次の方法で共有


Microsoft クラウド セキュリティ ベンチマーク (Azure Government) 規制コンプライアンスの組み込みイニシアティブの詳細

次の記事では、Azure Policy 規制コンプライアンスの組み込みイニシアティブ定義が、Microsoft クラウド セキュリティ ベンチマーク (Azure Government) 内のコンプライアンス ドメインコントロールにどのようにマップされるかについて詳細に説明します。 このコンプライアンス標準の詳細については、Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。 "所有権" を理解するには、「ポリシーの種類」と「クラウドでの共有責任」を参照してください。

次のマッピングは、Microsoft クラウド セキュリティ ベンチマークのコントロールに対するものです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、Microsoft クラウド セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアティブ定義を見つけて選択します。

重要

以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。

ネットワークのセキュリティ

ネットワーク セグメント化の境界を確立する

ID: Microsoft クラウド セキュリティ ベンチマーク NS-1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 AuditIfNotExists、Disabled 3.0.0
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 AuditIfNotExists、Disabled 3.0.0

ネットワーク制御を使用してクラウド サービスをセキュリティで保護する

ID: Microsoft クラウド セキュリティ ベンチマーク NS-2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
[非推奨]: Cognitive Services ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Cognitive Services にマッピングすることにより、データ漏えいの可能性を減らすことができます。 プライベート リンクの詳細については、https://go.microsoft.com/fwlink/?linkid=2129800 を参照してください。 Audit、Disabled 3.0.1 (非推奨)
API Management サービスには仮想ネットワークが使用されている必要がある Azure Virtual Network のデプロイにより、セキュリティが強化され、分離が行われ、インターネット ルーティングできないネットワークに API Management サービスを配置して、アクセスを制御できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 Audit、Deny、Disabled 1.0.2
App Configuration ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 AuditIfNotExists、Disabled 1.0.2
Kubernetes Services では、許可する IP の範囲を定義する必要があります Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 Audit、Disabled 2.0.0
Azure AI Services リソースでネットワーク アクセスを制限する必要がある ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これを実現するには、許可されたネットワークからのアプリケーションのみが Azure AI サービスにアクセスできるようにネットワーク規則を構成します。 Audit、Deny、Disabled 3.2.0
Azure AI サービスのリソースでは Azure Private Link を使用する必要があります Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azure バックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理することで、データ漏えいのリスクを軽減します。 プライベート リンクの詳細については、https://aka.ms/AzurePrivateLink/Overview を参照してください。 Audit、Disabled 1.0.0
Azure Cache for Redis でプライベート リンクを使用する必要がある プライベート エンドポイントを使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Azure Cache for Redis インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 AuditIfNotExists、Disabled 1.0.0
Azure Cosmos DB のアカウントにはファイアウォール規則を含める必要がある 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントに対してファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 Audit、Deny、Disabled 2.1.0
Azure Cosmos DB で公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに CosmosDB アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、CosmosDB アカウントの露出を制限できます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 Audit、Deny、Disabled 1.0.0
Azure Databricks クラスターはパブリック IP を無効にする必要がある Azure Databricks ワークスペースでクラスターのパブリック IP を無効にすると、クラスターがパブリック インターネットで公開されないことを保証できるので、セキュリティが向上します。 詳細については、https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity を参照してください。 Audit、Deny、Disabled 1.0.1
Azure Databricks ワークスペースは仮想ネットワーク内に存在する必要があります Azure Virtual Network は、Azure Databricks ワークスペースに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 詳細については、https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject を参照してください。 Audit、Deny、Disabled 1.0.2
Azure Databricks ワークスペースではパブリック ネットワーク アクセスを無効にする必要があります 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 リソースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細については、https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link を参照してください。 Audit、Deny、Disabled 1.0.1
Azure Databricks ワークスペースではプライベート リンクを使用する必要があります Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 Azure Databricks ワークスペースにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/adbpe を参照してください。 Audit、Disabled 1.0.2
Azure Event Grid ドメインではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Disabled 1.0.2
Azure Event Grid トピックではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 Audit、Disabled 1.0.2
Azure Machine Learning コンピューティングは仮想ネットワーク内に存在する必要がある Azure Virtual Network は、Azure Machine Learning コンピューティングのクラスターおよびインスタンスに強化されたセキュリティと分離を提供することに加えて、サブネットやアクセス制御ポリシーなどのアクセスを詳細に制限するための機能も提供しています。 コンピューティングが仮想ネットワークで構成されていると、パブリックなアドレス指定ができなくなり、仮想ネットワーク内の仮想マシンとアプリケーションからのみアクセスできるようになります。 Audit、Disabled 1.0.1
Azure Machine Learning ワークスペースで公衆ネットワーク アクセスを無効にする必要がある 公衆ネットワーク アクセスを無効にすると、Machine Learning ワークスペースがパブリック インターネットに公開されないようになり、セキュリティが向上します。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal Audit、Deny、Disabled 2.0.1
Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすると、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 Audit、Disabled 1.0.0
Azure SignalR Service ではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、Azure SignalR Service リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが減ります。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 Audit、Disabled 1.0.0
Azure SQL Managed Instance でパブリック ネットワーク アクセスを無効にする必要がある 仮想ネットワーク内またはプライベート エンドポイント経由からのみアクセスできるようにして、Azure SQL Managed Instance でパブリック ネットワーク アクセス (パブリック エンドポイント) を無効にすると、セキュリティが向上します。 パブリック ネットワーク アクセスについて詳しくは、https://aka.ms/mi-public-endpoint をご覧ください。 Audit、Deny、Disabled 1.0.0
コンテナー レジストリでは無制限のネットワーク アクセスを許可しない 既定では、Azure コンテナー レジストリは、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については以下を参照してください: https://aka.ms/acr/privatelinkhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet Audit、Deny、Disabled 2.0.0
コンテナー レジストリではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure バックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏洩のリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 Audit、Disabled 1.0.1
CosmosDB アカウントでプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 Audit、Disabled 1.0.0
Azure SQL Database のプライベート エンドポイント接続を有効にする必要がある プライベート エンドポイント接続は、Azure SQL Database へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 Audit、Disabled 1.1.0
PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある プライベート エンドポイント接続は、Azure Database for PostgreSQL へのプライベート接続を有効にすることで、通信のセキュリティを強化します。 既知のネットワークからのトラフィックへのアクセスを有効にし、Azure 内の IP アドレスも含めて他のすべての IP アドレスからのアクセスを防ぐために、プライベート エンドポイント接続を構成します。 AuditIfNotExists、Disabled 1.0.2
Azure SQL Database のパブリック ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にすると、Azure SQL Database へのアクセスがプライベート エンドポイントのみに制限されるため、セキュリティが強化されます。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 Audit、Deny、Disabled 1.1.0
PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみ Azure Database for PostgreSQL にアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワークベースのファイアウォール規則に一致するすべてのログインが拒否されます。 Audit、Deny、Disabled 2.0.1
ストレージ アカウントではネットワーク アクセスを制限する必要があります ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 Audit、Deny、Disabled 1.1.1
ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 Audit、Deny、Disabled 1.0.1
ストレージ アカウントではプライベート リンクを使用する必要がある Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 AuditIfNotExists、Disabled 2.0.0

エンタープライズ ネットワークのエッジでファイアウォールをデプロイする

ID: Microsoft クラウド セキュリティ ベンチマーク NS-3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください AuditIfNotExists、Disabled 3.0.0-preview
仮想マシン上の IP 転送を無効にする必要がある 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 AuditIfNotExists、Disabled 3.0.0
仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0
仮想マシンの管理ポートを閉じておく必要がある リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 AuditIfNotExists、Disabled 3.0.0

DDoS 保護を展開する

ID: Microsoft クラウド セキュリティ ベンチマーク NS-5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure DDoS Protection を有効にする必要があります パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.1

Web アプリケーション ファイアウォールをデプロイする

ID: Microsoft クラウド セキュリティ ベンチマーク NS-6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Front Door エントリ ポイントに対して Azure Web Application Firewall を有効にする必要がある 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 Audit、Deny、Disabled 1.0.2
Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある 受信トラフィックをさらに検査するために、公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) を使用すると、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションが一元的に保護されます。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 Audit、Deny、Disabled 2.0.0

セキュリティで保護されていないサービスとプロトコルを検出して無効にする

ID: Microsoft クラウド セキュリティ ベンチマーク NS-8 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリは最新の TLS バージョンを使用する必要がある セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 AuditIfNotExists、Disabled 2.1.0
関数アプリは最新の TLS バージョンを使用する必要がある セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 AuditIfNotExists、Disabled 2.1.0

ID 管理

一元的な ID および認証システムを使用する

ID: Microsoft クラウド セキュリティ ベンチマーク IM-1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: Azure PostgreSQL フレキシブル サーバーで Microsoft Entra 専用認証を有効にする必要がある ローカル認証方法を無効にして Microsoft Entra 認証のみを許可すると、Azure PostgreSQL フレキシブル サーバーへは Microsoft Entra の ID のみでアクセスできるようになるため、セキュリティが向上します。 Audit、Disabled 1.0.0-preview
PostgreSQL サーバーに対して Microsoft Entra 管理者をプロビジョニングする必要がある PostgreSQL サーバーに対する Microsoft Entra 管理者のプロビジョニングを監査して、Microsoft Entra 認証を有効にします。 Microsoft Entra 認証を使用すると、アクセス許可の管理が簡易化され、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.0.1
SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.0.0
Azure AI Services リソースのキー アクセスが無効になっている必要があります (ローカル認証を無効にする) セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 開発/テストで通常使用される Azure OpenAI Studio にはキー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra ID が唯一のアクセス方法になるため、最小特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください Audit、Deny、Disabled 1.1.0
Azure Machine Learning コンピューティングでローカル認証方法を無効にする必要がある ローカル認証方法を無効にすると、Machine Learning コンピューティングで認証専用の Azure Active Directory ID が必要になり、セキュリティが向上します。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 Audit、Deny、Disabled 2.1.0
Azure SQL Database で Microsoft Entra 専用認証が有効になっている必要がある Microsoft Entra 専用認証を使うように Azure SQL 論理サーバーに要求します。 このポリシーでは、ローカル認証が有効なサーバーが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 Audit、Deny、Disabled 1.0.0
Azure SQL Database では作成時に Microsoft Entra 専用認証が有効になっている必要がある Microsoft Entra 専用認証を使って Azure SQL 論理サーバーを作成することを要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 Audit、Deny、Disabled 1.2.0
Azure SQL Managed Instance で Microsoft Entra 専用認証が有効になっている必要がある Microsoft Entra 専用認証を使うように Azure SQL Managed Instance に要求します。 このポリシーでは、ローカル認証が有効な Azure SQL Managed Instance が作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 Audit、Deny、Disabled 1.0.0
Azure SQL Managed Instance では作成時に Microsoft Entra 専用認証が有効になっている必要がある Microsoft Entra 専用認証を使って Azure SQL Managed Instance を作成するように要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 Audit、Deny、Disabled 1.2.0
Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します Audit、Deny、Disabled 1.1.0
ストレージ アカウントでは、共有キーのアクセスを禁止する必要がある ストレージ アカウントの要求を承認するための Azure Active Directory (Azure AD) の監査要件。 既定では、Azure Active Directory の資格情報、または共有キーによる承認用のアカウント アクセス キーを使用して、要求を承認することができます。 これら 2 種類の承認では、Azure AD の方がセキュリティが優れ、共有キーより使いやすいので、Microsoft ではそちらをお勧めします。 Audit、Deny、Disabled 2.0.0
Synapse ワークスペースでは Microsoft Entra 専用認証が有効になっている必要がある Microsoft Entra 専用認証を使うように Synapse ワークスペースに要求します。 このポリシーでは、ローカル認証が有効なワークスペースが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 Audit、Deny、Disabled 1.0.0
Synapse ワークスペースはワークスペース作成時に認証に Microsoft Entra の ID のみを使用する必要がある Microsoft Entra 専用認証を使って Synapse ワークスペースを作成するように要求します。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに 'Microsoft Entra 専用認証' イニシアティブを使うことを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 Audit、Deny、Disabled 1.2.0
VPN ゲートウェイでは、ポイント対サイト ユーザーに対して Azure Active Directory (Azure AD) 認証のみを使用する必要がある ローカル認証方法を無効にすると、VPN ゲートウェイで Azure Active Directory ID のみが認証に利用されることになり、セキュリティが向上します。 Azure AD 認証の詳細は https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant で確認してください Audit、Deny、Disabled 1.0.0

アプリケーション ID を安全かつ自動的に管理する

ID: Microsoft クラウド セキュリティ ベンチマーク IM-3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 3.0.0
関数アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 3.0.0
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください AuditIfNotExists、Disabled 1.0.1

サーバーとサービスを認証する

ID: Microsoft クラウド セキュリティ ベンチマーク IM-4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります TLS バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 Audit, Disabled, Deny 2.0.0

強力な認証制御を使用する

ID: Microsoft クラウド セキュリティ ベンチマーク IM-6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0

特権アクセス

高い特権を持つ/管理者ユーザーを分離して制限する

ID: Microsoft クラウド セキュリティ ベンチマーク PA-1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
サブスクリプションには最大 3 人の所有者を指定する必要がある セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 AuditIfNotExists、Disabled 3.0.0
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
複数の所有者がサブスクリプションに割り当てられている必要がある 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 AuditIfNotExists、Disabled 3.0.0

アカウントとアクセス許可の継続的なアクセスを避ける

ID: Microsoft クラウド セキュリティ ベンチマーク PA-2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0

ユーザー アクセスを定期的に確認して調整する

ID: Microsoft クラウド セキュリティ ベンチマーク PA-4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0

Just Enough Administration (最小限の特権) の原則に従う

ID: Microsoft クラウド セキュリティ ベンチマーク PA-7 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
カスタム RBAC ロールの使用状況を監査する エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります Audit、Disabled 1.0.1
Kubernetes Services でロールベースのアクセス制御 (RBAC) を使用する必要がある ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 Audit、Disabled 1.0.4

データ保護

機密データを対象とする異常と脅威を監視する

ID: Microsoft クラウド セキュリティ ベンチマーク DP-2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Defender for Azure SQL Database サーバーを有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
保護されていない SQL Managed Instance に対して、Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
Microsoft Defender for Storage (クラシック) を有効にする必要がある Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 AuditIfNotExists、Disabled 1.0.4

転送中の機密データを暗号化する

ID: Microsoft クラウド セキュリティ ベンチマーク DP-3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリに HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit, Disabled, Deny 4.0.0
App Service アプリでは FTPS のみが要求される必要がある セキュリティを強化するために FTPS 強制を有効にしてください。 AuditIfNotExists、Disabled 3.0.0
App Service アプリは最新の TLS バージョンを使用する必要がある セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 AuditIfNotExists、Disabled 2.1.0
Azure SQL Database は TLS バージョン 1.2 以降を実行している必要があります TLS バージョン 1.2 以降の TLS を設定すると、TLS 1.2 以降を使用するクライアントのみが Azure SQL Database にアクセスできるため、セキュリティが強化されます。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 Audit, Disabled, Deny 2.0.0
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 Audit、Disabled 1.0.1
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 Audit、Disabled 1.0.1
関数アプリに HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit, Disabled, Deny 5.0.0
関数アプリでは FTPS のみが要求される必要がある セキュリティを強化するために FTPS 強制を有効にしてください。 AuditIfNotExists、Disabled 3.0.0
関数アプリは最新の TLS バージョンを使用する必要がある セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 AuditIfNotExists、Disabled 2.1.0
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS)、および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 9.1.0
Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します Audit、Deny、Disabled 1.0.0
ストレージ アカウントへの安全な転送を有効にする必要がある ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します Audit、Deny、Disabled 2.0.0

保存データの暗号化を既定で有効にする

ID: Microsoft クラウド セキュリティ ベンチマーク DP-4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Automation アカウント変数は、暗号化する必要がある 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です Audit、Deny、Disabled 1.1.0
Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します Audit、Deny、Disabled 1.1.0
Transparent Data Encryption を SQL データベース上で有効にする必要がある 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります AuditIfNotExists、Disabled 2.0.0
仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 Audit、Deny、Disabled 1.0.0

必要に応じて保存データの暗号化でお客様が管理するキー オプションを使用する

ID: Microsoft クラウド セキュリティ ベンチマーク DP-5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure AI サービス リソースでは、カスタマー マネージド キー (CMK) を使用して保存データを暗号化する必要がある カスタマー マネージド キーを使用して保存データを暗号化すると、キーのローテーションや管理など、キーのライフサイクルをより詳細に制御できます。 これは、関連するコンプライアンス要件がある組織に特に関係します。 これは既定では評価されず、コンプライアンスで、または制限的なポリシー要件で必要な場合にのみ適用する必要があります。 有効でない場合、データはプラットフォームマネージド キーを使用して暗号化されます。 これを実装するには、該当するスコープのセキュリティ ポリシーの "Effect" パラメーターを更新します。 Audit、Deny、Disabled 2.2.0
Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、Azure Cosmos DB の保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 audit、Audit、deny、Deny、disabled、Disabled 1.1.0
Azure Machine Learning ワークスペースは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 Audit、Deny、Disabled 1.1.0
コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 Audit、Deny、Disabled 1.1.2
PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 AuditIfNotExists、Disabled 1.0.4
ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 Audit、Disabled 1.0.3

キーおよび証明書リポジトリのセキュリティを確保する

ID: Microsoft クラウド セキュリティ ベンチマーク DP-8 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
キー コンテナーで削除保護を有効にする必要がある 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 Audit、Deny、Disabled 2.1.0
キー コンテナーで論理的な削除が有効になっている必要がある 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 Audit、Deny、Disabled 3.0.0
Key Vault のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

アセット管理

承認済みのサービスのみを使用する

ID: Microsoft クラウド セキュリティ ベンチマーク AM-2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります Audit、Deny、Disabled 1.0.0
仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります Audit、Deny、Disabled 1.0.0

ログと脅威検出

脅威検出機能を有効にする

ID: Microsoft クラウド セキュリティ ベンチマーク LT-1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 AuditIfNotExists、Disabled 4.0.1-preview
Azure Defender for Azure SQL Database サーバーを有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
Azure Defender for Resource Manager を有効にする必要がある Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
サーバー用 Azure Defender を有効にする必要がある サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3
保護されていない MySQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 Audit、Disabled 2.0.1
Microsoft Defender for Containers を有効にする必要がある Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 AuditIfNotExists、Disabled 1.0.0
保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for Storage (クラシック) を有効にする必要がある Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 AuditIfNotExists、Disabled 1.0.4

ID およびアクセス管理の脅威検出を有効にする

ID: Microsoft クラウド セキュリティ ベンチマーク LT-2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: Azure Arc 対応 Kubernetes クラスターには、Microsoft Defender for Cloud 拡張機能がインストールされている必要がある Azure Arc の Microsoft Defender for Cloud 拡張機能により、Arc 対応 Kubernetes クラスターの脅威保護が提供されます。 拡張機能は、クラスター内のすべてのノードからデータを収集し、そのデータを、詳しく分析するためにクラウド内の Azure Defender for Kubernetes バックエンドに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 AuditIfNotExists、Disabled 4.0.1-preview
Azure Defender for Azure SQL Database サーバーを有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
Azure Defender for Resource Manager を有効にする必要がある Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
サーバー用 Azure Defender を有効にする必要がある サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3
保護されていない MySQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、ランタイム保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks の Microsoft Defender for Containers の詳細 Audit、Disabled 2.0.1
Microsoft Defender for Containers を有効にする必要がある Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 AuditIfNotExists、Disabled 1.0.0
保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for Storage (クラシック) を有効にする必要がある Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 AuditIfNotExists、Disabled 1.0.4

セキュリティ調査のためのログを有効にする

ID: Microsoft クラウド セキュリティ ベンチマーク LT-3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリではリソース ログを有効にする必要がある アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 AuditIfNotExists、Disabled 2.0.1
SQL Server の監査を有効にする必要があります サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
Azure AI サービス リソースの診断ログを有効にする必要がある Azure AI サービス リソースのログを有効にします。 これで、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 1.0.0
Azure Data Lake Store のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Azure Databricks ワークスペースのリソース ログを有効にする必要があります リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 AuditIfNotExists、Disabled 1.0.1
Azure Kubernetes Service でリソース ログを有効にする必要がある Azure Kubernetes Service のリソース ログは、セキュリティ インシデントを調査するときにアクティビティ証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします AuditIfNotExists、Disabled 1.0.0
Azure Machine Learning ワークスペースのリソース ログを有効にする必要があります リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 AuditIfNotExists、Disabled 1.0.1
Azure Stream Analytics のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Batch アカウントのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Data Lake Analytics のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
イベント ハブのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Key Vault のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Logic Apps のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.1.0
Search サービスのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0
Service Bus のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

ログの保持期間を構成する

ID: Microsoft クラウド セキュリティ ベンチマーク LT-6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 AuditIfNotExists、Disabled 3.0.0

インシデント対応

準備 - インシデント通知を設定する

ID: Microsoft クラウド セキュリティ ベンチマーク IR-2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 AuditIfNotExists、Disabled 1.0.1
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 AuditIfNotExists、Disabled 2.0.0
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 AuditIfNotExists、Disabled 1.0.1

検出と分析 - 高品質のアラートに基づいてインシデントを作成する

ID: Microsoft クラウド セキュリティ ベンチマーク IR-3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Defender for Azure SQL Database サーバーを有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
Azure Defender for Resource Manager を有効にする必要がある Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
サーバー用 Azure Defender を有効にする必要がある サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3
保護されていない MySQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
Microsoft Defender for Containers を有効にする必要がある Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 AuditIfNotExists、Disabled 1.0.0
保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for Storage (クラシック) を有効にする必要がある Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 AuditIfNotExists、Disabled 1.0.4

検出と分析 - インシデントを調査する

ID: Microsoft クラウド セキュリティ ベンチマーク IR-4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Network Watcher を有効にする必要がある Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 AuditIfNotExists、Disabled 3.0.0

検出と分析 - インシデントの優先順位を付ける

ID: Microsoft クラウド セキュリティ ベンチマーク IR-5 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Defender for Azure SQL Database サーバーを有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
Azure Defender for Resource Manager を有効にする必要がある Azure Defender for Resource Manager では、組織内尾のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。 Azure Defender for Resource Manager の機能に関する詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 この Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center AuditIfNotExists、Disabled 1.0.0
サーバー用 Azure Defender を有効にする必要がある サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3
保護されていない MySQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
保護されていない PostgreSQL フレキシブル サーバーに対して、Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します AuditIfNotExists、Disabled 1.0.0
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
Microsoft Defender for Containers を有効にする必要がある Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウド Kubernetes 環境に対する強化、脆弱性評価、ランタイム保護を提供します。 AuditIfNotExists、Disabled 1.0.0
保護されていない Azure Synapse ワークスペースに対して、Microsoft Defender for SQL を有効にする必要がある Defender for SQL を有効にして Synapse ワークスペースを保護します。 Defender for SQL は Synapse SQL を監視して、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なり、害を及ぼすおそれのある試行を示す異常なアクティビティを検出します。 AuditIfNotExists、Disabled 1.0.0
Microsoft Defender for Storage (クラシック) を有効にする必要がある Microsoft Defender for Storage (クラシック) により、ストレージ アカウントへのアクセスやその悪用のような、通常とは異なる、害を及ぼす可能性のある試行が検出されます。 AuditIfNotExists、Disabled 1.0.4

体制と脆弱性の管理

セキュリティで保護された構成を監査して適用する

ID: Microsoft クラウド セキュリティ ベンチマーク PV-2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
[非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Http 2.0 はクライアント証明書をサポートしていないため、このポリシーは同じ名前の新しいポリシーに置き換えられました。 Audit、Disabled 3.1.0 (非推奨)
App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 AuditIfNotExists、Disabled 1.0.0
App Service アプリではリモート デバッグをオフにする必要がある リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 AuditIfNotExists、Disabled 2.0.0
最新のソフトウェア更新プログラムを取得するには、Azure Machine Learning コンピューティング インスタンスを再作成する必要がある Azure Machine Learning コンピューティング インスタンスが利用可能な最新のオペレーティング システムで実行されていることを確実にします。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、https://aka.ms/azureml-ci-updates/ を参照してください。 [parameters('effects')] 1.0.3
Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要がある Kubernetes Service (AKS) 用の Azure Policy アドオンを使用すると、Open Policy Agent (OPA) に対する受付制御 Webhook である Gatekeeper V3 を拡張して、整合性のある一元的な方法で、大規模な強制と保護をお使いのクラスターに適用できます。 Audit、Disabled 1.0.2
関数アプリではリモート デバッグをオフにする必要がある リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 AuditIfNotExists、Disabled 2.0.0
Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 10.2.0
[Kubernetes クラスター コンテナーでは、ホスト プロセス ID またはホスト IPC 名前空間を共有してはいけない](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F47a1ee2f-2a2a-4576-bf2a-e0e36709c2b8) ポッド コンテナーが Kubernetes クラスターでホスト プロセス ID 名前空間とホスト IPC 名前空間を共有できないようにします。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.2 と CIS 5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.1.0
Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイルのみを使用する必要がある コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.1
[Kubernetes クラスター コンテナーでは、許可されている機能のみを使用する必要がある](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2Fc26596ff-4d70-4e6a-9a30-c2506bd2f80c) Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.0
[Kubernetes クラスター コンテナーでは、許可されているイメージのみを使用する必要がある](https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2Ffebd0533-8e55-448f-b837-bd0e06f16469) 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 audit、Audit、deny、Deny、disabled、Disabled 10.2.0
Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.0
Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) と Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.1
Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.1
Kubernetes クラスターのポッドでは、承認されているホスト ネットワークとポート範囲のみを使用する必要がある ポッドのアクセスを、Kubernetes クラスター内のホスト ネットワークおよび許容されるホスト ポート範囲に制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.4 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 7.1.0
Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 9.1.0
Kubernetes クラスターで特権コンテナーを許可しない Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 10.1.0
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.1.0
Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) と、Azure Arc 対応 Kubernetes のプレビューで一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 8.1.0
Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 6.1.0
Kubernetes クラスターでは既定の名前空間を使用しない ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 audit、Audit、deny、Deny、disabled、Disabled 5.1.0

コンピューティング リソースにセキュリティで保護された構成を監査して適用する

ID: Microsoft クラウド セキュリティ ベンチマーク PV-4 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 AuditIfNotExists、Disabled 6.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている Linux 仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 AuditIfNotExists、Disabled 5.1.0-preview
[プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシンにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 AuditIfNotExists、Disabled 4.0.0-preview
[プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある ブート整合性の構成証明と監視を Azure Security Center がプロアクティブに行えるよう、サポートされている仮想マシン スケール セットにゲスト構成証明の拡張機能をインストールします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Windows 仮想マシン スケール セットに適用されます。 AuditIfNotExists、Disabled 3.1.0-preview
[プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートされる Windows 仮想マシンでセキュア ブートを有効にします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、トラステッド起動と機密の Windows 仮想マシンに適用されます。 Audit、Disabled 4.0.0-preview
[プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 Audit、Disabled 2.0.0-preview
ゲスト構成拡張機能をマシンにインストールする必要がある マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールが完了すると、"Windows Exploit Guard を有効にする必要がある" のようなゲスト内ポリシーを使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 AuditIfNotExists、Disabled 1.0.2
仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内の Azure 仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がなければ非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください AuditIfNotExists、Disabled 1.0.1

脆弱性を迅速かつ自動的に修復する

ID: Microsoft クラウド セキュリティ ベンチマーク PV-6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 AuditIfNotExists、Disabled 1.0.1
Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 AuditIfNotExists、Disabled 1.0.1
不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 AssessmentMode プロパティの詳細は、Windows の場合 https://aka.ms/computevm-windowspatchassessmentmode、 Linux の場合 https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 Audit、Deny、Disabled 3.7.0
SQL データベースでは脆弱性の検出結果を解決する必要がある 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 AuditIfNotExists、Disabled 4.1.0
マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 AuditIfNotExists、Disabled 1.0.0
システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 AuditIfNotExists、Disabled 1.0.0
使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.1.0

エンドポイント セキュリティ

エンドポイントでの検出と対応 (EDR) を使用する

ID: Microsoft クラウド セキュリティ ベンチマーク ES-1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
サーバー用 Azure Defender を有効にする必要がある サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3

バックアップと回復

定期的な自動バックアップを保証する

ID: Microsoft クラウド セキュリティ ベンチマーク BR-1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
仮想マシンに対して Azure Backup を有効にする必要がある Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 AuditIfNotExists、Disabled 3.0.0
Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1
Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1
Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1

バックアップおよび回復データを保護する

ID: Microsoft クラウド セキュリティ ベンチマーク BR-2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
仮想マシンに対して Azure Backup を有効にする必要がある Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 AuditIfNotExists、Disabled 3.0.0
Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある Azure Database for MariaDB を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1
Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある Azure Database for MySQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1
Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある Azure Database for PostgreSQL を使用すると、データベース サーバーの冗長オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 Audit、Disabled 1.0.1

DevOps セキュリティ

DevOps ライフサイクル全体を通してワークロードのセキュリティを確保する

ID: Microsoft クラウド セキュリティ ベンチマーク DS-6 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 AuditIfNotExists、Disabled 1.0.1
Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 AuditIfNotExists、Disabled 1.0.1

次のステップ

Azure Policy に関するその他の記事: