セキュリティ体制と課題を理解する

セキュリティ チームの主な目的は、Power Platform の導入によって変わることはありません。 しかし、これらの目的を達成するための方法は進化します。 セキュリティチームは、攻撃によるビジネスリスクの軽減を引き続き優先し、すべての情報システムとデータに機密性、完全性、可用性が組み込まれていることを確認する必要があります。

セキュリティとは、ITシステムやネットワークを盗難、損傷、中断から保護することです。 Power Platform は、Microsoftのクラウド オファリングです。 データを所有しているが、ワークロードの制御をMicrosoftと共有している。 ワークロードの運用とセキュリティの責任は、お客様とMicrosoftに分かれています。

次の図は、ユーザーとMicrosoftの間でセキュリティ責任がどのように分散されるかを示しています。

この記事では、Power Platformに適用されるセキュリティの原則とプラクティスについて説明します。 また、Power Platformソリューションを保護するために現在行っていることを評価し、アクション プランを設計するための次のステップも示します。

Microsoft セキュリティ基盤

組織は孤立して存在するものではありません。 彼らはお互いに、そして彼らの顧客と協力します。 それらは、全員が依存している重要なサプライチェーンを形成します。 私たちは、従業員、データ、インフラを守るために協力する必要があります。 Microsoftは、エンド ツー エンド、ベスト イン ブレイン、AI を活用したセキュリティに対して、大胆で包括的なアプローチを採用しています。

Microsoftは、2000 年代半ばからセキュリティに多大な投資を行っています。 3,500人以上のMicrosoftエンジニアが、絶え間なく変化する脅威の状況に積極的に対処しています。 Microsoftセキュリティは、オンチップ BIOS カーネルから開始され、ユーザー エクスペリエンスまで拡張されます。 現在、当社のセキュリティ スタックは業界で最も進んでいます。 Microsoftは、悪意のあるアクターとの戦いの世界的リーダーとして広く見なされています。 何十億ものコンピューター、数兆単位のログイン、およびゼッタバイト単位のデータが、Microsoftの保護に委ねられます。

Microsoftは、次の高レベルの目標をサポートするツールと機能に重点を置くことで、この目標に向けて取り組みます。

• すべてを守ります。 プラットフォームやクラウド環境全体で適切に機能する統合ビジネスセキュリティソリューションにより、組織全体の安全を確保します。 この目標には、組織の Power Platform ソリューションを保護されたリソースの一部にすることが含まれます。
• 複雑なものを簡単にします。 社内の人間の専門知識を最大限に活用する管理ツールを使用して、適切なリスクに優先順位を付けます。 Power Platform ビジネス アプリケーションのセキュリティ管理を管理ツールに含めることで、複雑性が増すことを回避します。
• 他の見逃しているものを見つけます。 最先端のAI、自動化、専門知識を活用して、サイバー脅威を迅速に発見して阻止し、セキュリティ体制を強化します。

これらのセキュリティ目標は、次のMicrosoft統合セキュリティ製品のイノベーションを促進します。

• Microsoft Defender: 業界をリードする拡張検出および応答 (XDR) 製品を使用して、デバイス、ID、アプリ、電子メール、クラウドでのサイバー攻撃を停止します。
• Microsoft Sentinel: AI を活用したセキュリティ情報とイベント管理 (SIEM) を使用して、エンタープライズ全体のデータを集計して、比類のない可視性を実現するサイバー脅威に先んじてください。
• Microsoft Entra: ID とアクセス製品の統合されたセットを使用して、クラウド、プラットフォーム、デバイス全体のすべての ID とアクセス要求を確認します。
• Microsoft Purview: 連携するように設計された情報保護、ガバナンス、コンプライアンス製品を使用して、どこにいてもデータを保護します。
• Microsoft Priva: リスクを軽減し、単一のプラットフォームでコンプライアンスを管理する製品で、顧客と従業員のプライバシーを尊重します。
• Microsoft Intune: デバイスのセキュリティを強化し、エンドポイント管理製品ファミリを使用してシームレスなハイブリッド作業エクスペリエンスを実現します。

これらの製品が連携して、より強力な防御を形成します。 Power Platform は、この基盤の上に構築され、作成するビジネス アプリケーションにセキュリティを追加します。

パワープラットフォームにおけるセキュリティ

Power Platform は、セキュリティの強固な基盤の上に構築されています。 これは、世界で最も機密性の高いデータの信頼できるカストディアンとしてAzureを配置し、Microsoft 365の高度な情報保護およびコンプライアンス ツールと統合するのと同じセキュリティ スタックを使用します。 Power Platform は、お客様の最も困難な懸念に対処するために設計されたエンドツーエンドの保護を提供します。

Power Platform サービスは、Microsoft Online Services Terms および Microsoft Enterprise Privacy Statement に準拠します。 データ処理の場所については、Microsoft オンライン サービス条件と「データ保護追加契約」を参照してください。

Microsoft セキュリティ センター は、Power Platform コンプライアンス情報の主要なリソースです。 詳細については、Microsoft コンプライアンス オファリングを参照してください。

Power Platform サービスは、セキュリティ開発ライフサイクル (SDL) に従います。 SDL は、セキュリティ保証とコンプライアンス要件をサポートする一連の厳格なプラクティスです。 詳細情報: Microsoft セキュリティ開発ライフサイクル プラクティス

個々のセキュリティ機能の詳細と、よくあるセキュリティに関する質問への回答を見つけてください。

• Microsoft Power Platformセキュリティとガバナンスに関するドキュメント
• Power Platform セキュリティの概要
• データ ストレージとガバナンス
• Power Platform のセキュリティに関するよくある質問

現在のセキュリティ体制を評価する

現在のセキュリティ体制を評価することは、Power Platform 環境とワークロードがセキュリティが確保され、組織および規制の要件に準拠していることを確認するために重要です。 このプロセスでは、既存のセキュリティ対策、ツール、およびプラクティスを徹底的に評価して、ギャップと改善すべき領域を特定します。

この評価の内容を詳しく見てみましょう。

1. セキュリティ ツールとテクノロジ: Power Platform 環境を保護するために現在使用しているセキュリティ ツールとテクノロジを調べます。 検討事項:
   • データ ポリシー: 未承認のデータ共有を防ぐためにデータ ポリシーを使用していますか?
   • 暗号化: 保存時と転送時両方でデータが暗号化されていますか?
   • Identity and Access Management (IAM): 認証と承認に条件付きアクセスやPrivileged Identity Management (PIM) などのMicrosoft Entra IDの高度な機能を使用していますか?
2. セキュリティ ポリシーとガイドライン: Power Platform に固有の既存のセキュリティ ポリシーまたはガイドラインを確認します。 これらのポリシーが最新であり、現在の脅威に対処するのに十分包括的であるかどうかを検討してください。 評価すべき主な領域は次のとおりです。
   • ユーザー アクセス制御: 誰がどのデータやリソースにアクセスできるかについて明確なポリシーがありますか?
   • 開発ガイドライン: アプリとワークフローの開発のための安全なコーディング プラクティスを確立していますか? 開発者はこれらのガイドラインに簡単にアクセスできますか? これらのガイドラインに基づいて新しい開発者をトレーニングするためのプロセスはありますか?
3. 監視と監査: Power Platform 内のアクティビティを現在どのように監視および監査しているかを評価します。 効果的な監視と監査は、セキュリティインシデントの検出と対応に不可欠です。 重要な質問:
   • アクティビティ ログ: プラットフォーム内のユーザー アクティビティと変更の詳細なログをキャプチャしていますか?
   • アラートのメカニズム: 不審なアクティビティやポリシー違反に対するアラートを設定していますか?
4. 規制およびコンプライアンス要件: 組織に適用される特定の規制またはコンプライアンス要件を特定します。 たとえば、一般データ保護規則 (GDPR)、医療保険の相互運用性と説明責任 (HIPAA)、またはその他の業界固有の標準です。 Power Platform セキュリティ対策がこれらの要件に沿っていることを確認してください。 検討事項:
   • コンプライアンス監査: コンプライアンスを確保するための監査を定期的に実施していますか?
   • ドキュメント: 監査中にコンプライアンスを実証するために必要なドキュメントはありますか?

これらの側面を評価し、現在のセキュリティ体制を明確に理解した上で、セキュリティ対策を強化するための戦略的計画を策定します。

セキュリティ成熟度レベルを理解することは、Power Platform に対する堅牢なセキュリティ戦略を策定するために不可欠です。 現在のセキュリティ体制を評価して、セキュリティの実践と制御に関する自社の立ち位置を特定します。 組織を特定の成熟度レベル (初期、利用可能、効率) に分類して、明確なベースラインを確立します。 このベースラインは、次の成熟度レベルに進むために必要な特定のアクション アイテムを特定するのに役立ちます。 これらのアクション アイテムに対処することで、セキュリティ対策を強化し、データ、アプリケーション、ユーザーの保護を強化できます。

ビジネス アプリケーションにおける一般的なセキュリティの課題

AIの時代において、データ保護を取り巻く環境は急速に進化しています。 攻撃が巧妙化し、企業がAI主導のシナリオでデータを使用するケースが増えるにつれて、データアクセスの需要が高まっています。 同時に、規制や要件は、これらの新しいニーズを満たすために適応しています。 ビジネスアプリケーションは、あらゆる業界にまたがる固有のセキュリティ課題に直面しています。

ここでは、代表的な課題とそれらに対処するために Power Platform がどのように役立つかをご紹介します。

• 攻撃者を阻止するための限定的な制御: ほとんどのビジネス アプリケーションには、攻撃者がアクセスした後を防ぐための最小限の制御しかありません。 従来のセキュリティ対策では、システム内の脆弱性を悪用する高度な攻撃を阻止できないことがよくあります。
• インサイダーの脅威: 攻撃者は、多くの場合、システムを使用する正当な権限を持つインサイダーです。 これらのインサイダーは、組み込みのコントロールをバイパスし、組織内の例外を悪用する方法を知っています。 インサイダー脅威を検出して軽減するには、標準のアクセス制御を超える高度なセキュリティ対策が必要です。
• 巧妙な攻撃: 検出が最も困難な攻撃は、軽微な調整を行い、組織に害を及ぼす一方で攻撃者に利益をもたらす攻撃です。 これらの微妙な変化は、しっかりとした監視と分析がなければ、簡単に見過ごされがちです。

Power Platform は、これらの課題に効果的に対処するために設計されたさまざまなセキュリティ制御とツールを提供します。ここでは、Power Platform 機能がセキュリティ体制をサポートする方法の例をいくつか紹介します。 これらの領域の詳細については、このシリーズの他の記事を確認し、 セキュリティとガバナンスに関するドキュメント を確認して、Power Platform のセキュリティとガバナンスを設定および維持する方法について説明します。

1. 包括的な監視と統合:ビジネス アプリケーション内のアクティビティの監視のみに頼ることでは、問題を発見するのに十分ではありません。 これらのアプリケーションを他のデータ ソースと統合して、他の方法では見過ごされがちな不審なアクティビティを特定して対応する必要があります。 たとえば、クラウド フローが Dataverse から顧客情報を取得し、メールを送信していることを確認しても、それ自体は疑わしいものではない可能性があります。 ただし、クラウド フローの実行頻度、異常な地理的位置、営業時間外のアクティビティなど、他のシグナルと組み合わせると、より複雑な内部脅威を検出できます。 Power Platform と Microsoft Sentinel の統合により、高度な脅威の検出と対応が可能になります。 さまざまなソースからのデータを関連付けることで、Microsoft Sentinelは潜在的なセキュリティ上の脅威を示すパターンや異常を特定し、リスクを軽減するための予防的な対策を可能にします。

2. データ保護: Power Platform 内に データ ポリシーを 実装すると、未承認のデータ共有を防ぎ、機密情報が確実に保護されます。 これらのポリシーは、特定の組織のニーズとコンプライアンス要件を満たすように調整できます。 Power Platform 内の IP ファイアウォールにより、管理者は IP ベースのアクセス制御を定義および実施し、許可された IP アドレスのみが Power Platform 環境にアクセスできるようにすることができます。 IPファイアウォールを使用すると、組織は不正アクセスやデータ侵害に関連するリスクを軽減し、Power Platform 展開の全体的なセキュリティを強化できます。 Power Platform の Virtual Network サポートを使用すると、組織はネットワーク トラフィックを分離し、厳格なセキュリティ ポリシーを適用できます。 Virtual Network統合により、Power Platform 環境はオンプレミス ネットワークやその他のAzure サービスに安全に接続でき、データは信頼されたネットワーク境界内に保持されます。

3. Idity and Access Management (IAM): 堅牢な ID とアクセスの管理には、Microsoft Entra ID を使用します。 条件付きアクセスや多要素認証などの機能は、許可されたユーザーのみが重要なリソースにアクセスできるようにすることで、セキュリティを強化します。

4. 安全な開発プラクティス: ワークロード開発には、安全なコーディング プラクティス を確立することが不可欠です。 これらのガイドラインを開発者が簡単にアクセスできるようにし、新しい開発者にこれらのプラクティスに関するトレーニングを提供します。 この戦略は、安全なアプリケーションをゼロから構築するのに役立ちます。

5. マネージド セキュリティ: マネージド セキュリティは、高度な保護を提供し、セキュリティ管理者が顧客のデータやリソースへのアクセスを効果的に管理し、保護するためのプレミアム機能スイートです。 Microsoftの最も高度な脅威保護、データ保護とプライバシー、ID とアクセス管理、コンプライアンス機能を組み合わせて、お客様が今日のサイバーセキュリティの課題に対応できるようにします。

OWASP Top 10 のセキュリティ リスクを検討する

Open Worldwide Application Security Project ® (OWASP) は、ソフトウェア セキュリティの向上に特化した非営利の基盤です。 OWASP は、ローコード/ノーコード プラットフォームに関連する 市民開発の上位 10 個のリスクを特定しました。 このリストは、セキュリティ コミュニティからのフィードバックに基づいて定期的に更新され、関連性と包括性が維持されます。

これらのリスクは、すべてのローコード/ノーコード プラットフォームに共通しており、それらに対処するには、プラットフォーム固有のセキュリティ機能と組織のセキュリティ プロセスを組み合わせる必要があります。 ローコード/ノーコードプラットフォームを使用することで、いくつかのセキュリティリスクを軽減できますが、すべてのリスクを排除することはできません。

OWASP のガイダンスは汎用的であり、あらゆる製品や組織に適用されますが、Microsoftは、Power Platform 向けに調整された上位 10 個の低コード/コードなしのセキュリティ リスクの軽減に関する具体的なガイダンスを公開しています。 このガイダンスでは、Power Platform 環境を効果的にセキュリティ保護するために役立つ詳細な戦略とベスト プラクティスを示します。 詳細情報: MicrosoftのPower Platformにおけるローコード／ノーコードのセキュリティ リスクに関するガイダンス

これらの上位 10 のセキュリティ リスクを理解して対処することで、ローコード/ノーコード ソリューションのセキュリティを大幅に強化できます。 現在のセキュリティ上の課題と、それらがこれらのリスクとどのように一致しているかを検討します。 推奨されるセキュリティ対策を実装することで、組織のデータとアプリケーションを保護し、安全で回復力のある Power Platform 環境を確保できます。

適切なレベルのセキュリティの負担を見つける

組織内の生産性と安全性の両方を維持するために、セキュリティ対策の適切なバランスを見つけてください。 ユーザーは資産を保護するために十分なセキュリティガイダンスを必要としますが、過度に制限された対策は効率を妨げる可能性があります。 セキュリティプロトコルが煩雑すぎたり、十分に理解されていなかったりすると、ユーザーは不満を感じてそれらをバイパスしようとし、危険な「シャドーIT」プラクティスにつながる可能性があります。 このような慣行は、セキュリティの取り組みを損なうだけでなく、組織全体のリスクを増大させます。 したがって、堅牢でありながらユーザーフレンドリーなセキュリティ対策を実装し、ユーザーが資産を安全に保ちながら効率的に作業できるようにすることが不可欠です。

セキュリティは必然的に摩擦を引き起こし、プロセスを遅らせる可能性があります。 IT プロセスにおいて、どの要素が正常で、どの要素が正常でないかを特定することが重要です。

• 健康的な摩擦: 運動の抵抗が筋肉を強化するように、適切なレベルのセキュリティ摩擦を統合することで、適切なタイミングで批判的思考を促し、システムまたはアプリケーションを強化します。 このプロセスでは、設計時に攻撃者がアプリケーションやシステムを侵害しようとする方法と理由を検討し (脅威モデリングと呼ばれる)、攻撃者がソフトウェア コード、構成、または運用方法で悪用できる潜在的な脆弱性を確認、特定、修正します。

• 不健全な摩擦: 不健全な摩擦は、保護するどころか価値を妨げます。 例としては、高い誤検知率を返すツールによって生成されるセキュリティ バグ (誤報など) や、セキュリティの問題を検出または修正するための労力が攻撃の潜在的な影響をはるかに超えている場合などがあります。

セキュリティを優先する

セキュリティは、Power Platform 導入を開始するときに最初に考慮すべきであり、後手に回らないようにします。 セキュリティ要件を無視すると、深刻な法的、財務的、ビジネス上のリスクが発生し、プロジェクトが遅れる可能性があります。 また、ソリューションの全体的なスケーラビリティとパフォーマンスにも影響を与える可能性があります。

初日からセキュリティを優先します。 スケーラビリティ、パフォーマンス、コンプライアンス、ロールアウト計画、レポート、および運用の側面に対するセキュリティの影響を考慮します。 説明した概念に基づいて構築された各製品の具体例を含めます。

次のステップ

Power Platform の採用により、包括的なセキュリティ戦略は、機密データを保護し、規制基準に準拠し、企業のスケーラビリティをサポートするフレームワークを作成します。

関連情報

• ローコード セキュリティとガバナンス
• Microsoft コンプライアンス
• Microsoft Power Platformセキュリティとガバナンスに関するドキュメント
• Microsoft Copilot Studioセキュリティとガバナンスに関するドキュメント
• Microsoft Copilot Studioコンプライアンス提供
• Microsoft Power Platform の責任ある AI に関する FAQ
• Copilot Studio のための責任あるAIに関するFAQ