Azure Cognitive Search の Azure セキュリティ ベースラインAzure security baseline for Azure Cognitive Search

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 1.0 のガイダンスが Azure Cognitive Search に適用されます。This security baseline applies guidance from the Azure Security Benchmark version 1.0 to Azure Cognitive Search. Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。The Azure Security Benchmark provides recommendations on how you can secure your cloud solutions on Azure. 内容は、セキュリティ制御 によってグループ化されています。これは、Azure セキュリティ ベンチマークと、Azure Cognitive Search に適用できる関連ガイダンスによって定義されています。The content is grouped by the security controls defined by the Azure Security Benchmark and the related guidance applicable to Azure Cognitive Search. Azure Cognitive Search にもお客様にも当てはまらない 制御 は除外されました。Controls not applicable to Azure Cognitive Search, or the customer have been excluded.

Azure Cognitive Search を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Azure Cognitive Search セキュリティ ベースライン マッピング ファイルを参照してください。To see how Azure Cognitive Search completely maps to the Azure Security Benchmark, see the full Azure Cognitive Search security baseline mapping file.

ネットワークのセキュリティNetwork security

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。For more information, see the Azure Security Benchmark: Network security.

1.1:仮想ネットワーク内の Azure リソースを保護する1.1: Protect Azure resources within virtual networks

ガイダンス:すべての Microsoft Azure Virtual Network サブネット デプロイに、"最小特権" アクセス スキームを実装するための規則が適用されたネットワーク セキュリティ グループがあることを確認します。Guidance: Ensure that all Microsoft Azure Virtual Network subnet deployments have a network security group applied with rules to implement a "least privileged" access scheme. アプリケーションの信頼されたポートと IP アドレスの範囲へのアクセスのみを許可します。Allow access only to your application's trusted ports and IP address ranges. 可能な場合は、Azure プライベート エンドポイントを使用して Azure Cognitive Search をデプロイすることにより、使用している仮想ネットワークからサービスへのプライベート アクセスを有効にします。Deploy Azure Cognitive Search with an Azure private endpoint, where feasible, to enable private access to your services from your virtual network.

Cognitive Search では、ネットワーク アクセス制御リストを管理するための追加のネットワーク セキュリティ機能もサポートされています。Cognitive Search also supports additional network security functionality for managing network access control lists. 信頼されたソースとの通信のみを許可するように検索サービスを構成するために、ファイアウォール機能を使用して特定のパブリック IP アドレスの範囲からのアクセスを制限します。Configure your search service to only allow communication with trusted sources by restricting access from specific public IP address ranges using its firewall capability.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.2:仮想ネットワーク、サブネット、NIC の構成とトラフィックを監視してログに記録する1.2: Monitor and log the configuration and traffic of virtual networks, subnets, and NICs

ガイダンス:Cognitive Search を仮想ネットワークに直接デプロイすることはできません。Guidance: Cognitive Search cannot be deployed directly into a virtual network. ただし、クライアント アプリケーションまたはデータ ソースが仮想ネットワーク内にある場合は、それらのネットワーク内コンポーネントのトラフィック (クラウド内の検索サービスに送信された要求を含む) を監視し、ログに記録することができます。However, if your client application or data sources are in a virtual network, you can monitor and log traffic for those in-network components, including requests sent to a search service in the cloud. 標準的な推奨事項には、ネットワーク セキュリティ グループ フロー ログを有効にすることと、Azure Storage または Log Analytics ワークスペースのいずれかにログを送信することがあります。Standard recommendations include enabling a network security group flow log and sending logs to either Azure Storage or a Log Analytics workspace. 必要に応じて Traffic Analytics を使用して、トラフィック パターンに関する分析情報を得ることもできます。You could optionally use Traffic Analytics for insights into traffic patterns.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

1.3:重要な Web アプリケーションを保護する1.3: Protect critical web applications

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。This recommendation is intended for web applications running on Azure App Service or compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.4:既知の悪意のある IP アドレスとの通信を拒否する1.4: Deny communications with known malicious IP addresses

ガイダンス:Cognitive Search には、分散型サービス拒否攻撃に対処するための特定の機能は用意されていませんが、Cognitive Search サービスに関連付けられた仮想ネットワークで DDoS Protection Standard を有効にすることで一般的な保護を行うことができます。Guidance: Cognitive Search does not provide a specific feature to combat a distributed denial-of-service attack, but you can enable DDoS Protection Standard on the virtual networks associated with your Cognitive Search service for general protection.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.5:ネットワーク パケットを記録する1.5: Record network packets

ガイダンス:Cognitive Search サービスに接続する Azure Virtual Machines (VM) を保護するネットワーク セキュリティ グループについてネットワーク セキュリティ グループ フロー ログを有効にします。Guidance: Enable network security group flow logs for the network security groups protecting Azure Virtual Machines (VM) that will be connecting to your Cognitive Search service. ログは、トラフィック監査用の Azure ストレージ アカウントに送信します。Send logs into an Azure Storage account for traffic audit.

異常なアクティビティを調査するために必要な場合は、Network Watcher パケット キャプチャを有効にします。Enable Network Watcher packet capture if required for investigating anomalous activity.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.6:ネットワーク ベースの侵入検出または侵入防止システム (IDS または IPS) をデプロイする1.6: Deploy network-based intrusion detection/intrusion prevention systems (IDS/IPS)

ガイダンス:Cognitive Search でネットワーク侵入検出はサポートされていませんが、侵入の軽減策として、ファイアウォール規則を構成して Cognitive Search サービスが受け入れる IP アドレスを指定することができます。Guidance: Cognitive Search does not support network intrusion detection, but as an intrusion mitigation, you can configure firewall rules to specify the IP addresses accepted by the Cognitive Search service. 検索トラフィックをパブリック インターネットから離すようにプライベート エンドポイントを構成します。Configure a private endpoint to keep search traffic away from the public internet.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.7:Web アプリケーションへのトラフィックを管理する1.7: Manage traffic to web applications

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。This recommendation is intended for web applications running on Azure App Service or compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.8:ネットワーク セキュリティ規則の複雑さと管理オーバーヘッドを最小限に抑える1.8: Minimize complexity and administrative overhead of network security rules

ガイダンス:Cognitive Search でインデクサーとスキルセットを利用している場合は、外部リソースに接続するアクセス許可を持つ IP アドレスの範囲を表現するためにサービス タグを使用します。Guidance: Use service tags, if you are leveraging indexers and skillsets in Cognitive Search, to represent a range of IP addresses that have permission to connect to external resources.

規則の該当するソースまたはターゲット フィールドにサービス タグ名 (たとえば AzureCognitiveSearch) を指定すれば、リソースへのトラフィックを許可または拒否できます。Allow or deny traffic to resources by specifying the service tag name (for example, AzureCognitiveSearch) in the appropriate source or destination field of a rule.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.9:ネットワーク デバイスの標準的なセキュリティ構成を維持する1.9: Maintain standard security configurations for network devices

ガイダンス:Cognitive Search はネットワーク リソースを持つこともそれに依存することもありません。これは意図的なものです。Guidance: Cognitive Search does not have or depend on network resources by design. 検索アプリケーションに関連するクライアント アプリとデータ ソースが仮想ネットワーク上に存在する場合がありますが、検索サービス自体はネットワークにデプロイされません。Client apps and data sources related to your search application might be on a virtual network, but the search service is not itself deployed in the network.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

1.10:トラフィック構成規則を文書化する1.10: Document traffic configuration rules

ガイダンス:Azure プライベート エンドポイントを使用して Cognitive Search を構成すると、検索サービスを仮想ネットワークに統合することができます。Guidance: You can configure Cognitive Search with an Azure private endpoint to integrate your search service with a virtual network. ネットワーク セキュリティおよびトラフィック フローに関連したネットワーク セキュリティ グループやその他のリソースに対して、リソース タグを使用してください。Use resource tags for network security groups and other resources related to network security and traffic flow. 個々のネットワーク セキュリティ グループの規則については、"説明" フィールドを使用して、ネットワークとの間で送受信されるトラフィックを許可する規則を文書化します。For individual network security group rules, use the "Description" field to document the rules that allow traffic to/from a network.

すべてのリソースが確実にタグ付きで作成され、タグ付けされていない既存のリソースについては通知を受けられるようにするには、タグ付けに関連したいずれかの組み込みの Azure Policy 定義 ("タグとその値が必要" 効果など) を使用します。Use any of the built-in Azure Policy definitions related to tagging, such as "Require tag and its value" effects, to ensure that all resources are created with tags and to notify you of existing untagged resources.

Azure PowerShell または Azure CLI を使用すると、タグに基づいたリソースの検索やアクション実行ができます。You can use Azure PowerShell or Azure CLI to look-up or perform actions on resources based on their tags.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

1.11:自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出する1.11: Use automated tools to monitor network resource configurations and detect changes

ガイダンス:Cognitive Search はネットワーク コンポーネントを持つことも、それに依存することもないため、これらのリソースの構成を監視することはできません。Guidance: Cognitive Search does not have or depend on any networking components, so the configurations of these resources cannot be monitored.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

ログ記録と監視Logging and monitoring

詳しくは、「Azure Security ベンチマーク:ログ記録と監視」を参照してください。For more information, see the Azure Security Benchmark: Logging and monitoring.

2.1:承認された時刻同期ソースを使用する2.1: Use approved time synchronization sources

ガイダンス:Cognitive Search では、独自の時刻同期ソースの構成はサポートされていません。Guidance: Cognitive Search does not support configuring your own time synchronization sources. 検索サービスは Microsoft の時刻同期ソースに依存しており、構成のために顧客に公開されてはいません。The search service relies on Microsoft time synchronization sources, and is not exposed to customers for configuration.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

2.2:セキュリティ ログの一元管理を構成する2.2: Configure central security log management

ガイダンス:Cognitive Search に関連するログを Azure Monitor を介して取り込み、エンドポイント デバイス、ネットワーク リソース、その他のセキュリティ システムによって生成されたセキュリティ データを集計します。Guidance: Ingest logs related to Cognitive Search via Azure Monitor to aggregate security data generated by endpoint devices, network resources, and other security systems. Azure Monitor で Log Analytics ワークスペースを使用してクエリを発行し、分析を実行して、長期のアーカイブ ストレージには Azure Storage アカウントを使用します。In Azure Monitor, use Log Analytics workspaces to query and perform analytics, and use Azure Storage accounts for long term and archival storage. または、Azure Sentinel かサード パーティの SIEM に対してこのデータを有効にしてオンボードすることもできます。Alternatively, you can enable and on-board this data to Azure Sentinel or a third-party SIEM.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.3:Azure リソースの監査ログ記録を有効にする2.3: Enable audit logging for Azure resources

ガイダンス:診断および操作ログでは Cognitive Search の詳細な操作に関する分析情報が提供され、サービスと、サービスにアクセスするワークロードの監視に役立ちます。Guidance: Diagnostic and operational logs provide insight into the detailed operations of Cognitive Search and are useful for monitoring the service and for workloads that access your service. 診断データをキャプチャするには、ログ情報を格納する場所を指定してログ記録を有効にします。To capture diagnostic data, enable logging by specifying where logging information is stored.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

2.4:オペレーティング システムからセキュリティ ログを収集する2.4: Collect security logs from operating systems

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

2.5:セキュリティ ログのストレージ保持を構成する2.5: Configure security log storage retention

ガイダンス:診断メトリックにフィードされる履歴データは、既定では Cognitive Search によって 30 日間保持されます。Guidance: Historical data that feeds into diagnostic metrics is preserved by Cognitive Search for 30 days by default. 保持期間を延長する場合は、ログに記録されたイベントとメトリックを保持するためのストレージ オプションを指定する設定を必ず有効にしてください。For longer retention, be sure to enable the setting that specifies a storage option for persisting logged events and metrics.

Azure Monitor 内で、組織のコンプライアンス規則に従って Log Analytics ワークスペースの保持期間を設定します。In Azure Monitor, set your Log Analytics workspace retention period according to your organization's compliance regulations. 長期およびアーカイブ ストレージには Azure Storage アカウントを使用します。Use Azure Storage accounts for long-term and archival storage.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

2.6:ログを監視して確認する2.6: Monitor and review Logs

ガイダンス:異常な動作について Cognitive Search サービスからのログを分析し、監視します。Guidance: Analyze and monitor logs from your Cognitive Search service for anomalous behavior. ログを確認し、ログ データに対してクエリを実行するには、Azure Monitor の Log Analytics を使用します。Use Azure Monitor's Log Analytics to review logs and perform queries on log data. または、Azure Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードすることもできます。Alternatively, you may enable and on-board data to Azure Sentinel or a third party SIEM.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

2.7:異常なアクティビティについてのアラートを有効にする2.7: Enable alerts for anomalous activities

ガイダンス:Log Analytics ワークスペースと共に Security Center を使用し、セキュリティ ログやイベントで検出される異常なアクティビティに対する監視とアラートの送信を行います。Guidance: Use Security Center with Log Analytics workspace for monitoring and alerting on anomalous activity found in security logs and events. または、Azure Sentinel に対してデータを有効にしてオンボードすることもできます。Alternatively, you can enable and on-board data to Azure Sentinel.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

2.8:マルウェア対策のログ記録を一元管理する2.8: Centralize anti-malware logging

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. 基盤となるプラットフォームのマルウェア対策ソリューションは Microsoft によって管理されます。Microsoft manages the anti-malware solution for the underlying platform.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

2.9:DNS クエリのログ記録を有効にする2.9: Enable DNS query logging

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. これによって DNS ログが生成されたり、使用されたりすることはありません。It does not produce or consume DNS logs.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

2.10:コマンドライン監査ログ記録を有効にする2.10: Enable command-line audit logging

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. Cognitive Search では、コマンドラインによる監査は使用できません。Command-line auditing is not available for Cognitive Search.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

ID とアクセスの制御Identity and access control

詳細については、Azure セキュリティ ベンチマークの「ID およびアクセス制御」を参照してください。For more information, see the Azure Security Benchmark: Identity and access control.

3.1: 管理アカウントのインベントリを維持する3.1: Maintain an inventory of administrative accounts

ガイダンス: Azure のロールベースのアクセス制御 (Azure RBAC) を使用すると、ロールの割り当てを通じて Azure リソースへのアクセスを管理できます。Guidance: Azure role-based access control (Azure RBAC) allows you to manage access to Azure resources through role assignments. これらのロールを、ユーザー、グループ サービス プリンシパル、およびマネージド ID に割り当てることができます。You can assign these roles to users, groups service principals and managed identities. 特定のリソースに対して定義済みの組み込みロールがあります。これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたは照会できます。There are pre-defined built-in roles for certain resources, and these roles can be inventoried or queried through tools such as Azure CLI, Azure PowerShell or the Azure portal.

Cognitive Search のロールは、サービス レベル管理タスクをサポートするアクセス許可に関連付けられています。Cognitive Search roles are associated with permissions that support service level management tasks. これらのロールによって、サービス エンドポイントへのアクセス権が付与されることはありません。These roles do not grant access to the service endpoint. エンドポイントに対する操作 (インデックス管理、インデックスの作成、検索データに対するクエリなど) にアクセスして、API キーを使用して要求を認証します。Access to operations against the endpoint, (such as index management, index population, and queries on search data), use API keys to authenticate the request.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.2: 既定のパスワードを変更する (該当する場合)3.2: Change default passwords where applicable

ガイダンス:Cognitive Search には適用されません。Guidance: Not Applicable to Cognitive Search. これに、既定のパスワードという概念はありません。It does not have a concept of default passwords.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

3.3: 専用管理者アカウントを使用する3.3: Use dedicated administrative accounts

ガイダンス:Cognitive Search には、インデックスと操作の管理に使用できるローカル レベルまたは Azure Active Directory (Azure AD) の管理者アカウントという概念はありません。Guidance: Cognitive Search does not have the concept of any local-level or Azure Active Directory (Azure AD) administrator accounts that can be used to manage indexes and operations.

管理操作には、明示的に割り当てる必要がある Azure AD 組み込みロールを使用します。Use the Azure AD built-in roles which must be explicitly assigned for management operations. Azure AD PowerShell モジュールを呼び出してアドホック クエリを実行し、管理グループのメンバーであるアカウントを検出します。Invoke the Azure AD PowerShell module to perform ad-hoc queries to discover accounts that are members of administrative groups.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.4: シングル サインオン (SSO) と Azure Active Directory を統合する3.4: Use single sign-on (SSO) with Azure Active Directory

ガイダンス:Azure Resource Manager を通してサポートされる管理操作については、Azure Active Directory (Azure AD) で SSO 認証を使用して検索サービス情報にアクセスします。Guidance: Use SSO authentication with Azure Active Directory (Azure AD) to access search service information for management operations supported through Azure Resource Manager.

組織の既存の ID でのサービスへの SSO を有効にするプロセスを確立することで、ID と資格情報の数を減らします。Establish a process to reduce the number of identities and credentials by enabling SSO for the service with your organization's pre-existing identities.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.5: すべての Azure Active Directory ベースのアクセスに多要素認証を使用する3.5: Use multi-factor authentication for all Azure Active Directory based access

ガイダンス:Azure Active Directory (Azure AD) 多要素認証 (MFA) 機能を有効にし、Security Center の ID とアクセスに関する推奨事項に従います。Guidance: Enable Azure Active Directory's (Azure AD) Multi-Factor Authentication (MFA) feature and follow Security Center's Identity and Access recommendations.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.6: すべての管理タスクに専用マシン (特権アクセス ワークステーション) を使用する3.6: Use dedicated machines (Privileged Access Workstations) for all administrative tasks

ガイダンス:多要素認証 (MFA) が構成された特権アクセス ワークステーション (PAW) を使用してログインし、Azure リソースにアクセスします。Guidance: Use a Privileged Access Workstation (PAW) with Multi-Factor Authentication (MFA) configured to log into and access Azure resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

3.7: 管理者アカウントからの疑わしいアクティビティに関するログとアラート3.7: Log and alert on suspicious activities from administrative accounts

ガイダンス:Azure Active Directory (Azure AD) のセキュリティ レポートと監視を使用して、環境内で疑わしいアクティビティや安全でないアクティビティが発生したときに検出します。Guidance: Use Azure Active Directory (Azure AD) security reports and monitoring to detect when suspicious or unsafe activity occurs in the environment. Security Center を使用して ID とアクセスのアクティビティを監視します。Use Security Center to monitor identity and access activity.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

3.8:承認された場所からのみ Azure リソースを管理する3.8: Manage Azure resources only from approved locations

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. 承認された場所をアクセスの条件として使用することはサポートされていません。It does not support using approved location as condition for access.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

3.9: Azure Active Directory を使用する3.9: Use Azure Active Directory

ガイダンス:Azure Cognitive Search におけるサービス レベル管理タスク用の中央認証および認可システムとして Azure Active Directory (Azure AD) を使用します。Guidance: Use Azure Active Directory (Azure AD) as the central authentication and authorization system for service level management tasks in Azure Cognitive Search. Azure AD ID によって検索サービス エンドポイントへのアクセス権が付与されることはありません。Azure AD identities do not grant access to the search service endpoint. インデックスの管理、インデックスの作成、検索データのクエリなどの操作へのアクセスは、API キーによって利用可能になります。Access to operations such as index management, index population, and queries on search data are available via API keys.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.10: ユーザー アクセスを定期的に確認して調整する3.10: Regularly review and reconcile user access

ガイダンス: Azure Active Directory (Azure AD) では、古いアカウントの検出に役立つログが提供されます。Guidance: Azure Active Directory (Azure AD) provides logs to help discover stale accounts. Azure AD の ID およびアクセス レビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、ロールの割り当てを効率的に管理します。Use Azure AD's Identity and access reviews to efficiently manage group memberships, access to enterprise applications, and role assignments. ユーザー アクセスを定期的にレビューし、適切なユーザーのみが継続的なアクセス権を持っていることを確認できます。User access can be reviewed on a regular basis to make sure only the right users have continued access.

インデックス管理、インデックスの作成、クエリなど、検索サービス エンドポイントでのアクティビティについては Cognitive Search の診断ログを確認します。Review diagnostic logs from Cognitive Search for activity in the search service endpoint such as index management, index population, and queries.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.11: 非アクティブ化された資格情報へのアクセスの試行を監視する3.11: Monitor attempts to access deactivated credentials

ガイダンス:Azure Active Directory (Azure AD) のサインイン アクティビティ、監査、リスク イベントのログ ソースにアクセスすることにより、任意の SIEM または監視ツールとの統合が可能になります。Guidance: Access to Azure Active Directory (Azure AD) sign-in activity, audit, and risk event log sources, allow you to integrate with any SIEM or monitoring tool.

このプロセスを効率化するには、Azure AD ユーザー アカウントの診断設定を作成し、監査ログとサインイン ログを Log Analytics ワークスペースに送信します。Streamline this process by creating diagnostic settings for Azure AD user accounts and sending the audit logs and sign-in logs to a Log Analytics workspace. Log Analytics ワークスペース内で目的のアラートを構成します。Configure desired alerts within Log Analytics workspace.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.12: アカウント ログイン動作の偏差に関するアラートを生成する3.12: Alert on account login behavior deviation

ガイダンス: Azure Active Directory (Azure AD) Identity Protection 機能を使用して、ユーザー ID に関連して検出された疑わしいアクションに対する自動応答を構成します。Guidance: Use Azure Active Directory (Azure AD) Identity Protection features to configure automated responses to detected suspicious actions related to user identities. 必要に応じて、さらに詳しく調査するために Azure Sentinel にデータを取り込みます。Ingest data into Azure Sentinel for further investigation, as required.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

3.13: サポート シナリオで関連する顧客データに Microsoft がアクセスできるようにする3.13: Provide Microsoft with access to relevant customer data during support scenarios

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. カスタマー ロックボックスでは Cognitive Search がサポートされていません。Customer Lockbox does not support Cognitive Search.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

データ保護Data protection

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。For more information, see the Azure Security Benchmark: Data protection.

4.1: 機密情報のインベントリを維持する4.1: Maintain an inventory of sensitive Information

ガイダンス: 機密情報を格納または処理する Azure リソースを追跡しやすくするには、タグを使用します。Guidance: Use tags to assist in tracking Azure resources that store or process sensitive information.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.2:機密情報を格納または処理するシステムを分離する4.2: Isolate systems storing or processing sensitive information

ガイダンス:開発、テスト、および運用で別々のサブスクリプションまたは管理グループ、あるいはその両方を実装します。Guidance: Implement separate subscriptions and/or management groups for development, test, and production. リソースは、仮想ネットワークまたはサブネットで分離し、適切にタグ付けし、さらにネットワーク セキュリティ グループまたは Azure Firewall 内でセキュリティ保護する必要があります。Resources should be separated by virtual network/subnet, tagged appropriately, and secured within a network security group or Azure Firewall. 機密データを格納または処理するリソースは分離されている必要があります。Resources storing or processing sensitive data should be isolated. プライベート リンクを使用して Cognitive Search に対するプライベート エンドポイントを構成します。Use Private Link to configure a private endpoint to Cognitive Search.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

4.3:機密情報の承認されていない転送を監視してブロックする4.3: Monitor and block unauthorized transfer of sensitive information

ガイダンス: Azure Marketplace からのサードパーティ ソリューションをネットワーク境界で使用して、機密情報の承認されていない転送を監視して、情報セキュリティ担当者にアラートを送信すると同時に、そのような転送をブロックします。Guidance: Use a third-party solution from Azure Marketplace in network perimeters to monitor for unauthorized transfer of sensitive information and block such transfers while alerting information security professionals.

Microsoft では、基になるプラットフォームを管理し、顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護します。Microsoft manages the underlying platform and treats all customer content as sensitive and guards against customer data loss and exposure. Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

4.4:転送中のすべての機密情報を暗号化する4.4: Encrypt all sensitive information in transit

ガイダンス:Cognitive Search では、トランスポート層セキュリティ 1.2 を使用して転送中のデータが暗号化され、すべての接続に対して常に暗号化 (SSL/TLS) が適用されます。Guidance: Cognitive Search encrypts data in transit with Transport Layer Security 1.2 and enforces encryption (SSL/TLS) at all times for all connections. これにより、クライアントとサービス間ですべてのデータが "転送中" に暗号化されます。This ensures all data is encrypted "in transit" between the client and the service.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

4.5:アクティブ検出ツールを使用して機密データを特定する4.5: Use an active discovery tool to identify sensitive data

ガイダンス:Cognitive Search では、データの識別、分類、損失防止の各機能はまだ使用できません。Guidance: Data identification, classification, and loss prevention features are not yet available for Cognitive Search. コンプライアンスのために必要な場合は、サードパーティ ソリューションを実装します。Implement a third-party solution if necessary for compliance purposes.

Microsoft では、基になるプラットフォームを管理し、顧客のすべてのコンテンツを機密として扱い、顧客データを損失や漏洩から保護します。Microsoft manages the underlying platform and treats all customer content as sensitive and guards against customer data loss and exposure. Azure 内の顧客データが確実にセキュリティで保護されるように、Microsoft では一連の堅牢なデータ保護制御および機能を実装して管理しています。To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

4.6:Azure RBAC を使用してリソースへのアクセスを制御する4.6: Use Azure RBAC to manage access to resources

ガイダンス:サービスの管理については、Azure のロールベースのアクセス制御 (Azure RBAC) を使用してキーと構成へのアクセスを管理します。Guidance: For service administration, use Azure role-based access control (Azure RBAC) to manage access to keys and configuration. インデックス作成やクエリなどのコンテンツ操作については、Cognitive Search では ID ベースのアクセス制御モデルの代わりにキーを使用します。For content operations, such as indexing and queries, Cognitive Search uses keys instead of an identity-based access control model. Azure RBAC を使用してキーへのアクセスを制御します。Use Azure RBAC to control access to keys.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

4.7:ホストベースのデータ損失防止を使用してアクセス制御を実施する4.7: Use host-based data loss prevention to enforce access control

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. このガイドラインは、コンピューティング リソースを対象にしています。This guideline is intended for compute resources.

Microsoft では、Cognitive Search 用の基になるインフラストラクチャを管理し、顧客データの損失や漏洩を防ぐための厳格な管理を実施してきました。Microsoft manages the underlying infrastructure for Cognitive Search and has implemented strict controls to prevent the loss or exposure of customer data.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

4.8:機密情報を保存時に暗号化する4.8: Encrypt sensitive information at rest

ガイダンス:Cognitive Search では、インデックス付きコンテンツが保存時に Microsoft マネージド キーを使用して自動的に暗号化されます。Guidance: Cognitive Search automatically encrypts indexed content at rest with Microsoft-managed keys. 保護を強化する必要がある場合は、Azure Key Vault 内で作成して管理するキーを使用して、既定の暗号化を第 2 の暗号化レイヤーで補完できます。If more protection is needed, you can supplement default encryption with a second encryption layer using keys that you create and manage in Azure Key Vault.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: 共有Responsibility: Shared

4.9:重要な Azure リソースへの変更に関するログとアラート4.9: Log and alert on changes to critical Azure resources

ガイダンス:Cognitive Search の運用インスタンスやその他の重要または関連リソースに変更が発生したときにアラートを作成するには、Azure Monitor と Azure アクティビティ ログを使用します。Guidance: Use Azure Monitor with the Azure Activity Log to create alerts for when changes take place to production instances of Cognitive Search and other critical or related resources.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

脆弱性の管理Vulnerability management

詳細については、Azure セキュリティ ベンチマークの「脆弱性の管理」を参照してください。For more information, see the Azure Security Benchmark: Vulnerability management.

5.1:自動化された脆弱性スキャン ツールを実行する5.1: Run automated vulnerability scanning tools

ガイダンス:現在、Cognitive Search では使用できません。Guidance: Currently not available to Cognitive Search. 検索サービスのコンテンツを格納するクラスターについては、Microsoft がそれらのクラスターの脆弱性管理を行います。For clusters that store search service content, Microsoft is responsible for vulnerability management of those clusters.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: MicrosoftResponsibility: Microsoft

5.2:自動化されたオペレーティング システム修正プログラム管理ソリューションを展開する5.2: Deploy automated operating system patch management solution

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

5.3:サード パーティ ソフトウェア タイトル用の自動化された修正プログラム管理ソリューションをデプロイする5.3: Deploy an automated patch management solution for third-party software titles

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

5.4:バックツーバックの脆弱性スキャンを比較する5.4: Compare back-to-back vulnerability scans

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. Microsoft では、Cognitive Search サービスをサポートしている基になるシステムで脆弱性の管理を行います。Microsoft performs vulnerability management on the underlying systems that support Cognitive Search services.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: MicrosoftResponsibility: Microsoft

5.5:リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付ける5.5: Use a risk-rating process to prioritize the remediation of discovered vulnerabilities

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. これには、脆弱性スキャンの結果用の標準のリスク評価またはスコアリング システムは用意されていません。It does not have any standard risk-rating or scoring system in place for vulnerability scan results.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

インベントリと資産の管理Inventory and asset management

詳細については、Azure セキュリティ ベンチマークの「インベントリと資産の管理」を参照してください。For more information, see the Azure Security Benchmark: Inventory and asset management.

6.1:自動化された資産検出ソリューションを使用する6.1: Use automated asset discovery solution

ガイダンス:Azure Resource Graph を使用して、サブスクリプション内のすべてのリソース (コンピューティング、ストレージ、ネットワーク、ポート、プロトコルなど) のクエリおよび検出を行います。Guidance: Use Azure Resource Graph to query for and discover all resources (such as compute, storage, network, ports, protocols, and so on) in your subscriptions.

テナントで適切な (読み取り) アクセス許可を確認し、サブスクリプション内のリソースだけでなく、すべての Azure サブスクリプションを列挙します。Ensure appropriate (read) permissions in your tenant and enumerate all Azure subscriptions as well as resources in your subscriptions.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.2:資産メタデータを保持する6.2: Maintain asset metadata

ガイダンス:メタデータを使用して Azure リソースにタグを適用し、それらを各分類に論理的に整理します。Guidance: Apply tags to Azure resources with metadata to logically organize them into a taxonomy.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.3:承認されていない Azure リソースを削除する6.3: Delete unauthorized Azure resources

ガイダンス: 必要に応じて、タグ付け、管理グループ、および個別のサブスクリプションを使用して、資産の整理と追跡を行います。Guidance: Use tagging, management groups, and separate subscriptions where appropriate, to organize and track assets. 定期的にインベントリを調整し、承認されていないリソースがサブスクリプションから適切なタイミングで削除されるようにします。Reconcile inventory on a regular basis and ensure unauthorized resources are deleted from the subscription in a timely manner.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.4:承認された Azure リソースのインベントリを定義および管理する6.4: Define and maintain an inventory of approved Azure resources

ガイダンス:Cognitive Search でのインデックス作成とスキルセット処理に関連する承認済みの Azure リソースの一覧を定義します。Guidance: Define a list of approved Azure resources related to indexing and skillset processing in Cognitive Search.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.5:承認されていない Azure リソースを監視する6.5: Monitor for unapproved Azure resources

ガイダンス:組織のポリシーと標準に従って使用を承認する Azure リソースのインベントリを事前に定義してから、Azure Policy または Azure Resource Graph を使用して未承認の Azure リソースを監視することをお勧めします。Guidance: It is recommended that you define an inventory of Azure resources which have been approved for usage as per your organizational policies and standards prior, then monitor for unapproved Azure resources with Azure Policy, or Azure Resource Graph.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

6.6:コンピューティング リソース内の承認されていないソフトウェア アプリケーションを監視する6.6: Monitor for unapproved software applications within compute resources

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. このガイダンスは、コンピューティング リソースを対象にしています。This guidance is intended for compute resources.

組織のポリシーとセキュリティ標準に従って承認されたソフトウェア アプリケーションのインベントリを作成し、Azure コンピューティング リソースにインストールされている未承認のソフトウェア タイトルを監視することをお勧めします。It is recommended that you have an inventory of software applications which have been deemed approved as per your organizational policies and security standards, and monitor for any unapproved software titles installed on your Azure compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.7:承認されていない Azure リソースとソフトウェア アプリケーションを削除する6.7: Remove unapproved Azure resources and software applications

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.8:承認されたアプリケーションのみを使用する6.8: Use only approved applications

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. これによってコンピューティング リソースが公開されることはなく、そのリソースのいずれかにソフトウェア アプリケーションをインストールすることが許可されることもありません。It does not expose any compute resources or allows installation of software applications on any of its resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.9:承認された Azure サービスのみを使用する6.9: Use only approved Azure services

ガイダンス:次の組み込みのポリシー定義を使用して顧客のサブスクリプション内に作成できるリソースの種類に制限を適用するには、Azure Policy を使用します。Guidance: Use Azure Policy to place restrictions on the type of resources that can be created in customer subscriptions using the following built-in policy definitions:

  • 許可されないリソースの種類Not allowed resource types
  • 許可されるリソースの種類Allowed resource types

サブスクリプション内のリソースのクエリまたは検出を行うには、Azure Resource Graph を使用します。Use Azure Resource Graph to query or discover resources within your subscription(s). 環境に存在するすべての Azure リソースが承認されていることを確認します。Ensure that all Azure resources present in the environment are approved.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.10:承認されたソフトウェア タイトルのインベントリを管理する6.10: Maintain an inventory of approved software titles

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソース上で実行されているアプリケーションを対象にしています。This recommendation is intended for applications running on compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.11:Azure Resource Manager を操作するユーザーの機能を制限する6.11: Limit users' ability to interact with Azure Resource Manager

ガイダンス:サービス管理については、Azure 条件付きアクセスを使用して "Microsoft Azure Management" アプリに "アクセスのブロック" を構成することによって、Azure Resource Manager を操作するユーザーの機能を制限します。Guidance: For service management, use Azure Conditional Access to limit users' ability to interact with Azure Resource Manager by configuring "Block access" for the "Microsoft Azure Management" App.

他のすべての操作 (特に、Cognitive Search のコンテンツに関連する操作) については、要求を認証するために使用されるキーへのアクセスを制御します。Control access to the keys used to authenticate requests for all other operations, particularly those related to content with Cognitive Search.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

6.12:コンピューティング リソースでスクリプトを実行するユーザーの機能を制限する6.12: Limit users' ability to execute scripts in compute resources

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

6.13:リスクの高いアプリケーションを物理的または論理的に分離する6.13: Physically or logically segregate high risk applications

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、Azure App Service またはコンピューティング リソース上で実行されている Web アプリケーションを対象にしています。This recommendation is intended for for web applications running on Azure App Service or compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

セキュリティで保護された構成Secure configuration

詳細については、Azure セキュリティ ベンチマークの「セキュリティで保護された構成」を参照してください。For more information, see the Azure Security Benchmark: Secure configuration.

7.1:すべての Azure リソースに対してセキュリティで保護された構成を確立する7.1: Establish secure configurations for all Azure resources

ガイダンス:Azure Cognitive Search リソースの構成を監査または適用するためのカスタム ポリシーを作成するには、"Microsoft.Search" 名前空間で Azure Policy エイリアスを使用します。Guidance: Use Azure Policy aliases in the "Microsoft.Search" namespace to create custom policies to audit or enforce the configuration of your Azure Cognitive Search resources. Cognitive Search サービスに次のような組み込みの Azure Policy 定義を使用することもできます。You may also use built-in Azure Policy definitions for Cognitive Search services such as:

  • Azure リソースの監査ログ記録を有効にするEnable audit logging for Azure resources

Azure Resource Manager には、JavaScript Object Notation (JSON) でテンプレートをエクスポートする機能があり、構成が確実に組織のセキュリティ要件を満たすように確認する必要があります。Azure Resource Manager has the ability to export the template in JavaScript Object Notation (JSON), which should be reviewed to ensure that the configurations meet the security requirements for your organization.

また、ご利用の Azure リソース用の安全な構成基準として Azure Security Center からのレコメンデーションを使用することもできます。You can also use the recommendations from Azure Security Center as a secure configuration baseline for your Azure resources.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.2:セキュリティで保護されたオペレーティング システムの構成を確立する7.2: Establish secure operating system configurations

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.3:セキュリティで保護された Azure リソースの構成を維持する7.3: Maintain secure Azure resource configurations

ガイダンス:Cognitive Search サービス リソース全体にセキュリティで保護された設定を適用するには、Azure Policy の [deny] および [deploy if not exist] 効果を使用します。Guidance: Use Azure Policy [deny] and [deploy if not exist] effects, to enforce secure settings across your Cognitive Search service resources.

Azure Resource Manager テンプレートを使用して、組織に必要な Azure リソースのセキュリティ構成を維持できます。Azure Resource Manager templates can be used to maintain the security configuration of your Azure resources required by your organization.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.4:セキュリティで保護されたオペレーティング システムの構成を維持する7.4: Maintain secure operating system configurations

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.5:Azure リソースの構成を安全に格納する7.5: Securely store configuration of Azure resources

ガイダンス: カスタムの Azure Policy 定義を使用する場合は、Azure DevOps または Azure Repos を使用して、コードを安全に格納して管理します。Guidance: If using custom Azure Policy definitions, use Azure DevOps or Azure Repos to securely store and manage your code.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.6:カスタム オペレーティング システム イメージを安全に格納する7.6: Securely store custom operating system images

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.7:Azure リソース用の構成管理ツールをデプロイする7.7: Deploy configuration management tools for Azure resources

ガイダンス:Azure Policy を使用して、Cognitive Search サービス リソースの標準的なセキュリティ構成を定義して実装します。Guidance: Define and implement standard security configurations for your Cognitive Search service resources using Azure Policy.

ネットワーク構成を監査または適用するには、エイリアスを使用してカスタム ポリシーを作成します。Use aliases to create custom policies to audit or enforce the network configurations. また、特定のリソースに関連する組み込みのポリシー定義を使用することもできます。You can also make use of built-in policy definitions related to your specific resources.

さらに、Azure Automation を使用して、構成の変更をデプロイしたりポリシーの例外を管理したりすることもできます。Additionally, you can use Azure Automation to deploy configuration changes and manage policy exceptions.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

7.8:オペレーティング システム用の構成管理ツールをデプロイする7.8: Deploy configuration management tools for operating systems

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.9:Azure リソースの自動構成監視を実装する7.9: Implement automated configuration monitoring for Azure resources

ガイダンス:Cognitive Search サービス リソースのベースライン スキャンを実行するには、Security Center を使用します。Guidance: Use Security Center to perform baseline scans of your Cognitive Search service resources. さらに、Azure Policy を使用してご使用のリソース構成をアラート送信および監査します。Additionally, use Azure Policy to alert and audit your resource configurations.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

7.10:オペレーティング システムの自動構成監視を実装する7.10: Implement automated configuration monitoring for operating systems

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

7.11:Azure シークレットを安全に管理する7.11: Manage Azure secrets securely

ガイダンス:Azure マネージド ID を Azure Key Vault と組み合わせて使用して、クラウド アプリケーションのシークレット管理を簡素化します。Guidance: Use Azure Managed Identities in conjunction with Azure Key Vault to simplify secret management for your cloud applications.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

7.12:ID を安全かつ自動的に管理する7.12: Manage identities securely and automatically

ガイダンス:Azure マネージド ID を使用すると、Azure Active Directory (Azure AD) で自動的に管理されている ID を使用して、Key Vault などの他の Azure サービスやインデクサー データ ソースへのアクセスを Cognitive Search に提供できます。Guidance: Use an Azure Managed Identity to give Cognitive Search access to other Azure services such as Key Vault and indexer data sources using an automatically-managed identity in Azure Active Directory (Azure AD). マネージド ID を使用すると、コード内に資格情報を記述することなく、Azure AD 認証をサポートする任意のサービス (Azure Key Vault を含む) に対して認証することができます。Managed identities allow you to authenticate to any service that supports Azure AD authentication, including Azure Key Vault, without any credentials in your code.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

7.13:意図しない資格情報の公開を排除する7.13: Eliminate unintended credential exposure

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. これによってコードがホストされることはなく、識別される資格情報もありません。It does not host code and does not have any credentials to identify.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

マルウェアからの防御Malware defense

詳細については、Azure セキュリティ ベンチマークの「マルウェアからの防御」を参照してください。For more information, see the Azure Security Benchmark: Malware defense.

8.1:一元管理されるマルウェア対策ソフトウェアを使用する8.1: Use centrally managed antimalware software

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. この推奨事項は、コンピューティング リソースを対象にしています。This recommendation is intended for compute resources.

Microsoft のマルウェア対策が、Azure サービス (Azure Cognitive Search など) をサポートする基になるホストで有効にされます。ただし、顧客のコンテンツに対しては実行されません。Microsoft anti-malware is enabled on the underlying host that supports Azure services (for example, Azure Cognitive Search), however it does not run on customer content.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 適用なしResponsibility: Not applicable

8.2:非コンピューティング Azure リソースにアップロードするファイルを事前にスキャンする8.2: Pre-scan files to be uploaded to non-compute Azure resources

ガイダンス:Cognitive Search、Blob Storage、Azure SQL Database などの非コンピューティング Azure リソースにアップロードされるコンテンツはすべて、事前にスキャンしてください。Guidance: Pre-scan any content being uploaded to non-compute Azure resources, such as Cognitive Search, Blob Storage, Azure SQL Database, and so on.

非コンピューティング Azure リソースにアップロードされている任意のコンテンツを事前にスキャンするのは、お客様の責任となります。It is your responsibility to pre-scan any content being uploaded to non-compute Azure resources. Microsoft は、お客様のデータにアクセスできないため、お客様に代わってお客様のコンテンツのマルウェア対策スキャンを実行することはできません。Microsoft cannot access customer data, and therefore cannot conduct anti-malware scans of customer content on your behalf.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

手順 8.3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする8.3: Ensure antimalware software and signatures are updated

ガイダンス:Cognitive Search には適用されません。Guidance: Not applicable to Cognitive Search. そのリソースにマルウェア対策ソリューションをインストールすることはできません。It does not allow for anti-malware solutions to be installed on it's resources. 基になるプラットフォームでは、Microsoft によりマルウェア対策ソフトウェアとシグネチャの更新が処理されます。For the underlying platform Microsoft handles updating any anti-malware software and signatures.

お客様の組織がコンピューティング リソースを所有していて、それを検索ソリューションに使用している場合は、Security Center のコンピューティングとアプリの推奨事項に従ってすべてのエンドポイントが最新のシグネチャに更新されていることを確認します。For any compute resources that are owned by your organization and used in your search solution, follow recommendations in Security Center, Compute & Apps to ensure all endpoints are up to date with the latest signatures. Linux の場合は、サード パーティのマルウェア対策ソリューションを使用します。For Linux, use a third-party anti-malware solution.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

データの復旧Data recovery

詳細については、Azure セキュリティ ベンチマークの「データの復旧」を参照してください。For more information, see the Azure Security Benchmark: Data recovery.

9.1:定期的に自動バックアップを行う9.1: Ensure regular automated back ups

ガイダンス:検索サービスに格納されているコンテンツを Azure Backup またはその他の組み込みメカニズムを使用してバックアップすることはできませんが、アプリケーションのソース コードとプライマリ データ ソースからインデックスを再構築したり、インデックス付きのコンテンツを取得して格納するためのカスタム ツールを作成したりすることができます。Guidance: Content stored in a search service cannot be be backed up through Azure Backup or any other built-in mechanism, but you can rebuild an index from application source code and primary data sources, or build a custom tool to retrieve and store indexed content.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

9.2: システムの完全バックアップを実行し、すべてのカスタマー マネージド キーをバックアップする9.2: Perform complete system backups and backup any customer-managed keys

ガイダンス:Cognitive Search では現在、検索サービスのデータの自動バックアップがサポートされていないため、手動プロセスを使用してバックアップする必要があります。Guidance: Cognitive Search currently doesn't support automated backup for data in a search service and must be backed up via a manual process. また、Azure Key Vault にカスタマー マネージド キーをバックアップすることもできます。You can also backup customer-managed keys in Azure Key Vault.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

9.3:カスタマー マネージド キーを含むすべてのバックアップを検証する9.3: Validate all backups including customer-managed keys

ガイダンス:Cognitive Search では現在、検索サービスのデータの自動バックアップがサポートされていないため、手動プロセスを使用してバックアップと復元を行う必要があります。Guidance: Cognitive Search currently doesn't support automated backup for data in a search service and must be backed up and restored via a manual process. バックアップ プロセスのエンド ツー エンドの整合性を確認するために、手動でバックアップしたコンテンツのデータ復元を定期的に実行します。Periodically perform data restoration of content you have manually backed up to ensure the end-to-end integrity of your backup process.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

9.4: バックアップとカスタマー マネージド キーの保護を保証する9.4: Ensure protection of backups and customer-managed keys

ガイダンス:Cognitive Search では現在、検索サービスのデータの自動バックアップがサポートされていないため、手動プロセスを使用してバックアップする必要があります。Guidance: Cognitive Search currently does not support automated backup for data in a search service and must be backed up via a manual process. また、Azure Key Vault にカスタマー マネージド キーをバックアップすることもできます。You can also backup customer-managed keys in Azure Key Vault.

Key Vault で論理的な削除と消去保護を有効にして、偶発的または悪意のある削除からキーを保護します。Enable soft delete and purge protection in Key Vault to protect keys against accidental or malicious deletion. Azure Storage を使用して手動でバックアップを格納する場合は、論理的な削除機能を有効にすれば、BLOB または BLOB のスナップショットが削除されたときにデータを保存し、復旧することができます。If Azure Storage is used to store manual backups, enable soft delete to save and recover your data when blobs or blob snapshots are deleted.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

インシデント対応Incident response

詳細については、Azure セキュリティ ベンチマークの「インシデント対応」を参照してください。For more information, see the Azure Security Benchmark: Incident response.

10.1:インシデント対応ガイドを作成する10.1: Create an incident response guide

ガイダンス: 組織のインシデント対応ガイドを作成します。Guidance: Develop an incident response guide for your organization. 要員のすべてのロールと、検出からインシデント後のレビューまでのインシデント対応と管理のフェーズを定義する、書面によるインシデント対応計画があることを確認します。Ensure there are written incident response plans that define all the roles of personnel as well as the phases of incident handling and management from detection to post-incident review.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.2:インシデントのスコアリングと優先順位付けの手順を作成する10.2: Create an incident scoring and prioritization procedure

ガイダンス: Security Center によって各アラートに重大度が割り当てられるため、最初に調査する必要があるアラートの優先順位付けに役立ちます。Guidance: Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. 重要度は、アラートの発行に使用された Security Center の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。The severity is based on how confident Security Center is in the finding or the analytically used to issue the alert as well as the confidence level that there was malicious intent behind the activity that led to the alert.

さらに、タグを使用してサブスクリプションをマークし、Azure リソース (特に、機密データを処理するもの) を識別して分類するための命名システムを作成します。Additionally, mark subscriptions using tags and create a naming system to identify and categorize Azure resources, especially those processing sensitive data. インシデントが発生した Azure リソースと環境の重要度に基づいてアラートの修復に優先順位を付けることは、お客様の責任です。It's your responsibility to prioritize the remediation of alerts based on the criticality of the Azure resources and environment where the incident occurred.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

10.3:セキュリティ対応手順のテスト10.3: Test security response procedures

ガイダンス:定期的にシステムのインシデント対応機能をテストする演習を実施します。Guidance: Conduct exercises to test your systems’ incident response capabilities on a regular cadence. 弱点やギャップを特定し、必要に応じて計画を見直します。Identify weak points and gaps and revise plan as needed.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.4:セキュリティ インシデントの連絡先の詳細を指定し、セキュリティ インシデントのアラート通知を構成します10.4: Provide security incident contact details and configure alert notifications for security incidents

ガイダンス:セキュリティ インシデントの連絡先情報は、Microsoft Security Response Center (MSRC) でユーザーのデータが違法または権限のないユーザーによってアクセスされたことが検出された場合に、Microsoft からの連絡先として使用されます。Guidance: Security incident contact information will be used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party. 事後にインシデントをレビューして、問題が解決されていることを確認します。Review incidents after the fact to ensure that issues are resolved.

Azure Security Center の監視: はいAzure Security Center monitoring: Yes

責任: CustomerResponsibility: Customer

10.5:インシデント対応システムにセキュリティ アラートを組み込む10.5: Incorporate security alerts into your incident response system

ガイダンス: 連続エクスポート機能を使用して Security Center のアラートと推奨事項をエクスポートします。Guidance: Export your Security Center alerts and recommendations using the Continuous Export feature. 連続エクスポートを使用すると、アラートと推奨事項を手動で、または連続的な方法でエクスポートできます。Continuous Export allows you to export alerts and recommendations either manually or on a continuous basis. Security Center データ コネクタを使用してアラートを Azure Sentinel にストリーミングできます。You can use the Security Center data connector to stream the alerts to Azure Sentinel.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: CustomerResponsibility: Customer

10.6:セキュリティ アラートへの対応を自動化する10.6: Automate the response to security alerts

ガイダンス:セキュリティ アラートやセキュリティに関する推奨事項に対して "Logic Apps" 経由で応答を自動的にトリガーするには、Azure Security Center のワークフローの自動化機能を使用します。Guidance: Use the Workflow Automation feature in Azure Security Center to automatically trigger responses via "Logic Apps" on security alerts and recommendations.

Azure Security Center の監視: 現在は使用できませんAzure Security Center monitoring: Currently not available

責任: CustomerResponsibility: Customer

侵入テストとレッド チーム演習Penetration tests and red team exercises

詳細については、Azure セキュリティ ベンチマークの「侵入テストとレッド チーム演習」を参照してください。For more information, see the Azure Security Benchmark: Penetration tests and red team exercises.

11.1:Azure リソースの通常の侵入テストを実施し、セキュリティに関する重大な調査結果がすべて、確実に修復されるようにする11.1: Conduct regular penetration testing of your Azure resources and ensure remediation of all critical security findings

ガイダンス: お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。Guidance: Follow the Microsoft Cloud Penetration Testing Rules of Engagement to ensure your penetration tests are not in violation of Microsoft policies. Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。Use Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications.

Azure Security Center の監視: 適用なしAzure Security Center monitoring: Not applicable

責任: 共有Responsibility: Shared

次のステップNext steps