プライバシーとセキュリティに関するよくあるご質問
この記事では、Microsoft Dynamics 365 Fraud Protection のプライバシーとセキュリティに関してよく寄せられる質問 (FAQ) に対する回答を示します。
不正アクセス防止では過去 12 か月間にセキュリティ侵害が発生しましたか? 侵害通知プロセスとタイムラインとは
Fraud Protection は、お客様のデータが GDPR の対象であるかどうかに関係なく、一般データ保護規則 (GDPR) 要件の対象となる Microsoft の標準的なデータ侵害通知プロセスに従います。 プロセスの説明や詳細情報へのリンクなど、詳細については、Microsoft セキュリティ センターを参照してください。 その間に、通知用に組織のプライバシー連絡先を設定することもできます。
また、GDPR の下で、Azure、Dynamics 365、Windows の侵害通知の詳細を確認することもできます。
Fraud Protection は保存データの暗号化をサポートしていますか? 暗号化はどのようにデプロイされますか? 転送中に暗号化されたデータはありますか? プロトコルは何ですか?
Fraud Protection サービスは、Azure の最新の機能を使用して、保存時と転送中の両方のすべての顧客データを暗号化します。 これらの機能は、Microsoft セキュリティ チームによって定期的に確認されます。
転送中のデータの場合、Fraud Protection はトランスポート層セキュリティ (TLS) に基づく暗号化を使用します。
Azure Cosmos DB、Azure Blob Storage、Azure Data Lake などの Microsoft テクノロジは、保存データを格納するために使用されます。 Fraud Protection では、厳格な信頼境界を実装して、環境内の販売者のデータへの不正アクセスがないようにします。
保存時および転送中のデータ暗号化に対する Microsoft のアプローチの詳細については、Azure 暗号化の概要と保存時の Azure Data Encryption に関するページを参照してください。
Note
Dynamics 365 Fraud Protection では、カスタマー マネージド キー (CMK) またはロックボックス機能はサポートされないことに注意してください。
不正アクセス防止は、販売者の非公開の個人データを処理、アクセス、送信、または保存しますか?
Fraud Protection は、販売者が API、ファイルアップロード、またはその他の文書化されたメカニズムを介して提供するデータと連携します。 販売者が提供するデータには、Fraud Protection がサービスを提供するためにコンプライアンス境界内で処理、送信、および格納する、パブリックではない個人データが含まれている場合があります。 販売者は、Fraud Protection を使用してデータを別のシステムに送信したり、ビジネス ニーズに合わせて追加のコピーを作成したりする場合があります。
不正防止システムの販売者データとレポートにアクセスできるユーザー 不正アクセス防止では、アクセス権を持つユーザーの数はどのように制限されますか?
不正アクセス防止に割り当てられている販売者と Microsoft の従業員は、販売者のデータにアクセスできます。 製品内レポートの場合、販売者のみがマーチャント データにアクセスできます。 製品外レポートの場合、Fraud Protection のデータ サイエンス チームは、販売者にレポートを表示するアクセス権を付与します。 すべての Microsoft 従業員が販売者のレポートにアクセスできるわけではありません。
Fraud Protection は、ネットワークとロールベースのアクセス制御を実装して、Fraud Protection 内のデータへの外部アクセスを制限および管理します。 テナントには、データへの外部アクセスを管理するための機能が用意されています。
Fraud Protection は、Microsoft の内部ポリシーとガイドラインに従って、運用サービスと顧客データへの内部アクセスを管理します。 既定では、最小特権の原則に従って、販売者のデータとレポートへのアクセスは Microsoft の担当者に拒否されます。 適切なセキュリティ グループのメンバーにのみ付与されます。 セキュリティ グループのメンバーシップはユーザー アカウント レベルで付与され、各ユーザー アカウントは一意であり、特定の Microsoft 従業員によって識別されます。
Microsoft 内部ポリシーを使用すると、適切なセキュリティ グループ メンバーシップを持つ Microsoft 従業員は、運用システムでサービスおよびサポート アクティビティを実行できるように、一時的な ("Just-In-Time") 昇格されたアクセスを要求できます。 すべての ジャスト イン タイム アクセスの要求は、内部のチケット発行システムによって追跡および確認されます。
Fraud Protection では、顧客が環境を終了した後、またはリソースを空けた後にすべてのコンピューティング リソースがテナント データのサニタイズされることを保証するなど、サービスの配置を終了するための公開された手順が提供されますか?
はい。 Microsoft 商用ライセンス条項 は、Fraud Protection に適用され、サービスを取り消す手順を定義します。 データ保護補遺は、データの保持と削除の方法に関する詳細を記述します。 販売者が既に Fraud Protection Network に提供している仮名化されたデータは、スライディングリテンション期間が終了するまで、不正防止ネットワーク内で処理され続けます。 その後、削除されます。
Fraud Protection は、セキュリティとテクノロジのサポート (展開、インシデント対応、レポートなど) のために Microsoft 内のプロフェッショナルなセキュリティ サービス組織と共同作業を行いますか?
はい。 不正アクセス防止は Dynamics 365 製品ファミリの一部であり、Dynamics 365 および Cloud & AI 組織に対して定義されているポリシーとガイドラインに従います。 Fraud Protection は、Azure Security、Microsoft Threat Intelligence Center、Azure Incident Response Team、Microsoft Global Security、およびその他の内部セキュリティおよびコンプライアンス チームと共同作業を行います。
不正アクセス防止のセキュリティの詳細については、「Dynamics 365 Fraud Protection のセキュリティの概要」を参照してください。
Fraud Protection では、クラウド サプライ チェーン内のパートナーから継承されたデータ品質エラーとリスクを検査、説明、修正する方法を説明します。
Fraud Protection には、専用のデータ サイエンス チームがあります。 また、データ品質エラーを検出して対応し、機械学習 (ML) モデルの品質をメインするために設計された監視およびアラート システムもあります。 データ品質の問題は運用インシデントとして扱われ、サービスの信頼性を維持するために使用されるのと同じプロセスメイン通じてレビューされます。
Fraud Protection は、業界のベスト プラクティスとガイダンスに従って、クラウド サービス インフラストラクチャのネットワーク侵入テストを定期的に実施していますか? 要求に応じて、テナントがネットワーク侵入テストの結果を利用できますか?
Fraud Protection は業界標準のツールを使用してコードをスキャンし、バグ検出と重大度は NIST 800-30 標準に基づいています。
独立したサード パーティは、少なくとも年 1 回、Azure 環境で侵入テスト (ペン テスト) を行います。 ペン テストのスコープは、Azure のリスクとコンプライアンス要件の領域によって決まります。 ペン テストの結果は、重要度に基づいて修復されます。 詳細については、サービス信頼ポータルを参照してください。
不正防止は、業界のベスト プラクティスに従って、ネットワーク層の脆弱性スキャンを定期的に実施していますか?
はい。不正アクセス防止は業界標準のベスト プラクティスに従っています。 Azure-Dynamics SOC2 監査レポートで説明されているように、Cloud + AI Security チームは、脆弱性を特定し、パッチ管理プロセスの有効性を評価するために、頻繁に内部および外部スキャンを実行します。 サービスは既知の脆弱性をスキャンします。 新しいサービスは、含まれる日付に基づいて、次回の四半期スキャンに追加されます。 その後、少なくとも四半期ごとのスキャン スケジュールに従います。 これらのスキャンは、ベースライン構成テンプレートへの準拠を保証し、関連するパッチがインストールされていることを検証し、脆弱性を特定するために使用されます。 スキャン レポートは適切な担当者によってレビューされ、修復作業はタイムリーに行われます。
その他のリソース
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示