# Azure 向けのマネージド検査 本ページでは、Azure 向けに Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。 ## 検査を実施するには 以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます: - [CIS Azure Foundations Benchmark v3.0.0 向けワークフロー](https://github.com/flatt-security/shisho-cloud-managed-workflows/tree/main/workflows/cis-benchmark/azure-v3.0.0) - [Azure 向け追加ワークフロー by Flatt Security](https://github.com/flatt-security/shisho-cloud-managed-workflows/tree/main/workflows/flatt/azure) ## 検査項目の一覧 :::info 各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。 ::: | 検査項目名 | 関連する標準 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID | | ----------------------------------------------------------------------------------- | ------------------------ | ------------------ | --------------------------------------------------------------------------------------- | | Azure Application Gateway への HTTPS 接続でセキュアな SSL/TLS バージョンを利用する | | Medium | `decision.api.shisho.dev/v1beta:azure_appgateway_min_tls_version` | | Azure Application Gateway への接続に HTTPS を強制する | | Medium | `decision.api.shisho.dev/v1beta:azure_appgateway_transport` | | Azure Web Apps のデプロイ時に FTP の利用を許可しない | 9.3 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_appservices_webapp_disallow_ftp` | | Azure Web Apps への接続に HTTPS を強制する | 9.1 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_appservices_webapp_disallow_http` | | Azure App Services への HTTPS 接続でセキュアな SSL/TLS バージョンを利用する | 9.4 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_appservices_webapp_min_tls_version` | | Web Apps のリモートデバッグ設定を利用しない | 9.12 (CIS Azure v3.0.0) | High | `decision.api.shisho.dev/v1beta:azure_appservices_webapp_remote_debugging` | | Azure Compute Gallery で外部にイメージを公開しない | | Critical | `decision.api.shisho.dev/v1beta:azure_compute_community_gallery` | | Azure マネージドディスクをパブリックアクセス可能にしない | 8.5 (CIS Azure v3.0.0) | High | `decision.api.shisho.dev/v1beta:azure_compute_disk_public_access` | | Azure マネージドディスクスナップショットをパブリックアクセス可能にしない | | High | `decision.api.shisho.dev/v1beta:azure_compute_snapshot_public_access` | | Azure CosmosDB に対する通信元 0.0.0.0/0 からの通信を許可しない | 5.4.1 (CIS Azure v3.0.0) | Critical | `decision.api.shisho.dev/v1beta:azure_cosmosdb_public_access` | | 非管理者ユーザーによる Entra アプリケーションへの同意を制限する | 2.12 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_entraid_app_consent` | | Entra ID に Custom Bad Password List を設定する | 2.8 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_entraid_banned_password_list` | | Entra ID 非管理者ユーザによるアプリケーションの作成を制限する | 2.14 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_entraid_default_create_app_permission` | | Entra ID 非管理者ユーザーによるセキュリティグループの作成を制限する | 2.19 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_entraid_default_create_security_group_permission` | | Entra ID 非管理者ユーザーによるテナントの作成を制限する | 2.3 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_entraid_default_create_tenant_permission` | | Entra ID への新規デバイスの登録時に MFA を要求する | 2.22 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_entraid_device_registration` | | Entra ID グローバル管理者の割り当て数を最小にする | 2.26 (CIS Azure v3.0.0) | High | `decision.api.shisho.dev/v1beta:azure_entraid_global_admin` | | Entra ID ゲストユーザがテナント内で閲覧できる情報を制限する | 2.15 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_entraid_guest_baseline` | | Entra ID への非管理者ユーザによるユーザ招待を制限する | 2.16 (CIS Azure v3.0.0) | High | `decision.api.shisho.dev/v1beta:azure_entraid_invitation_permission` | | Entra ID 条件付きアクセスポリシーで MFA を要求する | 2.2.5 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_entraid_mfa_cap` | | マルチテナント Entra アプリケーションによる意図せぬサインインを防止する | | High | `decision.api.shisho.dev/v1beta:azure_entraid_multi_tenant` | | Entra ID のユーザーごとの多要素認証機能を有効化する | 2.1.2 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_entraid_per_user_mfa` | | Entra ID のセキュリティデフォルト設定を有効化する | 2.1.1 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_entraid_security_default` | | Azure サブスクリプションのテナント間移転を防止する | 2.15 (CIS Azure v3.0.0) | High | `decision.api.shisho.dev/v1beta:azure_entraid_subscription_policy` | | Entra ID でロケーションを条件とした条件付きアクセスポリシーを利用する | 2.2.2 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_entraid_trusted_location_cap` | | Entra ID に信頼されたロケーションを定義する | 2.2.1 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_entraid_trusted_location_usage` | | Azure Front Door への HTTPS 接続でセキュアな SSL/TLS バージョンを利用する | | Medium | `decision.api.shisho.dev/v1beta:azure_frontdoor_min_tls_version` | | Azure Front Door への接続に HTTPS を強制する | | Medium | `decision.api.shisho.dev/v1beta:azure_frontdoor_transport` | | Azure Database for MySQL/MariaDB の監査ログ出力を有効化する | 4.4.3 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_mysql_audit` | | Azure Database for MySQL/MariaDB の接続ログ出力を有効化する | 5.3.4 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_mysql_audit_connection` | | Azure Database for MySQL に対する通信元 0.0.0.0/0 からの通信を許可しない | 5.3.3 (CIS Azure v3.0.0) | Critical | `decision.api.shisho.dev/v1beta:azure_mysql_public_access` | | Azure Network Security Group のフローログを十分期間保持する | 7.5 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_networksecuritygroup_flow_log_retention` | | Azure Network Security Group により通信元 0.0.0.0/0 からの通信を許可しない | 7.1 (CIS Azure v3.0.0) | Critical | `decision.api.shisho.dev/v1beta:azure_networksecuritygroup_public_access` | | Azure Network Watcher を有効化する | 7.6 (CIS Azure v3.0.0) | High | `decision.api.shisho.dev/v1beta:azure_networkwatcher_usage` | | Azure Database for PostgreSQL の監査ログ出力を有効化する | | Medium | `decision.api.shisho.dev/v1beta:azure_postgresql_audit` | | Azure Database for PostgreSQL の接続ログ出力を有効化する | 5.2.6 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_postgresql_audit_connection` | | Azure Database for PostgreSQL の切断ログ出力を有効化する | 5.2.7 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_postgresql_audit_disconnection` | | Azure Database for PostgreSQL に対する通信元 0.0.0.0/0 からの通信を許可しない | | Critical | `decision.api.shisho.dev/v1beta:azure_postgresql_public_access` | | Azure SQL Managed Database に対する通信元 0.0.0.0/0 からの通信を許可しない | 5.1.7 (CIS Azure v3.0.0) | Critical | `decision.api.shisho.dev/v1beta:azure_sql_public_access` | | 不必要な Azure Storage Account への匿名読み取りアクセス設定を避ける | 4.17 (CIS Azure v3.0.0) | Critical | `decision.api.shisho.dev/v1beta:azure_storageaccount_anonymous_access` | | Azure Storage Account の Blob サービスでデータ操作のログを取得する | 4.13 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_storageaccount_blob_logging` | | Azure Storage Account へのパブリックネットワークアクセスを禁止する | 4.6 (CIS Azure v3.0.0) | High | `decision.api.shisho.dev/v1beta:azure_storageaccount_blob_public_access` | | Azure Storage Account でデータのソフトデリートを有効化する | 4.10 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_storageaccount_blob_soft_delete` | | Azure Storage Account のクロステナントでのレプリケーションを禁止する | 4.16 (CIS Azure v3.0.0) | High | `decision.api.shisho.dev/v1beta:azure_storageaccount_cross_tenant` | | Azure Storage Account の Network Rule のデフォルト挙動を Deny(通信拒否)に設定する | 4.7 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_storageaccount_default_network_rule` | | Azure Storage Account のインフラストラクチャ暗号化を有効にする | 4.2 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_storageaccount_infrastructure_encryption` | | Azure Storage Account への Azure サービスからのアクセスを Network Rule 外で許容する | 4.8 (CIS Azure v3.0.0) | Info | `decision.api.shisho.dev/v1beta:azure_storageaccount_network_bypass` | | Azure Storage Account へのアクセスにプライベートエンドポイントを使用する | 4.9 (CIS Azure v3.0.0) | Info | `decision.api.shisho.dev/v1beta:azure_storageaccount_private_endpoint` | | Azure Storage Account への Queue Service からアクセスログを取得する | 4.12 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_storageaccount_queue_logging` | | Azure Storage Account への接続に HTTPS を強制する | 4.1 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_storageaccount_secure_transfer` | | Azure Storage Account の共有キーによる認可を禁止する | | Medium | `decision.api.shisho.dev/v1beta:azure_storageaccount_shared_key` | | Azure Storage Account への Table Service からアクセスログを取得する | 4.14 (CIS Azure v3.0.0) | Low | `decision.api.shisho.dev/v1beta:azure_storageaccount_table_logging` | | Azure Storage Account への HTTPS 接続でセキュアな SSL/TLS バージョンを利用する | 4.15 (CIS Azure v3.0.0) | Medium | `decision.api.shisho.dev/v1beta:azure_storageaccount_tls_version` |