Azure Security Center 内のセキュリティ スコアSecure score in Azure Security Center

セキュリティ スコアの概要Introduction to secure score

Azure Security Center には主に次の 2 つの目標があります。Azure Security Center has two main goals:

  • 現在のセキュリティ状況を把握することto help you understand your current security situation
  • セキュリティを効率的かつ効果的に向上させることto help you efficiently and effectively improve your security

これらの目標を達成できるようにする Security Center の中心となる機能が、セキュリティ スコア です。The central feature in Security Center that enables you to achieve those goals is secure score.

Security Center は、セキュリティの問題について、リソース、サブスクリプション、および組織を継続的に評価します。Security Center continually assesses your resources, subscriptions, and organization for security issues. その後、すべての結果を 1 つのスコアに集約して、現在のセキュリティの状況を一目で確認できるようにします。スコアが高くなるほど、識別されたリスク レベルが低下します。It then aggregates all the findings into a single score so that you can tell, at a glance, your current security situation: the higher the score, the lower the identified risk level.

セキュリティ スコアは、Azure portal のページにパーセント値として表示されますが、基になる値も明確に示されます。The secure score is shown in the Azure portal pages as a percentage value, but the underlying values are also clearly presented:

ポータルに表示された全体的なセキュリティ スコア

セキュリティを強化するには、スコアを上げるために必要な未処理のアクションについて Security Center の推奨事項に関するページを参照してください。To increase your security, review Security Center's recommendations page for the outstanding actions necessary to raise your score. 各推奨事項には、特定の問題を修復するための手順が含まれています。Each recommendation includes instructions to help you remediate the specific issue.

推奨事項は、セキュリティ コントロール にグループ化されています。Recommendations are grouped into security controls. 各コントロールは、関連するセキュリティの推奨事項の論理グループであり、脆弱な攻撃対象領域を反映しています。Each control is a logical group of related security recommendations, and reflects your vulnerable attack surfaces. コントロール内の 1 つのリソースに関する推奨事項を "すべて" 修復した場合にのみ、スコアが向上します。Your score only improves when you remediate all of the recommendations for a single resource within a control. 組織が個々の攻撃面をどの程度セキュリティで保護できているかを確認するには、各セキュリティ コントロールのスコアを確認します。To see how well your organization is securing each individual attack surface, review the scores for each security control.

詳細については、「セキュリティ スコアの計算方法」を参照してください。For more information, see How your secure score is calculated below.

セキュリティ スコアにアクセスするAccess your secure score

次のセクションで説明するように、Azure portal またはプログラムによって、全体的なセキュリティ スコアとサブスクリプションごとのスコアを確認できます。You can find your overall secure score, as well as your score per subscription, through the Azure portal or programatically as described in the following sections:

ポータルからセキュリティ スコアを取得するGet your secure score from the portal

ポータルで、Security Center にはスコアが目立つように表示されます。これは、Security Center の [概要] ページの最初の主なタイルです。Security Center displays your score prominently in the portal: it's the first main tile the Security Center overview page. このタイルを選択すると、スコアがサブスクリプション別に分類されている専用のセキュリティ スコア ページに移動ます。Selecting this tile, takes you to the dedicated secure score page, where you'll see the score broken down by subscription. サブスクリプションを 1 つ選択すると、優先度が設定された推奨事項と、修復によるスコアへの影響を示す詳細な一覧が表示されます。Select a single subscription to see the detailed list of prioritized recommendations and the potential impact that remediating them will have on the subscription's score.

要約すると、Security Center のポータル ページの次の場所に、セキュリティ スコアが表示されます。To recap, your secure score is shown in the following locations in Security Center's portal pages.

  • Security Center の [概要] にあるタイル (メイン ダッシュボード):In a tile on Security Center's Overview (main dashboard):

    Security Center のダッシュボード上のセキュリティ スコア

  • 専用の セキュリティ スコア ページ:In the dedicated Secure score page:

    Security Center の [セキュリティ スコア] ページのセキュリティ スコア

  • [推奨事項] ページの上部:At the top of the Recommendations page:

    Security Center の [推奨事項] ページのセキュリティ スコア

REST API からセキュリティ スコアを取得するGet your secure score from the REST API

スコアには、Secure Scores API (現在プレビュー段階) を使用してアクセスできます。You can access your score via the secure score API (currently in preview). この API メソッドを使用すると、データに対してクエリを実行したり、一定期間のセキュリティ スコアをレポートする独自のメカニズムを構築したりするための柔軟性が得られます。The API methods provide the flexibility to query the data and build your own reporting mechanism of your secure scores over time. たとえば、Secure Scores API を使用して、特定のサブスクリプションのスコアを取得できます。For example, you can use the Secure Scores API to get the score for a specific subscription. また、Secure Score Controls API を使用して、サブスクリプションのセキュリティ コントロールと現在のスコアを一覧表示できます。In addition, you can use the Secure Score Controls API to list the security controls and the current score of your subscriptions.

API を使用して 1 つのセキュリティ スコアを取得する

Secure Scores API を使用して構築されたツールの例については、GitHub コミュニティのセキュリティ スコアの領域を参照してください。For examples of tools built on top of the secure score API, see the secure score area of our GitHub community.

Azure Resource Graph (ARG) からセキュリティ スコアを取得するGet your secure score from Azure Resource Graph (ARG)

Azure Resource Graph を使用すると、堅牢なフィルター処理、グループ化、および並べ替え機能を使用して、クラウド環境全体のリソース情報にすばやくアクセスできます。Azure Resource Graph provides instant access to resource information across your cloud environments with robust filtering, grouping, and sorting capabilities. これは、Azure サブスクリプション全体の情報を、プログラムから、または Azure portal 内ですばやく効率的に照会する方法です。It's a quick and efficient way to query information across Azure subscriptions programmatically or from within the Azure portal. Azure Resource Graph の詳細についてさらに学習しますLearn more about Azure Resource Graph.

ARG を使用して複数のサブスクリプションのセキュリティ スコアにアクセスするには:To access the secure score for multiple subscriptions with ARG:

  1. Azure portal から Azure Resource Graph Explorer を開きます。From the Azure portal, open Azure Resource Graph Explorer.

    Azure Resource Graph エクスプローラーの起動** 推奨ページ

  2. Kusto クエリを入力します (詳細については、次の例を参照してください)。Enter your Kusto query (using the examples below for guidance).

    • このクエリによって、サブスクリプション ID、現在のスコア (ポイントおよびパーセント表記)、およびサブスクリプションの最大スコアが返されます。This query returns the subscription ID, the current score in points and as a percentage, and the maximum score for the subscription.

      SecurityResources 
      | where type == 'microsoft.security/securescores' 
      | extend current = properties.score.current, max = todouble(properties.score.max)
      | project subscriptionId, current, max, percentage = ((current / max)*100)
      
    • このクエリによって、すべてのセキュリティ コントロールの状態が返されます。This query returns the status of all the security controls. 各コントロールについて、異常なリソースの数、現在のスコア、および最大スコアを取得します。For each control, you'll get the number of unhealthy resources, the current score, and the maximum score.

      SecurityResources 
      | where type == 'microsoft.security/securescores/securescorecontrols'
      | extend SecureControl = properties.displayName, unhealthy = properties.unhealthyResourceCount, currentscore = properties.score.current, maxscore = properties.score.max
      | project SecureControl , unhealthy, currentscore, maxscore
      
  3. [クエリの実行] を選択します。Select Run query.

セキュリティ スコアの計算方法How your secure score is calculated

総合的なセキュリティ スコアに対する各セキュリティ コントロールの影響は、[推奨事項] ページで明確に示されています。The contribution of each security control towards the overall secure score is shown clearly on the recommendations page.

強化されたセキュリティ スコアによるセキュリティ コントロールの導入The enhanced secure score introduces security controls

セキュリティ コントロールで取得可能なポイントをすべて取得するには、すべてのリソースがセキュリティ コントロール内のすべてのセキュリティの推奨事項に準拠している必要があります。To get all the possible points for a security control, all your resources must comply with all of the security recommendations within the security control. たとえば、Security Center には、管理ポートをセキュリティで保護する方法に関する推奨事項が複数あります。For example, Security Center has multiple recommendations regarding how to secure your management ports. 以前は、これらの相互に依存する推奨事項の一部を修復して一部を未解決のまま残していても、セキュリティ スコアを上げることができました。In the past, you could remediate some of those related and interdependent recommendations while leaving others unsolved, and your secure score would improve. 客観的に見れば、すべてを解決するまでセキュリティが改善されないことは明白です。When looked at objectively, it's easy to argue that your security hadn't improved until you had resolved them all. 今後は、セキュリティ スコアを改善するには、これらをすべて修復する必要があります。Now, you must remediate them all to make a difference to your secure score.

たとえば、"システム更新プログラムの適用" というセキュリティ コントロールのスコアは最大 6 ポイントです。これは、コントロールの潜在的な増加値に関するヒントに表示されます。For example, the security control called "Apply system updates" has a maximum score of six points, which you can see in the tooltip on the potential increase value of the control:

セキュリティ コントロール "システム更新プログラムの適用"The security control "Apply system updates"

このコントロール (システム更新プログラムの適用) の最大スコアは、常に 6 です。The maximum score for this control, Apply system updates, is always 6. この例では、50 のリソースがあります。In this example, there are 50 resources. このため、最大スコアを 50 で割ると、各リソースが 0.12 ポイントずつ貢献しているという結果になります。So we divide the max score by 50, and the result is that every resource contributes 0.12 points.

  • 上昇の可能性 (0.12 x 8 (正常な状態ではないリソース数) = 0.96) - コントロール内で取得できる残りのポイント数。Potential increase (0.12 x 8 unhealthy resources = 0.96) - The remaining points available to you within the control. このコントロールですべての推奨事項を修復した場合、スコアは 2% 上昇します (この場合、0.96 ポイントは 1 に切り上げられます)。If you remediate all the recommendations in this control, your score will increase by 2% (in this case, 0.96 points rounded up to 1 point).
  • 現在のスコア (0.12 x 42 (正常な状態のリソース数) = 5.04) - このコントロールの現在のスコア。Current score (0.12 x 42 healthy resources = 5.04) - The current score for this control. 合計スコアは、各コントロールを基にしています。Each control contributes towards the total score. この例のコントロールは、現在の合計セキュリティ スコアに 5.04 ポイント貢献しています。In this example, the control is contributing 5.04 points to current secure total.
  • 最大スコア - コントロール内のすべての推奨事項を完了することによって得られるポイントの最大数です。Max score - The maximum number of points you can gain by completing all recommendations within a control. コントロールの最大スコアは、そのコントロールの相対的な有意性を示します。The maximum score for a control indicates the relative significance of that control. 最大スコア値を使用して問題をトリアージし、最初に対処すべき問題を決定します。Use the max score values to triage the issues to work on first.

計算 - スコアを理解するCalculations - understanding your score

メトリックMetric 式と例Formula and example
セキュリティ コントロールの現在のスコアSecurity control's current score
セキュリティ コントロールの現在のスコアを計算するための式Equation for calculating a security control's current score

セキュリティ スコアは、個々のセキュリティ コントロールを基にしています。Each individual security control contributes towards the Security Score. コントロールの現在のスコアは、コントロール内の推奨事項によって影響を受ける各リソースを基にしています。Each resource affected by a recommendation within the control, contributes towards the control's current score. 各コントロールの現在のスコアは、コントロール でリソースの状態を測定したものです。The current score for each control is a measure of the status of the resources within the control.
セキュリティ コントロールの現在のスコアを計算するときに使用される値を示すヒントTooltips showing the values used when calculating the security control's current score
この例では、最大スコア 6 は、正常なリソースと異常なリソースの合計値である 78 で割ることになります。In this example, the max score of 6 would be divided by 78 because that's the sum of the healthy and unhealthy resources.
6 / 78 = 0.07696 / 78 = 0.0769
これを正常なリソースの数 (4) で乗算すると、次に示す現在のスコアになります。Multiplying that by the number of healthy resources (4) results in the current score:
0.0769 * 4 = 0.310.0769 * 4 = 0.31

セキュリティ スコアSecure score
1 つのサブスクリプションSingle subscription

現在のセキュリティ スコアを計算するための式

すべてのコントロールを有効にした単一サブスクリプションのセキュア スコア
この例では、すべてのセキュリティ コントロールを適用可能な 1 つのサブスクリプションがあります (潜在的な最大スコアは 60 ポイントです)。In this example, there is a single subscription with all security controls available (a potential maximum score of 60 points). スコアには取得可能な 60 ポイントのうち 28 ポイントが示され、残りの 32 ポイントは、セキュリティ コントロールの "潜在的な増加スコア" の数値に反映されます。The score shows 28 points out of a possible 60 and the remaining 32 points are reflected in the "Potential score increase" figures of the security controls.
コントロールの一覧と潜在的な増加スコア
セキュリティ スコアSecure score
複数のサブスクリプションMultiple subscriptions

すべてのサブスクリプションのすべてのリソースの現在のスコアが加算され、1 つのサブスクリプションの場合と同じ方法で計算されますThe current scores for all resources across all subscriptions are added and the calculation is then the same as for a single subscription

複数のサブスクリプションを表示する場合、セキュリティ スコアは、すべての有効なポリシー内のすべてのリソースを評価し、各セキュリティ コントロールの最大スコアに対するその組み合わせの影響をグループ化します。When viewing multiple subscriptions, secure score evaluates all resources within all enabled policies and groups their combined impact on each security control's maximum score.
すべてのコントロールが有効な複数のサブスクリプションのセキュリティ スコアSecure score for multiple subscriptions with all controls enabled
結合されたスコアは平均では ありません。これは、すべてのサブスクリプションのすべてのリソースの状態の体制を評価したものです。The combined score is not an average; rather it's the evaluated posture of the status of all resources across all subscriptions.
ここでも、[推奨事項] ページにアクセスして、取得可能なポイントを追加すると、現在のスコア (24) と利用可能な最大スコア (60) の差を確認できます。Here too, if you go to the recommendations page and add up the potential points available, you will find that it's the difference between the current score (24) and the maximum score available (60).

セキュリティ スコアの計算に含まれる推奨事項Which recommendations are included in the secure score calculations?

セキュリティ スコアに影響するのは、組み込みの推奨事項のみです。Only built-in recommendations have an impact on the secure score.

プレビュー のフラグが設定されている推奨事項は、セキュリティ スコアの計算からは除外されます。Recommendations flagged as Preview aren't included in the calculations of your secure score. それでも、その推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復しておく必要があります。They should still be remediated wherever possible, so that when the preview period ends they'll contribute towards your score.

プレビューの推奨事項の例を次に示します。An example of a preview recommendation:

プレビュー フラグが設定された推奨事項

セキュリティ スコアを向上させるImprove your secure score

セキュリティ スコアを向上させるには、推奨事項リストのセキュリティの推奨事項を修復してください。To improve your secure score, remediate security recommendations from your recommendations list. 各推奨事項は、リソースごとに手動で修復するか、リソースのグループに推奨設定の修復を迅速に適用するために [クイック修正]You can remediate each recommendation manually for each resource, or by using the Quick Fix! オプション (使用可能な場合) を使用して修復できます。option (when available) to apply a remediation for a recommendation to a group of resources quickly. 詳細については、「推奨事項の修復」を参照してください。For more information, see Remediate recommendations.

関連する推奨事項に対して強制と拒否のオプションを構成することで、スコアを向上させ、ユーザーがスコアに悪影響を与えるリソースを作成しないようにすることもできます。Another way to improve your score and ensure your users don't create resources that negatively impact your score is to configure the Enforce and Deny options on the relevant recommendations. 詳細については、「適用/拒否の推奨事項を使用した構成ミスの防止」を参照してください。Learn more in Prevent misconfigurations with Enforce/Deny recommendations.

セキュリティ コントロールとその推奨事項Security controls and their recommendations

次の表に、Azure Security Center のセキュリティ コントロールを示します。The table below lists the security controls in Azure Security Center. コントロールごとに、"すべて" のリソースにおいて、コントロールに示されている "すべて" の推奨事項を修復した場合に取得できるセキュリティ スコアのポイントの最大数が表示されます。For each control, you can see the maximum number of points you can add to your secure score if you remediate all of the recommendations listed in the control, for all of your resources.

Security Center で用意されている一連のセキュリティ推奨事項は、各組織の環境で使用可能なリソースに合わせて調整されています。The set of security recommendations provided with Security Center is tailored to the available resources in each organization’s environment. 推奨事項は、ポリシーを無効にしたり推奨事項から特定のリソースを除外したりして、さらにカスタマイズできます。The recommendations can be further customized by disabling policies and exempting specific resources from a recommendation.

どの組織でも、割り当てられている Azure Policy イニシアティブを慎重に確認することをお勧めします。We recommend every organization carefully review their assigned Azure Policy initiatives.

ヒント

イニシアティブのレビューと編集の詳細については、「セキュリティ ポリシーの操作」を参照してください。For details of reviewing and editing your initiatives, see Working with security policies.

Security Center の既定のセキュリティ イニシアティブは業界のベストプラクティスと基準に基づいていますが、以下に示す組み込みの推奨事項が組織に完全には適合しない場合があります。Even though Security Center’s default security initiative is based on industry best practices and standards, there are scenarios in which the built-in recommendations listed below might not completely fit your organization. したがって、既定のイニシアティブを組織独自のポリシーに合わせて (セキュリティを損なわずに) 調整する必要が生じることがあります。Consequently, it’ll sometimes be necessary to adjust the default initiative - without compromising security - to ensure it’s aligned with your organization’s own policies. 満たす必要がある業界標準、規制標準、およびベンチマークがこれに当たります。industry standards, regulatory standards, and benchmarks you’re obligated to meet.

セキュリティ コントロール、スコア、説明Security control, score, and description
Recommendations (推奨事項)Recommendations

MFA の有効化 (最大スコア 10)

Enable MFA (max score 10)

ユーザーの認証にパスワードのみを使用する場合、攻撃ベクトルの可能性が残っています。
If you only use a password to authenticate a user, it leaves an attack vector open. パスワード強度が弱いか、パスワードがどこかで流出していた場合、そのユーザー名とパスワードでサインインしようとしている人物がユーザー本人であるかどうかはわかりません。If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password?
MFA を有効にすると、アカウントのセキュリティが強化され、しかもユーザーはそれまでと同様、シングル サインオン (SSO) でほとんどすべてのアプリケーションに対して認証を行うことができます。With MFA enabled, your accounts are more secure, and users can still authenticate to almost any application with single sign-on (SSO).
-サブスクリプションに対する所有者アクセス許可を持つアカウントに対して、MFA を有効にする必要があります- MFA should be enabled on accounts with owner permissions on your subscription
-サブスクリプションに対する書き込みアクセス許可を持つアカウントに対して、MFA を有効にする必要があります- MFA should be enabled accounts with write permissions on your subscription

管理ポートのセキュリティ保護 (最大スコア 8)

Secure management ports (max score 8)

ブルート フォース攻撃は、管理ポートを標的にして、VM へのアクセスを取得します。
Brute force attacks target management ports to gain access to a VM. ポートは常に開放している必要はないため、1 つの軽減策は、Just-In-Time ネットワーク アクセス制御、ネットワーク セキュリティ グループ、仮想マシン ポート管理を使用してポートへの露出を削減することです。Since the ports don’t always need to be open, one mitigation strategy is to reduce exposure to the ports using just-in-time network access controls, network security groups, and virtual machine port management.
多くの IT 組織は、ネットワークから送られてくる SSH 通信をブロックしないため、攻撃者は、感染したシステム上の RDP ポートが攻撃者のコマンドに返されてサーバーを制御できるようにする暗号化トンネルを作成することができます。Since many IT organizations don't block SSH communications outbound from their network, attackers can create encrypted tunnels that allow RDP ports on infected systems to communicate back to the attacker command to control servers. 攻撃者は、Windows リモート管理サブシステムを使用して、お使いの環境全体を横断し、盗んだ資格情報を使用して、ネットワーク上の他のリソースにアクセスすることができます。Attackers can use the Windows Remote Management subsystem to move laterally across your environment and use stolen credentials to access other resources on a network.
- 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります- Management ports of virtual machines should be protected with just-in-time network access control
- 仮想マシンをネットワーク セキュリティ グループに関連付ける必要があります- Virtual machines should be associated with a Network Security Group
- お使いの仮想マシンの管理ポートを閉じておく必要があります- Management ports should be closed on your virtual machines

システム更新プログラムの適用 (最大スコア 6)

Apply system updates (max score 6)

システムの更新プログラムにより、組織は、運用効率を維持し、セキュリティ脆弱性を軽減し、エンド ユーザーにより安定した環境を提供することができます。
System updates provide organizations with the ability to maintain operational efficiency, reduce security vulnerabilities, and provide a more stable environment for end users. 更新プログラムを適用しないと、修正プログラムが脆弱性に適用されないままになるため、環境は攻撃を受けやすくなります。Not applying updates leaves unpatched vulnerabilities and results in environments that are susceptible to attacks. このような脆弱性は悪用され、データ損失、データ流出、ランサムウェア、リソースの不正使用を引き起こす可能性があります。These vulnerabilities can be exploited and lead to data loss, data exfiltration, ransomware, and resource abuse. システムの更新プログラムを展開するには、Update Management ソリューションを使用して仮想マシンの修正プログラムと更新プログラムを管理します。To deploy system updates, you can use the Update Management solution to manage patches and updates for your virtual machines. 更新プログラムの管理は、ソフトウェア リリースの展開と保守を制御するプロセスです。Update management is the process of controlling the deployment and maintenance of software releases.
- お使いのマシンで監視エージェントの正常性の問題を解決する必要があります- Monitoring agent health issues should be resolved on your machines
- Virtual Machine Scale Sets に監視エージェントをインストールする必要があります- Monitoring agent should be installed on virtual machine scale sets
- お使いのマシンに監視エージェントをインストールする必要があります- Monitoring agent should be installed on your machines
- クラウド サービス ロールの OS バージョンを更新する必要があります- OS version should be updated for your cloud service roles
- Virtual Machine Scale Sets にシステムの更新プログラムをインストールする必要があります- System updates on virtual machine scale sets should be installed
- お使いのマシンにシステムの更新プログラムをインストールする必要があります- System updates should be installed on your machines
- システムの更新プログラムを適用するには、マシンを再起動する必要があります- Your machines should be restarted to apply system updates
- Kubernetes サービスを脆弱性のない Kubernetes バージョンにアップグレードする必要があります- Kubernetes Services should be upgraded to a non-vulnerable Kubernetes version
- お使いの仮想マシンに監視エージェントをインストールする必要があります- Monitoring agent should be installed on your virtual machines
- Log Analytics エージェントを Windows ベースの Azure Arc マシン (プレビュー) にインストールする必要があります- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- Log Analytics エージェントを Linux ベースの Azure Arc マシン (プレビュー) にインストールする必要があります- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)

脆弱性の修復 (最大スコア 6)

Remediate vulnerabilities (max score 6)

脆弱性は、脅威アクターが、リソースの機密性、可用性、または整合性を侵害するために利用する可能性のある弱点です。
A vulnerability is a weakness that a threat actor could leverage, to compromise the confidentiality, availability, or integrity of a resource. 脆弱性の管理により、組織の露出の削減、エンドポイントの攻撃対象領域の強化、組織の回復力の向上、リソースの攻撃対象領域の縮小を実現できます。Managing vulnerabilities reduces organizational exposure, hardens endpoint surface area, increases organizational resilience, and reduces the attack surface of your resources. 脅威と脆弱性の管理機能は、ソフトウェアとセキュリティの構成の誤りを可視化し、軽減のための推奨事項を提示します。Threat and Vulnerability Management provides visibility into software and security misconfigurations and provide recommendations for mitigations.
- SQL Database で Advanced Data Security を有効にする必要があります- Advanced data security should be enabled on SQL Database
- Azure Container Registry イメージの脆弱性を修復する必要があります- Vulnerabilities in Azure Container Registry images should be remediated
- SQL データベースの脆弱性を修復する必要があります- Vulnerabilities on your SQL databases should be remediated
- 脆弱性評価ソリューションによって脆弱性を修復する必要があります- Vulnerabilities should be remediated by a Vulnerability Assessment solution
- SQL Managed Instance で脆弱性評価を有効にする必要があります- Vulnerability assessment should be enabled on SQL Managed Instance
- SQL サーバーで脆弱性評価を有効にする必要があります- Vulnerability assessment should be enabled on your SQL servers
- お使いの仮想マシンに脆弱性評価ソリューションをインストールする必要があります- Vulnerability assessment solution should be installed on your virtual machines
- コンテナー イメージは信頼されたレジストリからのみデプロイする必要があります (プレビュー)- Container images should be deployed from trusted registries only (preview)
- Kubernetes 用の Azure Policy アドオンをクラスターにインストールして有効にする必要があります (プレビュー)- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)

保存時の暗号化を有効化する (最大スコア 4)

Enable encryption at rest (max score 4)

保存時の暗号化は、格納されているデータのデータ保護を提供します。
Encryption at rest provides data protection for stored data. 保存データに対する攻撃として、データが格納されているハードウェアへの物理的なアクセスを取得しようとする試みがあります。Attacks against data at rest include attempts to gain physical access to the hardware on which the data is stored. Azure では、対称暗号化を使用して、大量の保存データの暗号化と暗号化解除を行います。Azures use symmetric encryption to encrypt and decrypt large amounts of data at rest. データがストレージに書き込まれるときに、対称暗号化キーを使用してデータが暗号化されます。A symmetric encryption key is used to encrypt data as it is written to storage. その暗号化キーは、メモリで、データを使用する準備として暗号化の解除を行うためにも使用されます。That encryption key is also used to decrypt that data as it is readied for use in memory. キーは、ID ベースのアクセス制御と監査ポリシーが適用される、セキュリティで保護された場所に保存する必要があります。Keys must be stored in a secure location with identity-based access control and audit policies. このようなセキュリティで保護された場所の 1 つが、Azure Key Vault です。One such secure location is Azure Key Vault. 攻撃者は、暗号化されたデータを取得しても、暗号化キーを取得しなければ、暗号を解読できず、データにアクセスすることはできません。If an attacker obtains the encrypted data but not the encryption keys, the attacker can't access the data without breaking the encryption.
- 仮想マシンでディスク暗号化を適用する必要があります- Disk encryption should be applied on virtual machines
- SQL Database で Transparent Data Encryption を有効にする必要があります- Transparent Data Encryption on SQL Database should be enabled
- Automation アカウント変数を暗号化する必要があります- Automation account variables should be encrypted
- Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要があります- Service Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign
- 自分のキーを使用して、SQL Server の TDE 保護機能を暗号化する必要があります- SQL server TDE protector should be encrypted with your own key

転送中のデータの暗号化 (最大スコア 4)

Encrypt data in transit (max score 4)

データは、コンポーネント、場所、またはプログラムの間で転送される場合、"転送中" になります。
Data is “in transit” when it's transmitted between components, locations, or programs. 転送中のデータを保護しない組織は、中間者攻撃、傍受、セッション ハイジャックの影響を受けやすくなります。Organizations that fail to protect data in transit are susceptible to man-in-the-middle attacks, eavesdropping, and session hijacking. データの交換には、SSL/TLS プロトコルを使用する必要があり、VPN を使用することをおすすめします。SSL/TLS protocols should be used to exchange data and a VPN is recommended. インターネットを介して Azure 仮想マシンとオンプレミスの場所の間で暗号化されたデータを送信する場合、Azure VPN Gateway などの仮想ネットワーク ゲートウェイを使用して、暗号化されたトラフィックを送信できます。When sending encrypted data between an Azure virtual machine and an on-premise location, over the internet, you can use a virtual network gateway such as Azure VPN Gateway to send encrypted traffic.
- API アプリには、HTTPS を介してのみアクセスできるようにする必要があります- API App should only be accessible over HTTPS
- Function App には、HTTPS を介してのみアクセスできるようにする必要があります- Function App should only be accessible over HTTPS
- Redis Cache に対してセキュリティで保護された接続のみを有効にする必要があります- Only secure connections to your Redis Cache should be enabled
- ストレージ アカウントへの安全な転送を有効にする必要があります- Secure transfer to storage accounts should be enabled
- Web アプリケーションには、HTTPS を介してのみアクセスできるようにする必要があります- Web Application should only be accessible over HTTPS
- PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要があります- Private endpoint should be enabled for PostgreSQL servers
- PostgreSQL データベース サーバーでは [SSL 接続を強制する] を有効にする必要があります- Enforce SSL connection should be enabled for PostgreSQL database servers
- MySQL データベース サーバーでは [SSL 接続を強制する] を有効にする必要があります- Enforce SSL connection should be enabled for MySQL database servers
- API アプリ用に TLS を最新バージョンに更新する必要があります- TLS should be updated to the latest version for your API app
- 関数アプリ用に TLS を最新バージョンに更新する必要があります- TLS should be updated to the latest version for your function app
- Web アプリ用に TLS を最新バージョンに更新する必要があります- TLS should be updated to the latest version for your web app
- API アプリでは FTPS を必須とする必要があります- FTPS should be required in your API App
- 関数アプリでは FTPS を必須とする必要があります- FTPS should be required in your function App
- Web アプリでは FTPS を必須とする必要があります- FTPS should be required in your web App

アクセスおよびアクセス許可の管理 (最大スコア 4)

Manage access and permissions (max score 4)

セキュリティ プログラムの中核となるのは、ユーザーがそのジョブを実行するために必要なアクセスを付与しても、それ以上の権利を付与しないことです。つまり、最小限の特権モデルに従う必要があります。
A core part of a security program is ensuring your users have the necessary access to do their jobs but no more than that: the least privilege access model.
リソースへのアクセスを制御するには、Azure ロールベースのアクセス制御 (Azure RBAC) を使用してロールの割り当てを作成します。Control access to your resources by creating role assignments with Azure role-based access control (Azure RBAC). ロールの割り当ては、次の 3 つの要素で構成されます。A role assignment consists of three elements:
- セキュリティ プリンシパル: ユーザーがアクセスを要求するオブジェクト- Security principal: the object the user is requesting access to
- ロールの定義: ユーザーのアクセス許可- Role definition: their permissions
- スコープ: アクセス許可が適用される一連のリソース- Scope: the set of resources to which the permissions apply
- 非推奨のアカウントは、お使いのサブスクリプションから削除する必要があります (プレビュー)- Deprecated accounts should be removed from your subscription (Preview)
- 所有者アクセス許可がある非推奨のアカウントは、お使いのサブスクリプションから削除する必要があります (プレビュー)- Deprecated accounts with owner permissions should be removed from your subscription (Preview)
- 所有者アクセス許可がある外部アカウントは、お使いのサブスクリプションから削除する必要があります (プレビュー)- External accounts with owner permissions should be removed from your subscription (Preview)
- 書き込みアクセス許可がある外部アカウントは、お使いのサブスクリプションから削除する必要があります (プレビュー)- External accounts with write permissions should be removed from your subscription (Preview)
- 複数の所有者がサブスクリプションに割り当てられている必要があります- There should be more than one owner assigned to your subscription
- Kubernetes サービスでは、Azure ロールベースのアクセス制御 (Azure RBAC) を使用する必要があります (プレビュー)- Azure role-based access control (Azure RBAC) should be used on Kubernetes Services (Preview)
- Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要があります- Service Fabric clusters should only use Azure Active Directory for client authentication
-サブスクリプションを保護するには、管理証明書ではなくサービス プリンシパルを使用する必要があります- Service principals should be used to protect your subscriptions instead of Management Certificates
- コンテナーには最小特権の Linux 機能を適用する必要があります (プレビュー)- Least privileged Linux capabilities should be enforced for containers (preview)
- コンテナーには不変 (読み取り専用) のルート ファイル システムを適用する必要があります (プレビュー)- Immutable (read-only) root filesystem should be enforced for containers (preview)
- 特権エスカレーションを含むコンテナーは避ける必要があります (プレビュー)- Container with privilege escalation should be avoided (preview)
- コンテナーをルート ユーザーとして実行しないようにします (プレビュー)- Running containers as root user should be avoided (preview)
- 機密性の高いホストの名前空間を共有するコンテナーは避ける必要があります (プレビュー)- Containers sharing sensitive host namespaces should be avoided (preview)
- ポッド HostPath ボリューム マウントの使用は既知のリストに制限する必要があります (プレビュー)- Usage of pod HostPath volume mounts should be restricted to a known list (preview)
- 特権コンテナーの使用を避けます (プレビュー)- Privileged containers should be avoided (preview)
- Kubernetes 用の Azure Policy アドオンをクラスターにインストールして有効にする必要があります (プレビュー)- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)
- Web アプリではすべての受信要求に対して SSL 証明書を要求する必要があります- Web apps should request an SSL certificate for all incoming requests
- API アプリではマネージド ID を使用する必要があります- Managed identity should be used in your API App
- 関数アプリではマネージド ID を使用する必要があります- Managed identity should be used in your function App
- Web アプリではマネージド ID を使用する必要があります- Managed identity should be used in your web App

セキュリティ構成の修復 (最大スコア 4)

Remediate security configurations (max score 4)

正しく構成されていない IT 資産は、攻撃の対象となる危険性が高くなります。
Misconfigured IT assets have a higher risk of being attacked. 資産を展開するときに基本的な強化アクションを忘れてしまいがちですが、期限を満たす必要があります。Basic hardening actions are often forgotten when assets are being deployed and deadlines must be met. インフラストラクチャでのセキュリティ構成の誤りは、オペレーティング システムやネットワーク アプライアンスからクラウド リソースまでどのレベルでも起こり得ることです。Security misconfigurations can be at any level in the infrastructure: from the operating systems and network appliances, to cloud resources.
Azure Security Center では、リソースの構成が業界標準、規制、ベンチマークの要件と継続的に比較されます。Azure Security Center continually compares the configuration of your resources with requirements in industry standards, regulations, and benchmarks. 組織にとって重要な関連する "コンプライアンス パッケージ" (標準とベースライン) を構成した場合、何らかのギャップがあると、セキュリティの推奨事項が表示されます。これには、CCEID と、セキュリティへの潜在的な影響に関する説明が含まれます。When you've configured the relevant "compliance packages" (standards and baselines) that matter to your organization, any gaps will result in security recommendations that include the CCEID and an explanation of the potential security impact.
一般的に使用されるパッケージは、Azure セキュリティ ベンチマークCIS Microsoft Azure Foundations Benchmark バージョン 1.1.0 ですCommonly used packages are Azure Security Benchmark and CIS Microsoft Azure Foundations Benchmark version 1.1.0
- コンテナーのセキュリティ構成の脆弱性を修復する必要があります- Vulnerabilities in container security configurations should be remediated
- お使いのマシンでセキュリティ構成の脆弱性を修復する必要があります- Vulnerabilities in security configuration on your machines should be remediated
- Virtual Machine Scale Sets のセキュリティ構成の脆弱性を修復する必要があります- Vulnerabilities in security configuration on your virtual machine scale sets should be remediated
- お使いの仮想マシンに監視エージェントをインストールする必要があります- Monitoring agent should be installed on your virtual machines
- お使いのマシンに監視エージェントをインストールする必要があります- Monitoring agent should be installed on your machines
- Log Analytics エージェントを Windows ベースの Azure Arc マシン (プレビュー) にインストールする必要があります- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- Log Analytics エージェントを Linux ベースの Azure Arc マシン (プレビュー) にインストールする必要があります- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
- Virtual Machine Scale Sets に監視エージェントをインストールする必要があります- Monitoring agent should be installed on virtual machine scale sets
- お使いのマシンで監視エージェントの正常性の問題を解決する必要があります- Monitoring agent health issues should be resolved on your machines
- コンテナーの AppArmor プロファイルのオーバーライドまたは無効化を制限する必要があります (プレビュー)- Overriding or disabling of containers AppArmor profile should be restricted (preview)
- Kubernetes 用の Azure Policy アドオンをクラスターにインストールして有効にする必要があります (プレビュー)- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)

未承認のネットワーク アクセスの制限 (最大スコア 4)

Restrict unauthorized network access (max score 4)

組織内のエンドポイントは、仮想ネットワークからサポートされている Azure サービスへの直接接続を提供します。
Endpoints within an organization provide a direct connection from your virtual network to supported Azure services. サブネット内の仮想マシンはすべてのリソースと通信できます。Virtual machines in a subnet can communicate with all resources. サブネット内のリソース間の通信を制御するには、ネットワーク セキュリティ グループを作成して、それをサブネットに関連付けます。To limit communication to and from resources within a subnet, create a network security group and associate it to the subnet. 組織は、インバウンド規則とアウトバウンド規則を作成することにより、不正なトラフィックを制限および防止することができます。Organizations can limit and protect against unauthorized traffic by creating inbound and outbound rules.
-お使いの仮想マシンでの IP 転送を無効にする必要があります- IP forwarding on your virtual machine should be disabled
-Kubernetes サービスでは承認された IP 範囲を定義する必要があります (プレビュー)- Authorized IP ranges should be defined on Kubernetes Services (Preview)
- (非推奨) App Services へのアクセスを制限する必要があります (プレビュー)- (DEPRECATED) Access to App Services should be restricted (Preview)
- (非推奨) IaaS NSG 上の Web アプリケーションに対する規則を強化する必要があります- (DEPRECATED) The rules for web applications on IaaS NSGs should be hardened
- 仮想マシンをネットワーク セキュリティ グループに関連付ける必要があります- Virtual machines should be associated with a Network Security Group
- CORS で、必ずしもすべてのリソースに API アプリへのアクセスを許可しないようにする必要があります- CORS should not allow every resource to access your API App
- CORS で、必ずしもすべてのリソースに Function App へのアクセスを許可しないようにする必要があります- CORS should not allow every resource to access your Function App
- CORS で、必ずしもすべてのリソースに Web アプリへのアクセスを許可しないようにする必要があります- CORS should not allow every resource to access your Web Application
-API アプリのリモート デバッグを無効にする必要があります- Remote debugging should be turned off for API App
- Function App のリモート デバッグを無効にする必要があります- Remote debugging should be turned off for Function App
- Web アプリのリモート デバッグを無効にする必要があります- Remote debugging should be turned off for Web Application
- インターネットに接続された VM を含む、制限のないネットワーク セキュリティ グループについてはアクセスを制限する必要があります- Access should be restricted for permissive Network Security Groups with Internet-facing VMs
- インターネットに接続している仮想マシン用のネットワーク セキュリティ グループ ルールを強化する必要があります- Network Security Group Rules for Internet facing virtual machines should be hardened
- Kubernetes 用の Azure Policy アドオンをクラスターにインストールして有効にする必要があります (プレビュー)- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)
- コンテナーは許可されたポートでのみリッスンする必要があります (プレビュー)- Containers should listen on allowed ports only (preview)
- サービスは許可されたポートでのみリッスンする必要があります (プレビュー)- Services should listen on allowed ports only (preview)
- ホスト ネットワークとポートの使用を制限する必要があります (プレビュー)- Usage of host networking and ports should be restricted (preview)
- 仮想ネットワークは、Azure Firewall によって保護する必要があります (プレビュー)- Virtual networks should be protected by Azure Firewall (preview)
- MariaDB サーバーに対してプライベート エンドポイントを有効にする必要があります- Private endpoint should be enabled for MariaDB servers
- MySQL サーバーに対してプライベート エンドポイントを有効にする必要があります- Private endpoint should be enabled for MySQL servers
- PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要があります- Private endpoint should be enabled for PostgreSQL servers

適応型アプリケーション制御の適用 (最大スコア 3)

Apply adaptive application control (max score 3)

適応型アプリケーション制御 (AAC) は、自動化されたインテリジェントなエンドツーエンドのソリューションであり、これによって、Azure マシンと Azure 以外のマシンで実行可能なアプリケーションを制御できます。
Adaptive application control (AAC) is an intelligent, automated, end-to-end solution, which allows you to control which applications can run on your Azure and non-Azure machines. また、これは、マルウェアに対してマシンを強化するためにも役立ちます。It also helps to harden your machines against malware.
Security Center では、機械学習を利用して、マシン グループの既知の安全なアプリケーションのリストを作成します。Security Center uses machine learning to create a list of known-safe applications for a group of machines.
承認されたアプリケーションのリストを作成するというこの革新的なアプローチにより、管理の複雑さを生じることなくセキュリティを強化することができます。This innovative approach to approved application listing provides the security benefits without the management complexity.
AAC は、特定のアプリケーション セットを実行する必要がある専用サーバーに特に関係があります。AAC is particularly relevant for purpose-built servers that need to run a specific set of applications.
- 仮想マシンで適応型アプリケーション制御を有効にする必要があります- Adaptive Application Controls should be enabled on virtual machines
- お使いの仮想マシンに監視エージェントをインストールする必要があります- Monitoring agent should be installed on your virtual machines
- お使いのマシンに監視エージェントをインストールする必要があります- Monitoring agent should be installed on your machines
- Log Analytics エージェントを Windows ベースの Azure Arc マシン (プレビュー) にインストールする必要があります- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- Log Analytics エージェントを Linux ベースの Azure Arc マシン (プレビュー) にインストールする必要があります- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
- お使いのマシンで監視エージェントの正常性の問題を解決する必要があります- Monitoring agent health issues should be resolved on your machines

データ分類の適用 (最大スコア 2)

Apply data classification (max score 2)

組織のデータを機密性とビジネスへの影響によって分類すると、データの価値を決定して割り当てることができ、ガバナンスのための戦略と基準を策定できます。
Classifying your organization's data by sensitivity and business impact allows you to determine and assign value to the data, and provides the strategy and basis for governance.
Azure Information Protection は、データの分類に役立ちます。Azure Information Protection can assist with data classification. これは、暗号化、ID、認証ポリシーを使用して、データを保護し、データへのアクセスを制限します。It uses encryption, identity, and authorization policies to protect data and restrict data access. Microsoft が使用する分類の一部としては、ビジネス以外、パブリック、一般、社外秘、極秘などがあります。Some classifications that Microsoft uses are Non-business, Public, General, Confidential, and Highly Confidential.
- SQL データベースの機密データを分類する必要があります (プレビュー)- Sensitive data in your SQL databases should be classified (Preview)

DDoS 攻撃からアプリケーションを保護する (最大スコア 2)

Protect applications against DDoS attacks (max score 2)

分散型サービス拒否 (DDoS) 攻撃は、リソースに過剰な負荷をかけ、アプリケーションを使用できない状態にします。
Distributed denial-of-service (DDoS) attacks overwhelm resources and render applications unusable. Azure DDoS Protection Standard を使用すると、次の 3 つの種類の DDoS 攻撃から組織を守ることができます。Use Azure DDoS Protection Standard to defend your organization from the three main types of DDoS attacks:
- 帯域幅消費型攻撃: ネットワークに大量の正当なトラフィックを送り込みます。- Volumetric attacks flood the network with legitimate traffic. DDoS Protection Standard は、これらの攻撃を自動的に吸収またはスクラブして、これらを軽減します。DDoS Protection Standard mitigates these attacks by absorbing or scrubbing them automatically.
- プロトコル攻撃: レイヤー 3 とレイヤー 4 のプロトコル スタック内の弱点を悪用して、ターゲットをアクセスできない状態にします。- Protocol attacks render a target inaccessible, by exploiting weaknesses in the layer 3 and layer 4 protocol stack. DDoS Protection Standard は、悪意のあるトラフィックをブロックして、これらを軽減します。DDoS Protection Standard mitigates these attacks by blocking malicious traffic.
- リソース (アプリケーション) 層攻撃: Web アプリケーション パケットを標的にします。- Resource (application) layer attacks target web application packets. この種類に対しては、Web アプリケーション ファイアウォールと DDoS Protection Standard で防御します。Defend against this type with a web application firewall and DDoS Protection Standard.
- DDoS Protection Standard を有効にする必要があります- DDoS Protection Standard should be enabled
- コンテナーの CPU とメモリの制限を適用する必要があります (プレビュー)- Container CPU and memory limits should be enforced (preview)
- Kubernetes 用の Azure Policy アドオンをクラスターにインストールして有効にする必要があります (プレビュー)- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)

Endpoint Protection を有効にする (最大スコア 2)

Enable endpoint protection (max score 2)

エンドポイントをマルウェアから確実に保護するために、動作センサーは、エンドポイントのオペレーティング システムから送られてくるデータを収集し、処理して、そのデータを分析のためにプライベート クラウドに送信します。
To ensure your endpoints are protected from malware, behavioral sensors collect and process data from your endpoints' operating systems and send this data to the private cloud for analysis. セキュリティ分析では、ビッグデータ、機械学習、その他のソースを活用して、脅威に対する推奨される対応を提示します。Security analytics leverage big-data, machine-learning, and other sources to recommend responses to threats. たとえば、Microsoft Defender ATP は、脅威インテリジェンスを使用して、攻撃方法を特定し、セキュリティ アラートを生成します。For example, Microsoft Defender ATP uses threat intelligence to identify attack methods and generate security alerts.
Security Center では、次の Endpoint Protection ソリューションがサポートされています: Windows Defender、System Center Endpoint Protection、Trend Micro、Symantec v12.1.1.1100、McAfee v10 for Windows、McAfee v10 for Linux、Sophos v9 for Linux。Security Center supports the following endpoint protection solutions: Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v12.1.1.1100, McAfee v10 for Windows, McAfee v10 for Linux and Sophos v9 for Linux. Security Center でこれらのソリューションのいずれかが検出されると、Endpoint Protection のインストールを促す推奨事項は表示されなくなります。If Security Center detects any of these solutions, the recommendation to install endpoint protection will no longer appear.
- Virtual Machine Scale Sets で Endpoint Protection の正常性エラーを修復する必要があります- Endpoint protection health failures should be remediated on virtual machine scale sets
- - お使いのマシンで Endpoint Protection の正常性の問題を解決する必要があります- Endpoint protection health issues should be resolved on your machines
- Virtual Machine Scale Sets に Endpoint Protection ソリューションをインストールする必要があります- Endpoint protection solution should be installed on virtual machine scale sets
- 仮想マシンに Endpoint Protection ソリューションをインストールします- Install endpoint protection solution on virtual machines
- お使いのマシンで監視エージェントの正常性の問題を解決する必要があります- Monitoring agent health issues should be resolved on your machines
- Virtual Machine Scale Sets に監視エージェントをインストールする必要があります- Monitoring agent should be installed on virtual machine scale sets
- お使いのマシンに監視エージェントをインストールする必要があります- Monitoring agent should be installed on your machines
- お使いの仮想マシンに監視エージェントをインストールする必要があります- Monitoring agent should be installed on your virtual machines
- Log Analytics エージェントを Windows ベースの Azure Arc マシン (プレビュー) にインストールする必要があります- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- Log Analytics エージェントを Linux ベースの Azure Arc マシン (プレビュー) にインストールする必要があります- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
- お使いのマシンに Endpoint Protection ソリューションをインストールします- Install endpoint protection solution on your machines

監査とログ記録を有効にする (最大スコア 1)

Enable auditing and logging (max score 1)

データのログにより、過去の問題に関する分析情報が提供され、潜在的な問題を防止し、アプリケーションのパフォーマンスを向上させ、他の場合には手動で行うアクションを自動化できます。
Logging data provides insights into past problems, prevents potential ones, can improve application performance, and provides the ability to automate actions that would otherwise be manual.
- ログの制御と管理では、Azure Resource Manager の動作に関する情報が提供されます。- Control and management logs provide information about Azure Resource Manager operations.
- データ プレーン ログは、Azure のリソース使用の一環として発生したイベントに関する情報を提供します。- Data plane logs provide information about events raised as part of Azure resource usage.
- 処理されたイベントでは、処理されたイベントおよびアラートに関する分析情報が提供されます。- Processed events provide information about analyzed events/alerts that have been processed.
- SQL Server の監査を有効にする必要があります- Auditing on SQL server should be enabled
- App Services の診断ログを有効にする必要があります- Diagnostic logs in App Services should be enabled
- Azure Data Lake Store の診断ログを有効にする必要があります- Diagnostic logs in Azure Data Lake Store should be enabled
- Azure Stream Analytics の診断ログを有効にする必要があります- Diagnostic logs in Azure Stream Analytics should be enabled
- Batch アカウントの診断ログを有効にする必要があります- Diagnostic logs in Batch accounts should be enabled
- Data Lake Analytics の診断ログを有効にする必要があります- Diagnostic logs in Data Lake Analytics should be enabled
- イベント ハブの診断ログを有効にする必要があります- Diagnostic logs in Event Hub should be enabled
- IoT Hub の診断ログを有効にする必要があります- Diagnostic logs in IoT Hub should be enabled
- Key Vault の診断ログを有効にする必要があります- Diagnostic logs in Key Vault should be enabled
- Logic Apps の診断ログを有効にする必要があります- Diagnostic logs in Logic Apps should be enabled
- Search Service の診断ログを有効にする必要があります- Diagnostic logs in Search service should be enabled
- Service Bus の診断ログを有効にする必要があります- Diagnostic logs in Service Bus should be enabled
- Virtual Machine Scale Sets の診断ログを有効にする必要があります- Diagnostic logs in Virtual Machine Scale Sets should be enabled
- Batch アカウントでメトリック アラート ルールを構成する必要があります- Metric alert rules should be configured on Batch accounts
- - SQL 監査設定では、重要なアクティビティをキャプチャするように Action-Groups を構成しておく必要があります- SQL Auditing settings should have Action-Groups configured to capture critical activities
- SQL Server では、監査保持期間を 90 日以上に構成する必要があります。- SQL servers should be configured with auditing retention days greater than 90 days.

Advanced Threat Protection を有効にする (最大スコア 0)

Enable advanced threat protection (max score 0)

Azure Security Center で選択できる Azure Defender の脅威防止プランによって、お使いの環境が包括的に保護されます。
Azure Security Center's optional Azure Defender threat protection plans provide comprehensive defenses for your environment. Security Center は、ご自身の環境のいずれかの領域で脅威を検出すると、アラートを生成します。When Security Center detects a threat in any area of your environment, it generates an alert. これらのアラートでは、影響を受けるリソースや推奨される修復手順の詳細と、場合によっては、ロジック アプリを応答でトリガーするオプションが示されます。These alerts describe details of the affected resources, suggested remediation steps, and in some cases an option to trigger a logic app in response.
Azure Defender プランは、それぞれが別個のオプション オファリングであり、このセキュリティ コントロールの関連する推奨事項を使用して有効にすることができます。Each Azure Defender plan is a separate, optional offering which you can enable using the relevant recommendation in this security control.
Security Center での脅威の防止についてさらに学習してくださいLearn more about threat protection in Security Center.
- Azure SQL Database サーバーで Advanced Data Security を有効にする必要があります- Advanced data security should be enabled on Azure SQL Database servers
- マシン上の SQL サーバーで Advanced Data Security を有効にする必要があります- Advanced data security should be enabled on SQL servers on machines
- Virtual Machines で Advanced Threat Protection を有効にする必要があります- Advanced threat protection should be enabled on Virtual Machines
- Azure App Service プランで Advanced Threat Protection を有効にする必要があります- Advanced threat protection should be enabled on Azure App Service plans
- Azure Storage アカウントで Advanced Threat Protection を有効にする必要があります- Advanced threat protection should be enabled on Azure Storage accounts
- Azure Kubernetes Service クラスターで Advanced Threat Protection を有効にする必要があります- Advanced threat protection should be enabled on Azure Kubernetes Service clusters
- Azure Container Registry レジストリで Advanced Threat Protection を有効にする必要があります- Advanced threat protection should be enabled on Azure Container Registry registries
- Azure Key Vault コンテナーで Advanced Threat Protection を有効にする必要があります- Advanced threat protection should be enabled on Azure Key Vault vaults

セキュリティのベストプラクティスを実装する (最大スコア 0)

Implement security best practices (max score 0)

最新のセキュリティ対策では、ネットワーク境界の "侵害を想定" しています。
Modern security practices “assume breach” of the network perimeter. そのため、このコントロールの多くのベスト プラクティスでは、ID の管理が重視されています。For that reason, many of the best practices in this control focus on managing identities.
キーや資格情報の紛失は、よくある問題です。Losing keys and credentials is a common problem. Azure Key Vault では、キー、.pfx ファイル、パスワードを暗号化することにより、キーとシークレットを保護します。Azure Key Vault protects keys and secrets by encrypting keys, .pfx files, and passwords.
仮想プライベート ネットワーク (VPN) は、仮想マシンへのアクセスをセキュリティで保護します。Virtual private networks (VPNs) are a secure way to access your virtual machines. VPN を利用できない場合は、複雑なパスフレーズと Azure AD Multi-Factor Authentication などの 2 要素認証を使用します。If VPNs aren't available, use complex passphrases and two-factor authentication such as Azure AD Multi-Factor Authentication. 2 要素認証は、ユーザー名とパスワードのみに依存することに伴う弱点を回避します。Two-factor authentication avoids the weaknesses inherent in relying only on usernames and passwords.
強力な認証および承認プラットフォームの使用は、もう 1 つのベスト プラクティスです。Using strong authentication and authorization platforms is another best practice. フェデレーション ID を使用すると、組織は、承認された ID の管理を委任できます。Using federated identities allows organizations to delegate management of authorized identities. これは、従業員が退職し、そのアクセス権を取り消す必要がある場合にも重要です。This is also important when employees are terminated, and their access needs to be revoked.
- サブスクリプションには最大 3 人の所有者を指定する必要があります- A maximum of 3 owners should be designated for your subscription
- - 読み取りアクセス許可を持つ外部アカウントをお使いのサブスクリプションから除外する必要があります- External accounts with read permissions should be removed from your subscription
- お使いのサブスクリプションに対する読み取りアクセス許可を持つアカウントに対して MFA を有効にする必要があります- MFA should be enabled on accounts with read permissions on your subscription
- ファイアウォールと仮想ネットワークの構成があるストレージ アカウントへのアクセスを制限する必要があります- Access to storage accounts with firewall and virtual network configurations should be restricted
- RootManageSharedAccessKey を除くすべての承認規則をイベント ハブの名前空間から削除する必要があります- All authorization rules except RootManageSharedAccessKey should be removed from Event Hub namespace
- SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要があります- An Azure Active Directory administrator should be provisioned for SQL servers
- マネージド インスタンスで Advanced Data Security を有効にする必要があります- Advanced data security should be enabled on your managed instances
- イベント ハブ インスタンスの承認規則を定義する必要があります- Authorization rules on the Event Hub instance should be defined
- ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要があります- Storage accounts should be migrated to new Azure Resource Manager resources
- 仮想マシンを新しい Azure Resource Manager リソースに移行する必要があります- Virtual machines should be migrated to new Azure Resource Manager resources
- サブネットはネットワーク セキュリティ グループに関連付けられている必要があります- Subnets should be associated with a Network Security Group
- [プレビュー] Windows Exploit Guard を有効にする必要があります- [Preview] Windows exploit guard should be enabled
- [プレビュー] ゲスト構成エージェントをインストールする必要があります- [Preview] Guest configuration agent should be installed
- インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要があります- Non-internet-facing virtual machines should be protected with network security groups
- 仮想マシンに対して Azure Backup を有効にする必要があります- Azure Backup should be enabled for virtual machines
- Azure Database for MariaDB の geo 冗長バックアップを有効にする必要があります- Geo-redundant backup should be enabled for Azure Database for MariaDB
- Azure Database for MySQL の geo 冗長バックアップを有効にする必要があります- Geo-redundant backup should be enabled for Azure Database for MySQL
- Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要があります- Geo-redundant backup should be enabled for Azure Database for PostgreSQL
- API アプリ用に PHP を最新バージョンに更新する必要があります- PHP should be updated to the latest version for your API app
- Web アプリ用に PHP を最新バージョンに更新する必要があります- PHP should be updated to the latest version for your web app
- API アプリ用に Java を最新バージョンに更新する必要があります- Java should be updated to the latest version for your API app
- 関数アプリ用に Java を最新バージョンに更新する必要があります- Java should be updated to the latest version for your function app
- Web アプリ用に Java を最新バージョンに更新する必要があります- Java should be updated to the latest version for your web app
- API アプリ用に Python を最新バージョンに更新する必要があります- Python should be updated to the latest version for your API app
- 関数アプリ用に Python を最新バージョンに更新する必要があります- Python should be updated to the latest version for your function app
- Web アプリ用に Python を最新バージョンに更新する必要があります- Python should be updated to the latest version for your web app
- SQL サーバーの監査の保有期間は少なくとも 90 日に設定する必要があります- Audit retention for SQL servers should be set to at least 90 days

セキュリティ スコアに関する FAQSecure score FAQ

セキュリティ コントロールの 4 つの推奨事項のうち 3 つだけに対処した場合、セキュリティ スコアは変わりますか。If I address only three out of four recommendations in a security control, will my secure score change?

いいえ。No. 1 つのリソースのすべての推奨事項を修復するまでスコアは変更されません。It won't change until you remediate all of the recommendations for a single resource. コントロールの最大スコアを取得するには、すべてのリソースのすべての推奨事項を修復する必要があります。To get the maximum score for a control, you must remediate all recommendations, for all resources.

推奨事項が自分に該当しないためポリシーで無効にした場合、セキュリティ コントロールは達成され、セキュリティ スコアが更新されますか。If a recommendation isn't applicable to me, and I disable it in the policy, will my security control be fulfilled and my secure score updated?

はい。Yes. お使いの環境該当しない推奨設定は、無効にすることをお勧めします。We recommend disabling recommendations when they're inapplicable in your environment. 特定の推奨事項を無効にする方法については、「セキュリティ ポリシーの無効化」を参照してください。For instructions on how to disable a specific recommendation, see Disable security policies.

特定のセキュリティ コントロールによるセキュリティ スコアのポイントが 0 の場合、無視すべきですか。If a security control offers me zero points towards my secure score, should I ignore it?

場合によっては、コントロールの最大スコアが 0 を超えているにもかかわらず、影響がないことがあります。In some cases, you'll see a control max score greater than zero, but the impact is zero. リソース修正によるスコアの増分がごくわずかである場合は、0 に丸められます。When the incremental score for fixing resources is negligible, it's rounded to zero. これらの推薦事項は修正するとセキュリティが強化されるため、これらの推奨事項は無視しないでください。Don't ignore these recommendations as they still bring security improvements. 唯一の例外は "追加のベスト プラクティス" コントロールです。The only exception is the "Additional Best Practice" control. これらの推奨事項を修復してもスコアは増加しませんが、全体的なセキュリティが強化されます。Remediating these recommendations won't increase your score, but it will enhance your overall security.

次のステップNext steps

この記事では、セキュリティ スコアと新しいセキュリティ コントロールについて説明しました。This article described the secure score and the security controls it introduces. 関連資料については、次の記事をご覧ください。For related material, see the following articles: