点検基準
| カテゴリ (Scope) | 項目名 | 点検基準 |
|---|---|---|
| アカウント管理 | ADユーザーアカウント管理 | 良好基準: 管理者権限を持つアカウントが複数存在せず、不要なアカウントが存在しない。 脆弱基準: 管理者権限を持つアカウントが複数存在するか、不要なアカウントが存在する。 |
| ADユーザープロファイルおよびディレクトリ識別管理 | 良好基準: 必須のプロファイル項目(ID、勤務情報、連絡先など)が入力されている。 脆弱基準: 必須のプロファイル項目(ID、勤務情報、連絡先など)が入力されていない。 | |
| ADグループ所有者およびメンバー管理 | 良好基準: グループに所有者およびメンバーが割り当てられている。 脆弱基準: グループに所有者またはメンバーが割り当てられていない。 | |
| ADゲストユーザー | 良好基準: ゲストユーザーアカウント(使用期限が切れた不要なアカウントを含む)が使用されていない。 脆弱基準: ゲストユーザーアカウント(使用期限が切れた不要なアカウントを含む)が使用されている。 | |
| ADパスワードリセットポリシー管理 | 良好基準: パスワードリセットポリシーが必須設定基準に従って設定されている。 脆弱基準: パスワードリセットポリシーが必須設定基準に従って設定されていない。 | |
| SSHキーアクセス管理 | 良好基準: SSHキーの作成、修正、削除が管理者および所有者アカウントのみに制限されている。 脆弱基準: SSHキーの作成、修正、削除が管理者および所有者アカウントのみに制限されていない。 | |
| MFA(多要素認証)設定 | 良好基準: ADユーザーアカウントに対してMFAが有効化され、使用されている。 脆弱基準: ADユーザーアカウントに対してMFAが有効化されていないか、使用されていない。 | |
| MFAアカウントロックポリシー管理 | 良好基準: アカウントロック設定がポリシーに従って設定されている。 脆弱基準: アカウントロック設定がポリシーに従って設定されていない。 | |
| Azureパスワードポリシー管理 | 良好基準: パスワード保護ポリシーがポリシーに従って適用され、使用されている。 脆弱基準: パスワード保護ポリシーがポリシーに従って適用されていないか、使用されていない。 | |
| 権限管理 | サブスクリプションアクセス制御 (IAM) ロール管理 | 良好基準: サブスクリプションに設定されたアクセス制御ロールが、各サービスに対して一意の権限(読み取り専用)として付与されている。 脆弱基準: サブスクリプションに設定されたアクセス制御ロールが、サービスのフル権限(所有者、寄稿者、ユーザーアクセス管理者、閲覧者)で付与されている。 |
| リソースグループアクセス制御 (IAM) ロール割り当て | 良好基準: AZUREユーザー権限/グループに対して、目的に応じて適切にロールが割り当てられている。 脆弱基準: AZUREユーザー権限/グループに対して、目的に応じて適切にロールが割り当てられていない。 | |
| ADユーザーロール権限管理 | 良好基準: 業務およびサービスの使用目的に応じて、AD管理者ロールが適切に付与されている。 脆弱基準: 業務およびサービスの使用目的に応じて、AD管理者ロールが適切に付与されていない。 | |
| インスタンスサービスアクセスエポリシー管理 | 良好基準: インスタンスサービスに対するアクセス制御 (IAM) がユーザーロールに応じて付与されている。 脆弱基準: インスタンスサービスに対するアクセス制御 (IAM) がユーザーロールに応じて付여されていない。 | |
| ネットワークサービスアクセスポリシー管理 | 良好基準: ネットワークサービスに対するアクセス制御 (IAM) がユーザーロールに応じて付与されている。 脆弱基準: ネットワークサービスに対するアクセス制御 (IAM) がユーザーロールに応じて付与されていない。 | |
| その他サービスアクセスポリシー管理 | 良好基準: その他サービスに対するアクセス制御 (IAM) がユーザーロールに応じて付与されている。 脆弱基準: その他サービスに対するアクセス制御 (IAM) がユーザーロールに応じて付与されていない。 | |
| 仮想リソース管理 | 仮想ネットワークリソース管理 | 良好基準: 接続されたデバイスのうち、内部ネットワークのみを使用するリソースにパブリックIPアドレスが存在しない。 脆弱基準: 接続されたデバイスのうち、内部ネットワークのみを使用するリソースにパブリックIPアドレスが存在する。 |
| 内部仮想ネットワークセキュリティ管理 | 良好基準: 内部リソースへのアクセス時にアクセス制御 (VPN、Bastion) が適用されている。 脆弱基準: 内部リソースへのアクセス時にアクセス制御 (VPN、Bastion) が適用されていない。 | |
| セキュリティグループ受信/送信 ANY設定管理 | 良好基準: セキュリティグループの受信/送信ルール内のポートが「Any」として許可されていない。 脆弱基準: セキュリティグループの受信/送信ルール内のポートが「Any」として許可されている。 | |
| セキュリティグループ受信/送信 不要なポリシー管理 | 良好基準: セキュリティグループの受信/送信ルール内に不要なポリシー(ソース、宛先)が存在しない。 脆弱基準: セキュリティグループの受信/送信ルール内に不要なポリシー(ソース、宛先)が存在する。 | |
| ファイアウォール ANYポリシー設定管理 | 良好基準: ファイアウォールポリシールール(ソース、宛先、ポート)が「Any」として許可されていない。 脆弱基準: ファイアウォールポリシールール(ソース、宛先、ポート)が「Any」として許可されている。 | |
| ファイアウォール 不要なポリシー管理 | 良好基準: ファイアウォールポリシー内に不要なルールが存在しない。 脆弱基準: ファイアウォールポリシー内に不要なルールが存在する。 | |
| NATゲートウェイサブネット接続管理 | 良好基準: パブリックネットワークアクセスが必要なサブネットのみが接続されている。 脆弱基準: パブリックネットワークアクセスが必要ないサブネットが接続されている。 | |
| ストレージアカウントのセキュリティ設定 | 良好基準: 安全な転送が有効で、TLSバージョンが1.2に設定され、パブリックアクセスが遮断されている。 脆弱基準: 安全な転送が無効であるか、TLSバージョンが1.2未満、またはパブリックアクセスが遮断されていない。 | |
| ストレージアカウント共有アクセス署名 (SAS) ポリシー管理 | 良好基準: 共有アクセス署名の使用時、許可された権限およびIPアドレスが最小限に設定されている。 脆弱基準: 共有アクセス署名の使用時、許可された権限およびIPアドレスが最小限に設定されていない。 | |
| 運用管理 | データベース暗号化設定管理 | 良好基準: 透過的なデータ暗号化 (TDE) およびデータ暗号化機能が有効になっている。 脆弱基準: 透過的なデータ暗号化 (TDE) およびデータ暗号化機能が有効になっていない。 |
| ストレージ暗号化設定 | 良好基準: サービス管理キーおよびカスタマー管理キーを使用して暗号化が設定されている。 脆弱基準: サービス管理キーおよびカスタマー管理キーを使用して暗호化が設定されていない。 | |
| ディスク暗号化設定 | 良好基準: サービス管理キーおよびカスタマー管理キーを使用して暗号化が設定されている。 脆弱基準: サービス管理キーおよびカスタマー管理キーを使用して暗号化が設定されていない。 | |
| 通信チャネルの暗号化設定 | 良好基準: クラウドリソースの通信チャネル内で暗号化設定が適用されている。 脆弱基準: クラ우드리소스의 통신 채널 내에서 암호화 설정이 적용되지 않음. | |
| Key Vaultローテーションポリシー管理 | 良好基準: ユーザー管理キーのローテーションポリシーが標準(90日)に従って設定されている。 脆弱基準: ユーザー管理キーのローテーションポリシーが標準に従って設定されていない(90日を超える)。 | |
| AD監査ログ設定 | 良好基準: AD監査ログの保持ポリシーが存在する。 脆弱基準: AD監査ログの保持ポリシーが存在しない。 | |
| インスタンスサービス監査ログ設定 | 良好基準: インスタンスサービスのログ保持ポリシーが存在する。 脆弱基準: 인インスタンスサービスのログ保持ポリシーが存在しない。 | |
| ネットワークサービス監査ログ設定 | 良好基準: ネットワークサービスのログ保持ポリシーが存在する。 脆弱基準: ネットワークサービスのログ保持ポリシーが存在しない。 | |
| その他サービス監査ログ設定 | 良好基準: その他サービスに対してログ保持ポリシーが存在する. 脆弱基準: その他サービスに対してログ保持ポリシーが存在しない. | |
| リソースグループのロック | 良好基準: 顧客サービス(商用)および運用サービスがロック機能を有効にして使用している。 脆弱基準: 顧客サービス(商用)および運用サービスがロック機能を有効にして使用していない。 |