セキュリティ ポリシーの操作Working with security policies

この記事では、セキュリティ ポリシーの構成方法と、それの Security Center での表示方法について説明します。This article explains how security policies are configured, and how to view them in Security Center.

セキュリティ ポリシーの概要Introduction to security policies

セキュリティ ポリシーは、ワークロードの必要な構成を定義し、会社や規制当局のセキュリティ要件に確実に準拠できるようにします。A security policy defines the desired configuration of your workloads and helps ensure you're complying with the security requirements of your company or regulators.

Azure Security Center では、選択したポリシーに基づいてセキュリティに関する推奨事項が作成されます。Azure Security Center makes its security recommendations based on your chosen policies. Security Center のポリシーは、Azure Policy で作成されたポリシー イニシアティブに基づいています。Security Center policies are based on policy initiatives created in Azure Policy. Azure Policy を使用して、ポリシーを管理したり、管理グループや複数のサブスクリプションでポリシーを設定したりできます。You can use Azure Policy to manage your policies and to set policies across Management groups and across multiple subscriptions.

Security Center では、セキュリティ ポリシーを操作するための次のオプションが提供されます。Security Center offers the following options for working with security policies:

  • 組み込みの既定のポリシーの表示と編集 - Security Center を有効にすると、"ASC の既定値" という名前の組み込みイニシアティブが、Security Center のすべての登録済みサブスクリプション (Free または Standard レベル) に自動的に割り当てられます。View and edit the built-in default policy - When you enable Security Center, a built-in initiative named 'ASC default' is automatically assigned to all Security Center registered subscriptions (Free or Standard tiers). このイニシアティブをカスタマイズするために、イニシアティブ内の個々のポリシーを有効または無効にすることができます。To customize this initiative, you can enable or disable individual policies within it. 組み込みのセキュリティ ポリシーの一覧を参照して、すぐに使用できるオプションを確認してください。See the list of built-in security policies to understand the options available out-of-the-box.

  • 独自のカスタム ポリシーの追加 - サブスクリプションに適用されているセキュリティ イニシアティブをカスタマイズする場合は、Security Center で行うことができます。Add your own custom policies - If you want to customize the security initiatives applied to your subscription, you can do so within Security Center. 作成したポリシーにマシンが従っていない場合は、推奨事項が提供されます。You'll then receive recommendations if your machines don't follow the policies you create. カスタム ポリシーを作成して割り当てる手順については、カスタム セキュリティ ポリシーの使用に関する記事をご覧ください。For instructions on building and assigning custom policies, see Using custom security policies.

  • 規制コンプライアンス ポリシーの追加 - Security Center の規制コンプライアンス ダッシュボードには、特定の標準または規制 (Azure CIS、NIST SP 800-53 R4、SWIFT CSP CSCF-v2020 など) のコンテキストにおける環境内のすべての評価の状態が表示されます。Add regulatory compliance policies - Security Center's regulatory compliance dashboard shows the status of all the assessments within your environment in the context of a particular standard or regulation (such as Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020). 詳細については、規制コンプライアンスの向上に関する記事をご覧ください。For more information, see Improve your regulatory compliance.

セキュリティ ポリシーの管理Managing your security policies

Security Center でセキュリティ ポリシーを表示するには:To view your security policies in Security Center:

  1. Security Center ダッシュボードで [セキュリティ ポリシー] を選択します。In the Security Center dashboard, select Security policy.

    [ポリシー管理] ウィンドウ

    [ポリシー管理] 画面には、管理グループ、サブスクリプション、およびワークスペースの数、および管理グループの構造が表示されます。In the Policy management screen, you can see the number of management groups, subscriptions, and workspaces as well as your management group structure.

  2. ポリシーを参照するサブスクリプションまたは管理グループを選択します。Select the subscription or management group whose policies you want to view.

  3. そのサブスクリプションまたは管理グループのセキュリティ ポリシー ページが表示されます。The security policy page for that subscription or management group appears. 利用可能な割り当て済みのポリシーが表示されます。It shows the available and assigned policies.

    ポリシー画面

    注意

    既定のポリシーの横に "MG 継承済み" というラベルがある場合、そのポリシーが管理グループに割り当てられており、表示しているサブスクリプションに継承されていることを意味します。If there is a label "MG Inherited" alongside your default policy, it means that the policy has been assigned to a management group and inherited by the subscription you're viewing.

  4. このページで使用可能なオプションから選択します。Choose from the available options on this page:

    1. 業界のポリシーを使用するには、 [標準をさらに追加] をクリックします。To work with industry policies, click Add more standards. 詳細については、動的コンプライアンス パッケージへの更新に関する記事をご覧ください。For more information, see Update to dynamic compliance packages.

    2. カスタム イニシアティブを割り当てて管理するには、 [カスタム イニシアティブの追加] をクリックします。To assign and manage custom initiatives, click Add custom initiatives. 詳細については、カスタム セキュリティ ポリシーの使用に関する記事をご覧ください。For more information, see Using custom security policies.

    3. 既定のポリシーを表示して編集するには、 [有効なポリシーの表示] をクリックし、下記の説明に従って操作を進めます。To view and edit the default policy, click View effective policy and proceed as described below.

      ポリシー画面

      この [セキュリティ ポリシー] 画面には、選択したサブスクリプションまたは管理グループに割り当てられているポリシーによって実行されたアクションが反映されます。This Security policy screen reflects the action taken by the policies assigned on the subscription or management group you selected.

      • 上部のリンクを使用して、サブスクリプションまたは管理グループに適用されているポリシー割り当てを開きます。Use the links at the top to open a policy assignment that applies on the subscription or management group. これらのリンクを使用すると、割り当てにアクセスしたり、ポリシーを編集または無効化したりすることができます。These links let you access the assignment and edit or disable the policy. たとえば、特定のポリシー割り当てによってエンドポイントが実質的に保護されないようになっていることがわかった場合は、リンクを使用してそのポリシーを編集または無効化します。For example, if you see that a particular policy assignment is effectively denying endpoint protection, use the link to edit or disable the policy.

      • ポリシーの一覧では、サブスクリプションまたは管理グループに対して実際に適用されているポリシーを確認できます。In the list of policies, you can see the effective application of the policy on your subscription or management group. スコープに適用されている各ポリシーの設定が考慮され、ポリシーによって実行されたアクションの累積的な結果が表示されます。The settings of each policy that apply to the scope are taken into consideration and the cumulative outcome of actions taken by the policy is shown. たとえば、ポリシーのある割り当てでは無効になっていても、別の割り当てでは AuditIfNotExist に設定されている場合、累積的な効果によって AuditIfNotExist が適用されます。For example, if in one assignment of the policy is disabled, but in another it's set to AuditIfNotExist, then the cumulative effect applies AuditIfNotExist. よりアクティブな効果が常に優先されます。The more active effect always takes precedence.

      • 設定できるポリシーの効果は、Append、Audit、AuditIfNotExists、Deny、DeployIfNotExists、Disabled です。The policies' effect can be: Append, Audit, AuditIfNotExists, Deny, DeployIfNotExists, Disabled. 効果が適用されるしくみの詳細については、Policy の効果に関するページを参照してください。For more information on how effects are applied, see Understand Policy effects.

      注意

      割り当てられているポリシーを確認すると、複数の割り当てが表示され、各割り当てのそれぞれの構成を参照できます。When you view assigned policies, you can see multiple assignments and you can see how each assignment is configured on its own.

セキュリティ ポリシーを編集できるユーザーは誰ですか。Who can edit security policies?

REST API 経由または Windows PowerShell を使用して、Azure Policy ポータルからセキュリティ ポリシーを編集できます。You can edit security policies through the Azure Policy portal, via REST API or using Windows PowerShell.

Security Center ではロールベースのアクセス制御 (RBAC) が使用されています。RBAC が提供する組み込みのロールは、Azure でユーザー、グループ、サービスに割り当てることができます。Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure. ユーザーが Security Center を開くと、アクセス権のあるリソースに関する情報のみが表示されます。When users open Security Center, they see only information that's related to resources they have access to. これは、リソースのサブスクリプションに対して、"所有者"、"共同作成者"、または "閲覧者" のロールがユーザーに割り当てられていることを意味します。Which means that users are assigned the role of owner, contributor, or reader to the resource's subscription. これらのロールに加え、Security Center には、次の 2 つの固有のロールがあります。As well as these roles, there are two specific Security Center roles:

  • セキュリティ閲覧者: Security Center に対する閲覧権限を持ちます。推奨事項、アラート、ポリシー、および正常性を確認できますが、変更を加えることはできません。Security reader: Have view rights to Security Center, which includes recommendations, alerts, policy, and health, but they can't make changes.
  • セキュリティ管理者:セキュリティ閲覧者と同じ閲覧権限を持ちますが、セキュリティ ポリシーの更新と推奨事項とアラートの解除を実行することもできます。Security admin: Have the same view rights as security reader, and they can also update the security policy and dismiss recommendations and alerts.

セキュリティ ポリシーの無効化Disable security policies

既定のセキュリティ ポリシーによって、お使いの環境に関係のない推奨事項が生成される場合は、その推奨事項を送信するポリシー定義を無効にすることで、生成を停止できます。If the default security policy is generating a recommendation that's not relevant for your environment, you can stop it by disabling the policy definition that sends the recommendation. 推奨事項の詳細については、セキュリティに関する推奨事項の管理についてのページを参照してください。For more information about recommendations, see Managing security recommendations.

  1. Security Center 内の [Policy & Compliance](ポリシーとコンプライアンス) セクションで [セキュリティ ポリシー] をクリックします。In the Security Center, from the Policy & Compliance section, click Security policy.

    ポリシー管理

  2. 推奨設定を無効にするサブスクリプションまたは管理グループをクリックします。Click the subscription or management group for which you want to disable the recommendation.

    注意

    管理グループでは、そのポリシーがそのサブスクリプションに適用されることに注意してください。Remember that a management group applies its policies to its subscriptions. そのため、サブスクリプションのポリシーを無効にしても、そのサブスクリプションが、同じポリシーをまだ使用している管理グループに属していると、引き続きポリシー推奨事項を受け入れることになります。Therefore, if you disable a subscription's policy, and the subscription belongs to a management group that still uses the same policy, then you will continue to receive the policy recommendations. ポリシーは管理レベルから引き続き適用され、推奨事項は引き続き生成されます。The policy will still be applied from the management level and the recommendations will still be generated.

  3. [有効なポリシーの表示] をクリックします。Click View effective policy.

    ポリシーの無効化

  4. 割り当てられたポリシーをクリックします。Click the assigned policy.

    ポリシーの無効化

  5. [パラメーター] セクションで、推奨事項を呼び出すポリシーのうち、無効にするものを検索します。次に、ドロップダウン リストから [無効] を選択します。In the PARAMETERS section, search for the policy that invokes the recommendation that you want to disable, and from the dropdown list, select Disabled

    ポリシーの無効化

  6. [Save] をクリックします。Click Save.

    注意

    ポリシー無効化の変更が有効になるまでに、最大 12 時間かかる場合があります。The disable policy changes can take up to 12 hours to take effect.

次の手順Next steps

この記事では、セキュリティ ポリシーについて説明しました。In this article, you learned about security policies. 関連情報については、次の記事をご覧ください。For related information, see the following articles: