Australian Government ISM PROTECTED ブループリント サンプルのコントロール マッピング
重要
2026 年 7 月 11 日に、Blueprints (プレビュー) は非推奨になります。 既存のブループリントの定義と割り当てを Template Specs とデプロイ スタックに移行します。 ブループリント アーティファクトは、デプロイ スタックの定義に使用される ARM JSON テンプレートまたは Bicep ファイルに変換されます。 アーティファクトを ARM リソースとして作成する方法については、次を参照してください。
以下の記事は、Azure Blueprints Australian Government ISM PROTECTED ブループリント サンプルが ISM PROTECTED コントロールにどのようにマップされているかを詳しく説明したものです。 コントロールについて詳しくは、ISM PROTECTED に関するページを参照してください。
以下のマッピングは、ISM PROTECTED コントロールに対するものです。 右側のナビゲーションを使用すると、特定のコントロール マッピングに直接ジャンプできます。 マップ コントロールの多くは、Azure Policy イニシアチブを使用して実装されますす。 イニシアチブの詳細を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、"[プレビュー]: 監査要件をサポートするため、Australian Government ISM PROTECTED コントロールを監査し、特定の VM 拡張機能をデプロイする" ビルトイン ポリシー イニシアチブを探して選択します。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス ブループリント サンプルのコントロールと Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
場所の制約
このブループリントは、以下の Azure Policy 定義を割り当てることによって、すべてのリソースとリソース グループをデプロイする場所を "オーストラリア中部"、"オーストラリア中部 2"、"オーストラリア東部"、"オーストラリア南東部" に制限するのに役立ちます。
- 許可されている場所 ("オーストラリア中部"、"オーストラリア中部 2"、"オーストラリア東部"、"オーストラリア南東部" にハードコーディングされている)
- リソース グループに許可された場所 ("オーストラリア中部"、"オーストラリア中部 2"、"オーストラリア東部"、"オーストラリア南東部" にハードコーディングされている)
人的セキュリティのガイドライン - システムとそのリソースへのアクセス
0414 システムとそのリソースへのアクセスが許可されている担当者が一意に識別できる
- サブスクリプションで所有者アクセス許可を持つアカウントに対して MFA を有効にする必要がある
- サブスクリプションに対する書き込みアクセス許可を持つアカウントに対して MFA を有効にする必要がある
- サブスクリプションに対する読み取りアクセス許可を持つアカウントに対して MFA を有効にする必要がある
1503 システム、アプリケーション、データ リポジトリへの標準アクセスが、担当者がその職務を遂行するうえで必要なものに制限されている
- 最大 3 人の所有者をサブスクリプションに対して指定する必要がある
- 複数の所有者がサブスクリプションに割り当てられている必要がある
- 指定されたメンバーのいずれかが Administrators グループに含まれている Windows VM からの監査結果を表示する
- 指定されたメンバーのいずれかが Administrators グループに含まれている Windows VM を監査する前提条件をデプロイする
1507 システム、アプリケーション、データ リポジトリへの特権アクセスが初回要求時に検証され、なおかつ年 1 回またはそれ以上の頻度で再検証される
- 指定されたメンバーのいずれかが Administrators グループに含まれている Windows VM からの監査結果を表示する
- 指定されたメンバーのいずれかが Administrators グループに含まれている Windows VM を監査する前提条件をデプロイする
1508 システム、アプリケーション、データ リポジトリへの特権アクセスが、担当者がその職務を遂行するうえで必要なものに制限されている
- 最大 3 人の所有者をサブスクリプションに対して指定する必要がある
- 複数の所有者がサブスクリプションに割り当てられている必要がある
- 指定されたメンバーのいずれかが Administrators グループに含まれている Windows VM からの監査結果を表示する
- 指定されたメンバーのいずれかが Administrators グループに含まれている Windows VM を監査する前提条件をデプロイする
- 仮想マシンで Just-In-Time ネットワーク アクセス制御を適用する必要がある
0415 共有ユーザー アカウントの使用が厳しく管理され、そのようなアカウントを使用する担当者を一意に識別できる
- 指定されたメンバーのいずれかが Administrators グループに含まれている Windows VM からの監査結果を表示する
- 指定されたメンバーのいずれかが Administrators グループに含まれている Windows VM を監査する前提条件をデプロイする
0445 特権アクセスを必要とするタスクにのみ使用される専用の特権アカウントが特権ユーザーに割り当てられている
- 指定されたメンバーのいずれかが Administrators グループに含まれている Windows VM からの監査結果を表示する
- 指定されたメンバーのいずれかが Administrators グループに含まれている Windows VM を監査する前提条件をデプロイする
0430 アクセスへの正当な要件を担当者が失ったその日に、システム、アプリケーション、データ リポジトリへのアクセスが削除または一時停止される
- 非推奨のアカウントをサブスクリプションから削除する必要がある
- 所有者としてのアクセス許可を持つ非推奨のアカウントをサブスクリプションから削除する必要がある
0441 システムへの一時的なアクセス権が担当者に付与される際、その職務を遂行するうえで必要な情報のみにアクセスを制限するための効果的なセキュリティ コントロールが導入される
- 所有者アクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある
- 書き込みアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある
- 非推奨のアカウントをサブスクリプションから削除する必要がある
- 所有者としてのアクセス許可を持つ非推奨のアカウントをサブスクリプションから削除する必要がある
システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化
1407 標準オペレーティング環境 (SOE) にオペレーティング システムの最新バージョン (N) または N-1 バージョンが使用されている
- システム更新プログラムをマシンにインストールする必要がある
- 仮想マシン スケール セットにシステムの更新プログラムをインストールする必要がある
0380 不要なオペレーティング システム アカウント、ソフトウェア、コンポーネント、サービス、機能が削除されるか無効にされている
- 非推奨のアカウントをサブスクリプションから削除する必要がある
- 所有者としてのアクセス許可を持つ非推奨のアカウントをサブスクリプションから削除する必要がある
1490 実行可能ファイル、ソフトウェア ライブラリ、スクリプト、インストーラーの実行を承認済みのセットに制限するために、アプリケーション許可リスト登録ソリューションがすべてのサーバーに実装されている
- 適応型アプリケーション制御を仮想マシンで有効にする必要がある
1417 ワークステーションおよびサーバーにウイルス対策ソフトウェアが実装され、必要な構成が済んでいる (シグネチャベースの検出が有効で高レベルに設定されていること、ヒューリスティックベースの検出が有効で高レベルに設定されていること、検出シグネチャが最新であるかどうかがチェックされ、少なくとも 1 日に 1 回は更新されていること、すべての固定ディスクとリムーバブル メディアに対して定期的な自動スキャンが構成されていること)
- Microsoft IaaSAntimalware 拡張機能は Windows Server 上にデプロイする必要がある
- エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある
- Endpoint Protection の欠落の Azure Security Center での監視
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化
1546 システムとそのリソースにアクセスする前にユーザーが認証される
- ストレージ アカウントに対する制限のないネットワーク アクセスの監査
- Service Fabric クラスターは、クライアント認証に Azure Active Directory だけを使用する必要がある
- パスワードなしのアカウントからのリモート接続が許可されている Linux VM の監査結果を表示する
- パスワードなしのアカウントからのリモート接続が許可されている Linux VM を監査する前提条件をデプロイする
- パスワードなしのアカウントが存在する Linux VM の監査結果を表示する
- パスワードなしのアカウントがある Linux VM を監査するための前提条件をデプロイする
0974 標準ユーザーの認証には多要素認証が使用される
- サブスクリプションに対する読み取りアクセス許可を持つアカウントに対して MFA を有効にする必要がある
1173 すべての特権ユーザーおよびその他責任のある地位のユーザーの認証には多要素認証が使用される
- サブスクリプションで所有者アクセス許可を持つアカウントに対して MFA を有効にする必要がある
- サブスクリプションに対する書き込みアクセス許可を持つアカウントに対して MFA を有効にする必要がある
0421 単一要素認証に使用されるパスフレーズは長さが 14 文字以上で、複雑さを備えている (4 つのランダムな単語を含むのが理想)
- "セキュリティ設定 - アカウント ポリシー" の Windows VM 構成の監査結果を表示する
- "セキュリティ設定 - アカウント ポリシー" の Windows VM 構成を監査するための前提条件をデプロイする
システム管理のためのガイドライン - システム管理
1384 特権を必要とする操作がユーザーによって実行されるたびに、多要素認証を使用してそのユーザーを認証する
- サブスクリプションで所有者アクセス許可を持つアカウントに対して MFA を有効にする必要がある
- サブスクリプションに対する書き込みアクセス許可を持つアカウントに対して MFA を有効にする必要がある
- サブスクリプションに対する読み取りアクセス許可を持つアカウントに対して MFA を有効にする必要がある
1386 管理トラフィックは、システムとアプリケーションの管理に使用されるネットワーク ゾーンからのみ送信が許可されている
- 仮想マシンで Just-In-Time ネットワーク アクセス制御を適用する必要がある
- API アプリでリモート デバッグを無効にする必要がある
- 関数アプリでリモート デバッグを無効にする必要がある
- Web アプリケーションのリモート デバッグを無効にする
システム管理のためのガイドライン - システムのパッチ適用
1144 アプリケーションおよびドライバーについて、きわめて高リスクと評価されたセキュリティ脆弱性には、ベンダー、独立したサード パーティ、システム管理者、またはユーザーがその脆弱性を特定してから 48 時間以内にパッチの適用、更新、軽減策が実施される
- SQL データベースの脆弱性を修復する必要がある
- 脆弱性評価を SQL サーバー上で有効にする必要がある
- 脆弱性評価を SQL マネージド インスタンス上で有効にする必要がある
- マシンで脆弱性評価を有効にする必要がある
- 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある
- 脆弱性評価ソリューションによって脆弱性を修復する必要がある
- 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある
- コンテナーのセキュリティ構成の脆弱性を修復する必要がある
- SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある
0940 アプリケーションおよびドライバーについて、高リスクと評価されたセキュリティ脆弱性には、ベンダー、独立したサード パーティ、システム管理者、またはユーザーがその脆弱性を特定してから 2 週間以内にパッチの適用、更新、軽減策が実施される
- SQL データベースの脆弱性を修復する必要がある
- 脆弱性評価を SQL サーバー上で有効にする必要がある
- 脆弱性評価を SQL マネージド インスタンス上で有効にする必要がある
- Virtual Machines で脆弱性評価を有効にする必要がある
- 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある
- 脆弱性評価ソリューションによって脆弱性を修復する必要がある
- 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある
- コンテナーのセキュリティ構成の脆弱性を修復する必要がある
- SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある
1472 アプリケーションおよびドライバーについて、リスクが中または低と評価されたセキュリティ脆弱性には、ベンダー、独立したサード パーティ、システム管理者、またはユーザーがその脆弱性を特定してから 1 か月以内にパッチの適用、更新、軽減策が実施される
- SQL データベースの脆弱性を修復する必要がある
- 脆弱性評価を SQL サーバー上で有効にする必要がある
- 脆弱性評価を SQL マネージド インスタンス上で有効にする必要がある
- Virtual Machines で脆弱性評価を有効にする必要がある
- 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある
- 脆弱性評価ソリューションによって脆弱性を修復する必要がある
- 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある
- コンテナーのセキュリティ構成の脆弱性を修復する必要がある
- SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある
1494 オペレーティング システムおよびファームウェアについて、きわめて高リスクと評価されたセキュリティ脆弱性には、ベンダー、独立したサード パーティ、システム管理者、またはユーザーがその脆弱性を特定してから 48 時間以内にパッチの適用、更新、軽減策が実施される
- SQL データベースの脆弱性を修復する必要がある
- 脆弱性評価を SQL サーバー上で有効にする必要がある
- 脆弱性評価を SQL マネージド インスタンス上で有効にする必要がある
- Virtual Machines で脆弱性評価を有効にする必要がある
- 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある
- 脆弱性評価ソリューションによって脆弱性を修復する必要がある
- 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある
- コンテナーのセキュリティ構成の脆弱性を修復する必要がある
- SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある
1495 オペレーティング システムおよびファームウェアについて、高リスクと評価されたセキュリティ脆弱性には、ベンダー、独立したサード パーティ、システム管理者、またはユーザーがその脆弱性を特定してから 2 週間以内にパッチの適用、更新、軽減策が実施される
- SQL データベースの脆弱性を修復する必要がある
- 脆弱性評価を SQL サーバー上で有効にする必要がある
- 脆弱性評価を SQL マネージド インスタンス上で有効にする必要がある
- Virtual Machines で脆弱性評価を有効にする必要がある
- 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある
- 脆弱性評価ソリューションによって脆弱性を修復する必要がある
- 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある
- コンテナーのセキュリティ構成の脆弱性を修復する必要がある
- SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある
1496 オペレーティング システムおよびファームウェアについて、リスクが中または低と評価されたセキュリティ脆弱性には、ベンダー、独立したサード パーティ、システム管理者、またはユーザーがその脆弱性を特定してから 1 か月以内にパッチの適用、更新、軽減策が実施される
- SQL データベースの脆弱性を修復する必要がある
- 脆弱性評価を SQL サーバー上で有効にする必要がある
- 脆弱性評価を SQL マネージド インスタンス上で有効にする必要がある
- Virtual Machines で脆弱性評価を有効にする必要がある
- 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある
- 脆弱性評価ソリューションによって脆弱性を修復する必要がある
- 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある
- コンテナーのセキュリティ構成の脆弱性を修復する必要がある
- SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある
システム管理のためのガイドライン - データ バックアップと復元
1511 重要な情報、ソフトウェア、構成設定のバックアップが少なくとも 1 日に 1 回実行される
- ディザスター リカバリーが構成されていない仮想マシンの監査
システム監視のためのガイドライン - イベント ログと監査
1405 一元化されたログ記録機構が実装され、イベントが発生したらできるだけ早く、そのログ記録機構にイベント ログを保存するようにシステムが構成されている
- Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要
0582 オペレーティング システムに関して、次のイベントがログに記録される (重要なデータやプロセスへのアクセス、アプリケーションのクラッシュとエラー メッセージ、特別な権限を使用する試み、アカウントに対する変更、セキュリティ ポリシーに対する変更、システム構成に対する変更、ドメイン ネーム システム (DNS) とハイパーテキスト転送プロトコル (HTTP) の要求、データとシステム リソースへのアクセスの試行の失敗、サービスの障害と再開、システムの起動とシャットダウン、外部メディアへのデータの転送、ユーザーまたはグループの管理、特別な権限の使用)
- [プレビュー]:Audit Log Analytics エージェントのデプロイ - 一覧にない VM イメージ (OS)
- VMSS の Log Analytics エージェントのデプロイの監査 - VM イメージ (OS) が一覧にない
- VM 用 Audit Log Analytics ワークスペース - 不一致の報告
- 診断設定の監査
1537 データベースに関して、次のイベントがログに記録される (特に重要な情報へのアクセス、新しいユーザー (特に特権ユーザー) の追加、コメントを含むクエリ、複数の埋め込みクエリを含んだクエリ、クエリまたはデータベースのアラートまたはエラー、権限昇格の試み、成功または失敗したアクセスの試行、データベース構造に対する変更、ユーザー ロールまたはデータベース権限に対する変更、データベース管理者アクション、データベースのログオンとログオフ、データの変更、実行可能コマンドの使用)
- Advanced Data Security を、SQL サーバー上で有効にする必要がある
- 診断設定の監査
- Advanced Data Security を SQL マネージド インスタンス上で有効にする必要がある
システム監視のガイドライン - 脆弱性の管理
0911 システムのデプロイ前、システムに対する大きな変更の後、年 1 回以上、またはシステム所有者から指示されたときに、適切なスキルを備えた担当者が脆弱性の評価と侵入テストを実施する
- SQL データベースの脆弱性を修復する必要がある
- 脆弱性評価を SQL サーバー上で有効にする必要がある
- 脆弱性評価を SQL マネージド インスタンス上で有効にする必要がある
- Virtual Machines で脆弱性評価を有効にする必要がある
- 仮想マシン スケール セットのセキュリティ構成の脆弱性を修復する必要がある
- 脆弱性評価ソリューションによって脆弱性を修復する必要がある
- 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある
- コンテナーのセキュリティ構成の脆弱性を修復する必要がある
データベース システム管理のガイドライン - データベース サーバー
1425 フル ディスク暗号化を使用してデータベース サーバーのハード ディスクが暗号化されている
- 仮想マシンでディスク暗号化を適用する必要がある
- SQL データベースで Transparent Data Encryption を有効にする必要がある
1277 データベース サーバーと Web アプリケーションとの間でやり取りされる情報が暗号化されている
- Redis Cache に対してセキュリティで保護された接続のみを有効にする必要がある
- ストレージ アカウントへの安全な転送を有効にする必要がある
- セキュリティで保護された通信プロトコルを使用していない Windows Web サーバーの監査結果を表示する
- セキュリティで保護された通信プロトコルを使用していない Windows Web サーバーを監査する前提条件をデプロイする
データベース システム管理のガイドライン - データベース管理システム ソフトウェア
1260 既定のデータベース管理者アカウントが無効にされているか、名前が変更されている、またはパスフレーズが変更されている
- SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある
1262 データベース管理者に一意かつ識別可能なアカウントがある
- SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある
1261 データベース管理者アカウントが複数のデータベース間で共有されていない
- SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある
1263 データベース管理者アカウントが管理タスクにのみ使用され、一般的なデータベース操作の用途には標準データベース アカウントが使用されている
- SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある
1264 データベース管理者アクセスが、既定の管理者権限 (すべての権限) を持つアカウントではなく、規定されたロールに制限されている
- SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある
暗号を使用するためのガイドライン - 暗号に関する基礎的条件
0459 保存データ用の暗号化ソフトウェアにフル ディスク暗号化または (アクセスの制御により、暗号化されたパーティションにのみ書き込みが許可される) 部分暗号化が実装されている
- 仮想マシンでディスク暗号化を適用する必要がある
暗号を使用するためのガイドライン - トランスポート層セキュリティ
1139 最新バージョンの TLS のみが使用されている
- API アプリでは最新の TLS バージョンを使用する必要がある
- Web アプリでは最新の TLS バージョンを使用する必要がある
- 関数アプリでは最新の TLS バージョンを使用する必要がある
- セキュリティで保護された通信プロトコルを使用していない Windows Web サーバーを監査する前提条件をデプロイする
- セキュリティで保護された通信プロトコルを使用していない Windows Web サーバーの監査結果を表示する
データ転送とコンテンツ フィルタリングのガイドライン - コンテンツ フィルタリング
1288 複数の異なるスキャン エンジンを使用したウイルス対策スキャンがすべてのコンテンツに実行される
- Microsoft IaaSAntimalware 拡張機能は Windows Server 上にデプロイする必要がある
- エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある
- Endpoint Protection の欠落の Azure Security Center での監視
データ転送とコンテンツ フィルタリングのガイドライン - Web アプリケーション開発
1552 すべての Web アプリケーション コンテンツが HTTPS のみを使用して提供される
- Function App には HTTPS 経由でのみアクセスできるようにする
- API アプリには HTTPS を介してのみアクセスできるようにする
- Web アプリケーションには HTTPS を介してのみアクセスできるようにする
- Redis Cache に対してセキュリティで保護された接続のみを有効にする必要がある
1424 Web アプリケーションとそのユーザーの両方の保護を促進するために、Web アプリケーションに Web ブラウザーベースのセキュリティ コントロールが実装されている
- CORS で、Web アプリケーションへのアクセスをすべてのリソースには許可しない
ネットワーク管理のためのガイドライン - ネットワーク設計と構成
0520 承認されていないネットワーク デバイスの接続を防ぐネットワーク アクセスの制御がネットワークに実装されている
- ストレージ アカウントに対する制限のないネットワーク アクセスの監査
1182 ネットワーク セグメント内またはネットワーク セグメント間のトラフィックを業務上必要なトラフィックに限定するために、ネットワーク アクセスの制御が実装されている
- インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある
- ストレージ アカウントに対する制限のないネットワーク アクセスの監査
- アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある
ネットワーク管理のガイドライン - オンライン サービスのサービス継続性
1431 サービス拒否攻撃の阻止と軽減策がサービス プロバイダーとの間で協議されている (具体的には、サービス拒否攻撃に耐える能力、サービス拒否攻撃によって顧客が被る可能性のあるコスト、サービス拒否攻撃の発生中にオンライン サービスを無効にしたり顧客に通知したりする際のしきい値、サービス拒否攻撃の発生時に講じることができる事前承認されたアクション、サービス拒否攻撃を阻止するために、悪質なトラフィックを可能な限り上流でブロックするためにアップストリームのプロバイダーとの間で決められた段取りなど)
- DDoS Protection を有効にする必要があります
Note
特定の Azure Policy 定義を利用できるかどうかは、Azure Government とその他の National Clouds で異なる場合があります。
次のステップ
ブループリントとその使用方法に関するその他の記事:
- ブループリントのライフサイクルを参照する。
- 静的および動的パラメーターの使用方法を理解する。
- ブループリントの優先順位のカスタマイズを参照する。
- ブループリントのリソース ロックの使用方法を調べる。
- 既存の割り当ての更新方法を参照する。