Azure Security Center リソースの推奨事項を理解するUnderstand Azure Security Center resource recommendations

RecommendationsRecommendations

次の表を参考にすると、計算とアプリ サービスに関する利用可能な推奨事項と、それぞれを適用した場合の結果を理解しやすくなります。Use the tables below as a reference to help you understand the available Compute and App services recommendations and what each one does if you apply it.

[Computers (コンピューター)]Computers

推奨Recommendation 説明Description
サブスクリプションのデータ収集の有効化Enable data collection for subscriptions 各サブスクリプションおよびサブスクリプションのすべての仮想マシン (VM) に対して、セキュリティ ポリシーでデータ収集を有効にすることをお勧めします。Recommends that you turn on data collection in the security policy for each of your subscriptions and all virtual machines (VMs) in your subscriptions.
Azure Storage アカウント暗号化の有効化Enable encryption for Azure Storage Account Azure Storage Service Encryption for Data at Rest を有効化することを推奨します。Recommends that you enable Azure Storage Service Encryption for data at rest. Storage Service Encryption (SSE) は、データが Azure ストレージに書き込まれたときに暗号化し、取得される前に復号化します。Storage Service Encryption (SSE) works by encrypting the data when it is written to Azure storage and decrypts before retrieval. 現在、SSE は Azure Blob service のみに対応し、ブロック BLOB、ページ BLOB、追加 BLOB で使用できます。SSE is currently available only for the Azure Blob service and can be used for block blobs, page blobs, and append blobs. 詳細については、「Storage Service Encryption for Data at Rest」を参照してください。To learn more, see Storage Service Encryption for data at rest.
SSE は Resource Manager ストレージ アカウントでのみサポートされます。SSE is only supported on Resource Manager storage accounts. 現在、クラシック ストレージ アカウントはサポートされていません。Classic storage accounts are currently not supported. クラシック デプロイ モデルと Resource Manager デプロイ モデルについて理解するには、Azure デプロイ モデルに関する記事を参照してください。To understand the classic and Resource Manager deployment models, see Azure deployment models.
セキュリティ構成の修復Remediate security configurations OS 構成を推奨されるセキュリティ構成規則 (パスワードの保存を許可しないなど) に合わせることをお勧めします。Recommends that you align your OS configurations with the recommended security configuration rules, e.g. do not allow passwords to be saved.
システムの更新の適用Apply system updates システムの不足しているセキュリティ更新プログラムおよび重要な更新プログラムを VM にデプロイすることをお勧めします。Recommends that you deploy missing system security and critical updates to VMs.
Just-In-Time ネットワーク アクセス制御の適用Apply a Just-In-Time network access control ジャスト イン タイム VM アクセスを適用することをお勧めします。Recommends that you apply just in time VM access. ジャスト イン タイム機能はプレビュー段階であり、Security Center の Standard レベルで利用できます。The just in time feature is in preview and available on the Standard tier of Security Center. Security Center の価格レベルの詳細については、価格に関するページを参照してください。See Pricing to learn more about Security Center's pricing tiers.
システムの更新後に再起動するReboot after system updates VM を再起動してシステムの更新プログラムの適用プロセスを完了するよう推奨します。Recommends that you reboot a VM to complete the process of applying system updates.
Endpoint Protection をインストールしますInstall Endpoint Protection マルウェア対策プログラムを VM (Windows VM のみ) にプロビジョニングすることをお勧めします。Recommends that you provision antimalware programs to VMs (Windows VMs only).
VM エージェントの有効化Enable VM Agent VM エージェントを必要とする VM を確認できます。Enables you to see which VMs require the VM Agent. パッチのスキャン、基準のスキャン、およびマルウェア対策プログラムをプロビジョニングするには、VM 上に VM エージェントをインストールする必要があります。The VM Agent must be installed on VMs in order to provision patch scanning, baseline scanning, and antimalware programs. 既定では、Azure Marketplace からデプロイされた VM に VM エージェントがインストールされます。The VM Agent is installed by default for VMs that are deployed from the Azure Marketplace. VM エージェントと拡張機能 – パート 2 」の記事には、VM エージェントのインストール方法が記載されています。The article VM Agent and Extensions – Part 2 provides information on how to install the VM Agent.
ディスク暗号化の適用Apply disk encryption Azure Disk Encryption を使用して VM ディスクを暗号化することをお勧めします (Windows VM および Linux VM)。Recommends that you encrypt your VM disks using Azure Disk Encryption (Windows and Linux VMs). VM 上の OS とデータ ボリュームの両方を暗号化することをお勧めします。Encryption is recommended for both the OS and data volumes on your VM.
OS バージョンの更新Update OS version クラウド サービスのオペレーティング システム (OS) のバージョンを、ご利用の OS ファミリで利用できる最新のバージョンに更新するようお勧めします。Recommends that you update the operating system (OS) version for your Cloud Service to the most recent version available for your OS family. Cloud Services の詳細については、 Cloud Services の概要に関するページをご覧ください。To learn more about Cloud Services, see the Cloud Services overview.
脆弱性評価がインストールされていませんVulnerability assessment not installed VM に脆弱性評価ソリューションをインストールすることをお勧めします。Recommends that you install a vulnerability assessment solution on your VM.
脆弱性の修復Remediate vulnerabilities VM にインストールされている脆弱性評価ソリューションによって検出された、システムとアプリケーションの脆弱性を確認できます。Enables you to see system and application vulnerabilities detected by the vulnerability assessment solution installed on your VM.

App ServicesApp services

推奨Recommendation 説明Description
App Service には HTTPS 経由でのみアクセスできるようにするApp Service should only be accessible over HTTPS App Service へのアクセスを HTTPS 経由のみに制限することをお勧めします。Recommends that you limit access of App Service over HTTPS only.
Web アプリケーションで Web ソケットを無効にするWeb Sockets should be disabled for Web Application Web アプリケーション内での Web ソケットの使用を慎重に見直すことをお勧めします。Recommends that you carefully review the use of Web Sockets within web applications. Web ソケット プロトコルは、さまざまな種類のセキュリティの脅威に対して脆弱です。The Web Sockets protocol is vulnerable to different types of security threats.
Web アプリケーションにカスタム ドメインを使用するUse custom domains for your Web Application カスタム ドメインを使用して、フィッシングや他の DNS 関連攻撃などの一般的な攻撃から Web アプリケーションを保護することをお勧めします。Recommends that you use custom domains to protect a web application from common attacks such as phishing and other DNS-related attacks.
Web アプリケーションに対する IP 制限を構成するConfigure IP restrictions for Web Application アプリケーションへのアクセスを許可されている IP アドレスの一覧を定義することをお勧めします。Recommends that you define a list of IP addresses that are allowed to access your application. IP 制限を使用することで、一般的な攻撃から Web アプリケーションを保護します。Use of IP restrictions protects a web application from common attacks.
すべての ('*') リソースにアプリケーションへのアクセスを許可しないDo not allow all ('*') resources to access your application WEBSITE_LOAD_CERTIFICATES パラメーターを '' に設定しないことをお勧めします。パラメーターを '' に設定することは、すべての証明書が Web アプリケーションの個人証明書ストアに読み込まれることを意味します。Recommends that you do not set WEBSITE_LOAD_CERTIFICATES parameter to ‘’. Setting the parameter to ‘’ means that all certificates will be loaded to your web applications personal certificate store. 実行時にサイトがすべての証明書へのアクセスを必要とすることは考えにくいため、これでは、最小限の権限という原理をうまく活用できないことになります。This can lead to abuse of the principle of least privilege as it is unlikely that the site needs access to all certificates at runtime.
すべてのリソースがアプリケーションにアクセスすることを CORS で許可しないCORS should not allow every resource to access your application Web アプリケーションの操作に必要なドメインのみを許可することをお勧めします。Recommends that you allow only required domains to interact with your web application. クロス オリジン リソース共有 (CORS) で、すべてのドメインに Web アプリケーションへのアクセスを許可してはいけません。Cross origin resource sharing (CORS) should not allow all domains to access your web application.
Web アプリケーションでサポートされている最新の .NET Framework を使用するUse the latest supported .NET Framework for Web Application 最新のセキュリティ クラスには、最新の .NET Framework のバージョンを使用することをお勧めします。Recommends that you use the latest .NET Framework version for the latest security classes. 古いクラスや型を使用すると、アプリケーションが脆弱になる可能性があります。Using older classes and types can make your application vulnerable.
Web アプリケーションでサポートされている最新の Java バージョンを使用するUse the latest supported Java version for Web Application 最新のセキュリティ クラスには、最新の Java バージョンを使用することをお勧めします。Recommends that you use the latest Java version for the latest security classes. 古いクラスや型を使用すると、アプリケーションが脆弱になる可能性があります。Using older classes and types can make your application vulnerable.
Web アプリケーションでサポートされている最新の PHP バージョンを使用するUse the latest supported PHP version for Web Application 最新のセキュリティ クラスには、最新の PHP バージョンを使用することをお勧めします。Recommends that you use the latest PHP version for the latest security classes. 古いクラスや型を使用すると、アプリケーションが脆弱になる可能性があります。Using older classes and types can make your application vulnerable.
Web アプリケーション ファイアウォールの追加Add a web application firewall Web エンドポイントに Web アプリケーション ファイアウォール (WAF) をデプロイすることをお勧めします。Recommends that you deploy a web application firewall (WAF) for web endpoints. WAF の推奨事項は、開いている受信 Web ポート (80,443) にネットワーク セキュリティ グループが関連付けられている公開 IP (インスタンス レベルの IP または負荷分散された IP) に対して表示されます。A WAF recommendation is shown for any public facing IP (either Instance Level IP or Load Balanced IP) that has an associated network security group with open inbound web ports (80,443).
Security Center では、仮想マシン上および App Service 環境 (ASE) の Web アプリケーションを対象とする攻撃から保護するために WAF をプロビジョニングするよう勧めます。Security Center recommends that you provision a WAF to help defend against attacks targeting your web applications on virtual machines and on App Service Environment. App Service 環境 (ASE) は、Azure App Service アプリを安全に実行するために完全に分離された専用の環境を提供する、Azure App Service の Premium サービス プラン オプションです。An App Service Environment (ASE) is a Premium service plan option of Azure App Service that provides a fully isolated and dedicated environment for securely running Azure App Service apps. ASE の詳細については、 App Service 環境のドキュメントをご覧ください。To learn more about ASE, see the App Service Environment Documentation.

セキュリティ センターで複数の Web アプリケーションを保護するには、対象のアプリケーションを既存の WAF デプロイに追加します。You can protect multiple web applications in Security Center by adding these applications to your existing WAF deployments.
アプリケーション保護を完了するFinalize application protection WAF の構成を完了するには、WAF アプライアンスにトラフィックを再ルーティングする必要があります。To complete the configuration of a WAF, traffic must be rerouted to the WAF appliance. この推奨事項に従うと、必要なセットアップの変更が完了します。Following this recommendation completes the necessary setup changes.
Web アプリケーションでサポートされている最新の Node.js バージョンを使用するUse the latest supported Node.js version for Web Application 最新のセキュリティ クラスには、最新の Node.js バージョンを使用することをお勧めします。Recommends that you use the latest Node.js version for the latest security classes. 古いクラスや型を使用すると、アプリケーションが脆弱になる可能性があります。Using older classes and types can make your application vulnerable.
すべてのリソースが Function App にアクセスすることを CORS で許可しないCORS should not allow every resource to access your Function App Web アプリケーションの操作に必要なドメインのみを許可することをお勧めします。Recommends that you allow only required domains to interact with your web application. クロス オリジン リソース共有 (CORS) で、すべてのドメインに Function Application へのアクセスを許可してはいけません。Cross origin resource sharing (CORS) should not allow all domains to access your function application.
Function App にカスタム ドメインを使用するUse custom domains for Function App カスタム ドメインを使用して、フィッシングや他の DNS 関連攻撃などの一般的な攻撃から Function App を保護することをお勧めします。Recommends that you use custom domains to protect a function app from common attacks such as phishing and other DNS-related attacks.
Function App に対する IP 制限を構成するConfigure IP restrictions for Function App アプリケーションへのアクセスを許可されている IP アドレスの一覧を定義することをお勧めします。Recommends that you define a list of IP addresses that are allowed to access your application. IP 制限を使用することで、一般的な攻撃から Function App を保護します。Use of IP restrictions protects a function app from common attacks.
Function App には HTTPS 経由でのみアクセスできるようにするFunction App should only be accessible over HTTPS Function App へのアクセスを HTTPS 経由のみに制限することをお勧めします。Recommends that you limit access of Function apps over HTTPS only.
Function App でリモート デバッグを無効にするRemote debugging should be turned off for Function App 使用する必要がなくなった場合は、Function App のデバッグを無効にすることをお勧めします。Recommends that you turn off debugging for Function App if you no longer need to use it. リモート デバッグを実行するには、受信ポートが Function App 上で開かれている必要があります。Remote debugging requires inbound ports to be opened on a Function App.
Function App で Web ソケットを無効にするWeb Sockets should be disabled for Function App Function App 内での Web ソケットの使用を慎重に見直すことをお勧めします。Recommends that you carefully review the use of Web Sockets within Function Apps. Web ソケット プロトコルは、さまざまな種類のセキュリティの脅威に対して脆弱です。The Web Sockets protocol is vulnerable to different types of security threats.

次の手順Next steps

その他の Azure リソースの種類に適用される推奨事項の詳細については、次をご覧ください。To learn more about recommendations that apply to other Azure resource types, see the following:

セキュリティ センターの詳細については、次を参照してください。To learn more about Security Center, see the following: