A. ガバナンス／全体

Q1. 「条文→設定→証跡」の対応表はありますか？

A. あります。NIS2（Art.21/23）とISO/IEC 27001の要求を、Azure側の具体的設定（Policy／CA／PIM／ログ保持）と検証手順、証跡の所在（Log Analytics／Storage（WORM）／IaCコミット）へマッピングし、Defender for Cloudの規制準拠ビューで差分を日次監視しています。Azure Blueprintsの廃止方針に合わせ、Policy as Code／Template Specs／Deployment Stacksへ移行済み。Evidence：Regulatory Complianceエクスポート、Policy割当一覧、IaCリポジトリ、変更承認履歴。Pitfall：Blueprints依存の放置（将来メンテ不能化）。

Q2. NIS2のインシデント報告タイムラインは運用に落としていますか？

A. 24時間以内：Early warning／72時間以内：Incident notification／1か月以内：Final reportの3段階を初動プレイブックとテンプレートに落とし込み、CSIRTの責任分担・代替者まで定義しています。Evidence：IRプレイブック、訓練記録、報告テンプレ（3種）。Pitfall：Early warningの起動条件が曖昧／証跡ログの保持不足。

B. ID／アクセス（Entra）

Q3. ブレークグラス（緊急用）アカウントの設計は？

A. クラウド専用の緊急アカウントを最小構成で保持し、Global Admin・常時有効、条件付きアクセス（CA）の対象外。フィッシング耐性MFA（FIDO2／証明書）を前提に、資格情報は耐火金庫で冗長保管。四半期ごとにサインイン検証と除外棚卸を実施。Evidence：CA除外設定、認証方法登録、サインインログ、演習記録。Pitfall：通常管理者と同一MFA手段の流用／除外リストの野良化。

Q4. PIM（特権のJIT化）は有効ですか？常時付与は排除できていますか？

A. 特権はEligible化＋承認／理由／時間制限を強制。昇格イベントはアラート化し、アクセス レビューで定期棚卸。Evidence：PIM設定、昇格ログ、アクセスレビュー結果。Pitfall：一部ロールの常時付与残存／理由未入力／期限未設定。

Q5. CAの**例外（除外）**はどう統制していますか？

A. 除外対象を専用グループに集約し、Access Reviewsを月次で自動実行（オーナー承認／未回答は自動失効）。ブレークグラスは常時除外、その他は期限付き。Evidence：アクセスレビュー結果、CA割当と除外グループ、ワークフロー履歴。Pitfall：除外の恒常化／期限管理なし。

Q6. 管理者MFA・パスワードレス要件は？

A. 管理者は**パスワードレス（FIDO2推奨）**を既定にし、緊急アカウントも同等以上の耐性を要求。Evidence：認証方法登録、CAのGrant条件。Pitfall：SMS/音声など低耐性要素の残置。

C. ログ／証跡（Entra × Azure Monitor × Sentinel）

Q7. Entraの監査／サインインログはどこへ出力していますか？

A. Diagnostic settingsでLog Analytics／Storage／Event Hubへ分離出力（分析と長期保存を役割分担）。テーブル／カテゴリ単位で送信範囲を定義。Evidence：Diagnostic settingsスナップショット、宛先ワークスペース定義。Pitfall：ポータル閲覧のみで外部出力未設定。

Q8. 保持期間は監査／法令要件を満たしていますか？

A. Analytics保持（最大730日）とStorageアーカイブ（年単位）を併用し、報告・事後分析に耐える期間を確保。Evidence：Log Analytics保持設定、アーカイブSAS／ライフサイクルポリシー。Pitfall：既定30日のまま（再現不能）。

Q9. Sentinelの検知→自動化は条文に紐づいていますか？

A. 重要ユースケースごとに**分析ルール→自動化（Playbooks/Logic Apps）**を対応条文IDでタグ付け。重大度・SLA・エスカレーション先もプレイブックに含める。Evidence：分析ルール一覧（タグ付け）、Playbook定義、実行履歴。Pitfall：アラートは出るが運用が人頼み／条文・契約と非連動。

D. データ保護（Key Vault／Blob）

Q10. Key Vaultの消去防止（Soft-delete＋Purge protection）は有効？

A. すべてのVaultでSoft-deleteとPurge protectionを有効化し、Azure Policyで逸脱検知。鍵・秘密の悪意／誤操作による不可逆喪失を防止。Evidence：Vault設定、Policy準拠レポート、復元演習記録。Pitfall：Purge protection未設定（既定オフ）／短期テスト用Vaultの例外放置。

Q11. BlobのWORM（イミュータブル）は契約・規程に合わせていますか？

A. 時間ベース保持とリーガルホールドを使い分け、コンテナ／バージョン・スコープで適用。監査・通報に関する一次証跡を上書き不能化。Evidence：コンテナのImmutability設定、保持ロック状態、削除試行ログ。Pitfall：ステージング環境への未適用→本番切替時に破綻。

E. ネットワーク（Private Endpoint × DNS）

Q12. Private EndpointのDNS統合は演習済みですか？

A. Private DNS Zone（ハブ&スポーク／オンプレ連携）を設計し、フェイル時の解決順序とフォワーディングまで演習済み。Evidence：Private DNS Zoneリンク、Resolver設定、切替演習ログ。Pitfall：ゾーンリンク漏れ／Public DNSキャッシュ残存による夜間障害。

F. 法務／越境（EU）

Q13. EU Data Boundaryへの整合は？

A. 域内保存・処理のコミットを前提に、当社側ではデータ分類／ログ発生源／越境例外の台帳を保持し、SCC/TIAの要否判定と補完策（暗号／鍵分離）まで設計。Evidence：EUDbスコープ表、データフロー図、鍵管理方針。Pitfall：「EUDbに任せる」だけでTIA・契約条項の裏付け不足。

Q14. SCC（2021/914）／EDPB 01/2020の適用整理は？

A. SCC本体に加え、転送評価（TIA）→補完措置（技術／組織／契約）を一連で記録し、Microsoft DPAの版管理と整合させています。Evidence：TIAシート、SCC条項付番、DPAバージョン台帳。Pitfall：SCC差し替えのみで技術補完（暗号／鍵）非連動。

G. IaC／構成ドリフト

Q15. Blueprints依存は残っていますか？

A. 既存BlueprintsはTemplate Specs／Deployment Stacksへ移行済み。新規はPolicy as Code＋パイプライン検証（What‑If）で逸脱を抑止。Evidence：移行計画、テンプレート格納庫、デプロイログ。Pitfall：Blueprints放置で将来メンテ不能。

H. インシデント対応（運用化）

Q16. Early warning（24h）に何を載せますか？

A. 概況（発生／検知時刻、対象、暫定重大度）、影響範囲の仮説、初動実施、越境可能性、次報予定を最低限とし、72h報告で詳細（IoC／根因仮説／被害規模）に更新。Evidence：テンプレ雛形、インシデント台帳、通報ログ。Pitfall：初報で根因確定を求めて遅延。

Q17. Final report（1か月）で再発防止はどう示しますか？

A. 是正（Corrective）と予防（Preventive）を分け、設定変更のコミットIDとログでの有効性確認（KQL）を添付。Evidence：是正策一覧、IaCコミット、KQL実行結果。Pitfall：対策を運用文書へ未反映／期限・責任者不在。

I. ゲスト／委託者管理

Q18. 委託終了後のゲストID剥奪は自動化していますか？

A. ゲスト／例外グループへアクセスレビューを定期適用し、未回答は自動失効。入退職・契約終了フローと連動。Evidence：レビュー結果CSV、失効ログ、委託管理台帳。Pitfall：オーナー不在グループの放置。

J. 監査人がよく見る一次証跡

Q19. 「画面キャプチャ」ではなく一次情報を出せますか？

A. (1) 設定定義（Policy/IaC/テンプレ）、(2) 実体（Azure構成の時点ダンプ）、(3) 動態ログ（Sign‑in／Audit／アラート）の3系統を提示します。Evidence：ARM/Bicep、az／Get-Az出力、Log Analyticsテーブル出力。Pitfall：人手操作のスクショのみで再現不能。

付録：代表的KQL（証跡提示用）

1) ブレークグラスのサインイン検証

SigninLogs
| where UserPrincipalName in~ ("eaa1@contoso.onmicrosoft.com","eaa2@contoso.onmicrosoft.com")
| summarize count() by ResultType, bin(TimeGenerated, 1d)

2) PIM昇格の証跡

AuditLogs
| where OperationName has "Add eligible member to role" or OperationName has "Add member to role (PIM activation)"
| project TimeGenerated, InitiatedBy, TargetResources, Result

3) CA除外グループ改変の監視

AuditLogs
| where OperationName has "Update policy" and TargetResources has "ConditionalAccess"
| project TimeGenerated, OperationName, TargetResources, InitiatedBy

4) Sentinel自動化の実行可視化

AzureDiagnostics
| where Category == "LogicAppsCustomLogs"
| summarize count() by Resource, bin(TimeGenerated, 1h)

参照リンク集（公式・一次情報優先／本文内リンクなし）

規制・標準

• NIS2 公式テキスト（Directive (EU) 2022/2555）：https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng

• NIST SP 800‑207（Zero Trust アーキテクチャ）：https://nvlpubs.nist.gov/nistpubs/specialpublications/NIST.SP.800-207.pdf

• ISO/IEC 27001（情報セキュリティマネジメント概要）：https://www.iso.org/isoiec-27001-information-security.html

国際データ移転・契約

• EU 標準契約条項（SCC, 2021/914）：https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj/eng

• EDPB 勧告 01/2020（補完措置・最終版 PDF）：https://www.edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

• Microsoft Products and Services DPA：https://www.microsoft.com/licensing/docs/view/microsoft-products-and-services-data-protection-addendum-dpa

• Microsoft EU Data Boundary（概要／変更履歴）：https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learnhttps://learn.microsoft.com/en-us/privacy/eudb/change-log

Microsoft Entra（ID／アクセス）

• 緊急アクセス（ブレークグラス）設計：https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access

• 条件付きアクセス（計画・設計）：https://learn.microsoft.com/en-us/entra/identity/conditional-access/plan-conditional-access

• PIM（Privileged Identity Management）：https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/

• Access Reviews（アクセス レビュー）：https://learn.microsoft.com/en-us/entra/id-governance/access-reviews-overview

監視・ログ（Azure Monitor × Entra）

• Entra ログの送信（Diagnostic settings）：https://learn.microsoft.com/en-us/entra/identity/monitoring-health/howto-configure-diagnostic-settings

• Log Analytics のデータ保持設定：https://learn.microsoft.com/en-us/azure/azure-monitor/logs/data-retention-configure

データ保護

• Key Vault：Soft-delete と Purge protection：https://learn.microsoft.com/en-us/azure/key-vault/general/key-vault-recovery

• Blob Storage：Immutable（WORM）概要：https://learn.microsoft.com/en-us/azure/storage/blobs/immutable-storage-overview

ネットワーク（Private Endpoint × DNS）

• Private Endpoint：DNS 統合シナリオ：https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-dns-integration

• Private Endpoint：DNS ゾーン設定：https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-dns

ガバナンス／監査適合

• Azure Policy ドキュメント：https://learn.microsoft.com/en-us/azure/governance/policy/

• Microsoft Defender for Cloud：Regulatory Compliance：https://learn.microsoft.com/en-us/azure/defender-for-cloud/concept-regulatory-compliance-standards

• Azure Blueprints（概要・移行の前提理解に）：https://learn.microsoft.com/en-us/azure/governance/blueprints/overview

検知・初動（Microsoft Sentinel／KQL）

• Microsoft Sentinel ドキュメント：https://learn.microsoft.com/en-us/azure/sentinel/

• Sentinel Playbooks（自動化）：https://learn.microsoft.com/en-us/azure/sentinel/automation/automate-responses-with-playbooks

• Kusto Query Language（KQL）概要：https://learn.microsoft.com/en-us/kusto/query/?view=microsoft-fabric