Azure Virtual Machines 用の Azure Policy 規制コンプライアンス コントロールAzure Policy Regulatory Compliance controls for Azure Virtual Machines

Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連する コンプライアンス ドメイン および セキュリティ コントロール に対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。Regulatory Compliance in Azure Policy provides Microsoft created and managed initiative definitions, known as built-ins, for the compliance domains and security controls related to different compliance standards. このページでは、Azure Virtual Machines 用の コンプライアンス ドメインセキュリティ コントロール の一覧を示します。This page lists the compliance domains and security controls for Azure Virtual Machines . セキュリティ コントロール の組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。You can assign the built-ins for a security control individually to help make your Azure resources compliant with the specific standard.

各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。The title of each built-in policy definition links to the policy definition in the Azure portal. [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。Use the link in the Policy Version column to view the source on the Azure Policy GitHub repo.

重要

以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。Each control below is associated with one or more Azure Policy definitions. これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。These policies may help you assess compliance with the control; however, there often is not a one-to-one or complete match between a control and one or more policies. そのため、Azure Policy での 準拠 は、ポリシー自体のみを指しています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。As such, Compliant in Azure Policy refers only to the policies themselves; this doesn't ensure you're fully compliant with all requirements of a control. また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。In addition, the compliance standard includes controls that aren't addressed by any Azure Policy definitions at this time. したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。Therefore, compliance in Azure Policy is only a partial view of your overall compliance status. これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わる可能性があります。The associations between controls and Azure Policy Regulatory Compliance definitions for these compliance standards may change over time.

Azure セキュリティ ベンチマークAzure Security Benchmark

Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。The Azure Security Benchmark provides recommendations on how you can secure your cloud solutions on Azure. このサービスを完全に Azure セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。To see how this service completely maps to the Azure Security Benchmark, see the Azure Security Benchmark mapping files.

すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Azure セキュリティ ベンチマークに関するページを参照してください。To review how the available Azure Policy built-ins for all Azure services map to this compliance standard, see Azure Policy Regulatory Compliance - Azure Security Benchmark.

DomainDomain コントロール IDControl ID コントロールのタイトルControl title ポリシーPolicy
(Azure portal)(Azure portal)
ポリシーのバージョンPolicy version
(GitHub)(GitHub)
ネットワークのセキュリティNetwork Security NS-1NS-1 内部トラフィック用のセキュリティを実装するImplement security for internal traffic アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-1NS-1 内部トラフィック用のセキュリティを実装するImplement security for internal traffic 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-1NS-1 内部トラフィック用のセキュリティを実装するImplement security for internal traffic インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-1NS-1 内部トラフィック用のセキュリティを実装するImplement security for internal traffic 仮想マシン上の IP 転送を無効にする必要があるIP Forwarding on your virtual machine should be disabled 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-1NS-1 内部トラフィック用のセキュリティを実装するImplement security for internal traffic 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-1NS-1 内部トラフィック用のセキュリティを実装するImplement security for internal traffic 仮想マシンの管理ポートを閉じておく必要があるManagement ports should be closed on your virtual machines 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-1NS-1 内部トラフィック用のセキュリティを実装するImplement security for internal traffic インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要があるNon-internet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-4NS-4 外部ネットワーク攻撃からアプリケーションやサービスを保護するProtect applications and services from external network attacks アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-4NS-4 外部ネットワーク攻撃からアプリケーションやサービスを保護するProtect applications and services from external network attacks 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-4NS-4 外部ネットワーク攻撃からアプリケーションやサービスを保護するProtect applications and services from external network attacks インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-4NS-4 外部ネットワーク攻撃からアプリケーションやサービスを保護するProtect applications and services from external network attacks 仮想マシン上の IP 転送を無効にする必要があるIP Forwarding on your virtual machine should be disabled 3.0.03.0.0
ネットワークのセキュリティNetwork Security NS-4NS-4 外部ネットワーク攻撃からアプリケーションやサービスを保護するProtect applications and services from external network attacks 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
ID 管理Identity Management IM-4IM-4 すべての Azure Active Directory ベースのアクセスに強力な認証制御を使用するUse strong authentication controls for all Azure Active Directory based access Linux マシンに対する認証では SSH キーを要求する必要があるAuthentication to Linux machines should require SSH keys 2.0.12.0.1
データ保護Data Protection DP-2DP-2 機密データを保護するProtect sensitive data 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
データ保護Data Protection DP-4DP-4 転送中の機密情報を暗号化するEncrypt sensitive information in transit Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
データ保護Data Protection DP-5DP-5 保存データを暗号化するEncrypt sensitive data at rest 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
アセット管理Asset Management AM-3AM-3 承認された Azure サービスのみを使用するUse only approved Azure services 仮想マシンを新しい Azure Resource Manager リソースに移行する必要があるVirtual machines should be migrated to new Azure Resource Manager resources 1.0.01.0.0
アセット管理Asset Management AM-6AM-6 コンピューティング リソースで承認済みのアプリケーションのみを使用するUse only approved applications in compute resources 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
アセット管理Asset Management AM-6AM-6 コンピューティング リソースで承認済みのアプリケーションのみを使用するUse only approved applications in compute resources 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要があるAllowlist rules in your adaptive application control policy should be updated 3.0.03.0.0
ログと脅威検出Logging and Threat Detection LT-3LT-3 Azure ネットワーク アクティビティのログ記録を有効にするEnable logging for Azure network activities ネットワーク トラフィック データ収集エージェントを、Linux 仮想マシンにインストールする必要があるNetwork traffic data collection agent should be installed on Linux virtual machines 1.0.1-preview1.0.1-preview
ログと脅威検出Logging and Threat Detection LT-3LT-3 Azure ネットワーク アクティビティのログ記録を有効にするEnable logging for Azure network activities ネットワーク トラフィック データ収集エージェントを、Windows 仮想マシンにインストールする必要があるNetwork traffic data collection agent should be installed on Windows virtual machines 1.0.1-preview1.0.1-preview
ログと脅威検出Logging and Threat Detection LT-4LT-4 Azure リソースのログ記録を有効にするEnable logging for Azure resources Virtual Machine Scale Sets のリソース ログを有効にする必要があるResource logs in Virtual Machine Scale Sets should be enabled 2.0.12.0.1
ログと脅威検出Logging and Threat Detection LT-5LT-5 セキュリティ ログの管理と分析を一元化するCentralize security log management and analysis ゲスト構成拡張機能をマシンにインストールする必要があるGuest Configuration extension should be installed on your machines 1.0.11.0.1
ログと脅威検出Logging and Threat Detection LT-5LT-5 セキュリティ ログの管理と分析を一元化するCentralize security log management and analysis お使いのマシンで Log Analytics エージェントの正常性の問題を解決する必要があるLog Analytics agent health issues should be resolved on your machines 1.0.01.0.0
ログと脅威検出Logging and Threat Detection LT-5LT-5 セキュリティ ログの管理と分析を一元化するCentralize security log management and analysis Azure Security Center での監視のために、仮想マシンに Log Analytics エージェントをインストールする必要があるLog Analytics agent should be installed on your virtual machine for Azure Security Center monitoring 1.0.01.0.0
ログと脅威検出Logging and Threat Detection LT-5LT-5 セキュリティ ログの管理と分析を一元化するCentralize security log management and analysis Azure Security Center での監視のために、仮想マシン スケール セットに Log Analytics エージェントをインストールする必要があるLog Analytics agent should be installed on your virtual machine scale sets for Azure Security Center monitoring 1.0.01.0.0
ログと脅威検出Logging and Threat Detection LT-5LT-5 セキュリティ ログの管理と分析を一元化するCentralize security log management and analysis 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要があるVirtual machines' Guest Configuration extension should be deployed with system-assigned managed identity 1.0.11.0.1
体制と脆弱性の管理Posture and Vulnerability Management PV-4PV-4 コンピューティング リソースに対するセキュリティで保護された構成を維持するSustain secure configurations for compute resources Linux マシンでは、Azure セキュリティ ベースラインの要件を満たしている必要があるLinux machines should meet requirements for the Azure security baseline 1.1.0-preview1.1.0-preview
体制と脆弱性の管理Posture and Vulnerability Management PV-4PV-4 コンピューティング リソースに対するセキュリティで保護された構成を維持するSustain secure configurations for compute resources コンテナーのセキュリティ構成の脆弱性を修復する必要がありますVulnerabilities in container security configurations should be remediated 3.0.03.0.0
体制と脆弱性の管理Posture and Vulnerability Management PV-4PV-4 コンピューティング リソースに対するセキュリティで保護された構成を維持するSustain secure configurations for compute resources 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
体制と脆弱性の管理Posture and Vulnerability Management PV-4PV-4 コンピューティング リソースに対するセキュリティで保護された構成を維持するSustain secure configurations for compute resources 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
体制と脆弱性の管理Posture and Vulnerability Management PV-4PV-4 コンピューティング リソースに対するセキュリティで保護された構成を維持するSustain secure configurations for compute resources Windows マシンは Azure Security Center ベースラインの要件を満たしている必要があるWindows machines should meet requirements of the Azure Security Center baseline 1.0.0-preview1.0.0-preview
体制と脆弱性の管理Posture and Vulnerability Management PV-6PV-6 ソフトウェアの脆弱性評価を実行するPerform software vulnerability assessments 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
体制と脆弱性の管理Posture and Vulnerability Management PV-6PV-6 ソフトウェアの脆弱性評価を実行するPerform software vulnerability assessments マシン上の SQL サーバーの脆弱性を修復する必要があるVulnerabilities on your SQL servers on machine should be remediated 1.0.01.0.0
体制と脆弱性の管理Posture and Vulnerability Management PV-7PV-7 ソフトウェアの脆弱性を迅速かつ自動的に修復するRapidly and automatically remediate software vulnerabilities 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要があるSystem updates on virtual machine scale sets should be installed 3.0.03.0.0
体制と脆弱性の管理Posture and Vulnerability Management PV-7PV-7 ソフトウェアの脆弱性を迅速かつ自動的に修復するRapidly and automatically remediate software vulnerabilities システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
エンドポイント セキュリティEndpoint Security ES-2ES-2 一元管理された最新のマルウェア対策ソフトウェアを使用するUse centrally managed modern anti-malware software エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
エンドポイント セキュリティEndpoint Security ES-2ES-2 一元管理された最新のマルウェア対策ソフトウェアを使用するUse centrally managed modern anti-malware software Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
エンドポイント セキュリティEndpoint Security ES-2ES-2 一元管理された最新のマルウェア対策ソフトウェアを使用するUse centrally managed modern anti-malware software マシンで Windows Defender Exploit Guard を有効にする必要があるWindows Defender Exploit Guard should be enabled on your machines 1.1.11.1.1
エンドポイント セキュリティEndpoint Security ES-3ES-3 マルウェア対策ソフトウェアと署名が確実に更新されるようにするEnsure anti-malware software and signatures are updated エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
エンドポイント セキュリティEndpoint Security ES-3ES-3 マルウェア対策ソフトウェアと署名が確実に更新されるようにするEnsure anti-malware software and signatures are updated Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
バックアップと回復Backup and Recovery BR-1BR-1 定期的な自動バックアップを保証するEnsure regular automated backups 仮想マシンに対して Azure Backup を有効にする必要があるAzure Backup should be enabled for Virtual Machines 2.0.02.0.0
バックアップと回復Backup and Recovery BR-2BR-2 バックアップ データを暗号化するEncrypt backup data 仮想マシンに対して Azure Backup を有効にする必要があるAzure Backup should be enabled for Virtual Machines 2.0.02.0.0

Azure セキュリティ ベンチマーク v1Azure Security Benchmark v1

Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。The Azure Security Benchmark provides recommendations on how you can secure your cloud solutions on Azure. このサービスを完全に Azure セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。To see how this service completely maps to the Azure Security Benchmark, see the Azure Security Benchmark mapping files.

すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Azure セキュリティ ベンチマークに関するページを参照してください。To review how the available Azure Policy built-ins for all Azure services map to this compliance standard, see Azure Policy Regulatory Compliance - Azure Security Benchmark.

DomainDomain コントロール IDControl ID コントロールのタイトルControl title ポリシーPolicy
(Azure portal)(Azure portal)
ポリシーのバージョンPolicy version
(GitHub)(GitHub)
ネットワークのセキュリティNetwork Security 1.11.1 Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護するProtect resources using Network Security Groups or Azure Firewall on your Virtual Network アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワークのセキュリティNetwork Security 1.11.1 Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護するProtect resources using Network Security Groups or Azure Firewall on your Virtual Network インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワークのセキュリティNetwork Security 1.11.1 Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護するProtect resources using Network Security Groups or Azure Firewall on your Virtual Network 仮想マシン上の IP 転送を無効にする必要があるIP Forwarding on your virtual machine should be disabled 3.0.03.0.0
ネットワークのセキュリティNetwork Security 1.11.1 Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護するProtect resources using Network Security Groups or Azure Firewall on your Virtual Network 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
ネットワークのセキュリティNetwork Security 1.11.1 Virtual Network でネットワーク セキュリティ グループまたは Azure Firewall を使用してリソースを保護するProtect resources using Network Security Groups or Azure Firewall on your Virtual Network 仮想マシンの管理ポートを閉じておく必要があるManagement ports should be closed on your virtual machines 3.0.03.0.0
ネットワークのセキュリティNetwork Security 1.41.4 既知の悪意のある IP アドレスとの通信を拒否するDeny communications with known malicious IP addresses アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワークのセキュリティNetwork Security 1.41.4 既知の悪意のある IP アドレスとの通信を拒否するDeny communications with known malicious IP addresses 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
ネットワークのセキュリティNetwork Security 1.111.11 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出するUse automated tools to monitor network resource configurations and detect changes ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
ネットワークのセキュリティNetwork Security 1.111.11 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出するUse automated tools to monitor network resource configurations and detect changes ユーザー割り当て ID がある VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
ネットワークのセキュリティNetwork Security 1.111.11 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出するUse automated tools to monitor network resource configurations and detect changes Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
ネットワークのセキュリティNetwork Security 1.111.11 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出するUse automated tools to monitor network resource configurations and detect changes Windows マシンは、[管理用テンプレート - ネットワーク] の要件を満たしている必要があるWindows machines should meet requirements for 'Administrative Templates - Network' 2.0.02.0.0
ネットワークのセキュリティNetwork Security 1.111.11 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出するUse automated tools to monitor network resource configurations and detect changes Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要があるWindows machines should meet requirements for 'Security Options - Microsoft Network Server' 2.0.02.0.0
ネットワークのセキュリティNetwork Security 1.111.11 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出するUse automated tools to monitor network resource configurations and detect changes Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Access' 2.0.02.0.0
ネットワークのセキュリティNetwork Security 1.111.11 自動化ツールを使用してネットワーク リソース構成を監視し、変更を検出するUse automated tools to monitor network resource configurations and detect changes Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
ログ記録と監視Logging and Monitoring 2.22.2 セキュリティ ログの一元管理を構成するConfigure central security log management Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査するAudit Windows machines on which the Log Analytics agent is not connected as expected 1.0.01.0.0
ログ記録と監視Logging and Monitoring 2.22.2 セキュリティ ログの一元管理を構成するConfigure central security log management 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on Virtual Machine Scale Sets 1.0.01.0.0
ログ記録と監視Logging and Monitoring 2.22.2 セキュリティ ログの一元管理を構成するConfigure central security log management 仮想マシンに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on virtual machines 1.0.01.0.0
ログ記録と監視Logging and Monitoring 2.32.3 Azure リソースの監査ログ記録を有効にするEnable audit logging for Azure resources Virtual Machine Scale Sets のリソース ログを有効にする必要があるResource logs in Virtual Machine Scale Sets should be enabled 2.0.12.0.1
ログ記録と監視Logging and Monitoring 2.42.4 オペレーティング システムからセキュリティ ログを収集するCollect security logs from operating systems Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査するAudit Windows machines on which the Log Analytics agent is not connected as expected 1.0.01.0.0
ログ記録と監視Logging and Monitoring 2.42.4 オペレーティング システムからセキュリティ ログを収集するCollect security logs from operating systems 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on Virtual Machine Scale Sets 1.0.01.0.0
ログ記録と監視Logging and Monitoring 2.42.4 オペレーティング システムからセキュリティ ログを収集するCollect security logs from operating systems 仮想マシンに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on virtual machines 1.0.01.0.0
ログ記録と監視Logging and Monitoring 2.82.8 マルウェア対策のログ記録を一元管理するCentralize anti-malware logging エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
ログ記録と監視Logging and Monitoring 2.82.8 マルウェア対策のログ記録を一元管理するCentralize anti-malware logging Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要があるMicrosoft Antimalware for Azure should be configured to automatically update protection signatures 1.0.01.0.0
ログ記録と監視Logging and Monitoring 2.82.8 マルウェア対策のログ記録を一元管理するCentralize anti-malware logging Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
ID およびアクセス制御Identity and Access Control 3.33.3 専用管理者アカウントを使用するUse dedicated administrative accounts Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査するAudit Windows machines missing any of specified members in the Administrators group 1.0.01.0.0
ID およびアクセス制御Identity and Access Control 3.33.3 専用管理者アカウントを使用するUse dedicated administrative accounts Administrators グループに余分なアカウントがある Windows マシンを監査するAudit Windows machines that have extra accounts in the Administrators group 1.0.01.0.0
ID およびアクセス制御Identity and Access Control 3.33.3 専用管理者アカウントを使用するUse dedicated administrative accounts Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査するAudit Windows machines that have the specified members in the Administrators group 1.0.01.0.0
データ保護Data Protection 4.84.8 機密情報を保存時に暗号化するEncrypt sensitive information at rest 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
データ保護Data Protection 4.84.8 機密情報を保存時に暗号化するEncrypt sensitive information at rest アタッチされていないディスクを暗号化する必要があるUnattached disks should be encrypted 1.0.01.0.0
脆弱性の管理Vulnerability Management 5.15.1 自動化された脆弱性スキャン ツールを実行するRun automated vulnerability scanning tools 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
脆弱性の管理Vulnerability Management 5.25.2 自動化されたオペレーティング システム修正プログラム管理ソリューションを展開するDeploy automated operating system patch management solution 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要があるSystem updates on virtual machine scale sets should be installed 3.0.03.0.0
脆弱性の管理Vulnerability Management 5.25.2 自動化されたオペレーティング システム修正プログラム管理ソリューションを展開するDeploy automated operating system patch management solution システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
脆弱性の管理Vulnerability Management 5.55.5 リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付けるUse a risk-rating process to prioritize the remediation of discovered vulnerabilities コンテナーのセキュリティ構成の脆弱性を修復する必要がありますVulnerabilities in container security configurations should be remediated 3.0.03.0.0
脆弱性の管理Vulnerability Management 5.55.5 リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付けるUse a risk-rating process to prioritize the remediation of discovered vulnerabilities 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
脆弱性の管理Vulnerability Management 5.55.5 リスク評価プロセスを使用して、検出された脆弱性の修復に優先順位を付けるUse a risk-rating process to prioritize the remediation of discovered vulnerabilities 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
インベントリと資産の管理Inventory and Asset Management 6.86.8 承認されたアプリケーションのみを使用するUse only approved applications 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
インベントリと資産の管理Inventory and Asset Management 6.96.9 承認された Azure サービスのみを使用するUse only approved Azure services 仮想マシンを新しい Azure Resource Manager リソースに移行する必要があるVirtual machines should be migrated to new Azure Resource Manager resources 1.0.01.0.0
インベントリと資産の管理Inventory and Asset Management 6.106.10 承認されたアプリケーションの一覧を実装するImplement approved application list 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
セキュリティで保護された構成Secure Configuration 7.47.4 セキュリティで保護されたオペレーティング システムの構成を維持するMaintain secure operating system configurations コンテナーのセキュリティ構成の脆弱性を修復する必要がありますVulnerabilities in container security configurations should be remediated 3.0.03.0.0
セキュリティで保護された構成Secure Configuration 7.47.4 セキュリティで保護されたオペレーティング システムの構成を維持するMaintain secure operating system configurations 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
セキュリティで保護された構成Secure Configuration 7.47.4 セキュリティで保護されたオペレーティング システムの構成を維持するMaintain secure operating system configurations 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
セキュリティで保護された構成Secure Configuration 7.107.10 オペレーティング システムの自動構成監視を実装するImplement automated configuration monitoring for operating systems コンテナーのセキュリティ構成の脆弱性を修復する必要がありますVulnerabilities in container security configurations should be remediated 3.0.03.0.0
セキュリティで保護された構成Secure Configuration 7.107.10 オペレーティング システムの自動構成監視を実装するImplement automated configuration monitoring for operating systems 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
セキュリティで保護された構成Secure Configuration 7.107.10 オペレーティング システムの自動構成監視を実装するImplement automated configuration monitoring for operating systems 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
マルウェアからの防御Malware Defense 8.18.1 一元管理されるマルウェア対策ソフトウェアを使用するUse centrally managed anti-malware software エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
マルウェアからの防御Malware Defense 8.18.1 一元管理されるマルウェア対策ソフトウェアを使用するUse centrally managed anti-malware software Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
マルウェアからの防御Malware Defense 8.38.3 マルウェア対策ソフトウェアと署名が確実に更新されるようにするEnsure anti-malware software and signatures are updated Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要があるMicrosoft Antimalware for Azure should be configured to automatically update protection signatures 1.0.01.0.0
データの復旧Data Recovery 9.19.1 定期的に自動バックアップを行うEnsure regular automated back ups 仮想マシンに対して Azure Backup を有効にする必要があるAzure Backup should be enabled for Virtual Machines 2.0.02.0.0
データの復旧Data Recovery 9.29.2 システムの完全バックアップを実行し、カスタマー マネージド キーをバックアップするPerform complete system backups and backup any customer managed keys 仮想マシンに対して Azure Backup を有効にする必要があるAzure Backup should be enabled for Virtual Machines 2.0.02.0.0

CIS Microsoft Azure Foundations Benchmark 1.1.0CIS Microsoft Azure Foundations Benchmark 1.1.0

すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.1.0 に関するページを参照してください。To review how the available Azure Policy built-ins for all Azure services map to this compliance standard, see Azure Policy Regulatory Compliance - CIS Microsoft Azure Foundations Benchmark 1.1.0. このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。For more information about this compliance standard, see CIS Microsoft Azure Foundations Benchmark.

DomainDomain コントロール IDControl ID コントロールのタイトルControl title ポリシーPolicy
(Azure portal)(Azure portal)
ポリシーのバージョンPolicy version
(GitHub)(GitHub)
Security CenterSecurity Center 2.32.3 ASC の既定のポリシー設定 [システムの更新プログラムの監視] が [無効] になっていないことを確認するEnsure ASC Default policy setting "Monitor System Updates" is not "Disabled" システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
Security CenterSecurity Center 2.42.4 ASC の既定のポリシー設定 [OS 脆弱性の監視] が [無効] になっていないことを確認するEnsure ASC Default policy setting "Monitor OS Vulnerabilities" is not "Disabled" 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
Security CenterSecurity Center 2.52.5 ASC の既定のポリシー設定 [Endpoint Protection の監視] が [無効] になっていないことを確認するEnsure ASC Default policy setting "Monitor Endpoint Protection" is not "Disabled" Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
Security CenterSecurity Center 2.62.6 ASC の既定のポリシー設定 [ディスク暗号化の監視] が [無効] になっていないことを確認するEnsure ASC Default policy setting "Monitor Disk Encryption" is not "Disabled" 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
Security CenterSecurity Center 2.72.7 ASC の既定のポリシー設定 [ネットワーク セキュリティ グループの監視] が [無効] になっていないことを確認するEnsure ASC Default policy setting "Monitor Network Security Groups" is not "Disabled" アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
Security CenterSecurity Center 2.92.9 ASC の既定のポリシー設定 [次世代のファイアウォール (NGFW) 監視を有効にする] が [無効] になっていないことを確認するEnsure ASC Default policy setting "Enable Next Generation Firewall(NGFW) Monitoring" is not "Disabled" インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
Security CenterSecurity Center 2.102.10 ASC の既定のポリシー設定 [脆弱性評価を監視する] が [無効] になっていないことを確認するEnsure ASC Default policy setting "Monitor Vulnerability Assessment" is not "Disabled" 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
Security CenterSecurity Center 2.122.12 ASC の既定のポリシー設定 [JIT ネットワーク アクセスの監視] が [無効] になっていないことを確認するEnsure ASC Default policy setting "Monitor JIT Network Access" is not "Disabled" 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
Security CenterSecurity Center 2.132.13 ASC の既定のポリシー設定 [Monitor Adaptive Application Whitelisting](適応型アプリケーションのホワイトリスト登録の監視) が [無効] になっていないことを確認するEnsure ASC Default policy setting "Monitor Adaptive Application Whitelisting" is not "Disabled" 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
Virtual MachinesVirtual Machines 7.17.1 "OS ディスク" が暗号化されていることを確認するEnsure that 'OS disk' are encrypted 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
Virtual MachinesVirtual Machines 7.27.2 "データ ディスク" が暗号化されていることを確認するEnsure that 'Data disks' are encrypted 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
Virtual MachinesVirtual Machines 7.37.3 "アタッチされていないディスク" が暗号化されていることを確認するEnsure that 'Unattached disks' are encrypted アタッチされていないディスクを暗号化する必要があるUnattached disks should be encrypted 1.0.01.0.0
Virtual MachinesVirtual Machines 7.47.4 承認済みの拡張機能のみがインストールされていることを確認するEnsure that only approved extensions are installed インストールする必要があるのは、許可されている VM 拡張機能のみOnly approved VM extensions should be installed 1.0.01.0.0
Virtual MachinesVirtual Machines 7.57.5 すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認するEnsure that the latest OS Patches for all Virtual Machines are applied システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
Virtual MachinesVirtual Machines 7.67.6 すべての仮想マシンの Endpoint Protection がインストールされていることを確認するEnsure that the endpoint protection for all Virtual Machines is installed Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0

CIS Microsoft Azure Foundations Benchmark 1.3.0CIS Microsoft Azure Foundations Benchmark 1.3.0

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。To review how the available Azure Policy built-ins for all Azure services map to this compliance standard, see Azure Policy Regulatory Compliance - CIS Microsoft Azure Foundations Benchmark 1.3.0. このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。For more information about this compliance standard, see CIS Microsoft Azure Foundations Benchmark.

DomainDomain コントロール IDControl ID コントロールのタイトルControl title ポリシーPolicy
(Azure portal)(Azure portal)
ポリシーのバージョンPolicy version
(GitHub)(GitHub)
ログ記録と監視Logging and Monitoring 5.35.3 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認するEnsure that Diagnostic Logs are enabled for all services which support it. Virtual Machine Scale Sets のリソース ログを有効にする必要があるResource logs in Virtual Machine Scale Sets should be enabled 2.0.12.0.1
Virtual MachinesVirtual Machines 7.17.1 Virtual Machines で Managed Disks が利用されていることを確認するEnsure Virtual Machines are utilizing Managed Disks Managed Disks を使用していない VM の監査Audit VMs that do not use managed disks 1.0.01.0.0
Virtual MachinesVirtual Machines 7.27.2 "OS およびデータ" のディスクが CMK で暗号化されていることを確認するEnsure that 'OS and Data' disks are encrypted with CMK 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
Virtual MachinesVirtual Machines 7.37.3 "アタッチされていないディスク" が CMK で暗号化されていることを確認するEnsure that 'Unattached disks' are encrypted with CMK アタッチされていないディスクを暗号化する必要があるUnattached disks should be encrypted 1.0.01.0.0
Virtual MachinesVirtual Machines 7.47.4 承認済みの拡張機能のみがインストールされていることを確認するEnsure that only approved extensions are installed インストールする必要があるのは、許可されている VM 拡張機能のみOnly approved VM extensions should be installed 1.0.01.0.0
Virtual MachinesVirtual Machines 7.57.5 すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認するEnsure that the latest OS Patches for all Virtual Machines are applied システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
Virtual MachinesVirtual Machines 7.67.6 すべての仮想マシンの Endpoint Protection がインストールされていることを確認するEnsure that the endpoint protection for all Virtual Machines is installed Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0

CMMC レベル 3CMMC Level 3

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。To review how the available Azure Policy built-ins for all Azure services map to this compliance standard, see Azure Policy Regulatory Compliance - CMMC Level 3. このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。For more information about this compliance standard, see Cybersecurity Maturity Model Certification (CMMC).

DomainDomain コントロール IDControl ID コントロールのタイトルControl title ポリシーPolicy
(Azure portal)(Azure portal)
ポリシーのバージョンPolicy version
(GitHub)(GitHub)
アクセス制御Access Control AC.1.001AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。Limit information system access to authorized users, processes acting on behalf of authorized users, and devices (including other information systems). ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
アクセス制御Access Control AC.1.001AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。Limit information system access to authorized users, processes acting on behalf of authorized users, and devices (including other information systems). ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
アクセス制御Access Control AC.1.001AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。Limit information system access to authorized users, processes acting on behalf of authorized users, and devices (including other information systems). パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査するAudit Linux machines that allow remote connections from accounts without passwords 1.0.01.0.0
アクセス制御Access Control AC.1.001AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。Limit information system access to authorized users, processes acting on behalf of authorized users, and devices (including other information systems). Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
アクセス制御Access Control AC.1.001AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。Limit information system access to authorized users, processes acting on behalf of authorized users, and devices (including other information systems). 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
アクセス制御Access Control AC.1.001AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。Limit information system access to authorized users, processes acting on behalf of authorized users, and devices (including other information systems). Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Access' 2.0.02.0.0
アクセス制御Access Control AC.1.001AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。Limit information system access to authorized users, processes acting on behalf of authorized users, and devices (including other information systems). Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
アクセス制御Access Control AC.1.002AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。Limit information system access to the types of transactions and functions that authorized users are permitted to execute. パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査するAudit Linux machines that allow remote connections from accounts without passwords 1.0.01.0.0
アクセス制御Access Control AC.1.002AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。Limit information system access to the types of transactions and functions that authorized users are permitted to execute. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
アクセス制御Access Control AC.1.002AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。Limit information system access to the types of transactions and functions that authorized users are permitted to execute. Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Access' 2.0.02.0.0
アクセス制御Access Control AC.1.002AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。Limit information system access to the types of transactions and functions that authorized users are permitted to execute. Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
アクセス制御Access Control AC.1.003AC.1.003 外部情報システムへの接続と使用を検証し、制御および制限する。Verify and control/limit connections to and use of external information systems. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
アクセス制御Access Control AC.1.003AC.1.003 外部情報システムへの接続と使用を検証し、制御および制限する。Verify and control/limit connections to and use of external information systems. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
アクセス制御Access Control AC.2.007AC.2.007 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。Employ the principle of least privilege, including for specific security functions and privileged accounts. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
アクセス制御Access Control AC.2.008AC.2.008 セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。Use non-privileged accounts or roles when accessing nonsecurity functions. Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要があるWindows machines should meet requirements for 'Security Options - User Account Control' 2.0.02.0.0
アクセス制御Access Control AC.2.008AC.2.008 セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。Use non-privileged accounts or roles when accessing nonsecurity functions. Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要があるWindows machines should meet requirements for 'User Rights Assignment' 2.0.02.0.0
アクセス制御Access Control AC.2.013AC.2.013 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
アクセス制御Access Control AC.2.013AC.2.013 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
アクセス制御Access Control AC.2.013AC.2.013 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査するAudit Linux machines that allow remote connections from accounts without passwords 1.0.01.0.0
アクセス制御Access Control AC.2.013AC.2.013 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
アクセス制御Access Control AC.2.013AC.2.013 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
アクセス制御Access Control AC.2.013AC.2.013 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
アクセス制御Access Control AC.2.016AC.2.016 承認された認可に従って CUI のフローを制御する。Control the flow of CUI in accordance with approved authorizations. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
アクセス制御Access Control AC.2.016AC.2.016 承認された認可に従って CUI のフローを制御する。Control the flow of CUI in accordance with approved authorizations. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
アクセス制御Access Control AC.2.016AC.2.016 承認された認可に従って CUI のフローを制御する。Control the flow of CUI in accordance with approved authorizations. Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Access' 2.0.02.0.0
アクセス制御Access Control AC.3.017AC.3.017 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。Separate the duties of individuals to reduce the risk of malevolent activity without collusion. Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査するAudit Windows machines missing any of specified members in the Administrators group 1.0.01.0.0
アクセス制御Access Control AC.3.017AC.3.017 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。Separate the duties of individuals to reduce the risk of malevolent activity without collusion. Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査するAudit Windows machines that have the specified members in the Administrators group 1.0.01.0.0
アクセス制御Access Control AC.3.018AC.3.018 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。Prevent non-privileged users from executing privileged functions and capture the execution of such functions in audit logs. Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Privilege Use' 2.0.02.0.0
アクセス制御Access Control AC.3.021AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。Authorize remote execution of privileged commands and remote access to security-relevant information. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
アクセス制御Access Control AC.3.021AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。Authorize remote execution of privileged commands and remote access to security-relevant information. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
アクセス制御Access Control AC.3.021AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。Authorize remote execution of privileged commands and remote access to security-relevant information. Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイするDeploy the Linux Guest Configuration extension to enable Guest Configuration assignments on Linux VMs 1.0.01.0.0
アクセス制御Access Control AC.3.021AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。Authorize remote execution of privileged commands and remote access to security-relevant information. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
アクセス制御Access Control AC.3.021AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。Authorize remote execution of privileged commands and remote access to security-relevant information. ゲスト構成拡張機能をマシンにインストールする必要があるGuest Configuration extension should be installed on your machines 1.0.11.0.1
アクセス制御Access Control AC.3.021AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。Authorize remote execution of privileged commands and remote access to security-relevant information. 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要があるVirtual machines' Guest Configuration extension should be deployed with system-assigned managed identity 1.0.11.0.1
アクセス制御Access Control AC.3.021AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。Authorize remote execution of privileged commands and remote access to security-relevant information. Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要があるWindows machines should meet requirements for 'Security Options - User Account Control' 2.0.02.0.0
アクセス制御Access Control AC.3.021AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。Authorize remote execution of privileged commands and remote access to security-relevant information. Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要があるWindows machines should meet requirements for 'User Rights Assignment' 2.0.02.0.0
監査とアカウンタビリティAudit and Accountability AU.2.041AU.2.041 システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。Ensure that the actions of individual system users can be uniquely traced to those users so they can be held accountable for their actions. VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
監査とアカウンタビリティAudit and Accountability AU.2.041AU.2.041 システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。Ensure that the actions of individual system users can be uniquely traced to those users so they can be held accountable for their actions. 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
監査とアカウンタビリティAudit and Accountability AU.2.041AU.2.041 システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。Ensure that the actions of individual system users can be uniquely traced to those users so they can be held accountable for their actions. 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
監査とアカウンタビリティAudit and Accountability AU.2.041AU.2.041 システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。Ensure that the actions of individual system users can be uniquely traced to those users so they can be held accountable for their actions. 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on Virtual Machine Scale Sets 1.0.01.0.0
監査とアカウンタビリティAudit and Accountability AU.2.041AU.2.041 システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。Ensure that the actions of individual system users can be uniquely traced to those users so they can be held accountable for their actions. 仮想マシンに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on virtual machines 1.0.01.0.0
監査とアカウンタビリティAudit and Accountability AU.2.042AU.2.042 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity. VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
監査とアカウンタビリティAudit and Accountability AU.2.042AU.2.042 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity. 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
監査とアカウンタビリティAudit and Accountability AU.2.042AU.2.042 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity. 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
監査とアカウンタビリティAudit and Accountability AU.2.042AU.2.042 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity. 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on Virtual Machine Scale Sets 1.0.01.0.0
監査とアカウンタビリティAudit and Accountability AU.2.042AU.2.042 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity. 仮想マシンに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on virtual machines 1.0.01.0.0
監査とアカウンタビリティAudit and Accountability AU.3.046AU.3.046 監査ログ プロセス エラーが発生した場合にアラートを出す。Alert in the event of an audit logging process failure. VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
監査とアカウンタビリティAudit and Accountability AU.3.046AU.3.046 監査ログ プロセス エラーが発生した場合にアラートを出す。Alert in the event of an audit logging process failure. 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
監査とアカウンタビリティAudit and Accountability AU.3.046AU.3.046 監査ログ プロセス エラーが発生した場合にアラートを出す。Alert in the event of an audit logging process failure. 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
監査とアカウンタビリティAudit and Accountability AU.3.048AU.3.048 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。Collect audit information (e.g., logs) into one or more central repositories. VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
監査とアカウンタビリティAudit and Accountability AU.3.048AU.3.048 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。Collect audit information (e.g., logs) into one or more central repositories. 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
監査とアカウンタビリティAudit and Accountability AU.3.048AU.3.048 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。Collect audit information (e.g., logs) into one or more central repositories. 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
監査とアカウンタビリティAudit and Accountability AU.3.048AU.3.048 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。Collect audit information (e.g., logs) into one or more central repositories. 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on Virtual Machine Scale Sets 1.0.01.0.0
監査とアカウンタビリティAudit and Accountability AU.3.048AU.3.048 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。Collect audit information (e.g., logs) into one or more central repositories. 仮想マシンに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on virtual machines 1.0.01.0.0
セキュリティ評価Security Assessment CA.2.158CA.2.158 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。Periodically assess the security controls in organizational systems to determine if the controls are effective in their application. 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
セキュリティ評価Security Assessment CA.2.158CA.2.158 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。Periodically assess the security controls in organizational systems to determine if the controls are effective in their application. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
セキュリティ評価Security Assessment CA.2.158CA.2.158 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。Periodically assess the security controls in organizational systems to determine if the controls are effective in their application. 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要があるAllowlist rules in your adaptive application control policy should be updated 3.0.03.0.0
セキュリティ評価Security Assessment CA.2.158CA.2.158 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。Periodically assess the security controls in organizational systems to determine if the controls are effective in their application. エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
セキュリティ評価Security Assessment CA.2.158CA.2.158 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。Periodically assess the security controls in organizational systems to determine if the controls are effective in their application. Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
セキュリティ評価Security Assessment CA.3.161CA.3.161 セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。Monitor security controls on an ongoing basis to ensure the continued effectiveness of the controls. 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
セキュリティ評価Security Assessment CA.3.161CA.3.161 セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。Monitor security controls on an ongoing basis to ensure the continued effectiveness of the controls. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
セキュリティ評価Security Assessment CA.3.161CA.3.161 セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。Monitor security controls on an ongoing basis to ensure the continued effectiveness of the controls. 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要があるAllowlist rules in your adaptive application control policy should be updated 3.0.03.0.0
セキュリティ評価Security Assessment CA.3.161CA.3.161 セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。Monitor security controls on an ongoing basis to ensure the continued effectiveness of the controls. エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
セキュリティ評価Security Assessment CA.3.161CA.3.161 セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。Monitor security controls on an ongoing basis to ensure the continued effectiveness of the controls. Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
構成管理Configuration Management CM.2.061CM.2.061 それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。Establish and maintain baseline configurations and inventories of organizational systems (including hardware, software, firmware, and documentation) throughout the respective system development life cycles. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
構成管理Configuration Management CM.2.061CM.2.061 それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。Establish and maintain baseline configurations and inventories of organizational systems (including hardware, software, firmware, and documentation) throughout the respective system development life cycles. Linux マシンでは、Azure セキュリティ ベースラインの要件を満たしている必要があるLinux machines should meet requirements for the Azure security baseline 1.1.0-preview1.1.0-preview
構成管理Configuration Management CM.2.062CM.2.062 不可欠な機能だけを提供するように組織のシステムを構成して最小限の機能の原則を採用する。Employ the principle of least functionality by configuring organizational systems to provide only essential capabilities. Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Privilege Use' 2.0.02.0.0
構成管理Configuration Management CM.2.063CM.2.063 ユーザーがインストールしたソフトウェアの制御および監視を行う。Control and monitor user-installed software. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
構成管理Configuration Management CM.2.063CM.2.063 ユーザーがインストールしたソフトウェアの制御および監視を行う。Control and monitor user-installed software. 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要があるAllowlist rules in your adaptive application control policy should be updated 3.0.03.0.0
構成管理Configuration Management CM.2.063CM.2.063 ユーザーがインストールしたソフトウェアの制御および監視を行う。Control and monitor user-installed software. Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要があるWindows machines should meet requirements for 'Security Options - User Account Control' 2.0.02.0.0
構成管理Configuration Management CM.2.064CM.2.064 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。Establish and enforce security configuration settings for information technology products employed in organizational systems. 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
構成管理Configuration Management CM.2.064CM.2.064 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。Establish and enforce security configuration settings for information technology products employed in organizational systems. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
構成管理Configuration Management CM.2.065CM.2.065 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。Track, review, approve or disapprove, and log changes to organizational systems. Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Policy Change' 2.0.02.0.0
構成管理Configuration Management CM.3.068CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。Restrict, disable, or prevent the use of nonessential programs, functions, ports, protocols, and services. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
構成管理Configuration Management CM.3.068CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。Restrict, disable, or prevent the use of nonessential programs, functions, ports, protocols, and services. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
構成管理Configuration Management CM.3.068CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。Restrict, disable, or prevent the use of nonessential programs, functions, ports, protocols, and services. 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
構成管理Configuration Management CM.3.068CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。Restrict, disable, or prevent the use of nonessential programs, functions, ports, protocols, and services. 適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要があるAllowlist rules in your adaptive application control policy should be updated 3.0.03.0.0
構成管理Configuration Management CM.3.068CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。Restrict, disable, or prevent the use of nonessential programs, functions, ports, protocols, and services. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
構成管理Configuration Management CM.3.068CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。Restrict, disable, or prevent the use of nonessential programs, functions, ports, protocols, and services. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
構成管理Configuration Management CM.3.068CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。Restrict, disable, or prevent the use of nonessential programs, functions, ports, protocols, and services. インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要があるNon-internet-facing virtual machines should be protected with network security groups 3.0.03.0.0
構成管理Configuration Management CM.3.069CM.3.069 例外的に拒否 (ブラックリスト登録) ポリシーを適用して、承認されていないソフトウェアの使用できないようにするか、またはすべて拒否、例外的に許可 (ホワイトリスト登録) ポリシーを適用して、承認されたソフトウェアの実行を許可する。Apply deny-by-exception (blacklisting) policy to prevent the use of unauthorized software or deny-all, permit-by-exception (whitelisting) policy to allow the execution of authorized software. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
識別と認証Identification and Authentication IA.1.077IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of those users, processes, or devices, as a prerequisite to allowing access to organizational information systems. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
識別と認証Identification and Authentication IA.1.077IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of those users, processes, or devices, as a prerequisite to allowing access to organizational information systems. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
識別と認証Identification and Authentication IA.1.077IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of those users, processes, or devices, as a prerequisite to allowing access to organizational information systems. passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査するAudit Linux machines that do not have the passwd file permissions set to 0644 1.0.01.0.0
識別と認証Identification and Authentication IA.1.077IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of those users, processes, or devices, as a prerequisite to allowing access to organizational information systems. パスワードなしのアカウントが存在する Linux マシンを監査するAudit Linux machines that have accounts without passwords 1.0.01.0.0
識別と認証Identification and Authentication IA.1.077IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of those users, processes, or devices, as a prerequisite to allowing access to organizational information systems. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
識別と認証Identification and Authentication IA.1.077IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of those users, processes, or devices, as a prerequisite to allowing access to organizational information systems. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
識別と認証Identification and Authentication IA.2.078IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
識別と認証Identification and Authentication IA.2.078IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
識別と認証Identification and Authentication IA.2.078IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. パスワードなしのアカウントが存在する Linux マシンを監査するAudit Linux machines that have accounts without passwords 1.0.01.0.0
識別と認証Identification and Authentication IA.2.078IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. パスワードの複雑さの設定が有効になっていない Windows マシンを監査するAudit Windows machines that do not have the password complexity setting enabled 1.0.01.0.0
識別と認証Identification and Authentication IA.2.078IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. パスワードの最小文字数が 14 文字に制限されていない Windows マシンを監査するAudit Windows machines that do not restrict the minimum password length to 14 characters 1.0.01.0.0
識別と認証Identification and Authentication IA.2.078IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
識別と認証Identification and Authentication IA.2.078IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
識別と認証Identification and Authentication IA.2.079IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。Prohibit password reuse for a specified number of generations. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
識別と認証Identification and Authentication IA.2.079IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。Prohibit password reuse for a specified number of generations. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
識別と認証Identification and Authentication IA.2.079IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。Prohibit password reuse for a specified number of generations. 以前の 24 個のパスワードの再利用が許可されている Windows マシンを監査するAudit Windows machines that allow re-use of the previous 24 passwords 1.0.01.0.0
識別と認証Identification and Authentication IA.2.079IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。Prohibit password reuse for a specified number of generations. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
識別と認証Identification and Authentication IA.2.079IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。Prohibit password reuse for a specified number of generations. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
識別と認証Identification and Authentication IA.2.081IA.2.081 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
識別と認証Identification and Authentication IA.2.081IA.2.081 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
識別と認証Identification and Authentication IA.2.081IA.2.081 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査するAudit Windows machines that do not store passwords using reversible encryption 1.0.01.0.0
識別と認証Identification and Authentication IA.2.081IA.2.081 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
識別と認証Identification and Authentication IA.2.081IA.2.081 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
識別と認証Identification and Authentication IA.3.084IA.3.084 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。Employ replay-resistant authentication mechanisms for network access to privileged and nonprivileged accounts. Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
インシデント対応Incident Response IR.2.093IR.2.093 イベントを検出して報告する。Detect and report events. Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
RecoveryRecovery RE.2.137RE.2.137 データのバックアップを定期的に実行し、テストする。Regularly perform and test data back-ups. ディザスター リカバリーを構成されていない仮想マシンの監査Audit virtual machines without disaster recovery configured 1.0.01.0.0
RecoveryRecovery RE.2.137RE.2.137 データのバックアップを定期的に実行し、テストする。Regularly perform and test data back-ups. 仮想マシンに対して Azure Backup を有効にする必要があるAzure Backup should be enabled for Virtual Machines 2.0.02.0.0
RecoveryRecovery RE.3.139RE.3.139 組織的に定義された、包括的で回復性がある完全なデータ バックアップを定期的に実行する。Regularly perform complete, comprehensive and resilient data backups as organizationally-defined. ディザスター リカバリーを構成されていない仮想マシンの監査Audit virtual machines without disaster recovery configured 1.0.01.0.0
RecoveryRecovery RE.3.139RE.3.139 組織的に定義された、包括的で回復性がある完全なデータ バックアップを定期的に実行する。Regularly perform complete, comprehensive and resilient data backups as organizationally-defined. 仮想マシンに対して Azure Backup を有効にする必要があるAzure Backup should be enabled for Virtual Machines 2.0.02.0.0
リスク評価Risk Assessment RM.2.141RM.2.141 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。Periodically assess the risk to organizational operations (including mission, functions, image, or reputation), organizational assets, and individuals, resulting from the operation of organizational systems and the associated processing, storage, or transmission of CUI. 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
リスク評価Risk Assessment RM.2.142RM.2.142 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。Scan for vulnerabilities in organizational systems and applications periodically and when new vulnerabilities affecting those systems and applications are identified. 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
リスク評価Risk Assessment RM.2.143RM.2.143 リスク評価に従って脆弱性を修復する。Remediate vulnerabilities in accordance with risk assessments. 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
リスク評価Risk Assessment RM.2.143RM.2.143 リスク評価に従って脆弱性を修復する。Remediate vulnerabilities in accordance with risk assessments. コンテナーのセキュリティ構成の脆弱性を修復する必要がありますVulnerabilities in container security configurations should be remediated 3.0.03.0.0
リスク評価Risk Assessment RM.2.143RM.2.143 リスク評価に従って脆弱性を修復する。Remediate vulnerabilities in accordance with risk assessments. 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
リスク評価Risk Assessment RM.2.143RM.2.143 リスク評価に従って脆弱性を修復する。Remediate vulnerabilities in accordance with risk assessments. 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.1.175SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.1.175SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.1.175SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.1.175SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.1.175SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要があるNon-internet-facing virtual machines should be protected with network security groups 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.1.175SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Access' 2.0.02.0.0
システムと通信の保護System and Communications Protection SC.1.175SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
システムと通信の保護System and Communications Protection SC.1.175SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
システムと通信の保護System and Communications Protection SC.1.176SC.1.176 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。Implement subnetworks for publicly accessible system components that are physically or logically separated from internal networks. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.1.176SC.1.176 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。Implement subnetworks for publicly accessible system components that are physically or logically separated from internal networks. ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.1.176SC.1.176 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。Implement subnetworks for publicly accessible system components that are physically or logically separated from internal networks. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.2.179SC.2.179 ネットワーク デバイスの管理には、暗号化されたセッションを使用する。Use encrypted sessions for the management of network devices. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.3.177SC.3.177 CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。Employ FIPS-validated cryptography when used to protect the confidentiality of CUI. 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査するAudit Windows machines that do not store passwords using reversible encryption 1.0.01.0.0
システムと通信の保護System and Communications Protection SC.3.177SC.3.177 CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。Employ FIPS-validated cryptography when used to protect the confidentiality of CUI. 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
システムと通信の保護System and Communications Protection SC.3.177SC.3.177 CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。Employ FIPS-validated cryptography when used to protect the confidentiality of CUI. アタッチされていないディスクを暗号化する必要があるUnattached disks should be encrypted 1.0.01.0.0
システムと通信の保護System and Communications Protection SC.3.181SC.3.181 ユーザー機能をシステム管理機能から分離する。Separate user functionality from system management functionality. Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査するAudit Windows machines that have the specified members in the Administrators group 1.0.01.0.0
システムと通信の保護System and Communications Protection SC.3.183SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。Deny network communications traffic by default and allow network communications traffic by exception (i.e., deny all, permit by exception). アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.3.183SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。Deny network communications traffic by default and allow network communications traffic by exception (i.e., deny all, permit by exception). 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.3.183SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。Deny network communications traffic by default and allow network communications traffic by exception (i.e., deny all, permit by exception). インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.3.183SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。Deny network communications traffic by default and allow network communications traffic by exception (i.e., deny all, permit by exception). 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.3.183SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。Deny network communications traffic by default and allow network communications traffic by exception (i.e., deny all, permit by exception). インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要があるNon-internet-facing virtual machines should be protected with network security groups 3.0.03.0.0
システムと通信の保護System and Communications Protection SC.3.183SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。Deny network communications traffic by default and allow network communications traffic by exception (i.e., deny all, permit by exception). Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Access' 2.0.02.0.0
システムと通信の保護System and Communications Protection SC.3.183SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。Deny network communications traffic by default and allow network communications traffic by exception (i.e., deny all, permit by exception). Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
システムと通信の保護System and Communications Protection SC.3.185SC.3.185 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。Implement cryptographic mechanisms to prevent unauthorized disclosure of CUI during transmission unless otherwise protected by alternative physical safeguards. Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
システムと通信の保護System and Communications Protection SC.3.190SC.3.190 通信セッションの信頼性を保護する。Protect the authenticity of communications sessions. Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
システムと通信の保護System and Communications Protection SC.3.191SC.3.191 保存時の CUI の機密性を保護する。Protect the confidentiality of CUI at rest. 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
システムと通信の保護System and Communications Protection SC.3.191SC.3.191 保存時の CUI の機密性を保護する。Protect the confidentiality of CUI at rest. アタッチされていないディスクを暗号化する必要があるUnattached disks should be encrypted 1.0.01.0.0
システムと情報の整合性System and Information Integrity SI.1.210SI.1.210 情報および情報システムの不備をタイムリーに特定、報告し、修正する。Identify, report, and correct information and information system flaws in a timely manner. Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要があるMicrosoft Antimalware for Azure should be configured to automatically update protection signatures 1.0.01.0.0
システムと情報の整合性System and Information Integrity SI.1.210SI.1.210 情報および情報システムの不備をタイムリーに特定、報告し、修正する。Identify, report, and correct information and information system flaws in a timely manner. 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要があるSystem updates on virtual machine scale sets should be installed 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI.1.210SI.1.210 情報および情報システムの不備をタイムリーに特定、報告し、修正する。Identify, report, and correct information and information system flaws in a timely manner. システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
システムと情報の整合性System and Information Integrity SI.1.210SI.1.210 情報および情報システムの不備をタイムリーに特定、報告し、修正する。Identify, report, and correct information and information system flaws in a timely manner. 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI.1.210SI.1.210 情報および情報システムの不備をタイムリーに特定、報告し、修正する。Identify, report, and correct information and information system flaws in a timely manner. 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI.1.211SI.1.211 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。Provide protection from malicious code at appropriate locations within organizational information systems. エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI.1.211SI.1.211 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。Provide protection from malicious code at appropriate locations within organizational information systems. Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要があるMicrosoft Antimalware for Azure should be configured to automatically update protection signatures 1.0.01.0.0
システムと情報の整合性System and Information Integrity SI.1.211SI.1.211 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。Provide protection from malicious code at appropriate locations within organizational information systems. Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要があるMicrosoft IaaSAntimalware extension should be deployed on Windows servers 1.0.01.0.0
システムと情報の整合性System and Information Integrity SI.1.211SI.1.211 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。Provide protection from malicious code at appropriate locations within organizational information systems. Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI.1.212SI.1.212 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。Update malicious code protection mechanisms when new releases are available. Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要があるMicrosoft Antimalware for Azure should be configured to automatically update protection signatures 1.0.01.0.0
システムと情報の整合性System and Information Integrity SI.1.213SI.1.213 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。Perform periodic scans of the information system and real-time scans of files from external sources as files are downloaded, opened, or executed. Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要があるMicrosoft Antimalware for Azure should be configured to automatically update protection signatures 1.0.01.0.0
システムと情報の整合性System and Information Integrity SI.1.213SI.1.213 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。Perform periodic scans of the information system and real-time scans of files from external sources as files are downloaded, opened, or executed. Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要があるMicrosoft IaaSAntimalware extension should be deployed on Windows servers 1.0.01.0.0
システムと情報の整合性System and Information Integrity SI.1.213SI.1.213 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。Perform periodic scans of the information system and real-time scans of files from external sources as files are downloaded, opened, or executed. Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0

HIPAA HITRUST 9.2HIPAA HITRUST 9.2

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - HIPAA HITRUST 9.2 に関するページを参照してください。To review how the available Azure Policy built-ins for all Azure services map to this compliance standard, see Azure Policy Regulatory Compliance - HIPAA HITRUST 9.2. このコンプライアンス標準の詳細については、HIPAA HITRUST 9.2 に関するページを参照してください。For more information about this compliance standard, see HIPAA HITRUST 9.2.

DomainDomain コントロール IDControl ID コントロールのタイトルControl title ポリシーPolicy
(Azure portal)(Azure portal)
ポリシーのバージョンPolicy version
(GitHub)(GitHub)
特権管理Privilege Management 11180.01c3System.6 - 01.c11180.01c3System.6 - 01.c 仮想化システムをホストするシステムの管理機能または管理コンソールへのアクセスは、最小限の特権の原則に基づいて担当者に制限され、技術的な制御によってサポートされます。Access to management functions or administrative consoles for systems hosting virtualized systems are restricted to personnel based upon the principle of least privilege and supported through technical controls. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
特権管理Privilege Management 1143.01c1System.123 - 01.c1143.01c1System.123 - 01.c 特権は、正式に承認および制御され、機能ロール (ユーザーや管理者など) に対する必要に応じてイベントごとにユーザーに割り当てられ、システム製品および要素ごとに文書化されます。Privileges are formally authorized and controlled, allocated to users on a need-to-use and event-by-event basis for their functional role (e.g., user or administrator), and documented for each system product/element. 仮想マシンの管理ポートを閉じておく必要があるManagement ports should be closed on your virtual machines 3.0.03.0.0
特権管理Privilege Management 1148.01c2System.78 - 01.c1148.01c2System.78 - 01.c 組織は、特権機能とセキュリティ関連のすべての情報へのアクセスを制限します。The organization restricts access to privileged functions and all security-relevant information. Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Accounts' 2.0.02.0.0
特権管理Privilege Management 1150.01c2System.10 - 01.c1150.01c2System.10 - 01.c カバーされる情報を格納、処理、または転送するシステム コンポーネントのアクセス制御システムは、既定の "すべて拒否" の設定を使用して設定されます。The access control system for the system components storing, processing or transmitting covered information is set with a default "deny-all" setting. 仮想マシンの管理ポートを閉じておく必要があるManagement ports should be closed on your virtual machines 3.0.03.0.0
外部接続のユーザー認証User Authentication for External Connections 1119.01j2Organizational.3 - 01.j1119.01j2Organizational.3 - 01.j ネットワーク機器で、予期しないダイヤルアップ機能がチェックされます。Network equipment is checked for unanticipated dial-up capabilities. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
外部接続のユーザー認証User Authentication for External Connections 1175.01j1Organizational.8 - 01.j1175.01j1Organizational.8 - 01.j 公衆ネットワーク経由でのビジネス情報へのリモート アクセスは、ID の確認と認証が成功した後でのみ行われます。Remote access to business information across public networks only takes place after successful identification and authentication. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
外部接続のユーザー認証User Authentication for External Connections 1179.01j3Organizational.1 - 01.j1179.01j3Organizational.1 - 01.j 情報システムによって、リモート アクセス方法が監視および制御されます。The information system monitors and controls remote access methods. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
リモート診断と構成ポートの保護Remote Diagnostic and Configuration Port Protection 1192.01l1Organizational.1 - 01.l1192.01l1Organizational.1 - 01.l ネットワーク機器へのアクセスは、物理的に保護されます。Access to network equipment is physically protected. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
リモート診断と構成ポートの保護Remote Diagnostic and Configuration Port Protection 1193.01l2Organizational.13 - 01.l1193.01l2Organizational.13 - 01.l 診断および構成ポートへのアクセスの制御には、キー ロックの使用や、ポートへの物理的アクセスを制御するためのサポート手順の実装が含まれます。Controls for the access to diagnostic and configuration ports include the use of a key lock and the implementation of supporting procedures to control physical access to the port. 仮想マシンの管理ポートを閉じておく必要があるManagement ports should be closed on your virtual machines 3.0.03.0.0
リモート診断と構成ポートの保護Remote Diagnostic and Configuration Port Protection 1197.01l3Organizational.3 - 01.l1197.01l3Organizational.3 - 01.l 組織は、情報システム内にある不要または危険と判断された Bluetooth およびピアツーピア ネットワーク プロトコルを無効にします。The organization disables Bluetooth and peer-to-peer networking protocols within the information system determined to be unnecessary or non-secure. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
ネットワークでの分離Segregation in Networks 0805.01m1Organizational.12 - 01.m0805.01m1Organizational.12 - 01.m 組織のセキュリティ ゲートウェイ (ファイアウォールなど) は、セキュリティ ポリシーを実施し、ドメイン間のトラフィックをフィルター処理し、不正アクセスをブロックするように構成されています。また、内部のワイヤード、内部のワイヤレス、および DMZ を含む外部ネットワーク セグメント (インターネットなど) 間の分離を維持し、各ドメインにアクセス制御ポリシーを適用するために使用されます。The organization's security gateways (e.g. firewalls) enforce security policies and are configured to filter traffic between domains, block unauthorized access, and are used to maintain segregation between internal wired, internal wireless, and external network segments (e.g., the Internet) including DMZs and enforce access control policies for each of the domains. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワークでの分離Segregation in Networks 0806.01m2Organizational.12356 - 01.m0806.01m2Organizational.12356 - 01.m 組織のネットワークは、組織の要件に基づいて、定義済みのセキュリティ境界と、段階的な制御のセット (内部ネットワークから論理的に分離された、パブリックにアクセス可能なシステム コンポーネントに対するサブネットワークなど) により、論理的かつ物理的にセグメント化されます。また、トラフィックは、必要な機能と、リスク評価およびそれぞれのセキュリティ要件に基づくデータまたはシステムの分類に基づいて、制御されます。The organizations network is logically and physically segmented with a defined security perimeter and a graduated set of controls, including subnetworks for publicly accessible system components that are logically separated from the internal network, based on organizational requirements; and traffic is controlled based on functionality required and classification of the data/systems based on a risk assessment and their respective security requirements. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワークでの分離Segregation in Networks 0894.01m2Organizational.7 - 01.m0894.01m2Organizational.7 - 01.m 物理サーバー、アプリケーション、またはデータを仮想化されたサーバーに移行するとき、ネットワークは運用レベルのネットワークから分離されます。Networks are segregated from production-level networks when migrating physical servers, applications or data to virtualized servers. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワーク接続コントロールNetwork Connection Control 0809.01n2Organizational.1234 - 01.n0809.01n2Organizational.1234 - 01.n ネットワーク トラフィックは、ファイアウォールと、各ネットワーク アクセス ポイントまたは外部通信サービスのマネージド インターフェイスに対するその他のネットワーク関連の制限を介し、組織のアクセス制御ポリシーに従って制御されます。Network traffic is controlled in accordance with the organizations access control policy through firewall and other network-related restrictions for each network access point or external telecommunication service's managed interface. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワーク接続コントロールNetwork Connection Control 0809.01n2Organizational.1234 - 01.n0809.01n2Organizational.1234 - 01.n ネットワーク トラフィックは、ファイアウォールと、各ネットワーク アクセス ポイントまたは外部通信サービスのマネージド インターフェイスに対するその他のネットワーク関連の制限を介し、組織のアクセス制御ポリシーに従って制御されます。Network traffic is controlled in accordance with the organizations access control policy through firewall and other network-related restrictions for each network access point or external telecommunication service's managed interface. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワーク接続コントロールNetwork Connection Control 0810.01n2Organizational.5 - 01.n0810.01n2Organizational.5 - 01.n 送信される情報はセキュリティで保護され、少なくとも、オープンな公衆ネットワークでは暗号化されます。Transmitted information is secured and, at a minimum, encrypted over open, public networks. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワーク接続コントロールNetwork Connection Control 0810.01n2Organizational.5 - 01.n0810.01n2Organizational.5 - 01.n 送信される情報はセキュリティで保護され、少なくとも、オープンな公衆ネットワークでは暗号化されます。Transmitted information is secured and, at a minimum, encrypted over open, public networks. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワーク接続コントロールNetwork Connection Control 0811.01n2Organizational.6 - 01.n0811.01n2Organizational.6 - 01.n トラフィック フロー ポリシーの例外は、サポートしているミッションとビジネス ニーズおよび例外の期間と共に文書化され、少なくとも年に 1 回確認されます。トラフィック フロー ポリシーの例外は、明示的なミッションとビジネス ニーズによってサポートされなくなった時点で削除されます。Exceptions to the traffic flow policy are documented with a supporting mission/business need, duration of the exception, and reviewed at least annually; traffic flow policy exceptions are removed when no longer supported by an explicit mission/business need. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワーク接続コントロールNetwork Connection Control 0811.01n2Organizational.6 - 01.n0811.01n2Organizational.6 - 01.n トラフィック フロー ポリシーの例外は、サポートしているミッションとビジネス ニーズおよび例外の期間と共に文書化され、少なくとも年に 1 回確認されます。トラフィック フロー ポリシーの例外は、明示的なミッションとビジネス ニーズによってサポートされなくなった時点で削除されます。Exceptions to the traffic flow policy are documented with a supporting mission/business need, duration of the exception, and reviewed at least annually; traffic flow policy exceptions are removed when no longer supported by an explicit mission/business need. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワーク接続コントロールNetwork Connection Control 0812.01n2Organizational.8 - 01.n0812.01n2Organizational.8 - 01.n リモート以外の接続を確立するリモート デバイスは、外部 (リモート) リソースと通信することを許可されません。Remote devices establishing a non-remote connection are not allowed to communicate with external (remote) resources. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワーク接続コントロールNetwork Connection Control 0812.01n2Organizational.8 - 01.n0812.01n2Organizational.8 - 01.n リモート以外の接続を確立するリモート デバイスは、外部 (リモート) リソースと通信することを許可されません。Remote devices establishing a non-remote connection are not allowed to communicate with external (remote) resources. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ネットワーク接続コントロールNetwork Connection Control 0814.01n1Organizational.12 - 01.n0814.01n1Organizational.12 - 01.n ユーザーが内部ネットワークに接続できるかどうかは、アクセス制御ポリシーと、臨床およびビジネス アプリケーションの要件に従って、マネージド インターフェイスで、"既定で拒否、例外で許可" ポリシーを使用して制限されます。The ability of users to connect to the internal network is restricted using a deny-by-default and allow-by-exception policy at managed interfaces according to the access control policy and the requirements of clinical and business applications. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワーク接続コントロールNetwork Connection Control 0814.01n1Organizational.12 - 01.n0814.01n1Organizational.12 - 01.n ユーザーが内部ネットワークに接続できるかどうかは、アクセス制御ポリシーと、臨床およびビジネス アプリケーションの要件に従って、マネージド インターフェイスで、"既定で拒否、例外で許可" ポリシーを使用して制限されます。The ability of users to connect to the internal network is restricted using a deny-by-default and allow-by-exception policy at managed interfaces according to the access control policy and the requirements of clinical and business applications. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
ユーザーの識別と認証User Identification and Authentication 11210.01q2Organizational.10 - 01.q11210.01q2Organizational.10 - 01.q 電子記録に対して実行される電子署名および手書き署名は、それぞれの電子記録にリンクされている必要があります。Electronic signatures and handwritten signatures executed to electronic records shall be linked to their respective electronic records. Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査するAudit Windows machines that have the specified members in the Administrators group 1.0.01.0.0
ユーザーの識別と認証User Identification and Authentication 11211.01q2Organizational.11 - 01.q11211.01q2Organizational.11 - 01.q 署名された電子記録には、人が判読できる形式の署名に関連付けられた情報が含まれている必要があります。Signed electronic records shall contain information associated with the signing in human-readable format. Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査するAudit Windows machines missing any of specified members in the Administrators group 1.0.01.0.0
ユーザーの識別と認証User Identification and Authentication 1123.01q1System.2 - 01.q1123.01q1System.2 - 01.q 特権機能 (システム管理など) を実行するユーザーは、それらの特権機能を実行するときに別のアカウントを使用します。Users who performed privileged functions (e.g., system administration) use separate accounts when performing those privileged functions. Administrators グループに余分なアカウントがある Windows マシンを監査するAudit Windows machines that have extra accounts in the Administrators group 1.0.01.0.0
ユーザーの識別と認証User Identification and Authentication 1125.01q2System.1 - 01.q1125.01q2System.1 - 01.q 多要素認証の方法は、組織のポリシー (リモート ネットワーク アクセスに対するものなど) に従って使用されます。Multi-factor authentication methods are used in accordance with organizational policy, (e.g., for remote network access). Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査するAudit Windows machines that have the specified members in the Administrators group 1.0.01.0.0
ユーザーの識別と認証User Identification and Authentication 1127.01q2System.3 - 01.q1127.01q2System.3 - 01.q 多要素認証に対してトークンが提供される場合、アクセスを許可する前に、本人確認が必要です。Where tokens are provided for multi-factor authentication, in-person verification is required prior to granting access. Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査するAudit Windows machines missing any of specified members in the Administrators group 1.0.01.0.0
監査ログAudit Logging 1202.09aa1System.1 - 09.aa1202.09aa1System.1 - 09.aa 対象となる情報を含むシステムでのすべてのアクティビティ (作成、読み取り、更新、削除) に対して、セキュリティで保護された監査レコードが作成されます。A secure audit record is created for all activities on the system (create, read, update, delete) involving covered information. 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要があるSystem updates on virtual machine scale sets should be installed 3.0.03.0.0
監査ログAudit Logging 1206.09aa2System.23 - 09.aa1206.09aa2System.23 - 09.aa 監査は、システムがアクティブな間、常に使用可能であり、主要なイベント、データ アクセスの成功と失敗、システム セキュリティ構成の変更、特権またはユーティリティの使用、発生したアラーム、保護システム (A/V、IDS など) のアクティブ化と非アクティブ化、識別および認証メカニズムのアクティブ化と非アクティブ化、システムレベルのオブジェクトの作成と削除が追跡されます。Auditing is always available while the system is active and tracks key events, success/failed data access, system security configuration changes, privileged or utility use, any alarms raised,  activation and de-activation of protection systems (e.g., A/V and IDS), activation and deactivation of identification and authentication mechanisms, and creation and deletion of system-level objects. Virtual Machine Scale Sets のリソース ログを有効にする必要があるResource logs in Virtual Machine Scale Sets should be enabled 2.0.12.0.1
システムの使用の監視Monitoring System Use 12100.09ab2System.15 - 09.ab12100.09ab2System.15 - 09.ab 組織は、情報システムを監視して、システムの誤動作やセキュリティ侵害の兆候を示す異常を特定し、システムが最適で回復性が高く安全な状態で動作していることを確認します。The organization monitors the information system to identify irregularities or anomalies that are indicators of a system malfunction or compromise and help confirm the system is functioning in an optimal, resilient and secure state. 仮想マシンに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on virtual machines 1.0.01.0.0
システムの使用の監視Monitoring System Use 12101.09ab1Organizational.3 - 09.ab12101.09ab1Organizational.3 - 09.ab 組織は、監査ログを確認する頻度、レビューを文書化する方法、およびレビューを実施する担当者の特定の役割と責任を指定します。これには、プロフェッショナル認定や他の資格要件が含まれます。The organization specifies how often audit logs are reviewed, how the reviews are documented, and the specific roles and responsibilities of the personnel conducting the reviews, including the professional certifications or other qualifications required. 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on Virtual Machine Scale Sets 1.0.01.0.0
システムの使用の監視Monitoring System Use 12102.09ab1Organizational.4 - 09.ab12102.09ab1Organizational.4 - 09.ab 組織は、定期的に監視と検出のプロセスをテストし、欠陥を修復して、プロセスを改善する必要があります。The organization shall periodically test its monitoring and detection processes, remediate deficiencies, and improve its processes. Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査するAudit Windows machines on which the Log Analytics agent is not connected as expected 1.0.01.0.0
システムの使用の監視Monitoring System Use 1215.09ab2System.7 - 09.ab1215.09ab2System.7 - 09.ab 組織で採用されている監査と監視のシステムによって、監査の削減とレポートの生成がサポートされています。Auditing and monitoring systems employed by the organization support audit reduction and report generation. 仮想マシンに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on virtual machines 1.0.01.0.0
システムの使用の監視Monitoring System Use 1216.09ab3System.12 - 09.ab1216.09ab3System.12 - 09.ab 自動システムを使用して、セキュリティ システム (IPS/IDS など) とシステム レコードの監視アクティビティを毎日確認し、異常を特定して文書化します。Automated systems are used to review monitoring activities of security systems (e.g., IPS/IDS) and system records on a daily basis, and identify and document anomalies. 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on Virtual Machine Scale Sets 1.0.01.0.0
システムの使用の監視Monitoring System Use 1217.09ab3System.3 - 09.ab1217.09ab3System.3 - 09.ab 疑わしいアクティビティや違反の疑いを分析および調査するため、アラートが技術担当者に対して生成されます。Alerts are generated for technical personnel to analyze and investigate suspicious activity or suspected violations. Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査するAudit Windows machines on which the Log Analytics agent is not connected as expected 1.0.01.0.0
職務の分離Segregation of Duties 1232.09c3Organizational.12 - 09.c1232.09c3Organizational.12 - 09.c 管理とアクセス制御を担当する個人のアクセス権は、各ユーザーの役割と責任に基づいて必要最小限に制限されます。また、こうした個人はこれらのコントロールに関連する監査機能にアクセスできません。 Access for individuals responsible for administering  access controls is limited to the minimum necessary based upon each user's role and responsibilities and these individuals cannot access audit functions related to these controls. Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要があるWindows machines should meet requirements for 'User Rights Assignment' 2.0.02.0.0
職務の分離Segregation of Duties 1277.09c2Organizational.4 - 09.c1277.09c2Organizational.4 - 09.c 共謀の可能性を減らすため、イベントの開始を承認から分離します。The initiation of an event is separated from its authorization to reduce the possibility of collusion. Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要があるWindows machines should meet requirements for 'Security Options - User Account Control' 2.0.02.0.0
悪意のあるコードに対するコントロールControls Against Malicious Code 0201.09j1Organizational.124 - 09.j0201.09j1Organizational.124 - 09.j ウイルス対策およびスパイウェア対策を、すべてのエンド ユーザー デバイスにインストールし、運用して、更新し、定期的にスキャンを実行することで、承認されていないソフトウェアを特定して削除します。Anti-virus and anti-spyware are installed, operating and updated on all end-user devices to conduct periodic scans of the systems to identify and remove unauthorized software. サーバー ソフトウェア開発者がホスト ベースのウイルス対策およびスパイウェア対策ソフトウェアをインストールしないことを明示的に推奨しているサーバー環境では、ネットワーク ベースのマルウェア検出 (NBMD) ソリューションによって要件に対処できます。Server environments for which the server software developer specifically recommends not installing host-based anti-virus and anti-spyware software may address the requirement via a network-based malware detection (NBMD) solution. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
悪意のあるコードに対するコントロールControls Against Malicious Code 0201.09j1Organizational.124 - 09.j0201.09j1Organizational.124 - 09.j ウイルス対策およびスパイウェア対策を、すべてのエンド ユーザー デバイスにインストールし、運用して、更新し、定期的にスキャンを実行することで、承認されていないソフトウェアを特定して削除します。Anti-virus and anti-spyware are installed, operating and updated on all end-user devices to conduct periodic scans of the systems to identify and remove unauthorized software. サーバー ソフトウェア開発者がホスト ベースのウイルス対策およびスパイウェア対策ソフトウェアをインストールしないことを明示的に推奨しているサーバー環境では、ネットワーク ベースのマルウェア検出 (NBMD) ソリューションによって要件に対処できます。Server environments for which the server software developer specifically recommends not installing host-based anti-virus and anti-spyware software may address the requirement via a network-based malware detection (NBMD) solution. Windows Server 用の既定の Microsoft IaaSAntimalware 拡張機能のデプロイDeploy default Microsoft IaaSAntimalware extension for Windows Server 1.0.01.0.0
悪意のあるコードに対するコントロールControls Against Malicious Code 0201.09j1Organizational.124 - 09.j0201.09j1Organizational.124 - 09.j ウイルス対策およびスパイウェア対策を、すべてのエンド ユーザー デバイスにインストールし、運用して、更新し、定期的にスキャンを実行することで、承認されていないソフトウェアを特定して削除します。Anti-virus and anti-spyware are installed, operating and updated on all end-user devices to conduct periodic scans of the systems to identify and remove unauthorized software. サーバー ソフトウェア開発者がホスト ベースのウイルス対策およびスパイウェア対策ソフトウェアをインストールしないことを明示的に推奨しているサーバー環境では、ネットワーク ベースのマルウェア検出 (NBMD) ソリューションによって要件に対処できます。Server environments for which the server software developer specifically recommends not installing host-based anti-virus and anti-spyware software may address the requirement via a network-based malware detection (NBMD) solution. エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
悪意のあるコードに対するコントロールControls Against Malicious Code 0201.09j1Organizational.124 - 09.j0201.09j1Organizational.124 - 09.j ウイルス対策およびスパイウェア対策を、すべてのエンド ユーザー デバイスにインストールし、運用して、更新し、定期的にスキャンを実行することで、承認されていないソフトウェアを特定して削除します。Anti-virus and anti-spyware are installed, operating and updated on all end-user devices to conduct periodic scans of the systems to identify and remove unauthorized software. サーバー ソフトウェア開発者がホスト ベースのウイルス対策およびスパイウェア対策ソフトウェアをインストールしないことを明示的に推奨しているサーバー環境では、ネットワーク ベースのマルウェア検出 (NBMD) ソリューションによって要件に対処できます。Server environments for which the server software developer specifically recommends not installing host-based anti-virus and anti-spyware software may address the requirement via a network-based malware detection (NBMD) solution. Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要があるMicrosoft Antimalware for Azure should be configured to automatically update protection signatures 1.0.01.0.0
悪意のあるコードに対するコントロールControls Against Malicious Code 0201.09j1Organizational.124 - 09.j0201.09j1Organizational.124 - 09.j ウイルス対策およびスパイウェア対策を、すべてのエンド ユーザー デバイスにインストールし、運用して、更新し、定期的にスキャンを実行することで、承認されていないソフトウェアを特定して削除します。Anti-virus and anti-spyware are installed, operating and updated on all end-user devices to conduct periodic scans of the systems to identify and remove unauthorized software. サーバー ソフトウェア開発者がホスト ベースのウイルス対策およびスパイウェア対策ソフトウェアをインストールしないことを明示的に推奨しているサーバー環境では、ネットワーク ベースのマルウェア検出 (NBMD) ソリューションによって要件に対処できます。Server environments for which the server software developer specifically recommends not installing host-based anti-virus and anti-spyware software may address the requirement via a network-based malware detection (NBMD) solution. Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
悪意のあるコードに対するコントロールControls Against Malicious Code 0201.09j1Organizational.124 - 09.j0201.09j1Organizational.124 - 09.j ウイルス対策およびスパイウェア対策を、すべてのエンド ユーザー デバイスにインストールし、運用して、更新し、定期的にスキャンを実行することで、承認されていないソフトウェアを特定して削除します。Anti-virus and anti-spyware are installed, operating and updated on all end-user devices to conduct periodic scans of the systems to identify and remove unauthorized software. サーバー ソフトウェア開発者がホスト ベースのウイルス対策およびスパイウェア対策ソフトウェアをインストールしないことを明示的に推奨しているサーバー環境では、ネットワーク ベースのマルウェア検出 (NBMD) ソリューションによって要件に対処できます。Server environments for which the server software developer specifically recommends not installing host-based anti-virus and anti-spyware software may address the requirement via a network-based malware detection (NBMD) solution. システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
バックアップBack-up 1620.09l1Organizational.8 - 09.l1620.09l1Organizational.8 - 09.l バックアップ サービスがサードパーティによって提供されるときは、サービス レベル アグリーメントに、バックアップ情報の機密性、整合性、可用性を制御するための詳細な保護を含めます。When the backup service is delivered by the third party, the service level agreement includes the detailed protections to control confidentiality, integrity and availability of the backup information. 仮想マシンに対して Azure Backup を有効にする必要があるAzure Backup should be enabled for Virtual Machines 2.0.02.0.0
バックアップBack-up 1625.09l3Organizational.34 - 09.l1625.09l3Organizational.34 - 09.l 3 世代のバックアップ (完全バックアップと、それに関連するすべての増分バックアップまたは差分バックアップ) をオフサイトに格納し、オンサイトとオフサイト両方のバックアップの両方を、名前、日付、時刻、アクションと共にログに記録します。Three (3) generations of backups (full plus all related incremental or differential backups) are stored off-site, and both on-site and off-site backups are logged with name, date, time and action. 仮想マシンに対して Azure Backup を有効にする必要があるAzure Backup should be enabled for Virtual Machines 2.0.02.0.0
バックアップBack-up 1699.09l1Organizational.10 - 09.l1699.09l1Organizational.10 - 09.l データ バックアップ プロセスにおける従業員メンバーの役割と責任を明らかにし、従業員に伝えます。特に、Bring Your Own Device (BYOD) ユーザーは、自分のデバイス上にある組織やクライアントのデータのバックアップを実行する必要があります。Workforce members roles and responsibilities in the data backup process are identified and communicated to the workforce; in particular, Bring Your Own Device (BYOD) users are required to perform backups of organizational and/or client data on their devices. 仮想マシンに対して Azure Backup を有効にする必要があるAzure Backup should be enabled for Virtual Machines 2.0.02.0.0
ネットワーク コントロールNetwork Controls 0858.09m1Organizational.4 - 09.m0858.09m1Organizational.4 - 09.m 組織は、情報システムへの承認されたワイヤレス アクセスと承認されていないワイヤレス アクセスをすべて監視し、CIO または CIO が指定した代表者による書面での明示的な承認がない限り、ワイヤレス アクセス ポイント (WAP) のインストールを禁止します。The organization monitors for all authorized and unauthorized wireless access to the information system and prohibits installation of wireless access points (WAPs) unless explicitly authorized in writing by the CIO or his/her designated representative. ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
ネットワーク コントロールNetwork Controls 0858.09m1Organizational.4 - 09.m0858.09m1Organizational.4 - 09.m 組織は、情報システムへの承認されたワイヤレス アクセスと承認されていないワイヤレス アクセスをすべて監視し、CIO または CIO が指定した代表者による書面での明示的な承認がない限り、ワイヤレス アクセス ポイント (WAP) のインストールを禁止します。The organization monitors for all authorized and unauthorized wireless access to the information system and prohibits installation of wireless access points (WAPs) unless explicitly authorized in writing by the CIO or his/her designated representative. 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
ネットワーク コントロールNetwork Controls 0858.09m1Organizational.4 - 09.m0858.09m1Organizational.4 - 09.m 組織は、情報システムへの承認されたワイヤレス アクセスと承認されていないワイヤレス アクセスをすべて監視し、CIO または CIO が指定した代表者による書面での明示的な承認がない限り、ワイヤレス アクセス ポイント (WAP) のインストールを禁止します。The organization monitors for all authorized and unauthorized wireless access to the information system and prohibits installation of wireless access points (WAPs) unless explicitly authorized in writing by the CIO or his/her designated representative. Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Windows Firewall Properties' 2.0.02.0.0
ネットワーク コントロールNetwork Controls 0859.09m1Organizational.78 - 09.m0859.09m1Organizational.78 - 09.m 組織は、ネットワーク内の情報のセキュリティ、ネットワークを使用するネットワーク サービスと情報サービスの可用性、接続されたサービスの不正アクセスからの保護を保証します。The organization ensures the security of information in networks, availability of network services and information services using the network, and the protection of connected services from unauthorized access. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワーク コントロールNetwork Controls 0861.09m2Organizational.67 - 09.m0861.09m2Organizational.67 - 09.m ワイヤレス ネットワークを含む、ローカルまたはワイド エリア ネットワーク上のデバイスを識別して認証するため、情報システムにより、(i) 共有の既知の情報ソリューションまたは (ii) 組織の認証ソリューションのいずれかが使用されます。その厳密な選択と強度は、情報システムのセキュリティ カテゴリによって決まります。To identify and authenticate devices on local and/or wide area networks, including wireless networks,  the information system uses either a (i) shared known information solution or (ii) an organizational authentication solution, the exact selection and strength of which is dependent on the security categorization of the information system. Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Access' 2.0.02.0.0
Network Services のセキュリティSecurity of Network Services 0835.09n1Organizational.1 - 09.n0835.09n1Organizational.1 - 09.n ネットワーク サービス プロバイダーおよびマネージャーから提供される同意済みのサービスは、セキュリティで保護された方法で提供されるように正式に管理および監視されます。Agreed services provided by a network service provider/manager are formally managed and monitored to ensure they are provided securely. ネットワーク トラフィック データ収集エージェントを、Windows 仮想マシンにインストールする必要があるNetwork traffic data collection agent should be installed on Windows virtual machines 1.0.1-preview1.0.1-preview
Network Services のセキュリティSecurity of Network Services 0835.09n1Organizational.1 - 09.n0835.09n1Organizational.1 - 09.n ネットワーク サービス プロバイダーおよびマネージャーから提供される同意済みのサービスは、セキュリティで保護された方法で提供されるように正式に管理および監視されます。Agreed services provided by a network service provider/manager are formally managed and monitored to ensure they are provided securely. 仮想マシンを新しい Azure Resource Manager リソースに移行する必要があるVirtual machines should be migrated to new Azure Resource Manager resources 1.0.01.0.0
Network Services のセキュリティSecurity of Network Services 0836.09.n2Organizational.1 - 09.n0836.09.n2Organizational.1 - 09.n 組織は、情報システムから組織外の他の情報システムへの各接続の特性を正式に承認し、文書化します。The organization formally authorizes and documents the characteristics of each connection from an information system to other information systems outside the organization. ネットワーク トラフィック データ収集エージェントを、Linux 仮想マシンにインストールする必要があるNetwork traffic data collection agent should be installed on Linux virtual machines 1.0.1-preview1.0.1-preview
Network Services のセキュリティSecurity of Network Services 0885.09n2Organizational.3 - 09.n0885.09n2Organizational.3 - 09.n 組織は、セキュリティ要件の適用を検証し、継続的に相互接続セキュリティ契約を確認して更新します。The organization reviews and updates the interconnection security agreements on an ongoing basis verifying enforcement of security requirements. ネットワーク トラフィック データ収集エージェントを、Linux 仮想マシンにインストールする必要があるNetwork traffic data collection agent should be installed on Linux virtual machines 1.0.1-preview1.0.1-preview
Network Services のセキュリティSecurity of Network Services 0887.09n2Organizational.5 - 09.n0887.09n2Organizational.5 - 09.n 組織は、外部およびアウトソーシングのサービス プロバイダーに、外部サービスおよびアウトソーシングされるサービスのプロビジョニングで使用される特定の機能、ポート、プロトコルを明らかにするように要求します。The organization requires external/outsourced service providers to identify the specific functions, ports, and protocols used in the provision of the external/outsourced services. ネットワーク トラフィック データ収集エージェントを、Windows 仮想マシンにインストールする必要があるNetwork traffic data collection agent should be installed on Windows virtual machines 1.0.1-preview1.0.1-preview
リムーバブル メディアの管理Management of Removable Media 0302.09o2Organizational.1 - 09.o0302.09o2Organizational.1 - 09.o 組織は、制御された領域の外部での転送の間に、機密情報を含むメディアを保護および制御します。The organization protects and controls media containing sensitive information during transport outside of controlled areas. 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
リムーバブル メディアの管理Management of Removable Media 0303.09o2Organizational.2 - 09.o0303.09o2Organizational.2 - 09.o 制限された使用を必要とするデジタルおよび非デジタル メディアと、その使用を制限するために使用される特定の安全対策を明らかにします。Digital and non-digital media requiring restricted use and the specific safeguards used to restrict their use are identified. アタッチされていないディスクを暗号化する必要があるUnattached disks should be encrypted 1.0.01.0.0
オンライン トランザクションOn-line Transactions 0945.09y1Organizational.3 - 09.y0945.09y1Organizational.3 - 09.y 関係するすべてのパーティ間の通信に使用されるプロトコルを、暗号化手法 (SSL など) を使用してセキュリティで保護します。Protocols used to communicate between all involved parties are secured using cryptographic techniques (e.g., SSL). 指定された証明書が信頼されたルートに含まれていない Windows マシンを監査するAudit Windows machines that do not contain the specified certificates in Trusted Root 1.0.11.0.1
運用ソフトウェアのコントロールControl of Operational Software 0605.10h1System.12 - 10.h0605.10h1System.12 - 10.h ビジネス要件とリリースのセキュリティへの影響に基づいて、ソフトウェア、アプリケーション、およびプログラム ライブラリへの承認されたアップグレードを実装できるのは、承認された管理者のみです。Only authorized administrators are allowed to implement approved upgrades to software, applications, and program libraries, based on business requirements and the security implications of the release. 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
運用ソフトウェアのコントロールControl of Operational Software 0605.10h1System.12 - 10.h0605.10h1System.12 - 10.h ビジネス要件とリリースのセキュリティへの影響に基づいて、ソフトウェア、アプリケーション、およびプログラム ライブラリへの承認されたアップグレードを実装できるのは、承認された管理者のみです。Only authorized administrators are allowed to implement approved upgrades to software, applications, and program libraries, based on business requirements and the security implications of the release. Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Audit' 2.0.02.0.0
運用ソフトウェアのコントロールControl of Operational Software 0605.10h1System.12 - 10.h0605.10h1System.12 - 10.h ビジネス要件とリリースのセキュリティへの影響に基づいて、ソフトウェア、アプリケーション、およびプログラム ライブラリへの承認されたアップグレードを実装できるのは、承認された管理者のみです。Only authorized administrators are allowed to implement approved upgrades to software, applications, and program libraries, based on business requirements and the security implications of the release. Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Account Management' 2.0.02.0.0
運用ソフトウェアのコントロールControl of Operational Software 0606.10h2System.1 - 10.h0606.10h2System.1 - 10.h アプリケーションとオペレーティング システムは、運用前に、ユーザビリティ、セキュリティ、および影響についてのテストを正常に終えています。Applications and operating systems are successfully tested for usability, security and impact prior to production. コンテナーのセキュリティ構成の脆弱性を修復する必要がありますVulnerabilities in container security configurations should be remediated 3.0.03.0.0
運用ソフトウェアのコントロールControl of Operational Software 0607.10h2System.23 - 10.h0607.10h2System.23 - 10.h 組織は、構成管理プログラムを使用して、実装されているすべてのソフトウェアとそのシステム ドキュメントの管理を維持し、実装されているソフトウェアと関連するシステム ドキュメントの以前のバージョンをアーカイブします。The organization uses its configuration control program to maintain control of all implemented software and its system documentation and archive prior versions of implemented software and associated system documentation. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
運用ソフトウェアのコントロールControl of Operational Software 0607.10h2System.23 - 10.h0607.10h2System.23 - 10.h 組織は、構成管理プログラムを使用して、実装されているすべてのソフトウェアとそのシステム ドキュメントの管理を維持し、実装されているソフトウェアと関連するシステム ドキュメントの以前のバージョンをアーカイブします。The organization uses its configuration control program to maintain control of all implemented software and its system documentation and archive prior versions of implemented software and associated system documentation. 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
変更制御の手順Change Control Procedures 0635.10k1Organizational.12 - 10.k0635.10k1Organizational.12 - 10.k アプリケーション システムを担当するマネージャーは、プロジェクトまたはサポート環境の厳格な制御 (セキュリティ) も担当し、提案されたすべてのシステム変更が確認され、システムまたは運用環境のセキュリティが侵害されないことを確実にします。Managers responsible for application systems are also responsible for the strict control (security) of the project or support environment and ensure that all proposed system changes are reviewed to check that they do not compromise the security of either the system or the operating environment. Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Detailed Tracking' 2.0.02.0.0
変更制御の手順Change Control Procedures 0636.10k2Organizational.1 - 10.k0636.10k2Organizational.1 - 10.k 組織は、目的、スコープ、役割、責任、経営陣のコミットメント、組織エンティティ間の調整、および構成管理のコンプライアンスに、(ポリシー、標準、プロセスなどを通じて) 正式に対処します。The organization formally addresses purpose, scope, roles, responsibilities, management commitment, coordination among organizational entities, and compliance for configuration management (e.g., through policies, standards, processes). Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Detailed Tracking' 2.0.02.0.0
変更制御の手順Change Control Procedures 0637.10k2Organizational.2 - 10.k0637.10k2Organizational.2 - 10.k 組織は、情報システムの構成管理プランを開発、文書化、および実装しています。The organization has developed, documented, and implemented a configuration management plan for the information system. Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Detailed Tracking' 2.0.02.0.0
変更制御の手順Change Control Procedures 0638.10k2Organizational.34569 - 10.k0638.10k2Organizational.34569 - 10.k 情報システムの破損を最小限に抑えるために、変更は正式に管理され、文書化され、適用されます。Changes are formally controlled, documented and enforced in order to minimize the corruption of information systems. Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Detailed Tracking' 2.0.02.0.0
変更制御の手順Change Control Procedures 0639.10k2Organizational.78 - 10.k0639.10k2Organizational.78 - 10.k インストール チェックリストと脆弱性スキャンを使用して、サーバー、ワークステーション、デバイス、アプライアンスの構成を検証し、構成が確実に最低限の基準を満たしているようにします。Installation checklists and vulnerability scans are used to validate the configuration of servers, workstations, devices and appliances and ensure the configuration meets minimum standards. Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Detailed Tracking' 2.0.02.0.0
変更制御の手順Change Control Procedures 0640.10k2Organizational.1012 - 10.k0640.10k2Organizational.1012 - 10.k 開発がアウトソーシングされている場合は、セキュリティに対処するための変更制御の手順がコントラクトに含まれています。具体的には、システム、コンポーネント、またはサービス内のセキュリティの欠陥と欠陥の解決を追跡し、組織が定義した担当者または役割に結果を報告することが開発者に求められます。Where development is outsourced, change control procedures to address security are included in the contract(s) and specifically require the developer to track security flaws and flaw resolution within the system, component, or service and report findings to organization-defined personnel or roles. Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Detailed Tracking' 2.0.02.0.0
変更制御の手順Change Control Procedures 0641.10k2Organizational.11 - 10.k0641.10k2Organizational.11 - 10.k 組織は、重要なシステムで自動更新を使用しません。The organization does not use automated updates on critical systems. Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Detailed Tracking' 2.0.02.0.0
変更制御の手順Change Control Procedures 0642.10k3Organizational.12 - 10.k0642.10k3Organizational.12 - 10.k 組織は、構成コントロールのもとで情報システムの現在のベースライン構成を開発、文書化、管理し、必要に応じてベースラインを確認して更新します。The organization develops, documents, and maintains, under configuration control, a current baseline configuration of the information system, and reviews and updates the baseline as required. Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Detailed Tracking' 2.0.02.0.0
変更制御の手順Change Control Procedures 0643.10k3Organizational.3 - 10.k0643.10k3Organizational.3 - 10.k 組織は、(i) 最新のセキュリティ構成ベースラインを使用して、情報システム内で採用されている情報技術製品の必須の構成設定を確立して文書化し、(ii) 明示的な運用要件に基づいて、個々のコンポーネントに対して確立された必須の構成設定からの例外を識別、文書化、承認し、(iii) 組織のポリシーと手順に従って、構成設定の変更を監視および管理します。The organization (i) establishes and documents mandatory configuration settings for information technology products employed within the information system using the latest security configuration baselines; (ii) identifies, documents, and approves exceptions from the mandatory established configuration settings for individual components based on explicit operational requirements; and (iii) monitors and controls changes to the configuration settings in accordance with organizational policies and procedures. Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Detailed Tracking' 2.0.02.0.0
変更制御の手順Change Control Procedures 0644.10k3Organizational.4 - 10.k0644.10k3Organizational.4 - 10.k 組織は、(i) 構成設定の一元的な管理、適用、検証、(ii) ネットワークおよびシステムのセキュリティ関連の構成設定に対する承認されていない変更への対応、(iii) 適用アクションのアクセス制限と監査の適用に関して、自動化されたメカニズムを採用します。The organization employs automated mechanisms to (i) centrally manage, apply, and verify configuration settings; (ii) respond to unauthorized changes to network and system security-related configuration settings; and (iii) enforce access restrictions and auditing of the enforcement actions. Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要があるWindows machines should meet requirements for 'System Audit Policies - Detailed Tracking' 2.0.02.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0709.10m1Organizational.1 - 10.m0709.10m1Organizational.1 - 10.m 技術的な脆弱性が特定され、リスクの評価と修正が適切なタイミングで行われます。Technical vulnerabilities are identified, evaluated for risk and corrected in a timely manner. 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0709.10m1Organizational.1 - 10.m0709.10m1Organizational.1 - 10.m 技術的な脆弱性が特定され、リスクの評価と修正が適切なタイミングで行われます。Technical vulnerabilities are identified, evaluated for risk and corrected in a timely manner. コンテナーのセキュリティ構成の脆弱性を修復する必要がありますVulnerabilities in container security configurations should be remediated 3.0.03.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0709.10m1Organizational.1 - 10.m0709.10m1Organizational.1 - 10.m 技術的な脆弱性が特定され、リスクの評価と修正が適切なタイミングで行われます。Technical vulnerabilities are identified, evaluated for risk and corrected in a timely manner. 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0709.10m1Organizational.1 - 10.m0709.10m1Organizational.1 - 10.m 技術的な脆弱性が特定され、リスクの評価と修正が適切なタイミングで行われます。Technical vulnerabilities are identified, evaluated for risk and corrected in a timely manner. 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0709.10m1Organizational.1 - 10.m0709.10m1Organizational.1 - 10.m 技術的な脆弱性が特定され、リスクの評価と修正が適切なタイミングで行われます。Technical vulnerabilities are identified, evaluated for risk and corrected in a timely manner. Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要があるWindows machines should meet requirements for 'Security Options - Microsoft Network Server' 2.0.02.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0711.10m2Organizational.23 - 10.m0711.10m2Organizational.23 - 10.m システムで特定された脆弱性を監視、評価、優先度付け、修復するための技術的な脆弱性管理プログラムが用意されています。A technical vulnerability management program is in place to monitor, assess, rank, and remediate vulnerabilities identified in systems. 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0713.10m2Organizational.5 - 10.m0713.10m2Organizational.5 - 10.m パッチは、インストール前にテストおよび評価されます。Patches are tested and evaluated before they are installed. 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0714.10m2Organizational.7 - 10.m0714.10m2Organizational.7 - 10.m 技術的な脆弱性管理プログラムは、四半期ごとに評価されます。The technical vulnerability management program is evaluated on a quarterly basis. 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0715.10m2Organizational.8 - 10.m0715.10m2Organizational.8 - 10.m システムが適切に強化されます (たとえば、セキュリティで保護された必要なサービス、ポート、プロトコルのみを有効にして構成されるなど)。Systems are appropriately hardened (e.g., configured with only necessary and secure services, ports and protocols enabled). コンテナーのセキュリティ構成の脆弱性を修復する必要がありますVulnerabilities in container security configurations should be remediated 3.0.03.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0717.10m3Organizational.2 - 10.m0717.10m3Organizational.2 - 10.m 脆弱性スキャン ツールには、キャン対象の情報システムの脆弱性を速やかに更新する機能が含まれています。Vulnerability scanning tools include the capability to readily update the information system vulnerabilities scanned. 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
技術的な脆弱性のコントロールControl of Technical Vulnerabilities 0718.10m3Organizational.34 - 10.m0718.10m3Organizational.34 - 10.m 組織は、毎月 (自動で)、およびシステムとネットワーク環境に影響を与える可能性のある新しい脆弱性が特定されて報告されたときには再度 (手動または自動で)、情報システムおよびホストされているアプリケーションの脆弱性をスキャンして、欠陥の修復の状態を判断します。The organization scans for vulnerabilities in the information system and hosted applications to determine the state of flaw remediation monthly (automatically) and again (manually or automatically) when new vulnerabilities potentially affecting the systems and networked environments are identified and reported. 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
ビジネス継続性とリスク評価Business Continuity and Risk Assessment 1634.12b1Organizational.1 - 12.b1634.12b1Organizational.1 - 12.b 組織は、ビジネス継続性を必要とする重要なビジネス プロセスを特定します。The organization identifies the critical business processes requiring business continuity. ディザスター リカバリーを構成されていない仮想マシンの監査Audit virtual machines without disaster recovery configured 1.0.01.0.0
ビジネス継続性とリスク評価Business Continuity and Risk Assessment 1637.12b2Organizational.2 - 12.b1637.12b2Organizational.2 - 12.b ビジネスへの影響分析は、災害、セキュリティ エラー、サービスの損失、サービスの可用性の結果を評価するために使用されます。Business impact analysis are used to evaluate the consequences of disasters, security failures, loss of service, and service availability. Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Recovery console' 2.0.02.0.0
ビジネス継続性とリスク評価Business Continuity and Risk Assessment 1638.12b2Organizational.345 - 12.b1638.12b2Organizational.345 - 12.b ビジネス継続性リスク評価は、(i) ビジネス リソースとプロセスの所有者の全面的な関与を得て毎年実行されます。(ii) すべてのビジネス プロセスを検討し、情報資産に限定されない、情報セキュリティに固有の結果が含まれます。(iii) 重要なリソース、中断の影響、許容される停止時間、回復の優先度など、組織に関連する主要なビジネス目標と基準に対するリスクを特定、定量化、優先順位付けします。Business continuity risk assessments (i) are carried out annually with full involvement from owners of business resources and processes; (ii) consider all business processes and is not limited to the information assets, but includes the results specific to information security; and (iii) identifies, quantifies, and prioritizes risks against key business objectives and criteria relevant to the organization, including critical resources, impacts of disruptions, allowable outage times, and recovery priorities. ディザスター リカバリーを構成されていない仮想マシンの監査Audit virtual machines without disaster recovery configured 1.0.01.0.0

ISO 27001:2013ISO 27001:2013

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - ISO 27001:2013 に関する記事をご覧ください。To review how the available Azure Policy built-ins for all Azure services map to this compliance standard, see Azure Policy Regulatory Compliance - ISO 27001:2013. このコンプライアンス標準の詳細については、ISO 27001:2013 に関するドキュメントをご覧ください。For more information about this compliance standard, see ISO 27001:2013.

DomainDomain コントロール IDControl ID コントロールのタイトルControl title ポリシーPolicy
(Azure portal)(Azure portal)
ポリシーのバージョンPolicy version
(GitHub)(GitHub)
アクセス制御Access control 9.1.29.1.2 ネットワークおよびネットワーク サービスへのアクセスAccess to networks and network services ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
アクセス制御Access control 9.1.29.1.2 ネットワークおよびネットワーク サービスへのアクセスAccess to networks and network services ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
アクセス制御Access control 9.1.29.1.2 ネットワークおよびネットワーク サービスへのアクセスAccess to networks and network services パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査するAudit Linux machines that allow remote connections from accounts without passwords 1.0.01.0.0
アクセス制御Access control 9.1.29.1.2 ネットワークおよびネットワーク サービスへのアクセスAccess to networks and network services パスワードなしのアカウントが存在する Linux マシンを監査するAudit Linux machines that have accounts without passwords 1.0.01.0.0
アクセス制御Access control 9.1.29.1.2 ネットワークおよびネットワーク サービスへのアクセスAccess to networks and network services Managed Disks を使用していない VM の監査Audit VMs that do not use managed disks 1.0.01.0.0
アクセス制御Access control 9.1.29.1.2 ネットワークおよびネットワーク サービスへのアクセスAccess to networks and network services Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイするDeploy the Linux Guest Configuration extension to enable Guest Configuration assignments on Linux VMs 1.0.01.0.0
アクセス制御Access control 9.1.29.1.2 ネットワークおよびネットワーク サービスへのアクセスAccess to networks and network services 仮想マシンを新しい Azure Resource Manager リソースに移行する必要があるVirtual machines should be migrated to new Azure Resource Manager resources 1.0.01.0.0
アクセス制御Access control 9.2.49.2.4 ユーザーのシークレット認証情報の管理Management of secret authentication information of users ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
アクセス制御Access control 9.2.49.2.4 ユーザーのシークレット認証情報の管理Management of secret authentication information of users ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
アクセス制御Access control 9.2.49.2.4 ユーザーのシークレット認証情報の管理Management of secret authentication information of users passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査するAudit Linux machines that do not have the passwd file permissions set to 0644 1.0.01.0.0
アクセス制御Access control 9.2.49.2.4 ユーザーのシークレット認証情報の管理Management of secret authentication information of users Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイするDeploy the Linux Guest Configuration extension to enable Guest Configuration assignments on Linux VMs 1.0.01.0.0
アクセス制御Access control 9.4.39.4.3 パスワード管理システムPassword management system ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
アクセス制御Access control 9.4.39.4.3 パスワード管理システムPassword management system ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
アクセス制御Access control 9.4.39.4.3 パスワード管理システムPassword management system 以前の 24 個のパスワードの再利用が許可されている Windows マシンを監査するAudit Windows machines that allow re-use of the previous 24 passwords 1.0.01.0.0
アクセス制御Access control 9.4.39.4.3 パスワード管理システムPassword management system パスワードの有効期間が 70 日になっていない Windows マシンを監査するAudit Windows machines that do not have a maximum password age of 70 days 1.0.01.0.0
アクセス制御Access control 9.4.39.4.3 パスワード管理システムPassword management system パスワードの変更禁止期間が 1 日になっていない Windows マシンを監査するAudit Windows machines that do not have a minimum password age of 1 day 1.0.01.0.0
アクセス制御Access control 9.4.39.4.3 パスワード管理システムPassword management system パスワードの複雑さの設定が有効になっていない Windows マシンを監査するAudit Windows machines that do not have the password complexity setting enabled 1.0.01.0.0
アクセス制御Access control 9.4.39.4.3 パスワード管理システムPassword management system パスワードの最小文字数が 14 文字に制限されていない Windows マシンを監査するAudit Windows machines that do not restrict the minimum password length to 14 characters 1.0.01.0.0
アクセス制御Access control 9.4.39.4.3 パスワード管理システムPassword management system Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
暗号化Cryptography 10.1.110.1.1 暗号化コントロールの使用に関するポリシーPolicy on the use of cryptographic controls ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
暗号化Cryptography 10.1.110.1.1 暗号化コントロールの使用に関するポリシーPolicy on the use of cryptographic controls ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
暗号化Cryptography 10.1.110.1.1 暗号化コントロールの使用に関するポリシーPolicy on the use of cryptographic controls 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査するAudit Windows machines that do not store passwords using reversible encryption 1.0.01.0.0
暗号化Cryptography 10.1.110.1.1 暗号化コントロールの使用に関するポリシーPolicy on the use of cryptographic controls Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
暗号化Cryptography 10.1.110.1.1 暗号化コントロールの使用に関するポリシーPolicy on the use of cryptographic controls 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
操作のセキュリティOperations security 12.4.112.4.1 イベント ログEvent Logging 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要があるDependency agent should be enabled for listed virtual machine images 2.0.02.0.0
操作のセキュリティOperations security 12.4.112.4.1 イベント ログEvent Logging 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要があるDependency agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
操作のセキュリティOperations security 12.4.112.4.1 イベント ログEvent Logging 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
操作のセキュリティOperations security 12.4.112.4.1 イベント ログEvent Logging 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
操作のセキュリティOperations security 12.4.312.4.3 管理者とオペレーターのログAdministrator and operator logs 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要があるDependency agent should be enabled for listed virtual machine images 2.0.02.0.0
操作のセキュリティOperations security 12.4.312.4.3 管理者とオペレーターのログAdministrator and operator logs 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要があるDependency agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
操作のセキュリティOperations security 12.4.312.4.3 管理者とオペレーターのログAdministrator and operator logs 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
操作のセキュリティOperations security 12.4.312.4.3 管理者とオペレーターのログAdministrator and operator logs 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
操作のセキュリティOperations security 12.4.412.4.4 時計の同期化Clock Synchronization 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要があるDependency agent should be enabled for listed virtual machine images 2.0.02.0.0
操作のセキュリティOperations security 12.4.412.4.4 時計の同期化Clock Synchronization 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要があるDependency agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
操作のセキュリティOperations security 12.4.412.4.4 時計の同期化Clock Synchronization 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
操作のセキュリティOperations security 12.4.412.4.4 時計の同期化Clock Synchronization 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
操作のセキュリティOperations security 12.5.112.5.1 運用システムへのソフトウェアのインストールInstallation of software on operational systems 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
操作のセキュリティOperations security 12.6.112.6.1 技術的脆弱性の管理Management of technical vulnerabilities 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
操作のセキュリティOperations security 12.6.112.6.1 技術的脆弱性の管理Management of technical vulnerabilities Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
操作のセキュリティOperations security 12.6.112.6.1 技術的脆弱性の管理Management of technical vulnerabilities システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
操作のセキュリティOperations security 12.6.112.6.1 技術的脆弱性の管理Management of technical vulnerabilities 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
操作のセキュリティOperations security 12.6.212.6.2 ソフトウェアのインストールに関する制限Restrictions on software installation 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
通信のセキュリティCommunications security 13.1.113.1.1 ネットワーク制御Network controls ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0

New Zealand ISM RestrictedNew Zealand ISM Restricted

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - New Zealand ISM Restricted に関する記事をご覧ください。To review how the available Azure Policy built-ins for all Azure services map to this compliance standard, see Azure Policy Regulatory Compliance - New Zealand ISM Restricted. このコンプライアンス標準の詳細については、New Zealand ISM Restricted に関するページを参照してください。For more information about this compliance standard, see New Zealand ISM Restricted.

DomainDomain コントロール IDControl ID コントロールのタイトルControl title ポリシーPolicy
(Azure portal)(Azure portal)
ポリシーのバージョンPolicy version
(GitHub)(GitHub)
情報セキュリティの監視Information security monitoring ISM-3ISM-3 6.2.5 脆弱性評価の実施6.2.5 Conducting vulnerability assessments 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
情報セキュリティの監視Information security monitoring ISM-3ISM-3 6.2.5 脆弱性評価の実施6.2.5 Conducting vulnerability assessments コンテナーのセキュリティ構成の脆弱性を修復する必要がありますVulnerabilities in container security configurations should be remediated 3.0.03.0.0
情報セキュリティの監視Information security monitoring ISM-3ISM-3 6.2.5 脆弱性評価の実施6.2.5 Conducting vulnerability assessments 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
情報セキュリティの監視Information security monitoring ISM-3ISM-3 6.2.5 脆弱性評価の実施6.2.5 Conducting vulnerability assessments 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
製品のセキュリティProduct Security PRS-5PRS-5 12.4.4 製品の脆弱性へのパッチの適用12.4.4 Patching vulnerabilities in products 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要があるSystem updates on virtual machine scale sets should be installed 3.0.03.0.0
製品のセキュリティProduct Security PRS-5PRS-5 12.4.4 製品の脆弱性へのパッチの適用12.4.4 Patching vulnerabilities in products システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
ソフトウェアのセキュリティSoftware security SS-2SS-2 14.1.9 セキュリティが強化された SOE の維持14.1.9 Maintaining hardened SOEs デプロイ - 依存関係エージェントを Windows 仮想マシン スケール セットで有効になるように構成するDeploy - Configure Dependency agent to be enabled on Windows virtual machine scale sets 2.0.02.0.0
ソフトウェアのセキュリティSoftware security SS-2SS-2 14.1.9 セキュリティが強化された SOE の維持14.1.9 Maintaining hardened SOEs エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
ソフトウェアのセキュリティSoftware security SS-2SS-2 14.1.9 セキュリティが強化された SOE の維持14.1.9 Maintaining hardened SOEs Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要があるMicrosoft IaaSAntimalware extension should be deployed on Windows servers 1.0.01.0.0
ソフトウェアのセキュリティSoftware security SS-2SS-2 14.1.9 セキュリティが強化された SOE の維持14.1.9 Maintaining hardened SOEs Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
ソフトウェアのセキュリティSoftware security SS-4SS-4 14.2.4 アプリケーションのホワイトリスト登録14.2.4 Application Whitelisting 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
アクセス制御とパスワードAccess Control and Passwords AC-2AC-2 16.1.32 システム ユーザーの識別16.1.32 System User Identification パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査するAudit Linux machines that allow remote connections from accounts without passwords 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-2AC-2 16.1.32 システム ユーザーの識別16.1.32 System User Identification パスワードなしのアカウントが存在する Linux マシンを監査するAudit Linux machines that have accounts without passwords 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-2AC-2 16.1.32 システム ユーザーの識別16.1.32 System User Identification Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査するAudit Windows machines missing any of specified members in the Administrators group 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-2AC-2 16.1.32 システム ユーザーの識別16.1.32 System User Identification Administrators グループに余分なアカウントがある Windows マシンを監査するAudit Windows machines that have extra accounts in the Administrators group 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-2AC-2 16.1.32 システム ユーザーの識別16.1.32 System User Identification Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査するAudit Windows machines that have the specified members in the Administrators group 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-2AC-2 16.1.32 システム ユーザーの識別16.1.32 System User Identification デプロイ - 依存関係エージェントを Windows 仮想マシンで有効になるように構成するDeploy - Configure Dependency agent to be enabled on Windows virtual machines 2.0.02.0.0
アクセス制御とパスワードAccess Control and Passwords AC-2AC-2 16.1.32 システム ユーザーの識別16.1.32 System User Identification Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイするDeploy the Linux Guest Configuration extension to enable Guest Configuration assignments on Linux VMs 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-2AC-2 16.1.32 システム ユーザーの識別16.1.32 System User Identification Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-4AC-4 16.1.40 パスワード選択ポリシー16.1.40 Password selection policy デプロイ - 依存関係エージェントを Windows 仮想マシンで有効になるように構成するDeploy - Configure Dependency agent to be enabled on Windows virtual machines 2.0.02.0.0
アクセス制御とパスワードAccess Control and Passwords AC-4AC-4 16.1.40 パスワード選択ポリシー16.1.40 Password selection policy Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Settings - Account Policies' 2.0.02.0.0
アクセス制御とパスワードAccess Control and Passwords AC-5AC-5 16.1.46 アクセスの停止16.1.46 Suspension of access デプロイ - 依存関係エージェントを Windows 仮想マシンで有効になるように構成するDeploy - Configure Dependency agent to be enabled on Windows virtual machines 2.0.02.0.0
アクセス制御とパスワードAccess Control and Passwords AC-7AC-7 16.2.5 システム上のコンパートメント化された情報の保護16.2.5 Protecting compartmented information on systems 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
アクセス制御とパスワードAccess Control and Passwords AC-9AC-9 16.3.5 特権アカウントの使用16.3.5 Use of Privileged Accounts Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査するAudit Windows machines missing any of specified members in the Administrators group 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-9AC-9 16.3.5 特権アカウントの使用16.3.5 Use of Privileged Accounts Administrators グループに余分なアカウントがある Windows マシンを監査するAudit Windows machines that have extra accounts in the Administrators group 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-9AC-9 16.3.5 特権アカウントの使用16.3.5 Use of Privileged Accounts Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査するAudit Windows machines that have the specified members in the Administrators group 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-9AC-9 16.3.5 特権アカウントの使用16.3.5 Use of Privileged Accounts デプロイ - 依存関係エージェントを Windows 仮想マシンで有効になるように構成するDeploy - Configure Dependency agent to be enabled on Windows virtual machines 2.0.02.0.0
アクセス制御とパスワードAccess Control and Passwords AC-9AC-9 16.3.5 特権アカウントの使用16.3.5 Use of Privileged Accounts Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
アクセス制御とパスワードAccess Control and Passwords AC-14AC-14 16.6.7 システム管理ログの内容16.6.7 Content of system management logs VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
アクセス制御とパスワードAccess Control and Passwords AC-14AC-14 16.6.7 システム管理ログの内容16.6.7 Content of system management logs 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
アクセス制御とパスワードAccess Control and Passwords AC-14AC-14 16.6.7 システム管理ログの内容16.6.7 Content of system management logs 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
暗号化Cryptography CR-2CR-2 17.1.46 ストレージと物理的な転送の要件の削減17.1.46 Reducing storage and physical transfer requirements 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
暗号化Cryptography CR-6CR-6 17.4.16 TLS の使用17.4.16 Using TLS Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
暗号化Cryptography CR-6CR-6 17.4.16 TLS の使用17.4.16 Using TLS Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
ネットワークのセキュリティNetwork security NS-2NS-2 18.1.13 ネットワーク アクセスの制限18.1.13 Limiting network access アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
ネットワークのセキュリティNetwork security NS-2NS-2 18.1.13 ネットワーク アクセスの制限18.1.13 Limiting network access インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
データ管理Data management DM-4DM-4 20.3.10 ウイルス対策スキャン20.3.10 Antivirus scans デプロイ - 依存関係エージェントを Windows 仮想マシン スケール セットで有効になるように構成するDeploy - Configure Dependency agent to be enabled on Windows virtual machine scale sets 2.0.02.0.0
データ管理Data management DM-4DM-4 20.3.10 ウイルス対策スキャン20.3.10 Antivirus scans エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
データ管理Data management DM-4DM-4 20.3.10 ウイルス対策スキャン20.3.10 Antivirus scans Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
データ管理Data management DM-4DM-4 20.3.10 ウイルス対策スキャン20.3.10 Antivirus scans マシンで Windows Defender Exploit Guard を有効にする必要があるWindows Defender Exploit Guard should be enabled on your machines 1.1.11.1.1
データ管理Data management DM-6DM-6 20.4.4 データベース ファイル20.4.4 Database files 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
データ管理Data management DM-6DM-6 20.4.4 データベース ファイル20.4.4 Database files Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
エンタープライズ システムのセキュリティEnterprise systems security ESS-3ESS-3 22.1.26 バックアップ、回復アーカイブ、データ残留磁気22.1.26 Backup, Recovery Archiving and Data Remanence ディザスター リカバリーを構成されていない仮想マシンの監査Audit virtual machines without disaster recovery configured 1.0.01.0.0

NIST SP 800-171 R2NIST SP 800-171 R2

すべての Azure サービスに対して使用可能な Azure Policy 組み込みをこのコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。To review how the available Azure Policy built-ins for all Azure services map to this compliance standard, see Azure Policy Regulatory Compliance - NIST SP 800-171 R2. このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。For more information about this compliance standard, see NIST SP 800-171 R2.

DomainDomain コントロール IDControl ID コントロールのタイトルControl title ポリシーPolicy
(Azure portal)(Azure portal)
ポリシーのバージョンPolicy version
(GitHub)(GitHub)
アクセス制御Access Control 3.1.13.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。Limit system access to authorized users, processes acting on behalf of authorized users, and devices (including other systems). ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
アクセス制御Access Control 3.1.13.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。Limit system access to authorized users, processes acting on behalf of authorized users, and devices (including other systems). ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
アクセス制御Access Control 3.1.13.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。Limit system access to authorized users, processes acting on behalf of authorized users, and devices (including other systems). パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査するAudit Linux machines that allow remote connections from accounts without passwords 1.0.01.0.0
アクセス制御Access Control 3.1.13.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。Limit system access to authorized users, processes acting on behalf of authorized users, and devices (including other systems). Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
アクセス制御Access Control 3.1.13.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。Limit system access to authorized users, processes acting on behalf of authorized users, and devices (including other systems). Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
アクセス制御Access Control 3.1.43.1.4 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。Separate the duties of individuals to reduce the risk of malevolent activity without collusion. Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査するAudit Windows machines missing any of specified members in the Administrators group 1.0.01.0.0
アクセス制御Access Control 3.1.43.1.4 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。Separate the duties of individuals to reduce the risk of malevolent activity without collusion. Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査するAudit Windows machines that have the specified members in the Administrators group 1.0.01.0.0
アクセス制御Access Control 3.1.123.1.12 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
アクセス制御Access Control 3.1.123.1.12 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
アクセス制御Access Control 3.1.123.1.12 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査するAudit Linux machines that allow remote connections from accounts without passwords 1.0.01.0.0
アクセス制御Access Control 3.1.123.1.12 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
アクセス制御Access Control 3.1.123.1.12 リモート アクセス セッションの監視および制御を行う。Monitor and control remote access sessions. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
監査とアカウンタビリティAudit and Accountability 3.3.13.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity. VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
監査とアカウンタビリティAudit and Accountability 3.3.13.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity. 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
監査とアカウンタビリティAudit and Accountability 3.3.13.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity. 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
監査とアカウンタビリティAudit and Accountability 3.3.13.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity. 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on Virtual Machine Scale Sets 1.0.01.0.0
監査とアカウンタビリティAudit and Accountability 3.3.13.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity. 仮想マシンに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on virtual machines 1.0.01.0.0
監査とアカウンタビリティAudit and Accountability 3.3.23.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。Ensure that the actions of individual system users can be uniquely traced to those users, so they can be held accountable for their actions. VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
監査とアカウンタビリティAudit and Accountability 3.3.23.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。Ensure that the actions of individual system users can be uniquely traced to those users, so they can be held accountable for their actions. 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
監査とアカウンタビリティAudit and Accountability 3.3.23.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。Ensure that the actions of individual system users can be uniquely traced to those users, so they can be held accountable for their actions. 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
監査とアカウンタビリティAudit and Accountability 3.3.23.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。Ensure that the actions of individual system users can be uniquely traced to those users, so they can be held accountable for their actions. 仮想マシン スケール セットに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on Virtual Machine Scale Sets 1.0.01.0.0
監査とアカウンタビリティAudit and Accountability 3.3.23.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。Ensure that the actions of individual system users can be uniquely traced to those users, so they can be held accountable for their actions. 仮想マシンに Log Analytics エージェントをインストールする必要があるThe Log Analytics agent should be installed on virtual machines 1.0.01.0.0
構成管理Configuration Management 3.4.73.4.7 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。Restrict, disable, or prevent the use of nonessential programs, functions, ports, protocols, and services. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
構成管理Configuration Management 3.4.83.4.8 例外的に拒否 (ブラックリスト登録) ポリシーを適用して、承認されていないソフトウェアの使用できないようにするか、またはすべて拒否、例外的に許可 (ホワイトリスト登録) ポリシーを適用して、承認されたソフトウェアの実行を許可する。Apply deny-by-exception (blacklisting) policy to prevent the use of unauthorized software or deny-all, permit-by-exception (whitelisting) policy to allow the execution of authorized software. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
構成管理Configuration Management 3.4.93.4.9 ユーザーがインストールしたソフトウェアの制御および監視を行う。Control and monitor user-installed software. 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
識別と認証Identification and Authentication 3.5.23.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of users, processes, or devices, as a prerequisite to allowing access to organizational systems. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
識別と認証Identification and Authentication 3.5.23.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of users, processes, or devices, as a prerequisite to allowing access to organizational systems. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
識別と認証Identification and Authentication 3.5.23.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of users, processes, or devices, as a prerequisite to allowing access to organizational systems. パスワードなしのアカウントが存在する Linux マシンを監査するAudit Linux machines that have accounts without passwords 1.0.01.0.0
識別と認証Identification and Authentication 3.5.23.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of users, processes, or devices, as a prerequisite to allowing access to organizational systems. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
識別と認証Identification and Authentication 3.5.23.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。Authenticate (or verify) the identities of users, processes, or devices, as a prerequisite to allowing access to organizational systems. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
識別と認証Identification and Authentication 3.5.73.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
識別と認証Identification and Authentication 3.5.73.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
識別と認証Identification and Authentication 3.5.73.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. パスワードなしのアカウントが存在する Linux マシンを監査するAudit Linux machines that have accounts without passwords 1.0.01.0.0
識別と認証Identification and Authentication 3.5.73.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. パスワードの複雑さの設定が有効になっていない Windows マシンを監査するAudit Windows machines that do not have the password complexity setting enabled 1.0.01.0.0
識別と認証Identification and Authentication 3.5.73.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. パスワードの最小文字数が 14 文字に制限されていない Windows マシンを監査するAudit Windows machines that do not restrict the minimum password length to 14 characters 1.0.01.0.0
識別と認証Identification and Authentication 3.5.73.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
識別と認証Identification and Authentication 3.5.73.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。Enforce a minimum password complexity and change of characters when new passwords are created. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
識別と認証Identification and Authentication 3.5.83.5.8 指定された生成回数についてパスワードの再利用を禁止する。Prohibit password reuse for a specified number of generations. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
識別と認証Identification and Authentication 3.5.83.5.8 指定された生成回数についてパスワードの再利用を禁止する。Prohibit password reuse for a specified number of generations. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
識別と認証Identification and Authentication 3.5.83.5.8 指定された生成回数についてパスワードの再利用を禁止する。Prohibit password reuse for a specified number of generations. 以前の 24 個のパスワードの再利用が許可されている Windows マシンを監査するAudit Windows machines that allow re-use of the previous 24 passwords 1.0.01.0.0
識別と認証Identification and Authentication 3.5.83.5.8 指定された生成回数についてパスワードの再利用を禁止する。Prohibit password reuse for a specified number of generations. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
識別と認証Identification and Authentication 3.5.83.5.8 指定された生成回数についてパスワードの再利用を禁止する。Prohibit password reuse for a specified number of generations. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
識別と認証Identification and Authentication 3.5.103.5.10 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
識別と認証Identification and Authentication 3.5.103.5.10 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
識別と認証Identification and Authentication 3.5.103.5.10 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査するAudit Linux machines that do not have the passwd file permissions set to 0644 1.0.01.0.0
識別と認証Identification and Authentication 3.5.103.5.10 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査するAudit Windows machines that do not store passwords using reversible encryption 1.0.01.0.0
識別と認証Identification and Authentication 3.5.103.5.10 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
識別と認証Identification and Authentication 3.5.103.5.10 暗号で保護されたパスワードのみを格納して送信する。Store and transmit only cryptographically-protected passwords. Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要があるWindows machines should meet requirements for 'Security Options - Network Security' 2.0.02.0.0
リスク評価Risk Assessment 3.11.23.11.2 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。Scan for vulnerabilities in organizational systems and applications periodically and when new vulnerabilities affecting those systems and applications are identified. 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
リスク評価Risk Assessment 3.11.23.11.2 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。Scan for vulnerabilities in organizational systems and applications periodically and when new vulnerabilities affecting those systems and applications are identified. コンテナーのセキュリティ構成の脆弱性を修復する必要がありますVulnerabilities in container security configurations should be remediated 3.0.03.0.0
リスク評価Risk Assessment 3.11.23.11.2 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。Scan for vulnerabilities in organizational systems and applications periodically and when new vulnerabilities affecting those systems and applications are identified. 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
リスク評価Risk Assessment 3.11.23.11.2 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。Scan for vulnerabilities in organizational systems and applications periodically and when new vulnerabilities affecting those systems and applications are identified. 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
システムと通信の保護System and Communications Protection 3.13.13.13.1 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
システムと通信の保護System and Communications Protection 3.13.13.13.1 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
システムと通信の保護System and Communications Protection 3.13.13.13.1 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems. Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
システムと通信の保護System and Communications Protection 3.13.53.13.5 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。Implement subnetworks for publicly accessible system components that are physically or logically separated from internal networks. アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
システムと通信の保護System and Communications Protection 3.13.53.13.5 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。Implement subnetworks for publicly accessible system components that are physically or logically separated from internal networks. ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
システムと通信の保護System and Communications Protection 3.13.53.13.5 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。Implement subnetworks for publicly accessible system components that are physically or logically separated from internal networks. インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要があるInternet-facing virtual machines should be protected with network security groups 3.0.03.0.0
システムと通信の保護System and Communications Protection 3.13.83.13.8 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。Implement cryptographic mechanisms to prevent unauthorized disclosure of CUI during transmission unless otherwise protected by alternative physical safeguards. Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
システムと通信の保護System and Communications Protection 3.13.163.13.16 保存時の CUI の機密性を保護する。Protect the confidentiality of CUI at rest. 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
システムと情報の整合性System and Information Integrity 3.14.13.14.1 システムの欠陥を適切なタイミングで特定、報告、修正する。Identify, report, and correct system flaws in a timely manner. 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
システムと情報の整合性System and Information Integrity 3.14.13.14.1 システムの欠陥を適切なタイミングで特定、報告、修正する。Identify, report, and correct system flaws in a timely manner. 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要があるSystem updates on virtual machine scale sets should be installed 3.0.03.0.0
システムと情報の整合性System and Information Integrity 3.14.13.14.1 システムの欠陥を適切なタイミングで特定、報告、修正する。Identify, report, and correct system flaws in a timely manner. システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
システムと情報の整合性System and Information Integrity 3.14.13.14.1 システムの欠陥を適切なタイミングで特定、報告、修正する。Identify, report, and correct system flaws in a timely manner. 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
システムと情報の整合性System and Information Integrity 3.14.13.14.1 システムの欠陥を適切なタイミングで特定、報告、修正する。Identify, report, and correct system flaws in a timely manner. 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
システムと情報の整合性System and Information Integrity 3.14.23.14.2 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。Provide protection from malicious code at designated locations within organizational systems. エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
システムと情報の整合性System and Information Integrity 3.14.23.14.2 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。Provide protection from malicious code at designated locations within organizational systems. Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要があるMicrosoft IaaSAntimalware extension should be deployed on Windows servers 1.0.01.0.0
システムと情報の整合性System and Information Integrity 3.14.23.14.2 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。Provide protection from malicious code at designated locations within organizational systems. Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0

NIST SP 800-53 R4NIST SP 800-53 R4

すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - NIST SP 800-53 R4 に関するページを参照してください。To review how the available Azure Policy built-ins for all Azure services map to this compliance standard, see Azure Policy Regulatory Compliance - NIST SP 800-53 R4. このコンプライアンス標準の詳細については、「NIST SP 800-53 R4」を参照してください。For more information about this compliance standard, see NIST SP 800-53 R4.

DomainDomain コントロール IDControl ID コントロールのタイトルControl title ポリシーPolicy
(Azure portal)(Azure portal)
ポリシーのバージョンPolicy version
(GitHub)(GitHub)
アクセス制御Access Control AC-2 (12)AC-2 (12) アカウント管理 | アカウントの監視または特殊な使用方法Account Management | Account Monitoring / Atypical Usage 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
アクセス制御Access Control AC-5AC-5 職務の分離Separation of Duties Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査するAudit Windows machines missing any of specified members in the Administrators group 1.0.01.0.0
アクセス制御Access Control AC-5AC-5 職務の分離Separation of Duties Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査するAudit Windows machines that have the specified members in the Administrators group 1.0.01.0.0
アクセス制御Access Control AC-6 (7)AC-6 (7) 最小限の特権 | ユーザー特権の確認Least Privilege | Review of User Privileges Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査するAudit Windows machines missing any of specified members in the Administrators group 1.0.01.0.0
アクセス制御Access Control AC-6 (7)AC-6 (7) 最小限の特権 | ユーザー特権の確認Least Privilege | Review of User Privileges Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査するAudit Windows machines that have the specified members in the Administrators group 1.0.01.0.0
アクセス制御Access Control AC-17 (1)AC-17 (1) リモート アクセス | 自動監視/制御Remote Access | Automated Monitoring / Control ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
アクセス制御Access Control AC-17 (1)AC-17 (1) リモート アクセス | 自動監視/制御Remote Access | Automated Monitoring / Control ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
アクセス制御Access Control AC-17 (1)AC-17 (1) リモート アクセス | 自動監視/制御Remote Access | Automated Monitoring / Control パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査するAudit Linux machines that allow remote connections from accounts without passwords 1.0.01.0.0
アクセス制御Access Control AC-17 (1)AC-17 (1) リモート アクセス | 自動監視/制御Remote Access | Automated Monitoring / Control Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイするDeploy the Linux Guest Configuration extension to enable Guest Configuration assignments on Linux VMs 1.0.01.0.0
アクセス制御Access Control AC-17 (1)AC-17 (1) リモート アクセス | 自動監視/制御Remote Access | Automated Monitoring / Control Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
監査とアカウンタビリティAudit and Accountability AU-3 (2)AU-3 (2) 監査レコードの内容 | 計画的な監査レコードの内容の集中管理Content of Audit Records | Centralized Management of Planned Audit Record Content VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
監査とアカウンタビリティAudit and Accountability AU-3 (2)AU-3 (2) 監査レコードの内容 | 計画的な監査レコードの内容の集中管理Content of Audit Records | Centralized Management of Planned Audit Record Content 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
監査とアカウンタビリティAudit and Accountability AU-3 (2)AU-3 (2) 監査レコードの内容 | 計画的な監査レコードの内容の集中管理Content of Audit Records | Centralized Management of Planned Audit Record Content 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
監査とアカウンタビリティAudit and Accountability AU-6 (4)AU-6 (4) 監査の確認、分析、およびレポート | 集中的な確認と分析Audit Review, Analysis, and Reporting | Central Review and Analysis VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
監査とアカウンタビリティAudit and Accountability AU-6 (4)AU-6 (4) 監査の確認、分析、および報告 | 集中的な確認と分析Audit Review, Analysis, and Reporting | Central Review and Analysis 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
監査とアカウンタビリティAudit and Accountability AU-6 (4)AU-6 (4) 監査の確認、分析、および報告 | 集中的な確認と分析Audit Review, Analysis, and Reporting | Central Review and Analysis 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
監査とアカウンタビリティAudit and Accountability AU-12AU-12 監査の生成Audit Generation VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
監査とアカウンタビリティAudit and Accountability AU-12AU-12 監査の生成Audit Generation 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
監査とアカウンタビリティAudit and Accountability AU-12AU-12 監査の生成Audit Generation 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0
構成管理Configuration Management CM-7 (2)CM-7 (2) 最小限の機能 | プログラムの実行の防止Least Functionality | Prevent Program Execution 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
構成管理Configuration Management CM-7 (5)CM-7 (5) 最小限の機能 | 承認されたソフトウェアまたはホワイトリスト登録Least Functionality | Authorized Software / Whitelisting 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
構成管理Configuration Management CM-11CM-11 ユーザーがインストールするソフトウェアUser-Installed Software 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるAdaptive application controls for defining safe applications should be enabled on your machines 3.0.03.0.0
代替計画Contingency Planning CP-7CP-7 代替処理サイトAlternate Processing Site ディザスター リカバリーを構成されていない仮想マシンの監査Audit virtual machines without disaster recovery configured 1.0.01.0.0
識別と認証Identification and Authentication IA-5IA-5 認証子の管理Authenticator Management ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
識別と認証Identification and Authentication IA-5IA-5 認証子の管理Authenticator Management ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
識別と認証Identification and Authentication IA-5IA-5 認証子の管理Authenticator Management passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査するAudit Linux machines that do not have the passwd file permissions set to 0644 1.0.01.0.0
識別と認証Identification and Authentication IA-5IA-5 認証子の管理Authenticator Management パスワードなしのアカウントが存在する Linux マシンを監査するAudit Linux machines that have accounts without passwords 1.0.01.0.0
識別と認証Identification and Authentication IA-5IA-5 認証子の管理Authenticator Management 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査するAudit Windows machines that do not store passwords using reversible encryption 1.0.01.0.0
識別と認証Identification and Authentication IA-5IA-5 認証子の管理Authenticator Management Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイするDeploy the Linux Guest Configuration extension to enable Guest Configuration assignments on Linux VMs 1.0.01.0.0
識別と認証Identification and Authentication IA-5IA-5 認証子の管理Authenticator Management Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
識別と認証Identification and Authentication IA-5 (1)IA-5 (1) 認証子の管理 | パスワード ベースの認証Authenticator Management | Password-Based Authentication ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities 1.0.01.0.0
識別と認証Identification and Authentication IA-5 (1)IA-5 (1) 認証子の管理 | パスワード ベースの認証Authenticator Management | Password-Based Authentication ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加するAdd system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity 1.0.01.0.0
識別と認証Identification and Authentication IA-5 (1)IA-5 (1) 認証子の管理 | パスワード ベースの認証Authenticator Management | Password-Based Authentication 以前の 24 個のパスワードの再利用が許可されている Windows マシンを監査するAudit Windows machines that allow re-use of the previous 24 passwords 1.0.01.0.0
識別と認証Identification and Authentication IA-5 (1)IA-5 (1) 認証子の管理 | パスワード ベースの認証Authenticator Management | Password-Based Authentication パスワードの有効期間が 70 日になっていない Windows マシンを監査するAudit Windows machines that do not have a maximum password age of 70 days 1.0.01.0.0
識別と認証Identification and Authentication IA-5 (1)IA-5 (1) 認証子の管理 | パスワード ベースの認証Authenticator Management | Password-Based Authentication パスワードの変更禁止期間が 1 日になっていない Windows マシンを監査するAudit Windows machines that do not have a minimum password age of 1 day 1.0.01.0.0
識別と認証Identification and Authentication IA-5 (1)IA-5 (1) 認証子の管理 | パスワード ベースの認証Authenticator Management | Password-Based Authentication パスワードの複雑さの設定が有効になっていない Windows マシンを監査するAudit Windows machines that do not have the password complexity setting enabled 1.0.01.0.0
識別と認証Identification and Authentication IA-5 (1)IA-5 (1) 認証子の管理 | パスワード ベースの認証Authenticator Management | Password-Based Authentication パスワードの最小文字数が 14 文字に制限されていない Windows マシンを監査するAudit Windows machines that do not restrict the minimum password length to 14 characters 1.0.01.0.0
識別と認証Identification and Authentication IA-5 (1)IA-5 (1) 認証子の管理 | パスワード ベースの認証Authenticator Management | Password-Based Authentication 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査するAudit Windows machines that do not store passwords using reversible encryption 1.0.01.0.0
識別と認証Identification and Authentication IA-5 (1)IA-5 (1) 認証子の管理 | パスワード ベースの認証Authenticator Management | Password-Based Authentication Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイするDeploy the Linux Guest Configuration extension to enable Guest Configuration assignments on Linux VMs 1.0.01.0.0
識別と認証Identification and Authentication IA-5 (1)IA-5 (1) 認証子の管理 | パスワード ベースの認証Authenticator Management | Password-Based Authentication Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイするDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs 1.0.01.0.0
リスク評価Risk Assessment RA-5RA-5 脆弱性のスキャンVulnerability Scanning 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
リスク評価Risk Assessment RA-5RA-5 脆弱性のスキャンVulnerability Scanning 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
リスク評価Risk Assessment RA-5RA-5 脆弱性のスキャンVulnerability Scanning 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
システムと通信の保護System and Communications Protection SC-7SC-7 境界保護Boundary Protection アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要があるAdaptive network hardening recommendations should be applied on internet facing virtual machines 3.0.03.0.0
システムと通信の保護System and Communications Protection SC-7SC-7 境界保護Boundary Protection ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要があるAll network ports should be restricted on network security groups associated to your virtual machine 3.0.03.0.0
システムと通信の保護System and Communications Protection SC-7 (3)SC-7 (3) 境界保護 | アクセス ポイントBoundary Protection | Access Points 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
システムと通信の保護System and Communications Protection SC-7 (4)SC-7 (4) 境界保護 | 外部通信サービスBoundary Protection | External Telecommunications Services 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要があるManagement ports of virtual machines should be protected with just-in-time network access control 3.0.03.0.0
システムと通信の保護System and Communications Protection SC-8 (1)SC-8 (1) 送信の機密性と整合性 | 暗号化または代替の物理的保護Transmission Confidentiality and Integrity | Cryptographic or Alternate Physical Protection Windows Web サーバーはセキュリティで保護された通信プロトコルを使用するように構成される必要があるWindows web servers should be configured to use secure communication protocols 2.1.02.1.0
システムと通信の保護System and Communications Protection SC-28 (1)SC-28 (1) 保存情報の保護 | 暗号化による保護Protection of Information at Rest | Cryptographic Protection 仮想マシンでディスク暗号化を適用する必要があるDisk encryption should be applied on virtual machines 2.0.02.0.0
システムと情報の整合性System and Information Integrity SI-2SI-2 欠陥の修復Flaw Remediation 脆弱性評価ソリューションを仮想マシンで有効にする必要があるA vulnerability assessment solution should be enabled on your virtual machines 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI-2SI-2 欠陥の修復Flaw Remediation 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要があるSystem updates on virtual machine scale sets should be installed 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI-2SI-2 欠陥の修復Flaw Remediation システム更新プログラムをマシンにインストールする必要があるSystem updates should be installed on your machines 4.0.04.0.0
システムと情報の整合性System and Information Integrity SI-2SI-2 欠陥の修復Flaw Remediation 使用しているマシンでセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your machines should be remediated 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI-2SI-2 欠陥の修復Flaw Remediation 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要があるVulnerabilities in security configuration on your virtual machine scale sets should be remediated 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI-3SI-3 悪意のあるコードからの保護Malicious Code Protection エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI-3SI-3 悪意のあるコードからの保護Malicious Code Protection Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI-3 (1)SI-3 (1) 悪意のあるコードからの保護 | 一元的な管理Malicious Code Protection | Central Management エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要があるEndpoint protection solution should be installed on virtual machine scale sets 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI-3 (1)SI-3 (1) 悪意のあるコードからの保護 | 一元的な管理Malicious Code Protection | Central Management Endpoint Protection の不足を Azure Security Center で監視するMonitor missing Endpoint Protection in Azure Security Center 3.0.03.0.0
システムと情報の整合性System and Information Integrity SI-4SI-4 情報システムの監視Information System Monitoring VM 用 Log Analytics ワークスペースの監査 - 不一致のレポートAudit Log Analytics workspace for VM - Report Mismatch 1.0.11.0.1
システムと情報の整合性System and Information Integrity SI-4SI-4 情報システムの監視Information System Monitoring 一覧に含まれる仮想マシン イメージに対して Log Analytics エージェントを有効にする必要があるLog Analytics Agent should be enabled for listed virtual machine images 2.0.0-preview2.0.0-preview
システムと情報の整合性System and Information Integrity SI-4SI-4 情報システムの監視Information System Monitoring 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics エージェントを有効にする必要があるLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images 2.0.02.0.0

次のステップNext steps