Virtual Machinesの Azure セキュリティ ベースライン - Windows Virtual Machines
このセキュリティ ベースラインは、Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Virtual Machines - Windows Virtual Machinesに適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Virtual Machines - Windows Virtual Machinesに適用できる関連ガイダンスによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連するAzure Policy定義がある場合は、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料Microsoft Defenderプランが必要になる場合があります。
注意
Virtual Machinesに適用されない機能 - Windows Virtual Machinesは除外されています。 Virtual Machines - Windows Virtual Machinesが Microsoft クラウド セキュリティ ベンチマークに完全にマップされる方法については、完全なVirtual Machines - Windows Virtual Machines セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Virtual Machines - Windows Virtual Machinesの影響の大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が高まる可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | Compute |
| お客様は HOST/OS にアクセスできます | フル アクセス |
| サービスは顧客の仮想ネットワークにデプロイできます | True |
| 保存中の顧客コンテンツを格納します | True |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
機能
Virtual Network 統合
説明: サービスは、顧客のプライベート Virtual Network (VNet) へのデプロイをサポートしています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure の仮想ネットワークと仮想マシン
ネットワーク セキュリティ グループのサポート
説明: サービス ネットワーク トラフィックは、そのサブネットでのネットワーク セキュリティ グループルールの割り当てを尊重します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: ネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限または監視します。 NSG 規則を作成して、サービスのオープン ポートを制限します (信頼されていないネットワークから管理ポートにアクセスできないようにするなど)。 既定では、NSG はすべての受信トラフィックを拒否しますが、仮想ネットワークと Azure Load Balancer からのトラフィックを許可することに注意してください。
Azure 仮想マシン (VM) を作成する場合は、仮想ネットワークを作成するか、既存の仮想ネットワークを使用して、サブネットを使用して VM を構成する必要があります。 デプロイされたすべてのサブネットに、アプリケーションの信頼されたポートおよびソースに固有のネットワーク アクセス制御が適用されたネットワーク セキュリティ グループがあることを確認します。
リファレンス: ネットワーク セキュリティ グループ
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある | Azure Security Center では、インターネットに接続している仮想マシンのトラフィック パターンを分析し、可能性のある攻撃面を減少させるためにネットワーク セキュリティ グループの規則の推奨事項を提供します | AuditIfNotExists、Disabled | 3.0.0 |
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
機能
パブリック ネットワーク アクセスの無効化
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG やAzure Firewallではなく) または "パブリック ネットワーク アクセスを無効にする" トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Windows Defender ファイアウォールなどの OS レベルのサービスを使用して、パブリック アクセスを無効にするネットワーク フィルター処理を提供します。
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元的な ID および認証システムを使用する
機能
データ プレーン アクセスに必要な Azure AD Authentication
説明: サービスでは、データ プレーン アクセスに Azure AD 認証を使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: 既定の認証方法として Azure Active Directory (Azure AD) を使用して、データ プレーンへのアクセスを制御します。
リファレンス: パスワードレスを含む Azure AD を使用して Azure の Windows 仮想マシンにログインする
データ プレーン アクセスのローカル認証方法
説明: ローカルユーザー名やパスワードなど、データ プレーンアクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: ローカル管理者アカウントは、仮想マシンの初期デプロイ中に既定で作成されます。 ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、Azure AD を使用して、可能な限り認証を行います。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
IM-3: アプリケーション ID を安全かつ自動的に管理する
機能
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: マネージド ID は、通常、Windows VM によって他のサービスに対する認証に利用されます。 Windows VM で Azure AD 認証がサポートされている場合は、マネージド ID がサポートされている可能性があります。
構成ガイダンス: 可能な場合は、サービス プリンシパルではなく Azure マネージド ID を使用します。これは、Azure Active Directory (Azure AD) 認証をサポートする Azure サービスとリソースに対して認証できます。 マネージド ID の資格情報は、プラットフォームによって完全に管理、ローテーション、保護されており、ソース コードまたは構成ファイル内でハードコーディングされた資格情報を使用せずに済みます。
サービス プリンシパル
説明: データ プレーンでは、サービス プリンシパルを使用した認証がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: サービス プリンシパルは、Windows VM で実行されているアプリケーションで使用できます。
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 organizationがこのセキュリティ機能を構成する必要があるかどうかを確認して判断してください。
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
IM-7: 条件に基づいてリソースへのアクセスを制限する
機能
データ プレーンへの条件付きアクセス
説明: データ プレーンアクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure AD をコア認証プラットフォームとして使用して、Windows Server 2019 Datacenter エディション以降、または Windows 10 1809 以降に RDP 接続します。 これにより、VM へのアクセスを許可または拒否する Azure ロールベースのアクセス制御 (RBAC) および条件付きアクセス ポリシーを一元的に制御して適用できます。
構成ガイダンス: ワークロード内の Azure Active Directory (Azure AD) 条件付きアクセスに適用できる条件と条件を定義します。 特定の場所からのアクセスのブロックや許可、危険なサインイン動作のブロック、特定のアプリケーションに対するorganizationマネージド デバイスの要求など、一般的なユース ケースを検討してください。
リファレンス: パスワードレスを含む Azure AD を使用して Azure の Windows 仮想マシンにログインする
IM-8: 資格情報とシークレットの公開を制限する
機能
Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート
説明: データ プレーンでは、資格情報とシークレット ストアに対する Azure Key Vaultのネイティブな使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: データ プレーンまたはオペレーティング システム内では、サービスは資格情報またはシークレットのために Azure Key Vaultを呼び出す場合があります。
構成ガイダンス: シークレットと資格情報は、コードファイルや構成ファイルに埋め込むのではなく、Azure Key Vault などのセキュリティで保護された場所に格納されていることを確認します。
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する
機能
ローカル 管理 アカウント
説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、Azure AD を使用して、可能な限り認証を行います。
構成ガイダンス: これは既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: クイック スタート: Azure portalで Windows 仮想マシンを作成する
PA-7: Just Enough Administration (最小限の特権の原則) に従う
機能
データ プレーン用の Azure RBAC
説明: Azure Role-Based Access Control (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure AD をコア認証プラットフォームとして使用して、Windows Server 2019 Datacenter エディション以降、または Windows 10 1809 以降に RDP 接続します。 これにより、VM へのアクセスを許可または拒否する Azure ロールベースのアクセス制御 (RBAC) および条件付きアクセス ポリシーを一元的に制御して適用できます。
構成ガイダンス: RBAC を使用して、通常のユーザーまたは管理者特権で VM にログインできるユーザーを指定します。 ユーザーがチームに参加する場合は、適切なアクセス権が付与されるよう VM の Azure RBAC ポリシーを更新できます。 従業員が退職し、そのユーザー アカウントが無効化または Azure AD から削除されると、リソースにアクセスできなくなります。
リファレンス: パスワードレスを含む Azure AD を使用して Azure の Windows 仮想マシンにログインする
PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する
機能
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して確認し、各 Microsoft のデータ アクセス要求を承認または拒否します。
データの保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1:機密データを検出、分類、ラベル付けする
機能
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-2: 機密データをターゲットにした異常と脅威を監視する
機能
データ漏えい/損失防止
説明: サービスでは、(顧客のコンテンツ内の) 機密データの移動を監視するための DLP ソリューションがサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-3: 転送中の機密データの暗号化
機能
転送中データの暗号化
説明: サービスでは、データ プレーンの転送中のデータ暗号化がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: SSH などの特定の通信プロトコルは、既定で暗号化されます。 ただし、暗号化に TLS を使用するように HTTP などの他のサービスを構成する必要があります。
構成ガイダンス: 転送中のネイティブ データ暗号化機能が組み込まれているサービスでセキュリティで保護された転送を有効にします。 任意の Web アプリケーションとサービスに HTTPS を適用し、TLS v1.2 以降が使用されていることを確認します。 SSL 3.0、TLS v1.0 などのレガシ バージョンは無効にする必要があります。 Virtual Machinesのリモート管理には、暗号化されていないプロトコルではなく SSH (Linux の場合) または RDP/TLS (Windows の場合) を使用します。
リファレンス: VM での転送中の暗号化
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| セキュリティで保護された通信プロトコルを使用するように Windows マシンを構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するには、コンピューターで業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使用する必要があります。 TLS は、マシン間の接続を暗号化することで、ネットワーク経由の通信をセキュリティで保護します。 | AuditIfNotExists、Disabled | 4.1.1 |
DP-4: 保存データ暗号化を既定で有効にする
機能
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中のすべての顧客コンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能に関するメモ: 既定では、マネージド ディスクではプラットフォームで管理される暗号化キーが使用されます。 すべてのマネージド ディスク、スナップショット、イメージ、および既存のマネージド ディスクに書き込まれるデータは、保存時に、プラットフォーム マネージド キーを使用して自動的に暗号化されます。
構成ガイダンス: 既定のデプロイでこれが有効になっているので、追加の構成は必要ありません。
リファレンス: Azure Disk Storage のサーバー側暗号化 - プラットフォームで管理されるキー
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータのディスクは、保存時にプラットフォーム マネージド キーを使用して暗号化されます。 一時ディスク、データ キャッシュ、およびコンピューティングとストレージの間を流れているデータは暗号化されません。 次のような場合は、この推奨事項を無視してください。1. ホストでの暗号化を使用している場合。または 2. マネージド ディスクでのサーバー側暗号化がセキュリティ要件を満たしている場合。 Azure Disk Storage のサーバー側暗号化の詳細は、https://aka.ms/disksse、さまざまなディスク暗号化オファリングhttps://aka.ms/diskencryptioncomparisonを参照してください。 | AuditIfNotExists、Disabled | 2.0.3 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: Linux 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 | 既定では、仮想マシンの OS とデータ ディスクは、プラットフォーム マネージド キーを使用して保存時に暗号化されます。一時ディスクとデータ キャッシュは暗号化されません。また、データがコンピューティング リソースとストレージ リソース間でやり取りされる際には暗号化されません。 このデータをすべて暗号化するには、Azure Disk Encryption か EncryptionAtHost を使用します。暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.2.0-preview |
DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する
機能
CMK を使用した保存データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって格納される顧客コンテンツでサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: 独自のキーを使用して、各マネージド ディスクのレベルで暗号化を管理できます。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、アクセス制御をより柔軟に管理できます。
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 それらのサービスでカスタマー マネージド キーを使って、保存データ暗号化を有効にして実装します。
Virtual Machines (VM) 上の仮想ディスクは、サーバー側暗号化または Azure ディスク暗号化 (ADE) を使用して保存時に暗号化されます。 Azure Disk Encryption では、Windows の BitLocker 機能を利用して、ゲスト VM 内のカスタマー マネージド キーを使用してマネージド ディスクを暗号化します。 カスタマー マネージド キーを使用したサーバー側の暗号化では、ストレージ サービス内のデータを暗号化することで、VM に対して任意の OS の種類とイメージを使用できるため、ADE がさらに向上します。
リファレンス: Azure Disk Storage のサーバー側暗号化
DP-6: セキュア キー管理プロセスの使用
機能
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault統合がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Key Vaultを使用して、キーの生成、配布、ストレージなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合に、Azure Key Vault とサービスのキーをローテーションして取り消します。 ワークロード、サービス、またはアプリケーション レベルでカスタマー マネージド キー (CMK) を使用する必要がある場合は、キー管理のベスト プラクティスに従ってください。キー階層を使用して、キー コンテナーにキー暗号化キー (KEK) を使用して別のデータ暗号化キー (DEK) を生成します。 キーが Azure Key Vaultに登録され、サービスまたはアプリケーションのキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに持ち込む必要がある場合 (オンプレミスの HSM から Azure Key Vaultに HSM で保護されたキーをインポートする場合など)、初期キーの生成とキー転送を実行するための推奨ガイドラインに従ってください。
リファレンス: Windows VM で Azure Disk Encryption 用のキー コンテナーを作成して構成する
DP-7: セキュリティで保護された証明書管理プロセスを使用する
機能
Azure Key Vault での証明書管理
説明: このサービスでは、顧客証明書に対する Azure Key Vault統合がサポートされます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| False | 適用しない | 適用しない |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
説明: サービス構成は、Azure Policy経由で監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Policyを使用して、organizationの Windows VM と Linux VM に必要な動作を定義できます。 ポリシーを使用すると、organizationはエンタープライズ全体でさまざまな規則と規則を適用し、Azure Virtual Machinesの標準セキュリティ構成を定義して実装できます。 望ましい行動を強制することによって、組織の成功に貢献しつつ、リスクを軽減することができます。
リファレンス: Azure Virtual Machines の組み込み定義をAzure Policyする
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある | ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります | Audit、Deny、Disabled | 1.0.0 |
AM-5: 承認されたアプリケーションのみを仮想マシンで使用する
機能
クラウドのMicrosoft Defender - 適応型アプリケーション制御
説明: サービスは、Microsoft Defender for Cloud のアダプティブ アプリケーション制御を使用して、仮想マシン上で実行される顧客アプリケーションを制限できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: クラウド 適応型アプリケーション制御のMicrosoft Defenderを使用して、仮想マシン (VM) で実行されているアプリケーションを検出し、アプリケーション許可リストを生成して、承認されたアプリケーションを VM 環境で実行できるようにする必要があります。
リファレンス: 適応型アプリケーション制御を使用してマシンの攻撃対象領域を減らす
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある | アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 | AuditIfNotExists、Disabled | 3.0.0 |
ログと脅威検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
機能
サービス/製品のオファリングのための Microsoft Defender
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有のMicrosoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Defender for Servers は、Azure で実行されている Windows および Linux マシンに保護を拡張します。 Defender for Servers は、Microsoft Defender for Endpointと統合してエンドポイントの検出と対応 (EDR) を提供し、セキュリティ ベースラインと OS レベルの評価、脆弱性評価スキャン、適応型アプリケーション制御 (AAC)、ファイル整合性監視 (FIM) など、さまざまな追加の脅威保護機能を提供します。
リファレンス: Defender for Servers の展開を計画する
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| マシンで Windows Defender Exploit Guard を有効にする必要がある | Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
LT-4: セキュリティ調査のためのログを有効にする
機能
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントや Log Analytics ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Monitor は、VM の作成時に仮想マシン ホストのメトリック データの収集を自動的に開始します。 ただし、仮想マシンのゲスト オペレーティング システムからログとパフォーマンス データを収集するには、Azure Monitor エージェントをインストールする必要があります。 エージェントをインストールし、 VM insights を使用するか 、データ収集ルールを作成してコレクションを構成できます。
リファレンス: Log Analytics エージェントの概要
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
体制と脆弱性の管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 体制と脆弱性管理」を参照してください。
PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する
機能
Azure Automation State Configuration
説明: Azure Automation State Configurationを使用して、オペレーティング システムのセキュリティ構成を維持できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: オペレーティング システムのセキュリティ構成を維持するには、Azure Automation State Configurationを使用します。
リファレンス: Desired State Configurationを使用して VM を構成する
ゲスト構成エージェントのAzure Policy
説明: ゲスト構成エージェントAzure Policy、コンピューティング リソースの拡張機能としてインストールまたはデプロイできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能ノート: Azure Policyゲスト構成は、Azure Automanage Machine Configuration と呼ばれるようになりました。
構成ガイダンス: クラウド用Microsoft Defenderとゲスト構成エージェントAzure Policy使用して、VM、コンテナーなどの Azure コンピューティング リソースの構成偏差を定期的に評価して修復します。
リファレンス: Azure Automanage のマシン構成機能について
カスタム VM イメージ
説明: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定の VM イメージまたはマーケットプレースからの事前構築済みイメージの使用がサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Microsoft などの信頼できるサプライヤーから事前に構成された強化されたイメージを使用するか、目的のセキュリティで保護された構成基準を VM イメージ テンプレートに構築します
リファレンス: チュートリアル: Azure PowerShellを使用して Windows VM イメージを作成する
PV-4: コンピューティング リソースにセキュリティで保護された構成を監査して適用する
機能
トラステッド起動仮想マシン
説明: トラステッド起動では、セキュア ブート、vTPM、整合性監視などのインフラストラクチャ テクノロジを組み合わせることにより、高度で永続的な攻撃手法から保護します。 テクノロジごとに、高度な脅威に対する防御の別のレイヤーが提供されます。 トラステッド起動を使用すると、検証済みのブート ローダー、OS カーネル、ドライバーを使用して仮想マシンを安全にデプロイし、仮想マシン内のキー、証明書、シークレットを安全に保護できます。 また、トラステッド起動は、ブート チェーン全体の整合性に関する分析情報と自信を提供し、ワークロードが信頼され検証可能であることを保証します。 信頼された起動は、VM が正常な方法で起動されることをリモートで証明することで、VM が正しく構成されていることを確認するために、Microsoft Defender for Cloud と統合されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能注: 信頼された起動は、第 2 世代 VM で使用できます。 トラステッド起動を使用するには、新しい仮想マシンを作成する必要があります。 最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。
構成ガイダンス: VM のデプロイ中に、信頼された起動を有効にすることができます。 セキュア ブート、vTPM、整合性ブート監視の 3 つすべてを有効にして、仮想マシンに最適なセキュリティ体制を確保します。 Microsoft Defender for Cloud へのサブスクリプションのオンボード、特定のAzure Policyイニシアチブの割り当て、ファイアウォール ポリシーの構成など、いくつかの前提条件があることに注意してください。
リファレンス: トラステッド起動が有効になっている VM をデプロイする
PV-5: 脆弱性評価を実行する
機能
Microsoft Defenderを使用した脆弱性評価
説明: サービスは、クラウドまたは他のMicrosoft Defender サービスの埋め込み脆弱性評価機能 (サーバー、コンテナー レジストリ、App Service、SQL、DNS のMicrosoft Defenderを含む) のMicrosoft Defenderを使用して脆弱性スキャンをスキャンできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure 仮想マシンで脆弱性評価を実行するために、Microsoft Defender for Cloud の推奨事項に従います。
リファレンス: Defender for Servers の展開を計画する
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
PV-6: 脆弱性を迅速かつ自動的に修復する
機能
Azure Automation の Update Management
説明: サービスでは、Azure Automation Update Management を使用して、パッチと更新プログラムを自動的に展開できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Automation Update Management またはサードパーティ ソリューションを使用して、最新のセキュリティ更新プログラムが Windows VM にインストールされていることを確認します。 Windows VM については、Windows Update が有効になっていて、自動的に更新するよう設定されていることを確認します。
リファレンス: VM の更新プログラムとパッチを管理する
Azure ゲストパッチサービス
説明: サービスでは、Azure ゲストパッチ適用を使用してパッチと更新プログラムを自動的にデプロイできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: サービスは、 OS イメージの自動アップグレード や ゲスト修正プログラムの自動適用など、さまざまな更新メカニズムを利用できます。 この機能は、安全な展開の原則に従って、仮想マシンのゲスト OS に最新のセキュリティと重要な更新プログラムを適用することをお勧めします。
ゲストの自動修正プログラムを適用すると、毎月リリースされる重大およびセキュリティ更新プログラムに対するセキュリティ コンプライアンスを維持するために、Azure 仮想マシンを自動的に評価および更新できます。 更新は、可用性セット内の VM を含め、オフピーク時に適用されます。 この機能は VMSS フレキシブル オーケストレーションで使用でき、今後の Uniform Orchestration のロードマップのサポートが提供されます。
ステートレス ワークロードを実行する場合、OS イメージの自動アップグレードは、VMSS Uniform に最新の更新プログラムを適用するのに最適です。 ロールバック機能を使用すると、これらの更新プログラムは Marketplace またはカスタム イメージと互換性があります。 フレキシブル オーケストレーションのロードマップに関する今後のローリング アップグレードのサポート。
リファレンス: Azure VM の VM ゲストパッチの自動適用
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| システム更新プログラムをマシンにインストールする必要がある | 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 4.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) | お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists、Disabled | 1.0.0-preview |
エンドポイントのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: エンドポイント セキュリティ」を参照してください。
ES-1:エンドポイントでの検出と対応 (EDR) を使用する
機能
EDR ソリューション
説明: Azure Defender for servers などのエンドポイント検出と応答 (EDR) 機能をエンドポイントにデプロイできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Defender for servers (Microsoft Defender for Endpoint統合) は、高度な脅威を防止、検出、調査、対応するための EDR 機能を提供します。 Microsoft Defender for Cloud を使用して、エンドポイントのためにサーバー用 Azure Defender をデプロイし、アラートを Azure Sentinel などの SIEM ソリューションに統合します。
リファレンス: Defender for Servers の展開を計画する
ES-2: 最新のマルウェア対策ソフトウェアを使用する
機能
マルウェア対策ソリューション
説明: Microsoft Defenderウイルス対策、Microsoft Defender for Endpointなどのマルウェア対策機能をエンドポイントにデプロイできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Windows Server 2016以降の場合、ウイルス対策のMicrosoft Defenderは既定でインストールされます。 Windows Server 2012 R2 以降の場合、お客様は SCEP (System Center Endpoint Protection) をインストールできます。 また、お客様はサードパーティのマルウェア対策製品をインストールすることもできます。
リファレンス: Defender for Endpoint のオンボード Windows Server
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする
機能
マルウェア対策ソリューションの正常性の監視
説明: マルウェア対策ソリューションは、プラットフォーム、エンジン、および自動署名更新プログラムの正常性状態の監視を提供します。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
機能に関するメモ: セキュリティ インテリジェンスと製品の更新プログラムは、Windows VM にインストールできる Defender for Endpoint に適用されます。
構成ガイダンス: マルウェア対策ソリューションを構成して、プラットフォーム、エンジン、署名が迅速かつ一貫して更新され、その状態を監視できるようにします。
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.ClassicCompute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちら https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions を参照してください。 エンドポイント保護の評価については、こちら https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと回復」を参照してください。
BR-1:定期的な自動バックアップを保証する
機能
Azure Backup
説明: サービスは、Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | Customer |
構成ガイダンス: Azure Backupを有効にし、必要な保持期間でバックアップ ソース (Azure Virtual Machines、SQL Server、HANA データベース、ファイル共有など) を構成します。 Azure Virtual Machinesでは、Azure Policyを使用して自動バックアップを有効にすることができます。
リファレンス: Azure の仮想マシンのバックアップと復元のオプション
Microsoft Defender for Cloud による監視
Azure Policy 組み込み定義 - Microsoft.Compute:
| 名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
|---|---|---|---|
| 仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
次のステップ
- Microsoft クラウド セキュリティ ベンチマークの概要を参照してください
- Azure セキュリティ ベースラインの詳細について学習する