インテリジェント アプリケーション ワークロードのセキュリティとコンプライアンスに関する考慮事項
どのアーキテクチャであってもセキュリティは重要です。 Microsoft Power Platform は、インテリジェントなアプリケーションのワークロードを効果的に保護する包括的なツールを提供しています。 この記事では、Power Platform を使用したインテリジェントなアプリケーションのワークロード開発におけるセキュリティ上の考慮事項と推奨事項について説明します。
Copilot for Dynamics 365 や Power Platform の機能は、セキュリティとプライバシーの中核となる一連の取り組みと、Microsoft 責任ある AI の原則に準拠しています。 Dynamics 365 と Power Platform のデータは、業界をリードする包括的なコンプライアンス、セキュリティ、プライバシーの制御によって保護されます。 Microsoft Copilot Studio および Power Platform のセキュリティ機能の詳細については、Copilot Studio のセキュリティとガバナンス、Dynamics 365 と Power Platform のデータ セキュリティとプライバシーに関する Copilotの FAQ、Microsoft Power Platform のセキュリティを参照してください。
採用しているサービスやテクノロジーを定期的に評価し、セキュリティ対策が変化する脅威の状況に合っていることを確認する必要があります。
セキュリティの互換性の要件について
実装するインテリジェントなアプリケーション ワークロードの主要な要件を理解します。 対処すべきセキュリティ対策を特定するために、次の質問を自問してください。
アクセス コントロールと認証
- アクセス制御と認証のメカニズムをどのように実装して、許可されたユーザーのみがインテリジェントなアプリケーションのワークロードにアクセスできるようにしますか?
- 安全でシームレスなユーザー認証を確保するにはどうすればよいでしょうか?
- 生成 AI (エージェント) とやりとりできるアプリをどのように制御し、また、これらの制限が有効であることを保証する手段にはどのようなものがありますか?
セキュリティとインシデント管理
- API キーやパスワードなどのアプリケーションシークレットをどのように管理し、保護しますか?
- インテリジェント アプリケーションのワークロードに影響を与えるネットワーク セキュリティ要件について 内部 API は仮想ネットワーク内でのみアクセス可能ですか?
- インテリジェント アプリケーションのアクセスと使用状況をどのように監視および監査しますか?
- セキュリティ侵害や脆弱性に対処するためのインシデント対応計画はどのようなものですか?
コンプライアンスとデータ所在地
- インテリジェント アプリケーション ワークロードで使用されるデータには、どのようなデータ所在地要件が適用されますか? データの所在地がどこになるか、またその所在地が法的な義務や規制上の義務に適合しているかを確認できますか?
- インテリジェント アプリケーションのワークロードには、どのような規制およびコンプライアンス要件を満たす必要がありますか?
システム統合とネットワーク要件
- インテリジェント アプリケーション ワークロードは、他の内部/外部システムと安全に統合するにはどうすればよいでしょうか?
- ワークロードのネットワークと統合の要件は何ですか? 内部または外部のデータ ソースまたは API と統合する必要がありますか?
倫理的考慮事項と責任ある AI
- 倫理的考慮事項と責任ある AI の実践は、インテリジェント アプリケーション ワークロードにどのように組み込まれますか?
堅牢な認証およびアクセス制御手段を実装する
認証により、ユーザーはサインインして、エージェントに制限付きリソースや情報へのアクセスを与えることができます。 ユーザーは、Microsoft Entra ID、または Google や Facebook などの OAuth2 ID プロバイダー でサインインできます。
堅牢な認証とアクセス制御手段を実装して、許可されたユーザーが エージェント にアクセスできるようにします。 許可されたユーザーのみがエージェントにアクセスできるようにすることは、セキュリティの基盤です。 多要素認証を実装によって、セキュリティ層がさらに強化されます。 不正アクセスのリスクを最小限に抑えるには、ロールとアクセス許可を定義して、ユーザーが必要なリソースにのみアクセスできるようにします。 条件付きアクセス ポリシーを実装し、ユーザーの場所、デバイスのコンプライアンス、リスク レベルなどの特定の条件に基づいてアクセスを制御します。
詳細情報:
規制要件がプロジェクト与える影響を理解する
GDPR (一般データ保護規則)、HIPAA (医療保険の相互運用性と説明責任に関する法律)、CCPA (カリフォルニア州消費者プライバシー法) など、業界に適用される規制要件と規範を特定し、遵守します。 コンプライアンスを確保するために必要となる制御を実装します。 定期的なコンプライアンス監査をスケジュールして、規制基準の遵守を検証し、ギャップに対処します。 特定の国または地域にデータを格納するための要件など、データの場所に関する特定の要件があるかどうかを評価します。 データ ストレージ戦略がこれらの要件を満たしていることを確認します。
規制要件に準拠してデータを保護、管理します。 インテリジェントなアプリケーション ワークロードによって処理されるデータを保護することは、信頼性を維持し、法的および規制基準に準拠するために重要です。
Microsoft は、クラウド サービスに適用されるデータ保護とプライバシーに関する法律に準拠しています。 世界クラスの業界標準への準拠が検証されています。 環境は、テナントが存在するリージョンと異なる場合でも、特定のリージョンに作成できます。 Dataverseで、会話のトランスクリプトは既定で 30 日間のみ保持されます。 この保持期間は、環境ごとに調整できます。
詳細情報:
- Copilot Studio におけるセキュリティと地理的データ所在地
- Copilot Studio での地理的データ所在地
- Copilot Studio コンプライアンス認証
- Copilot StudioGDPR 準拠
- Copilot Studio データの場所
- クラウドでのコンプライアンスの管理
- サービス トラスト ポータル
- 会話トランスクリプトの既定の保持期間を変更する
- 米国以外の生成 AI 機能については、地理的な場所を越えたデータ移動をします
- 機密性を保護する設計
すべての統合を保護する
インテリジェントなアプリケーションのワークロードとデータソース間の安全な通信を確保します。 インテリジェントなアプリケーション ワークロードは、データにアクセスして処理するために、他のシステムと統合する必要があります。 ID 管理を簡素化し、セキュリティを強化するには、リソースへの人間以外のアクセスにはサービス プリンシパルを使用し、Azure リソースにはマネージド ID を使用します。 認証に OAuth2 を使用し、すべての API 通信が暗号化されるようにすることで、API を保護します。 サービス プリンシパルを使用すると、接続がセキュリティで保護され、個々の資格情報に依存しなくなります。
詳細情報:
継続的な監視と監査を実装する
セキュリティ監視の主な目的は脅威検出です。 主な目的は、潜在的なセキュリティ侵害を防止し、安全な環境を維持することです。 インテリジェント アプリケーション ワークロードのアクティビティを継続的に監視/監査して、プロアクティブに検出して対応します。 セキュリティは継続的なプロセスであり、1 回限りの構成タスクではありません。 ユーザー アクセスとインタラクションの定期的な監視と監査は、インテリジェントアプリケーションのワークロードを安全に保つために不可欠です。
詳細情報:
Azure セキュリティ ツールを使用してセキュリティ ポリシーを適用する
Microsoft Defender for Cloud (旧称 Azure Security Center) や Azure Policy など、Azure の組み込みのセキュリティ ツールを使用して、セキュリティ ポリシーを監視および適用します。
従業員トレーニングの実施
データ保護のベスト プラクティスとデータ所在地の要件を遵守することの重要性について、従業員をトレーニングします。 さまざまな従業員の特定の役割と責任に合わせてトレーニング資料を調整します。 データ保護に関する法律や規制は常に進化しています。 最新の法的要件とベストプラクティスを反映するために、トレーニングプログラムが定期的に更新されるようにします。 ワークショップ、シミュレーション、実際のシナリオなどのインタラクティブな方法を使用して、トレーニングを魅力的で効果的なものにします。 データ保護担当者や法律顧問へのアクセスなど、継続的なサポートとリソースを提供して、従業員が常に情報を入手し、コンプライアンスを遵守できるようにします。