SWIFT CSP-CSCF v2022 規制コンプライアンスの組み込みイニシアティブの詳細
この記事では、Azure Policy 規制コンプライアンスの組み込みイニシアティブ定義が、SWIFT CSP-CSCF v2022 のコンプライアンス ドメインとコントロールにどのように対応するのかについて詳しく説明します。 このコンプライアンス標準の詳細については、「SWIFT CSP-CSCF v2022」を参照してください。 "所有権" を理解するには、「ポリシーの種類」と「クラウドでの共有責任」を参照してください。
以下のマッピングは、SWIFT CSP-CSCF v2022 コントロールに対するものです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、SWIFT CSP-CSCF v2022 規制コンプライアンスの組み込みイニシアティブ定義を見つけて選びます。
重要
以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する
ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。
ID: SWIFT CSCF v2022 1.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク サービス エンドポイントを使用して、Azure 仮想ネットワークと選択したサブネットからアプリへのアクセスを制限します。 App Service サービス エンドポイントの詳細については、https://aka.ms/appservice-vnet-service-endpoint を参照してください。 | AuditIfNotExists、Disabled | 2.0.1 |
Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | CMA_0053 - 内部接続を確立する前にプライバシーとセキュリティの遵守状況を確認する | Manual、Disabled | 1.1.0 |
外部プロバイダーが顧客の関心を常に満たしていることを確認する | CMA_C1592 - 外部プロバイダーが顧客の関心を常に満たしていることを確認する | Manual、Disabled | 1.1.0 |
システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
Key Vault は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Key Vault を監査します。 | Audit、Disabled | 1.0.0 |
Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
ストレージ アカウントは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのストレージ アカウントを監査します。 | Audit、Disabled | 1.0.0 |
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。
ID: SWIFT CSCF v2022 1.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
共有アカウントとグループ アカウントの条件を定義して適用する | CMA_0117 - 共有アカウントとグループ アカウントの条件を定義して適用する | Manual、Disabled | 1.1.0 |
アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
システム セキュリティ プランの作成と確立 | CMA_0151 - システム セキュリティ プランの作成と確立 | Manual、Disabled | 1.1.0 |
情報セキュリティに関するポリシーと手順を作成する | CMA_0158 - 情報セキュリティに関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
プライバシー プログラムを確立する | CMA_0257 - プライバシー プログラムを確立する | Manual、Disabled | 1.1.0 |
接続されたデバイスの製造に関するセキュリティ要件を確立する | CMA_0279 - 接続されたデバイスの製造に関するセキュリティ要件を確立する | Manual、Disabled | 1.1.0 |
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
情報システムのセキュリティ エンジニアリングの原則を実装する | CMA_0325 - 情報システムのセキュリティ エンジニアリングの原則を実装する | Manual、Disabled | 1.1.0 |
仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
特権ロールの割り当てを監視する | CMA_0378 - 特権ロールの割り当てを監視する | Manual、Disabled | 1.1.0 |
特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
特権 ID 管理を使用する | CMA_0533 - 特権 ID 管理を使用する | Manual、Disabled | 1.1.0 |
SWIFT 関連コンポーネントをホストする仮想化プラットフォームと仮想マシン (VM) を物理システムと同じレベルにセキュリティで保護する。
ID: SWIFT CSCF v2022 1.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。
ID: SWIFT CSCF v2022 1.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。
ID: SWIFT CSCF v2022 1.5A 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
プレビュー: すべてのインターネット トラフィックはデプロイされた Azure Firewall を介してルーティングする | 一部のサブネットが次世代のファイアウォールで保護されていないことを Azure Security Center で確認しました。 Azure Firewall またはサポートされている次世代のファイアウォールを使用してアクセスを制限することにより、潜在的な脅威からサブネットを保護してください | AuditIfNotExists、Disabled | 3.0.0-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 仮想ネットワーク サービス エンドポイントを使用して、Azure 仮想ネットワークと選択したサブネットからアプリへのアクセスを制限します。 App Service サービス エンドポイントの詳細については、https://aka.ms/appservice-vnet-service-endpoint を参照してください。 | AuditIfNotExists、Disabled | 2.0.1 |
Azure DDoS Protection を有効にする必要がある | パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 | AuditIfNotExists、Disabled | 3.0.1 |
Azure Key Vault でファイアウォールを有効にする必要がある | Key Vault ファイアウォールを有効にして、既定でパブリック IP から Key Vault にアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細については、https://docs.microsoft.com/azure/key-vault/general/network-security を参照してください | Audit、Deny、Disabled | 3.2.1 |
情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
外部システムの相互接続に制限を適用する | CMA_C1155 - 外部システムの相互接続に制限を適用する | Manual、Disabled | 1.1.0 |
ファイアウォールとルーターの構成標準を確立する | CMA_0272 - ファイアウォールとルーターの構成標準を確立する | Manual、Disabled | 1.1.0 |
カード所有者データ環境のネットワークのセグメント化を確立する | CMA_0273 - カード所有者データ環境のネットワークのセグメント化を確立する | Manual、Disabled | 1.1.0 |
ダウンストリームの情報交換を識別して管理する | CMA_0298 - ダウンストリームの情報交換を識別して管理する | Manual、Disabled | 1.1.0 |
各外部サービスにマネージド インターフェイスを実装する | CMA_C1626 - 各外部サービスにマネージド インターフェイスを実装する | Manual、Disabled | 1.1.0 |
システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
Key Vault は仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべての Key Vault を監査します。 | Audit、Disabled | 1.0.0 |
Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 | Audit、Deny、Disabled | 1.1.1 |
ストレージ アカウントは仮想ネットワーク サービス エンドポイントを使用する必要があります | このポリシーは、仮想ネットワーク サービス エンドポイントを使用するように構成されていないすべてのストレージ アカウントを監査します。 | Audit、Disabled | 1.0.0 |
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
2.攻撃面と脆弱性を減らす
ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。
ID: SWIFT CSCF v2022 2.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
非準拠のデバイスに対するアクションを構成する | CMA_0062 - 非準拠のデバイスに対するアクションを構成する | Manual、Disabled | 1.1.0 |
デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
暗号化の使用を定義する | CMA_0120 - 暗号化の使用を定義する | Manual、Disabled | 1.1.0 |
暗号化キーを管理するための組織要件を定義する | CMA_0123 - 暗号化キーを管理するための組織要件を定義する | Manual、Disabled | 1.1.0 |
アサーション要件を決定する | CMA_0136 - アサーション要件を決定する | Manual、Disabled | 1.1.0 |
ベースライン構成を作成して維持する | CMA_0153 - ベースライン構成を作成して維持する | Manual、Disabled | 1.1.0 |
情報システムを分離するための境界保護を採用する | CMA_C1639 - 情報システムを分離するための境界保護を採用する | Manual、Disabled | 1.1.0 |
暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
ランダムな一意のセッション識別子を適用する | CMA_0247 - ランダムな一意のセッション識別子を適用する | Manual、Disabled | 1.1.0 |
セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
構成コントロール ボードを設立する | CMA_0254 - 構成コントロール ボードを設立する | Manual、Disabled | 1.1.0 |
データ漏えいの管理手順を確立する | CMA_0255 - データ漏えいの管理手順を確立する | Manual、Disabled | 1.1.0 |
構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
セキュリティ ポリシー フィルターを使用した情報フロー制御 | CMA_C1029 - セキュリティ ポリシー フィルターを使用した情報フロー制御 | Manual、Disabled | 1.1.0 |
SecurID システム、セキュリティ インシデント管理システムを分離する | CMA_C1636 - SecurID システム、セキュリティ インシデント管理システムを分離する | Manual、Disabled | 1.1.0 |
公開キー証明書を発行する | CMA_0347 - 公開キー証明書を発行する | Manual、Disabled | 1.1.0 |
情報の可用性を維持する | CMA_C1644 - 情報の可用性を維持する | Manual、Disabled | 1.1.0 |
対称暗号化キーを管理する | CMA_0367 - 対称暗号化キーを管理する | Manual、Disabled | 1.1.0 |
システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
非対称暗号化キーを生成、制御、配布する | CMA_C1646 - 非対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
対称暗号化キーを生成、制御、配布する | CMA_C1645 - 対称暗号化キーを生成、制御、配布する | Manual、Disabled | 1.1.0 |
暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
特別な情報を保護する | CMA_0409 - 特別な情報を保護する | Manual、Disabled | 1.1.0 |
情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
秘密キーへのアクセスを制限する | CMA_0445 - 秘密キーへのアクセスを制限する | Manual、Disabled | 1.1.0 |
外部システムに対するインターフェイスをセキュリティで保護する | CMA_0491 - 外部システムに対するインターフェイスをセキュリティで保護する | Manual、Disabled | 1.1.0 |
Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑える。
ID: SWIFT CSCF v2022 2.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
再起動が保留中の Windows VM の監査 | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 次のいずれかの理由でマシンの再起動が保留されている場合、マシンは非準拠となります: コンポーネント ベース サービシング、Windows Update、ファイル名の変更が保留中、コンピューター名の変更が保留中、構成マネージャーにより再起動が保留中。 各検出には一意のレジストリ パスがあります。 | auditIfNotExists | 2.0.0 |
脆弱性スキャンの情報を関連付ける | CMA_C1558 - 脆弱性スキャンの情報を関連付ける | Manual、Disabled | 1.1.1 |
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
セキュリティ アラートを担当者に送信する | CMA_C1705 - セキュリティ アラートを担当者に送信する | Manual、Disabled | 1.1.0 |
脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
セキュリティ アラートに自動化されたメカニズムを使用する | CMA_C1707 - セキュリティ アラートに自動化されたメカニズムを使用する | Manual、Disabled | 1.1.0 |
システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。
ID: SWIFT CSCF v2022 2.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定されたストア内の証明書の有効期限が、パラメーターで指定された日数の範囲外である場合、マシンは非準拠となります。 また、このポリシーには、特定の証明書のみをチェックしたり、特定の証明書を除外したりするオプションのほか、期限切れの証明書をレポートするかどうかを選択するオプションもあります。 | auditIfNotExists | 2.0.0 |
可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
提案されたドキュメントの変更を自動化する | CMA_C1191 - 提案されたドキュメントの変更を自動化する | Manual、Disabled | 1.1.0 |
セキュリティへの影響分析を実施する | CMA_0057 - セキュリティへの影響分析を実施する | Manual、Disabled | 1.1.0 |
非準拠のデバイスに対するアクションを構成する | CMA_0062 - 非準拠のデバイスに対するアクションを構成する | Manual、Disabled | 1.1.0 |
Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
脆弱性の管理標準を作成して維持する | CMA_0152 - 脆弱性の管理標準を作成して維持する | Manual、Disabled | 1.1.0 |
ベースライン構成を作成して維持する | CMA_0153 - ベースライン構成を作成して維持する | Manual、Disabled | 1.1.0 |
セキュリティ構成の設定を適用する | CMA_0249 - セキュリティ構成の設定を適用する | Manual、Disabled | 1.1.0 |
構成コントロール ボードを設立する | CMA_0254 - 構成コントロール ボードを設立する | Manual、Disabled | 1.1.0 |
リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
構成管理計画を策定して文書化する | CMA_0264 - 構成管理計画を策定して文書化する | Manual、Disabled | 1.1.0 |
変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
自動構成管理ツールを実装する | CMA_0311 - 自動構成管理ツールを実装する | Manual、Disabled | 1.1.0 |
仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
プライバシー影響評価を実行する | CMA_0387 - プライバシー影響評価を実行する | Manual、Disabled | 1.1.0 |
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
以前のバージョンのベースライン構成を保持する | CMA_C1181 - 以前のバージョンのベースライン構成を保持する | Manual、Disabled | 1.1.0 |
VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Link を使用すると、接続元または接続先にパブリック IP アドレスを使用せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | Audit, Disabled, Deny | 1.1.0 |
ローカルまたはリモートの SWIFT インフラストラクチャ コンポーネントと、それらが接続するバックオフィスの最初のホップとの間のデータ フローの機密性、整合性、相互信頼性を確認する。
ID: SWIFT CSCF v2022 2.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
システムのログオンまたはアクセスをユーザーに通知する | CMA_0382 - システムのログオンまたはアクセスをユーザーに通知する | Manual、Disabled | 1.1.0 |
暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
バックオフィス Data Flow セキュリティ
ID: SWIFT CSCF v2022 2.4A 所有権: 顧客
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 Azure Linux 仮想マシンに対して SSH による認証を行うための最も安全な方法は、公開キー/秘密キー ペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
運用プロセスの一環として、セキュリティで保護されたゾーン外で送信または保存される SWIFT 関連データの機密性を保護する。
ID: SWIFT CSCF v2022 2.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
バックアップのポリシーと手順を確立する | CMA_0268 - バックアップのポリシーと手順を確立する | Manual、Disabled | 1.1.0 |
すべてのメディアをセキュリティで保護するためのコントロールを実装する | CMA_0314 - すべてのメディアをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
資産の輸送を管理する | CMA_0370 - 資産の輸送を管理する | Manual、Disabled | 1.1.0 |
暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
外部転送データの保護
ID: SWIFT CSCF v2022 2.5A 所有権: 顧客
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ディザスター リカバリーを構成されていない仮想マシンの監査 | ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | auditIfNotExists | 1.0.0 |
Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
ストレージ アカウントの geo 冗長ストレージを有効にする必要があります | Geo 冗長を使用して高可用性アプリケーションを作成します | Audit、Disabled | 1.0.0 |
ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する
ID: SWIFT CSCF v2022 2.6 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
リモート アクセスを認可する | CMA_0024 - リモート アクセスを認可する | Manual、Disabled | 1.1.0 |
デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
ワイヤレス アクセスのガイドラインを文書化して実装する | CMA_0190 - ワイヤレス アクセスのガイドラインを文書化して実装する | Manual、Disabled | 1.1.0 |
モビリティ トレーニングを文書化する | CMA_0191 - モビリティ トレーニングを文書化する | Manual、Disabled | 1.1.0 |
リモート アクセスのガイドラインを文書化する | CMA_0196 - リモート アクセスのガイドラインを文書化する | Manual、Disabled | 1.1.0 |
ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
代替の作業サイトをセキュリティで保護するためのコントロールを実装する | CMA_0315 - 代替の作業サイトをセキュリティで保護するためのコントロールを実装する | Manual、Disabled | 1.1.0 |
暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
ワイヤレス アクセスを保護する | CMA_0411 - ワイヤレス アクセスを保護する | Manual、Disabled | 1.1.0 |
プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
ユーザー セッションを再認証するか終了する | CMA_0421 - ユーザー セッションを再認証するか終了する | Manual、Disabled | 1.1.0 |
Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある | Windows マシンには、最後のユーザー名の表示および ctrl + alt + del キーの要求について、カテゴリ [セキュリティ オプション - 対話型ログオン] で指定されたグループ ポリシー設定が必要です。このポリシーでは、ゲスト構成の前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。
ID: SWIFT CSCF v2022 2.7 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
脆弱性スキャンの情報を関連付ける | CMA_C1558 - 脆弱性スキャンの情報を関連付ける | Manual、Disabled | 1.1.1 |
脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | CMA_C1555 - 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | Manual、Disabled | 1.1.0 |
欠陥の修復を構成管理に組み込む | CMA_C1671 - 欠陥の修復を構成管理に組み込む | Manual、Disabled | 1.1.0 |
Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
セキュリティの脆弱性を確認して報告する | CMA_0384 - セキュリティの脆弱性を確認して報告する | Manual、Disabled | 1.1.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
脅威モデリングを実行する | CMA_0392 - 脅威モデリングを実行する | Manual、Disabled | 1.1.0 |
脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある | 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.1.0 |
顧客のメッセージング監視のための一貫した効果的なアプローチを確認する。
ID: SWIFT CSCF v2022 2.8.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サード パーティとの関係性におけるリスクを評価する | CMA_0014 - サード パーティとの関係性におけるリスクを評価する | Manual、Disabled | 1.1.0 |
政府機関の監督を定義して文書化する | CMA_C1587 - 政府機関の監督を定義して文書化する | Manual、Disabled | 1.1.0 |
商品とサービスを提供するための要件を定義する | CMA_0126 - 商品とサービスを提供するための要件を定義する | Manual、Disabled | 1.1.0 |
サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
サプライ チェーン リスク管理に関するポリシーを確立する | CMA_0275 - サプライ チェーン リスク管理に関するポリシーを確立する | Manual、Disabled | 1.1.0 |
外部サービス プロバイダーにセキュリティ要件への準拠を要求する | CMA_C1586 - 外部サービス プロバイダーにセキュリティ要件への準拠を要求する | Manual、Disabled | 1.1.0 |
クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | CMA_0469 - クラウド サービス プロバイダーのポリシーと契約への遵守状況を確認する | Manual、Disabled | 1.1.0 |
個別のセキュリティ レビューを適用する | CMA_0515 - 個別のセキュリティ レビューを適用する | Manual、Disabled | 1.1.0 |
重要なアクティビティの外部委託によって公開されるリスクから、ローカルの SWIFT インフラストラクチャが保護されていることを確認する。
ID: SWIFT CSCF v2022 2.8A 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サプライヤー契約の義務を決定する | CMA_0140 - サプライヤー契約の義務を決定する | Manual、Disabled | 1.1.0 |
取得契約の受け入れ基準を文書化する | CMA_0187 - 取得契約の受け入れ基準を文書化する | Manual、Disabled | 1.1.0 |
買収契約における個人データの保護を文書化する | CMA_0194 - 買収契約における個人データの保護を文書化する | Manual、Disabled | 1.1.0 |
取得契約におけるセキュリティ情報の保護を文書化する | CMA_0195 - 取得契約におけるセキュリティ情報の保護を文書化する | Manual、Disabled | 1.1.0 |
契約における共有データの使用に関する要件を文書化する | CMA_0197 - 契約における共有データの使用に関する要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ アシュアランス要件を文書化する | CMA_0199 - 買収契約におけるセキュリティ アシュアランス要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティのドキュメント要件を文書化する | CMA_0200 - 買収契約におけるセキュリティのドキュメント要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ機能要件を文書化する | CMA_0201 - 買収契約におけるセキュリティ機能要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
サード パーティの契約におけるカード所有者データの保護を文書化する | CMA_0207 - サード パーティの契約におけるカード所有者データの保護を文書化する | Manual、Disabled | 1.1.0 |
送信トランザクション アクティビティが通常の業務で予期される範囲内で行われていることを確認する。
ID: SWIFT CSCF v2022 2.9 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
VoIP の承認、監視、制御 | CMA_0025 - VoIP の承認、監視、制御 | Manual、Disabled | 1.1.0 |
情報フローを制御する | CMA_0079 - 情報フローを制御する | Manual、Disabled | 1.1.0 |
暗号化された情報のフロー制御メカニズムを使用する | CMA_0211 - 暗号化された情報のフロー制御メカニズムを使用する | Manual、Disabled | 1.1.0 |
システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
トランザクション アクティビティを、検証および承認された取引先企業に制限する。
ID: SWIFT CSCF v2022 2.11A 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
セキュリティ機能と情報へのアクセスを認可する | CMA_0022 - セキュリティ機能と情報へのアクセスを認可する | Manual、Disabled | 1.1.0 |
アクセスを認可および管理する | CMA_0023 - アクセスを認可および管理する | Manual、Disabled | 1.1.0 |
アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
論理アクセスを強制する | CMA_0245 - 論理アクセスを強制する | Manual、Disabled | 1.1.0 |
必須および任意のアクセス制御ポリシーを適用する | CMA_0246 - 必須および任意のアクセス制御ポリシーを適用する | Manual、Disabled | 1.1.0 |
必要に応じてユーザー特権を再割り当てまたは削除する | CMA_C1040 - 必要に応じてユーザー特権を再割り当てまたは削除する | Manual、Disabled | 1.1.0 |
アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
機密データにアクセスできるユーザー グループとアプリケーションを確認する | CMA_0481 - 機密データにアクセスできるユーザー グループとアプリケーションを確認する | Manual、Disabled | 1.1.0 |
ユーザー特権を確認する | CMA_C1039 - ユーザー特権を確認する | Manual、Disabled | 1.1.0 |
3.環境を物理的に保護する
機密性の高い機器、職場の環境、ホスティング サイト、ストレージに対する認証されていない物理的なアクセスを防止する。
ID: SWIFT CSCF v2022 3.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Managed Disks を使用していない VM の監査 | このポリシーは、マネージド ディスクを使用していない VM を監査します | 監査 | 1.0.0 |
物理的なアクセスを制御する | CMA_0081 - 物理的なアクセスを制御する | Manual、Disabled | 1.1.0 |
物理キーの管理プロセスを定義する | CMA_0115 - 物理キーの管理プロセスを定義する | Manual、Disabled | 1.1.0 |
資産インベントリの確立と管理 | CMA_0266 - 資産インベントリの確立と管理 | Manual、Disabled | 1.1.0 |
オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
アラーム システムをインストールする | CMA_0338 - アラーム システムをインストールする | Manual、Disabled | 1.1.0 |
セキュアな監視カメラ システムを管理する | CMA_0354 - セキュアな監視カメラ システムを管理する | Manual、Disabled | 1.1.0 |
物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
4.資格情報の侵害を防止する
有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。
ID: SWIFT CSCF v2022 4.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります | AuditIfNotExists、Disabled | 3.1.0 |
パスワードなしのアカウントが存在する Linux マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 | AuditIfNotExists、Disabled | 3.1.0 |
指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です | AuditIfNotExists、Disabled | 2.1.0 |
パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最大有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最大有効期間の既定値は 70 日です | AuditIfNotExists、Disabled | 2.1.0 |
パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最小有効期間の既定値は 1 日です | AuditIfNotExists、Disabled | 2.1.0 |
パスワードの複雑さの設定が有効になっていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 | AuditIfNotExists、Disabled | 2.0.0 |
パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です | AuditIfNotExists、Disabled | 2.1.0 |
Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 3.1.0 |
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
認証子の有効期間と再利用を管理する | CMA_0355 - 認証子の有効期間と再利用を管理する | Manual、Disabled | 1.1.0 |
暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
多要素認証を実装することで、1 つの認証要素の侵害によって SWIFT 関連のシステムまたはアプリケーションへのアクセスが許可されないようにする。
ID: SWIFT CSCF v2022 4.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
生体認証メカニズムを採用する | CMA_0005 - 生体認証メカニズムを採用する | Manual、Disabled | 1.1.0 |
ネットワーク デバイスを識別して認証する | CMA_0296 - ネットワーク デバイスを識別して認証する | Manual、Disabled | 1.1.0 |
5.ID の管理と特権の分離
オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。
ID: SWIFT CSCF v2022 5.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
アカウント マネージャーの割り当て | CMA_0015 - アカウント マネージャーの割り当て | Manual、Disabled | 1.1.0 |
ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 指定されたストア内の証明書の有効期限が、パラメーターで指定された日数の範囲外である場合、マシンは非準拠となります。 また、このポリシーには、特定の証明書のみをチェックしたり、特定の証明書を除外したりするオプションのほか、期限切れの証明書をレポートするかどうかを選択するオプションもあります。 | auditIfNotExists | 2.0.0 |
アカウント管理を自動化する | CMA_0026 - アカウント管理を自動化する | Manual、Disabled | 1.1.0 |
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
アクセス認可を定義して職務の分離をサポートする | CMA_0116 - アクセス認可を定義して職務の分離をサポートする | Manual、Disabled | 1.1.0 |
情報システム アカウントの種類を定義する | CMA_0121 - 情報システム アカウントの種類を定義する | Manual、Disabled | 1.1.0 |
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
アクセス制御モデルを設計する | CMA_0129 - アクセス制御モデルを設計する | Manual、Disabled | 1.1.0 |
終了時に認証子を無効にする | CMA_0169 - 終了時に認証子を無効にする | Manual、Disabled | 1.1.0 |
アクセス特権の文書化 | CMA_0186 - アクセス特権の文書化 | Manual、Disabled | 1.1.0 |
職務の分離について文書化する | CMA_0204 - 職務の分離について文書化する | Manual、Disabled | 1.1.0 |
最小特権アクセスを使用する | CMA_0212 - 最小特権アクセスを使用する | Manual、Disabled | 1.1.0 |
ロール メンバーシップの条件を確立する | CMA_0269 - ロール メンバーシップの条件を確立する | Manual、Disabled | 1.1.0 |
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
システムと管理者のアカウントを管理する | CMA_0368 - システムと管理者のアカウントを管理する | Manual、Disabled | 1.1.0 |
組織全体のアクセスを監視する | CMA_0376 - 組織全体のアクセスを監視する | Manual、Disabled | 1.1.0 |
アカウント アクティビティを監視する | CMA_0377 - アカウント アクティビティを監視する | Manual、Disabled | 1.1.0 |
アカウントが不要になったときに通知する | CMA_0383 - アカウントが不要になったときに通知する | Manual、Disabled | 1.1.0 |
監査情報を保護する | CMA_0401 - 監査情報を保護する | Manual、Disabled | 1.1.0 |
必要に応じてユーザー特権を再割り当てまたは削除する | CMA_C1040 - 必要に応じてユーザー特権を再割り当てまたは削除する | Manual、Disabled | 1.1.0 |
アカウント作成の承認を必要とする | CMA_0431 - アカウント作成の承認を必要とする | Manual、Disabled | 1.1.0 |
特権アカウントへのアクセスを制限する | CMA_0446 - 特権アカウントへのアクセスを制限する | Manual、Disabled | 1.1.0 |
アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
ユーザー アカウントを確認する | CMA_0480 - ユーザー アカウントを確認する | Manual、Disabled | 1.1.0 |
ユーザー特権を確認する | CMA_C1039 - ユーザー特権を確認する | Manual、Disabled | 1.1.0 |
必要に応じて特権ロールを取り消す | CMA_0483 - 必要に応じて特権ロールを取り消す | Manual、Disabled | 1.1.0 |
個人の職務を分離する | CMA_0492 - 個人の職務を分離する | Manual、Disabled | 1.1.0 |
複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
接続および切断されたハードウェア認証または個人用トークン (トークンが使用されている場合) の適切な管理、追跡、使用を確認する。
ID: SWIFT CSCF v2022 5.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
認証子の配布 | CMA_0184 - 認証子を配布する | Manual、Disabled | 1.1.0 |
認証子の種類とプロセスを確立する | CMA_0267 - 認証子の種類とプロセスを確立する | Manual、Disabled | 1.1.0 |
認証子の初期配布の手順を確立する | CMA_0276 - 認証子の初期配布の手順を確立する | Manual、Disabled | 1.1.0 |
仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます | AuditIfNotExists、Disabled | 3.0.0 |
認証子を配布する前に ID を確認する | CMA_0538 - 認証子を配布する前に ID を確認する | Manual、Disabled | 1.1.0 |
許可され実施可能な範囲で、スタッフのスクリーニングを定期的に行うことで、ローカルの SWIFT 環境を運用するスタッフの信頼性を確認する。
ID: SWIFT CSCF v2022 5.3A 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
機密情報へのアクセス権を持つ職員をクリアする | CMA_0054 - 機密情報へのアクセス権を持つ職員をクリアする | Manual、Disabled | 1.1.0 |
アクセス契約が署名されているか、または時間内に辞任されていることを確認する | CMA_C1528 - アクセス契約が署名されているか、または時間内に辞任されていることを確認する | Manual、Disabled | 1.1.0 |
職員のスクリーニングを実装する | CMA_0322 - 職員のスクリーニングを実装する | Manual、Disabled | 1.1.0 |
特別な情報を保護する | CMA_0409 - 特別な情報を保護する | Manual、Disabled | 1.1.0 |
定義された頻度で個人を再表示する | CMA_C1512 - 定義された頻度で個人を再表示する | Manual、Disabled | 1.1.0 |
記録されたパスワードのリポジトリを物理的および論理的に保護する。
ID: SWIFT CSCF v2022 5.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 可逆的暗号化を使用してパスワードを格納しない Windows マシンは非準拠となります | AuditIfNotExists、Disabled | 2.0.0 |
買収契約におけるセキュリティ強度要件を文書化する | CMA_0203 - 買収契約におけるセキュリティ強度要件を文書化する | Manual、Disabled | 1.1.0 |
パスワード ポリシーの確立 | CMA_0256 - パスワード ポリシーの確立 | Manual、Disabled | 1.1.0 |
記憶されたシークレットの検証ツールのパラメーターを実装する | CMA_0321 - 記憶されたシークレットの検証ツールのパラメーターを実装する | Manual、Disabled | 1.1.0 |
キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出
ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。
ID: SWIFT CSCF v2022 6.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
USB から実行された信頼されていない署名なしのプロセスをブロックする | CMA_0050 - USB から実行される信頼されていない署名なしのプロセスをブロックする | Manual、Disabled | 1.1.0 |
監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
脆弱性スキャンの情報を関連付ける | CMA_C1558 - 脆弱性スキャンの情報を関連付ける | Manual、Disabled | 1.1.1 |
監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | CMA_C1555 - 脆弱性スキャン アクティビティを実行するための特権アクセスの実装 | Manual、Disabled | 1.1.0 |
監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある | このポリシーは、Microsoft Antimalware 保護定義の自動更新が構成されていないすべての Windows 仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある | このポリシーは、Microsoft IaaSAntimalware 拡張機能がデプロイされていないすべての Windows Server VM を監査します。 | AuditIfNotExists、Disabled | 1.1.0 |
セキュリティの脆弱性を確認して報告する | CMA_0384 - セキュリティの脆弱性を確認して報告する | Manual、Disabled | 1.1.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
脅威モデリングを実行する | CMA_0392 - 脅威モデリングを実行する | Manual、Disabled | 1.1.0 |
脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
悪用からの保護イベントを確認する | CMA_0472 - 悪用からの保護イベントを確認する | Manual、Disabled | 1.1.0 |
ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
マルウェア検出レポートを毎週確認する | CMA_0475 - マルウェア検出レポートを毎週確認する | Manual、Disabled | 1.1.0 |
役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
ウイルス対策定義を更新する | CMA_0517 - ウイルス対策定義を更新する | Manual、Disabled | 1.1.0 |
ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
SWIFT 関連コンポーネントのソフトウェアの整合性を確認し、結果に基づいて対処する。
ID: SWIFT CSCF v2022 6.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
デジタル証明書を確認するようにワークステーションを構成する | CMA_0073 - デジタル証明書を確認するようにワークステーションを構成する | Manual、Disabled | 1.1.0 |
違反が検出されたときに自動シャットダウン/再起動を使用する | CMA_C1715 - 違反が検出されたときに自動シャットダウン/再起動を使用する | Manual、Disabled | 1.1.0 |
暗号化を使用して転送中のデータを保護する | CMA_0403 - 暗号化を使用して転送中のデータを保護する | Manual、Disabled | 1.1.0 |
暗号化を使用してパスワードを保護する | CMA_0408 - 暗号化を使用してパスワードを保護する | Manual、Disabled | 1.1.0 |
ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
SWIFT メッセージング インターフェイスまたは顧客コネクタのデータベース レコードの整合性を確認し、結果に基づいて対処する。
ID: SWIFT CSCF v2022 6.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
システム診断データを表示して構成する | CMA_0544 - システム診断データを表示して構成する | Manual、Disabled | 1.1.0 |
セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。
ID: SWIFT CSCF v2022 6.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシンを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
アクティビティ ログを 1 年以上保持する必要がある | このポリシーは、リテンション期間が 365 日間または無期限 (リテンション日数が 0) に設定されていない場合にアクティビティ ログを監査します。 | AuditIfNotExists、Disabled | 1.0.0 |
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | 変更 | 4.1.0 |
すべてのフロー ログ リソースは有効な状態にする必要がある | フロー ログの状態が有効になっているかどうかを検証するためのフロー ログ リソースの監査です。 フロー ログを有効にすると、流れている IP トラフィックに関する情報をログに記録できます。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.0.1 |
App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
特権機能を監査する | CMA_0019 - 特権機能を監査する | Manual、Disabled | 1.1.0 |
ユーザー アカウントの状態を監査する | CMA_0020 - ユーザー アカウントの状態を監査する | Manual、Disabled | 1.1.0 |
ディザスター リカバリーを構成されていない仮想マシンの監査 | ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 | auditIfNotExists | 1.0.0 |
仮想マシンに対して Azure Backup を有効にする必要がある | Azure Backup を有効にして、Azure Virtual Machines を保護します。 Azure Backup は、Azure 向けの安全で費用対効果の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある | このポリシーでは、ログ プロファイルで "書き込み"、"削除"、"アクション" の各カテゴリのログが確実に収集されるようにします | AuditIfNotExists、Disabled | 1.0.0 |
Azure Monitor ログ クラスターはインフラストラクチャ暗号化を有効にして作成する必要がある (二重暗号化) | 2 種類の暗号化アルゴリズムと 2 種類のキーを使用を使用して、サービス レベルおよびインフラストラクチャ レベルでデータ暗号化の安全を確保するには、Azure Monitor 専用クラスターを使用します。 このオプションは、リージョンでサポートされていれば既定で有効になります。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Monitor ログ クラスターは、カスタマー マネージド キーを使用して暗号化する必要がある | Azure Monitor ログ クラスターは、カスタマー マネージド キー暗号化を使用して作成します。 既定では、ログ データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンスを満たすには、一般にカスタマー マネージド キーが必要です。 Azure Monitor にカスタマー マネージド キーを使用することで、データへのアクセスをより細かく制御することができます。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Application Insights 用の Azure Monitor ログを Log Analytics ワークスペースにリンクする必要がある | Application Insights コンポーネントを Log Analytics ワークスペースにリンクしてログを暗号化します。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor のデータに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用して有効にされた Log Analytics ワークスペースにコンポーネントをリンクすることで、Application Insights のログが確実にこのコンプライアンス要件を満たします。https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある | このポリシーでは、グローバルを含め、Azure がサポートするすべてのリージョンからアクティビティをエクスポートしない Azure Monitor ログ プロファイルを監査します。 | AuditIfNotExists、Disabled | 2.0.0 |
監査レコードの関連付け | CMA_0087 - 監査レコードの関連付け | Manual、Disabled | 1.1.0 |
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする | このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 | deployIfNotExists | 1.2.0 |
監査可能なイベントを決定する | CMA_0137 - 監査可能なイベントを決定する | Manual、Disabled | 1.1.0 |
監査のレビューとレポートの要件を確立する | CMA_0277 - 監査のレビューとレポートの要件を確立する | Manual、Disabled | 1.1.0 |
すべてのネットワーク セキュリティ グループに対してフロー ログを構成する必要がある | フロー ログが構成されているかどうかを検証するためのネットワーク セキュリティ グループの監査です。 フロー ログを有効にすると、ネットワーク セキュリティ グループを通過する IP トラフィックに関する情報をログに記録できるようになります。 フロー ログは、ネットワーク フローの最適化、スループットの監視、コンプライアンスの検証、侵入の検出などに使用できます。 | Audit、Disabled | 1.1.0 |
監査レビュー、分析、レポートを統合する | CMA_0339 - 監査レビュー、分析、レポートを統合する | Manual、Disabled | 1.1.0 |
Cloud App Security を SIEM と統合する | CMA_0340 - Cloud App Security を SIEM と統合する | Manual、Disabled | 1.1.0 |
一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある | 定義されている一覧に仮想マシン イメージがなく、拡張機能がインストールされていない場合、仮想マシン スケール セットを非準拠として報告します。 | AuditIfNotExists、Disabled | 2.0.1 |
Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
Network Watcher のフロー ログではトラフィック分析を有効にする必要がある | Traffic Analytics ではフロー ログを分析して、Azure クラウドのトラフィック フローに対する分析情報を提供します。 これを使用して、Azure サブスクリプション全体のネットワーク アクティビティを視覚化し、ホット スポットを特定し、セキュリティ上の脅威を特定し、トラフィック フロー パターンを理解し、ネットワークの誤った構成などを特定することができます。 | Audit、Disabled | 1.0.1 |
脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
監査イベント エラーのリアルタイム アラートを提供する | CMA_C1114 - 監査イベント エラーのリアルタイム アラートを提供する | Manual、Disabled | 1.1.0 |
情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
Key Vault のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
Service Bus のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
アカウント プロビジョニングのログを確認する | CMA_0460 - アカウント プロビジョニングのログを確認する | Manual、Disabled | 1.1.0 |
管理者割り当てを毎週レビューする | CMA_0461 - 管理者割り当てを毎週レビューする | Manual、Disabled | 1.1.0 |
監査データを確認する | CMA_0466 - 監査データを確認する | Manual、Disabled | 1.1.0 |
クラウド ID レポートの概要を確認する | CMA_0468 - クラウド ID レポートの概要を確認する | Manual、Disabled | 1.1.0 |
フォルダー アクセスの制御イベントを確認する | CMA_0471 - フォルダー アクセスの制御イベントを確認する | Manual、Disabled | 1.1.0 |
悪用からの保護イベントを確認する | CMA_0472 - 悪用からの保護イベントを確認する | Manual、Disabled | 1.1.0 |
ファイルとフォルダーのアクティビティをレビューする | CMA_0473 - ファイルとフォルダーのアクティビティをレビューする | Manual、Disabled | 1.1.0 |
役割グループの変更点を毎週レビューする | CMA_0476 - 役割グループの変更点を毎週レビューする | Manual、Disabled | 1.1.0 |
Azure Monitor 内の保存されたクエリはログ暗号化のためにカスタマー ストレージ アカウントに保存する必要があります | 保存済みのクエリをストレージ アカウントの暗号化によって保護するには、Log Analytics ワークスペースにストレージ アカウントをリンクします。 一般に、規制コンプライアンスを満たすと共に、Azure Monitor の保存済みのクエリに対するアクセスをより細かく制御するためには、カスタマー マネージド キーが必要です。 上記の点について詳しくは、https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある | このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時の Azure Storage 暗号化の詳細については、 https://aka.ms/azurestoragebyok をご覧ください。 | AuditIfNotExists、Disabled | 1.0.0 |
Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある | このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の Virtual Machine Scale Sets を監査します。 | AuditIfNotExists、Disabled | 1.0.1 |
仮想マシンには Log Analytics 拡張機能がインストールされている必要がある | このポリシーは、Log Analytics 拡張機能がインストールされていない場合に、Windows または Linux の仮想マシンを監査します。 | AuditIfNotExists、Disabled | 1.0.1 |
ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。
ID: SWIFT CSCF v2022 6.5A 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
[プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある | Security Center では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
職員に情報流出のアラートを通知する | CMA_0007 - 職員に情報流出のアラートを通知する | Manual、Disabled | 1.1.0 |
VoIP の承認、監視、制御 | CMA_0025 - VoIP の承認、監視、制御 | Manual、Disabled | 1.1.0 |
Azure Defender for App Service を有効にする必要がある | Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
Azure Defender for Key Vault を有効にする必要がある | Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 | AuditIfNotExists、Disabled | 1.0.3 |
サーバー用 Azure Defender を有効にする必要がある | サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 | AuditIfNotExists、Disabled | 1.0.3 |
認可または承認されていないネットワーク サービスを検出する | CMA_C1700 - 認可または承認されていないネットワーク サービスを検出する | Manual、Disabled | 1.1.0 |
インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
Microsoft Defender for Storageを有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
Network Watcher を有効にする必要がある | Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | CMA_0495 - 組織内で新規または人気上昇中のクラウド アプリケーションに関する自動通知を設定する | Manual、Disabled | 1.1.0 |
エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
7.インシデント対応と情報共有の計画
サイバー インシデントの管理のための一貫した効果的なアプローチを確保する。
ID: SWIFT CSCF v2022 7.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報セキュリティの問題に対処する | CMA_C1742 - 情報セキュリティの問題に対処する | Manual、Disabled | 1.1.0 |
重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
実行されたインシデントとアクションのクラスの識別 | CMA_C1365 - 実行されたインシデントとアクションのクラスの識別 | Manual、Disabled | 1.1.0 |
シミュレートされたイベントをインシデント対応のトレーニングに組み込む | CMA_C1356 - シミュレートされたイベントをインシデント対応のトレーニングに組み込む | Manual、Disabled | 1.1.0 |
情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
定期的な啓発アクティビティを実行して、すべてのスタッフがセキュリティの責任を認識し、その責任を果たしていることを確認し、特権アクセス権を持つスタッフのセキュリティ知識を維持する。
ID: SWIFT CSCF v2022 7.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | CMA_0198 - セキュリティとプライバシーに関するトレーニング アクティビティを文書化する | Manual、Disabled | 1.1.0 |
定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
定期的なセキュリティ認識トレーニングの提供 | CMA_C1091 - 定期的なセキュリティ認識トレーニングの提供 | Manual、Disabled | 1.1.0 |
プライバシーに関するトレーニングを提供する | CMA_0415 - プライバシーに関するトレーニングを提供する | Manual、Disabled | 1.1.0 |
ロールベースの実用的な演習を提供する | CMA_C1096 - ロールベースの実用的な演習を提供する | Manual、Disabled | 1.1.0 |
ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
疑わしいアクティビティに関するロールベースのトレーニングを提供する | CMA_C1097 - 不審なアクティビティに対するロールベースのトレーニングを提供する | Manual、Disabled | 1.1.0 |
内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | CMA_0417 - 内部関係者による脅威に関するセキュリティ認識トレーニングを提供する | Manual、Disabled | 1.1.0 |
アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
新しいユーザーにセキュリティ トレーニングを提供する | CMA_0419 - 新しいユーザーにセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
更新されたセキュリティ認識トレーニングを提供する | CMA_C1090 - 更新されたセキュリティ認識トレーニングを提供する | Manual、Disabled | 1.1.0 |
侵入テストを実行することで、運用セキュリティ構成を検証し、セキュリティ ギャップを特定する。
ID: SWIFT CSCF v2022 7.3A 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
侵入テストに別個のチームを採用する | CMA_C1171 - 侵入テストに別個のチームを採用する | Manual、Disabled | 1.1.0 |
セキュリティ アーキテクチャの構築を開発者に要求する | CMA_C1612 - セキュリティ アーキテクチャの構築を開発者に要求する | Manual、Disabled | 1.1.0 |
サイバー攻撃のシナリオの可能性に基づいて、組織のリスクと準備状況を評価する。
ID: SWIFT CSCF v2022 7.4A 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
リスク評価を実施する | CMA_C1543 - リスク評価を実施する | Manual、Disabled | 1.1.0 |
リスク評価を実施して結果を配布する | CMA_C1544 - リスク評価を実施して結果を配布する | Manual、Disabled | 1.1.0 |
リスク評価を実施し、その結果を文書化する | CMA_C1542 - リスク評価を実施し、その結果を文書化する | Manual、Disabled | 1.1.0 |
リスク管理戦略の確立 | CMA_0258 - リスク管理戦略の確立 | Manual、Disabled | 1.1.0 |
リスク管理戦略を実装する | CMA_C1744 - リスク管理戦略を実装する | Manual、Disabled | 1.1.0 |
リスク評価を実行する | CMA_0388 - リスク評価を実行する | Manual、Disabled | 1.1.0 |
リスク評価ポリシーと手順を確認および更新する | CMA_C1537 - リスク評価ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
8.パフォーマンスの設定と監視
達成する目標を正式に設定および監視して可用性を確認する
ID: SWIFT CSCF v2022 8.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
システム アクティビティの監視に関する法的意見を得る | CMA_C1688 - システム アクティビティの監視に関する法的意見を得る | Manual、Disabled | 1.1.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
必要に応じて監視情報を提供する | CMA_C1689 - 必要に応じて監視情報を提供する | Manual、Disabled | 1.1.0 |
すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
顧客に対するサービスの可用性、容量、品質を確認する
ID: SWIFT CSCF v2022 8.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
キャパシティ プランニングの実施 | CMA_C1252 - キャパシティ プランニングの実施 | Manual、Disabled | 1.1.0 |
コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
特定された異常に対する代替アクションを作成する | CMA_C1711 - 特定された異常に対する代替アクションを作成する | Manual、Disabled | 1.1.0 |
代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
失敗したセキュリティ検証テストについて担当者に通知する | CMA_C1710 - 失敗したセキュリティ検証テストについて担当者に通知する | Manual、Disabled | 1.1.0 |
定義された頻度でセキュリティ関数の検証を実行する | CMA_C1709 - 定義された頻度でセキュリティ関数の検証を実行する | Manual、Disabled | 1.1.0 |
重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
ライブに移行する前に、顧客による適切なテストを実施するために SWIFTNet リリースと FIN 標準を早期に利用できることを確認する。
ID: SWIFT CSCF v2022 8.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
コーディングの脆弱性に対処する | CMA_0003 - コーディングの脆弱性に対処する | Manual、Disabled | 1.1.0 |
アプリケーションのセキュリティ要件を作成して文書化する | CMA_0148 - アプリケーションのセキュリティ要件を作成して文書化する | Manual、Disabled | 1.1.0 |
買収契約における情報システム環境を文書化する | CMA_0205 - 買収契約における情報システム環境を文書化する | Manual、Disabled | 1.1.0 |
セキュリティで保護されたソフトウェア開発プログラムを確立する | CMA_0259 - セキュリティで保護されたソフトウェア開発プログラムを確立する | Manual、Disabled | 1.1.0 |
脆弱性スキャンを実行する | CMA_0393 - 脆弱性スキャンを実行する | Manual、Disabled | 1.1.0 |
情報システムの欠陥を修復する | CMA_0427 - 情報システムの欠陥を修復する | Manual、Disabled | 1.1.0 |
承認された変更と潜在的な影響を文書化するよう開発者に要求する | CMA_C1597 - 承認された変更と潜在的な影響を文書化するよう開発者に要求する | Manual、Disabled | 1.1.0 |
承認された変更のみを実装するよう開発者に要求する | CMA_C1596 - 承認された変更のみを実装するよう開発者に要求する | Manual、Disabled | 1.1.0 |
変更の整合性の管理を開発者に要求する | CMA_C1595 - 変更の整合性の管理を開発者に要求する | Manual、Disabled | 1.1.0 |
セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | CMA_C1602 - セキュリティ評価計画の実行の証拠を作成するよう開発者に要求する | Manual、Disabled | 1.1.0 |
ソフトウェア、ファームウェア、情報の整合性を検証する | CMA_0542 - ソフトウェア、ファームウェア、情報の整合性を検証する | Manual、Disabled | 1.1.0 |
9.回復性による可用性の確保
プロバイダーは、地域的な障害や誤動作が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。
ID: SWIFT CSCF v2022 9.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
インシデント対応テストを実施する | CMA_0060 - インシデント対応テストを実施する | Manual、Disabled | 1.1.0 |
コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
コンティンジェンシー計画に関するポリシーと手順を作成する | CMA_0156 - コンティンジェンシー計画に関するポリシーと手順を作成する | Manual、Disabled | 1.1.0 |
ポリシーと手順の配布 | CMA_0185 - ポリシーと手順の配布 | Manual、Disabled | 1.1.0 |
情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
コンティンジェンシー トレーニングを提供する | CMA_0412 - コンティンジェンシー トレーニングを提供する | Manual、Disabled | 1.1.0 |
シミュレーション攻撃の実行 | CMA_0486 - シミュレーション攻撃の実行 | Manual、Disabled | 1.1.0 |
プロバイダーは、サイトの障害が発生した場合に、サービスが引き続き顧客に提供されるようにする必要がある。
ID: SWIFT CSCF v2022 9.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報システム ドキュメントのバックアップを実施する | CMA_C1289 - 情報システム ドキュメントのバックアップを実施する | Manual、Disabled | 1.1.0 |
代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | CMA_C1269 - 代替ストレージ サイトとプライマリ ストレージ サイトを個別に作成する | Manual、Disabled | 1.1.0 |
代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | CMA_C1268 - 代替ストレージ サイトの保護がプライマリ サイトと同じであるようにする | Manual、Disabled | 1.1.0 |
回復操作を容易にする代替ストレージ サイトを確立する | CMA_C1270 - 回復操作を容易にする代替ストレージ サイトを確立する | Manual、Disabled | 1.1.0 |
バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | CMA_C1267 - バックアップ情報を保存および取得するための代替ストレージ サイトを構築する | Manual、Disabled | 1.1.0 |
代替処理サイトを確立する | CMA_0262 - 代替処理サイトを確立する | Manual、Disabled | 1.1.0 |
インターネット アクセス プロバイダーの要件を確立する | CMA_0278 - インターネット アクセス プロバイダーの要件を確立する | Manual、Disabled | 1.1.0 |
代替ストレージ サイトで潜在的な問題を特定して軽減する | CMA_C1271 - 代替ストレージ サイトで潜在的な問題を特定して軽減する | Manual、Disabled | 1.1.0 |
代替処理サイトを操作サイトとして使用できるように準備する | CMA_C1278 - 代替処理サイトを操作サイトとして使用できるように準備する | Manual、Disabled | 1.1.0 |
中断後にリソースを回復して再構成する | CMA_C1295 - 中断後にリソースを回復して再構成する | Manual、Disabled | 1.1.1 |
リソースを稼働状態に復元する | CMA_C1297 - リソースを稼働状態に復元する | Manual、Disabled | 1.1.1 |
バックアップ情報を個別に保存する | CMA_C1293 - バックアップ情報を個別に保存する | Manual、Disabled | 1.1.0 |
代替ストレージ サイトにバックアップ情報を転送する | CMA_C1294 - 代替ストレージ サイトにバックアップ情報を転送する | Manual、Disabled | 1.1.0 |
サービス機関は、緊急、危険、またはインシデントが発生した場合に、顧客がサービスを引き続き利用できるようにする必要がある。
ID: SWIFT CSCF v2022 9.3 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
事業継続とディザスター リカバリー計画を作成および文書化する | CMA_0146 - 事業継続とディザスター リカバリー計画を作成および文書化する | Manual、Disabled | 1.1.0 |
代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
自動非常用照明を使用する | CMA_0209 - 自動非常用照明を使用する | Manual、Disabled | 1.1.0 |
侵入テスト方法を実装する | CMA_0306 - 侵入テスト方法を実装する | Manual、Disabled | 1.1.0 |
オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | CMA_0323 - オフィス、ワーキング エリア、セキュリティで保護された領域に物理的なセキュリティを実装する | Manual、Disabled | 1.1.0 |
物理ポリシーと環境ポリシーと手順を確認および更新する | CMA_C1446 - 物理ポリシーと環境ポリシーと手順を確認および更新する | Manual、Disabled | 1.1.0 |
シミュレーション攻撃の実行 | CMA_0486 - シミュレーション攻撃の実行 | Manual、Disabled | 1.1.0 |
推奨される SWIFT 接続パックと適切な回線帯域幅を使用することで、プロバイダーのサービスの可用性と品質が確保される
ID: SWIFT CSCF v2022 9.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
VoIP の承認、監視、制御 | CMA_0025 - VoIP の承認、監視、制御 | Manual、Disabled | 1.1.0 |
キャパシティ プランニングの実施 | CMA_C1252 - キャパシティ プランニングの実施 | Manual、Disabled | 1.1.0 |
システム境界の保護を実装する | CMA_0328 - システム境界の保護を実装する | Manual、Disabled | 1.1.0 |
ゲートウェイを管理する | CMA_0363 - ゲートウェイを管理する | Manual、Disabled | 1.1.0 |
マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | CMA_0484 - マネージド ネットワーク アクセス ポイント経由でトラフィックをルーティングする | Manual、Disabled | 1.1.0 |
10。重大な障害が発生した場合に備える
影響を受ける可能性のある関係者 (サービス機関と顧客) に伝達される文書化された計画によって、ビジネス継続性が確保される。
ID: SWIFT CSCF v2022 10.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
コンティンジェンシー計画を関連する計画に合わせて調整する | CMA_0086 - コンティンジェンシー計画を関連する計画に合わせて調整する | Manual、Disabled | 1.1.0 |
代替計画を策定する | CMA_C1244 - 代替計画を策定する | Manual、Disabled | 1.1.0 |
重要なビジネス機能の継続を計画する | CMA_C1255 - 重要なビジネス機能の継続を計画する | Manual、Disabled | 1.1.0 |
重要なビジネス機能の再開を計画する | CMA_C1253 - 重要なビジネス機能の再開を計画する | Manual、Disabled | 1.1.0 |
すべてのミッションとビジネス機能を再開する | CMA_C1254 - すべてのミッションとビジネス機能を再開する | Manual、Disabled | 1.1.0 |
11.重大な障害が発生した場合の監視
イベントの監視とエスカレーションのための一貫した効果的なアプローチを確認する。
ID: SWIFT CSCF v2022 11.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
システム アクティビティの監視に関する法的意見を得る | CMA_C1688 - システム アクティビティの監視に関する法的意見を得る | Manual、Disabled | 1.1.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
必要に応じて監視情報を提供する | CMA_C1689 - 必要に応じて監視情報を提供する | Manual、Disabled | 1.1.0 |
エンドポイント セキュリティ ソリューションのセンサーをオンにする | CMA_0514 - エンドポイント セキュリティ ソリューションのセンサーをオンにする | Manual、Disabled | 1.1.0 |
インシデントの管理 (問題管理) のための一貫した効果的なアプローチを確認する。
ID: SWIFT CSCF v2022 11.2 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
情報セキュリティ イベントを評価する | CMA_0013 - 情報セキュリティ イベントを評価する | Manual、Disabled | 1.1.0 |
インシデント対応テストを実施する | CMA_0060 - インシデント対応テストを実施する | Manual、Disabled | 1.1.0 |
インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
セキュリティ セーフガードの開発 | CMA_0161 - セキュリティ セーフガードの開発 | Manual、Disabled | 1.1.0 |
セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
情報セキュリティ プログラムを確立する | CMA_0263 - 情報セキュリティ プログラムを確立する | Manual、Disabled | 1.1.0 |
情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
実行されたインシデントとアクションのクラスの識別 | CMA_C1365 - 実行されたインシデントとアクションのクラスの識別 | Manual、Disabled | 1.1.0 |
インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
シミュレートされたイベントをインシデント対応のトレーニングに組み込む | CMA_C1356 - シミュレートされたイベントをインシデント対応のトレーニングに組み込む | Manual、Disabled | 1.1.0 |
データ侵害レコードを保持する | CMA_0351 - データ侵害レコードを保持する | Manual、Disabled | 1.1.0 |
インシデント対応計画を維持する | CMA_0352 - インシデント対応計画を維持する | Manual、Disabled | 1.1.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
インシデント対応計画を保護する | CMA_0405 - インシデント対応計画を保護する | Manual、Disabled | 1.1.0 |
情報流出トレーニングを提供する | CMA_0413 - 情報流出トレーニングを提供する | Manual、Disabled | 1.1.0 |
インシデント対応ポリシーと手順の確認と更新 | CMA_C1352 - インシデント対応ポリシーと手順の確認と更新 | Manual、Disabled | 1.1.0 |
シミュレーション攻撃の実行 | CMA_0486 - シミュレーション攻撃の実行 | Manual、Disabled | 1.1.0 |
制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
顧客への影響が発生した場合に、運用上の誤動作が適切にエスカレーションされていることを確認する。
ID: SWIFT CSCF v2022 11.4 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
実装された変更を文書化するためのプロセスの自動化 | CMA_C1195 - 実装された変更を文書化するためのプロセスの自動化 | Manual、Disabled | 1.1.0 |
未確認の変更提案を強調表示するプロセスを自動化する | CMA_C1193 - 未確認の変更提案を強調表示するプロセスを自動化する | Manual、Disabled | 1.1.0 |
インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
変更制御プロセスを確立して文書化する | CMA_0265 - 変更制御プロセスを確立して文書化する | Manual、Disabled | 1.1.0 |
開発者向けの構成管理要件を確立する | CMA_0270 - 開発者向けの構成管理要件を確立する | Manual、Disabled | 1.1.0 |
インシデント対応機能と外部プロバイダー間の関係を確立する | CMA_C1376 - インシデント対応機能と外部プロバイダー間の関係を確立する | Manual、Disabled | 1.1.0 |
情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
構成変更制御の監査を実行する | CMA_0390 - 構成変更制御の監査を実行する | Manual、Disabled | 1.1.0 |
制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
勤務時間中に問題が発生した場合に、効果的なサポートが顧客に提供される。
ID: SWIFT CSCF v2022 11.5 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
インシデント レスポンス計画を策定する | CMA_0145 - インシデント対応計画を作成する | Manual、Disabled | 1.1.0 |
セキュリティ運用を文書化する | CMA_0202 - セキュリティ運用を文書化する | Manual、Disabled | 1.1.0 |
ネットワーク保護を有効にする | CMA_0238 - ネットワーク保護を有効にする | Manual、Disabled | 1.1.0 |
汚染された情報の根絶 | CMA_0253 - 汚染された情報の根絶 | Manual、Disabled | 1.1.0 |
インシデント対応機能と外部プロバイダー間の関係を確立する | CMA_C1376 - インシデント対応機能と外部プロバイダー間の関係を確立する | Manual、Disabled | 1.1.0 |
情報の流出に応じてアクションを実行する | CMA_0281 - 情報の流出に応じてアクションを実行する | Manual、Disabled | 1.1.0 |
インシデント対応の担当者を特定する | CMA_0301 - インシデント対応の担当者を特定する | Manual、Disabled | 1.1.0 |
インシデント処理を実装する | CMA_0318 - インシデント処理を実装する | Manual、Disabled | 1.1.0 |
脅威に関する傾向分析を実行する | CMA_0389 - 脅威に関する傾向分析を実行する | Manual、Disabled | 1.1.0 |
制限のあるユーザーを表示して調査する | CMA_0545 - 制限のあるユーザーを表示して調査する | Manual、Disabled | 1.1.0 |
12.ナレッジが利用可能であることを確認する
SWIFT 認定従業員による顧客へのサービスの品質を確認する。
ID: SWIFT CSCF v2022 12.1 所有権: 共有
名前 (Azure portal) |
説明 | 効果 | Version (GitHub) |
---|---|---|---|
定期的なロールベースのセキュリティ トレーニングを提供する | CMA_C1095 - 定期的なロールベースのセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
ロール ベースのセキュリティのトレーニングを提供する | CMA_C1094 - ロール ベースのセキュリティのトレーニングを提供する | Manual、Disabled | 1.1.0 |
アクセスを提供する前にセキュリティ トレーニングを提供する | CMA_0418 - アクセスを提供する前にセキュリティ トレーニングを提供する | Manual、Disabled | 1.1.0 |
次のステップ
Azure Policy に関するその他の記事:
- 規制コンプライアンスの概要。
- イニシアチブ定義の構造を参照してください。
- Azure Policy のサンプルの他の例を確認します。
- 「Policy の効果について」を確認します。
- 準拠していないリソースを修復する方法を学習します。