次の方法で共有


Azure Virtual Machines 用の Azure Policy 規制コンプライアンス コントロール

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット

Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure Virtual Machines 用のコンプライアンス ドメインセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。

各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。

重要

各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。

Australian Government ISM PROTECTED

すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Australian Government ISM PROTECTED に関するページを参照してください。 このコンプライアンス基準の詳細については、Australian Government ISM PROTECTED に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 415 ユーザー ID - 415 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 415 ユーザー ID - 415 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 415 ユーザー ID - 415 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 415 ユーザー ID - 415 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 421 単一要素認証 - 421 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 421 単一要素認証 - 421 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 421 単一要素認証 - 421 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 421 単一要素認証 - 421 Windows マシンは [セキュリティの設定 - アカウント ポリシー] の要件を満たしている必要がある 3.0.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 445 システムへの特権アクセス - 445 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 445 システムへの特権アクセス - 445 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 445 システムへの特権アクセス - 445 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 445 システムへの特権アクセス - 445 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
システム監視のためのガイドライン - イベント ログと監査 582 ログに記録されるイベント - 582 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
システム管理のためのガイドライン - システムのパッチ適用 940 セキュリティの脆弱性にパッチを適用するタイミング - 940 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システム管理のためのガイドライン - システムのパッチ適用 940 セキュリティの脆弱性にパッチを適用するタイミング - 940 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
暗号のガイドライン - トランスポート層セキュリティ 1139 トランスポート層セキュリティの使用 - 1139 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
暗号のガイドライン - トランスポート層セキュリティ 1139 トランスポート層セキュリティの使用 - 1139 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
暗号のガイドライン - トランスポート層セキュリティ 1139 トランスポート層セキュリティの使用 - 1139 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
暗号のガイドライン - トランスポート層セキュリティ 1139 トランスポート層セキュリティの使用 - 1139 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システム管理のためのガイドライン - システムのパッチ適用 1144 セキュリティの脆弱性にパッチを適用するタイミング - 1144 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システム管理のためのガイドライン - システムのパッチ適用 1144 セキュリティの脆弱性にパッチを適用するタイミング - 1144 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
ネットワークのガイドライン - ネットワーク設計と構成 1182 ネットワーク アクセス制御 - 1182 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
データベース システムのガイドライン - データベース サーバー 1277 データベース サーバーと Web サーバー間の通信 - 1277 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
データベース システムのガイドライン - データベース サーバー 1277 データベース サーバーと Web サーバー間の通信 - 1277 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
データベース システムのガイドライン - データベース サーバー 1277 データベース サーバーと Web サーバー間の通信 - 1277 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
データベース システムのガイドライン - データベース サーバー 1277 データベース サーバーと Web サーバー間の通信 - 1277 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
ゲートウェイのガイドライン - コンテンツのフィルター処理 1288 ウイルス対策スキャン - 1288 Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある 1.1.0
システム管理のためのガイドライン - システム管理 1386 管理トラフィック フローの制限 - 1386 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムのセキュリティ強化のためのガイドライン - オペレーティング システムのセキュリティ強化 1417 ウイルス対策ソフトウェア - 1417 Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある 1.1.0
システム管理のためのガイドライン - システムのパッチ適用 1472 セキュリティの脆弱性にパッチを適用するタイミング - 1472 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システム管理のためのガイドライン - システムのパッチ適用 1472 セキュリティの脆弱性にパッチを適用するタイミング - 1472 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システム管理のためのガイドライン - システムのパッチ適用 1494 セキュリティの脆弱性にパッチを適用するタイミング - 1494 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システム管理のためのガイドライン - システムのパッチ適用 1494 セキュリティの脆弱性にパッチを適用するタイミング - 1494 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システム管理のためのガイドライン - システムのパッチ適用 1495 セキュリティの脆弱性にパッチを適用するタイミング - 1495 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システム管理のためのガイドライン - システムのパッチ適用 1495 セキュリティの脆弱性にパッチを適用するタイミング - 1495 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システム管理のためのガイドライン - システムのパッチ適用 1496 セキュリティの脆弱性にパッチを適用するタイミング - 1496 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システム管理のためのガイドライン - システムのパッチ適用 1496 セキュリティの脆弱性にパッチを適用するタイミング - 1496 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1503 システムへの標準アクセス - 1503 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1503 システムへの標準アクセス - 1503 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1503 システムへの標準アクセス - 1503 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1503 システムへの標準アクセス - 1503 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1507 システムへの特権アクセス - 1507 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1507 システムへの特権アクセス - 1507 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1507 システムへの特権アクセス - 1507 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1507 システムへの特権アクセス - 1507 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1508 システムへの特権アクセス - 1508 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1508 システムへの特権アクセス - 1508 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1508 システムへの特権アクセス - 1508 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1508 システムへの特権アクセス - 1508 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
人的セキュリティのガイドライン - システムとそのリソースへのアクセス 1508 システムへの特権アクセス - 1508 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システム管理のためのガイドライン - データ バックアップと復元 1511 バックアップの実行 - 1511 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 1546 システムに対する認証 - 1546 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 1546 システムに対する認証 - 1546 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 1546 システムに対する認証 - 1546 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 1546 システムに対する認証 - 1546 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
システムのセキュリティ強化のためのガイドライン - 認証のセキュリティ強化 1546 システムに対する認証 - 1546 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0

カナダ連邦の PBMM

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - カナダ連邦 PBMM に関する記事をご覧ください。 このコンプライアンス標準の詳細については、カナダ連邦 PBMM に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC-5 職務の分離 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-5 職務の分離 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-5 職務の分離 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 AC-5 職務の分離 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
アクセス制御 AC-5 職務の分離 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC-6 最小限の特権 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-6 最小限の特権 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-6 最小限の特権 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 AC-6 最小限の特権 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
アクセス制御 AC-6 最小限の特権 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC-17(1) リモート アクセス | 自動監視/制御 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17(1) リモート アクセス | 自動監視/制御 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17(1) リモート アクセス | 自動監視/制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17(1) リモート アクセス | 自動監視/制御 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
監査とアカウンタビリティ AU-3 監査レコードの内容 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
監査とアカウンタビリティ AU-3 監査レコードの内容 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
監査とアカウンタビリティ AU-3 監査レコードの内容 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
監査とアカウンタビリティ AU-12 監査の生成 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
監査とアカウンタビリティ AU-12 監査の生成 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
監査とアカウンタビリティ AU-12 監査の生成 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
代替計画 CP-7 代替処理サイト ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
識別と認証 IA-5 認証子の管理 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 認証子の管理 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 認証子の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5(1) 認証子の管理 | パスワード ベースの認証 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
リスク評価 RA-5 脆弱性のスキャン 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 RA-5 脆弱性のスキャン 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと通信の保護 SC-7 境界保護 ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC-7(3) 境界保護 | アクセス ポイント 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC-7(4) 境界保護 | 外部通信サービス 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC-8(1) 送信の機密性と整合性 | 暗号化または代替の物理的保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと情報の整合性 SI-2 欠陥の修復 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと情報の整合性 SI-4 情報システムの監視 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
システムと情報の整合性 SI-4 情報システムの監視 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
システムと情報の整合性 SI-4 情報システムの監視 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0

CIS Microsoft Azure Foundations Benchmark 1.1.0

すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.1.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
2 Security Center 2.10 ASC の既定のポリシー設定 [脆弱性評価を監視する] が [無効] になっていないことを確認する 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
2 Security Center 2.12 ASC の既定のポリシー設定 [JIT ネットワーク アクセスの監視] が [無効] になっていないことを確認する 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
2 Security Center 2.4 ASC の既定のポリシー設定 [OS 脆弱性の監視] が [無効] になっていないことを確認する 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
2 Security Center 2.9 ASC の既定のポリシー設定 [次世代のファイアウォール (NGFW) 監視を有効にする] が [無効] になっていないことを確認する インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
7 Virtual Machines 7.4 承認済みの拡張機能のみがインストールされていることを確認する インストールする必要があるのは、許可されている VM 拡張機能のみ 1.0.0

CIS Microsoft Azure Foundations Benchmark 1.3.0

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
7 Virtual Machines 7.1 Virtual Machines で Managed Disks が利用されていることを確認する Managed Disks を使用していない VM の監査 1.0.0
7 Virtual Machines 7.4 承認済みの拡張機能のみがインストールされていることを確認する インストールする必要があるのは、許可されている VM 拡張機能のみ 1.0.0
7 Virtual Machines 7.6 すべての仮想マシンの Endpoint Protection がインストールされていることを確認する Endpoint Protection の不足を Azure Security Center で監視する 3.0.0

CIS Microsoft Azure Foundations Benchmark 1.4.0

すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v1.4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
7 Virtual Machines 7.1 Virtual Machines で Managed Disks が利用されていることを確認する Managed Disks を使用していない VM の監査 1.0.0
7 Virtual Machines 7.4 承認済みの拡張機能のみがインストールされていることを確認する インストールする必要があるのは、許可されている VM 拡張機能のみ 1.0.0

CIS Microsoft Azure Foundations Benchmark 2.0.0

すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v2.0.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
2.1 2.1.13 [システム更新プログラムの適用] 状態の Microsoft Defender レコメンデーションが [完了] になっていることを確認する 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある 3.7.0
6 6.1 インターネットからの RDP アクセスが評価および制限されていることを確認する 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
6 6.2 インターネットからの SSH アクセスが評価および制限されていることを確認する 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
7 7.2 Virtual Machines で Managed Disks が利用されていることを確認する Managed Disks を使用していない VM の監査 1.0.0
7 7.4 [アタッチされていないディスク] が [カスタマー マネージド キー] (CMK) で暗号化されていることを確認する マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある 1.0.0
7 7.5 承認済みの拡張機能のみがインストールされていることを確認する インストールする必要があるのは、許可されている VM 拡張機能のみ 1.0.0

CMMC レベル 3

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.1.001 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
アクセス制御 AC.1.002 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.1.003 外部情報システムへの接続と使用を検証し、制御および制限する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
アクセス制御 AC.2.007 特定のセキュリティ機能や特権アカウントなどに、最小限の特権の原則を採用する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC.2.008 セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。 Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある 3.0.0
アクセス制御 AC.2.008 セキュリティ以外の機能にアクセスするときは、特権のないアカウントまたはロールを使用する。 Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.2.013 リモート アクセス セッションの監視および制御を行う。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC.2.013 リモート アクセス セッションの監視および制御を行う。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC.2.013 リモート アクセス セッションの監視および制御を行う。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC.2.013 リモート アクセス セッションの監視および制御を行う。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC.2.013 リモート アクセス セッションの監視および制御を行う。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC.2.013 リモート アクセス セッションの監視および制御を行う。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.2.016 承認された認可に従って CUI のフローを制御する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
アクセス制御 AC.2.016 承認された認可に従って CUI のフローを制御する。 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.3.017 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 AC.3.017 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
アクセス制御 AC.3.018 特権のないユーザーが特権のある機能を実行できないようにし、そのような機能の実行を監査ログに記録する。 Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある 3.0.0
アクセス制御 AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
アクセス制御 AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
アクセス制御 AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある 3.0.0
アクセス制御 AC.3.021 特権コマンドのリモート実行とセキュリティ関連情報へのリモート アクセスを承認する。 Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある 3.0.0
監査とアカウンタビリティ AU.2.041 システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
監査とアカウンタビリティ AU.2.041 システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
監査とアカウンタビリティ AU.2.041 システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
監査とアカウンタビリティ AU.2.041 システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
監査とアカウンタビリティ AU.2.041 システム ユーザーに各自のアクションの責任を問えるように、個々のユーザーのアクションからそのユーザーまで一意にトレースできるようにする。 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
監査とアカウンタビリティ AU.2.042 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
監査とアカウンタビリティ AU.2.042 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
監査とアカウンタビリティ AU.2.042 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
監査とアカウンタビリティ AU.2.042 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
監査とアカウンタビリティ AU.2.042 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する。 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
監査とアカウンタビリティ AU.3.046 監査ログ プロセス エラーが発生した場合にアラートを出す。 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
監査とアカウンタビリティ AU.3.046 監査ログ プロセス エラーが発生した場合にアラートを出す。 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
監査とアカウンタビリティ AU.3.046 監査ログ プロセス エラーが発生した場合にアラートを出す。 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
監査とアカウンタビリティ AU.3.048 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
監査とアカウンタビリティ AU.3.048 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
監査とアカウンタビリティ AU.3.048 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
監査とアカウンタビリティ AU.3.048 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
監査とアカウンタビリティ AU.3.048 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
セキュリティ評価 CA.2.158 組織のシステムのセキュリティ制御を定期的に評価して、アプリケーションで制御が有効かどうかを判断する。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
セキュリティ評価 CA.3.161 セキュリティ制御を継続的に監視して、制御の継続的な有効性を確保する。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
構成管理 CM.2.061 それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 CM.2.062 不可欠な機能だけを提供するように組織のシステムを構成して最小限の機能の原則を採用する。 Windows マシンは [システム監査ポリシー - 特権の使用] の要件を満たしている必要がある 3.0.0
構成管理 CM.2.063 ユーザーがインストールしたソフトウェアの制御および監視を行う。 Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある 3.0.0
構成管理 CM.2.064 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
構成管理 CM.2.064 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
構成管理 CM.2.065 組織のシステムの変更を追跡、確認、承認または却下し、ログに記録する。 Windows マシンは [システム監査ポリシー - ポリシーの変更] の要件を満たしている必要がある 3.0.0
構成管理 CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
構成管理 CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
構成管理 CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
構成管理 CM.3.068 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
識別と認証 IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
識別と認証 IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 IA.1.077 組織の情報システムへのアクセスを許可する際の前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 IA.2.078 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 IA.2.079 指定された生成回数についてパスワードの再利用を禁止する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 IA.2.081 暗号で保護されたパスワードのみを格納して送信する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA.2.081 暗号で保護されたパスワードのみを格納して送信する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA.2.081 暗号で保護されたパスワードのみを格納して送信する。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA.2.081 暗号で保護されたパスワードのみを格納して送信する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 IA.2.081 暗号で保護されたパスワードのみを格納して送信する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 IA.3.084 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
Recovery RE.2.137 データのバックアップを定期的に実行し、テストする。 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
Recovery RE.2.137 データのバックアップを定期的に実行し、テストする。 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
Recovery RE.3.139 組織的に定義された、包括的で回復性がある完全なデータ バックアップを定期的に実行する。 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
Recovery RE.3.139 組織的に定義された、包括的で回復性がある完全なデータ バックアップを定期的に実行する。 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
リスク評価 RM.2.141 組織のシステムの運用と、CUI の関連する処理、保存、または送信に起因する、組織の運営 (任務、機能、イメージ、評判など)、組織の資産、および個人に対するリスクを定期的に評価する。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 RM.2.142 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 RM.2.143 リスク評価に従って脆弱性を修復する。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 RM.2.143 リスク評価に従って脆弱性を修復する。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと通信の保護 SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
システムと通信の保護 SC.1.175 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
システムと通信の保護 SC.1.176 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC.1.176 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC.2.179 ネットワーク デバイスの管理には、暗号化されたセッションを使用する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC.3.177 CUI の機密性を保護するために使用する場合は、FIPS 検証済みの暗号化を採用する。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
システムと通信の保護 SC.3.181 ユーザー機能をシステム管理機能から分離する。 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
システムと通信の保護 SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
システムと通信の保護 SC.3.183 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
システムと通信の保護 SC.3.185 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC.3.190 通信セッションの信頼性を保護する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと情報の整合性 SI.1.210 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
システムと情報の整合性 SI.1.210 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと情報の整合性 SI.1.211 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
システムと情報の整合性 SI.1.211 組織の情報システム内の適切な場所で、悪意のあるコードからの保護を提供する。 Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある 1.1.0
システムと情報の整合性 SI.1.212 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
システムと情報の整合性 SI.1.213 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
システムと情報の整合性 SI.1.213 情報システムの定期的なスキャンを実行し、外部ソースからのファイルがダウンロードされたとき、開かれたとき、または実行されたときに、そのファイルのリアルタイム スキャンを実行する。 Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある 1.1.0

FedRAMP High

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC-2 (12) アカウントの監視または一般的でない使用法 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC-3 アクセスの適用 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-3 アクセスの適用 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-3 アクセスの適用 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 AC-3 アクセスの適用 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
アクセス制御 AC-3 アクセスの適用 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-3 アクセスの適用 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 AC-4 情報フローの適用 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
アクセス制御 AC-17 リモート アクセス ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 リモート アクセス ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 リモート アクセス パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 リモート アクセス Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-17 リモート アクセス Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC-17 リモート アクセス ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 AC-17 (1) 自動監視/制御 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 (1) 自動監視/制御 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 (1) 自動監視/制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 (1) 自動監視/制御 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-17 (1) 自動監視/制御 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC-17 (1) 自動監視/制御 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
監査とアカウンタビリティ AU-6 監査の確認、分析、および報告 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 監査の確認、分析、および報告 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 監査の生成 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-12 監査の生成 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
構成管理 CM-6 構成設定 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 CM-6 構成設定 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
代替計画 CP-7 代替処理サイト ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
代替計画 CP-9 情報システムのバックアップ 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
識別と認証 IA-5 認証子の管理 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 認証子の管理 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 認証子の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 認証子の管理 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
識別と認証 IA-5 認証子の管理 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 IA-5 認証子の管理 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 IA-5 (1) パスワードベースの認証 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 (1) パスワードベースの認証 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 (1) パスワードベースの認証 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
リスク評価 RA-5 脆弱性のスキャン 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 RA-5 脆弱性のスキャン マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
リスク評価 RA-5 脆弱性のスキャン 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと通信の保護 SC-3 セキュリティ機能の分離 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと通信の保護 SC-5 サービス拒否の防止 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 SC-7 境界保護 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 SC-8 送信の機密性と整合性 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-8 (1) 暗号化または代替の物理的保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-12 暗号化キーの確立と管理 マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある 1.0.0
システムと通信の保護 SC-12 暗号化キーの確立と管理 OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある 3.0.0
システムと通信の保護 SC-28 保存情報の保護 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
システムと通信の保護 SC-28 (1) 暗号化による保護 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
システムと情報の整合性 SI-2 欠陥の修復 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システムと情報の整合性 SI-2 欠陥の修復 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと情報の整合性 SI-3 悪意のあるコードからの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-3 (1) 中央管理 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 SI-4 情報システムの監視 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
システムと情報の整合性 SI-4 情報システムの監視 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
システムと情報の整合性 SI-16 メモリの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0

FedRAMP Moderate

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC-2 (12) アカウントの監視または一般的でない使用法 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC-3 アクセスの適用 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-3 アクセスの適用 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-3 アクセスの適用 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 AC-3 アクセスの適用 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
アクセス制御 AC-3 アクセスの適用 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-3 アクセスの適用 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 AC-4 情報フローの適用 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
アクセス制御 AC-17 リモート アクセス ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 リモート アクセス ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 リモート アクセス パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 リモート アクセス Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-17 リモート アクセス Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC-17 リモート アクセス ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 AC-17 (1) 自動監視/制御 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 (1) 自動監視/制御 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 (1) 自動監視/制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 (1) 自動監視/制御 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-17 (1) 自動監視/制御 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC-17 (1) 自動監視/制御 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
監査とアカウンタビリティ AU-6 監査の確認、分析、および報告 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 監査の確認、分析、および報告 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 監査の生成 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-12 監査の生成 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
構成管理 CM-6 構成設定 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 CM-6 構成設定 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
代替計画 CP-7 代替処理サイト ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
代替計画 CP-9 情報システムのバックアップ 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
識別と認証 IA-5 認証子の管理 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 認証子の管理 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 認証子の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 認証子の管理 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
識別と認証 IA-5 認証子の管理 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 IA-5 認証子の管理 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 IA-5 (1) パスワードベースの認証 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 (1) パスワードベースの認証 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 (1) パスワードベースの認証 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
リスク評価 RA-5 脆弱性のスキャン 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 RA-5 脆弱性のスキャン マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
リスク評価 RA-5 脆弱性のスキャン 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと通信の保護 SC-5 サービス拒否の防止 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 SC-7 境界保護 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 SC-8 送信の機密性と整合性 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-8 (1) 暗号化または代替の物理的保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-12 暗号化キーの確立と管理 マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある 1.0.0
システムと通信の保護 SC-12 暗号化キーの確立と管理 OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある 3.0.0
システムと通信の保護 SC-28 保存情報の保護 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
システムと通信の保護 SC-28 (1) 暗号化による保護 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
システムと情報の整合性 SI-2 欠陥の修復 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システムと情報の整合性 SI-2 欠陥の修復 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと情報の整合性 SI-3 悪意のあるコードからの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-3 (1) 中央管理 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 SI-4 情報システムの監視 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
システムと情報の整合性 SI-4 情報システムの監視 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
システムと情報の整合性 SI-16 メモリの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0

HIPAA HITRUST 9.2

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - HIPAA HITRUST 9.2 に関するページを参照してください。 このコンプライアンス標準の詳細については、HIPAA HITRUST 9.2 に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
ユーザーの識別と認証 11210.01q2Organizational.10 - 01.q 電子記録に対して実行される電子署名および手書き署名は、それぞれの電子記録にリンクされている必要があります。 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
ユーザーの識別と認証 11211.01q2Organizational.11 - 01.q 署名された電子記録には、人が判読できる形式の署名に関連付けられた情報が含まれている必要があります。 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
02 エンドポイント保護 0201.09j1Organizational.124-09.j 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 Windows Server 用の既定の Microsoft IaaSAntimalware 拡張機能のデプロイ 1.1.0
02 エンドポイント保護 0201.09j1Organizational.124-09.j 0201.09j1Organizational.124-09.j 09.04 悪意のあるコードとモバイル コードからの保護 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
06 構成管理 0605.10h1System.12-10.h 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
06 構成管理 0605.10h1System.12-10.h 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ Windows マシンは [セキュリティ オプション - 監査] の要件を満たしている必要がある 3.0.0
06 構成管理 0605.10h1System.12-10.h 0605.10h1System.12-10.h 10.04 システム ファイルのセキュリティ Windows マシンは [システム監査ポリシー - アカウント管理] の要件を満たしている必要がある 3.0.0
06 構成管理 0635.10k1Organizational.12-10.k 0635.10k1Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0636.10k2Organizational.1-10.k 0636.10k2Organizational.1-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0637.10k2Organizational.2-10.k 0637.10k2Organizational.2-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0638.10k2Organizational.34569-10.k 0638.10k2Organizational.34569-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0639.10k2Organizational.78-10.k 0639.10k2Organizational.78-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0640.10k2Organizational.1012-10.k 0640.10k2Organizational.1012-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0641.10k2Organizational.11-10.k 0641.10k2Organizational.11-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0642.10k3Organizational.12-10.k 0642.10k3Organizational.12-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0643.10k3Organizational.3-10.k 0643.10k3Organizational.3-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
06 構成管理 0644.10k3Organizational.4-10.k 0644.10k3Organizational.4-10.k 10.05 開発およびサポート プロセスのセキュリティ Windows マシンは [システム監査ポリシー - 詳細追跡] の要件を満たしている必要がある 3.0.0
07 脆弱性の管理 0709.10m1Organizational.1-10.m 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
07 脆弱性の管理 0709.10m1Organizational.1-10.m 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
07 脆弱性の管理 0709.10m1Organizational.1-10.m 0709.10m1Organizational.1-10.m 10.06 技術的な脆弱性の管理 Windows マシンは [セキュリティ オプション - Microsoft ネットワーク サーバー] の要件を満たす必要がある 3.0.0
07 脆弱性の管理 0711.10m2Organizational.23-10.m 0711.10m2Organizational.23-10.m 10.06 技術的な脆弱性の管理 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
07 脆弱性の管理 0713.10m2Organizational.5-10.m 0713.10m2Organizational.5-10.m 10.06 技術的な脆弱性の管理 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
07 脆弱性の管理 0718.10m3Organizational.34-10.m 0718.10m3Organizational.34-10.m 10.06 技術的な脆弱性の管理 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
08 ネットワーク保護 0805.01m1Organizational.12-01.m 0805.01m1Organizational.12-01.m 01.04 ネットワーク アクセス制御 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
08 ネットワーク保護 0806.01m2Organizational.12356-01.m 0806.01m2Organizational.12356-01.m 01.04 ネットワーク アクセス制御 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
08 ネットワーク保護 0809.01n2Organizational.1234-01.n 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
08 ネットワーク保護 0810.01n2Organizational.5-01.n 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
08 ネットワーク保護 0811.01n2Organizational.6-01.n 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
08 ネットワーク保護 0812.01n2Organizational.8-01.n 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
08 ネットワーク保護 0814.01n1Organizational.12-01.n 0814.01n1Organizational.12-01.n 01.04 ネットワーク アクセス制御 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
08 ネットワーク保護 0835.09n1Organizational.1-09.n 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
08 ネットワーク保護 0835.09n1Organizational.1-09.n 0835.09n1Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
08 ネットワーク保護 0836.09.n2Organizational.1-09.n 0836.09.n2Organizational.1-09.n 09.06 ネットワークのセキュリティ管理 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
08 ネットワーク保護 0858.09m1Organizational.4-09.m 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
08 ネットワーク保護 0858.09m1Organizational.4-09.m 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
08 ネットワーク保護 0858.09m1Organizational.4-09.m 0858.09m1Organizational.4-09.m 09.06 ネットワークのセキュリティ管理 Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある 3.0.0
08 ネットワーク保護 0861.09m2Organizational.67-09.m 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 Windows マシンは [セキュリティ オプション - ネットワーク アクセス] の要件を満たしている必要がある 3.0.0
08 ネットワーク保護 0885.09n2Organizational.3-09.n 0885.09n2Organizational.3-09.n 09.06 ネットワークのセキュリティ管理 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
08 ネットワーク保護 0887.09n2Organizational.5-09.n 0887.09n2Organizational.5-09.n 09.06 ネットワークのセキュリティ管理 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
08 ネットワーク保護 0894.01m2Organizational.7-01.m 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
バックアップ 1699.09l1Organizational.10 - 09.l データ バックアップ プロセスにおける従業員メンバーの役割と責任を明らかにし、従業員に伝えます。特に、Bring Your Own Device (BYOD) ユーザーは、自分のデバイス上にある組織やクライアントのデータのバックアップを実行する必要があります。 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
09 伝送保護 0945.09y1Organizational.3-09.y 0945.09y1Organizational.3-09.y 09.09 電子商取引サービス 指定された証明書が信頼されたルートに含まれていない Windows マシンを監査する 3.0.0
11 アクセスの制御 11180.01c3System.6-01.c 11180.01c3System.6-01.c 01.02 情報システムへの認可済みアクセス 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
11 アクセスの制御 1119.01j2Organizational.3-01.j 1119.01j2Organizational.3-01.j 01.04 ネットワーク アクセス制御 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
11 アクセスの制御 1123.01q1System.2-01.q 1123.01q1System.2-01.q 01.05 オペレーティング システム アクセス制御 Administrators グループに余分なアカウントがある Windows マシンを監査する 2.0.0
11 アクセスの制御 1125.01q2System.1-01.q 1125.01q2System.1-01.q 01.05 オペレーティング システム アクセス制御 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
11 アクセスの制御 1127.01q2System.3-01.q 1127.01q2System.3-01.q 01.05 オペレーティング システム アクセス制御 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
11 アクセスの制御 1143.01c1System.123-01.c 1143.01c1System.123-01.c 01.02 情報システムへの認可済みアクセス 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
11 アクセスの制御 1148.01c2System.78-01.c 1148.01c2System.78-01.c 01.02 情報システムへの認可済みアクセス Windows マシンは [セキュリティ オプション - アカウント] の要件を満たしている必要がある 3.0.0
11 アクセスの制御 1150.01c2System.10-01.c 1150.01c2System.10-01.c 01.02 情報システムへの認可済みアクセス 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
11 アクセスの制御 1175.01j1Organizational.8-01.j 1175.01j1Organizational.8-01.j 01.04 ネットワーク アクセス制御 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
11 アクセスの制御 1179.01j3Organizational.1-01.j 1179.01j3Organizational.1-01.j 01.04 ネットワーク アクセス制御 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
11 アクセスの制御 1192.01l1Organizational.1-01.l 1192.01l1Organizational.1-01.l 01.04 ネットワーク アクセス制御 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
11 アクセスの制御 1193.01l2Organizational.13-01.l 1193.01l2Organizational.13-01.l 01.04 ネットワーク アクセス制御 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
12 監査ログと監視 12100.09ab2System.15-09.ab 12100.09ab2System.15-09.ab 09.10 監視 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
12 監査ログと監視 12101.09ab1Organizational.3-09.ab 12101.09ab1Organizational.3-09.ab 09.10 監視 Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
12 監査ログと監視 12102.09ab1Organizational.4-09.ab 12102.09ab1Organizational.4-09.ab 09.10 監視 Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する 2.0.0
12 監査ログと監視 1215.09ab2System.7-09.ab 1215.09ab2System.7-09.ab 09.10 監視 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
12 監査ログと監視 1216.09ab3System.12-09.ab 1216.09ab3System.12-09.ab 09.10 監視 Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
12 監査ログと監視 1217.09ab3System.3-09.ab 1217.09ab3System.3-09.ab 09.10 監視 Log Analytics エージェントが想定どおりに接続されていない Windows マシンを監査する 2.0.0
12 監査ログと監視 1232.09c3Organizational.12-09.c 1232.09c3Organizational.12-09.c 09.01 文書化された業務手順 Windows マシンは [ユーザー権利の割り当て] の要件を満たしている必要がある 3.0.0
12 監査ログと監視 1277.09c2Organizational.4-09.c 1277.09c2Organizational.4-09.c 09.01 文書化された業務手順 Windows マシンは [セキュリティ オプション - ユーザー アカウント制御] の要件を満たす必要がある 3.0.0
16 ビジネス継続性およびディザスター リカバリー 1620.09l1Organizational.8-09.l 1620.09l1Organizational.8-09.l 09.05 情報のバックアップ 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
16 ビジネス継続性およびディザスター リカバリー 1625.09l3Organizational.34-09.l 1625.09l3Organizational.34-09.l 09.05 情報のバックアップ 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
16 ビジネス継続性およびディザスター リカバリー 1634.12b1Organizational.1-12.b 1634.12b1Organizational.1-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
16 ビジネス継続性およびディザスター リカバリー 1637.12b2Organizational.2-12.b 1637.12b2Organizational.2-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 Windows マシンは [セキュリティ オプション - 回復コンソール] の要件を満たしている必要がある 3.0.0
16 ビジネス継続性およびディザスター リカバリー 1638.12b2Organizational.345-12.b 1638.12b2Organizational.345-12.b 12.01 ビジネス継続性管理における情報セキュリティの側面 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0

IRS 1075 (2016 年 9 月)

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - IRS 1075 (2016 年 9 月) に関する記事をご覧ください。 このコンプライアンス標準の詳細については、IRS 1075 (2016 年 9 月) に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 9.3.1.12 リモート アクセス (AC-17) ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.3.1.12 リモート アクセス (AC-17) ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.3.1.12 リモート アクセス (AC-17) パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 9.3.1.12 リモート アクセス (AC-17) Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 9.3.1.2 アカウント管理 (AC-2) 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 9.3.1.5 職務の分離 (AC-5) ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.3.1.5 職務の分離 (AC-5) ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.3.1.5 職務の分離 (AC-5) Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 9.3.1.5 職務の分離 (AC-5) Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
アクセス制御 9.3.1.5 職務の分離 (AC-5) Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 9.3.1.6 最小限の特権 (AC-6) ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.3.1.6 最小限の特権 (AC-6) ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.3.1.6 最小限の特権 (AC-6) Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 9.3.1.6 最小限の特権 (AC-6) Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
アクセス制御 9.3.1.6 最小限の特権 (AC-6) Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
リスク評価 9.3.14.3 脆弱性のスキャン (RA-5) 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 9.3.14.3 脆弱性のスキャン (RA-5) 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと通信の保護 9.3.16.5 境界保護 (SC-7) 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 9.3.16.6 送信の機密性と整合性 (SC-8) ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
システムと通信の保護 9.3.16.6 送信の機密性と整合性 (SC-8) ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
システムと通信の保護 9.3.16.6 送信の機密性と整合性 (SC-8) Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
システムと通信の保護 9.3.16.6 送信の機密性と整合性 (SC-8) Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと情報の整合性 9.3.17.2 欠陥の修復 (SI-2) 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システムと情報の整合性 9.3.17.2 欠陥の修復 (SI-2) 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと情報の整合性 9.3.17.4 情報システムの監視 (SI-4) 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
システムと情報の整合性 9.3.17.4 情報システムの監視 (SI-4) 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
システムと情報の整合性 9.3.17.4 情報システムの監視 (SI-4) 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
認識とトレーニング 9.3.3.11 監査の生成 (AU-12) 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
認識とトレーニング 9.3.3.11 監査の生成 (AU-12) 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
認識とトレーニング 9.3.3.11 監査の生成 (AU-12) 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
認識とトレーニング 9.3.3.3 監査レコードの内容 (AU-3) 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
認識とトレーニング 9.3.3.3 監査レコードの内容 (AU-3) 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
認識とトレーニング 9.3.3.3 監査レコードの内容 (AU-3) 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
認識とトレーニング 9.3.3.6 監査のレビュー、分析、レポート作成 (AU-6) 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
認識とトレーニング 9.3.3.6 監査のレビュー、分析、レポート作成 (AU-6) 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
認識とトレーニング 9.3.3.6 監査のレビュー、分析、レポート作成 (AU-6) 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
代替計画 9.3.6.6 代替処理サイト (CP-7) ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 9.3.7.5 認証子の管理 (IA-5) Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0

ISO 27001:2013

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - ISO 27001:2013 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、ISO 27001:2013 に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
暗号化 10.1.1 暗号化コントロールの使用に関するポリシー ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
暗号化 10.1.1 暗号化コントロールの使用に関するポリシー ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
暗号化 10.1.1 暗号化コントロールの使用に関するポリシー 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
暗号化 10.1.1 暗号化コントロールの使用に関するポリシー Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
操作のセキュリティ 12.4.1 イベント ログ 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
操作のセキュリティ 12.4.1 イベント ログ 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある 2.0.0
操作のセキュリティ 12.4.1 イベント ログ 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある 2.0.0
操作のセキュリティ 12.4.1 イベント ログ 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
操作のセキュリティ 12.4.3 管理者とオペレーターのログ 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
操作のセキュリティ 12.4.3 管理者とオペレーターのログ 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある 2.0.0
操作のセキュリティ 12.4.3 管理者とオペレーターのログ 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある 2.0.0
操作のセキュリティ 12.4.3 管理者とオペレーターのログ 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
操作のセキュリティ 12.4.4 時計の同期化 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
操作のセキュリティ 12.4.4 時計の同期化 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある 2.0.0
操作のセキュリティ 12.4.4 時計の同期化 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある 2.0.0
操作のセキュリティ 12.4.4 時計の同期化 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
操作のセキュリティ 12.6.1 技術的脆弱性の管理 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
操作のセキュリティ 12.6.1 技術的脆弱性の管理 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
通信のセキュリティ 13.1.1 ネットワーク制御 ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
アクセス制御 9.1.2 ネットワークおよびネットワーク サービスへのアクセス ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.1.2 ネットワークおよびネットワーク サービスへのアクセス ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.1.2 ネットワークおよびネットワーク サービスへのアクセス パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 9.1.2 ネットワークおよびネットワーク サービスへのアクセス パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 9.1.2 ネットワークおよびネットワーク サービスへのアクセス Managed Disks を使用していない VM の監査 1.0.0
アクセス制御 9.1.2 ネットワークおよびネットワーク サービスへのアクセス Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 9.1.2 ネットワークおよびネットワーク サービスへのアクセス 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
アクセス制御 9.2.4 ユーザーのシークレット認証情報の管理 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.2.4 ユーザーのシークレット認証情報の管理 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.2.4 ユーザーのシークレット認証情報の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
アクセス制御 9.2.4 ユーザーのシークレット認証情報の管理 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 9.4.3 パスワード管理システム ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.4.3 パスワード管理システム ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 9.4.3 パスワード管理システム 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
アクセス制御 9.4.3 パスワード管理システム パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
アクセス制御 9.4.3 パスワード管理システム パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
アクセス制御 9.4.3 パスワード管理システム パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
アクセス制御 9.4.3 パスワード管理システム パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
アクセス制御 9.4.3 パスワード管理システム Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0

Microsoft Cloud for Sovereignty のベースライン機密ポリシー

すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、MCfS Sovereignty のベースライン機密ポリシーについての Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「Microsoft Cloud for Sovereignty ポリシー ポートフォリオ」を参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
SO.3 - カスタマー マネージド キー SO.3 可能な場合にはカスタマー マネージド キーを使うように Azure 製品を構成する必要があります。 マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある 1.0.0
SO.4 - Azure Confidential Computing SO.4 可能な場合には Azure Confidential Computing の SKU を使うように Azure 製品を構成する必要があります。 許可されている仮想マシン サイズ SKU 1.0.1

Microsoft Cloud for Sovereignty のベースライン グローバル ポリシー

すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、MCfS Sovereignty のベースライン グローバル ポリシーについての Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「Microsoft Cloud for Sovereignty ポリシー ポートフォリオ」を参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
SO.5 - トラステッド起動 SO.5 可能な場合は、トラステッド起動 SKU とトラステッド起動を有効にして VM を構成する必要があります。 ディスクと OS イメージで TrustedLaunch をサポートする必要があります 1.0.0
SO.5 - トラステッド起動 SO.5 可能な場合は、トラステッド起動 SKU とトラステッド起動を有効にして VM を構成する必要があります。 仮想マシンで TrustedLaunch を有効にする必要があります 1.0.0

Microsoft クラウド セキュリティ ベンチマーク

Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。

すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
ネットワークのセキュリティ NS-1 ネットワーク セグメント化の境界を確立する 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
ネットワークのセキュリティ NS-1 ネットワーク セグメント化の境界を確立する インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
ネットワークのセキュリティ NS-1 ネットワーク セグメント化の境界を確立する インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
ネットワークのセキュリティ NS-3 エンタープライズ ネットワークのエッジでファイアウォールをデプロイする 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
ネットワークのセキュリティ NS-3 エンタープライズ ネットワークのエッジでファイアウォールをデプロイする 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
ネットワークのセキュリティ NS-3 エンタープライズ ネットワークのエッジでファイアウォールをデプロイする 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
ID 管理 IM-3 アプリケーション ID を安全かつ自動的に管理する 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
ID 管理 IM-6 強力な認証制御を使用する Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
ID 管理 IM-8 I資格情報とシークレットの公開を制限する マシンではシークレットの検出結果が解決されている必要がある 1.0.2
特権アクセス PA-2 アカウントとアクセス許可の継続的なアクセスを避ける 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
データ保護 DP-3 転送中の機密データを暗号化する Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
データ保護 DP-4 保存データの暗号化を既定で有効にする Linux 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 1.2.1
データ保護 DP-4 保存データの暗号化を既定で有効にする 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
データ保護 DP-4 保存データの暗号化を既定で有効にする Windows 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります。 1.1.1
[アセット管理](https://docs.microsoft.com/azure/media-services/previous/media-services-dotnet-manage-entities) AM-2 承認済みのサービスのみを使用する 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
ログと脅威検出 LT-1 脅威検出機能を有効にする マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
ログと脅威検出 LT-2 ID およびアクセス管理の脅威検出を有効にする マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
ログと脅威検出 LT-4 セキュリティ調査のためのネットワーク ログを有効にする [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
ログと脅威検出 LT-4 セキュリティ調査のためのネットワーク ログを有効にする [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある 6.0.0-preview
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある 5.1.0-preview
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある 4.0.0-preview
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある 3.1.0-preview
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する [プレビュー]: Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある 1.0.0-preview
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある 4.0.0-preview
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある 2.0.0-preview
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
体制と脆弱性の管理 PV-4 コンピューティング リソースにセキュリティで保護された構成を監査して適用する Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
体制と脆弱性の管理 PV-5 脆弱性評価を実行する 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
体制と脆弱性の管理 PV-5 脆弱性評価を実行する マシンではシークレットの検出結果が解決されている必要がある 1.0.2
体制と脆弱性の管理 PV-6 脆弱性を迅速かつ自動的に修復する 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある 3.7.0
体制と脆弱性の管理 PV-6 脆弱性を迅速かつ自動的に修復する マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
体制と脆弱性の管理 PV-6 脆弱性を迅速かつ自動的に修復する システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) 1.0.1
体制と脆弱性の管理 PV-6 脆弱性を迅速かつ自動的に修復する 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
エンドポイント セキュリティ ES-2 最新のマルウェア対策ソフトウェアを使用する マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
バックアップと回復 BR-1 定期的な自動バックアップを保証する 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
バックアップと回復 BR-2 バックアップおよび回復データを保護する 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0

NIST SP 800-171 R2

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。

[ドメイン] コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 3.1.1 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
アクセス制御 3.1.12 リモート アクセス セッションの監視および制御を行う。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 3.1.12 リモート アクセス セッションの監視および制御を行う。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 3.1.12 リモート アクセス セッションの監視および制御を行う。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 3.1.12 リモート アクセス セッションの監視および制御を行う。 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 3.1.12 リモート アクセス セッションの監視および制御を行う。 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 3.1.13 リモート アクセス セッションの機密性を保護するため暗号化メカニズムを採用する。 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 3.1.14 管理対象のアクセス制御ポイントを介してリモート アクセスをルーティングする。 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 3.1.2 システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
アクセス制御 3.1.3 承認された認可に従って CUI のフローを制御する。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
アクセス制御 3.1.3 承認された認可に従って CUI のフローを制御する。 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 3.1.3 承認された認可に従って CUI のフローを制御する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
アクセス制御 3.1.3 承認された認可に従って CUI のフローを制御する。 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
アクセス制御 3.1.3 承認された認可に従って CUI のフローを制御する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 3.1.3 承認された認可に従って CUI のフローを制御する。 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
アクセス制御 3.1.3 承認された認可に従って CUI のフローを制御する。 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
アクセス制御 3.1.4 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 Administrators グループ内の指定されたメンバーが欠けている Windows マシンを監査する 2.0.0
アクセス制御 3.1.4 個人の職務を分離し、共謀させないようにして悪意のあるアクティビティのリスクを軽減する。 Administrators グループ内に指定されたメンバーが存在する Windows マシンを監査する 2.0.0
リスク評価 3.11.2 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 3.11.2 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
リスク評価 3.11.2 組織システムとアプリケーションの脆弱性を定期的にスキャンし、これらのシステムやアプリケーションに影響を与える新しい脆弱性が特定されたときにもスキャンする。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
リスク評価 3.11.3 リスク評価に従って脆弱性を修復する。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 3.11.3 リスク評価に従って脆弱性を修復する。 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
リスク評価 3.11.3 リスク評価に従って脆弱性を修復する。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと通信の保護 3.13.1 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 3.13.1 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 3.13.1 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 3.13.1 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 3.13.1 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 3.13.1 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 3.13.1 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 3.13.10 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある 1.0.0
システムと通信の保護 3.13.10 組織のシステムで採用されている暗号化の暗号化キーを確立し、管理する。 OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある 3.0.0
システムと通信の保護 3.13.16 保存時の CUI の機密性を保護する。 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
システムと通信の保護 3.13.2 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 3.13.2 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 3.13.2 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 3.13.2 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 3.13.2 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 3.13.2 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 3.13.2 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 3.13.5 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 3.13.5 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 3.13.5 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 3.13.5 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 3.13.5 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 3.13.5 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 3.13.5 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 3.13.6 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 3.13.6 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 3.13.6 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 3.13.6 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 3.13.6 ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 3.13.8 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと情報の整合性 3.14.1 システムの欠陥を適切なタイミングで特定、報告、修正する。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システムと情報の整合性 3.14.1 システムの欠陥を適切なタイミングで特定、報告、修正する。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと情報の整合性 3.14.1 システムの欠陥を適切なタイミングで特定、報告、修正する。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 3.14.2 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
システムと情報の整合性 3.14.2 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある 1.1.0
システムと情報の整合性 3.14.2 組織システム内の指定された場所で、悪意のあるコードからの保護を提供する。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 3.14.4 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
システムと情報の整合性 3.14.4 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある 1.1.0
システムと情報の整合性 3.14.4 新しいリリースが利用可能になったときに、悪意のあるコードからの保護メカニズムを更新する。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 3.14.5 組織のシステムの定期的なスキャンを実行すると共に、外部ソースからのファイルのリアルタイム スキャンを、ファイルがダウンロードされる、開かれる、または実行されるときに行う。 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
システムと情報の整合性 3.14.5 組織のシステムの定期的なスキャンを実行すると共に、外部ソースからのファイルのリアルタイム スキャンを、ファイルがダウンロードされる、開かれる、または実行されるときに行う。 Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある 1.1.0
システムと情報の整合性 3.14.5 組織のシステムの定期的なスキャンを実行すると共に、外部ソースからのファイルのリアルタイム スキャンを、ファイルがダウンロードされる、開かれる、または実行されるときに行う。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 3.14.6 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 3.14.6 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 3.14.6 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
システムと情報の整合性 3.14.6 送受信の通信トラフィックを含めて組織システムを監視し、攻撃や潜在的な攻撃の兆候を検出する。 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
システムと情報の整合性 3.14.7 組織のシステムの不正使用を特定する。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 3.14.7 組織のシステムの不正使用を特定する。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 3.14.7 組織のシステムの不正使用を特定する。 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
システムと情報の整合性 3.14.7 組織のシステムの不正使用を特定する。 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ 3.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ 3.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ 3.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ 3.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
監査とアカウンタビリティ 3.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
監査とアカウンタビリティ 3.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
監査とアカウンタビリティ 3.3.1 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ 3.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ 3.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ 3.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ 3.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
監査とアカウンタビリティ 3.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 仮想マシンは、指定されたワークスペースに接続する必要がある 1.1.0
監査とアカウンタビリティ 3.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
監査とアカウンタビリティ 3.3.2 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
構成管理 3.4.1 それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 3.4.1 それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
構成管理 3.4.2 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 3.4.2 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
識別と認証 3.5.10 暗号で保護されたパスワードのみを格納して送信する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 3.5.10 暗号で保護されたパスワードのみを格納して送信する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 3.5.10 暗号で保護されたパスワードのみを格納して送信する。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 3.5.10 暗号で保護されたパスワードのみを格納して送信する。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 3.5.10 暗号で保護されたパスワードのみを格納して送信する。 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 3.5.10 暗号で保護されたパスワードのみを格納して送信する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 3.5.10 暗号で保護されたパスワードのみを格納して送信する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 3.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 3.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 3.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 3.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 3.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
識別と認証 3.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 3.5.2 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 3.5.4 特権および非特権アカウントによるネットワーク アクセスに、リプレイ耐性のある認証メカニズムを採用する。 Windows マシンは [セキュリティ オプション - ネットワーク セキュリティ] の要件を満たしている必要がある 3.0.0
識別と認証 3.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 3.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 3.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 3.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 3.5.7 新しいパスワードが作成されるときに、最小限のパスワードの複雑さおよび文字の変更を強制する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 3.5.8 指定された生成回数についてパスワードの再利用を禁止する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 3.5.8 指定された生成回数についてパスワードの再利用を禁止する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 3.5.8 指定された生成回数についてパスワードの再利用を禁止する。 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 3.5.8 指定された生成回数についてパスワードの再利用を禁止する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
メディア保護 3.8.9 保存場所にあるバックアップ CUI の機密性を保護する。 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0

NIST SP 800-53 Rev. 4

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。

[ドメイン] コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC-2 (12) アカウントの監視または一般的でない使用法 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC-3 アクセスの適用 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-3 アクセスの適用 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-3 アクセスの適用 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 AC-3 アクセスの適用 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
アクセス制御 AC-3 アクセスの適用 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-3 アクセスの適用 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 AC-4 情報フローの適用 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
アクセス制御 AC-4 (3) 動的な情報フローの制御 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC-17 リモート アクセス ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 リモート アクセス ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 リモート アクセス パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 リモート アクセス Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-17 リモート アクセス Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC-17 リモート アクセス ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 AC-17 (1) 自動監視/制御 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 (1) 自動監視/制御 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 (1) 自動監視/制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 (1) 自動監視/制御 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-17 (1) 自動監視/制御 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC-17 (1) 自動監視/制御 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
監査とアカウンタビリティ AU-6 監査の確認、分析、および報告 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 監査の確認、分析、および報告 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-6 (5) 統合またはスキャンと監視機能 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 監査の生成 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 監査の生成 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-12 監査の生成 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-12 (1) システム全体または時間相関の監査証跡 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
構成管理 CM-6 構成設定 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 CM-6 構成設定 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
代替計画 CP-7 代替処理サイト ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
代替計画 CP-9 情報システムのバックアップ 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
識別と認証 IA-5 認証子の管理 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 認証子の管理 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 認証子の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 認証子の管理 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
識別と認証 IA-5 認証子の管理 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 IA-5 認証子の管理 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 IA-5 (1) パスワードベースの認証 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 (1) パスワードベースの認証 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 (1) パスワードベースの認証 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
リスク評価 RA-5 脆弱性のスキャン 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 RA-5 脆弱性のスキャン マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
リスク評価 RA-5 脆弱性のスキャン 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと通信の保護 SC-3 セキュリティ機能の分離 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと通信の保護 SC-5 サービス拒否の防止 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 SC-7 境界保護 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 SC-8 送信の機密性と整合性 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-8 (1) 暗号化または代替の物理的保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-12 暗号化キーの確立と管理 マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある 1.0.0
システムと通信の保護 SC-12 暗号化キーの確立と管理 OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある 3.0.0
システムと通信の保護 SC-28 保存情報の保護 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
システムと通信の保護 SC-28 (1) 暗号化による保護 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
システムと情報の整合性 SI-2 欠陥の修復 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システムと情報の整合性 SI-2 欠陥の修復 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと情報の整合性 SI-3 悪意のあるコードからの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-3 (1) 中央管理 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 SI-4 情報システムの監視 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 SI-4 情報システムの監視 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
システムと情報の整合性 SI-4 情報システムの監視 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
システムと情報の整合性 SI-16 メモリの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0

NIST SP 800-53 Rev. 5

すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
アクセス制御 AC-2 (12) 一般的でない使用法に対するアカウントの監視 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC-3 アクセスの適用 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-3 アクセスの適用 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-3 アクセスの適用 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
アクセス制御 AC-3 アクセスの適用 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
アクセス制御 AC-3 アクセスの適用 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-3 アクセスの適用 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 AC-4 情報フローの適用 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
アクセス制御 AC-4 情報フローの適用 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
アクセス制御 AC-4 (3) 動的な情報フローの制御 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 AC-17 リモート アクセス ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 リモート アクセス ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 リモート アクセス パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 リモート アクセス Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-17 リモート アクセス Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC-17 リモート アクセス ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
アクセス制御 AC-17 (1) 監視および制御 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 (1) 監視および制御 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
アクセス制御 AC-17 (1) 監視および制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
アクセス制御 AC-17 (1) 監視および制御 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
アクセス制御 AC-17 (1) 監視および制御 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
アクセス制御 AC-17 (1) 監視および制御 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
監査とアカウンタビリティ AU-6 監査レコードのレビュー、分析、レポート作成 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 監査レコードのレビュー、分析、レポート作成 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-6 (4) 一元的なレビューと分析 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ AU-6 (5) 監査レコードの統合分析 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (5) 監査レコードの統合分析 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-6 (5) 監査レコードの統合分析 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-6 (5) 監査レコードの統合分析 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ AU-12 監査レコードの生成 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 監査レコードの生成 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 監査レコードの生成 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-12 監査レコードの生成 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
監査とアカウンタビリティ AU-12 (1) システム全体および時間相関の監査証跡 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 (1) システム全体および時間相関の監査証跡 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
監査とアカウンタビリティ AU-12 (1) システム全体および時間相関の監査証跡 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
監査とアカウンタビリティ AU-12 (1) システム全体および時間相関の監査証跡 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
構成管理 CM-6 構成設定 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
構成管理 CM-6 構成設定 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
代替計画 CP-7 代替処理サイト ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
代替計画 CP-9 システム バックアップ 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
識別と認証 IA-5 認証子の管理 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 認証子の管理 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 認証子の管理 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 認証子の管理 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 認証子の管理 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
識別と認証 IA-5 認証子の管理 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 IA-5 認証子の管理 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
識別と認証 IA-5 (1) パスワードベースの認証 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 (1) パスワードベースの認証 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
識別と認証 IA-5 (1) パスワードベースの認証 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
識別と認証 IA-5 (1) パスワードベースの認証 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
識別と認証 IA-5 (1) パスワードベースの認証 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
識別と認証 IA-5 (1) パスワードベースの認証 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
リスク評価 RA-5 脆弱性の監視とスキャン 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
リスク評価 RA-5 脆弱性の監視とスキャン マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
リスク評価 RA-5 脆弱性の監視とスキャン 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと通信の保護 SC-3 セキュリティ機能の分離 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと通信の保護 SC-5 サービス拒否の防止 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 ご使用の仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 SC-7 境界保護 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 SC-7 境界保護 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
システムと通信の保護 SC-7 (3) アクセス ポイント インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
システムと通信の保護 SC-8 送信の機密性と整合性 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-8 (1) 暗号化による保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
システムと通信の保護 SC-12 暗号化キーの確立と管理 マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある 1.0.0
システムと通信の保護 SC-12 暗号化キーの確立と管理 OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある 3.0.0
システムと通信の保護 SC-28 保存情報の保護 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
システムと通信の保護 SC-28 (1) 暗号化による保護 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
システムと情報の整合性 SI-2 欠陥の修復 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システムと情報の整合性 SI-2 欠陥の修復 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
システムと情報の整合性 SI-3 悪意のあるコードからの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
システムと情報の整合性 SI-4 システム監視 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 SI-4 システム監視 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
システムと情報の整合性 SI-4 システム監視 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
システムと情報の整合性 SI-4 システム監視 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
システムと情報の整合性 SI-16 メモリの保護 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0

NL BIO Cloud Theme

すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。

[ドメイン] コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
C.04.3 技術的な脆弱性の管理 - タイムライン C.04.3 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
C.04.3 技術的な脆弱性の管理 - タイムライン C.04.3 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
C.04.3 技術的な脆弱性の管理 - タイムライン C.04.3 悪用の確率と予想される損害の両方が大きい場合、1 週間以内にパッチがインストールされます。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
C.04.6 技術的な脆弱性の管理 - タイムライン C.04.6 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
C.04.6 技術的な脆弱性の管理 - タイムライン C.04.6 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
C.04.6 技術的な脆弱性の管理 - タイムライン C.04.6 遅れることなくパッチ管理を実行することで技術的な弱点を修正できます。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
C.04.7 技術的な脆弱性の管理 - 評価済み C.04.7 技術的な脆弱性の評価が記録され、報告されます。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
C.04.7 技術的な脆弱性の管理 - 評価済み C.04.7 技術的な脆弱性の評価が記録され、報告されます。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
C.04.7 技術的な脆弱性の管理 - 評価済み C.04.7 技術的な脆弱性の評価が記録され、報告されます。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
C.04.8 技術的な脆弱性の管理 - 評価済み C.04.8 評価レポートには改善のための提案が含まれており、マネージャーや所有者に通知されます。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
C.04.8 技術的な脆弱性の管理 - 評価済み C.04.8 評価レポートには改善のための提案が含まれており、マネージャーや所有者に通知されます。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
U.03.1 ビジネス継続性サービス - 冗長性 U.03.1 合意された継続性は、十分に論理的または物理的に複数のシステム機能によって保証されます。 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
U.03.1 ビジネス継続性サービス - 冗長性 U.03.1 合意された継続性は、論理的または物理的に十分に複数のシステム機能によって保証されます。 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
U.03.2 ビジネス継続性サービス - 継続性要件 U.03.2 CSC と合意したクラウド サービスの継続性要件は、システム アーキテクチャによって保証されます。 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
U.03.2 ビジネス継続性サービス - 継続性要件 U.03.2 CSC と合意したクラウド サービスの継続性要件は、システム アーキテクチャによって保証されます。 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
U.04.1 データとクラウド サービス リカバリ - 復元機能 U.04.1 データとクラウド サービスは、合意された期間内および最大データ損失の範囲内で復元され、CSC で使用できるようになります。 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
U.04.2 データとクラウド サービス リカバリ - 復元機能 U.04.2 データの回復可能な保護の継続的なプロセスが監視されます。 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
U.04.3 データとクラウド サービス リカバリ - テスト済み U.04.3 回復関数の機能が定期的にテストされ、結果が CSC と共有されます。 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
U.05.1 データ保護 - 暗号化対策 U.05.1 データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
U.05.2 データ保護 - 暗号化対策 U.05.2 クラウド サービスに格納されているデータは、最先端の技術で保護されます。 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある 6.0.0-preview
U.05.2 データ保護 - 暗号化対策 U.05.2 クラウド サービスに格納されているデータは、最先端の技術で保護されます。 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある 5.1.0-preview
U.05.2 データ保護 - 暗号化対策 U.05.2 クラウド サービスに格納されているデータは、最先端の技術で保護されます。 [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある 4.0.0-preview
U.05.2 データ保護 - 暗号化対策 U.05.2 クラウド サービスに格納されているデータは、最先端の技術で保護されます。 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある 3.1.0-preview
U.05.2 データ保護 - 暗号化対策 U.05.2 クラウド サービスに格納されているデータは、最先端の技術で保護されます。 [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある 4.0.0-preview
U.05.2 データ保護 - 暗号化対策 U.05.2 クラウド サービスに格納されているデータは、最先端の技術で保護されます。 [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある 2.0.0-preview
U.05.2 データ保護 - 暗号化対策 U.05.2 クラウド サービスに格納されているデータは、最先端の技術で保護されます。 マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある 1.0.0
U.05.2 データ保護 - 暗号化対策 U.05.2 クラウド サービスに格納されているデータは、最先端の技術で保護されます。 OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある 3.0.0
U.05.2 データ保護 - 暗号化対策 U.05.2 クラウド サービスに格納されているデータは、最先端の技術で保護されます。 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
U.07.1 データの分離 - 分離 U.07.1 データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
U.07.1 データ分離 - 分離 U.07.1 データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 ディスク アクセス リソースにはプライベート リンクを使用する必要がある 1.0.0
U.07.1 データの分離 - 分離 U.07.1 データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
U.07.1 データ分離 - 分離 U.07.1 データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
U.07.1 データ分離 - 分離 U.07.1 データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
U.07.1 データ分離 - 分離 U.07.1 データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
U.07.1 データ分離 - 分離 U.07.1 データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
U.09.3 マルウェア対策 - 検出、防止、回復 U.09.3 マルウェア保護はさまざまな環境で実行されます。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
U.09.3 マルウェア対策 - 検出、防止、回復 U.09.3 マルウェア保護はさまざまな環境で実行されます。 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
U.09.3 マルウェア対策 - 検出、防止、回復 U.09.3 マルウェア保護はさまざまな環境で実行されます。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
U.09.3 マルウェア対策 - 検出、防止、回復 U.09.3 マルウェア保護はさまざまな環境で実行されます。 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
U.10.2 IT サービスとデータへのアクセス - ユーザー U.10.2 CSP の責任の下、アクセス権が管理者に付与されます。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
U.10.2 IT サービスとデータへのアクセス - ユーザー U.10.2 CSP の責任の下、アクセス権が管理者に付与されます。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
U.10.2 IT サービスとデータへのアクセス - ユーザー U.10.2 CSP の責任の下、アクセス権が管理者に付与されます。 Managed Disks を使用していない VM の監査 1.0.0
U.10.2 IT サービスとデータへのアクセス - ユーザー U.10.2 CSP の責任の下、アクセス権が管理者に付与されます。 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
U.10.3 IT サービスとデータへのアクセス - ユーザー U.10.3 IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
U.10.3 IT サービスとデータへのアクセス - ユーザー U.10.3 IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
U.10.3 IT サービスとデータへのアクセス - ユーザー U.10.3 IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 Managed Disks を使用していない VM の監査 1.0.0
U.10.3 IT サービスとデータへのアクセス - ユーザー U.10.3 IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
U.10.5 IT サービスとデータへのアクセス - 適格 U.10.5 IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
U.10.5 IT サービスとデータへのアクセス - 適格 U.10.5 IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
U.10.5 IT サービスとデータへのアクセス - 適格 U.10.5 IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 Managed Disks を使用していない VM の監査 1.0.0
U.10.5 IT サービスとデータへのアクセス - 適格 U.10.5 IT サービスとデータへのアクセスは技術的な手段によって制限され、実装されています。 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
U.11.1 暗号化サービス - ポリシー U.11.1 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
U.11.1 暗号化サービス - ポリシー U.11.1 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
U.11.2 暗号化サービス - 暗号化対策 U.11.2 PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
U.11.2 暗号化サービス - 暗号化対策 U.11.2 PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
U.11.3 暗号化サービス - 暗号化 U.11.3 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある 6.0.0-preview
U.11.3 暗号化サービス - 暗号化 U.11.3 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある 5.1.0-preview
U.11.3 暗号化サービス - 暗号化 U.11.3 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある 4.0.0-preview
U.11.3 暗号化サービス - 暗号化 U.11.3 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある 3.1.0-preview
U.11.3 暗号化サービス - 暗号化 U.11.3 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある 4.0.0-preview
U.11.3 暗号化サービス - 暗号化 U.11.3 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある 2.0.0-preview
U.11.3 暗号化サービス - 暗号化 U.11.3 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 マネージド ディスクはプラットフォーム マネージドおよびカスタマー マネージド キーの両方を使用して二重暗号化する必要がある 1.0.0
U.11.3 暗号化サービス - 暗号化 U.11.3 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある 3.0.0
U.11.3 暗号化サービス - 暗号化 U.11.3 機密データは、CSC によって管理される秘密キーを使用して常に暗号化されます。 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
U.12.1 インターフェイス - ネットワーク接続 U.12.1 外部ゾーンまたは信頼されていないゾーンとの接続ポイントでは、攻撃に対する対策が講じられます。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
U.12.1 インターフェイス - ネットワーク接続 U.12.1 外部ゾーンまたは信頼されていないゾーンとの接続ポイントでは、攻撃に対する対策が講じられます。 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
U.12.2 インターフェイス - ネットワーク接続 U.12.2 ネットワーク コンポーネントでは、信頼されたネットワークと信頼されていないネットワークの間のネットワーク接続が制限されます。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
U.12.2 インターフェイス - ネットワーク接続 U.12.2 ネットワーク コンポーネントでは、信頼されたネットワークと信頼されていないネットワークの間のネットワーク接続が制限されます。 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
U.15.1 ログ記録と監視 - イベントの記録 U.15.1 ポリシー規則の違反は、CSP と CSC によって記録されます。 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
U.15.1 ログ記録と監視 - イベントの記録 U.15.1 ポリシー規則の違反は、CSP と CSC によって記録されます。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
U.15.1 ログ記録と監視 - イベントの記録 U.15.1 ポリシー規則の違反は、CSP と CSC によって記録されます。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
U.15.1 ログ記録と監視 - イベントの記録 U.15.1 ポリシー規則の違反は、CSP と CSC によって記録されます。 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある 2.0.0
U.15.1 ログ記録と監視 - イベントの記録 U.15.1 ポリシー規則の違反は、CSP と CSC によって記録されます。 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある 2.0.0
U.15.1 ログ記録と監視 - イベントの記録 U.15.1 ポリシー規則の違反は、CSP と CSC によって記録されます。 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
U.15.1 ログ記録と監視 - イベントの記録 U.15.1 ポリシー規則の違反は、CSP と CSC によって記録されます。 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
U.15.1 ログ記録と監視 - イベントの記録 U.15.1 ポリシー規則の違反は、CSP と CSC によって記録されます。 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
U.15.3 ログ記録と監視 - イベントの記録 U.15.3 CSP は、ログ記録と監視の観点から重要なすべての資産の一覧を保持し、この一覧を確認します。 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
U.15.3 ログ記録と監視 - イベントの記録 U.15.3 CSP は、ログ記録と監視の観点から重要なすべての資産の一覧を保持し、この一覧を確認します。 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある 2.0.0
U.15.3 ログ記録と監視 - イベントの記録 U.15.3 CSP は、ログ記録と監視の観点から重要なすべての資産の一覧を保持し、この一覧を確認します。 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある 2.0.0
U.15.3 ログ記録と監視 - イベントの記録 U.15.3 CSP は、ログ記録と監視の観点から重要なすべての資産の一覧を保持し、この一覧を確認します。 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
U.17.1 マルチテナント アーキテクチャ - 暗号化 U.17.1 転送時および保存時の CSC データは暗号化されます。 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
U.17.1 マルチテナント アーキテクチャ - 暗号化 U.17.1 転送時および保存時の CSC データは暗号化されます。 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0

PCI DSS 3.2.1

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS 3.2.1 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、PCI DSS 3.2.1 を参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
要件 1 1.3.2 PCI DSS 要件 1.3.2 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
要件 1 1.3.4 PCI DSS 要件 1.3.4 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
要件 10 10.5.4 PCI DSS 要件 10.5.4 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
要件 11 11.2.1 PCI DSS 要件 11.2.1 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
要件 11 11.2.1 PCI DSS 要件 11.2.1 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
要件 5 5.1 PCI DSS 要件 5.1 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
要件 5 5.1 PCI DSS 要件 5.1 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
要件 6 6.2 PCI DSS 要件 6.2 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
要件 6 6.2 PCI DSS 要件 6.2 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
要件 6 6.6 PCI DSS 要件 6.6 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
要件 6 6.6 PCI DSS 要件 6.6 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
要件 8 8.2.3 PCI DSS 要件 8.2.3 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
要件 8 8.2.3 PCI DSS 要件 8.2.3 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
要件 8 8.2.3 PCI DSS 要件 8.2.3 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
要件 8 8.2.3 PCI DSS 要件 8.2.3 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
要件 8 8.2.3 PCI DSS 要件 8.2.3 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
要件 8 8.2.3 PCI DSS 要件 8.2.3 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
要件 8 8.2.5 PCI DSS 要件 8.2.5 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
要件 8 8.2.5 PCI DSS 要件 8.2.5 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
要件 8 8.2.5 PCI DSS 要件 8.2.5 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
要件 8 8.2.5 PCI DSS 要件 8.2.5 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
要件 8 8.2.5 PCI DSS 要件 8.2.5 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
要件 8 8.2.5 PCI DSS 要件 8.2.5 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0

PCI DSS v4.0

すべての Azure サービスに対して使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS v4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「PCI DSS v4.0」をご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
要件 01: ネットワーク セキュリティ制御をインストールして維持する 1.3.2 カード所有者データの環境との間のネットワーク アクセスが制限されている 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
要件 01: ネットワーク セキュリティ制御をインストールして維持する 1.4.2 信頼されたネットワークと信頼されていないネットワーク間のネットワーク接続が制御されている 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する 10.2.2 異常および疑わしいアクティビティの検出とイベントのフォレンジック分析をサポートするために、監査ログが実装されている 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
要件 10: システム コンポーネントおよびカード所有者データへのすべてのアクセスを記録して監視する 10.3.3 監査ログは、破棄および非認可の変更から保護されている 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
要件 11: システムおよびネットワークのセキュリティを定期的にテストする 11.3.1 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
要件 11: システムおよびネットワークのセキュリティを定期的にテストする 11.3.1 外部および内部の脆弱性が定期的に特定され、優先度が付けられ、対応が行われる 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する 5.2.1 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する 5.2.1 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する 5.2.2 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する 5.2.2 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する 5.2.3 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
要件 05: 悪意のあるソフトウェアからすべてのシステムとネットワークを保護する 5.2.3 悪意のあるソフトウェア (マルウェア) が防止されているか、検出および対処されている 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する 6.3.3 セキュリティの脆弱性が特定され、対応が行われる 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する 6.3.3 セキュリティの脆弱性が特定され、対応が行われる 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する 6.4.1 一般向けの Web アプリケーションが攻撃から保護されている 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する 6.4.1 一般向けの Web アプリケーションが攻撃から保護されている 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する 8.3.6 ユーザーと管理者の強力な認証が確立され、管理されている ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する 8.3.6 ユーザーと管理者の強力な認証が確立され、管理されている ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する 8.3.6 ユーザーと管理者の強力な認証が確立され、管理されている 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する 8.3.6 ユーザーと管理者の強力な認証が確立され、管理されている パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する 8.3.6 ユーザーと管理者の強力な認証が確立され、管理されている パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
要件 08: ユーザーを識別し、システム コンポーネントへのアクセスを認証する 8.3.6 ユーザーと管理者の強力な認証が確立され、管理されている Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0

インド準備銀行 - NBFC 向けの IT フレームワーク

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 ここのコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
IT ガバナンス 1 IT ガバナンス-1 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
IT ガバナンス 1 IT ガバナンス-1 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
IT ガバナンス 1 IT ガバナンス-1 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
IT ガバナンス 1.1 IT ガバナンス-1.1 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
IT ガバナンス 1.1 IT ガバナンス-1.1 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
IT ガバナンス 1.1 IT ガバナンス-1.1 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
情報とサイバーセキュリティ 3.1.b 機能の分離-3.1 [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある 4.0.0-preview
情報とサイバーセキュリティ 3.1.b 機能の分離-3.1 [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある 2.0.0-preview
情報とサイバーセキュリティ 3.1.b 機能の分離-3.1 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
情報とサイバー セキュリティ 3.1.c ロール ベースのアクセス制御 - 3.1 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
情報とサイバー セキュリティ 3.1.g 証跡-3.1 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
情報とサイバーセキュリティ 3.1.g 証跡-3.1 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
情報とサイバーセキュリティ 3.1.g 証跡-3.1 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
情報とサイバーセキュリティ 3.1.g 証跡-3.1 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
情報とサイバーセキュリティ 3.1.g 証跡-3.1 Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
情報とサイバー セキュリティ 3.1.g 証跡-3.1 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
情報とサイバー セキュリティ 3.1.h 公開キー基盤 (PKI)-3.1 マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある 2.0.0
情報とサイバー セキュリティ 3.3 脆弱性の管理-3.3 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
情報とサイバー セキュリティ 3.3 脆弱性の管理-3.3 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
情報とサイバーセキュリティ 3.3 脆弱性の管理-3.3 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
IT 運用 4.2 IT 運用-4.2 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
IT 運用 4.4.a IT 運用-4.4 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
IT 運用 4.4.b 上位管理用の MIS-4.4 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
IS 監査 5 情報システム監査 (IS 監査) のポリシー-5 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
IS 監査 5 情報システム監査 (IS 監査) のポリシー-5 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
IS 監査 5 情報システム監査 (IS 監査) のポリシー-5 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
IS 監査 5 情報システム監査 (IS 監査) のポリシー-5 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
IS 監査 5.2 対象範囲-5.2 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
事業継続計画 6 事業継続計画 (BCP) とディザスター リカバリー-6 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
事業継続計画 6 事業継続計画 (BCP) とディザスター リカバリー-6 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
事業継続計画 6.2 復旧戦略 / コンティンジェンシー計画-6.2 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
事業継続計画 6.2 復旧戦略 / コンティンジェンシー計画-6.2 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
事業継続計画 6.3 復旧戦略 / コンティンジェンシー計画-6.3 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
事業継続計画 6.4 復旧戦略 / コンティンジェンシー計画-6.4 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0

インド準備銀行の銀行向けの IT フレームワーク v2016

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
詳細なリアルタイム脅威保護と管理 詳細なリアルタイム脅威保護と管理-13.1 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある 6.0.0-preview
詳細なリアルタイム脅威保護と管理 詳細なリアルタイム脅威保護と管理-13.1 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある 5.1.0-preview
詳細なリアルタイム脅威保護と管理 詳細なリアルタイム脅威保護と管理-13.1 [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある 4.0.0-preview
詳細なリアルタイム脅威保護と管理 詳細なリアルタイム脅威保護と管理-13.1 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある 3.1.0-preview
ネットワークの管理とセキュリティ ネットワーク インベントリ-4.2 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
ネットワークの管理とセキュリティ ネットワーク インベントリ-4.2 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
詳細なリアルタイム脅威保護と管理 詳細なリアルタイム脅威保護と管理-13.1 [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある 4.0.0-preview
ネットワークの管理とセキュリティ ネットワーク デバイス構成管理-4.3 [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある 2.0.0-preview
パッチまたは脆弱性と変更管理 パッチまたは脆弱性と変更管理-7.1 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
ネットワークの管理とセキュリティ ネットワーク デバイス構成管理-4.3 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
インシデント対応と管理 サイバー インシデントからの回復-19.4 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
顧客向けの認証フレームワーク 顧客向けの認証フレームワーク-9.1 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
詳細なリアルタイム脅威保護と管理 詳細なリアルタイム脅威保護と管理-13.3 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
監査ログの設定 監査ログの設定-17.1 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
セキュリティで保護された構成 セキュリティで保護された構成-5.2 Windows Server Azure Edition の VM に対してホットパッチを有効にする必要がある 1.0.0
ネットワークの管理とセキュリティ ネットワーク デバイス構成管理-4.3 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
ネットワークの管理とセキュリティ ネットワーク デバイス構成管理-4.3 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
監査ログの設定 監査ログの設定-17.1 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
ネットワークの管理とセキュリティ ネットワーク デバイス構成管理-4.3 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
ネットワークの管理とセキュリティ ネットワーク デバイス構成管理-4.3 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
ネットワークの管理とセキュリティ ネットワーク デバイス構成管理-4.3 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
承認されていないソフトウェアの実行の防止 セキュリティ更新プログラムの管理-2.3 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
詳細なリアルタイム脅威保護と管理 詳細なリアルタイム脅威保護と管理-13.1 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
ユーザー アクセスの制御または管理 ユーザー アクセスの制御または管理-8.4 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
承認されていないソフトウェアの実行の防止 セキュリティ更新プログラムの管理-2.3 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
セキュリティで保護された構成 セキュリティで保護された構成-5.1 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
メールおよびメッセージング システムのセキュリティ保護 メールおよびメッセージング システムのセキュリティ保護-10.1 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
監査ログの設定 監査ログの設定-17.1 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0

RMIT マレーシア

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RMIT マレーシアに関する記事をご覧ください。 このコンプライアンス標準の詳細については、RMIT マレーシア に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
データセンターの運用 10.27 データセンターの運用 - 10.27 デプロイ - Log Analytics 拡張機能を Windows 仮想マシン スケール セットで有効になるように構成する 3.1.0
データセンターの運用 10.27 データセンターの運用 - 10.27 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
データセンターの運用 10.30 データセンターの運用 - 10.30 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
ネットワークの回復性 10.33 ネットワークの回復性 - 10.33 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
ネットワークの回復性 10.33 ネットワークの回復性 - 10.33 パブリック ネットワーク アクセスを無効にするようにマネージド ディスクを構成する 2.0.0
ネットワークの回復性 10.33 ネットワークの回復性 - 10.33 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
ネットワークの回復性 10.33 ネットワークの回復性 - 10.33 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
ネットワークの回復性 10.33 ネットワークの回復性 - 10.33 マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある 2.0.0
ネットワークの回復性 10.33 ネットワークの回復性 - 10.33 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
ネットワークの回復性 10.35 ネットワークの回復性 - 10.35 デプロイ - Log Analytics 拡張機能を Windows 仮想マシン スケール セットで有効になるように構成する 3.1.0
Cloud Services 10.49 クラウド サービス - 10.49 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
Cloud Services 10.51 クラウド サービス - 10.51 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
Cloud Services 10.53 クラウド サービス - 10.53 マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある 2.0.0
Cloud Services 10.53 クラウド サービス - 10.53 OS およびデータ ディスクはカスタマー マネージド キーで暗号化する必要がある 3.0.0
アクセス制御 10.54 アクセス制御 - 10.54 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
アクセス制御 10.54 アクセス制御 - 10.54 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 10.54 アクセス制御 - 10.54 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
アクセス制御 10.61 アクセス制御 - 10.61 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
アクセス制御 10.61 アクセス制御 - 10.61 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
アクセス制御 10.61 アクセス制御 - 10.61 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
パッチとエンド オブ ライフ システム管理 10.63 パッチとエンド オブ ライフ システム管理 - 10.63 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
デジタル サービスのセキュリティ 10.66 デジタル サービスのセキュリティ - 10.66 デプロイ - Log Analytics 拡張機能を Windows 仮想マシンで有効になるように構成する 3.1.0
デジタル サービスのセキュリティ 10.66 デジタル サービスのセキュリティ - 10.66 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
デジタル サービスのセキュリティ 10.66 デジタル サービスのセキュリティ - 10.66 Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
デジタル サービスのセキュリティ 10.66 デジタル サービスのセキュリティ - 10.66 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
データ損失防止 (DLP) 11.15 データ損失防止 (DLP) - 11.15 パブリック ネットワーク アクセスを無効にするようにマネージド ディスクを構成する 2.0.0
データ損失防止 (DLP) 11.15 データ損失防止 (DLP) - 11.15 マネージド ディスクでパブリック ネットワーク アクセスを無効にする必要がある 2.0.0
データ損失防止 (DLP) 11.15 データ損失防止 (DLP) - 11.15 マネージド ディスクではカスタマー マネージド キーによる暗号化のためにディスク暗号化セットの特定のセットを使用する必要がある 2.0.0
サイバー リスク管理 11.2 サイバー リスク管理 - 11.2 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
セキュリティ オペレーション センター (SOC) 11.20 セキュリティ オペレーション センター (SOC) - 11.20 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある 1.0.0
サイバー リスク管理 11.4 サイバー リスク管理 - 11.4 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する 9.4.0
サイバー リスク管理 11.4 サイバー リスク管理 - 11.4 インストールする必要があるのは、許可されている VM 拡張機能のみ 1.0.0
サイバーセキュリティ操作 11.8 サイバーセキュリティ操作 - 11.8 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
サイバーセキュリティのコントロール メジャー 付録 5.2 サイバーセキュリティのコントロール メジャー - 付録 5.2 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
サイバーセキュリティのコントロール メジャー 付録 5.7 サイバーセキュリティのコントロール メジャー - 付録 5.7 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
サイバーセキュリティのコントロール メジャー 付録 5.7 サイバーセキュリティのコントロール メジャー - 付録 5.7 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
サイバーセキュリティのコントロール メジャー 付録 5.7 サイバーセキュリティのコントロール メジャー - 付録 5.7 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
サイバーセキュリティのコントロール メジャー 付録 5.7 サイバーセキュリティのコントロール メジャー - 付録 5.7 Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある 1.1.0
サイバーセキュリティのコントロール メジャー 付録 5.7 サイバーセキュリティのコントロール メジャー - 付録 5.7 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0

スペイン ENS

すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、Spain ENS に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CCN-STIC 884 に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
保護対策 mp.com.1 通信の保護 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
保護対策 mp.com.1 通信の保護 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
保護対策 mp.com.1 通信の保護 Windows マシンは [Windows ファイアウォール プロパティ] の要件を満たしている必要がある 3.0.0
保護対策 mp.com.2 通信の保護 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
保護対策 mp.com.3 通信の保護 [非推奨]: コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある 2.1.0 (非推奨)
保護対策 mp.com.3 通信の保護 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
保護対策 mp.com.3 通信の保護 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
保護対策 mp.com.4 通信の保護 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
保護対策 mp.info.3 情報の保護 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
保護対策 mp.info.3 情報の保護 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
保護対策 mp.info.3 情報の保護 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
保護対策 mp.info.4 情報の保護 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある 2.0.0
保護対策 mp.info.6 情報の保護 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
保護対策 mp.info.6 情報の保護 特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する 9.4.0
保護対策 mp.info.6 情報の保護 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する 9.4.0
保護対策 mp.s.2 サービスの保護 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
保護対策 mp.s.2 サービスの保護 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
保護対策 mp.s.2 サービスの保護 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
保護対策 mp.si.2 情報メディアの保護 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
保護対策 mp.si.2 情報メディアの保護 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
保護対策 mp.si.2 情報メディアの保護 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
保護対策 mp.si.4 情報メディアの保護 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
保護対策 mp.si.4 情報メディアの保護 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
保護対策 mp.si.4 情報メディアの保護 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
運用フレームワーク op.acc.1 アクセス制御 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.acc.1 アクセス制御 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.acc.1 アクセス制御 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
運用フレームワーク op.acc.1 アクセス制御 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
運用フレームワーク op.acc.2 アクセス制御 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.acc.2 アクセス制御 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.acc.2 アクセス制御 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
運用フレームワーク op.acc.2 アクセス制御 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
運用フレームワーク op.acc.2 アクセス制御 Managed Disks を使用していない VM の監査 1.0.0
運用フレームワーク op.acc.2 アクセス制御 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
運用フレームワーク op.acc.2 アクセス制御 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
運用フレームワーク op.acc.2 アクセス制御 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
運用フレームワーク op.acc.2 アクセス制御 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
運用フレームワーク op.acc.2 アクセス制御 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
運用フレームワーク op.acc.2 アクセス制御 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
運用フレームワーク op.acc.2 アクセス制御 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
運用フレームワーク op.acc.2 アクセス制御 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
運用フレームワーク op.acc.5 アクセス制御 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.acc.5 アクセス制御 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.acc.5 アクセス制御 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
運用フレームワーク op.acc.5 アクセス制御 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
運用フレームワーク op.acc.6 アクセス制御 [非推奨]: コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある 2.1.0 (非推奨)
運用フレームワーク op.acc.6 アクセス制御 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.acc.6 アクセス制御 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.acc.6 アクセス制御 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
運用フレームワーク op.acc.6 アクセス制御 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
運用フレームワーク op.acc.6 アクセス制御 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
運用フレームワーク op.cont.3 サービスの継続性 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
運用フレームワーク op.cont.3 サービスの継続性 特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する 9.4.0
運用フレームワーク op.cont.3 サービスの継続性 特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する 9.4.0
運用フレームワーク op.cont.4 サービスの継続性 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
運用フレームワーク op.cont.4 サービスの継続性 特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する 9.4.0
運用フレームワーク op.cont.4 サービスの継続性 特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する 9.4.0
運用フレームワーク op.cont.4 サービスの継続性 特定のタグが付いない仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する 9.4.0
運用フレームワーク op.cont.4 サービスの継続性 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する 9.4.0
運用フレームワーク op.exp.1 操作 [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Linux Virtual Machines を構成する 1.0.0-preview
運用フレームワーク op.exp.1 操作 [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Linux VM を構成する 1.5.0-preview
運用フレームワーク op.exp.1 操作 [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Linux VMSS を構成する 1.0.0-preview
運用フレームワーク op.exp.1 操作 [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Linux VMSS を構成する 1.4.0-preview
運用フレームワーク op.exp.1 操作 [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Windows Virtual Machines を構成する 1.0.0-preview
運用フレームワーク op.exp.1 操作 [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Windows VM を構成する 1.1.0-preview
運用フレームワーク op.exp.1 操作 [プレビュー]: ChangeTracking と Inventory のデータ収集ルールに関連付けられるように Windows VMSS を構成する 1.0.0-preview
運用フレームワーク op.exp.1 操作 [プレビュー]: ユーザー割り当てマネージド ID を使用して ChangeTracking と Inventory 用の AMA をインストールするように Windows VMSS を構成する 1.1.0-preview
運用フレームワーク op.exp.10 操作 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.exp.10 操作 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.exp.10 操作 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
運用フレームワーク op.exp.10 操作 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
運用フレームワーク op.exp.2 操作 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
運用フレームワーク op.exp.2 操作 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
運用フレームワーク op.exp.2 操作 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.exp.2 操作 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
運用フレームワーク op.exp.3 操作 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
運用フレームワーク op.exp.3 操作 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
運用フレームワーク op.exp.3 操作 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
運用フレームワーク op.exp.3 操作 特定のタグが付いた仮想マシンで、既定のポリシーを使用して新しい Recovery Services コンテナーへのバックアップを構成する 9.4.0
運用フレームワーク op.exp.3 操作 特定のタグが付いた仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する 9.4.0
運用フレームワーク op.exp.3 操作 特定のタグが付いていない仮想マシンで、同じ場所にある既存の Recovery Services コンテナーへのバックアップを構成する 9.4.0
運用フレームワーク op.exp.3 操作 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.exp.3 操作 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
運用フレームワーク op.exp.4 操作 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
運用フレームワーク op.exp.4 操作 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.exp.4 操作 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
運用フレームワーク op.exp.5 操作 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
運用フレームワーク op.exp.5 操作 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.exp.5 操作 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
運用フレームワーク op.exp.6 操作 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.exp.6 操作 Microsoft Defender for SQL を自動的にインストールするように SQL Virtual Machines を構成する 1.5.0
運用フレームワーク op.exp.6 操作 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
運用フレームワーク op.exp.6 操作 Windows マシンで 1 日以内に保護署名を更新するように Windows Defender を構成する必要がある 1.0.1
運用フレームワーク op.exp.6 操作 Windows マシンで Windows Defender リアルタイム保護を有効にする必要がある 1.0.1
運用フレームワーク op.exp.8 操作 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
運用フレームワーク op.exp.8 操作 一覧に含まれる仮想マシン イメージに対して依存関係エージェントを有効にする必要がある 2.0.0
運用フレームワーク op.exp.8 操作 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは依存関係エージェントを有効にする必要がある 2.0.0
運用フレームワーク op.exp.8 操作 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
運用フレームワーク op.ext.4 外部リソース ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.ext.4 外部リソース ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
運用フレームワーク op.ext.4 外部リソース 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
運用フレームワーク op.ext.4 外部リソース パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
運用フレームワーク op.ext.4 外部リソース パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
運用フレームワーク op.ext.4 外部リソース Managed Disks を使用していない VM の監査 1.0.0
運用フレームワーク op.ext.4 外部リソース Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
運用フレームワーク op.ext.4 外部リソース 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
運用フレームワーク op.mon.1 システム監視 マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
運用フレームワーク op.mon.3 システム監視 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
運用フレームワーク op.mon.3 システム監視 脆弱性評価プロバイダーを受け取るようにマシンを構成する 4.0.0
運用フレームワーク op.mon.3 システム監視 マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある 1.0.0
運用フレームワーク op.nub.1 クラウド サービス Cloud Services (拡張サポート) ロール インスタンスを安全に構成する必要がある 1.0.0
運用フレームワーク op.nub.1 クラウド サービス Cloud Services (延長サポート) ロール インスタンスでは、システム更新プログラムがインストールされている必要がある 1.0.0
運用フレームワーク op.nub.1 クラウド サービス Log Analytics エージェントを Cloud Services (延長サポート) ロール インスタンスにインストールする必要がある 2.0.0
運用フレームワーク op.pl.2 計画 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
組織フレームワーク org.4 組織フレームワーク 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0

SWIFT CSP-CSCF v2021

すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2021 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2021」を参照してください。

[ドメイン] コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
SWIFT 環境保護 1.1 SWIFT 環境保護 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
SWIFT 環境保護 1.1 SWIFT 環境保護 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
SWIFT 環境保護 1.1 SWIFT 環境保護 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
SWIFT 環境保護 1.1 SWIFT 環境保護 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
SWIFT 環境保護 1.1 SWIFT 環境保護 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
SWIFT 環境保護 1.2 オペレーティング システムの特権アカウント制御 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
SWIFT 環境保護 1.3 仮想化プラットフォーム保護 Managed Disks を使用していない VM の監査 1.0.0
攻撃面と脆弱性の減少 2.1 内部 データ フロー セキュリティ Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
攻撃面と脆弱性の減少 2.1 内部 データ フロー セキュリティ Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
攻撃面と脆弱性の減少 2.2 セキュリティ更新プログラム 再起動が保留中の Windows VM の監査 2.0.0
攻撃面と脆弱性の減少 2.3 システムのセキュリティ強化 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
攻撃面と脆弱性の減少 2.3 システムのセキュリティ強化 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する 2.0.0
攻撃面と脆弱性の減少 2.3 システムのセキュリティ強化 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
攻撃面と脆弱性の減少 2.3 システムのセキュリティ強化 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
攻撃面と脆弱性の減少 2.4A バックオフィス Data Flow セキュリティ Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
攻撃面と脆弱性の減少 2.4A バックオフィス Data Flow セキュリティ Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
攻撃面と脆弱性の減少 2.5A 外部転送データの保護 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
攻撃面と脆弱性の減少 2.5A 外部転送データの保護 Managed Disks を使用していない VM の監査 1.0.0
攻撃面と脆弱性の減少 2.5A 外部転送データの保護 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
攻撃面と脆弱性の減少 2.6 オペレーター セッションの機密性と整合性 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
攻撃面と脆弱性の減少 2.7 脆弱性のスキャン 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
環境のセキュリティは、物理的に確保します 3.1 物理的なセキュリティ Managed Disks を使用していない VM の監査 1.0.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
資格情報の侵害を防止する 4.1 パスワード ポリシー 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
資格情報の侵害を防止する 4.1 パスワード ポリシー パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
ID の管理と特権の分離 5.2 トークン管理 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
ID の管理と特権の分離 5.4 物理および論理パスワードの保存 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.1 マルウェア対策 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.1 マルウェア対策 Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある 1.1.0
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 ログ記録と監視 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.5A 侵入の検出 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.5A 侵入の検出 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview

SWIFT CSP-CSCF v2022

すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2022 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2022」を参照してください。

ドメイン コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.1 ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.1 ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.1 ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.1 ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.1 ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.2 管理者レベルのオペレーティング システム アカウントの割り当てと使用を制限および制御する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.3 SWIFT 関連コンポーネントをホストする仮想化プラットフォームと仮想マシン (VM) を物理システムと同じレベルにセキュリティで保護する。 Managed Disks を使用していない VM の監査 1.0.0
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.4 セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.4 セキュリティで保護されたゾーン内のオペレーター PC およびシステムからのインターネット アクセスを制御または保護する。 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.5A 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.5A 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.5A 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.5A 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する 1.5A 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確認する。 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
2.攻撃面と脆弱性を減らす 2.1 ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
2.攻撃面と脆弱性を減らす 2.1 ローカル SWIFT 関連コンポーネント間のアプリケーション データ フローの機密性、整合性、信頼性を確認する。 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
2.攻撃面と脆弱性を減らす 2.2 ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑えます。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
2.攻撃面と脆弱性を減らす 2.2 ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑えます。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
2.攻撃面と脆弱性を減らす 2.2 ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑えます。 再起動が保留中の Windows VM の監査 2.0.0
2.攻撃面と脆弱性を減らす 2.2 ベンダー サポートを確保し、必須のソフトウェア更新プログラムを適用し、評価されたリスクに合わせてセキュリティ更新プログラムを適切なタイミングで適用することにより、オペレーター PC 上およびローカル SWIFT インフラストラクチャ内における既知の技術的脆弱性の発生を最小限に抑えます。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する 2.0.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
2.攻撃面と脆弱性を減らす 2.3 システム強化を実行して、SWIFT 関連コンポーネントのサイバー攻撃面を減らす。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
2.攻撃面と脆弱性を減らす 2.4A バックオフィス Data Flow セキュリティ Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
2.攻撃面と脆弱性を減らす 2.4A バックオフィス Data Flow セキュリティ Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
2.攻撃面と脆弱性を減らす 2.5A 外部転送データの保護 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
2.攻撃面と脆弱性を減らす 2.5A 外部転送データの保護 Managed Disks を使用していない VM の監査 1.0.0
2.攻撃面と脆弱性を減らす 2.5A 外部転送データの保護 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
2.攻撃面と脆弱性を減らす 2.6 ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
2.攻撃面と脆弱性を減らす 2.6 ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
2.攻撃面と脆弱性を減らす 2.6 ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
2.攻撃面と脆弱性を減らす 2.6 ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
2.攻撃面と脆弱性を減らす 2.6 ローカルまたはリモートの (サービス プロバイダーによって運用される) SWIFT インフラストラクチャまたはサービス プロバイダーの SWIFT 関連アプリケーションに接続する対話型オペレーター セッションの機密性と整合性を保護する Windows マシンは [セキュリティ オプション - 対話型ログオン] の要件を満たしている必要がある 3.0.0
2.攻撃面と脆弱性を減らす 2.7 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
2.攻撃面と脆弱性を減らす 2.7 通常の脆弱性スキャン プロセスを実装することにより、ローカル SWIFT 環境内の既知の脆弱性を特定し、結果に基づいて対処する。 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
3.環境を物理的に保護する 3.1 機密性の高い機器、職場の環境、ホスティング サイト、ストレージに対する認証されていない物理的なアクセスを防止する。 Managed Disks を使用していない VM の監査 1.0.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
4.資格情報の侵害を防止する 4.1 有効なパスワード ポリシーを実装して適用することにより、パスワードが一般的なパスワード攻撃に対して十分に強力であることを確認する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
5.ID の管理と特権の分離 5.1 オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
5.ID の管理と特権の分離 5.1 オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
5.ID の管理と特権の分離 5.1 オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 指定した日数以内に期限切れになる証明書を含む Windows マシンを監査する 2.0.0
5.ID の管理と特権の分離 5.1 オペレーター アカウントに対して、need-to-know アクセス、最小限の特権、職務の分離のセキュリティ原則を適用する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
5.ID の管理と特権の分離 5.2 接続および切断されたハードウェア認証または個人用トークン (トークンが使用されている場合) の適切な管理、追跡、使用を確認する。 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
5.ID の管理と特権の分離 5.4 記録されたパスワードのリポジトリを物理的および論理的に保護する。 可逆的暗号化を使用してパスワードを格納しない Windows マシンを監査する 2.0.0
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.1 ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 Azure 向け Microsoft Antimalware は保護定義を自動的に更新するように構成する必要がある 1.0.0
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.1 ローカルの SWIFT インフラストラクチャがマルウェアから保護されていることを確認し、結果に基づいて対処する。 Microsoft IaaSAntimalware 拡張機能は Windows Server に展開する必要がある 1.1.0
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 一覧に含まれる仮想マシン イメージに対して Log Analytics 拡張機能を有効にする必要がある 2.0.1-preview
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 一覧に含まれる仮想マシン イメージの仮想マシン スケール セットでは Log Analytics 拡張機能を有効にする必要がある 2.0.1
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 Log Analytics 拡張機能は Virtual Machine Scale Sets にインストールする必要がある 1.0.1
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.4 セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 仮想マシンには Log Analytics 拡張機能がインストールされている必要がある 1.0.1
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.5A ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある 1.0.2-preview
6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 6.5A ローカルまたはリモートの SWIFT 環境への異常なネットワーク アクティビティを検出して、その環境内に封じ込める。 [プレビュー]: ネットワーク トラフィック データ収集エージェントを Windows 仮想マシンにインストールする必要がある 1.0.2-preview

System and Organization Controls (SOC) 2

すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、System and Organization Controls (SOC) 2 についての Azure Policy の規制コンプライアンスの詳細に関するページを参照してください。 このコンプライアンス標準の詳細については、「System and Organization Controls (SOC) 2」を参照してください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
可用性に関する追加条件 A1.2 環境保護、ソフトウェア、データ バックアップ プロセス、復旧インフラストラクチャ 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0
リスク評価 CC3.2 COSO 原則 7 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.1 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.1 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
論理アクセス制御と物理アクセス制御 CC6.1 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.1 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.1 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.1 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.1 論理アクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
論理アクセス制御と物理アクセス制御 CC6.6 システム境界外の脅威に対するセキュリティ対策 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.6 システム境界外の脅威に対するセキュリティ対策 Linux マシンに対する認証では SSH キーを要求する必要がある 3.2.0
論理アクセス制御と物理アクセス制御 CC6.6 システム境界外の脅威に対するセキュリティ対策 インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.6 システム境界外の脅威に対するセキュリティ対策 仮想マシン上の IP 転送を無効にする必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.6 システム境界外の脅威に対するセキュリティ対策 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.6 システム境界外の脅威に対するセキュリティ対策 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.6 システム境界外の脅威に対するセキュリティ対策 インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.6 システム境界外の脅威に対するセキュリティ対策 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
論理アクセス制御と物理アクセス制御 CC6.7 承認されたユーザーへの情報の移動を制限する 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.7 承認されたユーザーへの情報の移動を制限する インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.7 承認されたユーザーへの情報の移動を制限する 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.7 承認されたユーザーへの情報の移動を制限する 仮想マシンの管理ポートを閉じておく必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.7 承認されたユーザーへの情報の移動を制限する インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある 3.0.0
論理アクセス制御と物理アクセス制御 CC6.7 承認されたユーザーへの情報の移動を制限する Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある 6.0.0-preview
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある 5.1.0-preview
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある 4.0.0-preview
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある 3.1.0-preview
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある 4.0.0-preview
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある 2.0.0-preview
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する Managed Disks を使用していない VM の監査 1.0.0
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する インストールする必要があるのは、許可されている VM 拡張機能のみ 1.0.0
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
論理アクセス制御と物理アクセス制御 CC6.8 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
システムの操作 CC7.1 新しい脆弱性の検出と監視 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
システムの操作 CC7.2 システム コンポーネントの異常な動作を監視する マシンで Windows Defender Exploit Guard を有効にする必要がある 2.0.0
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある 6.0.0-preview
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある 5.1.0-preview
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 [プレビュー]: ゲスト構成証明の拡張機能がサポートされている Windows 仮想マシンにインストールされている必要がある 4.0.0-preview
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Windows 仮想マシン スケール セットにインストールされている必要がある 3.1.0-preview
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 [プレビュー]: セキュア ブートはサポートされている Windows 仮想マシンで有効にする必要がある 4.0.0-preview
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある 2.0.0-preview
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 Managed Disks を使用していない VM の監査 1.0.0
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 ゲスト構成拡張機能をマシンにインストールする必要がある 1.0.3
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.2.0
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 インストールする必要があるのは、許可されている VM 拡張機能のみ 1.0.0
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある 1.0.1
変更の管理 CC8.1 インフラストラクチャ、データ、およびソフトウェアの変更 Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある 2.0.0
処理整合性に関する追加条件 PI1.5 入出力を完全、正確、適切に保存する 仮想マシンに対して Azure Backup を有効にする必要がある 3.0.0

UK OFFICIAL および UK NHS

すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - UK OFFICIAL および UK NHS に関する記事をご覧ください。 このコンプライアンス標準の詳細については、UK OFFICIAL に関するドキュメントをご覧ください。

Domain コントロール ID コントロールのタイトル ポリシー
(Azure portal)
ポリシーのバージョン
(GitHub)
転送中のデータの保護 1 転送中のデータの保護 Windows マシンを安全な通信プロトコルを使うように構成する必要がある 4.1.1
ID と認証 10 ID と認証 ID のない仮想マシンでゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
ID と認証 10 ID と認証 ユーザー割り当て ID を持つ VM でゲスト構成の割り当てを有効にするためにシステム割り当てマネージド ID を追加する 4.1.0
ID と認証 10 ID と認証 パスワードなしのアカウントからのリモート接続が許可されている Linux マシンを監査する 3.1.0
ID と認証 10 ID と認証 passwd ファイルのアクセス許可が 0644 に設定されていない Linux マシンを監査する 3.1.0
ID と認証 10 ID と認証 パスワードなしのアカウントが存在する Linux マシンを監査する 3.1.0
ID と認証 10 ID と認証 Managed Disks を使用していない VM の監査 1.0.0
ID と認証 10 ID と認証 指定した数の一意のパスワードの後にパスワードの再利用を許可する Windows マシンを監査する 2.1.0
ID と認証 10 ID と認証 パスワードの最大有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
ID と認証 10 ID と認証 パスワードの最小有効期間が指定した日数に設定されていない Windows マシンを監査する 2.1.0
ID と認証 10 ID と認証 パスワードの複雑さの設定が有効になっていない Windows マシンを監査する 2.0.0
ID と認証 10 ID と認証 パスワードの最小長が指定した文字数に制限されていない Windows マシンを監査する 2.1.0
ID と認証 10 ID と認証 Linux VM でゲスト構成の割り当てを有効にするために Linux ゲスト構成拡張機能をデプロイする 3.1.0
ID と認証 10 ID と認証 Windows VM でゲスト構成の割り当てを有効にするために Windows ゲスト構成拡張機能をデプロイする 1.2.0
ID と認証 10 ID と認証 仮想マシンを新しい Azure Resource Manager リソースに移行する必要がある 1.0.0
外部インターフェイスの保護 11 外部インターフェイスの保護 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある 3.0.0
外部インターフェイスの保護 11 外部インターフェイスの保護 仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 3.0.0
運用上のセキュリティ 5.2 脆弱性の管理 脆弱性評価ソリューションを仮想マシンで有効にする必要がある 3.0.0
運用上のセキュリティ 5.2 脆弱性の管理 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 3.1.0
運用上のセキュリティ 5.3 保護的監視 ディザスター リカバリーを構成されていない仮想マシンの監査 1.0.0

次のステップ