Speech サービスによる保存データの暗号化
データは、クラウドに永続化されるとき、Azure Cognitive Service for Speech サービスによって自動的に暗号化されます。 Speech サービスの暗号化によってデータは保護され、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。
Azure AI サービスの暗号化について
データは、FIPS 140-2 に準拠する 256 ビット AES 暗号化を使用して暗号化および暗号化解除されます。 暗号化と暗号化解除は透過的であり、暗号化とアクセスはユーザーによって管理されます。 データは既定でセキュリティ保護され、暗号化を利用するためにコードまたはアプリケーションを変更する必要はありません。
暗号化キーの管理について
Custom Speech と Custom Voice を使うと、Azure Cognitive Service for Speech サービスによって次のデータがクラウドに格納される場合があります。
- 音声トレース データ - カスタム エンドポイントに対してトレースをオンにした場合のみ
- アップロードされたトレーニングとテスト データ
既定では、データは Microsoft のストレージに格納され、サブスクリプションでは Microsoft のマネージド暗号化キーが使用されます。 独自のストレージ アカウントを準備するオプションもあります。 ストアへのアクセスはマネージド ID によって管理されており、音声トレース データ、カスタマイズ トレーニング データ、カスタム モデルなどの独自のデータに Azure Cognitive Service for Speech サービスで直接アクセスすることはできません。
詳しくは、マネージド ID の概要に関する記事をご覧ください。
一方、カスタム コマンドを使用すると、独自の暗号化キーを使用してサブスクリプションを管理できます。 カスタマー マネージド キー (CMK、Bring Your Own Key (BYOK) とも呼ばれます) を使用すると、アクセス制御の作成、ローテーション、無効化、取り消しを、いっそう柔軟に行うことができます。 また、データを保護するために使われる暗号化キーを監査することもできます。 カスタム コマンドと CMK の詳細については、「カスタム コマンドによる保存データの暗号化」を参照してください。
BYOS (ストレージ持ち込み)
Bring Your Own Storage (BYOS) は、データのセキュリティとプライバシーに関する要件が高い顧客向けの Azure AI テクノロジです。 このテクノロジの中核となるのは、ユーザーが所有し完全に制御する Azure Storage アカウントを Speech リソースと関連付ける機能です。 Speech リソースはこのストレージ アカウントを使用して、ユーザー データ処理に関連するさまざまな成果物を格納します。通常のケースで行われるように、Speech サービスのプレミス内の同じ成果物を格納することはしません。 このアプローチでは、カスタマー マネージド キーを使用したデータの暗号化、プライベート エンドポイントを使用したデータへのアクセスなど、Azure Storage アカウントのすべてのセキュリティ機能を使用できます。
Speech サービスでは、現在、カスタマー ロックボックスはサポートされていません。 ただし、BYOS を使用すれば顧客データを格納することができるため、カスタマー ロックボックスと類似のデータ管理を実現できます。
重要
Microsoft では、Speech モデルを改善するためにお客様のデータを使用するということはありません。 また、エンドポイントのログ記録が無効になっていて、カスタマイズが使用されていない場合、顧客データは格納されません。
BYOS 対応 Speech リソースの使用に関する詳細については、この記事を参照してください。