セキュリティベースラインを確立するためのレコメンデーション
Power Platform Well-Architected Security チェックリストのレコメンデーションに適用されます:
| SE:01 | コンプライアンス要件、業界標準、プラットフォームのレコメンデーションに合わせたセキュリティ ベースラインを確立します。 長期にわたってセキュリティ体制を維持または改善するには、ベースラインに対してワークロード アーキテクチャと操作を定期的に測定します。 |
|---|
このガイドでは、Microsoft Power Platform を使用してワークロードを開発するためのセキュリティ ベースラインを確立するためのレコメンデーションについて説明します。 セキュリティ ベースラインは、組織が IT システムとサービスに適用する最小限のセキュリティ標準とベスト プラクティスのセットです。 セキュリティ ベースラインは、サイバー攻撃、データ侵害、不正アクセスのリスクを軽減するのに役立ちます。 セキュリティ ベースラインは、組織全体の一貫性、説明責任、監査可能性を確保するのにも役立ちます。
適切なセキュリティ ベースラインは、次のことに役立ちます。
- サイバー攻撃、データ侵害、不正アクセスのリスクを軽減します。
- 組織全体の一貫性、説明責任、監査可能性を確保します。
- データおよびシステムの安全性を保護します。
- 規制要件を遵守します。
- 見落としのリスクを最小限に抑えます。
すべての関係者が期待を認識できるように、セキュリティ ベースラインを組織全体に広く公開する必要があります。
Microsoft Power Platform のセキュリティベースラインの確立には、次のようないくつかの手順と考慮事項が含まれます。
環境、コネクタ、Dataverse、 Power Apps、Power Automate など Power Platform のアーキテクチャとコンポーネントを理解します。
データ損失防止ポリシー、環境権限、セキュリティ グループなど、テナント、環境、リソース レベルで Power Platform のセキュリティ設定とロールを構成します。
Microsoft Entra ID を活用して、Power Platform の認証、認可を管理し、条件付きアクセスや多要素認証などの他の Entra ID 機能と統合します。
データ保護と暗号化方式を適用して、機密度 ラベルや顧客管理キーなど Power Platform で保存および処理されるデータを保護します。
Power Platform 管理センター、管理環境、Microsoft Purview などのツールを使って Power Platform の活動と使用状況の監視と監査をします。
さまざまな利害関係者の役割と責任の定義、承認ワークフローと変更管理の確立、ユーザーと開発者へのガイダンスとトレーニングの提供など、Power Platform のガバナンスポリシーとプロセスを実装します。
このガイドは、内部要因と外部要因の両方を考慮したセキュリティ ベースラインを設定するのに役立ちます。 内部要因には、ビジネス ニーズ、リスク要因、資産評価が含まれます。 外部要因には、業界のベンチマークや規制基準が含まれます。 これらの手順と考慮事項に従うことで、組織はビジネス目標、コンプライアンス要件、リスク許容度に合致する Power Platform のセキュリティのベースラインを確立できます。 セキュリティ ベースラインは、組織が潜在的な脅威や課題を最小限に抑えながら Power Platform の利点を最大化するのに役立ちます。
定義
| 任期 | Definition |
|---|---|
| ベースライン | 悪用を避けるためにワークロードに必要なセキュリティ アフォーダンスの最小レベル。 |
| ベンチマーク | 組織が目指すセキュリティ体制を示す標準。 時間の経過とともに評価、測定、改善されます。 |
| コントロール | 攻撃を防ぎ、攻撃者のコストを増加させるのに役立つ、ワークロードに対する技術的または運用上の制御。 |
| 規制による要件 | 法律や当局によって課せられる、業界標準に基づいた一連のビジネス要件。 |
主要な設計戦略
セキュリティ ベースラインは、セキュリティを向上および維持するためにワークロードが満たす必要があるセキュリティ要件と機能を説明するガイドラインです。 境界の設定に使用するポリシーを追加することで、ベースラインをより高度なものにすることができます。 ベースラインは、セキュリティ レベルを測定するために使用する標準である必要があります。 広い範囲をカバーしながら、常に完全なベースラインの達成を目指します。
ビジネスリーダーと技術リーダーの間で合意を得て、ベースラインを作成します。 ベースラインには、技術的な制御だけでなく、セキュリティ体制の管理と維持の運用面も含める必要があります。
Power Platformのセキュリティ ベースラインを確立するには、次の主な設計戦略を考慮してください。
Microsoft Cloud セキュリティ ベンチマーク (MCSB) を参照フレームワークとして使用します。 MCSB は、ID やアクセス管理、データ保護、ネットワーク セキュリティ、脅威からの保護、ガバナンスなど、クラウド セキュリティのさまざまな側面をカバーする包括的なセキュリティのベスト プラクティス セットです。 MCSB を使用すると、現在のセキュリティ体制を評価し、ギャップと改善領域を特定できます。
特定のビジネス ニーズ、コンプライアンス要件、リスク許容度に合わせて MCSB をカスタマイズします。 組織のコンテキストや目的に基づいて、MCSB コントロールの一部を追加、変更、または削除する必要がある場合があります。 たとえば、セキュリティ ベースラインを、ドメインまたは地域に関連する業界標準 (ISO 27001やNIST 800-53など) または規制フレームワーク (GDPR (一般データ保護規則) や HIPAA (医療保険の携行性と責任に関する法律) など) に合わせる必要がある場合があります。
Power Platform のセキュリティ ベースラインの範囲と適用範囲を定義します。 どの Power Platform コンポーネント、機能、サービスがセキュリティ ベースラインの対象となるか、どのコンポーネント、機能、サービスが範囲外であるか、または特別な考慮が必要かを明確に指定する必要があります。 たとえば、さまざまな種類の Power Platform 環境 (運用、開発、サンドボックスなど)、コネクタ (標準、カスタム、プレミアムなど)、またはアプリ (たとえば、キャンバス、モデル駆動型、またはページとして) の異なるセキュリティ要件を定義する必要があるかもしれません。
これらの設計戦略に従うことで、セキュリティの目標と基準を反映し、クラウド内のデータと資産の保護に役立つ Power Platform のセキュリティ ベースライン ドキュメントを作成できます。
ワークロードが変化し、環境が拡大するにつれて、基本的な制御が引き続き機能していることを確認するために、ベースラインを変更に合わせて更新し続けることが重要です。 セキュリティ ベースラインを作成するプロセスに関する推奨事項をいくつか示します。
資産インベントリ. ワークロード資産の関係者とそれらの資産のセキュリティ目標を特定します。 資産インベントリでは、セキュリティ要件と重要度によって分類します。 データ資産に関する情報については、データ分類に関するレコメンデーション を参照してください。
ワークロードの層を定義する。 セキュリティ ベースラインを定義する際には、重要度に基づいて構築されたソリューションを分類することを考慮するのが重要です。これにより、重要なアプリケーションをサポートするために必要なガードレールを確保すると同時に、生産性シナリオのイノベーションを阻害しないようなプロセスを開発できます。
危険評価。 各資産に関連する潜在的なリスクを特定し、優先順位を付けます。
コンプライアンス要件。 これらの資産に対する規制やコンプライアンスをベースライン化し、業界のベスト プラクティスを適用します。
構成の標準。 各資産の特定のセキュリティ構成と設定を定義して文書化します。 可能であれば、テンプレートを作成するか、環境全体で一貫して設定を適用するための繰り返し可能な自動化された方法を見つけます。 すべてのレベルで構成を考慮してください。 アクセスまたはネットワークに関連するテナントレベルのセキュリティ構成から始めます。 次に、特定の Power Pages 構成などの Power Platform リソース固有の構成と、ワークロードの共有方法などのワークロード固有のセキュリティ構成を検討します。
アクセス コントロールと認証。 ロールベースのアクセス制御 (RBAC) と多要素認証 (MFA) の要件を指定します。 資産レベルでの十分なアクセスが何を意味するかを文書化します。 常に最小特権の原則から始めてください。
ドキュメントとコミュニケーション。 すべての構成、ポリシー、手順を文書化します。 関係する利害関係者に詳細を伝えます。
執行と説明責任。 明確な強制メカニズムと、セキュリティ ベースラインに準拠しない場合の結果を確立します。 個人とチームにセキュリティ標準を維持する責任を負わせます。
継続的なモニタリング。 可観測性を通じてセキュリティ ベースラインの有効性を評価し、時間をかけて改善を行います。
ベースラインの構成
以下に、ベースラインの一部として含める必要がある一般的なカテゴリをいくつか示します。 以下のリストは網羅的なものではありません。 この文書の範囲の概要を説明することを目的としています
法令順守
設計の選択は、特定の業界セグメントの規制コンプライアンス要件や地理的制限によって影響を受ける可能性があります。 規制コンプライアンス要件を理解し、それをワークロードのアーキテクチャに組み込むことが重要です。
ベースラインには、規制要件に対するワークロードの定期的な評価を含める必要があります。 Microsoft Power Advisor など、プラットフォームが提供するツールを活用すると、コンプライアンス違反の領域を特定できます。 組織のコンプライアンス チームと協力して、すべての要件が満たされ、維持されていることを確認します。
例
ライフ サイエンス組織は、適正な臨床試験および製造の基準 (GxP) の要件を満たす必要があるソリューションを構築します。 クラウドの効率性を活用しながら、患者の安全、製品の品質、データの整合性を保護することもできます。 詳細については、Dynamics 365 と Power Platform の Microsoft GxP ガイドライン。
クラウドサービスプロバイダー向けの特定の GxP 認証はありませんが、Microsoft Azure (ホスト Power Platform) は、ISO 9001 と ISO/IEC 27,001 認証を含む品質管理と情報セキュリティに関する独立した第三者監査を受けています。 Power Platform でアプリケーションを展開する場合、次の手順を検討してください。
- コンピュータ化されたシステムに適用される GxP 要件を、その使用目的に基づいて決定します。
- GxP 要件への準拠を証明するために、資格認定および検証プロセスに関する内部手順に従います。
アーキテクチャ コンポーネント
ベースラインには、ワークロードの主要コンポーネントに関する規定的な推奨事項が必要です。 これらには通常、ネットワーク、アイデンティティ、データの技術的制御が含まれます。 例 を参照してください。
開発プロセス
ベースラインには、次の事項に関する推奨事項が含まれている必要があります。
- 使用が承認された Power Platform リソースタイプ。
- リソースの監視。
- ログ記録および監査機能を実装します。
- リソースの共有。
- リソースの使用または構成に関するポリシーを適用します。
- データ保護とネットワークセキュリティ。
開発チームは、セキュリティチェックの範囲、セキュリティを念頭に置いた Power Platformソリューションの設計と開発の方法、定期的なセキュリティ評価の実行方法を明確に理解する必要があります。 たとえば、最小権限の原則を適用し、開発環境と本番環境を分離し、安全なコネクタとゲートウェイを使用し、ユーザーの入力と出力を検証することは、ワークロードのセキュリティを確保するための要件です。 潜在的な脅威を特定する方法を伝え、チェックを実行する方法を具体的に示します。
詳細については、脅威分析に関するレコメンデーション を参照してください。
開発プロセスでは、さまざまなテスト方法に関する標準も設定する必要があります。 詳細については、セキュリティ テストに関するレコメンデーション を参照してください。
操作
ベースラインには、脅威を検出する方法と、実際のインシデントを示す異常なアクティビティに対してアラートを発する方法の標準が含まれている必要があります。
ベースラインには、コミュニケーションや復旧計画などのインシデント対応プロセスを設定するための推奨事項を含める必要があります。また、検出と分析を迅速化するためにどのプロセスを自動化できるかについても記載する必要があります。 例については、Microsoft Cloud セキュリティ ベンチマーク: インシデント対応 を参照してください。
業界標準を使用してセキュリティ インシデントとデータ侵害の計画を作成し、侵害が発見されたときに運用チームが従うべき包括的な計画を確実に作成します。 サイバー保険による補償があるかどうかについては、自分の組織に確認してください。
トレーニング
トレーニングは重要です。 多くの場合、アプリケーションの開発者はセキュリティ リスクを十分に認識していないことに注意してください。 組織でワークロードの構築方法に関するトレーニングを実施している場合は、Power Platformセキュリティ ベースラインをこれらの取り組みに組み込みます。 あるいは、組織全体でセキュリティトレーニングを実施する場合は、そのトレーニングでは Power Platform セキュリティ ベースラインを含めます。
トレーニングには、構築中のワークロードに影響を与える可能性があるテナント全体のガードレールと構成に関する教育を含める必要があります。 また、セキュリティ ロールやデータへの接続方法など、作成者がワークロードに対して行う必要のある構成に関するトレーニングも必要です。 彼らのリクエストに応じて協力するためのプロセスを決定します。
セキュリティ トレーニング プログラムを開発して維持し、ワークロード チームがセキュリティの目標と要件をサポートするための適切なスキルを備えていることを確認します。 チームには、基本的なセキュリティ トレーニングと、Power Platform のセキュリティの概念に関するトレーニングが必要です。
ベースラインを使用する
ベースラインを使用してイニシアチブと意思決定を推進します。 ベースラインを使用してワークロードのセキュリティ体制を改善する方法は、次のとおりです。
設計上の決定を準備します。 セキュリティ ベースラインを使用して、自分の Power Platform ワークロードのセキュリティ要件と期待を理解します。 チームメンバーがアーキテクチャ設計を開始する前に、期待されることについて教育されていることを確認してください。 チーム メンバーがセキュリティ ベースラインとセキュリティ要件を満たす上での自分の役割を認識していることを確認することで、実装段階での費用のかかる調整を防ぎます。 セキュリティ ベースラインをワークロード要件として使用し、ベースラインによって定義された境界と制約内でワークロードを設計します。
自分の設計をメジャーします。 セキュリティ ベースラインを使用すると、現在のセキュリティ体制を評価し、ギャップと改善領域を特定できます。 延期されるか、長期的に許容可能とみなされる逸脱を文書化し、逸脱に関して下された決定を明確に述べます。
改善を推進します。 セキュリティ ベースラインは目標を定義しますが、すべてをすぐに達成できるわけではありません。 ギャップがある場合は文書化し、重要性に基づいて優先順位を付けます。 短期的または長期的にどのギャップが許容できるかを明確に指定し、その決定の理由を示します。
ベースラインに対する進捗状況を追跡します。 セキュリティ ベースラインに対するセキュリティ対策を監視して、傾向を特定し、ベースラインからの逸脱を明らかにします。 可能な場合は自動化を使用し、進捗状況の追跡から収集されたデータを使用して、現在の問題を特定して対処し、将来の脅威に備えます。
ガードレールを設置します。 セキュリティ ベースラインを使用して、Power Platform ワークロードのガードレールとガバナンス フレームワークを確立および管理します。 ガードレールは、内部要因と外部要因に基づいて、必要なセキュリティ構成、テクノロジー、操作を適用します。 ガードレールは、不注意による監視や、コンプライアンス違反に対する罰金のリスクを最小限に抑えるのに役立ちます。 Power Platform 管理センターとマネージド環境のすぐに使える機能を使用してガードレールを確立したり、CoE スターター キットのリファレンス実装や独自のスクリプト/ツールを使用して独自の機能を構築したりできます。 ガードレールとガバナンス フレームワークを設定するには、すぐに使用できるツールとカスタム ツールを組み合わせて使用することになります。 セキュリティ ベースラインのどの部分をプロアクティブに適用でき、どの部分を事後的に監視するかを考えてください。
Microsoft Purview for Power Platform、Power Advisor、データ ポリシーやテナント分離などの Power Platform 管理センターの組み込み概念、セキュリティを実装し、構成とコンプライアンス要件を強制するための CoE スターター キットなどのリファレンス実装を探索します。
定期的にベースラインを評価する
継続的なリスク削減を確実にするために、理想的な状態に向けてセキュリティ基準を継続的に改善します。 ロードマップ とお知らせを定期的にチェックして、Power Platform でのセキュリティ アップデートを最新に保ちます。 次に、セキュリティ ベースラインを強化できる新機能を特定し、その実装方法を計画します。 ベースラインへの変更は正式に承認され、適切な変更管理プロセスを経る必要があります。
新しいベースラインに対してシステムを測定し、関連性とワークロードへの影響に基づいて修復の優先順位を付けます。
組織の標準への準拠を監査および監視することで、時間の経過とともにセキュリティ体制が低下しないようにします。
Microsoft Power Platform におけるセキュリティ
Power Platform は、セキュリティの強固な基盤の上に構築されています。 Azure 世界で最も機密性の高いデータの信頼できる保護者としての位置を確立したのと同じセキュリティ スタックを使用し、Microsoft 365 の最先端の情報保護とコンプライアンス ツールと統合されています。 Power Platform は、お客様の最も困難な懸念に対処するために設計されたエンドツーエンドの保護を提供します。
Power Platform サービスには、Microsoft Online Services の使用条件、Microsoft Enterprise のプライバシーに関する声明 が適用されます。 データ処理の場所については、Microsoft Online Services の使用条件と データ保護補遺 を参照してください。
Microsoft セキュリティ センター は、Power Platform コンプライアンス情報の主要なリソースです。 詳細については、Microsoft コンプライアンス認証 を参照してください。
Power Platform サービスは、セキュリティ開発ライフサイクル (SDL) に従います。 SDL は、セキュリティ保証とコンプライアンス要件をサポートする一連の厳格なプラクティスです。 詳細については、Microsoft セキュリティ開発ライフサイクル慣行 を参照してください。
Power Platform の促進
Microsoft Cloud セキュリティ ベンチマーク (MCSB) は、セキュリティ ベースラインの開始点として使用できる包括的なセキュリティ ベスト プラクティス フレームワークです。 ベースラインへの入力を提供する他のリソースと併せて使用します。 詳細については、Microsoft クラウド セキュリティ ベンチマークの概要 を参照してください。
組織の整合性
Power Platform の確立したセキュリティ ベースラインが組織のセキュリティ ベースラインと適切に整合していることを確認します。 組織内のITセキュリティ チームと緊密に連携して、その専門知識を活用します。
参照
- Microsoft コンプライアンス
- Microsoft Power Platform セキュリティとガバナンスに関するドキュメント
- Microsoft Cloud セキュリティベンチマークの概要
- インシデントの応答とは? 計画と手順
セキュリティ チェックリスト
完全な推奨事項セットを参照してください。