CIS Azure Foundations Benchmark v3.0.0 に関連するマネージド検査
本ページでは、CIS Azure Foundations Benchmark v3.0.0 に関して Flatt Security により標準提供される検査項目(マネージド検査項目)について説明します。 なお本ページで説明されていない検査項目に関しても、ご契約中のサポートプランに応じて、Flatt Security からご提供できる場合がございます。
検査を実施するには
以下で公開されているワークフローを Shisho Cloud 組織に登録することでマネージド検査項目を利用できます:
検査項目の一覧
info
各検査項目の緊急度は、ダッシュボード等での統計情報の表示や、今取るべき対応アクションのリコメンドの際に用いられます。 ポリシーをカスタマイズすることで、組織のポリシーに合わせた緊急度の変更も可能です。
| 検査項目�名 | 標準中の項目名 | デフォルトの緊急度 | Shisho Cloud 内の管理 ID |
|---|---|---|---|
| Entra ID のセキュリティデフォルト設定を有効化する | 2.1.1 | Medium | decision.api.shisho.dev/v1beta:azure_entraid_security_default |
| Entra ID のユーザーごとの多要素認証機能を有効化する | 2.1.2 | Medium | decision.api.shisho.dev/v1beta:azure_entraid_per_user_mfa |
| Entra ID に信頼されたロケーションを定義する | 2.2.1 | Low | decision.api.shisho.dev/v1beta:azure_entraid_trusted_location_usage |
| Entra ID でロケーションを条件とした条件付きアクセスポリシーを利用する | 2.2.2 | Medium | decision.api.shisho.dev/v1beta:azure_entraid_trusted_location_cap |
| Entra ID 条件付きアクセスポリシーで MFA を要求する | 2.2.5 | Medium | decision.api.shisho.dev/v1beta:azure_entraid_mfa_cap |
| Entra ID 非管理者ユーザーによるテナントの作成を制限する | 2.3 | Low | decision.api.shisho.dev/v1beta:azure_entraid_default_create_tenant_permission |
| Entra ID に Custom Bad Password List を設定する | 2.8 | Low | decision.api.shisho.dev/v1beta:azure_entraid_banned_password_list |
| 非管理者ユーザーによる Entra アプリケーションへの同意を制限する | 2.12 | Medium | decision.api.shisho.dev/v1beta:azure_entraid_app_consent |
| Entra ID 非管理者ユーザによるアプリケーションの作成を制限する | 2.14 | Medium | decision.api.shisho.dev/v1beta:azure_entraid_default_create_app_permission |
| Entra ID ゲストユーザがテナント内で閲�覧できる情報を制限する | 2.15 | Low | decision.api.shisho.dev/v1beta:azure_entraid_guest_baseline |
| Azure サブスクリプションのテナント間移転を防止する | 2.15 | High | decision.api.shisho.dev/v1beta:azure_entraid_subscription_policy |
| Entra ID への非管理者ユーザによるユーザ招待を制限する | 2.16 | High | decision.api.shisho.dev/v1beta:azure_entraid_invitation_permission |
| Entra ID 非管理者ユーザーによるセキュリティグループの作成を制限する | 2.19 | Low | decision.api.shisho.dev/v1beta:azure_entraid_default_create_security_group_permission |
| Entra ID への新規デバイスの登録時に MFA を要求する | 2.22 | Medium | decision.api.shisho.dev/v1beta:azure_entraid_device_registration |
| Entra ID グローバル管理者の割り当て数を最小にする | 2.26 | High | decision.api.shisho.dev/v1beta:azure_entraid_global_admin |
| Azure Storage Account への接続に HTTPS を強制する | 4.1 | Medium | decision.api.shisho.dev/v1beta:azure_storageaccount_secure_transfer |
| Azure Storage Account のインフラストラクチャ暗号化を有効にする | 4.2 | Low | decision.api.shisho.dev/v1beta:azure_storageaccount_infrastructure_encryption |
| Azure Database for MySQL/MariaDB の監査ログ出力を有効化する | 4.4.3 | Medium | decision.api.shisho.dev/v1beta:azure_mysql_audit |
| Azure Storage Account へのパブリックネットワークアクセスを禁止する | 4.6 | High | decision.api.shisho.dev/v1beta:azure_storageaccount_blob_public_access |
| Azure Storage Account の Network Rule のデフォルト挙動を Deny(通信拒否)に設定する | 4.7 | Medium | decision.api.shisho.dev/v1beta:azure_storageaccount_default_network_rule |
| Azure Storage Account への Azure サービスからのアクセスを Network Rule 外で許容する | 4.8 | Info | decision.api.shisho.dev/v1beta:azure_storageaccount_network_bypass |
| Azure Storage Account へのアクセスにプライベートエンドポイントを使用する | 4.9 | Info | decision.api.shisho.dev/v1beta:azure_storageaccount_private_endpoint |
| Azure Storage Account でデータのソフトデリートを有効化する | 4.10 | Medium | decision.api.shisho.dev/v1beta:azure_storageaccount_blob_soft_delete |
| Azure Storage Account への Queue Service からアクセスログを取得する | 4.12 | Low | decision.api.shisho.dev/v1beta:azure_storageaccount_queue_logging |
| Azure Storage Account の Blob サービスでデータ操作のログを取得する | 4.13 | Medium | decision.api.shisho.dev/v1beta:azure_storageaccount_blob_logging |
| Azure Storage Account への Table Service からアクセスログを取得する | 4.14 | Low | decision.api.shisho.dev/v1beta:azure_storageaccount_table_logging |
| Azure Storage Account への HTTPS 接続でセキュアな SSL/TLS バージョンを利用する | 4.15 | Medium | decision.api.shisho.dev/v1beta:azure_storageaccount_tls_version |
| Azure Storage Account のクロステナントでのレプリケーションを禁止する | 4.16 | High | decision.api.shisho.dev/v1beta:azure_storageaccount_cross_tenant |
| 不必要な Azure Storage Account への匿名読み�取りアクセス設定を避ける | 4.17 | Critical | decision.api.shisho.dev/v1beta:azure_storageaccount_anonymous_access |
| Azure SQL Managed Database に対する通信元 0.0.0.0/0 からの通信を許可しない | 5.1.7 | Critical | decision.api.shisho.dev/v1beta:azure_sql_public_access |
| Azure Database for PostgreSQL の接続ログ出力を有効化する | 5.2.6 | Low | decision.api.shisho.dev/v1beta:azure_postgresql_audit_connection |
| Azure Database for PostgreSQL の切断ログ出力を有効化する | 5.2.7 | Low | decision.api.shisho.dev/v1beta:azure_postgresql_audit_disconnection |
| Azure Database for MySQL に対する通信元 0.0.0.0/0 からの通信を許可しない | 5.3.3 | Critical | decision.api.shisho.dev/v1beta:azure_mysql_public_access |
| Azure Database for MySQL/MariaDB の接続ログ出力を有効化する | 5.3.4 | Low | decision.api.shisho.dev/v1beta:azure_mysql_audit_connection |
| Azure CosmosDB に対する通信元 0.0.0.0/0 からの通信を許可しない | 5.4.1 | Critical | decision.api.shisho.dev/v1beta:azure_cosmosdb_public_access |
| Azure Network Security Group により通信元 0.0.0.0/0 からの通信を許可しない | 7.1 | Critical | decision.api.shisho.dev/v1beta:azure_networksecuritygroup_public_access |
| Azure Network Security Group のフローログを十分期間保持する | 7.5 | Low | decision.api.shisho.dev/v1beta:azure_networksecuritygroup_flow_log_retention |
| Azure Network Watcher を有効化する | 7.6 | High | decision.api.shisho.dev/v1beta:azure_networkwatcher_usage |
| Azure マネージドデ�ィスクをパブリックアクセス可能にしない | 8.5 | High | decision.api.shisho.dev/v1beta:azure_compute_disk_public_access |
| Azure Web Apps への接続に HTTPS を強制する | 9.1 | Medium | decision.api.shisho.dev/v1beta:azure_appservices_webapp_disallow_http |
| Azure Web Apps のデプロイ時に FTP の利用を許可しない | 9.3 | Medium | decision.api.shisho.dev/v1beta:azure_appservices_webapp_disallow_ftp |
| Azure App Services への HTTPS 接続でセキュアな SSL/TLS バージョンを利用する | 9.4 | Medium | decision.api.shisho.dev/v1beta:azure_appservices_webapp_min_tls_version |
| Web Apps のリモートデバッグ設定を利用しない | 9.12 | High | decision.api.shisho.dev/v1beta:azure_appservices_webapp_remote_debugging |