次の方法で共有


Azure Arc 対応サーバー用の Azure Policy 規制コンプライアンス コントロール

Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページには、Azure Arc 対応サーバー用のコンプライアンス ドメインセキュリティ コントロールが表示されます。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。

各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。

重要

各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。

Australian Government ISM PROTECTED

すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Australian Government ISM PROTECTED に関するページを参照してください。 このコンプライアンス基準の詳細については、Australian Government ISM PROTECTED に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 415 ユーザー ID - 415 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 421 単一要素認証 - 421 Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある 3.0.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 445 システムへの特権アクセス - 445 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
暗号のガイドライン - トランスポート層セキュリティ 1139 トランスポート層セキュリティの使用 - 1139 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
データベース システムのガイドライン - データベース サーバー 1277 データベース サーバーと Web サーバー間の通信 - 1277 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1503 システムへの標準アクセス - 1503 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1507 システムへの特権アクセス - 1507 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1508 システムへの特権アクセス - 1508 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 1546 システムに対する認証 - 1546 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 1546 システムに対する認証 - 1546 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0

カナダ連邦の PBMM

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - カナダ連邦 PBMM に関する記事をご覧ください。 このコンプライアンス標準の詳細については、カナダ連邦 PBMM に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC-5 職務の分離 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 AC-5 職務の分離 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
アクセス制御 AC-6 最小限の特権 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 AC-6 最小限の特権 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
アクセス制御 AC-17(1) リモート アクセス | 自動監視/制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
システムと通信の保護 SC-8(1) 送信の機密性と整合性 | 暗号化または代替の物理的保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1

CIS Microsoft Azure Foundations Benchmark 2.0.0

すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v2.0.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
2.1 2.1.13 [システム更新プログラムの適用] 状態の Microsoft Defender レコメンデーションが [完了] になっていることを確認する 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある 3.7.0

CMMC レベル 3

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
アクセス制御 AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.2.008 セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。 Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある 3.0.0
アクセス制御 AC.2.008 セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。 Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.2.013 リモート アクセス セッションの監視および制御を行う。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC.2.013 リモート アクセス セッションの監視および制御を行う。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.2.016 承認された認可に従って CUI のフローを制御する。 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.3.017 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 AC.3.017 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
アクセス制御 AC.3.018 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある 3.0.0
アクセス制御 AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある 3.0.0
構成管理 CM.2.061 それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 CM.2.062 不可欠な機能だけを提供するように組織のシステムを構成して最小限の機能の原則を採用する。 Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある 3.0.0
構成管理 CM.2.063 ユーザーがインストールしたソフトウェアの制御および監視を行う。 Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある 3.0.0
構成管理 CM.2.064 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
構成管理 CM.2.065 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある 3.0.0
識別と認証 IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
識別と認証 IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 IA.2.081 暗号で保護されたパスワードのみを格納して送信する。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA.2.081 暗号で保護されたパスワードのみを格納して送信する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 IA.3.084 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
システムと通信の保護 SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
システムと通信の保護 SC.3.177 CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
システムと通信の保護 SC.3.181 ユーザー機能をシステム管理機能から分離する。 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
システムと通信の保護 SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
システムと通信の保護 SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
システムと通信の保護 SC.3.185 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC.3.190 通信セッションの信頼性を保護する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1

FedRAMP High

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC-3 アクセスの適用 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 AC-3 アクセスの適用 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
アクセス制御 AC-17 リモート アクセス パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 (1) 自動監視/制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
構成管理 CM-6 構成設定 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 CM-6 構成設定 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
識別と認証 IA-5 認証子の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 認証子の管理 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
識別と認証 IA-5 (1) パスワードベースの認証 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
リスク評価 RA-5 脆弱性のスキャン マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
システムと通信の保護 SC-3 セキュリティ機能の分離 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと通信の保護 SC-8 送信の機密性と整合性 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-8 (1) 暗号化または代替の物理的保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと情報の整合性 SI-3 悪意のあるコードからの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-3 (1) 中央管理 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 SI-16 メモリの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0

FedRAMP Moderate

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC-3 アクセスの適用 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 AC-3 アクセスの適用 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
アクセス制御 AC-17 リモート アクセス パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 (1) 自動監視/制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
構成管理 CM-6 構成設定 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 CM-6 構成設定 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
識別と認証 IA-5 認証子の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 認証子の管理 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
識別と認証 IA-5 (1) パスワードベースの認証 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
リスク評価 RA-5 脆弱性のスキャン マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
システムと通信の保護 SC-8 送信の機密性と整合性 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-8 (1) 暗号化または代替の物理的保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと情報の整合性 SI-3 悪意のあるコードからの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-3 (1) 中央管理 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 SI-16 メモリの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0

HIPAA HITRUST 9.2

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - HIPAA HITRUST 9.2 に関するページを参照してください。 このコンプライアンス標準の詳細については、HIPAA HITRUST 9.2 に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
ユーザーの識別と認証 11210.01q2Organizational.10 - 01.q 電子記録に対して実行される電子署名および手書き署名は、それぞれの電子記録にリンクされている必要があります。 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
ユーザーの識別と認証 11211.01q2Organizational.11 - 01.q 署名された電子記録には、人が判読できる形式の署名に関連付けられた情報が含まれている必要があります。 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
06 構成管理 0605.10h1System.12-10.h 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある 3.0.0
06 構成管理 0605.10h1System.12-10.h 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある 3.0.0
06 構成管理 0635.10k1Organizational.12-10.k 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0636.10k2Organizational.1-10.k 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0637.10k2Organizational.2-10.k 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0638.10k2Organizational.34569-10.k 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0639.10k2Organizational.78-10.k 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0640.10k2Organizational.1012-10.k 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0641.10k2Organizational.11-10.k 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0642.10k3Organizational.12-10.k 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0643.10k3Organizational.3-10.k 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0644.10k3Organizational.4-10.k 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
07 脆弱性の管理 0709.10m1Organizational.1-10.m 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある 3.0.0
08 ネットワーク保護 0858.09m1Organizational.4-09.m 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある 3.0.0
08 ネットワーク保護 0861.09m2Organizational.67-09.m 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
09 伝送保護 0945.09y1Organizational.3-09.y 0945.09y1Organizational.3-09.y 09.09 電子商取引サービス 指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する 3.0.0
11 アクセスの制御 1123.01q1System.2-01.q 1123.01q1System.2-01.q 01.05 オペレーティング システム アクセス制御 Administrators グループに余分なアカウントがある Windows マシンを監査する 2.0.0
11 アクセスの制御 1125.01q2System.1-01.q 1125.01q2System.1-01.q 01.05 オペレーティング システム アクセス制御 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
11 アクセスの制御 1127.01q2System.3-01.q 1127.01q2System.3-01.q 01.05 オペレーティング システム アクセス制御 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
11 アクセスの制御 1148.01c2System.78-01.c 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある 3.0.0
12 監査ログと監視 12102.09ab1Organizational.4-09.ab 12102.09ab1Organizational.4-09.ab 09.10 監視 Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する 2.0.0
12 監査ログと監視 1217.09ab3System.3-09.ab 1217.09ab3System.3-09.ab 09.10 監視 Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する 2.0.0
12 監査ログと監視 1232.09c3Organizational.12-09.c 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある 3.0.0
12 監査ログと監視 1277.09c2Organizational.4-09.c 1277.09c2Organizational.4-09.c 09.01 文書化された業務手順 Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある 3.0.0
16 ビジネス継続性およびディザスター リカバリー 1637.12b2Organizational.2-12.b 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある 3.0.0

IRS 1075 (2016 年 9 月)

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - IRS 1075 (2016 年 9 月) に関する記事をご覧ください。 このコンプライアンス標準の詳細については、IRS 1075 (2016 年 9 月) に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 9.3.1.12 リモート アクセス (AC-17) パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 9.3.1.5 職務の分離 (AC-5) Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 9.3.1.5 職務の分離 (AC-5) Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
アクセス制御 9.3.1.6 最小限の特権 (AC-6) Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 9.3.1.6 最小限の特権 (AC-6) Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
システムと通信の保護 9.3.16.6 送信の機密性と整合性 (SC-8) Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
識別と認証 9.3.7.5 認証子の管理 (IA-5) passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0

ISO 27001:2013

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - ISO 27001:2013 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、ISO 27001:2013 に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
暗号化 10.1.1 暗号化コントロールの使用に関するポリシー 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
アクセス制御 9.1.2 ネットワークおよびネットワーク サービスへのアクセス パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 9.1.2 ネットワークおよびネットワーク サービスへのアクセス パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 9.2.4 ユーザーのシークレット認証情報の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
アクセス制御 9.4.3 パスワード管理システム 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
アクセス制御 9.4.3 パスワード管理システム パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
アクセス制御 9.4.3 パスワード管理システム パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
アクセス制御 9.4.3 パスワード管理システム パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
アクセス制御 9.4.3 パスワード管理システム パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0

Microsoft クラウド セキュリティ ベンチマーク

Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。

すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
ID 管理 IM-6 強力な認証制御を使用する Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
データ保護 DP-3 転送中の機密データを暗号化する Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
ログと脅威検出 LT-1 脅威検出機能を有効にする マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
ログと脅威検出 LT-2 ID およびアクセス管理の脅威検出を有効にする マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
ログと脅威検出 LT-5 セキュリティ ログの管理と分析を一元化する [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
ログと脅威検出 LT-5 セキュリティ ログの管理と分析を一元化する [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
体制と脆弱性の管理 PV-6 脆弱性を迅速かつ自動的に修復する 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある 3.7.0
体制と脆弱性の管理 PV-6 脆弱性を迅速かつ自動的に修復する マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
体制と脆弱性の管理 PV-6 脆弱性を迅速かつ自動的に修復する システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) 1.0.1
エンドポイント セキュリティ ES-2 最新のマルウェア対策ソフトウェアを使用する マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0

NIST SP 800-171 R2

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。

[ドメイン] コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
アクセス制御 3.1.12 リモート アクセス セッションの監視および制御を行う。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 3.1.4 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 3.1.4 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
リスク評価 3.11.2 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
リスク評価 3.11.3 リスク評価に従って脆弱性を修復する。 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
システムと通信の保護 3.13.8 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと情報の整合性 3.14.1 システムの欠陥を適切なタイミングで特定、報告、修正する。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 3.14.2 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 3.14.4 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 3.14.5 組織のシステムの定期的なスキャンを実行すると共に、外部ソースからのファイルのリアルタイム スキャンを、ファイルがダウンロードされる、開かれる、または実行されるときに行う。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 3.14.6 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 3.14.6 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 3.14.7 組織のシステムの不正使用を特定する。 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 3.14.7 組織のシステムの不正使用を特定する。 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ 3.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ 3.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ 3.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ 3.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
構成管理 3.4.1 それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 3.4.1 それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
構成管理 3.4.2 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 3.4.2 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
識別と認証 3.5.10 暗号で保護されたパスワードのみを格納して送信する。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 3.5.10 暗号で保護されたパスワードのみを格納して送信する。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 3.5.10 暗号で保護されたパスワードのみを格納して送信する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 3.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 3.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 3.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
識別と認証 3.5.4 特権および非特権アカウントによるネットワーク アクセスに、リプレイ耐性のある認証メカニズムを採用する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 3.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 3.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 3.5.8 指定された生成回数についてパスワードの再利用を禁止する。 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0

NIST SP 800-53 Rev. 4

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。

[ドメイン] コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC-3 アクセスの適用 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 AC-3 アクセスの適用 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
アクセス制御 AC-17 リモート アクセス パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 (1) 自動監視/制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
構成管理 CM-6 構成設定 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 CM-6 構成設定 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
識別と認証 IA-5 認証子の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 認証子の管理 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
識別と認証 IA-5 (1) パスワードベースの認証 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
リスク評価 RA-5 脆弱性のスキャン マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
システムと通信の保護 SC-3 セキュリティ機能の分離 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと通信の保護 SC-8 送信の機密性と整合性 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-8 (1) 暗号化または代替の物理的保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと情報の整合性 SI-3 悪意のあるコードからの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-3 (1) 中央管理 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 SI-16 メモリの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0

NIST SP 800-53 Rev. 5

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC-3 アクセスの適用 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 AC-3 アクセスの適用 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
アクセス制御 AC-17 リモート アクセス パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 (1) 監視および制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-6 (5) 監査レコードの統合分析 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-6 (5) 監査レコードの統合分析 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 監査レコードの生成 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 監査レコードの生成 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 (1) システム全体および時間相関の監査証跡 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査とアカウンタビリティ AU-12 (1) システム全体および時間相関の監査証跡 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
構成管理 CM-6 構成設定 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 CM-6 構成設定 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
識別と認証 IA-5 認証子の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 認証子の管理 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
識別と認証 IA-5 (1) パスワードベースの認証 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
リスク評価 RA-5 脆弱性の監視とスキャン マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
システムと通信の保護 SC-3 セキュリティ機能の分離 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと通信の保護 SC-8 送信の機密性と整合性 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-8 (1) 暗号化による保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと情報の整合性 SI-3 悪意のあるコードからの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-4 システム監視 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 SI-4 システム監視 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
システムと情報の整合性 SI-16 メモリの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0

NL BIO Cloud Theme

すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。

[ドメイン] コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
C.04.3 技術的な脆弱性の管理 - タイムライン C.04.3 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
C.04.6 技術的な脆弱性の管理 - タイムライン C.04.6 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
C.04.7 技術的な脆弱性の管理 - 評価済み C.04.7 技術的な脆弱性の評価が記録され、報告されます。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
U.05.1 データ保護 - 暗号化対策 U.05.1 データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
U.09.3 マルウェア対策 - 検出、防止、回復 U.09.3 マルウェア保護はさまざまな環境で実行されます。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
U.10.2 IT サービスとデータへのアクセス - ユーザー U.10.2 CSP の責任の下、アクセス権が管理者に付与されます。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
U.10.2 IT サービスとデータへのアクセス - ユーザー U.10.2 CSP の責任の下、アクセス権が管理者に付与されます。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
U.10.3 IT サービスとデータへのアクセス - ユーザー U.10.3 IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
U.10.3 IT サービスとデータへのアクセス - ユーザー U.10.3 IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
U.10.5 IT サービスとデータへのアクセス - 適格 U.10.5 IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
U.10.5 IT サービスとデータへのアクセス - 適格 U.10.5 IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
U.11.1 暗号化サービス - ポリシー U.11.1 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
U.11.1 暗号化サービス - ポリシー U.11.1 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
U.11.2 暗号化サービス - 暗号化対策 U.11.2 PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
U.11.2 暗号化サービス - 暗号化対策 U.11.2 PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
U.15.1 ログ記録と監視 - イベントの記録 U.15.1 ポリシー規則の違反は、CSP と CSC によって記録されます。 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
U.15.1 ログ記録と監視 - イベントの記録 U.15.1 ポリシー規則の違反は、CSP と CSC によって記録されます。 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview

PCI DSS 3.2.1

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS 3.2.1 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、PCI DSS 3.2.1 を参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
要件 8 8.2.3 PCI DSS 要件 8.2.3 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
要件 8 8.2.3 PCI DSS 要件 8.2.3 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
要件 8 8.2.3 PCI DSS 要件 8.2.3 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
要件 8 8.2.5 PCI DSS 要件 8.2.5 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
要件 8 8.2.5 PCI DSS 要件 8.2.5 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
要件 8 8.2.5 PCI DSS 要件 8.2.5 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0

PCI DSS v4.0

すべての Azure サービスに対して使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS v4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「PCI DSS v4.0」をご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する 8.3.6 ユーザーと管理者の強力な認証が確立され、管理されている 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する 8.3.6 ユーザーと管理者の強力な認証が確立され、管理されている パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する 8.3.6 ユーザーと管理者の強力な認証が確立され、管理されている パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0

インド準備銀行 - NBFC 向けの IT フレームワーク

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 ここのコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
IT ガバナンス 1 IT ガバナンス-1 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
情報とサイバーセキュリティ 3.3 脆弱性の管理-3.3 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0

インド準備銀行の銀行向けの IT フレームワーク v2016

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
監査ログのメンテナンス、監視、および分析 監査ログのメンテナンス、監視、および分析-16.2 [プレビュー]: Log Analytics 拡張機能は Linux Azure Arc マシンにインストールする必要がある 1.0.1-preview
監査ログのメンテナンス、監視、および分析 監査ログのメンテナンス、監視、および分析-16.2 [プレビュー]: Log Analytics 拡張機能は Windows Azure Arc マシンにインストールする必要がある 1.0.1-preview
顧客向けの認証フレームワーク 顧客向けの認証フレームワーク-9.1 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
監査ログの設定 監査ログの設定-17.1 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
承認されていないソフトウェアの実行の防止 セキュリティ更新プログラムの管理-2.3 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
セキュリティで保護された構成 セキュリティで保護された構成-5.1 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
メールおよびメッセージング システムのセキュリティ保護 メールおよびメッセージング システムのセキュリティ保護-10.1 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
監査ログの設定 監査ログの設定-17.1 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0

スペイン ENS

すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、Spain ENS に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CCN-STIC 884 に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
保護対策 mp.com.1 通信の保護 Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある 3.0.0
保護対策 mp.com.3 通信の保護 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
運用フレームワーク op.acc.1 アクセス制御 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
運用フレームワーク op.acc.2 アクセス制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
運用フレームワーク op.acc.2 アクセス制御 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
運用フレームワーク op.acc.2 アクセス制御 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
運用フレームワーク op.acc.2 アクセス制御 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
運用フレームワーク op.acc.2 アクセス制御 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
運用フレームワーク op.acc.2 アクセス制御 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
運用フレームワーク op.acc.2 アクセス制御 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
運用フレームワーク op.acc.5 アクセス制御 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
運用フレームワーク op.acc.6 アクセス制御 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
運用フレームワーク op.exp.1 操作 [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けされるように Linux Arc 対応マシンを構成する 1.0.0-preview
運用フレームワーク op.exp.1 操作 [プレビュー]: ChangeTracking と Inventory 用に AMA をインストールするように Linux Arc 対応マシンを構成する 1.3.0-preview
運用フレームワーク op.exp.1 操作 [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けされるように Windows Arc 対応マシンを構成する 1.0.0-preview
運用フレームワーク op.exp.1 操作 [プレビュー]: ChangeTracking と Inventory 用に AMA をインストールするように Windows Arc 対応マシンを構成する 1.0.0-preview
運用フレームワーク op.exp.10 操作 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
運用フレームワーク op.exp.2 操作 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.exp.2 操作 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
運用フレームワーク op.exp.3 操作 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.exp.3 操作 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
運用フレームワーク op.exp.4 操作 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.exp.4 操作 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
運用フレームワーク op.exp.5 操作 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.exp.5 操作 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
運用フレームワーク op.exp.6 操作 Microsoft Defender for SQL を自動的にインストールするように Arc 対応 SQL Server を構成する 1.2.0
運用フレームワーク op.exp.6 操作 Log Analytics ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように Arc 対応 SQL Server を構成する 1.5.0
運用フレームワーク op.exp.6 操作 ユーザー定義の LA ワークスペースを使用して Microsoft Defender for SQL と DCR を自動的にインストールするように Arc 対応 SQL Server を構成する 1.7.0
運用フレームワーク op.exp.6 操作 Microsoft Defender for SQL DCR へのデータ収集ルールの関連付けを使用して Arc 対応 SQL Server を構成する 1.1.0
運用フレームワーク op.exp.6 操作 Microsoft Defender for SQL ユーザー定義 DCR へのデータ収集ルールの関連付けを使用して Arc 対応 SQL Server を構成する 1.3.0
運用フレームワーク op.exp.6 操作 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.exp.6 操作 SMicrosoft Defender for SQL Log Analytics ワークスペースを構成する 1.4.0
運用フレームワーク op.exp.6 操作 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
運用フレームワーク op.exp.6 操作 Windows マシンで 1 日以内に保護署名を更新するように Windows Defender を構成する必要がある 1.0.1
運用フレームワーク op.exp.6 操作 Windows マシンで Windows Defender リアルタイム保護を有効にする必要がある 1.0.1
運用フレームワーク op.ext.4 外部リソース パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
運用フレームワーク op.ext.4 外部リソース パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
運用フレームワーク op.mon.1 システム監視 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
運用フレームワーク op.mon.3 システム監視 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.mon.3 システム監視 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0

SWIFT CSP-CSCF v2021

すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2021 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2021」を参照してください。

[ドメイン] コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
攻撃面と脆弱性の減少 2.1 内部 データ フロー セキュリティ Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
攻撃面と脆弱性の減少 2.1 内部 データ フロー セキュリティ Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
攻撃面と脆弱性の減少 2.2 セキュリティ更新プログラム 再起動が保留中の Windows VM の監査 2.0.0
攻撃面と脆弱性の減少 2.3 システムのセキュリティ強化 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
攻撃面と脆弱性の減少 2.3 システムのセキュリティ強化 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する 2.0.0
攻撃面と脆弱性の減少 2.3 システムのセキュリティ強化 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
攻撃面と脆弱性の減少 2.4A バックオフィス Data Flow セキュリティ Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
攻撃面と脆弱性の減少 2.4A バックオフィス Data Flow セキュリティ Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
攻撃面と脆弱性の減少 2.6 オペレーター セッションの機密性と整合性 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
資格情報の侵害を防止する 4.1 パスワード ポリシー 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
ID の管理と特権の分離 5.4 物理および論理パスワードの保存 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0

SWIFT CSP-CSCF v2022

すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2022 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2022」を参照してください。

ドメイン コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
2.攻撃面と脆弱性を減らす 2.1 ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
2.攻撃面と脆弱性を減らす 2.1 ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
2.攻撃面と脆弱性を減らす 2.2 ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑えます。 再起動が保留中の Windows VM の監査 2.0.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する 2.0.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
2.攻撃面と脆弱性を減らす 2.4A バックオフィス Data Flow セキュリティ Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
2.攻撃面と脆弱性を減らす 2.4A バックオフィス Data Flow セキュリティ Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
2.攻撃面と脆弱性を減らす 2.6 ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
2.攻撃面と脆弱性を減らす 2.6 ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある 3.0.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
5.ID の管理と特権の分離 5.1 オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する 2.0.0
5.ID の管理と特権の分離 5.4 記録されたパスワードのリポジトリを物理的および論理的に保護する。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0

System and Organization Controls (SOC) 2

すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、System and Organization Controls (SOC) 2 についての Azure Policy の規制コンプライアンスの詳細に関するページを参照してください。 このコンプライアンス標準の詳細については、「System and Organization Controls (SOC) 2」を参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
論理アクセス制御と物理アクセス制御 CC6.1 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
論理アクセス制御と物理アクセス制御 CC6.1 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
論理アクセス制御と物理アクセス制御 CC6.6 システム境界外の脅威に対するセキュリティ対策 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
論理アクセス制御と物理アクセス制御 CC6.6 システム境界外の脅威に対するセキュリティ対策 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
論理アクセス制御と物理アクセス制御 CC6.7 承認されたユーザーへの情報の移動を制限する Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
システムの操作 CC7.2 システム コンポーネントの異常な動作を監視する マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0

UK OFFICIAL および UK NHS

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - UK OFFICIAL および UK NHS に関する記事をご覧ください。 このコンプライアンス標準の詳細については、UK OFFICIAL に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
転送中のデータの保護 1 転送中のデータの保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
ID と認証 10 ID と認証 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
ID と認証 10 ID と認証 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
ID と認証 10 ID と認証 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
ID と認証 10 ID と認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
ID と認証 10 ID と認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
ID と認証 10 ID と認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
ID と認証 10 ID と認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
ID と認証 10 ID と認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0

次のステップ