Azure Synapse Analytics 用の Azure Policy 規制コンプライアンス コントロール
Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure App Configuration 用のコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
CMMC レベル 3
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| システムと通信の保護 | SC.3.177 | CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 | Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.0.0 |
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-4 | 情報フローの適用 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | AC-17 | リモート アクセス | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | AC-17 (1) | 自動監視/制御 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Synapse ワークスペースで脆弱性評価を有効にする必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 | 境界保護 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| システムと通信の保護 | SC-7 (3) | アクセス ポイント | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.0.0 |
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-4 | 情報フローの適用 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | AC-17 | リモート アクセス | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | AC-17 (1) | 自動監視/制御 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Synapse ワークスペースで脆弱性評価を有効にする必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 | 境界保護 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| システムと通信の保護 | SC-7 (3) | アクセス ポイント | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.0.0 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ID 管理 | IM-1 | 一元的な ID および認証システムを使用する | Synapse ワークスペースでは Microsoft Entra 専用認証が有効になっている必要がある | 1.0.0 |
| ID 管理 | IM-1 | 一元的な ID および認証システムを使用する | Synapse ワークスペースはワークスペース作成時に認証に Microsoft Entra の ID のみを使用する必要がある | 1.2.0 |
| ログと脅威検出 | LT-1 | 脅威検出機能を有効にする | 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | 1.0.0 |
| ログと脅威検出 | LT-2 | ID およびアクセス管理の脅威検出を有効にする | 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | 1.0.0 |
| インシデント対応 | IR-3 | 検出と分析 - 高品質のアラートに基づいてインシデントを作成する | 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | 1.0.0 |
| インシデント対応 | AIR-5 | 検出と分析 - インシデントの優先順位を付ける | 保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある | 1.0.0 |
NIST SP 800-171 R2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | 3.1.13 | リモート アクセス セッションの機密性を保護するため暗号化メカニズムを採用する。 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | 3.1.14 | 管理対象のアクセス制御ポイントを介してリモート アクセスをルーティングする。 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| リスク評価 | 3.11.2 | 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 | Synapse ワークスペースで脆弱性評価を有効にする必要がある | 1.0.0 |
| リスク評価 | 3.11.3 | リスク評価に従って脆弱性を修復する。 | Synapse ワークスペースで脆弱性評価を有効にする必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| システムと通信の保護 | 3.13.10 | 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 | Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.0.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
NIST SP 800-53 Rev. 4
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-4 | 情報フローの適用 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | AC-17 | リモート アクセス | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | AC-17 (1) | 自動監視/制御 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| リスク評価 | RA-5 | 脆弱性のスキャン | Synapse ワークスペースで脆弱性評価を有効にする必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 | 境界保護 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| システムと通信の保護 | SC-7 (3) | アクセス ポイント | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.0.0 |
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-4 | 情報フローの適用 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | AC-17 | リモート アクセス | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| アクセス制御 | AC-17 (1) | 監視および制御 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| リスク評価 | RA-5 | 脆弱性の監視とスキャン | Synapse ワークスペースで脆弱性評価を有効にする必要がある | 1.0.0 |
| システムと通信の保護 | SC-7 | 境界保護 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| システムと通信の保護 | SC-7 (3) | アクセス ポイント | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| システムと通信の保護 | SC-12 | 暗号化キーの確立と管理 | Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.0.0 |
NL BIO Cloud Theme
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 不正使用の可能性が高く、かつ予想される損害が大きい場合、1 週間以内にパッチがインストールされます。 | Synapse ワークスペースで脆弱性評価を有効にする必要がある | 1.0.0 |
| U.05.2 データ保護 - 暗号化対策 | U.05.2 | クラウド サービスに格納されているデータは、最先端の技術で保護されます。 | Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.0.0 |
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | Azure Synapse ワークスペースではプライベート リンクを使用する必要がある | 1.0.1 |
| U.11.3 暗号化サービス - 暗号化 | U.11.3 | 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 | Azure Synapse ワークスペースでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 1.0.0 |
| U.17.1 マルチテナント アーキテクチャ - 暗号化 | U.17.1 | CSC データは転送時および保存時に暗号化されます。 | Synapse ワークスペースで脆弱性評価を有効にする必要がある | 1.0.0 |
インド準備銀行 - NBFC 向けの IT フレームワーク
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 ここのコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 情報とサイバー セキュリティ | 3.3 | 脆弱性管理-3.3 | Synapse ワークスペースで脆弱性評価を有効にする必要がある | 1.0.0 |
| IS 監査 | 5 | 情報システム監査 (IS 監査) のポリシー-5 | Azure Synapse ワークスペースの IP ファイアウォール規則を削除する必要がある | 1.0.0 |
次のステップ
- Azure Policy の規制コンプライアンスの詳細を確認します。
- Azure Policy GitHub リポジトリのビルトインを参照します。