Azure Policy を使用して Microsoft クラウド セキュリティ ベンチマークの推奨事項を適用している場合は、準拠していないサービスを特定して修正するためのポリシーを作成できることは既にわかっています。 このようなポリシーは、カスタムの場合もあれば、よく知られたベスト プラクティスのためのコンプライアンス条件と適切なソリューションを提供する組み込み定義に基づく場合もあります。
Azure AI Searchでは、現在、以下に示す 1 つの組み込み定義があり、ポリシー割り当てで使用できます。 組み込みは、ログ記録と監視のためのものです。 作成したpolicyでこの組み込み定義を使用すると、システムはリソースログを持たない検索サービスをスキャンし、それに応じて有効にします。
Azure Policy の規制準拠は、Microsoft によって作成および管理されているイニシアチブ定義を提供し、これは異なるコンプライアンス基準に関連するコンプライアンス ドメインおよびセキュリティ制御に対するビルトインと呼ばれます。 このページでは、Azure AI Searchのコンプライアンス ドメインとセキュリティ コントロールの一覧を示します。 Azure リソースを特定の標準に準拠させるために、セキュリティ コントロールの組み込み関数を個別に割り当てることができます。
組み込みの各ポリシー定義のタイトルは、Azure portal内のポリシー定義にリンクされます。 Policy Version 列のリンクを使用して、Azure Policy GitHub リポジトリのソースを表示します。
重要
各コントロールは、1 つ以上の Azure Policy 定義に関連付けられます。 これらのポリシーは、コントロールに対するコンプライアンスを評価するのに役立つ場合があります。 ただし、コントロールと 1 つ以上のポリシーの間には、一対一または完全な一致が存在しない場合がほとんどです。 そのため、Azure Policyの Compliant は、ポリシー自体のみを参照します。 これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 さらに、コンプライアンス標準には、現時点でAzure Policy定義で対処されていないコントロールが含まれています。 したがって、Azure Policyのコンプライアンスは、全体的なコンプライアンス状態の部分的なビューにすぎません。 これらのコンプライアンス標準のコントロールとAzure Policy規制コンプライアンス定義の間の関連付けは、時間の経過と同時に変化する可能性があります。
CIS Microsoft Azure 基盤 ベンチマーク バージョン 1.3.0
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - CIS Microsoft Azure Foundations Benchmark 1.3.0 を参照してください。 このコンプライアンス標準の詳細については、「CIS Microsoft Azure Foundations Benchmark を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 5 ログ記録と監視 | 5.3 | 診断ログがそれをサポートするすべてのサービスで有効になっていることを確認する | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
CIS Microsoft Azure 基本ベンチマーク 1.4.0
すべてのAzure サービスで使用可能なAzure Policy組み込みがこのコンプライアンス標準にどのように対応しているかを確認するには、CIS v1.4.0 の
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 5 ログ記録と監視 | 5.3 | 診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する。 | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
CIS Microsoft Azure Foundations ベンチマーク 2.0.0
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、CIS v2.0.0 の
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 5 | 5.4 | Azure監視リソース ログが、それをサポートするすべてのサービスで有効になっていることを確認します | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
CMMC レベル 3
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - CMMC レベル 3」を参照してください。 このコンプライアンス標準の詳細については、サイバーセキュリティ成熟度モデル認定 (CMMC) に関するドキュメントをご覧ください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| Access Control | AC.1.001 | 情報システムのaccessを、承認されたユーザー、承認されたユーザーに代わって動作するプロセス、およびデバイス (他の情報システムを含む) に制限します。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| Access Control | AC.1.002 | 情報システムのaccessを、権限のあるユーザーが実行を許可されるトランザクションおよび機能の種類に制限します。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| Access Control | AC.2.016 | 承認された認可に従って CUI のフローを制御する。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| 構成管理 | CM.3.068 | 不要なプログラム、関数、ポート、プロトコル、およびサービスの使用を制限、無効化、または禁止する。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| システムと通信の保護 | SC.1.175 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| システムと通信の保護 | SC.3.183 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
FedRAMP High
すべてのAzure サービスで使用可能な組み込みAzure Policyがこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - FedRAMP High」を参照してください。 このコンプライアンス標準の詳細については、FedRAMP High に関するページを参照してください。
FedRAMP Moderate
すべてのAzure サービスで使用可能なAzure Policy組み込みがどのようにこのコンプライアンス標準に対応しているかを確認するには、「Azure Policy 規制コンプライアンス - FedRAMP Moderateを参照してください。 このコンプライアンス標準の詳細については、FedRAMP Moderate に関するページを参照してください。
HIPAA(医療保険の相互運用性と説明責任に関する法律)HITRUST(健康情報技術に関する信頼フレームワーク)
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - HIPAA HITRUST」を参照してください。 このコンプライアンス標準の詳細については、「HIPAA HITRUST」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 12 監査ログと監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
Microsoft クラウド セキュリティ ベンチマーク
Microsoft クラウド セキュリティ ベンチマーク では、Azureでクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が示されています。 このサービスを Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、Azure セキュリティ ベンチマーク マッピング ファイルを参照してください。
すべてのAzure サービスで使用可能なAzure Policy組み込みがどのようにこのコンプライアンス標準にマップされるかを確認するには、「Azure Policy 規制コンプライアンス - Microsoft クラウド セキュリティ ベンチマークを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| ネットワークのセキュリティ | NS-2 | NS-2 ネットワーク制御を用いたセキュリティで保護されたクラウドサービス | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| ネットワークのセキュリティ | NS-2 | NS-2 ネットワーク制御を用いたセキュリティで保護されたクラウドサービス | 1.0.0 | |
| ID 管理 | IM-1 | IM-1 一元化された ID と認証システムを使用する | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
| ログと脅威検出 | LT-3 | LT-3 セキュリティ調査のログ記録を有効にする | Azure AI services リソース内のDiagnostic ログを有効にする必要があります | 1.0.0 |
| ログと脅威検出 | LT-3 | LT-3 セキュリティ調査のログ記録を有効にする | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
NIST SP 800-171 R2
すべてのAzure サービスで使用可能なAzure Policy組み込みがこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - NIST SP 800-171 R2を参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| Access Control | 3.1.1 | システム accessを、承認されたユーザー、承認されたユーザーに代わって動作するプロセス、およびデバイス (他のシステムを含む) に制限します。 | Azure AI Search サービスでは、プライベートリンクをサポートする SKU を使用する必要があります | 1.0.1 |
| Access Control | 3.1.1 | システム accessを、承認されたユーザー、承認されたユーザーに代わって動作するプロセス、およびデバイス (他のシステムを含む) に制限します。 | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
| Access Control | 3.1.12 | リモートアクセスセッションを監視し、制御します。 | Azure AI Search サービスでは、プライベートリンクをサポートする SKU を使用する必要があります | 1.0.1 |
| Access Control | 3.1.13 | 暗号化メカニズムを使用して、リモート access セッションの機密性を保護します。 | Azure AI Search サービスでは、プライベートリンクをサポートする SKU を使用する必要があります | 1.0.1 |
| Access Control | 3.1.14 | マネージドアクセス制御ポイントを介してリモートアクセスをルーティングします。 | Azure AI Search サービスでは、プライベートリンクをサポートする SKU を使用する必要があります | 1.0.1 |
| Access Control | 3.1.2 | システム accessを、承認されたユーザーが実行できるトランザクションと関数の種類に制限します。 | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
| Access Control | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | Azure AI Search サービスでは、プライベートリンクをサポートする SKU を使用する必要があります | 1.0.1 |
| Access Control | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | Azure AI Search サービスはパブリック ネットワーク アクセスを無効にする必要があります | 1.0.1 |
| Access Control | 3.1.3 | 承認された認可に従って CUI のフローを制御する。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Azure AI Search サービスでは、プライベートリンクをサポートする SKU を使用する必要があります | 1.0.1 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Azure AI Search サービスはパブリック ネットワーク アクセスを無効にする必要があります | 1.0.1 |
| システムと通信の保護 | 3.13.1 | 組織システムの外部境界と主要な内部境界で、通信 (つまり、組織システムによって送受信される情報) を監視、制御、および保護する。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | Azure AI Search サービスでは、プライベートリンクをサポートする SKU を使用する必要があります | 1.0.1 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | Azure AI Search サービスはパブリック ネットワーク アクセスを無効にする必要があります | 1.0.1 |
| システムと通信の保護 | 3.13.2 | 組織のシステム内で効果的な情報セキュリティを促進するアーキテクチャ設計、ソフトウェア開発手法、システム エンジニアリングの原則を採用する。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | Azure AI Search サービスでは、プライベートリンクをサポートする SKU を使用する必要があります | 1.0.1 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | Azure AI Search サービスはパブリック ネットワーク アクセスを無効にする必要があります | 1.0.1 |
| システムと通信の保護 | 3.13.5 | 内部ネットワークから物理的または論理的に分離されている、公的にアクセス可能なシステム コンポーネントのサブネットワークを実装する。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Azure AI Search サービスはパブリック ネットワーク アクセスを無効にする必要があります | 1.0.1 |
| システムと通信の保護 | 3.13.6 | ネットワーク通信トラフィックを既定で拒否し、ネットワーク通信トラフィックを例外的に許可する (つまり、すべて拒否し、例外的に許可する)。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| 監査とアカウンタビリティ | 3.3.1 | 違法または承認されていないシステム アクティビティの監視、分析、調査、および報告を有効にするために必要な範囲で、システム監査ログとレコードを作成して保持します | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
| 監査とアカウンタビリティ | 3.3.2 | 個々のシステム ユーザーのアクションからそのユーザーまで一意に確実にたどれるようにし、彼らが自分のアクションの責任を負えるようにする。 | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
| 識別と認証 | 3.5.1 | システム ユーザー、ユーザーの代わりに動作するプロセス、およびデバイスを特定する。 | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
| 識別と認証 | 3.5.2 | 組織システムへのaccessを許可するための前提条件として、ユーザー、プロセス、またはデバイスの ID を認証 (または検証) します。 | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
| 識別と認証 | 3.5.5 | 定義された期間、識別子の再利用を防止する。 | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
| 識別と認証 | 3.5.6 | 定義された非アクティブな期間の経過後に識別子を無効にする。 | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
NIST SP 800-53 Rev. 4
すべてのAzure サービスで使用可能なAzure Policy組み込みがどのようにこのコンプライアンス標準に対応しているかを確認するには、「Azure Policy 規制コンプライアンス - NIST SP 800-53 Rev. 4を参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 4 に関するページを参照してください。
NIST SP 800-53 Rev. 5
すべてのAzure サービスで使用可能なAzure Policy組み込みがどのようにこのコンプライアンス標準に対応しているかを確認するには、「Azure Policy 規制コンプライアンス - NIST SP 800-53 Rev. 5を参照してください。 このコンプライアンス標準の詳細については、NIST SP 800-53 Rev. 5 に関するページを参照してください。
NL BIO クラウド テーマ
すべてのAzureサービスで使用可能なAzure Policyの組み込みがこのコンプライアンス標準にどのようにマップされるかを確認するには、「NL BIO Cloud Theme の Azure Policy規制コンプライアンスの詳細」を参照してください。 このコンプライアンス標準の詳細については、「政府向けベースライン情報セキュリティのサイバーセキュリティ - デジタル政府 (digitaleoverheid.nl)」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | Azure AI Search サービスでは、プライベートリンクをサポートする SKU を使用する必要があります | 1.0.1 |
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | Azure AI Search サービスはパブリック ネットワーク アクセスを無効にする必要があります | 1.0.1 |
| U.07.1 データの分離 - 分離 | U.07.1 | データの永続的な分離は、マルチテナント アーキテクチャの 1 つです。 パッチは制御された方法で実現されます。 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
| U.07.3 データの分離 - 管理機能 | U.07.3 | U.07.3 - CSC データおよび/または暗号化キーを表示あるいは変更する権限は、制御された方法で付与され、使用状況がログに記録されます。 | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
| U.10.2 ITサービスとデータへのアクセス - ユーザー | U.10.2 | CSP の責任の下で、アクセス権が管理者に付与されます。 | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
| U.10.3 ITサービスおよびデータへのアクセス - ユーザー | U.10.3 | IT サービスとデータをaccessできるのは、認証された機器を持つユーザーだけです。 | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
| U.10.5 ITサービスとデータへのアクセス - 適格 | U.10.5 | IT サービスとデータへのAccessは技術的な手段によって制限され、実装されています。 | Azure AI サービス リソースには、キーアクセスが無効化されている必要があります (ローカル認証を無効にする) | 1.1.0 |
| U.15.1 ログ記録と監視 - ログに記録されるイベント | U.15.1 | ポリシー規則の違反はCSP と CSC によって記録されます。 | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
インド準備銀行の銀行向けの IT フレームワーク v2016
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - RBI ITF Banks v2016を参照してください。 このコンプライアンス標準の詳細については、RBI ITF Banks v2016 (PDF) を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| フィッシング詐欺対策 | フィッシング詐欺対策-14.1 | Azure AI Services のリソースはネットワーク アクセスを制限する必要があります | 3.3.0 |
RMIT マレーシア
すべてのAzure サービスで使用可能なAzure Policy組み込み環境がこのコンプライアンス標準にどのように対応しているかを確認するには、「Azure Policy 規制コンプライアンス - RMIT マレーシアを参照してください。 このコンプライアンス標準の詳細については、RMIT マレーシア に関するドキュメントを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| デジタル サービスのセキュリティ | 10.66 | デジタル サービスのセキュリティ - 10.66 | Search Services の診断設定を Event Hub にデプロイする | 2.0.0 |
| デジタル サービスのセキュリティ | 10.66 | デジタル サービスのセキュリティ - 10.66 | Search Services の診断設定を Log Analytics ワークスペースにデプロイする | 1.0.0 |
スペインの ENS
すべてのAzure サービスで使用可能なAzure Policy組み込みがどのようにこのコンプライアンス標準に対応しているかを確認するには、スペイン ENS のAzure Policy規制コンプライアンスの詳細を参照してください。 このコンプライアンス標準の詳細については、CCN-STIC 884 を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 運用フレームワーク | op.exp.7 | 操作 | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
SWIFT CSP-CSCF v2021
すべてのAzureサービスで利用可能なAzure Policyの組み込みが、このコンプライアンス標準にどのようにマップしているかを確認するには、SWIFT CSP-CSCF v2021のAzure Policy規制コンプライアンスの詳細を参照してください。 このコンプライアンス標準の詳細については、SWIFT CSP CSCF v2021 に関するページを参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | ログ記録と監視 | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
SWIFT CSP-CSCF v2022 (SWIFT CSP-CSCF バージョン2022)
すべてのAzure サービスで利用可能なAzure Policyのビルトインがこの規制基準にどのように対応しているかを確認するには、SWIFT CSP-CSCF v2022のAzure Policy規制コンプライアンスの詳細を参照してください。 このコンプライアンス標準の詳細については、「SWIFT CSP CSCF v2022」を参照してください。
| ドメイン | コントロール ID | コントロールのタイトル | Policy (Azure portal) |
ポリシーのバージョン (GitHub) |
|---|---|---|---|---|
| 6. システムまたはトランザクション レコードに対する異常なアクティビティの検出 | 6.4 | セキュリティ イベントを記録し、ローカルの SWIFT 環境内での異常なアクションと操作を検出します。 | Search サービスのリソース ログを有効にする必要があります | 5.0.0 |
次のステップ
- 詳細については、Azure Policy 規制コンプライアンスに関するページを参照してください。
- Azure Policy GitHub リポジトリの組み込みを参照してください。