure operating system configurations

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

7.3:セキュリティで保護された Azure リソースの構成を維持する7.3: Maintain secure Azure resource configurations

ガイダンス:Azure リソース全体にセキュリティで保護された設定を適用するには、Azure Policy の [deny] と [deploy if not exist] を使用します。Guidance: Use Azure Policy [deny] and [deploy if not exist] to enforce secure settings across your Azure resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.4:セキュリティで保護されたオペレーティング システムの構成を維持する7.4: Maintain secure operating system configurations

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

7.5:Azure リソースの構成を安全に格納する7.5: Securely store configuration of Azure resources

ガイダンス:Azure Database for MySQL インスタンスと関連リソースにカスタム Azure Policy 定義を使用する場合は、Azure Repos を使ってコードを安全に格納および管理します。Guidance: If using custom Azure Policy definitions for your Azure Database for MySQL instances and related resources, use Azure Repos to securely store and manage your code.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.6:カスタム オペレーティング システム イメージを安全に格納する7.6: Securely store custom operating system images

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

7.7:Azure リソース用の構成管理ツールをデプロイする7.7: Deploy configuration management tools for Azure resources

ガイダンス: システム構成を警告処理、監査、適用するためのカスタム ポリシーを作成するには、"Microsoft.DBforMySQL" 名前空間で Azure Policy エイリアスを使用します。Guidance: Use Azure Policy aliases in the "Microsoft.DBforMySQL" namespace to create custom policies to alert, audit, and enforce system configurations. さらに、ポリシー例外を管理するためのプロセスとパイプラインを作成します。Additionally, develop a process and pipeline for managing policy exceptions.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.8:オペレーティング システム用の構成管理ツールをデプロイする7.8: Deploy configuration management tools for operating systems

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

7.9:Azure リソースの自動構成監視を実装する7.9: Implement automated configuration monitoring for Azure resources

ガイダンス: システム構成を警告処理、監査、適用するためのカスタム ポリシーを作成するには、Microsoft.DBforMySQL 名前空間で Azure Policy エイリアスを使用します。Guidance: Use Azure Policy aliases in the Microsoft.DBforMySQL namespace to create custom policies to alert, audit, and enforce system configurations. Azure Policy の [audit]、[deny]、[deploy if not exist] を使用して、Azure Database for MySQL インスタンスおよび関連リソースの構成を自動的に適用します。Use Azure Policy [audit], [deny], and [deploy if not exist] to automatically enforce configurations for your Azure Database for MySQL instances and related resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.10:オペレーティング システムの自動構成監視を実装する7.10: Implement automated configuration monitoring for operating systems

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

7.11:Azure シークレットを安全に管理する7.11: Manage Azure secrets securely

ガイダンス: Azure Database for MySQL インスタンスへのアクセスに使用される Azure App Service で実行されている Azure Virtual Machines または Web アプリケーションの場合は、Azure Key Vault と組み合わせてマネージド サービス ID を使用して、Azure Database for MySQL シークレットの管理を簡素化およびセキュリティで保護します。Guidance: For Azure Virtual Machines or web applications running on Azure App Service being used to access your Azure Database for MySQL instances, use Managed Service Identity in conjunction with Azure Key Vault to simplify and secure Azure Database for MySQL secret management. Key Vault の論理的な削除を確実に有効にします。Ensure Key Vault Soft Delete is enabled.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

7.12:ID を安全かつ自動的に管理する7.12: Manage identities securely and automatically

ガイダンス:Azure Database for MySQL インスタンスでは、データベースにアクセスするための Azure Active Directory 認証がサポートされています。Guidance: Azure Database for MySQL instance supports Azure Active Directory authentication to access databases. Azure Database for MySQL インスタンスを作成するときに、管理者ユーザーの資格情報を指定します。While creating the Azure Database for MySQL instance, you provide credentials for an administrator user. この管理者は、追加のデータベース ユーザーを作成するために使用できます。This administrator can be used to create additional database users.

Azure Database for MySQL インスタンスへのアクセスに使用される Azure App Service で実行されている Azure Virtual Machines または Web アプリケーションの場合は、Azure Key Vault と組み合わせてマネージド サービス ID を使用して、Azure Database for MySQL インスタンスの資格情報を格納および取得します。For Azure Virtual Machines or web applications running on Azure App Service being used to access your Azure Database for MySQL instances, use Managed Service Identity in conjunction with Azure Key Vault to store and retrieve credentials for Azure Database for MySQL instance. Key Vault の論理的な削除を確実に有効にします。Ensure Key Vault Soft Delete is enabled.

マネージド ID を使用して、Azure Active Directory (AD) で自動的に管理される ID を Azure サービスに提供します。Use Managed Identities to provide Azure services with an automatically managed identity in Azure Active Directory (AD). マネージド ID を使用すると、コードに資格情報を追加しなくても、Azure AD の認証をサポートするさまざまなサービス (Key Vault を含む) に対して認証を行うことができます。Managed Identities allows you to authenticate to any service that supports Azure AD authentication, including Key Vault, without any credentials in your code.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.13:意図しない資格情報の公開を排除する7.13: Eliminate unintended credential exposure

ガイダンス: コード内で資格情報を特定する資格情報スキャナーを実装します。Guidance: Implement Credential Scanner to identify credentials within code. また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。Credential Scanner will also encourage moving discovered credentials to more secure locations such as Azure Key Vault.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

マルウェアからの防御Malware defense

詳細については、Azure セキュリティ ベンチマークの「マルウェアからの防御」を参照してください。For more information, see the Azure Security Benchmark: Malware defense.

8.1:一元管理されたマルウェア対策ソフトウェアを使用する8.1: Use centrally-managed anti-malware software

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Microsoft のマルウェア対策は、Azure サービス (Azure Database for SQL など) をサポートする基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。Microsoft anti-malware is enabled on the underlying host that supports Azure services (for example, Azure Database for SQL), however it does not run on customer content.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

8.2:非コンピューティング Azure リソースにアップロードするファイルを事前にスキャンする8.2: Pre-scan files to be uploaded to non-compute Azure resources

ガイダンス: Microsoft のマルウェア対策は、Azure サービス (Azure Database for MySQL など) をサポートする基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。Guidance: Microsoft anti-malware is enabled on the underlying host that supports Azure services (for example, Azure Database for MySQL), however it does not run on customer content.

App Service、Data Lake Storage、Blob Storage、Azure Database for MySQL などの非コンピューティング Azure リソースにアップロードされるコンテンツはすべて、事前にスキャンしてください。Microsoft は、これらのインスタンス内のデータにアクセスできません。Pre-scan any content being uploaded to non-compute Azure resources, such as App Service, Data Lake Storage, Blob Storage, Azure Database for MySQL, etc. Microsoft cannot access your data in these instances.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

手順 8.3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする8.3: Ensure anti-malware software and signatures are updated

ガイダンス: 適用できません。この推奨事項は、コンピューティング リソースを対象にしています。Guidance: Not applicable; this recommendation is intended for compute resources.

Microsoft のマルウェア対策は、Azure サービス (Azure Database for MySQL など) をサポートする基になるホストで有効になっていますが、顧客のコンテンツに対しては実行されません。Microsoft anti-malware is enabled on the underlying host that supports Azure services (for example, Azure Database for MySQL), however it does not run on customer content.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 該当なしResponsibility: N/A

データの復旧Data recovery

詳しくは、「Azure Security ベンチマーク:データの復旧」を参照してください。For more information, see the Azure Security Benchmark: Data recovery.

9.1:定期的な自動バックアップを保証する9.1: Ensure regular automated back-ups

ガイダンス:Azure Database for MySQL では、データ ファイルとトランザクション ログのバックアップが作成されます。Guidance: Azure Database for MySQL takes backups of the data files and the transaction log. サポートされている最大ストレージ サイズに応じて、完全バックアップと差分バックアップ (最大 4 TB のストレージ サーバー) またはスナップショット バックアップ (最大 16 TB のストレージ サーバー) を使用します。Depending on the supported maximum storage size, we either take full and differential backups (4 TB max storage servers) or snapshot backups (up to 16-TB max storage servers). これらのバックアップを使用すると、サーバーを、バックアップの構成済みリテンション期間内の任意の時点に復元できます。These backups allow you to restore a server to any point-in-time within your configured backup retention period. バックアップの既定のリテンション期間は 7 日です。The default backup retention period is seven days. これは、必要に応じて、最大 35 日に設定できます。You can optionally configure it up to 35 days. すべてのバックアップが、AES 256 ビット暗号化を使用して暗号化されます。All backups are encrypted using AES 256-bit encryption.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: 共有Responsibility: Shared

9.2: システムの完全バックアップを実行し、すべてのカスタマー マネージド キーをバックアップする9.2: Perform complete system backups and backup any customer-managed keys

ガイダンス: Azure Database for MySQL では、サーバーのバックアップを自動的に作成し、ユーザーの選択に応じて、ローカル冗長または geo 冗長ストレージに格納します。Guidance: Azure Database for MySQL automatically creates server backups and stores them in either locally-redundant or geo-redundant storage, according to the user's choice. バックアップを使用すると、サーバーを特定の時点に復元できます。Backups can be used to restore your server to a point-in-time. 不慮の破損または削除からデータを保護するバックアップと復元は、ビジネス継続性戦略の最も重要な部分です。Backup and restore are an essential part of any business continuity strategy because they protect your data from accidental corruption or deletion.

Azure Database for MySQL インスタンスの資格情報を格納するために Azure Key Vault を使用する場合は、必ず、キーの定期的な自動バックアップを行ってください。If using Azure Key Vault to store credentials for your Azure Database for MySQL instances, ensure regular automated backups of your keys.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: 共有Responsibility: Shared

9.3:カスタマー マネージド キーを含むすべてのバックアップを検証する9.3: Validate all backups including customer-managed keys

ガイダンス: Azure Database for MySQL で復元を実行すると、元のサーバーのバックアップから新しいサーバーが作成されます。Guidance: In Azure Database for MySQL, performing a restore creates a new server from the original server's backups. 使用できる復元には 2 つの種類があります。ポイントインタイム リストアと geo リストアです。There are two types of restore available: Point-in-time restore and Geo-restore. ポイントインタイム リストアは、いずれのバックアップ冗長オプションでも使用でき、元のサーバーと同じリージョンに新しいサーバーが作成されます。Point-in-time restore is available with either backup redundancy option and creates a new server in the same region as your original server. geo リストアは、サーバーを geo 冗長ストレージ用に構成した場合にのみ使用でき、ご利用のサーバーを別のリージョンに復元できます。Geo-restore is available only if you configured your server for geo-redundant storage and it allows you to restore your server to a different region.

復旧の推定所要時間は、データベースのサイズ、トランザクション ログのサイズ、ネットワーク帯域幅、同じリージョン内で同時に復旧するデータベースの合計数など、複数の要因によって異なります。The estimated time of recovery depends on several factors including the database sizes, the transaction log size, the network bandwidth, and the total number of databases recovering in the same region at the same time. 通常は 12 時間もかかりません。The recovery time is usually less than 12 hours.

Azure Database for MySQL インスタンスの復元を定期的にテストします。Periodically test restoration of your Azure Database for MySQL instances.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

9.4: バックアップとカスタマー マネージド キーの保護を保証する9.4: Ensure protection of backups and customer-managed keys

ガイダンス: Azure Database for MySQL では、完全バックアップ、差分バックアップ、およびトランザクション ログ バックアップが作成されます。Guidance: Azure Database for MySQL takes full, differential, and transaction log backups. これらのバックアップを使用すると、サーバーを、バックアップの構成済みリテンション期間内の任意の時点に復元できます。These backups allow you to restore a server to any point-in-time within your configured backup retention period. バックアップの既定のリテンション期間は 7 日です。The default backup retention period is seven days. これは、必要に応じて、最大 35 日に設定できます。You can optionally configure it up to 35 days. すべてのバックアップが、AES 256 ビット暗号化を使用して暗号化されます。All backups are encrypted using AES 256-bit encryption. Key Vault の論理的な削除を確実に有効にします。Ensure Key Vault Soft Delete is enabled.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

インシデント対応Incident response

詳細については、Azure セキュリティ ベンチマークの「インシデント対応」を参照してください。For more information, see the Azure Security Benchmark: Incident response.

10.1:インシデント対応ガイドを作成する10.1: Create an incident response guide

ガイダンス: 組織のインシデント対応ガイドを作成します。Guidance: Build out an incident response guide for your organization. 要員のすべてのロールを定義するインシデント対応計画が記述されていることと、検出からインシデント後のレビューまでのインシデント対応/管理のフェーズがあることを確認します。Ensure that there are written incident response plans that define all roles of personnel as well as phases of incident handling/management from detection to post-incident review.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.2:インシデントのスコアリングと優先順位付けの手順を作成する10.2: Create an incident scoring and prioritization procedure

ガイダンス: Security Center によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。Guidance: Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. 重要度は、アラートの発行に使用された Security Center の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert as well as the confidence level that there was malicious intent behind the activity that led to the alert.

また、サブスクリプション (Additionally, clearly mark subscriptions (for ex. 稼働、非稼働など) を明確にマークし、Azure リソースを明確に識別および分類するための命名システムを作成します。production, non-prod) and create a naming system to clearly identify and categorize Azure resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.3:セキュリティ対応手順のテスト10.3: Test security response procedures

ガイダンス: 定期的にシステムのインシデント対応機能をテストする演習を実施します。Guidance: Conduct exercises to test your systems' incident response capabilities on a regular cadence. 弱点やギャップを特定し、必要に応じて計画を見直します。Identify weak points and gaps and revise plan as needed.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します10.4: Provide security incident contact details and configure alert notifications for security incidents

ガイダンス:セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) で、不正なユーザーまたは権限のないユーザーによるお客様のデータへのアクセスが検出された場合に、Microsoft からの連絡先として使用されます。Guidance: Security incident contact information will be used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that the customer's data has been accessed by an unlawful or unauthorized party. 事後にインシデントをレビューして、問題が解決されていることを確認します。Review incidents after the fact to ensure that issues are resolved.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

10.5:インシデント対応システムにセキュリティ アラートを組み込む10.5: Incorporate security alerts into your incident response system

ガイダンス:連続エクスポート機能を使用して Azure Security Center のアラートと推奨事項をエクスポートします。Guidance: Export your Azure Security Center alerts and recommendations using the Continuous Export feature. 連続エクスポートを使用すると、アラートと推奨事項を手動で、または継続した連続的な方法でエクスポートできます。Continuous Export allows you to export alerts and recommendations either manually or in an ongoing, continuous fashion. Azure Security Center データ コネクタを使用して、アラートの Sentinel のストリーミングを実行できます。You may use the Azure Security Center data connector to stream the alerts Sentinel.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.6:セキュリティ アラートへの対応を自動化する10.6: Automate the response to security alerts

ガイダンス:セキュリティ アラートやセキュリティに関する推奨事項に対して "Logic Apps" 経由で応答を自動的にトリガーするには、Azure Security Center のワークフローの自動化機能を使用します。Guidance: Use the Workflow Automation feature in Azure Security Center to automatically trigger responses via "Logic Apps" on security alerts and recommendations.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

侵入テストとレッド チーム演習Penetration tests and red team exercises

詳細については、Azure セキュリティ ベンチマークの「侵入テストとレッド チーム演習」を参照してください。For more information, see the Azure Security Benchmark: Penetration tests and red team exercises.

11.1:Azure リソースの通常の侵入テストを実施し、セキュリティに関する重大な調査結果がすべて、確実に修復されるようにする11.1: Conduct regular penetration testing of your Azure resources and ensure remediation of all critical security findings

ガイダンス: お客様の侵入テストが Microsoft のポリシーに違反しないように、確実に次の Microsoft の活動規則に従ってください。 https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1Guidance: Follow the Microsoft Rules of Engagement to ensure your Penetration Tests are not in violation of Microsoft policies: https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

次のステップNext steps