Power BI 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインでは、Azure セキュリティ ベンチマーク バージョン 2.0 からのガイダンスを Power BI に適用します。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 Azure セキュリティ ベンチマークで定義されているセキュリティ制御および Power BI に適用できる関連のガイダンスによって、内容をグループ化しています。

機能に関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Power BI に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Power BI を Azure セキュリティ ベンチマークに完全にマップする方法については、完全な Power BI のセキュリティ ベースライン マッピング ファイルに関するページを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス: Power BI では、プライベート リンク エンドポイントへの Power BI テナントの接続、およびパブリック インターネット アクセスの無効化がサポートされています。

責任: 共有

NS-4: 外部ネットワーク攻撃からアプリケーションやサービスを保護する

ガイダンス: Power BI はフル マネージドの SaaS オファリングであり、Microsoft が管理するサービス拒否保護が組み込みされています。 外部ネットワーク攻撃からサービスを保護するために、顧客による操作は必要ありません。

責任: Microsoft

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: 適用できません。Power BI は、基盤となる DNS 構成を公開していません。これらの設定は、Microsoft によって管理されます。

責任: Microsoft

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Power BI は、Azure の既定の ID およびアクセス管理サービスである Azure Active Directory (Azure AD) と統合されています。 組織の ID およびアクセス管理を管理するには、Azure AD を標準化する必要があります。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位を持つ必要があります。 Azure AD では、Microsoft のベスト プラクティスの推奨事項を基準にした、お客様の ID セキュリティ体制を評価するために役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

注意:Azure AD では外部 ID がサポートされています。これにより、Microsoft アカウントを持たないユーザーは、自分の外部 ID を使用して自分のアプリケーションおよびリソースにサインインすることができます。

責任: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス: Power BI と Power BI Embedded では、サービス プリンシパルの使用がサポートされています。 Key Vault での Power BI の暗号化または Power BI へのアクセスに使用されるサービス プリンシパルの資格情報を格納し、適切なアクセス ポリシーをコンテナーに割り当てて、定期的にアクセス許可を確認します。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: Power BI では、Azure Active Directory (Azure AD) を使用して、Azure リソース、クラウド アプリケーション、オンプレミスのアプリケーションに ID とアクセスの管理を提供します。 これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。 これにより、オンプレミスおよびクラウド内の組織のデータとリソースへのアクセスを管理し、セキュリティで保護するためのシングルサインオン (SSO) が可能になります。 すべてのユーザー、アプリケーション、デバイスを Azure AD に接続することで、シームレスで安全なアクセスを実現し、可視性と制御性を高めることができます。

責任: Customer

IM-7:意図しない資格情報の公開を排除する

ガイダンス: Power BI 埋め込みアプリケーションの場合、コード内にある資格情報を識別する資格情報スキャナーを実装することをお勧めします。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。

Key Vault での Power BI の暗号化または Power BI へのアクセスに使用される暗号化キーまたはサービス プリンシパルの資格情報を格納し、適切なアクセス ポリシーをコンテナーに割り当てて、定期的にアクセス許可を確認します。

GitHub の場合、ネイティブ シークレット スキャン機能を使用して、コード内で資格情報やその他の形式のシークレットを識別できます。

責任: 共有

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-1:高い特権を持つユーザーを保護および制限する

ガイダンス: リスクを軽減し、最小の特権の原則に従うには、Power BI 管理者のメンバーシップを少数の人員に限定することをお勧めします。 これらの特権アクセス許可を持つユーザーは、場合によっては、組織のあらゆる管理機能にアクセスして変更することが可能です。 グローバル管理者は、Microsoft 365 または Azure Active Directory (Azure AD) を介して、Power BI サービスの管理者権限も暗黙的に所有します。

Power BI には、以下の高い特権が与えられたアカウントが用意されています。

  • グローバル管理者
  • 課金管理者
  • ライセンス管理者
  • ユーザー管理者
  • Power BI 管理者
  • Power BI Premium 容量管理者
  • Power BI Embedded 容量管理者

Power BIでは、Azure AD のセッション ポリシーをサポートし、Microsoft Defender for Cloud Apps サービスを介して Power BI で使用される条件付きアクセス ポリシーとルート セッションを有効にします。

Microsoft 365 の特権アクセス管理を使用し、Power BI 管理アカウントの Just-In-Time (JIS) 特権アクセスを有効にします。

責任: Customer

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: Power BI サービス管理者は、Power BI アクティビティ ログに基づくカスタム レポートを使用して、テナント レベルですべての Power BI リソースの使用状況を分析できます。 アクティビティをダウンロードするには、REST API または PowerShell コマンドレットを使用します。 アクティビティ データは、日付の範囲、ユーザー、およびアクティビティの種類でフィルター処理することもできます。

Power BI アクティビティ ログにアクセスするには、次の要件を満たしている必要があります。

  • グローバル管理者または Power BI サービス管理者のいずれかであること。
  • Power BI 管理コマンドレットをローカルにインストールしているか、Azure Cloud Shell で Power BI 管理コマンドレットを使用していること。

これらの要件が満たされたら、次のガイダンスに従って Power BI 内のユーザー アクティビティを追跡できます。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス:セキュリティで保護された分離したワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高い役割のセキュリティには非常に重要です。 Power BI の管理に関係する管理タスクの場合は、高度にセキュリティで保護されたユーザー ワークステーションや Azure Bastion を使用してください。 Azure Active Directory (Azure AD)、Microsoft Defender Advanced Threat Protection (ATP)、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションをデプロイします。 セキュリティで保護されたワークステーションを一元管理して、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を実施できます。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-1:機密データを検出、分類、ラベル付けする

ガイダンス: レポート、ダッシュボード、データセット、データフローのMicrosoft Purview 情報保護の秘密度ラベルを使用して、未承認のデータ アクセスと漏えいから機密コンテンツを保護します。

Microsoft Purview 情報保護の秘密度ラベルを使用して、Power BI サービスのレポート、ダッシュボード、データセット、データフローを分類してラベル付けし、コンテンツがPower BI サービスから Excel、PowerPoint、PDF ファイルにエクスポートされたときに、機密コンテンツを不正なデータ アクセスや漏洩から保護します。

責任: Customer

DP-2:機密データを保護する

ガイダンス: Power BI は、機密データ保護のために、Microsoft Purview 情報保護の秘密度ラベルと統合されます。 詳細については、Power BI のMicrosoft Purview 情報保護の秘密度ラベルを参照してください

Power BI を使用すると、サービス ユーザーは独自のキーを使用して保存データを保護することができます。 詳細については、「Power BI で独自の暗号化キーを使用する」を参照してください。

お客様には、クラウド サービスへのデータの露出を最小限に抑えるために、データ ソースをオンプレミスで維持し、直接クエリまたはライブ接続をオンプレミス データ ゲートウェイで利用するオプションが用意されています。 詳細については、「オンプレミス データ ゲートウェイとは」を参照してください。

Power BI では行レベルのセキュリティがサポートされています。 詳細については、「Power BI での行レベルのセキュリティ (RLS)」をご覧ください。 RLS は、直接クエリ データ ソースにも適用できることに注目してください。この場合、PBIX ファイルは、セキュリティを有効にするためのプロキシとして機能します。

責任: Customer

DP-3:機密データの不正転送を監視する

ガイダンス: このコントロールは、Power BI 向けの Microsoft Defender for Cloud Apps サポートを使用することで部分的に達成できます。

Power BI で Microsoft Defender for Cloud Apps を使用すると、意図しないリークや侵害から Power BI レポート、データ、サービスを保護できます。 Microsoft Defender for Cloud Apps を使用すると、Azure Active Directory (Azure AD) のリアルタイム セッション制御を使用して組織のデータに対する条件付きアクセス ポリシーを作成し、Power BI 分析をセキュリティで保護するのに役立ちます。 これらのポリシーを設定すると、管理者は、ユーザーのアクセスとアクティビティの監視、リアルタイムのリスク分析の実行、ラベル固有の制御の設定を行うことができます。

責任: Customer

DP-4:転送中の機密情報を暗号化する

ガイダンス: HTTP トラフィックの場合、ご利用の Power BI リソースに接続するクライアントおよびデータソースがいずれも、TLS v1.2 以上とネゴシエートできるようにします。

責任: Customer

DP-5:保存データを暗号化する

ガイダンス: Power BI では、保存データと処理中のデータが暗号化されます。 既定では、Power BI で Microsoft マネージド キーを使用してデータを暗号化します。 組織は、レポート イメージから Premium 容量にインポートされたデータセットまで、Power BI 全体で保存時のユーザー コンテンツの暗号化に独自のキーを使用することを選択できます。

責任: 共有

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: Microsoft Sentinel を Power BI Office 監査ログと一緒に使用すると、セキュリティ チームが Power BI の資産のリスクの脆弱性を確実に把握できます。

責任: Customer

AM-2:セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス: 継続的に更新される、Power BI Embedded リソースのインベントリにセキュリティ チームが確実にアクセスできるようにします。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、および継続的なセキュリティ改善への入力として、このインベントリを必要とすることがよくあります。

Azure Resource Graph を使用すると、ご利用のサブスクリプション内のすべての Power BI Embedded リソースを照会および検出することができます。

タグと Azure の他のメタデータ (名前、説明、カテゴリ) を使用して、組織の分類に従って資産を論理的に整理します。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス: Power BI では Power BI Embedded の Azure Resource Manager ベースの展開がサポートされています。お客様はカスタム ポリシー定義を使用することで、該当するリソースの展開を Azure Policy を介して制限することができます。

Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にする

ガイダンス: カスタム脅威検出を設定するのに使用できるログを Power BI から SIEM に転送します。 さらに、このガイドを使用して、Power BI で Microsoft Defender for Cloud Apps コントロールを使用して異常検出を有効にします。

責任: Customer

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス: Power BI はフル マネージド SaaS オファリングであり、基になるネットワーク構成とログは Microsoft の責任となります。 プライベート リンクを利用しているお客様には、構成可能なログおよび監視が用意されています。

責任: 共有

LT-4:Azure リソースのログ記録を有効にする

ガイダンス: Power BI では、ユーザー アクティビティを追跡する 2 つのオプションがあります。Power BI アクティビティ ログと統合監査ログです。 どちらのログにも、Power BI 監査データの完全なコピーが含まれていますが、次にまとめられているように、いくつかの重要な違いがあります。

統合監査ログ:

  • Power BI 監査イベントに加えて、SharePoint Online、Exchange Online、Dynamics 365、およびその他のサービスからのイベントが含まれます。

  • View-Only Audit Logs (表示専用監査ログ) または監査ログのアクセス許可を持つユーザー (グローバル管理者や監査人など) のみがアクセス権を持ちます。

  • グローバル管理者と監査者は、Microsoft 365 Defender ポータルと Microsoft Purview コンプライアンス ポータルを使用して、統合監査ログを検索できます。

  • グローバル管理者と監査者は、Microsoft 365 Management API とコマンドレットを使用して、監査ログ エントリをダウンロードできます。

  • 監査データは 90 日間保持されます。

  • テナントが別の Azure リージョンに移動された場合でも、監査データは保持されます。

Power BI アクティビティ ログ:

  • Power BI 監査イベントのみが含まれます。

  • グローバル管理者と Power BI サービス管理者がアクセス権を持ちます。

  • アクティビティ ログを検索するためのユーザー インターフェイスはまだありません。

  • グローバル管理者と Power BI サービス管理者は、Power BI REST API および管理コマンドレットを使用して、アクティビティ ログ エントリをダウンロードできます。

  • アクティビティ データは 30 日間保持されます。

  • テナントが別の Azure リージョンに移動された場合、アクティビティ データは保持されません。

詳細については、次のリファレンスを参照してください。

責任: 共有

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス: Power BI では、次の 2 か所でログを集中管理します: Power BI のアクティビティ ログおよび統合された監査ログ。 どちらのログにも、Power BI 監査データの完全なコピーが含まれていますが、次にまとめられているように、いくつかの重要な違いがあります。

統合監査ログ:

  • Power BI 監査イベントに加えて、SharePoint Online、Exchange Online、Dynamics 365、およびその他のサービスからのイベントが含まれます。

  • View-Only Audit Logs (表示専用監査ログ) または監査ログのアクセス許可を持つユーザー (グローバル管理者や監査人など) のみがアクセス権を持ちます。

  • グローバル管理者と監査者は、Microsoft 365 Defender ポータルと Microsoft Purview コンプライアンス ポータルを使用して、統合監査ログを検索できます。

  • グローバル管理者と監査者は、Microsoft 365 Management API とコマンドレットを使用して、監査ログ エントリをダウンロードできます。

  • 監査データは 90 日間保持されます。

  • テナントが別の Azure リージョンに移動された場合でも、監査データは保持されます。

Power BI アクティビティ ログ:

  • Power BI 監査イベントのみが含まれます。

  • グローバル管理者と Power BI サービス管理者がアクセス権を持ちます。

  • アクティビティ ログを検索するためのユーザー インターフェイスはまだありません。

  • グローバル管理者と Power BI サービス管理者は、Power BI REST API および管理コマンドレットを使用して、アクティビティ ログ エントリをダウンロードできます。

  • アクティビティ データは 30 日間保持されます。

  • テナントが別の Azure リージョンに移動された場合、アクティビティ データは保持されません。

詳細については、次のリファレンスを参照してください。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス: 自社のコンプライアンス、規制、およびビジネス要件に応じて、Office 監査ログに対するストレージ保持ポリシーを構成します。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

ガイダンス: Power BI では、独自の時刻同期ソースの構成はサポートされていません。 Power BI サービスは Microsoft の時刻同期ソースに依存しており、構成のために顧客に公開されてはいません。

責任: Microsoft

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: 自分が属する組織とセキュリティ スタンスに適した設定で Power BI サービスを構成します。 サービスとコンテンツにアクセスするための設定と、ワークスペースおよびアプリのセキュリティについては慎重に検討する必要があります。 Power BI のエンタープライズ展開に関するホワイトペーパーに記載された Power BI のセキュリティとデータ保護に関する内容を参照してください。

責任: Customer

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Power BI 管理 REST API を使用して、Power BI インスタンスを監視します。

責任: Customer

PV-3: コンピューティング リソースにセキュリティで保護された構成を確立する

ガイダンス: Power BI は完全に管理された SaaS サービスであり、サービスの基になるコンピューティング リソースは Microsoft によって保護および管理されます。

責任: Microsoft

PV-4: コンピューティング リソースに対するセキュリティで保護された構成を維持する

ガイダンス: Power BI は完全に管理された SaaS サービスであり、サービスの基になるコンピューティング リソースは Microsoft によって保護および管理されます。

責任: Microsoft

PV-5: カスタム オペレーティング システムとコンテナーのイメージを安全に格納する

ガイダンス: Power BI は完全に管理された SaaS サービスであり、サービスの基になるコンピューティング リソースは Microsoft によって保護および管理されます。

責任: Microsoft

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Power BI は完全に管理された SaaS サービスであり、サービスの基になるコンピューティングリソースは Microsoft によってスキャンおよび管理されます。

責任: Microsoft

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: Power BI は完全に管理された SaaS サービスであり、サービスの基になるコンピューティングリソースは Microsoft によってスキャンおよび管理されます。

責任: Microsoft

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス:必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。

お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-1:エンドポイントでの検出と対応 (EDR) を使用する

ガイダンス: Power BI では、エンドポイントでの検出と対応 (EDR) の保護の顧客による構成を必要とする、顧客向けコンピューティング リソースをデプロイしません。 Power BI の基盤となるインフラストラクチャは Microsoft によって処理されます。これには、マルウェア対策と EDR の処理が含まれます。

責任: Microsoft

ES-2:一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: Power BI では、マルウェア対策保護の顧客による構成を必要とする、顧客向けコンピューティング リソースをデプロイしません。 Power BI の基盤となるインフラストラクチャは、マルウェア対策のスキャンを含め、Microsoft によって処理されます。

責任: Microsoft

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス: Power BI では、マルウェア対策署名が継続的に更新されていることを顧客が確認する必要がある、顧客向けコンピューティング リソースをデプロイしません。 Power BI の基盤となるインフラストラクチャは、すべてのマルウェア対策のスキャンを含め、Microsoft によって処理されます。

責任: Microsoft

バックアップと回復

詳細については、Azure セキュリティ ベンチマーク: バックアップと回復に関するページを参照してください。

BR-3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス: Power BI で Bring Your Own Key (BYOK) 機能を使用している場合は、ご利用のカスタマー マネージド キーにアクセスしてそれを復元できることを定期的に検証する必要があります。

責任: Customer

BR-4:キー紛失のリスクを軽減する

ガイダンス: Power BI で Bring Your Own Key (BYOK) 機能を使用している場合は、Power BI での BYOK に関する以下のドキュメントに記載されているガイダンスに従って、カスタマー マネージド キーを制御する Key Vault を確実に構成する必要があります。 Azure Key Vault で論理的な削除と消去保護を有効にして、キーが偶発的または悪意から削除されないようにします。

ゲートウェイのキー リソースについては、以下のゲートウェイ回復キーに関するドキュメントに記載されているガイダンスに確実に従ってください。

責任: Customer

次のステップ