Azure RBAC 用の Azure Policy 規制コンプライアンス コントロール
Azure Policy を使用すると、インフラストラクチャがビジネス標準に準拠するように、Azure リソースに対して規則を適用できます。 Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure ロールベースのアクセス制御 (Azure RBAC) 用のコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
CIS Microsoft Azure Foundations Benchmark 2.0.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v2.0.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 1 | 1.23 | カスタム サブスクリプション管理者ロールが存在しないことを確認する | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
CMMC レベル 3
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC.3.018 | 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-2 | アカウント管理 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-6 | 最小限の特権 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-6 (7) | ユーザー特権の確認 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-2 | アカウント管理 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-6 | 最小限の特権 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
HIPAA HITRUST 9.2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - HIPAA HITRUST 9.2 に関するページを参照してください。 このコンプライアンス標準の詳細については、HIPAA HITRUST 9.2 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 11 アクセスの制御 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| 12 監査ログと監視 | 1230.09c2Organizational.1-09.c | 1230.09c2Organizational.1-09.c 09.01 文書化された業務手順 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
IRS 1075 (2016 年 9 月)
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - IRS 1075 (2016 年 9 月) に関する記事をご覧ください。 このコンプライアンス標準の詳細については、IRS 1075 (2016 年 9 月) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 9.3.1.2 | アカウント管理 (AC-2) | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
ISO 27001:2013
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - ISO 27001:2013 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、ISO 27001:2013 に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 9.2.3 | 特権アクセス権の管理 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 特権アクセス | PA-7 | Just Enough Administration (最小限の特権) の原則に従う | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| ログと脅威検出 | LT-1 | 脅威検出機能を有効にする | SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | 1.0.0 |
| ログと脅威検出 | LT-2 | ID およびアクセス管理の脅威検出を有効にする | SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-3 | 検出と分析 - 高品質のアラートに基づいてインシデントを作成する | SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | 1.0.0 |
| インシデント対応 | AIR-5 | 検出と分析 - インシデントの優先順位を付ける | SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | 1.0.0 |
NIST SP 800-171 R2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | 3.1.5 | 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
NIST SP 800-53 Rev. 4
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-2 | アカウント管理 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-2 (7) | ロールベースのスキーム | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-6 | 最小限の特権 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-6 (7) | ユーザー特権の確認 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-2 | アカウント管理 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-2 (7) | 特権ユーザー アカウント | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-6 | 最小限の特権 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | AC-6 (7) | ユーザー特権のレビュー | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
NL BIO Cloud Theme
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任のもとで、管理者にアクセス権が付与されます。 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | 認証された機器を持っているユーザーのみが IT サービスとデータにアクセスできます。 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| U.10.5 IT サービスとデータへのアクセス - 適格性 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限されており、実装されています。 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
PCI DSS 3.2.1
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS 3.2.1 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、PCI DSS 3.2.1 を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 要件 3 | 3.2 | PCI DSS 要件 3.2 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| 要件 7 | 7.2.1 | PCI DSS 要件 7.2.1 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| 要件 8 | 8.3.1 | PCI DSS 要件 8.3.1 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
PCI DSS v4.0
すべての Azure サービスに対して使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS v4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「PCI DSS v4.0」をご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 要件 03: 保存されるアカウント データを保護する | 3.3.3 | 機密の認証データ (SAD) は認可後に保存されない | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| 要件 07: 業務上の知る必要によってシステム コンポーネントとカード所有者データへのアクセスを制限する | 7.3.1 | システム コンポーネントとデータへのアクセスが、アクセス制御システムを介して管理されている | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| 要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する | 8.4.1 | CDE へのアクセスをセキュリティで保護するために、多要素認証 (MFA) が実装されている | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
インド準備銀行 - NBFC 向けの IT フレームワーク
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 ここのコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 情報とサイバー セキュリティ | 3.1.a | 情報資産の識別と分類 - 3.1 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| 情報とサイバー セキュリティ | 3.1.f | メーカーチェッカー - 3.1 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
インド準備銀行の銀行向けの IT フレームワーク v2016
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ユーザー アクセスの制御または管理 | ユーザー アクセスの制御または管理-8.1 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
RMIT マレーシア
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RMIT マレーシアに関する記事をご覧ください。 このコンプライアンス標準の詳細については、RMIT マレーシア に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 10.55 | アクセス制御 - 10.55 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | 10.60 | アクセス制御 - 10.60 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
| アクセス制御 | 10.62 | アクセス制御 - 10.62 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
System and Organization Controls (SOC) 2
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、System and Organization Controls (SOC) 2 についての Azure Policy の規制コンプライアンスの詳細に関するページを参照してください。 このコンプライアンス標準の詳細については、「System and Organization Controls (SOC) 2」を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 論理アクセス制御と物理アクセス制御 | CC6.3 | Rol ベースのアクセスと最小の特権 | カスタム RBAC ロールの使用状況を監査する | 1.0.1 |
次のステップ
- Azure Policy の規制コンプライアンスの詳細を確認します。
- Azure Policy GitHub リポジトリのビルトインを参照します。