次の方法で共有


CIS Microsoft Azure Foundations Benchmark 1.3.0 規制コンプライアンスの組み込みイニシアチブの詳細

次の記事では、Azure Policy 規制コンプライアンスの組み込みイニシアチブの定義が、CIS Microsoft Azure Foundations Benchmark 1.3.0 のコンプライアンス ドメインコントロールにどのように対応するのかを詳しく説明します。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。 "所有権" を理解するには、「ポリシーの種類」と「クラウドでの共有責任」を参照してください。

次のマッピングは、CIS Microsoft Azure Foundations Benchmark 1.3.0 コントロールへのマッピングです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、 [CIS Microsoft Azure Foundations Benchmark v1.3.0] 規制コンプライアンスの組み込みイニシアチブ定義を見つけて選択します。

重要

以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。

1 ID およびアクセス管理

特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
生体認証メカニズムを採用する CMA_0005 - 生体認証メカニズムを採用する Manual、Disabled 1.1.0

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.10 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0

[ユーザーはアプリケーションを登録できる] が [いいえ] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.11 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0

[ゲストのアクセス許可を制限する] が [はい] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.12 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
アクセス制御モデルを設計する CMA_0129 - アクセス制御モデルを設計する Manual、Disabled 1.1.0
最小特権アクセスを使用する CMA_0212 - 最小特権アクセスを使用する Manual、Disabled 1.1.0
論理アクセスを強制する CMA_0245 - 論理アクセスを強制する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
アカウント作成の承認を必要とする CMA_0431 - アカウント作成の承認を必要とする Manual、Disabled 1.1.0
機密データにアクセスできるユーザー グループとアプリケーションを確認する CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する Manual、Disabled 1.1.0

[メンバーは招待ができる] が [いいえ] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.13 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
アクセス制御モデルを設計する CMA_0129 - アクセス制御モデルを設計する Manual、Disabled 1.1.0
最小特権アクセスを使用する CMA_0212 - 最小特権アクセスを使用する Manual、Disabled 1.1.0
論理アクセスを強制する CMA_0245 - 論理アクセスを強制する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
アカウント作成の承認を必要とする CMA_0431 - アカウント作成の承認を必要とする Manual、Disabled 1.1.0
機密データにアクセスできるユーザー グループとアプリケーションを確認する CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する Manual、Disabled 1.1.0

[ゲストは招待ができる] が [いいえ] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.14 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
アクセス制御モデルを設計する CMA_0129 - アクセス制御モデルを設計する Manual、Disabled 1.1.0
最小特権アクセスを使用する CMA_0212 - 最小特権アクセスを使用する Manual、Disabled 1.1.0
論理アクセスを強制する CMA_0245 - 論理アクセスを強制する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
アカウント作成の承認を必要とする CMA_0431 - アカウント作成の承認を必要とする Manual、Disabled 1.1.0
機密データにアクセスできるユーザー グループとアプリケーションを確認する CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する Manual、Disabled 1.1.0

[Azure AD 管理ポータルへのアクセスを制限する] が [はい] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.15 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
論理アクセスを強制する CMA_0245 - 論理アクセスを強制する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
アカウント作成の承認を必要とする CMA_0431 - アカウント作成の承認を必要とする Manual、Disabled 1.1.0
機密データにアクセスできるユーザー グループとアプリケーションを確認する CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する Manual、Disabled 1.1.0

[ユーザーがアクセス パネルでグループ機能にアクセスする機能を制限します] が [いいえ] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.16 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
変更制御プロセスを確立して文書化する CMA_0265 - 変更制御プロセスを確立して文書化する Manual、Disabled 1.1.0

[ユーザーは Azure Portal でセキュリティ グループを作成できる] が [いいえ] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.17 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
変更制御プロセスを確立して文書化する CMA_0265 - 変更制御プロセスを確立して文書化する Manual、Disabled 1.1.0

[所有者はアクセス パネルでのグループ メンバーシップの要求を管理できる] が [いいえ] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.18 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
変更制御プロセスを確立して文書化する CMA_0265 - 変更制御プロセスを確立して文書化する Manual、Disabled 1.1.0

[Users can create Microsoft 365 groups in Azure Portals] (ユーザーは Azure portal で Microsoft 365 グループを作成できる) が [いいえ] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.19 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
変更制御プロセスを確立して文書化する CMA_0265 - 変更制御プロセスを確立して文書化する Manual、Disabled 1.1.0

特権のないすべてのユーザーに対して多要素認証が有効になっていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
生体認証メカニズムを採用する CMA_0005 - 生体認証メカニズムを採用する Manual、Disabled 1.1.0

[デバイスを参加させるには多要素認証が必要] が [はい] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.20 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
生体認証メカニズムを採用する CMA_0005 - 生体認証メカニズムを採用する Manual、Disabled 1.1.0
リモート アクセスを認可する CMA_0024 - リモート アクセスを認可する Manual、Disabled 1.1.0
モビリティ トレーニングを文書化する CMA_0191 - モビリティ トレーニングを文書化する Manual、Disabled 1.1.0
リモート アクセスのガイドラインを文書化する CMA_0196 - リモート アクセスのガイドラインを文書化する Manual、Disabled 1.1.0
ネットワーク デバイスを識別して認証する CMA_0296 - ネットワーク デバイスを識別して認証する Manual、Disabled 1.1.0
代替の作業サイトをセキュリティで保護するためのコントロールを実装する CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する Manual、Disabled 1.1.0
プライバシーに関するトレーニングを提供する CMA_0415 - プライバシーに関するトレーニングを提供する Manual、Disabled 1.1.0
トークンの品質要件を満たす CMA_0487 - トークンの品質要件を満たす Manual、Disabled 1.1.0

カスタム サブスクリプションの所有者ロールが作成されていないことを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.21 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
アクセス制御モデルを設計する CMA_0129 - アクセス制御モデルを設計する Manual、Disabled 1.1.0
最小特権アクセスを使用する CMA_0212 - 最小特権アクセスを使用する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
変更制御プロセスを確立して文書化する CMA_0265 - 変更制御プロセスを確立して文書化する Manual、Disabled 1.1.0

Azure Active Directory でセキュリティの既定値群が有効になっているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.22 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
生体認証メカニズムを採用する CMA_0005 - 生体認証メカニズムを採用する Manual、Disabled 1.1.0
暗号化モジュールに対して認証する CMA_0021 - 暗号化モジュールに対して認証する Manual、Disabled 1.1.0
リモート アクセスを認可する CMA_0024 - リモート アクセスを認可する Manual、Disabled 1.1.0
モビリティ トレーニングを文書化する CMA_0191 - モビリティ トレーニングを文書化する Manual、Disabled 1.1.0
リモート アクセスのガイドラインを文書化する CMA_0196 - リモート アクセスのガイドラインを文書化する Manual、Disabled 1.1.0
ネットワーク デバイスを識別して認証する CMA_0296 - ネットワーク デバイスを識別して認証する Manual、Disabled 1.1.0
代替の作業サイトをセキュリティで保護するためのコントロールを実装する CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する Manual、Disabled 1.1.0
プライバシーに関するトレーニングを提供する CMA_0415 - プライバシーに関するトレーニングを提供する Manual、Disabled 1.1.0
トークンの品質要件を満たす CMA_0487 - トークンの品質要件を満たす Manual、Disabled 1.1.0

リソース ロックの管理のためにカスタム役割が割り当てられているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.23 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
変更制御プロセスを確立して文書化する CMA_0265 - 変更制御プロセスを確立して文書化する Manual、Disabled 1.1.0

ゲスト ユーザーを毎月見直す

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
必要に応じてユーザー特権を再割り当てまたは削除する CMA_C1040 - 必要に応じてユーザー特権を再割り当てまたは削除する Manual、Disabled 1.1.0
アカウント プロビジョニングのログを確認する CMA_0460 - アカウント プロビジョニングのログを確認する Manual、Disabled 1.1.0
ユーザー アカウントを確認する CMA_0480 - ユーザー アカウントを確認する Manual、Disabled 1.1.0
ユーザー特権を確認する CMA_C1039 - ユーザー特権を確認する Manual、Disabled 1.1.0

[信頼済みデバイスでユーザーが多要素認証を記憶できるようにする] が [無効] になっているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
生体認証メカニズムを採用する CMA_0005 - 生体認証メカニズムを採用する Manual、Disabled 1.1.0
ネットワーク デバイスを識別して認証する CMA_0296 - ネットワーク デバイスを識別して認証する Manual、Disabled 1.1.0
トークンの品質要件を満たす CMA_0487 - トークンの品質要件を満たす Manual、Disabled 1.1.0

[ユーザーが認証情報を再確認するように求められるまでの日数] が "0" に設定されていないようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
アカウント管理を自動化する CMA_0026 - アカウント管理を自動化する Manual、Disabled 1.1.0
システムと管理者のアカウントを管理する CMA_0368 - システムと管理者のアカウントを管理する Manual、Disabled 1.1.0
組織全体のアクセスを監視する CMA_0376 - 組織全体のアクセスを監視する Manual、Disabled 1.1.0
アカウントが不要になったときに通知する CMA_0383 - アカウントが不要になったときに通知する Manual、Disabled 1.1.0

[パスワードのリセットについてユーザーに通知しますか?] が [はい] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.7 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
アカウント管理を自動化する CMA_0026 - アカウント管理を自動化する Manual、Disabled 1.1.0
認証子を保護するためのトレーニングを実装する CMA_0329 - 認証子を保護するためのトレーニングを実装する Manual、Disabled 1.1.0
システムと管理者のアカウントを管理する CMA_0368 - システムと管理者のアカウントを管理する Manual、Disabled 1.1.0
組織全体のアクセスを監視する CMA_0376 - 組織全体のアクセスを監視する Manual、Disabled 1.1.0
アカウントが不要になったときに通知する CMA_0383 - アカウントが不要になったときに通知する Manual、Disabled 1.1.0

[他の管理者が自分のパスワードをリセットしたときに、すべての管理者に通知しますか?] が [はい] に設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.8 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
アカウント管理を自動化する CMA_0026 - アカウント管理を自動化する Manual、Disabled 1.1.0
認証子を保護するためのトレーニングを実装する CMA_0329 - 認証子を保護するためのトレーニングを実装する Manual、Disabled 1.1.0
システムと管理者のアカウントを管理する CMA_0368 - システムと管理者のアカウントを管理する Manual、Disabled 1.1.0
組織全体のアクセスを監視する CMA_0376 - 組織全体のアクセスを監視する Manual、Disabled 1.1.0
特権ロールの割り当てを監視する CMA_0378 - 特権ロールの割り当てを監視する Manual、Disabled 1.1.0
アカウントが不要になったときに通知する CMA_0383 - アカウントが不要になったときに通知する Manual、Disabled 1.1.0
特権アカウントへのアクセスを制限する CMA_0446 - 特権アカウントへのアクセスを制限する Manual、Disabled 1.1.0
必要に応じて特権ロールを取り消す CMA_0483 - 必要に応じて特権ロールを取り消す Manual、Disabled 1.1.0
特権 ID 管理を使用する CMA_0533 - 特権 ID 管理を使用する Manual、Disabled 1.1.0

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 1.9 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0

2 Security Center

サーバーに対して Azure Defender がオンに設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
サーバー用 Azure Defender を有効にする必要がある サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
認可または承認されていないネットワーク サービスを検出する CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0

Microsoft Cloud App Security (MCAS) と Security Center の統合が選択されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.10 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
認可または承認されていないネットワーク サービスを検出する CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0

[監視エージェントの自動プロビジョニング] が [オン] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.11 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ運用を文書化する CMA_0202 - セキュリティ運用を文書化する Manual、Disabled 1.1.0
エンドポイント セキュリティ ソリューションのセンサーをオンにする CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする Manual、Disabled 1.1.0

ASC の既定のポリシー設定のいずれも [無効] に設定されていないようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.12 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
非準拠のデバイスに対するアクションを構成する CMA_0062 - 非準拠のデバイスに対するアクションを構成する Manual、Disabled 1.1.0
ベースライン構成を作成して維持する CMA_0153 - ベースライン構成を作成して維持する Manual、Disabled 1.1.0
セキュリティ構成の設定を適用する CMA_0249 - セキュリティ構成の設定を適用する Manual、Disabled 1.1.0
構成コントロール ボードを設立する CMA_0254 - 構成コントロール ボードを設立する Manual、Disabled 1.1.0
構成管理計画を策定して文書化する CMA_0264 - 構成管理計画を策定して文書化する Manual、Disabled 1.1.0
自動構成管理ツールを実装する CMA_0311 - 自動構成管理ツールを実装する Manual、Disabled 1.1.0

セキュリティ連絡先の電子メールと共に "追加のメール アドレス" が構成されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.13 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 AuditIfNotExists、Disabled 1.0.1

[次の重要度のアラートについて通知します] が [高] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.14 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 AuditIfNotExists、Disabled 1.2.0

App Service に対して Azure Defender がオンに設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Defender for App Service を有効にする必要がある Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 AuditIfNotExists、Disabled 1.0.3
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
認可または承認されていないネットワーク サービスを検出する CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0

Azure SQL Database サーバーに対して Azure Defender がオンに設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Defender for Azure SQL Database サーバーを有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
認可または承認されていないネットワーク サービスを検出する CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0

マシン上の SQL サーバーに対して Azure Defender がオンに設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Defender for SQL servers on machines を有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
認可または承認されていないネットワーク サービスを検出する CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0

ストレージに対して Azure Defender がオンに設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
認可または承認されていないネットワーク サービスを検出する CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
Microsoft Defender for Storageを有効にする必要があります Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 AuditIfNotExists、Disabled 1.0.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0

Kubernetes に対して Azure Defender がオンに設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
認可または承認されていないネットワーク サービスを検出する CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
Microsoft Defender for Containers を有効にする必要がある Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 AuditIfNotExists、Disabled 1.0.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0

コンテナー レジストリに対して Azure Defender がオンに設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.7 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
認可または承認されていないネットワーク サービスを検出する CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
Microsoft Defender for Containers を有効にする必要がある Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 AuditIfNotExists、Disabled 1.0.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0

Key Vault に対して Azure Defender がオンに設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.8 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Defender for Key Vault を有効にする必要がある Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 AuditIfNotExists、Disabled 1.0.3
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
認可または承認されていないネットワーク サービスを検出する CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0

Windows Defender ATP (WDATP) と Security Center の統合が選択されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 2.9 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
認可または承認されていないネットワーク サービスを検出する CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0

3 ストレージ アカウント

[安全な転送が必要] が [有効] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
デジタル証明書を確認するようにワークステーションを構成する CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する Manual、Disabled 1.1.0
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
暗号化を使用してパスワードを保護する CMA_0408 - 暗号化を使用してパスワードを保護する Manual、Disabled 1.1.0
ストレージ アカウントへの安全な転送を有効にする必要がある ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します Audit、Deny、Disabled 2.0.0

読み取り、書き込み、削除の各要求に対する Blob service のストレージ ログが有効になっているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.10 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
Azure 監査機能を構成する CMA_C1108 - Azure 監査機能を構成する Manual、Disabled 1.1.1
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

読み取り、書き込み、削除の各要求に対する Table サービスのストレージ ログが有効になっているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.11 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
Azure 監査機能を構成する CMA_C1108 - Azure 監査機能を構成する Manual、Disabled 1.1.1
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

ストレージ アカウントのアクセス キーが定期的に再生成されるようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
物理キーの管理プロセスを定義する CMA_0115 - 物理キーの管理プロセスを定義する Manual、Disabled 1.1.0
暗号化の使用を定義する CMA_0120 - 暗号化の使用を定義する Manual、Disabled 1.1.0
暗号化キーを管理するための組織要件を定義する CMA_0123 - 暗号化キーを管理するための組織要件を定義する Manual、Disabled 1.1.0
アサーション要件を決定する CMA_0136 - アサーション要件を決定する Manual、Disabled 1.1.0
公開キー証明書を発行する CMA_0347 - 公開キー証明書を発行する Manual、Disabled 1.1.0
対称暗号化キーを管理する CMA_0367 - 対称暗号化キーを管理する Manual、Disabled 1.1.0
秘密キーへのアクセスを制限する CMA_0445 - 秘密キーへのアクセスを制限する Manual、Disabled 1.1.0

読み取り、書き込み、削除の各要求に対する Queue サービスのストレージ ログが有効になっているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
Azure 監査機能を構成する CMA_C1108 - Azure 監査機能を構成する Manual、Disabled 1.1.1
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

共有アクセス署名トークンの期限が 1 時間以内に切れるようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
終了時に認証子を無効にする CMA_0169 - 終了時に認証子を無効にする Manual、Disabled 1.1.0
必要に応じて特権ロールを取り消す CMA_0483 - 必要に応じて特権ロールを取り消す Manual、Disabled 1.1.0
ユーザー セッションを自動的に終了する CMA_C1054 - ユーザー セッションを自動的に終了する Manual、Disabled 1.1.0

BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 audit、Audit、deny、Deny、disabled、Disabled 3.1.0-preview
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
論理アクセスを強制する CMA_0245 - 論理アクセスを強制する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
アカウント作成の承認を必要とする CMA_0431 - アカウント作成の承認を必要とする Manual、Disabled 1.1.0
機密データにアクセスできるユーザー グループとアプリケーションを確認する CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する Manual、Disabled 1.1.0

ストレージ アカウントの既定のネットワーク アクセス ルールが拒否に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
ストレージ アカウントではネットワーク アクセスを制限する必要があります ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 Audit、Deny、Disabled 1.1.1
ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 Audit、Deny、Disabled 1.0.1

ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.7 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
情報フローを制御する CMA_0079 - 情報フローを制御する Manual、Disabled 1.1.0
暗号化された情報のフロー制御メカニズムを使用する CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する Manual、Disabled 1.1.0
ファイアウォールとルーターの構成標準を確立する CMA_0272 - ファイアウォールとルーターの構成標準を確立する Manual、Disabled 1.1.0
カード所有者データ環境のネットワークのセグメント化を確立する CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する Manual、Disabled 1.1.0
ダウンストリームの情報交換を識別して管理する CMA_0298 - ダウンストリームの情報交換を識別して管理する Manual、Disabled 1.1.0
ストレージ アカウントは、信頼された Microsoft サービスからのアクセスを許可する必要がある ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。 この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。 Audit、Deny、Disabled 1.0.0

重要なデータのストレージがカスタマー マネージド キーを使用して暗号化されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 3.9 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
データ漏えいの管理手順を確立する CMA_0255 - データ漏えいの管理手順を確立する Manual、Disabled 1.1.0
すべてのメディアをセキュリティで保護するためのコントロールを実装する CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する Manual、Disabled 1.1.0
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
特別な情報を保護する CMA_0409 - 特別な情報を保護する Manual、Disabled 1.1.0
ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 Audit、Disabled 1.0.3

4 データベース サービス

[監査] が [オン] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.1.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
SQL Server の監査を有効にする必要があります サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

SQL Database の [データ暗号化] が [オン] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.1.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
データ漏えいの管理手順を確立する CMA_0255 - データ漏えいの管理手順を確立する Manual、Disabled 1.1.0
すべてのメディアをセキュリティで保護するためのコントロールを実装する CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する Manual、Disabled 1.1.0
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
特別な情報を保護する CMA_0409 - 特別な情報を保護する Manual、Disabled 1.1.0
Transparent Data Encryption を SQL データベース上で有効にする必要がある 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります AuditIfNotExists、Disabled 2.0.0

"監査" 保持期間が "90 日を超える" ことを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.1.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
定義されている保持期間に従う CMA_0004 - 定義されている保持期間に従う Manual、Disabled 1.1.0
監査処理アクティビティを管理および監視する CMA_0289 - 監査処理アクティビティを管理および監視する Manual、Disabled 1.1.0
セキュリティ ポリシーと手順を保持する CMA_0454 - セキュリティ ポリシーと手順を保持する Manual、Disabled 1.1.0
終了させられたユーザーのデータを保持する CMA_0455 - 終了させられたユーザーのデータを保持する Manual、Disabled 1.1.0
ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 AuditIfNotExists、Disabled 3.0.0

SQL サーバーの Advanced Threat Protection (ATP) が [有効] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.2.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない SQL サーバーの監査 AuditIfNotExists、Disabled 2.0.1
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0

ストレージ アカウントを設定することによって SQL サーバーの脆弱性評価 (VA) が有効になっていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.2.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
情報システムの欠陥を修復する CMA_0427 - 情報システムの欠陥を修復する Manual、Disabled 1.1.0
SQL Managed Instance で脆弱性評価を有効にする必要がある 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 AuditIfNotExists、Disabled 1.0.1
脆弱性評価を SQL サーバー上で有効にする必要がある 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 AuditIfNotExists、Disabled 3.0.0

SQL サーバーで VA 設定の [定期的な反復スキャン が有効になっているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.2.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
情報システムの欠陥を修復する CMA_0427 - 情報システムの欠陥を修復する Manual、Disabled 1.1.0

SQL サーバーの VA 設定 [スキャン レポートの送信先] が構成されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.2.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
脆弱性スキャンの情報を関連付ける CMA_C1558 - 脆弱性スキャンの情報を関連付ける Manual、Disabled 1.1.1
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
情報システムの欠陥を修復する CMA_0427 - 情報システムの欠陥を修復する Manual、Disabled 1.1.0

SQL サーバーに対して VA 設定 [管理者とサブスクリプションの所有者にも電子メール通知を送信する] が設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.2.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
脆弱性スキャンの情報を関連付ける CMA_C1558 - 脆弱性スキャンの情報を関連付ける Manual、Disabled 1.1.1
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
情報システムの欠陥を修復する CMA_0427 - 情報システムの欠陥を修復する Manual、Disabled 1.1.0

PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
デジタル証明書を確認するようにワークステーションを構成する CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する Manual、Disabled 1.1.0
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 Audit、Disabled 1.0.1
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
暗号化を使用してパスワードを保護する CMA_0408 - 暗号化を使用してパスワードを保護する Manual、Disabled 1.1.0

MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
デジタル証明書を確認するようにワークステーションを構成する CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する Manual、Disabled 1.1.0
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 Audit、Disabled 1.0.1
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
暗号化を使用してパスワードを保護する CMA_0408 - 暗号化を使用してパスワードを保護する Manual、Disabled 1.1.0

サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
PostgreSQL データベース サーバーではログ チェックポイントが有効でなければならない このポリシーは、log_checkpoints 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
PostgreSQL データベース サーバーではログ接続が有効でなければならない このポリシーは、log_connections 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
PostgreSQL データベース サーバーの切断はログに記録する必要がある。 このポリシーは、log_disconnections が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
PostgreSQL データベース サーバーでは接続の調整が有効でなければならない このポリシーは、接続の帯域幅調整が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 この設定により、無効なパスワード ログイン エラーが多すぎる場合に、IP ごとに一時的な接続の帯域幅調整を行うことができます。 AuditIfNotExists、Disabled 1.0.0
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

PostgreSQL データベース サーバーのサーバー パラメーター 'log_retention_days' が 3 日よりも大きい値であるようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.7 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
定義されている保持期間に従う CMA_0004 - 定義されている保持期間に従う Manual、Disabled 1.1.0
監査処理アクティビティを管理および監視する CMA_0289 - 監査処理アクティビティを管理および監視する Manual、Disabled 1.1.0
セキュリティ ポリシーと手順を保持する CMA_0454 - セキュリティ ポリシーと手順を保持する Manual、Disabled 1.1.0
終了させられたユーザーのデータを保持する CMA_0455 - 終了させられたユーザーのデータを保持する Manual、Disabled 1.1.0

PostgreSQL データベース サーバーの [Azure サービスへのアクセスを許可] が無効になっているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.3.8 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
情報フローを制御する CMA_0079 - 情報フローを制御する Manual、Disabled 1.1.0
暗号化された情報のフロー制御メカニズムを使用する CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する Manual、Disabled 1.1.0
ファイアウォールとルーターの構成標準を確立する CMA_0272 - ファイアウォールとルーターの構成標準を確立する Manual、Disabled 1.1.0
カード所有者データ環境のネットワークのセグメント化を確立する CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する Manual、Disabled 1.1.0
ダウンストリームの情報交換を識別して管理する CMA_0298 - ダウンストリームの情報交換を識別して管理する Manual、Disabled 1.1.0

Azure Active Directory 管理者が構成されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.0.0
アカウント管理を自動化する CMA_0026 - アカウント管理を自動化する Manual、Disabled 1.1.0
システムと管理者のアカウントを管理する CMA_0368 - システムと管理者のアカウントを管理する Manual、Disabled 1.1.0
組織全体のアクセスを監視する CMA_0376 - 組織全体のアクセスを監視する Manual、Disabled 1.1.0
アカウントが不要になったときに通知する CMA_0383 - アカウントが不要になったときに通知する Manual、Disabled 1.1.0

SQL サーバーの TDE 保護機能がカスタマー マネージド キーで暗号化されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 4.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
データ漏えいの管理手順を確立する CMA_0255 - データ漏えいの管理手順を確立する Manual、Disabled 1.1.0
すべてのメディアをセキュリティで保護するためのコントロールを実装する CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する Manual、Disabled 1.1.0
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
特別な情報を保護する CMA_0409 - 特別な情報を保護する Manual、Disabled 1.1.0
SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 Audit、Deny、Disabled 2.0.0
SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 Audit、Deny、Disabled 2.0.1

5 ログと監視

確実に '診断設定' が存在しているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0

診断設定で適切なカテゴリが取得されるようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
Azure 監査機能を構成する CMA_C1108 - Azure 監査機能を構成する Manual、Disabled 1.1.1
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

アクティビティ ログを格納するストレージ コンテナーにパブリックにアクセスできないことを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: ストレージ アカウントのパブリック アクセスを禁止する必要がある Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 audit、Audit、deny、Deny、disabled、Disabled 3.1.0-preview
二重または共同の認可を有効にする CMA_0226 - 二重または共同の認可を有効にする Manual、Disabled 1.1.0
監査情報を保護する CMA_0401 - 監査情報を保護する Manual、Disabled 1.1.0

アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
二重または共同の認可を有効にする CMA_0226 - 二重または共同の認可を有効にする Manual、Disabled 1.1.0
監査システムの整合性を維持する CMA_C1133 - 監査システムの整合性を維持する Manual、Disabled 1.1.0
監査情報を保護する CMA_0401 - 監査情報を保護する Manual、Disabled 1.1.0
アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時の Azure Storage 暗号化の詳細については、 https://aka.ms/azurestoragebyok をご覧ください。 AuditIfNotExists、Disabled 1.0.0

Azure KeyVault のログ記録が [有効] になっていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.1.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
Key Vault のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

"ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
職員に情報流出のアラートを通知する CMA_0007 - 職員に情報流出のアラートを通知する Manual、Disabled 1.1.0
特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 AuditIfNotExists、Disabled 3.0.0
インシデント レスポンス計画を策定する CMA_0145 - インシデント対応計画を作成する Manual、Disabled 1.1.0
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する Manual、Disabled 1.1.0

"ポリシー割り当ての削除" のアクティビティ ログ アラートが存在することを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
職員に情報流出のアラートを通知する CMA_0007 - 職員に情報流出のアラートを通知する Manual、Disabled 1.1.0
特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 AuditIfNotExists、Disabled 3.0.0
インシデント レスポンス計画を策定する CMA_0145 - インシデント対応計画を作成する Manual、Disabled 1.1.0
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する Manual、Disabled 1.1.0

"ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
職員に情報流出のアラートを通知する CMA_0007 - 職員に情報流出のアラートを通知する Manual、Disabled 1.1.0
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0
インシデント レスポンス計画を策定する CMA_0145 - インシデント対応計画を作成する Manual、Disabled 1.1.0
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する Manual、Disabled 1.1.0

"ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
職員に情報流出のアラートを通知する CMA_0007 - 職員に情報流出のアラートを通知する Manual、Disabled 1.1.0
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0
インシデント レスポンス計画を策定する CMA_0145 - インシデント対応計画を作成する Manual、Disabled 1.1.0
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する Manual、Disabled 1.1.0

"ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
職員に情報流出のアラートを通知する CMA_0007 - 職員に情報流出のアラートを通知する Manual、Disabled 1.1.0
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0
インシデント レスポンス計画を策定する CMA_0145 - インシデント対応計画を作成する Manual、Disabled 1.1.0
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する Manual、Disabled 1.1.0

"ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
職員に情報流出のアラートを通知する CMA_0007 - 職員に情報流出のアラートを通知する Manual、Disabled 1.1.0
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0
インシデント レスポンス計画を策定する CMA_0145 - インシデント対応計画を作成する Manual、Disabled 1.1.0
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する Manual、Disabled 1.1.0

"セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.7 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
職員に情報流出のアラートを通知する CMA_0007 - 職員に情報流出のアラートを通知する Manual、Disabled 1.1.0
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 AuditIfNotExists、Disabled 1.0.0
インシデント レスポンス計画を策定する CMA_0145 - インシデント対応計画を作成する Manual、Disabled 1.1.0
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する Manual、Disabled 1.1.0

"セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.8 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
職員に情報流出のアラートを通知する CMA_0007 - 職員に情報流出のアラートを通知する Manual、Disabled 1.1.0
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 AuditIfNotExists、Disabled 1.0.0
インシデント レスポンス計画を策定する CMA_0145 - インシデント対応計画を作成する Manual、Disabled 1.1.0
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する Manual、Disabled 1.1.0

"SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.2.9 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
職員に情報流出のアラートを通知する CMA_0007 - 職員に情報流出のアラートを通知する Manual、Disabled 1.1.0
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0
インシデント レスポンス計画を策定する CMA_0145 - インシデント対応計画を作成する Manual、Disabled 1.1.0
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する Manual、Disabled 1.1.0

診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 5.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
定義されている保持期間に従う CMA_0004 - 定義されている保持期間に従う Manual、Disabled 1.1.0
App Service アプリではリソース ログを有効にする必要がある アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 AuditIfNotExists、Disabled 2.0.1
特権機能を監査する CMA_0019 - 特権機能を監査する Manual、Disabled 1.1.0
ユーザー アカウントの状態を監査する CMA_0020 - ユーザー アカウントの状態を監査する Manual、Disabled 1.1.0
Azure 監査機能を構成する CMA_C1108 - Azure 監査機能を構成する Manual、Disabled 1.1.1
監査可能なイベントを決定する CMA_0137 - 監査可能なイベントを決定する Manual、Disabled 1.1.0
監査処理アクティビティを管理および監視する CMA_0289 - 監査処理アクティビティを管理および監視する Manual、Disabled 1.1.0
Azure Data Lake Store のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Azure Stream Analytics のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Batch アカウントのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Data Lake Analytics のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
イベント ハブのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
IoT Hub のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 3.1.0
Key Vault のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Logic Apps のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.1.0
Search サービスのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Service Bus のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
セキュリティ ポリシーと手順を保持する CMA_0454 - セキュリティ ポリシーと手順を保持する Manual、Disabled 1.1.0
終了させられたユーザーのデータを保持する CMA_0455 - 終了させられたユーザーのデータを保持する Manual、Disabled 1.1.0
監査データを確認する CMA_0466 - 監査データを確認する Manual、Disabled 1.1.0

6 ネットワーク

SQL データベースでイングレス 0.0.0.0/0 (任意の IP) を許可しないようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 6.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
情報フローを制御する CMA_0079 - 情報フローを制御する Manual、Disabled 1.1.0
暗号化された情報のフロー制御メカニズムを使用する CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する Manual、Disabled 1.1.0

ネットワーク セキュリティ グループ フロー ログの保持期間が '90 日を超えている' ようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 6.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
定義されている保持期間に従う CMA_0004 - 定義されている保持期間に従う Manual、Disabled 1.1.0
セキュリティ ポリシーと手順を保持する CMA_0454 - セキュリティ ポリシーと手順を保持する Manual、Disabled 1.1.0
終了させられたユーザーのデータを保持する CMA_0455 - 終了させられたユーザーのデータを保持する Manual、Disabled 1.1.0

Network Watcher が [有効] になっていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 6.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Network Watcher を有効にする必要がある Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 AuditIfNotExists、Disabled 3.0.0
セキュリティ機能を確認する CMA_C1708 - セキュリティ機能を確認する Manual、Disabled 1.1.0

7 Virtual Machines

Virtual Machines で Managed Disks が利用されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Managed Disks を使用していない VM の監査 このポリシーは、マネージド ディスクを使用していない VM を監査します 監査 1.0.0
物理的なアクセスを制御する CMA_0081 - 物理的なアクセスを制御する Manual、Disabled 1.1.0
データの入力、出力、処理、ストレージを管理する CMA_0369 - データの入力、出力、処理、ストレージを管理する Manual、Disabled 1.1.0
ラベル アクティビティと分析を確認する CMA_0474 - ラベル アクティビティと分析を確認する Manual、Disabled 1.1.0

"OS およびデータ" のディスクが CMK で暗号化されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
データ漏えいの管理手順を確立する CMA_0255 - データ漏えいの管理手順を確立する Manual、Disabled 1.1.0
すべてのメディアをセキュリティで保護するためのコントロールを実装する CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する Manual、Disabled 1.1.0
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
特別な情報を保護する CMA_0409 - 特別な情報を保護する Manual、Disabled 1.1.0

"アタッチされていないディスク" が CMK で暗号化されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
データ漏えいの管理手順を確立する CMA_0255 - データ漏えいの管理手順を確立する Manual、Disabled 1.1.0
すべてのメディアをセキュリティで保護するためのコントロールを実装する CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する Manual、Disabled 1.1.0
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
特別な情報を保護する CMA_0409 - 特別な情報を保護する Manual、Disabled 1.1.0

承認済みの拡張機能のみがインストールされていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
インストールする必要があるのは、許可されている VM 拡張機能のみ このポリシーは、承認されていない仮想マシン拡張機能を制御します。 Audit、Deny、Disabled 1.0.0

すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
情報システムの欠陥を修復する CMA_0427 - 情報システムの欠陥を修復する Manual、Disabled 1.1.0

すべての仮想マシンの Endpoint Protection がインストールされていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
USB から実行された信頼されていない署名なしのプロセスをブロックする CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする Manual、Disabled 1.1.0
セキュリティ運用を文書化する CMA_0202 - セキュリティ運用を文書化する Manual、Disabled 1.1.0
ゲートウェイを管理する CMA_0363 - ゲートウェイを管理する Manual、Disabled 1.1.0
Endpoint Protection の不足を Azure Security Center で監視する Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0
脅威に関する傾向分析を実行する CMA_0389 - 脅威に関する傾向分析を実行する Manual、Disabled 1.1.0
脆弱性スキャンを実行する CMA_0393 - 脆弱性スキャンを実行する Manual、Disabled 1.1.0
マルウェア検出レポートを毎週確認する CMA_0475 - マルウェア検出レポートを毎週確認する Manual、Disabled 1.1.0
脅威に対する保護の状態を毎週確認する CMA_0479 - 脅威に対する保護の状態を毎週確認する Manual、Disabled 1.1.0
エンドポイント セキュリティ ソリューションのセンサーをオンにする CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする Manual、Disabled 1.1.0
ウイルス対策定義を更新する CMA_0517 - ウイルス対策定義を更新する Manual、Disabled 1.1.0
ソフトウェア、ファームウェア、情報の整合性を検証する CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する Manual、Disabled 1.1.0

VHD が暗号化されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 7.7 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
データ漏えいの管理手順を確立する CMA_0255 - データ漏えいの管理手順を確立する Manual、Disabled 1.1.0
すべてのメディアをセキュリティで保護するためのコントロールを実装する CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する Manual、Disabled 1.1.0
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
特別な情報を保護する CMA_0409 - 特別な情報を保護する Manual、Disabled 1.1.0

8 セキュリティに関するその他の考慮事項

すべてのキーに有効期限が設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
物理キーの管理プロセスを定義する CMA_0115 - 物理キーの管理プロセスを定義する Manual、Disabled 1.1.0
暗号化の使用を定義する CMA_0120 - 暗号化の使用を定義する Manual、Disabled 1.1.0
暗号化キーを管理するための組織要件を定義する CMA_0123 - 暗号化キーを管理するための組織要件を定義する Manual、Disabled 1.1.0
アサーション要件を決定する CMA_0136 - アサーション要件を決定する Manual、Disabled 1.1.0
公開キー証明書を発行する CMA_0347 - 公開キー証明書を発行する Manual、Disabled 1.1.0
Key Vault キーには有効期限が必要である 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 Audit、Deny、Disabled 1.0.2
対称暗号化キーを管理する CMA_0367 - 対称暗号化キーを管理する Manual、Disabled 1.1.0
秘密キーへのアクセスを制限する CMA_0445 - 秘密キーへのアクセスを制限する Manual、Disabled 1.1.0

すべてのシークレットに有効期限が設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
物理キーの管理プロセスを定義する CMA_0115 - 物理キーの管理プロセスを定義する Manual、Disabled 1.1.0
暗号化の使用を定義する CMA_0120 - 暗号化の使用を定義する Manual、Disabled 1.1.0
暗号化キーを管理するための組織要件を定義する CMA_0123 - 暗号化キーを管理するための組織要件を定義する Manual、Disabled 1.1.0
アサーション要件を決定する CMA_0136 - アサーション要件を決定する Manual、Disabled 1.1.0
公開キー証明書を発行する CMA_0347 - 公開キー証明書を発行する Manual、Disabled 1.1.0
Key Vault シークレットには有効期限が必要である シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 Audit、Deny、Disabled 1.0.2
対称暗号化キーを管理する CMA_0367 - 対称暗号化キーを管理する Manual、Disabled 1.1.0
秘密キーへのアクセスを制限する CMA_0445 - 秘密キーへのアクセスを制限する Manual、Disabled 1.1.0

ミッション クリティカルな Azure リソースに対してリソース ロックが設定されているようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
変更制御プロセスを確立して文書化する CMA_0265 - 変更制御プロセスを確立して文書化する Manual、Disabled 1.1.0

キー コンテナーが回復可能であることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
キー コンテナーで削除保護を有効にする必要がある 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 Audit、Deny、Disabled 2.1.0
情報の可用性を維持する CMA_C1644 - 情報の可用性を維持する Manual、Disabled 1.1.0

Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 8.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
セキュリティ機能と情報へのアクセスを認可する CMA_0022 - セキュリティ機能と情報へのアクセスを認可する Manual、Disabled 1.1.0
アクセスを認可および管理する CMA_0023 - アクセスを認可および管理する Manual、Disabled 1.1.0
論理アクセスを強制する CMA_0245 - 論理アクセスを強制する Manual、Disabled 1.1.0
必須および任意のアクセス制御ポリシーを適用する CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する Manual、Disabled 1.1.0
アカウント作成の承認を必要とする CMA_0431 - アカウント作成の承認を必要とする Manual、Disabled 1.1.0
機密データにアクセスできるユーザー グループとアプリケーションを確認する CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する Manual、Disabled 1.1.0
Kubernetes Services でロールベースのアクセス制御 (RBAC) を使用する必要がある ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 Audit、Disabled 1.0.4

9 App Service

Azure App Service に App Service 認証が設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリでは認証を有効にする必要がある Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です。 AuditIfNotExists、Disabled 2.0.1
暗号化モジュールに対して認証する CMA_0021 - 暗号化モジュールに対して認証する Manual、Disabled 1.1.0
ユーザーの一意性を徹底する CMA_0250 - ユーザーの一意性を徹底する Manual、Disabled 1.1.0
関数アプリでは認証を有効にする必要がある Azure App Service 認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、トークンを保持するものを関数アプリへの到達前に認証したりできる機能です。 AuditIfNotExists、Disabled 3.0.0
法的機関によって発行された個人確認の資格情報をサポートする CMA_0507 - 法的機関によって発行された個人確認の資格情報をサポートする Manual、Disabled 1.1.0

FTP デプロイが無効になっていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.10 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリでは FTPS のみが要求される必要がある セキュリティを強化するために FTPS 強制を有効にしてください。 AuditIfNotExists、Disabled 3.0.0
デジタル証明書を確認するようにワークステーションを構成する CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する Manual、Disabled 1.1.0
関数アプリでは FTPS のみが要求される必要がある セキュリティを強化するために FTPS 強制を有効にしてください。 AuditIfNotExists、Disabled 3.0.0
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
暗号化を使用してパスワードを保護する CMA_0408 - 暗号化を使用してパスワードを保護する Manual、Disabled 1.1.0

シークレットの格納に Azure Keyvault が使用されるようにする

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.11 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
物理キーの管理プロセスを定義する CMA_0115 - 物理キーの管理プロセスを定義する Manual、Disabled 1.1.0
暗号化の使用を定義する CMA_0120 - 暗号化の使用を定義する Manual、Disabled 1.1.0
暗号化キーを管理するための組織要件を定義する CMA_0123 - 暗号化キーを管理するための組織要件を定義する Manual、Disabled 1.1.0
アサーション要件を決定する CMA_0136 - アサーション要件を決定する Manual、Disabled 1.1.0
暗号化メカニズムが構成管理の下に存在するようにする CMA_C1199 - 暗号化メカニズムが構成管理の下に存在するようにする Manual、Disabled 1.1.0
公開キー証明書を発行する CMA_0347 - 公開キー証明書を発行する Manual、Disabled 1.1.0
情報の可用性を維持する CMA_C1644 - 情報の可用性を維持する Manual、Disabled 1.1.0
対称暗号化キーを管理する CMA_0367 - 対称暗号化キーを管理する Manual、Disabled 1.1.0
秘密キーへのアクセスを制限する CMA_0445 - 秘密キーへのアクセスを制限する Manual、Disabled 1.1.0

Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリに HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit, Disabled, Deny 4.0.0
デジタル証明書を確認するようにワークステーションを構成する CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する Manual、Disabled 1.1.0
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
暗号化を使用してパスワードを保護する CMA_0408 - 暗号化を使用してパスワードを保護する Manual、Disabled 1.1.0

Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリは最新の TLS バージョンを使用する必要がある セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 AuditIfNotExists、Disabled 2.1.0
デジタル証明書を確認するようにワークステーションを構成する CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する Manual、Disabled 1.1.0
関数アプリは最新の TLS バージョンを使用する必要がある セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 AuditIfNotExists、Disabled 2.1.0
暗号化を使用して転送中のデータを保護する CMA_0403 - 暗号化を使用して転送中のデータを保護する Manual、Disabled 1.1.0
暗号化を使用してパスワードを保護する CMA_0408 - 暗号化を使用してパスワードを保護する Manual、Disabled 1.1.0

Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
[非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Http 2.0 はクライアント証明書をサポートしていないため、このポリシーは同じ名前の新しいポリシーに置き換えられました。 Audit、Disabled 3.1.0 (非推奨)
App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 AuditIfNotExists、Disabled 1.0.0
暗号化モジュールに対して認証する CMA_0021 - 暗号化モジュールに対して認証する Manual、Disabled 1.1.0

App Service で [Azure Active Directory に登録する] が有効になっていることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 3.0.0
アカウント管理を自動化する CMA_0026 - アカウント管理を自動化する Manual、Disabled 1.1.0
関数アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 3.0.0
システムと管理者のアカウントを管理する CMA_0368 - システムと管理者のアカウントを管理する Manual、Disabled 1.1.0
組織全体のアクセスを監視する CMA_0376 - 組織全体のアクセスを監視する Manual、Disabled 1.1.0
アカウントが不要になったときに通知する CMA_0383 - アカウントが不要になったときに通知する Manual、Disabled 1.1.0

Web アプリの実行に使用された "PHP のバージョン" が最新であることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
情報システムの欠陥を修復する CMA_0427 - 情報システムの欠陥を修復する Manual、Disabled 1.1.0

Web アプリの実行に使用された "Python のバージョン" が最新であることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.7 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
情報システムの欠陥を修復する CMA_0427 - 情報システムの欠陥を修復する Manual、Disabled 1.1.0

Web アプリの実行に使用された "Java のバージョン" が最新であることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.8 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
情報システムの欠陥を修復する CMA_0427 - 情報システムの欠陥を修復する Manual、Disabled 1.1.0

Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する

ID: CIS Microsoft Azure Foundations ベンチマークの推奨事項 9.9 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリは最新の 'HTTP バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 AuditIfNotExists、Disabled 4.0.0
関数アプリでは最新の 'HTTP バージョン' を使用する必要がある セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 AuditIfNotExists、Disabled 4.0.0
情報システムの欠陥を修復する CMA_0427 - 情報システムの欠陥を修復する Manual、Disabled 1.1.0

次のステップ

Azure Policy に関するその他の記事: