Power Platform のセキュリティに関するよくある質問
Power Platform のセキュリティに関する一般的な質問は、2 つのカテゴリに分類されます:
Power Platform が Open Web Application Security Project® (OWASP) のトップ 10 リスクを軽減するためにどのように設計されているか
顧客からの質問
最新の情報を見つけやすくするために、この記事の最後に新しい質問が追加されています。
OWASP トップ 10 リスク: Power Platform の緩和策
Open Web Application Security Project® (OWASP) は、ソフトウェア セキュリティの向上を目的とした非営利団体です。 コミュニティが主導するオープンソース ソフトウェア プロジェクト、世界各地にある数百もの支部、数万人ものメンバー、そして主要な教育・トレーニング会議を通じて、OWASP は、開発者や技術者がウェブを安全に保つための情報源となっています。
OWASP トップ 10 は、Web アプリケーションのセキュリティに関心のある開発者などを対象とした標準的な認識ドキュメントです。 これは、Web アプリケーションにとって最も重要なセキュリティ リスクについての幅広いコンセンサスを示すものです。 このセクションでは、Power Platform がこれらのリスクの軽減にどのように役立つかについて説明します。
- Power Platform のセキュリティ モデルは、Least Privileged Access (LPA) に基づいて構築されています。 LPA を使用すると、顧客はより詳細なアクセス制御を備えたアプリケーションを構築できます。
- Power Platform では、Microsoft Entra ID (Microsoft Entra ID) の Microsoft Identity プラットフォーム を使用して、業界標準の OAuth 2.0 プロトコルですべての API 呼び出しの認証を行います。
- Power Platform の基礎となるデータを提供する Dataverse は、環境レベル、ロールベース、レコードレベルとフィールドレベルのセキュリティを含む豊富なセキュリティ モデルを備えています。
転送中のデータ:
- Power Platform は TLS を使用して、HTTP ベースのすべてのネットワーク トラフィックを暗号化します。 他のメカニズムを使用して、顧客または機密データを含む非 HTTP ネットワーク トラフィックを暗号化します。
- Power Platform は、HTTP Strict Transport Security (HSTS) を有効にする強化された TLS 構成を採用しています。
- TLS 1.2 以降
- ECDHE ベースの暗号スイートと NIST 曲線
- 強力なキー
保存データ:
- すべての顧客データは、不揮発性ストレージ メディアに書き込まれる前に暗号化されます。
Power Platform では、インジェクション攻撃を防ぐために、次のような業界標準のベスト プラクティスを採用しています:
- パラメータ化されたインターフェースによる安全な API の使用
- 進化し続けるフロントエンド フレームワークの機能を適用し、入力をサニタイズ
- サーバー側の検証による出力のサニタイズ
- ビルド時に静的分析ツールを使用
- コード、設計、インフラストラクチャの更新の有無にかかわらず、6 ヶ月ごとに各サービスの脅威モデルを確認
- Power Platform は、安全設計の文化と方法論に基づいて構築されています。 Microsoft の業界をリードする セキュリティ開発ライフサイクル (SDL) と 脅威モデリング のプラクティスにより、文化と方法論の両方が常に強化されています。
- 脅威モデリングのレビュー プロセスにより、設計段階で脅威を特定し、軽減し、検証して、軽減されたことを確認します。
- 脅威モデリングでは、継続的かつ定期的なレビューを通じて既に実施されているサービスへのすべての変更も考慮されます。 STRIDE モデル に依存することで、安全でない設計に関する最も一般的な問題に対処することができます。
- Microsoft の SDL は、OWASP Software Assurance Maturity Model (SAMM) に相当します。 どちらも、安全な設計が Web アプリケーションのセキュリティに不可欠であるという前提に基づいて構築されています。
- 「デフォルト拒否」は、Power Platform 設計原則の基盤の 1 つです。 「デフォルト拒否」では、顧客は新しい機能と構成を確認してオプトインする必要があります。
- ビルド時の設定ミスは、安全な開発ツール を使用した統合的なセキュリティ分析によって検出されます。
- さらに、Power Platform は OWASP トップ 10 のリスクに基づいて構築された内部サービスを利用して、Dynamic Analysis Security Testing (DAST) を行っています。
- Power Platform は、Microsoft の SDL プラクティスに従い、オープンソースおよびサード パーティのコンポーネント を管理します。 これらのプラクティスには、完全なインベントリの維持、セキュリティ分析の実行、コンポーネントの最新状態の維持、試行およびテスト済みのセキュリティ インシデント対応プロセスとのコンポーネントの調整が含まれます。
- まれに、外部依存関係のために、一部のアプリケーションに古くなったコンポーネントのコピーが含まれている場合があります。 ただし、前に概説したプラクティスに従ってこれらの依存関係に対処した後、コンポーネントは追跡および更新されます。
- Power Platform は、Microsoft Entra ID 識別と認証に基づいて構築され、それに依存しています。
- Microsoft Entra は Power Platform が 安全な機能 を有効にできるようにします。 これらの機能には、シングル サインオン、多要素認証、シングル プラットフォームが含まれ、内部および外部ユーザーとより安全に連携することができます。
- Power Platform にまもなく実装される Microsoft Entra ID 継続的アクセス評価 (CAE) により、ユーザーの識別と認証はより安全で信頼性の高いものになります。
- Power Platform のコンポーネント ガバナンス プロセスでは、パッケージ ソース ファイルの安全な構成を実施して、ソフトウェアの整合性を維持します。
- このプロセスにより、内部で調達されたパッケージのみが 代替攻撃 に対処するために提供されることが保証されます。 依存関係の混乱としても知られる代替攻撃は、安全なエンタープライズ環境内でアプリ構築プロセスを汚染するために使用できる技術です。
- 暗号化されたすべてのデータには、送信前に整合性保護が適用されます。 暗号化された受信データに存在するすべての整合性保護メタデータが検証されます。
OWASP 上位 10 のローコード/ノーコード リスク: Power Platform での軽減策
OWASP が公開した上位 10 のローコード/ノーコードのセキュリティ リスクを軽減するためのガイダンスについては、次のドキュメントを参照してください。
Power Platform - OWASP ローコード、ノーコード 上位 10 のリスク (2024 年 4 月)
顧客からの一般的なセキュリティの質問
以下は、顧客からのセキュリティに関する質問の一部です。
クリックジャッキングに対して、Power Platform はどのように対応していますか?
クリックジャッキング は、他のコンポーネントの中でも、埋め込み iframe を使用して、ユーザーの Web ページとのやりとりを乗っ取ります。 特にサインイン ページにとっては重大な脅威です。 Power Platform は、サインイン ページでの iframe の使用を防ぎ、クリックジャッキングのリスクを大幅に減らします。
また、コンテンツ セキュリティ ポリシー (CSP) を使用して、信頼できるドメインへの埋め込みを制限することができます。
Power Platform は、コンテンツ セキュリティ ポリシーをサポートしていますか?
Power Platform は、モデル駆動型アプリのためのコンテンツ セキュリティ ポリシー (CSP) をサポートしています。 CSP によって置き換えられた次のヘッダーはサポートされていません。
X-XSS-ProtectionX-Frame-Options
SQL Server に安全に接続するにはどうすればよいですか?
Power Apps で Microsoft SQL Server を安全に使用する を参照してください。
Power Platform では、どの暗号がサポートされていますか? より強力な暗号に向けて継続的に移行するためのロードマップは何ですか?
すべての Microsoft サービスおよび製品は、Microsoft Crypto Board によって指示された正確な順序で、承認された暗号スイートを使用するように構成されています。 完全なリストと正確な順序については、Power Platform ドキュメンテーション を参照してください。
暗号スイートの廃止に関連する情報は、Power Platform の 重要な変更点 の文書で通知されます。
なぜ Power Platform は、より弱いとされる RSA-CBC 暗号 (TLS_ECDHE_RSA_with AES_128_CBC_SHA256 (0xC027) と TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) をまだサポートしているのですか?
Microsoft は、サポートする暗号スイートを選択する際に、顧客業務に対するリスクと混乱を検討しています。 RSA-CBC 暗号スイートはまだ破られていません。 サービスと製品全体の一貫性を確保し、すべての顧客構成をサポートできるようにしました。 しかし、これらは優先順位の一番下にあります。
Microsoft Crypto Board の継続的な評価に基づき、適切な時期にこれらの暗号を廃止します。
なぜ Power Automate でトリガー/アクションの入力と出力のある MD5 コンテンツ ハッシュを公開するのですか?
Power Automate では、Azure Storage から返されたオプションの content-MD5 ハッシュ値をそのままクライアントに渡します。 このハッシュは、チェックサム アルゴリズムとして転送中にページの整合性を検証するために Azure Storage によって使用されます。Power Automate でセキュリティを目的とした暗号化ハッシュ関数としては使用されません。 詳細については、Azure Storage のドキュメントの、BLOB プロパティを取得する方法と、要求ヘッダーの使用方法を参照してください。
Power Platform は、分散型サービス拒否 (DDoS) 攻撃からどのように保護していますか?
Power Platform は Microsoft Azure 上に構築され、Azure DDoS Protection を使用して DDoS 攻撃 を防ぎます。
Power Platform は、組織のデータを保護するために、ジェイルブレイクされた iOS デバイスや、ルート化された Android デバイスを検出しますか?
Microsoft Intune の使用をお勧めします。 Intune は、モバイル デバイス管理ソリューションです。 ユーザーとデバイスが特定の要件を満たす必要があるので、組織のデータを保護するのに役立ちます。 詳細については、Intune のコンプライアンス ポリシーの設定 を参照してください。
なぜセッションのクッキーは親ドメインにスコープされるのですか?
Power Platform は、組織間での認証を可能にするために、セッション Cookie を親ドメインにスコープします。 サブドメインはセキュリティ境界として使用されません。 また、顧客コンテンツもホストしていません。
アプリケーションのセッションが、15 分後にタイムアウトするように設定するにはどうすればよいですか?
Power Platform は、Microsoft Entra ID アイデンティティとアクセス管理を使用します。 Microsoft Entra ID の推奨するセッション管理構成に従い、最適なユーザー エクスペリエンスを実現します。
ただし、明示的なセッションやアクティビティのタイムアウトを持つように環境をカスタマイズできます。 詳細についてはセキュリティの拡張機能: ユーザー セッションとアクセス管理 を参照してください。
Power Platform にまもなく実装される Microsoft Entra ID 継続的アクセス評価 (CAE) により、ユーザーの識別と認証はより安全で信頼性の高いものになります。
このアプリケーションでは、同じユーザーが複数のマシンやブラウザーから同時にアクセスすることができます。 どうすればそれを防ぐことができますか?
複数のデバイスやブラウザーから同時にアプリケーションにアクセスできるのは、ユーザにとって便利です。 Power Platform にまもなく実装される Microsoft Entra ID 継続的アクセス評価 により、アクセスが許可されたデバイスとブラウザーからのものであり、有効であることが保証されます。
一部の Power Platform サービスでは、サーバー ヘッダーに詳細な情報が表示されるのはなぜですか?
Power Platform サービスでは、サーバー ヘッダー内の不要な情報を削除する作業が行われています。 目標は、全体的なセキュリティ体制を弱める可能性のある 情報を公開する リスクと、詳細レベルとのバランスを取ることです。
Log4j の脆弱性は Power Platform にどのような影響を与えますか? この点について、顧客はどのように対応すべきですか?
Microsoft は、Log4j の脆弱性は Power Platform に影響を及ぼさないと評価しました。 Log4j の脆弱性の悪用の防止、検出、およびハンティング に関するブログ投稿を参照してください。
ブラウザー拡張機能や統一インターフェイス クライアント API で無効化されたコントロールが有効になっていることに起因する、不正なトランザクションがないことをどのようにして確認できますか?
Power Apps のセキュリティ モデルには、無効化されたコントロールの概念は含まれていません。 コントロールを無効にすると、UI が強化されます。 セキュリティを確保するために、無効化されたコントロールに頼るべきではありません。 代わりに、不正なトランザクションを防止するために、フィールド レベルのセキュリティのような Dataverse コントロールを使用します。
応答データを保護するために使用する HTTP セキュリティ ヘッダーはどれですか?
| 件名 | 詳細 |
|---|---|
| Strict-Transport-Security | これは、すべての応答で max-age=31536000; includeSubDomains に設定されます。 |
| X-Frame-Options | これは、CSP を優先するため非推奨となります。 |
| X-Content-Type-Options | これは、すべての資産応答で nosniff に設定されます。 |
| Content-Security-Policy | これは、ユーザーが CSP を有効にする場合に設定されます。 |
| X-XSS-Protection | これは、CSP を優先するため非推奨となります。 |
Power Platform または Dynamics 365 侵入テストはどこにありますか?
最新の侵入テストとセキュリティ評価は、Microsoft サービス トラスト ポータル にあります。
Note
Service Trust Portal の一部のリソースにアクセスするには、Microsoft クラウド サービス アカウント (Microsoft Entra組織アカウント) を確認し、コンプライアンス資料に関する Microsoft 秘密保持契約を確認して同意します。
関連記事
Microsoft Power Platform でのセキュリティ
Power Platform サービスに認証する
データソースへの接続と認証
Power Platform のデータ ストレージ