このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Microsoft Fabric に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Microsoft Fabric に適用される関連ガイダンスによってグループ化されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために、有料の Microsoft Defender プランが必要になる場合があります。
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク - ネットワーク セキュリティ」を参照してください。
NS-1: ネットワークセグメント化の境界を確立する
ガイダンス: ノートブック、lakehouses、Spark ジョブ定義の マネージド プライベート エンドポイントを作成して使用 し、プライベート エンドポイントの背後にあるデータソースに安全に接続します。
責任: 共有
NS-2: ネットワーク制御を使用してクラウド ネイティブ サービスをセキュリティで保護する
ガイダンス: Microsoft Fabric では、Fabric テナントまたはワークスペースをプライベート リンク エンドポイントに接続し、パブリック インターネット アクセスを無効にする機能がサポートされています
注: Microsoft Fabric は、認証プロバイダーとして Microsoft Entra ID に依存する SaaS サービスです。 SaaS サービスの受信ネットワーク トラフィック制御は、Microsoft Entra ID 条件付きアクセス ポリシーを使用して実現できます。
責任: 共有
NS-3: エンタープライズ ネットワークのエッジでファイアウォールをデプロイする
ガイダンス: Microsoft Fabric は、Azure インフラストラクチャでホストされる SaaS オファリングとして、よく知られている一般的な攻撃ベクトルに対して組み込まれている自動保護をいくつか備えています。
責任: Microsoft
NS-4: 侵入検出および侵入防止システム (IDS/IPS) をデプロイする
ガイダンス: Microsoft Fabric には、ネットワーク侵入検出および侵入防止システム (IDS/IPS) の明示的な組み込み機能はありません。 Microsoft Fabric は、Azure 基本サービス上に構築された Azure Core サービスであり、よく知られている一般的な攻撃ベクトルと 、お客様が構成可能なオプションのために組み込まれた自動保護を備えています。 Microsoft Fabric は、お客様がアクティビティの監視に利用できるアクティビティログと監査ログへのアクセスを提供します。
責任: 共有
NS-5: DDoS 保護をデプロイする
ガイダンス: Microsoft Fabric には、一般的な攻撃シナリオに対する DDoS 保護が組み込まれています。 これらは Microsoft によって管理および制御されます。
責任: Microsoft
NS-6: Web アプリケーション ファイアウォールをデプロイする
ガイダンス: Microsoft Fabric には、Microsoft によって管理および制御される WAF が組み込まれています。
責任: Microsoft
NS-7: ネットワーク セキュリティ構成を簡略化する [N/A]
ガイダンス: なし。 Microsoft Fabric では、基になる構成は公開されません。これらの設定は Microsoft によって管理されます。
NS-8: 安全でないサービスとプロトコルを検出して無効にする [N/A]
ガイダンス: なし。 Microsoft Fabric では、基になる構成は公開されません。これらの設定は Microsoft によって管理されます。
NS-9: オンプレミスまたはクラウド ネットワークをプライベートに接続する
ガイダンス: Microsoft Fabric では、 仮想ネットワーク と オンプレミスのデータ ゲートウェイがサポートされています。
責任: お客様
NS-10: ドメイン ネーム システム (DNS) のセキュリティを確保する [N/A]
ガイダンス: なし。 Microsoft Fabric では、基になる DNS 構成は公開されません。これらの設定は Microsoft によって管理されます。
ID 管理
詳細については、「Microsoft クラウド セキュリティ ベンチマーク - ID 管理」を参照してください。
IM-1: 一元化された ID と認証システムを使用する
ガイダンス: Microsoft Fabric は、Azure の既定の ID およびアクセス管理サービスである Microsoft Entra ID と統合されています。 組織の ID とアクセス管理を管理するには、Microsoft Entra ID を標準化する必要があります。
Microsoft Entra ID のセキュリティ保護は、組織のクラウド セキュリティプラクティスにおいて高い優先順位である必要があります。 Microsoft Entra ID は、Microsoft のベスト プラクティスの推奨事項に対する ID セキュリティ体制の評価に役立つ ID セキュリティ スコアを提供します。 このスコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を改善します。
注: Microsoft Entra ID は、Microsoft アカウントを持たないユーザーが外部 ID を使用してアプリケーションとリソースにサインインできるようにする外部 ID をサポートしています。 Microsoft Fabric ゲスト ユーザーのシナリオについては、以下の B2B ページを参照してください。
責任: お客様
IM-2: ID と認証システムを保護する
ガイダンス: 組織のクラウド セキュリティプラクティスにおいて、ID と認証システムを優先度の高いものとしてセキュリティで保護します。 Microsoft Entra ID セキュリティ ベースラインと Microsoft Entra ID ID セキュリティ スコアを使用して、Microsoft Entra ID ID のセキュリティ体制を評価し、セキュリティと構成のギャップを修復します。
責任: お客様
IM-3: アプリケーション ID を安全かつ自動的に管理する
ガイダンス: リソースへのアクセスには、人間のアカウントではなくマネージド ID を使用します。 資格情報の公開を減らし、セキュリティを強化するために資格情報の自動ローテーションをサポートします。 Microsoft Fabric、Power BI、および Power BI Embedded では、ワークスペース ID とサービス プリンシパルの使用がサポートされています。 Power BI Embedded では、サービス プリンシパル プロファイルがサポートされています。
責任: お客様
IM-4: サーバーとサービスを認証する
ガイダンス: TLS を使用してリモート サーバーを認証し、信頼できる接続を確保します。 クライアントは、信頼された機関からのサーバー証明書を検証します。 お客様は、データ インジェスト プロセスが適切にセキュリティで保護されていることを確認する必要があります。 Microsoft Fabric では、すべての接続に TLS 1.2 以降が適用されます。
責任: お客様
IM-5: アプリケーション アクセスにシングル サインオン (SSO) を使用する
ガイダンス: シングル サインオン (SSO) を使用して、クラウド サービスとオンプレミス環境全体のアプリケーションやデータを含むリソースに対する認証のユーザー エクスペリエンスを簡素化します。
Microsoft Fabric では、Microsoft Entra ID を使用して、Azure リソース、クラウド アプリケーション、およびオンプレミス アプリケーションに ID とアクセス管理を提供します。 これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。 これによってシングル サインオン (SSO) が可能となり、オンプレミスとクラウドにある組織のデータとリソースへのアクセスを管理し、セキュリティで保護することができます。
責任: お客様
IM-6: 強力な認証コントロールを使用する
ガイダンス: リソースへのすべてのアクセスに対して、一元化された ID と認証管理システムを使用して強力な認証制御を適用します。
Azure で MFA を有効にする方法
Microsoft Fabric は、Microsoft Entra ID を使用してユーザー (またはサービス プリンシパル) を認証します。 認証されると、ユーザーは Microsoft Entra ID からアクセス トークンを受け取ります。
責任: お客様
IM-7: 条件に基づいてリソースへのアクセスを制限する
ガイダンス: ゼロ トラスト アクセス モデルの一部として、信頼されたシグナルを明示的に検証して、リソースへのユーザー アクセスを許可または拒否します。 Microsoft Entra ID 条件付きアクセスでは、多要素認証を適用し、Intune に登録されたデバイスのみが特定のサービスにアクセスできるようにし、ユーザーの場所と IP 範囲を制限することで、テナントのセキュリティが確保されます。
責任: お客様
IM-8: 資格情報とシークレットの公開を制限する
ガイダンス: Fabric ワークスペースのアイデンティティは、資格情報を必要としないマネージド サービス プリンシパルであり、Microsoft Entra がサポートするリソースに接続して Fabric の項目に対する認証を提供します。
Microsoft Fabric 項目の場合は、コード内の資格情報を識別するために資格情報スキャナーを実装することをお勧めします。 資格情報スキャナーでは、検出された資格情報を Azure Key Vault などのより安全な場所に移動することも推奨されます。
GitHub では、ネイティブ シークレット スキャン機能を使用して、コード内の資格情報またはその他の形式のシークレットを識別できます。
責任: お客様
IM-9: 既存のアプリケーションへのユーザー アクセスをセキュリティで保護する
ガイダンス: Microsoft Fabric では、オンプレミス データ ゲートウェイ経由でオンプレミスのデータ ソースに接続し、オンプレミス環境から Dataflow Gen2 やセマンティック モデルなどの Fabric 項目に安全にデータを転送することをサポートしています。
責任: お客様
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク - Privileged Access |Microsoft Learn
PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する
ガイダンス: Fabric やグローバル管理者など、ビジネスに影響が大きいすべての Microsoft Fabric アカウントを特定してください。 Microsoft Fabric コントロール プレーン、管理プレーン、およびデータ/ワークロード プレーン内の特権/管理アカウントの数を制限します。 直接または間接的な管理アクセスを使用して、すべてのロールをセキュリティで保護する必要があります。 タスク固有のアクセス許可 (管理者 API への SPN 読み取り専用アクセスなど) で Privileged Identity Management (PIM) とサービス プリンシパルを使用することを検討してください。 容量とワークスペースの管理者に設定を委任するときは注意してください
責任: お客様
PA-2: ユーザー アカウントとアクセス許可の継続的なアクセスを回避する [N/A]
ガイダンス: N/A
PA-3: ID とエンタイトルメントのライフサイクルを管理する
ガイダンス: 自動化されたプロセスまたはその他の適切な技術的制御を使用して、テナントとその項目へのアクセス許可を監視および管理します。
責任: お客様
PA-4: ユーザー アクセスを定期的に確認して調整する
ガイダンス: Microsoft Fabric サービス管理者は、アクティビティまたは Microsoft 365 監査ログに基づくカスタム レポートを使用して、テナント レベルですべての Fabric リソースの使用状況を分析できます。 REST API または PowerShell コマンドレットを使用してアクティビティをダウンロードできます。 また、日付範囲、ユーザー、アクティビティの種類でアクティビティ データをフィルター処理することもできます。
アクティビティ ログにアクセスするには、次の要件を満たす必要があります。
グローバル管理者または Fabric サービス テナント管理者である必要があります。
Power BI Management コマンドレットをローカルにインストールしたか Azure Cloud Shell で Power BI Management コマンドレットを使用します。
これらの要件が満たされたら、以下のガイダンスに従って、Fabric 内のユーザー アクティビティを追跡できます。
通常のユーザー アクセス レビューを実行して、ユーザーとビジネス機能に基づいてアクセス許可が適切に設定されていることを確認します。
責任: お客様
PA-5: 緊急アクセスを設定する [N/A]
ガイダンス: N/A
PA-6: 特権アクセス ワークステーションを使用する
ガイダンス: セキュリティで保護された分離ワークステーションは、管理者、開発者、重要なサービスオペレーターなどの機密性の高いロールのセキュリティにとって非常に重要です。 Microsoft Fabric の管理に関連する管理タスクには、安全性の高いユーザー ワークステーションや Azure Bastion を使用します。 Microsoft Entra ID、Microsoft Defender Advanced Threat Protection (ATP)、Microsoft Intune を使用して、管理タスク用のセキュリティで保護されたマネージド ユーザー ワークステーションを展開します。 セキュリティで保護されたワークステーションを一元管理して、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を実施できます。
条件付きアクセス ポリシーを使用して、許可された IP 範囲の準拠デバイスからのみ高い特権ログインを適用します。
責任: お客様
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
ガイダンス: アクセス許可をきめ細かく管理するには、十分な管理 (最小限の特権) の原則に従います。 ロールベースのアクセス制御 (RBAC) などの機能を使用して、ロールの割り当てを使用してリソース アクセスを管理します。 PA-3 のアクセス許可モデルを参照してください。
責任: お客様
PA-8 クラウド プロバイダーサポートのアクセス プロセスを決定する
ガイダンス: ベンダー サポート要求を要求および承認するための承認プロセスとアクセス パスを確立し、セキュリティで保護されたチャネルを介してデータに一時的にアクセスします。 Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して、Microsoft によって行われた各データ アクセス要求を確認して承認または拒否します。
責任: お客様
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク - データ保護 |Microsoft Learn
DP-1: 機密データの検出、分類、ラベル付け
ガイダンス: Microsoft Fabric アイテムに対して Microsoft Purview Information Protection の秘密度ラベルを使用して、未承認のデータ アクセスや漏洩から機密コンテンツを保護します。 Microsoft Purview Information Protection の秘密度ラベルを使用して、Microsoft Fabric サービスのレポート、ダッシュボード、データセット、データフロー、およびその他の項目を分類してラベル付けし、Microsoft Fabric からコンテンツが Excel、PowerPoint、PDF ファイルなどのラベルをサポートするファイル形式にエクスポートされるときに、承認されていないデータ アクセスや漏洩から機密コンテンツを保護します。
責任: お客様
DP-2: 機密データを対象とする異常と脅威を監視する
ガイダンス: Microsoft Purview データ損失防止ポリシーを使用して機密データのアップロードを検出し、リスクの自動修復の問題をトリガーします。
DP-3: 転送中の機密データの暗号化
ガイダンス: MICROSOFT Fabric リソースに接続するすべてのクライアントとデータ ソースが TLS v1.2 以降をネゴシエートできるように、HTTP トラフィックを確保します。
責任: お客様
DP-4: 保存データ暗号化を既定で有効にする
ガイダンス: Microsoft Fabric は、保存中および転送中のすべてのデータを暗号化します。 既定では、Microsoft Fabric は Microsoft マネージド キーを使用してデータを暗号化します。
責任: Microsoft
DP-5: 必要に応じて保存データの暗号化でカスタマー マネージド キー オプションを使用する
ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キー オプションが必要なユース ケースとサービス スコープを定義します。 Microsoft Fabric サービスでカスタマー マネージド キーを使用して保存時のデータ暗号化を有効にして実装します。 組織は、Premium 容量のワークスペースでホストされているインポートされたセマンティック モデルの保存データの暗号化に独自のキーを使用することを選択できます。
責任: お客様
DP-6: セキュリティで保護されたキー管理プロセスを使用する
ガイダンス: キーの生成、配布、およびストレージには、セキュリティで保護されたキー コンテナー サービスを使用します。 該当する標準で必要とされる定義済みのスケジュールに基づいて、およびキーの廃止または漏洩が発生した場合に、キーをローテーションして取り消してください。
注: Power BI BYOK では、AKV Premium への HSM キーのインポートがサポートされています。
責任: お客様
DP-7: セキュリティで保護された証明書管理プロセスを使用する [N/A]
ガイダンス: N/A
DP-8: キーと証明書リポジトリのセキュリティを確保する [N/A]
ガイダンス: N/A
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク - 資産管理 |Microsoft Learn
AM-1: 資産インベントリとそのリスクを追跡する
ガイダンス: SaaS サービスとして、ハードウェアとデバイスの物理インベントリは Microsoft によって監視されます。 Fabric リソースを監視するには、Fabric Scanner API を使用して、組織の Fabric 項目のメタデータ スキャンを設定します。
責任: 共有
AM-2: 承認済みサービスのみを使用する
ガイダンス: Azure ポリシーを使用して、ファブリック容量をプロビジョニングできるユーザーを制御します。 ユーザーがテナントで作成およびアクセスできるワークロードを監査および制限することで、承認された Microsoft Fabric ワークロードのみをテナントで使用できるようにします。 このレベルの制御を提供するテナント、容量、またはワークスペース管理者の委任されたコントロールの組み合わせを使用します。
責任: お客様
AM-3: 資産ライフサイクル管理のセキュリティを確保する
ガイダンス: 影響が大きい可能性のある変更のために資産ライフサイクル管理プロセスに対処するセキュリティ ポリシー/プロセスを確立または更新します。 これらの変更には、Microsoft Fabric テナント、容量、ワークスペースへのアクセス、データ秘密度レベル、ネットワーク構成、および管理特権の割り当ての変更が含まれます。
不要になった Microsoft Fabric リソースを特定して削除します。
責任: お客様
AM-4: 資産管理へのアクセスを制限する
ガイダンス: テナント、ワークスペース、成果物にユーザーのアクセス許可を割り当てる場合は、最小限の特権の原則を使用します。 高い特権ロールを持つユーザーの数が制限されていることを確認します。 Microsoft Fabric テナント内のアイテムの誤った変更や悪意のある変更を回避するために、ユーザーの Microsoft Fabric 管理機能へのアクセスを制限します。
責任: お客様
AM-5: 仮想マシンで承認されたアプリケーションのみを使用する [N/A]
ガイダンス: N/A
ログと脅威検出
詳細については、 Microsoft クラウド セキュリティ ベンチマーク - ログ記録と脅威検出 |Microsoft Learn
LT-1: 脅威検出機能を有効にする
ガイダンス: 脅威検出シナリオをサポートするには、既知のリソースの種類と予想される脅威と異常をすべて監視します。 ログ データ、エージェント、またはその他のデータ ソースから高品質のアラートを抽出して誤検知を減らすために、アラートのフィルター処理と分析ルールを構成します。 Microsoft Fabric テナントでのアクティビティと Microsoft 365 のログ記録は、既定で有効になっています。
copilot の AI & データ セキュリティとコンプライアンス保護のための DSPM の に関する考慮事項
責任: お客様
LT-2: Azure ID とアクセス管理の脅威検出を有効にする
ガイダンス: Microsoft Fabric から SIEM にログを転送します。これを使用して、カスタム脅威検出を設定できます。 さらに、Power BI の Microsoft Defender for Cloud Apps コントロールを使用して、Power BI で Microsoft Defender for Cloud Apps コントロールを使用するガイドに従って異常検出を有効にします。
責任: お客様
LT-3: セキュリティ調査のためにログ記録を有効にする
ガイダンス: Microsoft Fabric のアクティビティ ログと監査ログは、既定で有効になっています。 高価値の資産に対してワークスペース レベルで使用可能で構成可能な追加のログ記録と監視オプションがあります。
責任: お客様
LT-4: セキュリティ調査のためにネットワーク ログを有効にする
ガイダンス: Microsoft Fabric はフル マネージド SaaS オファリングであり、基になるネットワーク構成とログ記録は Microsoft の責任です。 プライベート リンクを使用しているお客様は、構成できるログ記録と監視を利用できます。
責任: 共有
LT-5: セキュリティ ログの管理と分析を一元化する
ガイダンス: Microsoft Fabric は、Power BI アクティビティ ログと統合監査ログという 2 つの場所でログを一元化します。 これらのログにはどちらも Microsoft Fabric 監査データの完全なコピーが含まれていますが、次に示すように、いくつかの重要な違いがあります。
統合監査ログ:
Power BI および Microsoft Fabric 監査イベントに加えて、SharePoint Online、Exchange Online、Dynamics 365、およびその他のサービスからのイベントが含まれます。
View-Only Audit Logs (表示専用監査ログ) または監査ログのアクセス許可を持つユーザー (グローバル管理者や監査人など) のみがアクセス権を持ちます。
グローバル管理者と監査者は、Microsoft Defender XDR ポータルと Microsoft Purview ポータルを使用して、統合監査ログを検索できます。
グローバル管理者と監査者は、Microsoft 365 管理 API とコマンドレットを使用して監査ログ エントリをダウンロードできます。
監査データを 180 日間保持します。
テナントが別の Azure リージョンに移動された場合でも、監査データを保持します。
Power BI アクティビティ ログ:
Microsoft Fabric と Power BI の監査イベントのみが含まれます。
グローバル管理者と Microsoft Fabric サービス管理者はアクセスできます。
グローバル管理者と Microsoft Fabric サービス管理者は、Power BI REST API と管理コマンドレットを使用してアクティビティ ログ エントリをダウンロードできます。
アクティビティ データを 30 日間保持します。
テナントが別の Azure リージョンに移動された場合、アクティビティ データは保持されません。
詳細については、次の参考資料を参照してください。
責任: お客様
LT-6: ログ ストレージのリテンション期間を構成する
ガイダンス: コンプライアンス、規制、ビジネス要件に従って、監査ログのストレージ保持ポリシーを構成します。
責任: お客様
LT-7: 承認された時刻同期ソースを使用する
ガイダンス: Microsoft Fabric では、独自の時刻同期ソースの構成はサポートされていません。 Microsoft Fabric サービスは、Microsoft 時刻同期ソースに依存しており、構成のためにお客様に公開されることはありません。
責任: Microsoft
インシデント対応
Microsoft クラウド セキュリティ ベンチマーク - インシデント対応 |Microsoft Learn
IR-1: 準備 - インシデント対応計画と処理プロセスを更新する
ガイダンス: 組織のインシデント対応プロセスを更新して、Microsoft Fabric でのインシデントの処理を含めます。 使用される Microsoft Fabric ワークロードと、Microsoft Fabric に依存するアプリケーションに基づいて、インシデント対応計画とプレイブックをカスタマイズして、クラウド環境のインシデントへの対応に使用できるようにします。
責任: お客様
IR-2: 準備 – インシデント通知を設定する
ガイダンス: Microsoft Defender for Cloud でセキュリティ インシデントの連絡先情報を設定します。 この連絡先情報は、お客様のデータが違法または未承認の当事者によってアクセスされたことが Microsoft Security Response Center (MSRC) によって検出された場合に、お客様に連絡するために Microsoft によって使用されます。 また、インシデント対応のニーズに基づいて、さまざまな Azure サービスでインシデント アラートと通知をカスタマイズするオプションもあります。
責任: お客様
IR-3: 検出と分析 – 高品質のアラートに基づいてインシデントを作成する
ガイダンス: Microsoft Defender for Cloud は、多くの Azure 資産にわたって高品質のアラートを提供します。 Microsoft Defender for Cloud データ コネクタを使用して、アラートを Microsoft Sentinel にストリーミングできます。 Microsoft Sentinel を使用すると、高度なアラート ルールを作成して、調査のためにインシデントを自動的に生成できます。
エクスポート機能を使用して Microsoft Defender for Cloud のアラートと推奨事項をエクスポートし、Microsoft Fabric やその他の Azure リソースに対するリスクを特定します。 アラートと推奨事項を手動でエクスポートするか、または継続的にエクスポートします。
責任: お客様
IR-4: 検出と分析 - インシデントの調査
ガイダンス: 既定で有効になっている Microsoft Fabric アクティビティログと監査ログにアクセスして使用する方法について説明します。 価値の高い資産に対してオプションのログ記録を有効にします (LT-3 を参照)。 Microsoft Sentinel にログをエクスポートすることを検討してください。 Microsoft Fabric が統合するサービスによって提供されるログ (Microsoft Entra ID など) を活用します。 注: アクティビティ ログでは、Power BI または Fabric へのユーザー のサインインは追跡されません。監査ログでは、サービスのサインインがキャプチャされます。レコードの種類のカテゴリは異なります (たとえば、Power BI および Microsoft Fabric イベントに PowerBIAudit を使用し、AzureActiveDirectoryStsLogon を使用してサービス ログインを追跡します)。
責任: お客様
IR-5: 検出と分析 – インシデントの優先順位を付ける
ガイダンス: Microsoft Defender for Cloud では、各アラートに重大度が割り当てられ、最初に調査する必要があるアラートに優先順位を付けることができます。 重大度は、アラートの発行に使用される検出または分析における Microsoft Defender for Cloud の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったという信頼レベルに基づいています。
同様に、Microsoft Sentinel では、分析ルールに基づいて、重大度やその他の詳細が割り当てられたアラートとインシデントが作成されます。 分析ルール テンプレートを使用し、インシデントの優先順位付けをサポートするために組織のニーズに応じてルールをカスタマイズします。 Microsoft Sentinel の自動化ルールを使用して、脅威の対応を管理および調整し、セキュリティ運用のチームの効率と有効性を最大化します。これには、インシデントを分類するためのタグ付けも含まれます。
責任: お客様
IR-6:封じ込め、排除、復旧 – インシデントの処理を自動化する
ガイダンス: Microsoft Defender for Cloud と Microsoft Sentinel のワークフロー自動化機能を使用して、アクションを自動的にトリガーするか、プレイブックを実行して受信セキュリティ アラートに応答します。 プレイブックは、通知の送信、アカウントの無効化、問題のあるネットワークの分離などのアクションを実行します。
Azure の実装と追加のコンテキスト:
Microsoft Defender for Cloud で自動脅威対応を設定する
責任: お客様
IR-7: インシデント発生後のアクティビティ - 学習した教訓を実施し、証拠を保持する
ガイダンス: 学習したアクティビティの結果を使用して、インシデント対応計画、プレイブック (Microsoft Sentinel プレイブックなど) を更新し、結果を環境に再組み込み (ログ記録や脅威検出など)、Microsoft Fabric でのインシデントの検出、対応、処理における将来の機能を向上させます。
Azure Storage アカウントなどのストレージ内のログなど、"検出と分析 - インシデントの調査手順" の間に収集された証拠を保持して、不変のリテンション期間を確保します。
責任: お客様
体制と脆弱性の管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク - 体制と脆弱性管理 |Microsoft Learn
PV-1: セキュリティで保護された構成を定義して確立する
ガイダンス: Microsoft Fabric Microsoft Cloud Security Benchmark ベースラインを使用して、各ワークロードの構成基準を定義します。 Microsoft Fabric リソース全体で必要になる可能性があるセキュリティ制御と構成については、Microsoft Fabric のセキュリティ ドキュメントを参照してください。
責任: お客様
PV-2: セキュリティで保護された構成を監査して適用する
ガイダンス: Microsoft Defender for Cloud を使用して、Microsoft Fabric Azure リソースの構成を監査および適用するように Azure Policy を構成します。 Azure Monitor を使用して、リソースで構成の偏差が検出されたときにアラートを作成します。
Azure Policy (例: [拒否] ルール) を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
Azure Policy でサポートされていないリソース構成の監査と適用の場合は、カスタム スクリプトを記述するか、サード パーティ製ツールを使用して構成の監査と適用を実装することが必要になる場合があります。 管理者 REST API を使用して Microsoft Fabric インスタンスを監視します。
責任: お客様
PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する
ガイダンス: 承認された担当者のみが、Spark ジョブなどの Microsoft Fabric コンピューティング リソースをプロビジョニング、管理、アクセスできることを確認します。 それ以外の場合、Microsoft Fabric はフル マネージドの SaaS オファリングであり、サービスの基になるコンピューティング リソースは Microsoft によってセキュリティで保護され、管理されます。
責任: 共有
PV-4: コンピューティング リソースのセキュリティで保護された構成を監査して適用する
ガイダンス: Microsoft Fabric はフル マネージド SaaS オファリングであり、サービスの基になるコンピューティング リソースは Microsoft によってセキュリティで保護され、管理されます。
責任: Microsoft
PV-5: 脆弱性評価を実行する
ガイダンス: Microsoft セキュリティ チーム、サード パーティ ベンダー、エンジニアリング チームは、取得した認定基準と SDL プラクティスの要件に従って、Microsoft Fabric 製品とサービスの定期的な厳格な脆弱性テストと評価を行います。 お客様は、Microsoft Fabric リソースに対する独自の脆弱性評価を、すべてのレベルで固定スケジュールまたはオンデマンドで実行することを選択できます。
責任: Microsoft
PV-6: 脆弱性を迅速かつ自動的に修復する
ガイダンス: Microsoft Fabric はフル マネージド SaaS オファリングであり、サービスの基になるコンピューティング リソースは Microsoft によってスキャンおよび管理されます。
責任: Microsoft
PV-7: 定期的なレッド チーム操作を実施する
ガイダンス: 必要に応じて、Microsoft Fabric リソースの実装と使用に関する侵入テストまたは赤いチーム アクティビティを実施し、すべての重要なセキュリティ結果の修復を確実に行います。 フル マネージド SaaS オファリングとして、Microsoft Fabric は定期的な侵入テストを実行します。ただし、お客様の実装は、お客様がセキュリティで保護する責任を負います。
Microsoft クラウド侵入テストの契約規則に従って、侵入テストが Microsoft ポリシーに違反しないようにします。 Microsoft が管理するクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming とライブ サイト侵入テストの Microsoft の戦略と実行を使用します。
責任: 共有
エンドポイントのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク - エンドポイント セキュリティ |Microsoft Learn
ガイダンス: Microsoft Fabric では、お客様がエンドポイント検出と応答 (EDR) 保護を構成する必要がある顧客向けのコンピューティング リソースはデプロイされません。 Microsoft Fabric の基になるインフラストラクチャは、マルウェア対策と EDR 処理を含む Microsoft によって処理されます。
詳細については、「Azure セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
責任: Microsoft
バックアップと回復
詳細については、 Microsoft クラウド セキュリティ ベンチマーク - バックアップと回復 |Microsoft Learn
BR-1: 定期的な自動バックアップを確保する
ガイダンス: Power BI は、組み込みのフル マネージド サービスです。 価値の高い Power BI 資産には、追加のバックアップ オプションがあります。 より広範な Microsoft Fabric バックアップ オプションも利用できます。 Microsoft Fabric の信頼性 |Microsoft Learn。
Fabric には、OneLake の内外に格納されているデータとプロセスのバックアップとディザスター リカバリーに関するエクスペリエンス固有のガイダンスが用意されています。
OneLake にデータが格納されている場合: Fabric では、OneLake に格納されているデータに対してリージョン間レプリケーションが提供されます。 お客様は、geo 冗長性の要件に基づいて、この機能をオプトインまたはオプトアウトできます。 地域的な災害シナリオでは、Fabric はデータ アクセスを保証しますが、一定の制限があります。 フェールオーバー後に新しい項目の作成または変更は制限されますが、OneLake 内の既存のデータに引き続きアクセスでき、そのままの状態を維持することに主な焦点が当たります。 Fabric には、データの復旧プロセスを顧客に案内するための構造化された一連の手順が用意されています。
OneLake の外部にデータが格納されている場合:お客様は、OneLake の外部に格納されている重要なデータとプロセスを、ディザスター リカバリー計画に合わせて別のリージョンにコピーする必要があります。
Power BI には 既定でディザスター リカバリーが含まれており、アクティブ化は必要ありません。 Power BI では 、Azure Storage geo 冗長レプリケーション と Azure SQL geo 冗長レプリケーション を使用して、可用性を高め、リスクを軽減するために、バックアップ インスタンスが他のリージョンに存在することを確認します。 中断中は、Power BI 項目 (セマンティック モデル、レポート、ダッシュボード) に読み取り専用モードでアクセスでき、継続的な分析と意思決定がサポートされます。
BR-2: バックアップと回復データを保護する
ガイダンス: Power BI は、Microsoft によって管理される BCDR が組み込まれているフル マネージド サービスです。 Fabric には、データの復旧プロセスを顧客に案内するための構造化された一連の手順が用意されています。
責任: 共有
BR-3: バックアップを監視する
ガイダンス: Power BI は、Microsoft によって管理される BCDR が組み込まれているフル マネージド サービスです。 お客様によって構成された Power BI および Microsoft Fabric 項目のバックアップは、お客様が管理および監視する必要があります。
責任: 共有
BR-4: バックアップを定期的にテストする
ガイダンス: Power BI は、Microsoft によって管理される BCDR が組み込まれているフル マネージド サービスです。 Microsoft エンジニアリング チームは、定期的な BCDR テストを実行します。お客様は BCDR イベントをシミュレートしたり、テナント データの Microsoft 所有のバックアップをテストしたりすることはできません。 顧客によって作成されたセマンティック モデルのバックアップや Microsoft Fabric 項目のバックアップなど、顧客が作成したバックアップと所有するバックアップは、お客様の責任です。
責任: 共有