次の方法で共有


UK OFFICIAL および UK NHS 規制コンプライアンスの組み込みイニシアティブの詳細

この記事では、Azure Policy 規制コンプライアンスの組み込みイニシアティブ定義が、UK OFFICIAL および UK NHS のコンプライアンス ドメインコントロールにどのように対応するのかについて詳しく説明します。 このコンプライアンス標準の詳細については、UK OFFICIAL および UK NHS に関するドキュメントを参照してください。 "所有権" を理解するには、「ポリシーの種類」と「クラウドでの共有責任」を参照してください。

以下のマッピングでは、マップ先は UK OFFICIAL コントロールと UK NHS コントロールです。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、UK OFFICIAL および UK NHS 規制コンプライアンスの組み込みイニシアティブ定義を見つけて選択します。

重要

以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での準拠では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。

転送中のデータの保護

転送中のデータの保護

ID: UK NCSC CSP 1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
App Service アプリに HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit, Disabled, Deny 4.0.0
関数アプリに HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit, Disabled, Deny 5.0.0
Azure Cache for Redis へのセキュリティで保護された接続のみを有効にする必要がある Azure Cache for Redis に対して SSL 経由の接続のみが有効であるかどうかを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します Audit、Deny、Disabled 1.0.0
ストレージ アカウントへの安全な転送を有効にする必要がある ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します Audit、Deny、Disabled 2.0.0
Windows Web マシンをセキュリティで保護された通信プロトコルを使用するように構成する必要がある インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 AuditIfNotExists、Disabled 4.1.1

ID と認証

ID と認証

ID: UK NCSC CSP 10 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する このポリシーでは、Azure でホストされ、ゲスト構成でサポートされているものの、マネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 変更 4.1.0
ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する このポリシーでは、Azure でホストされ、ゲスト構成でサポートされており、少なくとも 1 つのユーザー割り当て ID を持っているものの、システム割り当てマネージド ID を持たない仮想マシンに、システム割り当てマネージド ID が追加されます。 システム割り当てマネージド ID は、すべてのゲスト構成割り当てに対する前提条件であるため、ゲスト構成ポリシー定義を使用する前にマシンに追加する必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 変更 4.1.0
SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.0.0
パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンは非準拠となります AuditIfNotExists、Disabled 3.1.0
passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンは非準拠となります。 AuditIfNotExists、Disabled 3.1.0
パスワードなしのアカウントが存在する Linux マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードなしのアカウントがある Linux マシンは非準拠となります。 AuditIfNotExists、Disabled 3.1.0
Managed Disks を使用していない VM の監査 このポリシーは、マネージド ディスクを使用していない VM を監査します 監査 1.0.0
指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンで、指定された数の一意のパスワードの後でパスワードの再利用が許可されている場合、マシンは準拠していません。 一意のパスワードの既定値は 24 です AuditIfNotExists、Disabled 2.1.0
パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最大有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最大有効期間の既定値は 70 日です AuditIfNotExists、Disabled 2.1.0
パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小有効期間が指定した日数に設定されていない場合、マシンは準拠していません。 パスワードの最小有効期間の既定値は 1 日です AuditIfNotExists、Disabled 2.1.0
パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 パスワードの複雑さの設定が有効になっていない Windows マシンは非準拠となります。 AuditIfNotExists、Disabled 2.0.0
パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 Windows マシンのパスワードの最小長が指定した文字数に制限されていない場合、マシンは準拠していません。 パスワードの最小長の既定値は 14 文字です AuditIfNotExists、Disabled 2.1.0
Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 AuditIfNotExists、Disabled 1.0.0
Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Linux 仮想マシンに Linux ゲスト構成拡張機能がデプロイされます。 Linux ゲスト構成拡張機能は、すべての Linux ゲスト構成割り当ての前提条件であるため、Linux ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 deployIfNotExists 3.1.0
Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする このポリシーでは、Azure でホストされ、ゲスト構成でサポートされている Windows 仮想マシンに Windows ゲスト構成拡張機能がデプロイされます。 Windows ゲスト構成拡張機能は、すべての Windows ゲスト構成割り当ての前提条件であるため、Windows ゲスト構成ポリシー定義を使用する前にマシンにデプロイする必要があります。 ゲスト構成の詳細については、https://aka.ms/gcpol を参照してください。 deployIfNotExists 1.2.0
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Service Fabric クラスターでは、クライアント認証に Azure Active Directory のみを使用する必要がある Service Fabric で Azure Active Directory によるクライアント認証のみを使用していることを監査します Audit、Deny、Disabled 1.1.0
ストレージ アカウントを新しい Azure Resource Manager リソースに移行する必要がある 新しい Azure Resource Manager をお使いのストレージ アカウントに使用して、セキュリティの拡張機能を提供します。たとえば、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のための Key Vault へのアクセス、Azure AD ベースの認証、セキュリティ管理を容易にするタグとリソース グループのサポートがあります Audit、Deny、Disabled 1.0.0
仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある ご使用の仮想マシンに新しい Azure Resource Manager を使用して、セキュリティを強化します。これには、アクセス制御の強化 (RBAC)、監査の改善、Azure Resource Manager ベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレット取得のためのキー コンテナーへのアクセス、Azure AD に基づく認証、セキュリティ管理を容易にするタグとリソース グループのサポートなどがあります Audit、Deny、Disabled 1.0.0

外部インターフェイスの保護

外部インターフェイスの保護

ID: UK NCSC CSP 11 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある Azure Security Center により、お使いのネットワーク セキュリティ グループの一部の受信規則について制限が少なすぎると判断されました。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 AuditIfNotExists、Disabled 3.0.0
App Service アプリではリモート デバッグをオフにする必要がある リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
関数アプリではリモート デバッグをオフにする必要がある リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0
ストレージ アカウントではネットワーク アクセスを制限する必要があります ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 Audit、Deny、Disabled 1.1.1

ユーザーの監査情報

ユーザーの監査情報

ID: UK NCSC CSP 13 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
選択したリソースの種類の診断設定を監査します 選択したリソースの種類の診断設定の監査。 必ず、診断設定をサポートするリソースの種類のみを選んでください。 AuditIfNotExists 2.0.1
SQL Server の監査を有効にする必要があります サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 AuditIfNotExists、Disabled 2.0.0
保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない SQL サーバーの監査 AuditIfNotExists、Disabled 2.0.1

資産の保護と回復力

保存データの保護

ID: UK NCSC CSP 2.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Automation アカウント変数は、暗号化する必要がある 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です Audit、Deny、Disabled 1.1.0
Service Fabric クラスターでは、ClusterProtectionLevel プロパティを EncryptAndSign に設定する必要がある Service Fabric では、プライマリ クラスターの証明書を使用して、ノード間通信に 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します Audit、Deny、Disabled 1.1.0
Transparent Data Encryption を SQL データベース上で有効にする必要がある 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります AuditIfNotExists、Disabled 2.0.0

運用上のセキュリティ

脆弱性の管理

ID: UK NCSC CSP 5.2 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
脆弱性評価ソリューションを仮想マシンで有効にする必要がある 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 AuditIfNotExists、Disabled 3.0.0
保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない SQL サーバーの監査 AuditIfNotExists、Disabled 2.0.1
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2
SQL データベースでは脆弱性の検出結果を解決する必要がある 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 AuditIfNotExists、Disabled 4.1.0
使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.1.0
SQL Managed Instance で脆弱性評価を有効にする必要がある 定期的な脆弱性評価スキャンが有効になっていない各 SQL Managed Instance を監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 AuditIfNotExists、Disabled 1.0.1
脆弱性評価を SQL サーバー上で有効にする必要がある 脆弱性評価が適切に構成されていない Azure SQL サーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 AuditIfNotExists、Disabled 3.0.0

保護的監視

ID: UK NCSC CSP 5.3 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
ディザスター リカバリーを構成されていない仮想マシンの監査 ディザスター リカバリーが構成されていない仮想マシンを監査します。 ディザスター リカバリーの詳細については、https://aka.ms/asr-doc にアクセスしてください。 auditIfNotExists 1.0.0
Azure DDoS Protection を有効にする必要があります パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.1
ストレージ アカウントではネットワーク アクセスを制限する必要があります ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 Audit、Deny、Disabled 1.1.1

ユーザー管理のセキュリティ保護

管理インターフェイスとサポート チャネルに対するユーザーの認証

ID: UK NCSC CSP 9.1 所有権: 共有

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0
Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 1.0.0

次のステップ

Azure Policy に関するその他の記事: