この記事では、セキュアな Power Platform 環境を維持するために不可欠な主要活動のセキュリティチェックリストを提供します。 このセクションの記事をアクション プランにまとめ、データ保護、脅威の検出、ID とアクセスの管理、規制基準への準拠などのアクティビティについて説明します。 このチェックリストに従うことで、管理者とセキュリティ専門家は、Power Platform の展開が堅牢で回復力があり、ベストプラクティスに沿っていることを確認できます。 このガイドは、新しい環境を設定する場合でも、既存の環境を強化する場合でも、組織のデータとアプリケーションを保護するための効果的なセキュリティ対策を実装するのに役立ちます。
セキュリティ態勢管理
| チェック | Task |
|---|---|
| ✓ | データ処理者としてのサービスプロバイダーの責任と、所有者およびデータ管理者としての顧客の責任を理解します。 双方が関連する法律および規制を遵守していることを確認してください。 環境、コネクタ、Dataverse、Power Apps、Power Automate、Copilot Studio を含む、Power Platform のアーキテクチャをよく理解します。 |
| ✓ | セキュリティ要件を理解し、既存のセキュリティ対策、ツール、およびプラクティスを評価して、ギャップと改善すべき領域を特定します。 コンプライアンス要件と業界標準に合わせたセキュリティ基準を作成します。 |
| ✓ | Power Platform 管理センターのセキュリティ ページを確認し、セキュリティ スコアの向上に推奨されるアクションを評価します。 |
| ✓ | セキュリティ、コンプライアンス、プライバシーのベスト プラクティスについて作成者と開発者を教育します。 トレーニング資料は、SharePoint サイトや Wiki などの中央ソースから簡単にアクセスできるようにします。 |
| ✓ | インシデント対応計画を定義してテストします。 セキュリティインシデントの処理に関する明確なロールと責任を確保します。 |
| ✓ | セキュリティポリシーを定期的に見直して更新し、変化する脅威やビジネスニーズに適応します。 |
脅威に対する保護
| チェック | Task |
|---|---|
| ✓ | Power Platform 管理センターと Microsoft Sentinel を使用して、ユーザーのアクティビティを追跡します。 定期的な監査を実施して異常を検出し、コンプライアンスを確保します。 |
| ✓ | Microsoft Sentinelを設定し、不審なアクティビティやポリシー違反に対するアラートを設定します。 |
| ✓ | 危険にさらされた可能性のある ID に関するリスクイベントを監視し、それらのリスクを修復します |
| ✓ | セキュリティインシデントを徹底的に調査して、根本原因と影響を理解します。 調査結果を使用して、脅威の検出と対応戦略を改善します。 |
| ✓ | インシデント対応計画を定義してテストします。 セキュリティインシデントを処理するための明確なロールと責任を定義します。 |
データ保護とプライバシー
| チェック | Task |
|---|---|
| ✓ | コネクタと環境の間のデータ フローを制御するデータ ポリシーを作成します。 セキュリティ要件に合わせて、データ ポリシーを定期的に確認および更新します。 |
| ✓ | 暗号化をさらに制御するために、カスタマー マネージド キーの使用を検討してください。 |
| ✓ | アプリケーションの設計と開発にプライバシーへの配慮を組み込む。 プライバシーは開発プロセスの基本となります。 |
| ✓ | テナント分離を構成して、異なるテナント間のデータ アクセスを制御および制限します。 |
| ✓ | IP ファイアウォールや仮想ネットワークなどのネットワーク セキュリティ機能を評価および構成します。 |
| ✓ | Microsoft Purview を設定して、Power Platform 環境全体の機密データを検出、分類、管理します。 |
| ✓ | Dataverse に組み込まれている RBAC セキュリティ モデルを使用して、ユーザー権限とデータへのアクセスを効率的に管理します。 フィールドレベルのセキュリティ、階層セキュリティ、チームベースのセキュリティを実装して、データ保護を強化します。 |
ID とアクセスの管理
| チェック | Task |
|---|---|
| ✓ | ユーザー アクセス、サービス アカウント、アプリケーション ユーザー、シングル サインオンのフェデレーション要件、および条件付きアクセス ポリシーを対象とする ID 管理戦略を作成します。 |
| ✓ | サービス管理者や Microsoft 365 管理者など、プラットフォーム上のさまざまな管理者ロールに対する管理者アクセス ポリシーを作成します。 |
| ✓ | 特定の環境へのアクセスを管理するために必要なコントロールを用意します。 |
| ✓ | 最小特権の原則に基づいて ロール とアクセス許可を割り当てます。 セキュリティ ロールを使用してアクセス効率的に管理します。 |
コンプライアンス
| チェック | Task |
|---|---|
| ✓ | 組織に適用される規制基準を決定します (GDPR、HIPAA、CCPA、PCI データ セキュリティ標準など)。 各規制の具体的な要件と義務を理解します。 |
| ✓ | Power Platform 管理センターと Microsoft Sentinel を使用して、ユーザーのアクティビティを追跡します。 定期的な監査を実施して異常を検出し、規制基準への準拠を確保します。 |
| ✓ | 規制要件とコンプライアンスのベスト プラクティスについて作成者と開発者を教育します。 |
| ✓ | ポリシー、手順、監査ログなど、コンプライアンスの取り組みの詳細な記録を維持します。 文書が最新であり、規制当局の監査にすぐに利用できるようにします。 |
ワークロードのセキュリティ
| チェック | Task |
|---|---|
| ✓ | セキュリティ ガイダンスをアーキテクチャに適用し、データとシステムの機密性、完全性、可用性を保護します。 Power Platform Well-Architected ガイダンスのセキュリティに関する推奨事項を確認し、ワークロードが攻撃に強く、ビジネス目標を満たすだけでなく、相互に関連する機密性、完全性、可用性のセキュリティ原則 (別名 CIA の 3 原則) を確実に組み込めるようにします。 |