Azure AI Studio の Azure セキュリティ ベースライン
このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Azure AI Studio に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークで定義されているセキュリティ コントロールと、Azure AI Studio に適用される関連ガイダンスによってグループ化されます。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項については、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。
Note
機能 Azure AI Studio には適用されませんが、除外されています。 Azure AI Studio を Microsoft クラウド セキュリティ ベンチマークに完全にマップする方法については、 完全な Azure AI Studio セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Azure AI Studio の影響が大きい動作をまとめたものです。その結果、セキュリティに関する考慮事項が増える可能性があります。
| サービス動作属性 | 値 |
|---|---|
| 製品カテゴリ | AI + ML |
| 顧客が HOST または OS にアクセスできる | フル アクセス |
| サービスを顧客の仮想ネットワークにデプロイできる | True |
| 顧客のコンテンツを保存する | True |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワーク セグメント化の境界を確立する
機能
Virtual Network 統合
[説明]: サービスは顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 共有済み |
構成ガイダンス: 仮想ネットワークから Azure AI Studio にアクセスするためのプライベート リンク接続を設定できます。 組み込みのマネージド ネットワーク分離機能を使用して、コンピューティング インスタンスなどの Azure AI Studio 上のコンピューティング リソースのネットワーク分離を提供できます。
リファレンス: Azure AI ハブのプライベート リンクを構成する方法
ネットワーク セキュリティ グループのサポート
[説明]: サービスのネットワーク トラフィックは、サブネットに対するネットワーク セキュリティ グループのルール割り当てに従います。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: ネットワーク セキュリティ グループ (NSG) は、Azure AI Studio でサポートされています。 ポリシーを正しく構成し、NSG をリソースに適用するのはお客様の責任です。
構成ガイダンス: ネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限または監視します。 NSG 規則を作成して、サービスのオープン ポートを制限します (信頼されていないネットワークから管理ポートにアクセスできないようにするなど)。 既定では、NSG はすべての受信トラフィックを拒否しますが、仮想ネットワークと Azure Load Balancer からのトラフィックを許可することに注意してください。
NS-2: ネットワーク制御を使用してクラウド サービスをセキュリティで保護する
機能
Azure Private Link
[説明]: ネットワーク トラフィックをフィルター処理するための、サービスのネイティブ IP フィルタリング機能 (NSG または Azure Firewall とは異なります)。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | 顧客 |
構成ガイダンス: Private Link 機能をサポートするすべての Azure リソースのプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。
リファレンス: Azure AI ハブのプライベート リンクを構成する方法
パブリック ネットワーク アクセスの無効化
[説明]: サービスは、サービス レベルの IP ACL フィルタリング規則 (NSG または Azure Firewall ではなく) を使用した、または "パブリック ネットワーク アクセスを無効にする" トグル スイッチを使用した、パブリック ネットワーク アクセスの無効化をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: パブリック インターネット アクセスの無効化は Azure AI Studio でサポートされています。お客様は、Azure AI Studio とコンピューティング リソースへのセキュリティで保護されたアクセス用に Azure Private Link を構成できます。
構成ガイダンス: サービス レベルの IP ACL フィルター規則またはパブリック ネットワーク アクセスの切り替えスイッチを使用して、パブリック ネットワーク アクセスを無効にします。
リファレンス: Azure AI ハブのプライベート リンクを構成する方法
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元的な ID および認証システムを使用する
機能
データ プレーン アクセスに必要な Azure AD Authentication
[説明]: サービスはデータ プレーン アクセスに Azure AD 認証を使用することをサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: Azure ロールベースのアクセス制御は、事前に定義されたロールを使用して Azure AI Studio へのアクセスを管理するために使用されます。 Microsoft Entra ID のユーザーには、Azure AI Studio 内のリソースにアクセスするためのロールが割り当てられている必要があります。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: /azure/ai-studio/concepts/rbac-ai-studio
データ プレーン アクセスのローカル認証方法
[説明]: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
機能ノート: データ プレーンへのローカル認証は、Azure AI Studio ではサポートされていません。 お客様は、Azure Entra ID を使用してデータ プレーンへのアクセスを管理する必要があります。 ただし、お客様は、既定で無効になっているコンピューティング インスタンスのローカル認証を構成できます。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
IM-3: アプリケーション ID を安全かつ自動的に管理する
機能
マネージド ID
[説明]: データ プレーン アクションでマネージド ID を使用した認証がサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: マネージド ID は Azure AI Studio でサポートされています。 ただし、お客様は、アクセスを有効にするために、ターゲット リソースに対してマネージド ID が適切に構成されていることを確認する必要があります。
構成ガイダンス: 可能な場合は、サービス プリンシパルではなく Azure マネージド ID を使用します。これは、Azure Active Directory (Azure AD) 認証をサポートする Azure サービスとリソースに対して認証できます。 マネージド ID の資格情報は、プラットフォームによって完全に管理、ローテーション、保護されており、ソース コードまたは構成ファイル内でハードコーディングされた資格情報を使用せずに済みます。
サービス プリンシパル
[説明]: データ プレーンはサービス プリンシパルを使用した認証をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: サービス プリンシパルは Azure AI Studio でサポートされており、ストレージ アカウントや Azure Key Vault などの AI プロジェクトをサポートするリソース用に構成できます。
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認して決定してください。
IM-7: 条件に基づいてリソースへのアクセスを制限する
機能
データ プレーンへの条件付きアクセス
[説明]: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: 条件付きアクセスは Azure AI Studio でサポートされていますが、お客様は既定で有効になっていないポリシーを構成する必要があります。
構成ガイダンス: ワークロード内の Azure Active Directory (Azure AD) の条件付きアクセスに適用される条件と条件を定義します。 特定の場所からのアクセスのブロックや許可、危険なサインイン動作のブロック、特定のアプリケーションに対する組織が管理するデバイスの要求など、一般的なユース ケースを検討してください。
IM-8: 資格情報とシークレットの公開を制限する
機能
Azure Key Vault での、サービス資格情報とシークレットの統合とストレージのサポート
[説明]: データ プレーンは、資格情報とシークレット ストアのための Azure Key Vault のネイティブな使用をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: お客様は、Azure Key Vault を使用して、リソース接続の接続文字列などのシークレットを管理できます。 データを分離するために、API を使用してプロジェクト間でシークレットを取得することはできません。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: /azure/ai-studio/concepts/architecture
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する
機能
ローカル管理者アカウント
[説明]: サービスにはローカル管理者アカウントという概念があります。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: コンピューティング インスタンスの作成中に、お客様はセキュリティ ページでルート アクセスを構成できます。 ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証を行います。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure AI Studio でコンピューティング インスタンスを作成および管理する方法
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
機能
データ プレーン用の Azure RBAC
[説明]: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: Azure ロールベースのアクセス制御は、事前に定義されたロールを持つ Azure AI Studio でサポートされています。 お客様は、Azure AI Studio にアクセスする前に、ユーザーにロールを割り当てる必要があります。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: /azure/ai-studio/concepts/rbac-ai-studio
PA-8: クラウド プロバイダー サポートのアクセス プロセスを決定する
機能
カスタマー ロックボックス
説明: カスタマー ロックボックスは、Microsoft サポート へのアクセスに使用できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1:機密データを検出、分類、ラベル付けする
機能
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
機能ノート: 現時点では、機密データの検出と分類は Azure AI Studio ではサポートされていません。 転送中および保存中のデータは暗号化されますが、データを保護するには、ネットワークの分離、アクセス制御などの構成可能な機能を検討する必要があります。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
DP-2: 機密データをターゲットにした異常と脅威を監視する
機能
データ漏えい/損失防止
説明: サービスは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションをサポートしています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
機能ノート: 現時点では、データ漏えい/損失防止 (DLP) ソリューションは Azure AI Studio ではサポートされていません。 お客様は、ネットワークの分離、アクセス管理など、データのセキュリティ保護に役立つ制御の適用を検討する必要があります。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
DP-3: 転送中の機密データの暗号化
機能
転送中データの暗号化
[説明]: サービスはデータ プレーンの転送中データの暗号化をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能に関するメモ: Azure AI Studio では、暗号化を使用して保存中および転送中のデータを保護します。 既定では、暗号化に Microsoft マネージド キーが使用されます。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
DP-4: 保存データ暗号化を既定で有効にする
機能
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中のお客様のコンテンツは、これらの Microsoft マネージド キーで暗号化されます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: Azure AI は、複数の Azure サービスに基づいて構築されています。 データは、Microsoft が既定で提供する暗号化キーを使用して安全に保存されます。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
DP-5: 必要に応じて保存データ暗号化でカスタマー マネージド キー オプションを使用する
機能
CMK を使用した保存データの暗号化
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって保存される顧客コンテンツでサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能に関するメモ: Azure AI Studio では、暗号化を使用して保存中および転送中のデータを保護します。 既定では、暗号化に Microsoft マネージド キーが使用されます。 ただし、お客様は独自の暗号化キー (カスタマー マネージド キー、CMK) を使用できます。 お客様はこの機能を使用することを選択し、この機能の恩恵を受けるために Azure Key Vault にキーをアップロードする必要があります。
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 それらのサービスでカスタマー マネージド キーを使って、保存データ暗号化を有効にして実装します。
リファレンス: /azure/ai-services/encryption/cognitive-services-encryption-keys-portal
DP-6: セキュア キー管理プロセスの使用
機能
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault 統合がサポートされます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能ノート: Azure AI Hub リソースを作成するときは、依存リソースとして Azure Key Vault が必要です。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure AI Studio アーキテクチャ
DP-7: セキュリティで保護された証明書管理プロセスを使用する
機能
Azure Key Vault での証明書管理
説明: このサービスは、顧客証明書に対する Azure Key Vault 統合をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
アセット管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みのサービスのみを使用する
機能
Azure Policy のサポート
[説明]: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: Azure AI Studio には、組み込みの Azure ポリシーが用意されています。 ただし、ポリシーは既定では有効になっていません。 お客様は、必要に応じてポリシーを確認して有効にすることを選択する必要があります。
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するように Azure Policy を構成します。 Azure Monitor を使用し、リソースで構成の逸脱が検出されたときにアラートを作成します。 Azure Policy [deny] 効果と [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
リファレンス: /azure/ai-services/policy-reference
AM-5: 承認されたアプリケーションのみを仮想マシンで使用する
機能
Microsoft Defender for Cloud - アダプティブ アプリケーション制御
説明: サービスは、Microsoft Defender for Cloud のアダプティブ アプリケーション制御を使用して、仮想マシン上で実行される顧客アプリケーションを制限できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
機能ノート: Microsoft Defender for Servers エージェントのインストールは現在サポートされていません。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
ログと脅威検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
機能
サービス/製品のオファリングのための Microsoft Defender
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能に関するメモ: Microsoft Defender は、Azure AI Studio に接続されているさまざまなリソースに対して構成できます。 お客様は、Micrsoft Defender ドキュメントを使用して可用性を確認できます。
構成ガイダンス: 管理プレーンのアクセスを制御するための既定の認証方法として Azure Active Directory (Azure AD) を使用します。 Microsoft Defender for Key Vault からアラートを受け取ったら、そのアラートを調査して対応します。
リファレンス: Microsoft Defender の製品とサービス
LT-4: セキュリティ調査のためのログを有効にする
機能
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | True | Microsoft |
機能に関するメモ: Azure Monitor と Azure Log Analytics では、Azure AI Studio によって使用される基になるリソースの監視とログ記録が提供されます。
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: Azure AI Studio アーキテクチャ
体制と脆弱性の管理
詳細については、「Microsoft クラウド セキュリティ ベンチマーク: 体制と脆弱性の管理」を参照してください。
PV-3: コンピューティング リソースのセキュリティで保護された構成を定義して確立する
機能
Azure Automation State Configuration
説明: Azure Automation State Configuration を使用して、オペレーティング システムのセキュリティ構成を維持できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
Azure Policy ゲスト構成エージェント
説明: Azure Policy ゲスト構成エージェントは、コンピューティング リソースの拡張機能としてインストールまたはデプロイできます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: Azure AI Studio には、組み込みの Azure ポリシーが用意されています。 ただし、ポリシーは既定では有効になっていません。 お客様は、必要に応じてポリシーを確認して有効にすることを選択する必要があります。
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認して決定してください。
リファレンス: /azure/ai-services/policy-reference
カスタム VM イメージ
説明: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定の VM イメージまたはマーケットプレースの事前構築済みイメージの使用がサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
機能ノート: コンピューティング リソース上の VM イメージは Microsoft によって管理されており、カスタム VM イメージはサポートされていません。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
カスタム コンテナー イメージ
説明: サービスでは、特定のベースライン構成が事前に適用された、ユーザー指定のコンテナー イメージまたはマーケットプレースからの事前構築済みイメージの使用がサポートされています。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: お客様は、AI プロジェクトにアタッチされているコンピューティング リソースでカスタム コンテナー イメージを使用することを選択できます。
構成ガイダンス: Microsoft などの信頼できるサプライヤーから事前に構成された強化されたイメージを使用するか、目的のセキュリティで保護された構成基準をコンテナー イメージ テンプレートに構築します
PV-5: 脆弱性評価を実行する
機能
Microsoft Defender を使用した脆弱性評価
説明: Microsoft Defender for Cloud またはその他の Microsoft Defender サービスの埋め込み脆弱性評価機能 (Microsoft Defender for server、コンテナー レジストリ、App Service、SQL、DNS など) を使用して、サービスの脆弱性スキャンをスキャンできます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
構成ガイダンス: Microsoft Defender for Cloud の推奨事項に従って、Azure 仮想マシン、コンテナー イメージ、および SQL サーバーで脆弱性評価を実行します。
リファレンス: Azure AI Studio の信頼性管理
PV-6: 脆弱性を迅速かつ自動的に修復する
機能
Azure Automation の Update Management
説明: サービスは Azure Automation Update Management を使用して、パッチと更新プログラムを自動的にデプロイできます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
機能ノート: Azure Automation Update は、Azure AI Studio ではサポートされていません。 デプロイでは、VM イメージと Docker イメージを利用できます。 更新/パッチの方法と頻度については、「Azure AI Studio の脆弱性管理 (/en-us/azure/ai-studio/concepts/vulnerability-management)」のドキュメントに記載されています。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
エンドポイントのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: エンドポイント セキュリティ」を参照してください。
ES-1:エンドポイントでの検出と対応 (EDR) を使用する
機能
EDR ソリューション
説明: Azure Defender for servers などのエンドポイント検出と応答 (EDR) 機能をエンドポイントにデプロイできます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
ES-2: 最新のマルウェア対策ソフトウェアを使用する
機能
マルウェア対策ソリューション
説明: Microsoft Defender ウイルス対策、Microsoft Defender for Endpoint などのマルウェア対策機能をエンドポイントに展開できます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
機能ノート: マルウェア対策ソリューションは、Azure AI Studio のエンドポイントではサポートされていません。 ただし、お客様は、コンピューティング インスタンスにマルウェア対策ソリューションをインストールすることを選択できます。 詳細については、/en-us/azure/ai-studio/concepts/vulnerability-management#compute-instance を参照してください。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。
ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする
機能
マルウェア対策ソリューションのヘルス モニター
説明: マルウェア対策ソリューションは、プラットフォーム、エンジン、および自動署名の更新プログラムの正常性状態の監視を提供します。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能ノート: お客様は、AI プロジェクトにアタッチされているコンピューティング インスタンスにマルウェア対策ソリューションをインストールすることを選択できます。
構成ガイダンス: マルウェア対策ソリューションを構成して、プラットフォーム、エンジン、署名が迅速かつ一貫して更新され、その状態を監視できるようにします。
リファレンス: /azure/ai-studio/concepts/vulnerability-management
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと復旧を参照してください。
BR-1: 定期的な自動バックアップを確保する
機能
Azure Backup
説明: サービスは Azure Backup サービスによってバックアップできます。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| True | False | カスタマー |
機能に関するメモ: AZURE バックアップは、AI プロジェクトに接続されているストレージ アカウントで構成できます。
構成ガイダンス: Azure Backup を有効にし、必要な頻度で必要な保有期間でバックアップ ソース (Azure Virtual Machines、SQL Server、HANA データベース、ファイル共有など) を構成します。 Azure Virtual Machines の場合、Azure Policy を使用して自動バックアップを有効にすることができます。
リファレンス: Azure Backup を使用して Azure BLOB のバックアップを構成および管理する
サービス ネイティブ バックアップ機能
[説明]: サービスは独自のネイティブ バックアップ機能 (Azure Backup を使用しない場合) をサポートします。 詳細情報。
| サポートされています | 既定で有効 | 構成の責任 |
|---|---|---|
| いいえ | 適用外 | 適用外 |
機能ノート: Azure AI Studio にはネイティブ バックアップ機能はありません。 お客様は、AI プロジェクトのリソースに Azure Backup を使用する必要があります。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにはサポートされていません。