Visual Studio App Center のセキュリティとコンプライアンス
重要
Visual Studio App Center は、2025 年 3 月 31 日に廃止される予定です。 完全に廃止されるまで Visual Studio App Center を引き続き使用できますが、移行を検討できる推奨される代替手段がいくつかあります。
App Center はセキュリティを真剣に受け止めています。 ファースト パーティの Microsoft Azure サービスとして、Microsoft は、セキュリティで保護された信頼性の高い方法で運用するための Microsoft の内部要件すべてに従う必要があります。
App Center のセキュリティを維持するために従ういくつかの原則のアイデアを提供したいと考えています。 セキュリティ概念の完全な一覧を示すものではありませんが、同様の情報を求める顧客からの要求の数によって形成されます。
重要
このドキュメントは、セキュリティの姿勢に関する情報を共有するためのものです。 このドキュメントには、App Center にセキュリティ上の問題がないことを意味するものは何もありません。 このドキュメントに記載されている内容は、 Microsoft のオンライン サービス利用規約の情報に代わるものではありません。 App Center で潜在的なセキュリティの問題が発生した場合は、 すぐに Microsoft Security Response Center にお問い合わせください。
データ所在地と主権
App Center は、ほぼ完全に米国で動作します。 アプリ、ユーザー、組織、ビルド、配布、分析、診断のすべてのデータと処理は、米国で行われます。 この顧客データを他の国/地域でホストするためのオプションはありません。
米国の外部で実行される App Center の唯一の部分は、App Center テストです。 App Center テスト デバイスはデンマークにあります。 App Center Test を使用して生成されたデータは、デンマークと米国で保持されます。
コンテンツ配信ネットワーク (CDN) は、App Center から一部のコンテンツとアプリリリースを提供するために使用されます。 CDN のプレゼンスポイントは世界中にありますが、すべてのソース データは米国内にあります。
注意
国固有のポリシーと法律により、App Center がすべての国/地域で動作することを保証することはできません。 中国リージョンの一部のユーザーの場合、Analytics と Diagnostics SDK のデータに大幅な遅延が発生するか、米国に基づいてサーバーに配信されない場合があります。
データのセキュリティ
転送中の暗号化
インターネット経由でも Azure データ センター内でも、App Center 内のすべてのネットワーク トラフィックは、 TLS 1.2 以降を使用して HTTPS で保護されます。
保存時の暗号化
App Center によって保持されているすべてのデータは、 保存時に暗号化されます。 Microsoft では、App Center の構築に使用する Microsoft Azure データ ストレージ製品によって提供される暗号化機能を使用します。 これには、Azure Storage、Azure SQL、Azure Cosmos DB が含まれます。
暗号化キー
保存時の暗号化には、システム提供のキーを使用します。 App Center では、暗号化用のカスタマー マネージド キーはサポートされていません。
マルチテナント
App Center はマルチテナント システムです。 すべての顧客データは、1 セットのデータ ストア内に保持されます。 顧客のデータを別のデータ ストアまたは分離されたデータ ストアセットに保持するオプションはありません。
コードセキュリティ
App Center のコード ベースは、Microsoft の内部ツールによってスキャンされ、古い依存関係や既知のセキュリティの脆弱性などの問題が検出されます。 検出された問題はセキュリティ ダッシュボードに表示され、エンジニアリング チームによって対処されます。
サービス内のアクティビティが正当であることを確認し、侵害や侵害の試行を検出するために、Azure のインフラストラクチャを使用して、サービスの主要な側面をログに記録して監視します。 さらに、運用ストレージへのオペレーター アクセスと同様に、すべてのデプロイと管理者のアクティビティが安全にログに記録されます。
侵入の可能性や優先度の高いセキュリティの脆弱性が特定された場合は、明確なセキュリティ インシデント対応計画が用意されています。 このプランでは、責任ある当事者、顧客データをセキュリティで保護するために必要な手順、 および Microsoft Security Response Center (MSRC)、Microsoft Azure、App Center リーダーシップ チームのメンバーのセキュリティ専門家と連携する方法について説明します。 また、データが開示または破損していると思われる場合は、organization所有者に通知します。
一般に、App Center は Microsoft セキュリティ開発ライフサイクルに従います。
運用システムへのアクセス
Microsoft の従業員は、App Center 内に保存されている顧客データにアクセスする必要があります。 顧客データにアクセスできるすべての従業員は、過去の雇用と刑事上の有罪判決を検証するバックグラウンド チェックを渡す必要があります。 さらに、ライブ サイト インシデントまたはその他の承認されたメンテナンス アクティビティがある場合にのみ、運用システムへのアクセスを許可します。 実稼働 App Center システムへのアクセスを必要とするすべての担当者は、Just-In-Time (JIT) 昇格を使用してセキュリティで 保護されたアクセス ワークステーションを使用する必要があります。 すべての JIT 昇格要求は、別のチーム メンバーによって承認され、ログに記録および監査される必要があります。
App Center のデータは、顧客データ (App Center にアップロードするもの)、組織データ (organizationのサインアップまたは管理時に使用される情報)、および Microsoft データ (サービスの運用に必要な情報または収集された情報) を区別するために分類されます。 分類に基づいて、使用シナリオ、アクセス制限、および保持要件を制御します。
すべてのログインで Azure Active Directory 多要素認証 (MFA/ 2FA) が使用されます。
事業継続とディザスター リカバリー (BCDR)
App Center は、回復性のあるシステムを運用するための Microsoft と Azure の内部要件に従います。 計画ボードに参加し、適切な内部 Microsoft チームと共にビジネス継続性とディザスター リカバリーの計画を定期的に確認し、必要に応じてそれらの計画を更新します。
ディザスター リカバリー計画は定期的にテストします。
外部の監査とテスト
App Center は、外部監査 (SOC 2 や ISO 27001 など) や外部侵入テストを行っていません。これは、お客様の一部が必要とするためです。
つまり、複数の内部 Microsoft、Azure、クラウド & AI 部門のコンプライアンス システムと要件が適用されます。 これらの要件は、外部監査プログラムで見つかる要件と大きく重複しています。 Microsoft の内部 Azure 要件に準拠し続けるということは、セキュリティとビジネス継続性の姿勢が、外部監査を完了したシステムとほぼ同じであることを意味します。
GDPR
App Center では GDPR が完全にサポートされています。 データの処理方法と、データ主体の要求を送信する方法を説明する 広範なドキュメント があります。
セキュリティ レポート
App Center は 、Microsoft Security Response Center (MSRC) と連携して、外部から報告されたすべてのセキュリティ上の懸念に対処します。 App Center で潜在的なセキュリティの問題が発生した場合は、すぐに MSRC にお問い合わせください。