Azure API Management 用の Azure Policy 規制コンプライアンス コントロール
適用対象: すべての API Management レベル
Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure API Management 用のコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
---|---|---|---|---|
アクセス制御 | AC-4 | 情報フローの適用 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | SC-7 | 境界保護 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | SC-7 (3) | アクセス ポイント | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
---|---|---|---|---|
アクセス制御 | AC-4 | 情報フローの適用 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | SC-7 | 境界保護 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | SC-7 (3) | アクセス ポイント | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。
Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
---|---|---|---|---|
ネットワークのセキュリティ | NS-2 | ネットワーク制御を使用してクラウド サービスをセキュリティで保護する | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
ネットワークのセキュリティ | NS-2 | ネットワーク制御を使用してクラウド サービスをセキュリティで保護します | API Management ではサービス構成エンドポイントへの公衆ネットワーク アクセスを無効にする必要がある | 1.0.1 |
ID 管理 | IM-4 | サーバーとサービスを認証する | Azure API Management の API エンドポイントを認証する必要がある | 1.0.1 |
ID 管理 | IM-4 | サーバーとサービスを認証する | API Management から API バックエンドへの呼び出しは認証する必要がある | 1.0.1 |
ID 管理 | IM-4 | サーバーとサービスを認証する | API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない | 1.0.2 |
ID 管理 | IM-8 | I資格情報とシークレットの公開を制限する | API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある | 1.0.1 |
ID 管理 | IM-8 | I資格情報とシークレットの公開を制限する | API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 1.0.2 |
特権アクセス | PA-7 | Just Enough Administration (最小限の特権) の原則に従う | API Management サブスクリプションのスコープをすべての API に限定することはできない | 1.1.0 |
データ保護 | DP-3 | 転送中の機密データを暗号化する | API Management の API では暗号化されたプロトコルのみを使用する必要がある | 2.0.2 |
データ保護 | DP-6 | セキュリティで保護されたキー管理プロセスを使用する | API Management のシークレット名付きの値は Azure Key Vault に保存する必要がある | 1.0.2 |
AM-2 | 承認済みのサービスのみを使用する | Azure API Management プラットフォームのバージョンは stv2 である必要がある | 1.0.0 | |
AM-3 | アセット ライフサイクル管理のセキュリティを確保する | 使用されていない API エンドポイントは、無効にし、Azure API Management サービスから削除する必要があります | 1.0.1 | |
体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | API Management の直接管理エンドポイントを有効にしてはならない | 1.0.2 |
体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | API Management の最小 API バージョンは 2019-12-01 以上に設定する必要がある | 1.0.1 |
体制と脆弱性の管理 | PV-2 | セキュリティで保護された構成を監査して適用する | Azure API Management プラットフォームのバージョンは stv2 である必要がある | 1.0.0 |
NIST SP 800-171 R2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
[ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
---|---|---|---|---|
アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
NIST SP 800-53 Rev. 4
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
[ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
---|---|---|---|---|
アクセス制御 | AC-4 | 情報フローの適用 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | SC-7 | 境界保護 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | SC-7 (3) | アクセス ポイント | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
---|---|---|---|---|
アクセス制御 | AC-4 | 情報フローの適用 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | SC-7 | 境界保護 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
システムと通信の保護 | SC-7 (3) | アクセス ポイント | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
NL BIO Cloud Theme
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
[ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
---|---|---|---|---|
U.07.1 データ分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
インド準備銀行の銀行向けの IT フレームワーク v2016
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
---|---|---|---|---|
パッチまたは脆弱性と変更管理 | パッチまたは脆弱性と変更管理-7.7 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
RMIT マレーシア
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RMIT マレーシアに関する記事をご覧ください。 このコンプライアンス標準の詳細については、RMIT マレーシア に関するドキュメントをご覧ください。
Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
---|---|---|---|---|
ネットワークの回復性 | 10.33 | ネットワークの回復性 - 10.33 | API Management サービスには仮想ネットワークが使用されている必要がある | 1.0.2 |
次のステップ
- Azure Policy の規制コンプライアンスの詳細を確認します。
- Azure Policy GitHub リポジトリのビルトインを参照します。