Azure App Service 用の Azure Policy 規制コンプライアンス コントロール
Azure Policy の規制コンプライアンスにより、さまざまなコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ コントロールに対して、"組み込み" と呼ばれる、Microsoft が作成および管理するイニシアチブ定義が提供されます。 このページでは、Azure App Service 用のコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 セキュリティ コントロールの組み込みを個別に割り当てることで、Azure リソースを特定の基準に準拠させることができます。
各組み込みポリシー定義のタイトルは、Azure portal のポリシー定義にリンクしています。 [ポリシーのバージョン] 列のリンクを使用すると、Azure Policy GitHub リポジトリのソースを表示できます。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられています。 これらのポリシーは、コントロールのコンプライアンスの評価に役立つ場合があります。 ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一、または完全な一致はありません。 そのため、Azure Policy での準拠は、ポリシー自体のみを指しています。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 これらのコンプライアンス標準に対するコントロールと Azure Policy 規制コンプライアンス定義の間の関連付けは、時間の経過と共に変わることがあります。
Australian Government ISM PROTECTED
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Australian Government ISM PROTECTED に関するページを参照してください。 このコンプライアンス基準の詳細については、Australian Government ISM PROTECTED に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 暗号のガイドライン - トランスポート層セキュリティ | 1139 | トランスポート層セキュリティの使用 - 1139 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システム管理のためのガイドライン - システム管理 | 1386 | 管理トラフィック フローの制限 - 1386 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| システム管理のためのガイドライン - システム管理 | 1386 | 管理トラフィック フローの制限 - 1386 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| ソフトウェア開発のガイドライン - Web アプリケーション開発 | 1424 | Web ブラウザー ベースのセキュリティ制御 - 1424 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| ソフトウェア開発のガイドライン - Web アプリケーション開発 | 1552 | Web アプリケーションの相互作用 - 1552 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| ソフトウェア開発のガイドライン - Web アプリケーション開発 | 1552 | Web アプリケーションの相互作用 - 1552 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
カナダ連邦の PBMM
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - カナダ連邦 PBMM に関する記事をご覧ください。 このコンプライアンス標準の詳細については、カナダ連邦 PBMM に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC-4 | 情報フローの適用 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| アクセス制御 | AC-17(1) | リモート アクセス | 自動監視/制御 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | AC-17(1) | リモート アクセス | 自動監視/制御 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| システムと通信の保護 | SC-8(1) | 送信の機密性と整合性 | 暗号化または代替の物理的保護 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| システムと通信の保護 | SC-8(1) | 送信の機密性と整合性 | 暗号化または代替の物理的保護 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.1.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.1.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 9 AppService | 9.1 | Azure App Service に App Service 認証が設定されていることを確認する | App Service アプリでは認証を有効にする必要がある | 2.0.1 |
| 9 AppService | 9.1 | Azure App Service に App Service 認証が設定されていることを確認する | 関数アプリでは認証を有効にする必要がある | 3.0.0 |
| 9 AppService | 9.10 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 9 AppService | 9.10 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 9 AppService | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 9 AppService | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.3.0 に関するページを参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 5 ログと監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
| 9 AppService | 9.1 | Azure App Service に App Service 認証が設定されていることを確認する | App Service アプリでは認証を有効にする必要がある | 2.0.1 |
| 9 AppService | 9.1 | Azure App Service に App Service 認証が設定されていることを確認する | 関数アプリでは認証を有効にする必要がある | 3.0.0 |
| 9 AppService | 9.10 | FTP デプロイが無効になっていることを確認する | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 9 AppService | 9.10 | FTP デプロイが無効になっていることを確認する | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 9 AppService | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 9 AppService | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 9 AppService | 9.9 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 9 AppService | 9.9 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v1.4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 5 ログと監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
| 9 AppService | 9.1 | App Service 認証が Azure App Service のアプリに対して設定されていることを確認する | App Service アプリでは認証を有効にする必要がある | 2.0.1 |
| 9 AppService | 9.1 | App Service 認証が Azure App Service のアプリに対して設定されていることを確認する | 関数アプリでは認証を有効にする必要がある | 3.0.0 |
| 9 AppService | 9.10 | FTP デプロイが無効になっていることを確認する | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 9 AppService | 9.10 | FTP デプロイが無効になっていることを確認する | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 9 AppService | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 9 AppService | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 9 AppService | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 9 AppService | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 9 AppService | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 9 AppService | 9.9 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 9 AppService | 9.9 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、CIS v2.0.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 5 | 5.4 | Azure Monitor リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
| 9 | 9.1 | App Service 認証が Azure App Service のアプリに対して設定されていることを確認する | App Service アプリでは認証を有効にする必要がある | 2.0.1 |
| 9 | 9.1 | App Service 認証が Azure App Service のアプリに対して設定されていることを確認する | 関数アプリでは認証を有効にする必要がある | 3.0.0 |
| 9 | 9.10 | FTP デプロイが無効になっていることを確認する | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 9 | 9.10 | FTP デプロイが無効になっていることを確認する | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 9 | 9.2 | Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 9 | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 9 | 9.3 | Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 9 | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | [非推奨]: App Service アプリで "クライアント証明書 (受信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 9 | 9.4 | Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 9 | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 9 | 9.5 | App Service で [Azure Active Directory に登録する] が有効になっていることを確認する | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 9 | 9.6 | Web アプリの実行に使用された "PHP のバージョン" が最新であることを確認する | PHP を使用する App Service アプリ スロットでは、指定された 'PHP バージョン' を使用する必要がある | 1.0.0 |
| 9 | 9.6 | Web アプリの実行に使用された "PHP のバージョン" が最新であることを確認する | PHP を使用する App Service アプリでは、指定された 'PHP バージョン' を使用する必要があります | 3.2.0 |
| 9 | 9.7 | Web アプリを実行するために使用する場合に、[Python バージョン] が最新の安定バージョンであることを確認する | Python を使用する App Service アプリ スロットでは、指定された 'Python バージョン' を使用する必要がある | 1.0.0 |
| 9 | 9.7 | Web アプリを実行するために使用する場合に、[Python バージョン] が最新の安定バージョンであることを確認する | Python を使用する App Service アプリでは、指定された 'Python バージョン' を使用する必要があります | 4.1.0 |
| 9 | 9.8 | Web アプリの実行に使用された "Java のバージョン" が最新であることを確認する | Java を使用する関数アプリ スロットでは、指定された 'Java バージョン' を使用する必要がある | 1.0.0 |
| 9 | 9.8 | Web アプリの実行に使用された "Java のバージョン" が最新であることを確認する | Java を使用する関数アプリでは、指定された 'Java バージョン' を使用する必要があります | 3.1.0 |
| 9 | 9.9 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 9 | 9.9 | Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
CMMC レベル 3
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - CMMC レベル 3 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | AC.1.001 | 情報システムへのアクセスを、許可されているユーザー、許可されているユーザーの代わりに動作するプロセス、およびデバイス (他の情報システムを含む) に制限する。 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| アクセス制御 | AC.1.002 | 情報システムへのアクセスを、許可されているユーザーが実行を許可されているトランザクションおよび機能の種類に制限する。 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | AC.2.013 | リモート アクセス セッションの監視および制御を行う。 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 監査とアカウンタビリティ | AU.3.048 | 監査情報 (ログなど) を 1 つ以上の中央リポジトリに収集する。 | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 識別と認証 | IA.3.084 | 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 識別と認証 | IA.3.084 | 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 識別と認証 | IA.3.084 | 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| 識別と認証 | IA.3.084 | 特権および非特権アカウントへのネットワーク アクセスのために、リプレイ耐性のある認証メカニズムを採用する。 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| システムと通信の保護 | SC.3.185 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| システムと通信の保護 | SC.3.185 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システムと通信の保護 | SC.3.185 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| システムと通信の保護 | SC.3.185 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システムと通信の保護 | SC.3.190 | 通信セッションの信頼性を保護する。 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| システムと通信の保護 | SC.3.190 | 通信セッションの信頼性を保護する。 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システムと通信の保護 | SC.3.190 | 通信セッションの信頼性を保護する。 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| システムと通信の保護 | SC.3.190 | 通信セッションの信頼性を保護する。 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| システムと情報の整合性 | SI.1.210 | 情報および情報システムの不備をタイムリーに特定、報告し、修正する。 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
FedRAMP High
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP High に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
FedRAMP Moderate
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - FedRAMP Moderate に関するページを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
HIPAA HITRUST 9.2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - HIPAA HITRUST 9.2 に関するページを参照してください。 このコンプライアンス標準の詳細については、HIPAA HITRUST 9.2 に関するページを参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 外部パーティに関連するリスクの特定 | 1402.05i1Organizational.45 - 05.i | 組織と外部パーティ間のリモート アクセス接続が暗号化されます。 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| 外部パーティに関連するリスクの特定 | 1403.05i1Organizational.67 - 05.i | 外部パーティに許可されるアクセスは、必要最小限に限定され、必要な期間だけ許可されます。 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 06 構成管理 | 0662.09sCSPOrganizational.2-09.s | 0662.09sCSPOrganizational.2-09.s 09.08 情報交換 | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| 08 ネットワーク保護 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 ネットワーク アクセス制御 | App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 2.0.1 |
| 08 ネットワーク保護 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 ネットワーク アクセス制御 | App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 2.0.1 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | 関数アプリに HTTPS を介してのみアクセスできるようにする | 5.0.0 |
| 08 ネットワーク保護 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 ネットワーク アクセス制御 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | 関数アプリに HTTPS を介してのみアクセスできるようにする | 5.0.0 |
| 08 ネットワーク保護 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 ネットワーク アクセス制御 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | 関数アプリに HTTPS を介してのみアクセスできるようにする | 5.0.0 |
| 08 ネットワーク保護 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 ネットワーク アクセス制御 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 08 ネットワーク保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 08 ネットワーク保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 08 ネットワーク保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 | 関数アプリに HTTPS を介してのみアクセスできるようにする | 5.0.0 |
| 08 ネットワーク保護 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 ネットワーク アクセス制御 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 08 ネットワーク保護 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 ネットワーク アクセス制御 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 08 ネットワーク保護 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 ネットワーク アクセス制御 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 08 ネットワーク保護 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 ネットワーク アクセス制御 | 関数アプリに HTTPS を介してのみアクセスできるようにする | 5.0.0 |
| 08 ネットワーク保護 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 ネットワーク アクセス制御 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 08 ネットワーク保護 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 ネットワークのセキュリティ管理 | App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 2.0.1 |
| 08 ネットワーク保護 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 ネットワーク アクセス制御 | App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 2.0.1 |
| 09 伝送保護 | 0901.09s1Organizational.1-09.s | 0901.09s1Organizational.1-09.s 09.08 情報交換 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 09 伝送保護 | 0902.09s2Organizational.13-09.s | 0902.09s2Organizational.13-09.s 09.08 情報交換 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 09 伝送保護 | 0912.09s1Organizational.4-09.s | 0912.09s1Organizational.4-09.s 09.08 情報交換 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 09 伝送保護 | 0913.09s1Organizational.5-09.s | 0913.09s1Organizational.5-09.s 09.08 情報交換 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 09 伝送保護 | 0915.09s2Organizational.2-09.s | 0915.09s2Organizational.2-09.s 09.08 情報交換 | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| 09 伝送保護 | 0916.09s2Organizational.4-09.s | 0916.09s2Organizational.4-09.s 09.08 情報交換 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 09 伝送保護 | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 電子商取引サービス | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 09 伝送保護 | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 電子商取引サービス | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 09 伝送保護 | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 電子商取引サービス | 関数アプリに HTTPS を介してのみアクセスできるようにする | 5.0.0 |
| 09 伝送保護 | 0949.09y2Organizational.5-09.y | 0949.09y2Organizational.5-09.y 09.09 電子商取引サービス | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 09 伝送保護 | 0960.09sCSPOrganizational.1-09.s | 0960.09sCSPOrganizational.1-09.s 09.08 情報交換 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 11 アクセス制御 | 1194.01l2Organizational.2-01.l | 1194.01l2Organizational.2-01.l 01.04 ネットワーク アクセス制御 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 11 アクセス制御 | 1195.01l3Organizational.1-01.l | 1195.01l3Organizational.1-01.l 01.04 ネットワーク アクセス制御 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 12 監査ログと監視 | 1209.09aa3System.2-09.aa | 1209.09aa3System.2-09.aa 09.10 監視 | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
| 13 教育、トレーニングと認識 | 1325.09s1Organizational.3-09.s | 1325.09s1Organizational.3-09.s 09.08 情報交換 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
IRS 1075 (2016 年 9 月)
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - IRS 1075 (2016 年 9 月) に関する記事をご覧ください。 このコンプライアンス標準の詳細については、IRS 1075 (2016 年 9 月) に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 9.3.1.12 | リモート アクセス (AC-17) | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | 9.3.1.12 | リモート アクセス (AC-17) | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | 9.3.1.4 | 情報フローの適用 (AC-4) | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| システムと通信の保護 | 9.3.16.6 | 送信の機密性と整合性 (SC-8) | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| システムと通信の保護 | 9.3.16.6 | 送信の機密性と整合性 (SC-8) | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
ISO 27001:2013
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - ISO 27001:2013 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、ISO 27001:2013 に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 暗号化 | 10.1.1 | 暗号化コントロールの使用に関するポリシー | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 暗号化 | 10.1.1 | 暗号化コントロールの使用に関するポリシー | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 このサービスを完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、「Azure Security Benchmark mapping files」 (Azure セキュリティ ベンチマークのマッピング ファイル) を参照してください。
すべての Azure サービスに対して使用可能な Azure Policy 組み込みを、このコンプライアンス基準に対応させる方法については、Azure Policy の規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークに関するページを参照してください。
NIST SP 800-171 R2
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-171 R2 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | 3.1.1 | 承認されているユーザー、承認されているユーザーの代わりに動作するプロセス、およびデバイス (他のシステムを含む) へのシステム アクセスを制限する。 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | 3.1.12 | リモート アクセス セッションの監視および制御を行う。 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| アクセス制御 | 3.1.2 | システム アクセスを、許可されたユーザーが実行を許可されているトランザクションおよび機能の種類に限定する。 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| アクセス制御 | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| システムと通信の保護 | 3.13.16 | 保存時の CUI の機密性を保護する。 | App Service Environment では内部暗号化を有効にする必要がある | 1.0.1 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| システムと通信の保護 | 3.13.8 | 代替の物理的な保護手段によって保護されている場合を除き、送信中に CUI の不正な開示を防ぐための暗号化メカニズムを実装する。 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| システムと情報の整合性 | 3.14.1 | システムの欠陥を適切なタイミングで特定、報告、修正する。 | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲までシステム監査ログとレコードを作成して保持する | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 構成管理 | 3.4.1 | それぞれのシステム開発ライフ サイクル全体を通して、組織のシステム (ハードウェア、ソフトウェア、ファームウェア、ドキュメントなど) のベースライン構成とインベントリを確立し、維持する。 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 構成管理 | 3.4.2 | 組織のシステムで採用されている情報技術製品のセキュリティ構成設定を確立し、適用する。 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 識別と認証 | 3.5.1 | システム ユーザー、ユーザーの代わりに動作するプロセス、およびデバイスを特定する。 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 識別と認証 | 3.5.1 | システム ユーザー、ユーザーの代わりに動作するプロセス、およびデバイスを特定する。 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 識別と認証 | 3.5.2 | 組織システムへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) する。 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 識別と認証 | 3.5.5 | 定義された期間、識別子の再利用を防止する。 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 識別と認証 | 3.5.5 | 定義された期間、識別子の再利用を防止する。 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 識別と認証 | 3.5.6 | 定義された非アクティブな期間の経過後に識別子を無効にする。 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| 識別と認証 | 3.5.6 | 定義された非アクティブな期間の経過後に識別子を無効にする。 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
NIST SP 800-53 Rev. 4
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 4 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
NIST SP 800-53 Rev. 5
すべての Azure サービスに対して使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - NIST SP 800-53 Rev. 5 に関するページを参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
NL BIO Cloud Theme
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、「NL BIO Cloud Theme に関する Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「ベースライン情報セキュリティ政府サイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| [ドメイン] | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 不正使用の可能性が高く、かつ予想される損害が大きい場合、1 週間以内にパッチがインストールされます。 | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 不正使用の可能性が高く、かつ予想される損害が大きい場合、1 週間以内にパッチがインストールされます。 | Java を使用する App Service アプリでは、指定された 'Java バージョン' を使用する必要があります | 3.1.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 不正使用の可能性が高く、かつ予想される損害が大きい場合、1 週間以内にパッチがインストールされます。 | PHP を使用する App Service アプリでは、指定された 'PHP バージョン' を使用する必要があります | 3.2.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 不正使用の可能性が高く、かつ予想される損害が大きい場合、1 週間以内にパッチがインストールされます。 | Python を使用する App Service アプリでは、指定された 'Python バージョン' を使用する必要があります | 4.1.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 不正使用の可能性が高く、かつ予想される損害が大きい場合、1 週間以内にパッチがインストールされます。 | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 不正使用の可能性が高く、かつ予想される損害が大きい場合、1 週間以内にパッチがインストールされます。 | Java を使用する関数アプリでは、指定された 'Java バージョン' を使用する必要があります | 3.1.0 |
| C.04.3 技術的な脆弱性の管理 - タイムライン | C.04.3 | 不正使用の可能性が高く、かつ予想される損害が大きい場合、1 週間以内にパッチがインストールされます。 | Python を使用する関数アプリでは、指定された 'Python バージョン' を使用する必要があります | 4.1.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 適時にパッチ管理を実行することで技術的な弱点を修正することができます。 | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 適時にパッチ管理を実行することで技術的な弱点を修正することができます。 | Java を使用する App Service アプリでは、指定された 'Java バージョン' を使用する必要があります | 3.1.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 適時にパッチ管理を実行することで技術的な弱点を修正することができます。 | PHP を使用する App Service アプリでは、指定された 'PHP バージョン' を使用する必要があります | 3.2.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 適時にパッチ管理を実行することで技術的な弱点を修正することができます。 | Python を使用する App Service アプリでは、指定された 'Python バージョン' を使用する必要があります | 4.1.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 適時にパッチ管理を実行することで技術的な弱点を修正することができます。 | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 適時にパッチ管理を実行することで技術的な弱点を修正することができます。 | Java を使用する関数アプリでは、指定された 'Java バージョン' を使用する必要があります | 3.1.0 |
| C.04.6 技術的な脆弱性の管理 - タイムライン | C.04.6 | 適時にパッチ管理を実行することで技術的な弱点を修正することができます。 | Python を使用する関数アプリでは、指定された 'Python バージョン' を使用する必要があります | 4.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Java を使用する App Service アプリでは、指定された 'Java バージョン' を使用する必要があります | 3.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | PHP を使用する App Service アプリでは、指定された 'PHP バージョン' を使用する必要があります | 3.2.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Python を使用する App Service アプリでは、指定された 'Python バージョン' を使用する必要があります | 4.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Java を使用する関数アプリでは、指定された 'Java バージョン' を使用する必要があります | 3.1.0 |
| C.04.7 技術的な脆弱性の管理 - 評価済み | C.04.7 | 技術的な脆弱性の評価が記録され、報告されます。 | Python を使用する関数アプリでは、指定された 'Python バージョン' を使用する必要があります | 4.1.0 |
| U.05.1 データ保護 - 暗号化対策 | U.05.1 | データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| U.05.1 データ保護 - 暗号化対策 | U.05.1 | データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| U.05.1 データ保護 - 暗号化対策 | U.05.1 | データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| U.05.1 データ保護 - 暗号化対策 | U.05.1 | データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| U.05.1 データ保護 - 暗号化対策 | U.05.1 | データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| U.05.1 データ保護 - 暗号化対策 | U.05.1 | データ転送は暗号化によって保護され、可能であれば CSC 自体によってキーが管理されます。 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | App Service Environment では内部暗号化を有効にする必要がある | 1.0.1 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| U.09.3 マルウェア対策 - 検出、防止、回復 | U.09.3 | マルウェア対策がさまざまな環境で実行されます。 | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任のもとで、管理者にアクセス権が付与されます。 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| U.10.2 IT サービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任のもとで、管理者にアクセス権が付与されます。 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータにアクセスできるのは、認証された機器を持つユーザーだけです。 | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | 認証された機器を持っているユーザーのみが IT サービスとデータにアクセスできます。 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| U.10.3 IT サービスとデータへのアクセス - ユーザー | U.10.3 | 認証された機器を持っているユーザーのみが IT サービスとデータにアクセスできます。 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限されており、実装されています。 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 |
| U.10.5 IT サービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのアクセスは技術的な手段によって制限されており、実装されています。 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーでは、少なくとも、BIO に準拠する情報カテゴリが作成されています。 | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| U.11.1 暗号化サービス - ポリシー | U.11.1 | 暗号ポリシーには、少なくとも BIO に準拠した問題が詳述されています。 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| U.11.2 暗号化サービス - 暗号化対策 | U.11.2 | PKIoverheid 証明書の場合、キー管理に PKIoverheid 要件を使用します。 その他の状況では、ISO11770 を使用します。 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| U.15.1 ログ記録と監視 - イベントの記録 | U.15.1 | ポリシー規則の違反は、CSP と CSC によって記録されます。 | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
PCI DSS 3.2.1
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS 3.2.1 に関する記事をご覧ください。 このコンプライアンス標準の詳細については、PCI DSS 3.2.1 を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 要件 3 | 3.4 | PCI DSS 要件 3.4 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 要件 3 | 3.4 | PCI DSS 要件 3.4 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| 要件 4 | 4.1 | PCI DSS 要件 4.1 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 要件 4 | 4.1 | PCI DSS 要件 4.1 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| 要件 6 | 6.5.3 | PCI DSS 要件 6.5.3 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 要件 6 | 6.5.3 | PCI DSS 要件 6.5.3 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
PCI DSS v4.0
すべての Azure サービスに対して使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、PCI DSS v4.0 に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、「PCI DSS v4.0」をご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 要件 03: 保存されるアカウント データを保護する | 3.5.1 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 要件 03: 保存されるアカウント データを保護する | 3.5.1 | プライマリ アカウント番号 (PAN) は、保存される場合は必ずセキュリティで保護される | 関数アプリに HTTPS を介してのみアクセスできるようにする | 5.0.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.2.4 | パッケージおよびカスタム ソフトウェアが安全に開発されている | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 要件 06: セキュリティで保護されたシステムとソフトウェアを開発し、維持する | 6.2.4 | パッケージおよびカスタム ソフトウェアが安全に開発されている | 関数アプリに HTTPS を介してのみアクセスできるようにする | 5.0.0 |
インド準備銀行 - NBFC 向けの IT フレームワーク
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。 ここのコンプライアンス標準の詳細については、インド準備銀行 - NBFC 向けの IT フレームワークに関する記事を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 情報とサイバー セキュリティ | 3.1.b | 機能の分離-3.1 | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 情報とサイバー セキュリティ | 3.1.b | 機能の分離-3.1 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 情報とサイバー セキュリティ | 3.1.b | 機能の分離-3.1 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 情報とサイバー セキュリティ | 3.1.h | 公開キー基盤 (PKI)-3.1 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 情報とサイバー セキュリティ | 3.1.h | 公開キー基盤 (PKI)-3.1 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 情報とサイバーセキュリティ | 3.1.h | 公開キー基盤 (PKI)-3.1 | App Service Environment では内部暗号化を有効にする必要がある | 1.0.1 |
| 情報とサイバー セキュリティ | 3.1.h | 公開キー基盤 (PKI)-3.1 | 関数アプリに HTTPS を介してのみアクセスできるようにする | 5.0.0 |
| 情報とサイバー セキュリティ | 3.1.h | 公開キー基盤 (PKI)-3.1 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 情報とサイバーセキュリティ | 3.8 | デジタル署名-3.8 | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 情報とサイバーセキュリティ | 3.8 | デジタル署名-3.8 | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
インド準備銀行の銀行向けの IT フレームワーク v2016
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RBI ITF Banks v2016 に関する記事を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 詳細なリアルタイム脅威保護と管理 | 詳細なリアルタイム脅威保護と管理-13.1 | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) | |
| ネットワークの管理とセキュリティ | ネットワーク デバイス構成管理-4.3 | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 | |
| ネットワークの管理とセキュリティ | ネットワーク デバイス構成管理-4.3 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 | |
| 監査ログの設定 | 監査ログの設定-17.1 | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 | |
| 詳細なリアルタイム脅威保護と管理 | 詳細なリアルタイム脅威保護と管理-13.1 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 | |
| メールおよびメッセージング システムのセキュリティ保護 | メールおよびメッセージング システムのセキュリティ保護-10.1 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 | |
| メールおよびメッセージング システムのセキュリティ保護 | メールおよびメッセージング システムのセキュリティ保護-10.1 | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 | |
| ユーザー アクセスの制御または管理 | ユーザー アクセスの制御または管理-8.4 | App Service アプリではマネージド ID を使用する必要がある | 3.0.0 | |
| メールおよびメッセージング システムのセキュリティ保護 | メールおよびメッセージング システムのセキュリティ保護-10.1 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 | |
| ネットワークの管理とセキュリティ | ネットワーク デバイス構成管理-4.3 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 | |
| 詳細なリアルタイム脅威保護と管理 | 詳細なリアルタイム脅威保護と管理-13.1 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 | |
| メールおよびメッセージング システムのセキュリティ保護 | メールおよびメッセージング システムのセキュリティ保護-10.1 | 関数アプリに HTTPS を介してのみアクセスできるようにする | 5.0.0 | |
| メールおよびメッセージング システムのセキュリティ保護 | メールおよびメッセージング システムのセキュリティ保護-10.1 | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 | |
| ユーザー アクセスの制御または管理 | ユーザー アクセスの制御または管理-8.4 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 | |
| メールおよびメッセージング システムのセキュリティ保護 | メールおよびメッセージング システムのセキュリティ保護-10.1 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
RMIT マレーシア
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy 規制コンプライアンス - RMIT マレーシアに関する記事をご覧ください。 このコンプライアンス標準の詳細については、RMIT マレーシア に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 暗号化 | 10.20 | 暗号 - 10.20 | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 暗号化 | 10.20 | 暗号 - 10.20 | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| アクセス制御 | 10.54 | アクセス制御 - 10.54 | App Service アプリでは認証を有効にする必要がある | 2.0.1 |
| アクセス制御 | 10.54 | アクセス制御 - 10.54 | 関数アプリでは認証を有効にする必要がある | 3.0.0 |
| アクセス制御 | 10.54 | アクセス制御 - 10.54 | 関数アプリではマネージド ID を使用する必要がある | 3.0.0 |
| デジタル サービスのセキュリティ | 10.66 | デジタル サービスのセキュリティ - 10.66 | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
| デジタル サービスのセキュリティ | 10.68 | デジタル サービスのセキュリティ - 10.68 | App Service アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| デジタル サービスのセキュリティ | 10.68 | デジタル サービスのセキュリティ - 10.68 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.3 | サイバーセキュリティのコントロール メジャー-付録 5.3 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.3 | サイバーセキュリティのコントロール メジャー-付録 5.3 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.3 | サイバーセキュリティのコントロール メジャー-付録 5.3 | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.3 | サイバーセキュリティのコントロール メジャー-付録 5.3 | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.3 | サイバーセキュリティのコントロール メジャー-付録 5.3 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.3 | サイバーセキュリティのコントロール メジャー-付録 5.3 | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.3 | サイバーセキュリティのコントロール メジャー-付録 5.3 | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.7 | サイバーセキュリティのコントロール メジャー-付録 5.7 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.7 | サイバーセキュリティのコントロール メジャー-付録 5.7 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| サイバーセキュリティのコントロール メジャー | 付録 5.7 | サイバーセキュリティのコントロール メジャー-付録 5.7 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
スペイン ENS
すべての Azure サービスで使用可能な Azure Policy の組み込みがこのコンプライアンス標準にどのように対応しているのかを確認するには、Spain ENS に関する Azure Policy の規制コンプライアンスの詳細に関する記事を参照してください。 このコンプライアンス標準の詳細については、CCN-STIC 884 に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 保護対策 | mp.s.3 | サービスの保護 | App Service アプリ スロットを仮想ネットワークに導入する必要がある | 1.0.0 |
| 保護対策 | mp.s.3 | サービスの保護 | App Service アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | 1.0.0 |
| 保護対策 | mp.s.3 | サービスの保護 | App Service アプリを仮想ネットワークに導入する必要がある | 3.0.0 |
| 保護対策 | mp.s.3 | サービスの保護 | App Service アプリでは認証を有効にする必要がある | 2.0.1 |
| 保護対策 | mp.s.3 | サービスの保護 | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 保護対策 | mp.s.3 | サービスの保護 | 関数アプリ スロットでは、最新の 'HTTP バージョン' を使用する必要がある | 1.0.0 |
| 保護対策 | mp.s.3 | サービスの保護 | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 保護対策 | mp.sw.2 | IT アプリケーションの保護 | Python を使用する関数アプリでは、指定された 'Python バージョン' を使用する必要があります | 4.1.0 |
| 運用フレームワーク | op.exp.4 | 操作 | Python を使用する App Service アプリでは、指定された 'Python バージョン' を使用する必要があります | 4.1.0 |
| 運用フレームワーク | op.exp.7 | 操作 | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
| 運用フレームワーク | op.exp.8 | 操作 | App Service アプリ スロットでは、リソース ログを有効にする必要がある | 1.0.0 |
SWIFT CSP-CSCF v2021
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2021 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2021」を参照してください。
SWIFT CSP-CSCF v2022
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、「SWIFT CSP-CSCF v2022 についての Azure Policy の規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2022」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.1 | ユーザーのローカル SWIFT インフラストラクチャが、一般的な IT 環境および外部環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。 | App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 2.0.1 |
| 1.一般的な IT 環境からインターネット アクセスを制限し、重要なシステムを保護する | 1.5A | 顧客の接続インフラストラクチャが、外部環境、および一般的な IT 環境のセキュリティ侵害を受けたおそれのある要素から保護されていることを確かめる。 | App Service アプリでは仮想ネットワーク サービス エンドポイントを使用する必要がある | 2.0.1 |
| 6.システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出する。 | App Service アプリではリソース ログを有効にする必要がある | 2.0.1 |
System and Organization Controls (SOC) 2
すべての Azure サービスで使用できる Azure Policy の組み込みが、このコンプライアンス標準にどのように対応するかを確認するには、System and Organization Controls (SOC) 2 についての Azure Policy の規制コンプライアンスの詳細に関するページを参照してください。 このコンプライアンス標準の詳細については、「System and Organization Controls (SOC) 2」を参照してください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理的なアクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理的なアクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理的なアクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理的なアクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.1 | 論理的なアクセス セキュリティ ソフトウェア、インフラストラクチャ、アーキテクチャ | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.6 | システム境界外の脅威に対するセキュリティ対策 | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | App Service アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | 関数アプリでは FTPS のみが要求される必要がある | 3.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.7 | 承認されたユーザーへの情報の移動を制限する | 関数アプリは最新の TLS バージョンを使用する必要がある | 2.1.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 論理アクセス制御と物理アクセス制御 | CC6.8 | 承認されていないソフトウェアまたは悪意のあるソフトウェアを防止または検出する | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | [非推奨]: 関数アプリでは、"クライアント証明書 (着信クライアント証明書)" を有効にする必要がある | 3.1.0 (非推奨) |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | 1.0.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | App Service アプリは最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | 2.0.0 |
| 変更の管理 | CC8.1 | インフラストラクチャ、データ、およびソフトウェアの変更 | 関数アプリでは、最新の 'HTTP バージョン' を使用する必要がある | 4.0.0 |
UK OFFICIAL および UK NHS
すべての Azure サービスで使用可能な Azure Policy 組み込みがこのコンプライアンス標準にどのように対応するのかを確認するには、Azure Policy の規制コンプライアンス - UK OFFICIAL および UK NHS に関する記事をご覧ください。 このコンプライアンス標準の詳細については、UK OFFICIAL に関するドキュメントをご覧ください。
| Domain | コントロール ID | コントロールのタイトル | ポリシー (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 転送中のデータの保護 | 1 | 転送中のデータの保護 | App Service アプリに HTTPS を介してのみアクセスできるようにする | 4.0.0 |
| 転送中のデータの保護 | 1 | 転送中のデータの保護 | Function App には HTTPS 経由でのみアクセスできるようにする | 5.0.0 |
| 外部インターフェイスの保護 | 11 | 外部インターフェイスの保護 | App Service アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
| 外部インターフェイスの保護 | 11 | 外部インターフェイスの保護 | 関数アプリではリモート デバッグをオフにする必要がある | 2.0.0 |
次のステップ
- Azure Policy の規制コンプライアンスの詳細を確認します。
- Azure Policy GitHub リポジトリのビルトインを参照します。