Azure AI Search には、Microsoft が自動的に管理するセキュリティ保護が含まれています。お客様からのアクションは必要ありません。 Microsoft が処理する内容を理解することは、お客様が担当するコントロールと構成にセキュリティの取り組みを集中するのに役立ちます。
この記事では、ネットワーク アーキテクチャ、暗号化 (転送中、使用中、保存中)、データ所在地、プライバシーの保証、コンプライアンス認定など、Microsoft の組み込み保護について説明します。 構成する必要があるセキュリティのベスト プラクティスについては、 Azure AI Search サービスのセキュリティ保護に関するページを参照してください。
Microsoft が自動的に管理するもの
Azure AI Search は、ネットワーク、データ、およびサービス操作全体にわたる包括的な組み込みのセキュリティ保護を提供します。 これらの機能は既定でアクティブであり、構成は必要ありません。
トランスポート層セキュリティ (TLS): すべての接続で、転送中の暗号化に TLS 1.2 または 1.3 が使用されます。
サービスで管理される暗号化: データは、256 ビットの Advanced Encryption Standard (AES) 暗号化を使用して保存時に暗号化されます。
内部ネットワーク セキュリティ: サービス間の呼び出しは、セキュリティで保護された Microsoft バックボーン ネットワーク経由で行われます。
コンプライアンス認定: Azure AI Search では、グローバル、リージョン、業界固有の標準の認定が維持されます。
運用上のセキュリティ: Microsoft は、インフラストラクチャのセキュリティ、修正プログラムの適用、およびサービスの更新を管理します。
ネットワーク セキュリティ アーキテクチャ
Azure AI Search では、Microsoft のセキュリティで保護されたネットワーク インフラストラクチャを使用して、検索サービスとの間、および検索サービス内のトラフィックを保護します
内部トラフィック保護
Microsoft は、内部要求をセキュリティで保護し、管理します。 これらの接続を構成または制御することはできません。 内部トラフィックはパブリック ネットワークから分離され、Microsoft のセキュリティ インフラストラクチャによって保護されます。
内部トラフィックには次のものが含まれます。
サービス間認証と承認: Microsoft Entra ID、Azure Monitor に送信されるリソース ログ、および Azure Private Link を使用する プライベート エンドポイント接続 を介した呼び出し。
組み込みのスキル処理: Azure AI Search による 組み込みのスキル処理 専用に使用される、内部でホストされている Microsoft Foundry リソースに送信される同じリージョンの要求。
セマンティック ランク付け: セマンティック ランク付けをサポートするモデルに対して行われた要求。
トランスポート層セキュリティ (TLS)
Azure AI Search では、すべての接続に TLS 1.2 または 1.3 が適用されます。 TLS 1.3 は、新しいシステムの既定値です。 以前の TLS バージョン (1.0 および 1.1) はサポートされていません。
すべてのエンドポイントでは、ポート 443 で HTTPS が必要です。 クライアント システムは TLS 1.2 以降をサポートする必要があります。 実装ガイダンスについては、次を参照してください。
同じリージョンの Azure Storage と Azure AI Search
Azure Storage と Azure AI Search が同じリージョンにある場合、ネットワーク トラフィックはプライベート IP アドレス経由でルーティングされ、Microsoft バックボーン ネットワークで発生します。 プライベート IP アドレスが使用されるため、これらの接続用にストレージ アカウントのネットワーク セキュリティ用に IP ファイアウォールまたはプライベート エンドポイントを構成することはできません。
この同じリージョンの最適化により、ネットワーク分離によるセキュリティを維持しながら、高パフォーマンスと低待機時間が保証されます。 トラフィックが Microsoft ネットワーク インフラストラクチャから離れることはありません。
データの暗号化
Azure AI Search では、複数のレイヤーですべての顧客データが自動的に暗号化されます。
転送中のデータ
Azure AI Search との間で送受信されるすべてのデータは、TLS 1.2 以降を使用して暗号化されます。 このデータには以下が含まれます。
- 検索サービス エンドポイントへのクライアント アプリケーション要求
- 検索サービスからクライアント アプリケーションへの応答
- インデックス管理、クエリ操作、およびインデックス作成に対する API 要求
転送中のデータは、クライアントと検索サービスの間でエンドツーエンドで保護されます。 内部サービス間通信の場合、暗号化は Microsoft バックボーン ネットワーク経由で行われます。
使用中のデータ
既定では、Azure AI Search は標準の Azure インフラストラクチャに検索サービスをデプロイします。 このインフラストラクチャでは、保存中および転送中のデータが暗号化されますが、メモリ内でアクティブに処理されている間はデータは保護されません。
使用中のデータをハードウェアベースで保護する必要があるシナリオでは、Azure AI Search によってコンフィデンシャル コンピューティングが提供されます。 このコンピューティングの種類では、リージョンの可用性が制限され、特定の機能が無効または制限され、検索サービスの実行コストが増加します。 詳細については、「 (省略可能) コンフィデンシャル コンピューティングを有効にする」を参照してください。
静止データ
Azure AI Search では、Microsoft マネージド キーを使用した 256 ビット AES 暗号化 を使用して、保存されているすべてのデータが自動的に暗号化されます。 これは、データ ディスクと一時ディスクの両方のインデックス、シノニム マップ、オブジェクト定義 (インデクサー、データ ソース、スキルセット) に適用されます。 詳細については、 保存時の Azure 暗号化に関するページを参照してください。
サービスで管理される暗号化:
- 組み込みで自動です (構成は必要ありません)
- すべてのリージョンのすべての価格レベルで使用できます
- FIPS 140-2 準拠の暗号化を使用する
独自の暗号化キーを管理するようにカスタマー マネージド キー (CMK) を構成できます。 CMK は、サービスで管理される暗号化の上に 2 つ目の暗号化レイヤーを追加します。 詳細については、「 (省略可能) カスタマー マネージド キー暗号化の追加」を参照してください。
データの保存場所
検索サービスを作成するときは、 Azure 地域内のリージョンを選択します。 Azure AI Search は、その地域内でデータを格納して処理しますが、Microsoft は高可用性のために同じ地域内の他のリージョンにデータをレプリケートする場合があります。 例外はブラジル南部で、データはリージョン内にとどまります。
別のリージョンの Azure Storage (エンリッチメント キャッシュ、デバッグ セッション、ナレッジ ストア) に書き込む機能を構成しない限り、データは地理的な場所に留められます。
オブジェクト名 (インデックス、フィールド、インデクサー) も、選択したリージョンの外部で処理される場合があります。 これらの名前は、Microsoft がサービス サポートに使用するテレメトリ ログに表示されます。 機密データをオブジェクト名に配置しないでください。
詳細については、以下を参照してください:
プライバシーとデータの処理
Microsoft は、Azure AI Search を使用する際のデータの保護とプライバシーの尊重に取り組んでいます。
モデル トレーニングに使用される顧客データがない
Microsoft は、組み込みのスキル、セマンティック ランク付け、その他の AI 機能など、モデルのトレーニングや改善に Azure AI Search の顧客データを使用しません。 ドキュメント、クエリ、およびその他のデータは、構成された検索サービスを提供および運用するためにのみ使用されます。
データ記録
Azure AI Search ではユーザー ID はログに記録されないため、特定のユーザーに関する情報についてはログを参照できません。 ただし、サービスはログの作成、読み取り、更新、および削除 (CRUD) 操作を実行します。これは、特定のアクションを実行したユーザーを特定するために他のログと関連付けることができる場合があります。
リソース ログキャプチャ:
- 管理操作 (サービスの作成、構成の変更)
- クエリ操作 (クエリ テキストは含まれますが、ユーザー ID は含まれません)
- インデックス作成操作 (ドキュメントの追加、更新、削除)
リソース ログでは、次の情報はキャプチャされません。
- 個々のユーザー ID
- ユーザーに関する個人情報
- ドキュメントの内容の詳細 (インデックスが作成されているドキュメントに関するメタデータのみ)
ログの設定の詳細については、「 Azure AI Search の監視 と クエリ要求の監視」を参照してください。
コンプライアンスと認定
Azure AI Search は、定期的なサードパーティ監査を受け、ISO 27001、ISO 27018、ISO 27701、SOC2、FedRAMP、HIPAA、GDPR などのグローバル、地域、政府、および業界固有の標準に対する認定を維持します。
完全な認定リスト、監査レポート、コンプライアンスドキュメントについては、以下を参照してください。
共同責任モデル
Azure AI Search は、 共有責任モデルの下で動作します。 Microsoft は、この記事で説明するインフラストラクチャと組み込みのプラットフォーム機能をセキュリティで保護します。 特定のデプロイのセキュリティコントロールを構成する責任があります。
Microsoft は 、物理的なセキュリティ、ネットワーク インフラストラクチャ、プラットフォーム セキュリティ、既定の暗号化 (転送中、使用中、保存中)、コンプライアンス認定、インフラストラクチャの更新を管理します。
ネットワーク アクセス制御、認証と承認、送信接続、ドキュメント レベルのアクセス許可、監視とアラート、オプションの CMK とコンフィデンシャル コンピューティングを構成します。