Defender for Cloud Apps データ セキュリティおよびプライバシー プラクティス
Note
この記事では、個人データをデバイスやサービスから削除するための手順を示します。この記事は、GDPR 下でのユーザーの義務をサポートするために使用できます。 GDPR に関する一般的な情報については、Service Trust Portal の GDPR セクションをご覧ください。
Microsoft Defender for Cloud Apps は、Microsoft Cloud Security スタックの重要なコンポーネントであり、 包括的なソリューションであり、クラウド アプリケーションが約束するメリットを最大限に活用するのに役立ちます。 Defender for Cloud Apps を使用すると、機微なデータに対する包括的な可視性、監査、および詳細な制御を維持できます。
Defender for Cloud アプリ には、シャドウ IT を発見してリスクを評価し、ポリシーを適用してアクティビティを調査するのに役立つツールが用意されています。 組織がより安全にクラウドに移行できるように、リアルタイムでアクセスを制御して脅威を抑止するのに役立ちます。
Defender for Cloud Apps のコンプライアンス
データ侵害や攻撃が日常的に起きる世界において、最大限のデータ保護機能を備えたクラウド アクセス セキュリティ ブローカー (CASB) を選ぶことが組織にとって重要です。 すべての Microsoft クラウド製品やサービスと同様に、Defender for Cloud Apps は、厳格なセキュリティとお客様のプライバシーの要求に対応するように構築されています。
個人データの収集と使用を管理する国、地域および業界に特有の要件を組織が遵守できるように、Defender for Cloud Apps では、包括的なコンプライアンス認証のセットが提供されます。 コンプライアンス認証には、証明書と構成証明が含まれます。
コンプライアンスのフレームワークとコンプライアンス認証
Defender for Cloud Apps は、次のようなさまざまな国際的および業界固有のコンプライアンス基準を満たしています。ただし、これらだけではありません。
| 組織 | タイトル | 説明 |
|---|---|---|
 |
CSA STAR 証明 | Azure と Intune には独立した監査に基づき、Cloud Security Alliance STAR Attestation が授与されています。 |
|
CSA STAR 認証 | Azure、Intune、Power BI には、Cloud Security Alliance STAR Certification のゴールド レベルが授与されています。 |
 |
EU Model Clauses | Microsoft では、個人データの転送の保証である EU 標準契約条項を提供します。 |
 |
HIPAA/HITECH | Microsoft では、医療保険の携行性と責任に関する法律の Business Associate Agreements (BAAs) を提供します。 |
 |
ISO 9001 | Microsoft はこれらの品質管理標準の実施に関する認証を取得しています。 |
 |
ISO/IEC 27001 | Microsoft is ceMicrosoft はこれらの情報セキュリティ管理標準の実施に関する認証を取得しています。 |
 |
ISO/IEC 27018 | Microsoft は、クラウド プライバシーに関するこの実施基準を順守した初めてのクラウド プロバイダーです。 |
 |
PCI DSS | Azure は、Payment Card Industry Data Security Standards レベル 1 バージョン 3.1 に準拠しています。 |
 |
SOC 1 Type 2 および SOC 2 Type 2 レポート | Microsoft クラウド サービスは運用セキュリティに関する Service Organization Controls の基準に準拠しています。 |
|
SOC 3 | Microsoft クラウド サービスは運用セキュリティに関する Service Organization Controls の基準に準拠しています。 |
 |
英国の G-Cloud | Crown Commercial Service が Microsoft クラウド サービスの分類を Government Cloud v6 に更新しました。 |
詳細については、「Microsoft コンプライアンス認証」 に移動してください。
プライバシー
お客様のデータはお客様が所有
Defender for Cloud Apps では、管理者は検索バーを使用してポータルからサービスに格納されている識別可能な個人データを表示できます。
管理者は、特定のユーザーのメタデータまたはユーザーのアクティビティを検索できます。 エンティティを選択すると、[ユーザー] ページが開きます。 [ユーザー] ページでは、接続されているクラウド アプリケーションから取得したエンティティに関する包括的な詳細が提供されます。 また、ユーザーのアクティビティ履歴とユーザーに関連するセキュリティ アラートも表示されます。
お客様のデータはお客様が所有しているため、お客様はいつでもサブスクリプションを取り消してデータの削除を要求できます。 サブスクリプションを更新されない場合、お客様のデータは、オンライン サービス条件で指定された期間内に削除されます。
サービスの利用を停止する場合は、お客様はご自身のデータを持ち出すことができます。
Defender for Cloud Apps はお客様のデータのプロセッサです
Defender for Cloud Apps では、お客様がサブスクライブしているサービスの提供と一致する目的に対してのみ、お客様のデータが使用されます。
政府から Microsoft に、お客様のデータへのアクセスを求める働きかけがあった場合、Microsoft は、可能な限り、お客様に照会を転送します。 Microsoft は、お客様のデータに対する政府からの要求の開示を禁じた不当な法的要請に異議を申し立てました。 詳細については、だれがどのような条件でお客様のデータにアクセスできるかに関する記事を参照してください。
プライバシー制御
- プライバシー管理は、サービスにアクセスできる組織内のユーザーおよびアクセスできる内容を構成するのに役立ちます。
個人データの更新
ユーザーの個人データは、使用する SaaS アプリケーションのユーザーのオブジェクトから派生します。 このため、これらのアプリケーションでユーザー プロファイルに対して行われた変更は、Defender for Cloud Apps に反映されます。
データの場所
現在、Defender for Cloud Apps は、欧州連合、英国、米国 (それぞれ "地域") のデータセンターで動作しています。
Defender for Cloud Apps では、世界中の Azure データ センターが使用され、位置情報によって最適化されたパフォーマンスが提供されます。 これは、トラフィック パターンとユーザーの場所に応じて、ユーザーのセッションが特定の地域の外でホストされる可能性があることを意味します。 ただし、プライバシーを保護するため、セッション データはこれらのデータ センターには保存されません。
詳細については、Microsoft トラストセンター を参照してください。
Defender for Cloud アプリ データ ストレージの場所
サービスによって収集された顧客データは、次のように保存されます。
| 顧客プロビジョニングの場所 | データ ストレージの場所 |
|---|---|
| 欧州連合またはイギリスでテナントがプロビジョニングされているお客様 | 欧州連合またはイギリス |
| その他すべてのお客様 | 顧客の Microsoft Entra テナントがプロビジョニングされた場所に最も近い地域 |
Defender for Cloud Apps が Microsoft Entra ID や Azure CDN などの別の Microsoft オンライン サービスを使用してそのようなデータを処理する場合、データの地域の場所は、その他のオンライン サービスのデータ ストレージ ルールによって決まります。
アプリ ガバナンス データストレージの場所
サービスによって収集された顧客データは、次のように保存されます。
| 顧客プロビジョニングの場所 | データ ストレージの場所 |
|---|---|
| 米国でテナントがプロビジョニングされているお客様 | 米国 |
| 欧州連合またはイギリスでテナントがプロビジョニングされているお客様 | 欧州連合またはイギリス |
| アジア太平洋でテナントがプロビジョニングされているお客様 | アジア太平洋または米国 |
| テナントがカナダでプロビジョニングされているお客様 | カナダまたは米国 |
| テナントがインドでプロビジョニングされているお客様 | インドまたは米国 |
| テナントが他のすべてのリージョンにプロビジョニングされているお客様 | 米国または顧客の Microsoft Entra テナントがプロビジョニングされた場所に最も近い地域内のデータ センター |
アプリ ガバナンスが Microsoft Entra ID や Azure CDN などの別の Microsoft オンライン サービスを使用してそのようなデータを処理する場合、データの地域の場所は、その他のオンライン サービスのデータ ストレージ ルールによって定められます。
アプリ ガバナンスは Microsoft Defender for Cloud Apps の一部となりました。 既存のお客様の場合、2024 年 6 月までに、Microsoft Defender for Cloud Apps のデータ所在地に合わせてデータが移行されます。 お客様の側で必要な作業はないため、中断されるサービスもありません。 詳細については、「Defender for Cloud Apps のデータ ストレージの場所」を参照してください。
Transparency
Microsoft は、その取り組みの透明性を確保します。
- データの保存場所を共有します。
- 合意済みのサービスを提供する目的にのみデータを使用することを確約します。
- Microsoft のエンジニアと承認済み下請業者がサービスを提供するためにデータを使用する方法を定めます。
Microsoft は厳格な管理を通じて顧客データへのアクセスを統制し、重要なタスクを完了する上で必要な最低レベルのアクセス権を付与し、不要になった時点でそのアクセス権を無効にします。
データ保護
Defender for Cloud Apps では、コンテンツ検査中にデータ保護が適用されます。 ファイル コンテンツは、Defender for Cloud Apps のデータセンターには格納されません。 保存されるのは、ファイル レコードのメタデータと特定された一致のみです。
データ保持
Defender for Cloud Apps では、次のようにデータが保持されます。
- アクティビティ ログ: 180 日間
- 検出データ: 90 日間
- アラート: 180 日間
- ガバナンス ログ: 120 日
Microsoft のデータ管理の実施に関する詳細については、オンライン サービス条件を参照してください。
データ共有
Defender for Cloud Apps は、顧客データを含むデータを、顧客がライセンスを取得した次の Microsoft 製品の間で共有します。
Microsoft Defender for Cloud
Microsoft Sentinel
Microsoft Defender for Endpoint
Microsoft Security Exposure Management (パブリック プレビュー)
Microsoft Purview
Microsoft Purview
個人データを削除する
接続されたクラウド アプリケーションからユーザーのアカウントが削除された後、Defender for Cloud Apps ではデータのコピーが 2 年以内に自動的に削除されます。
個人データをエクスポートする
Defender for Cloud Apps では、お客様は、すべてのユーザー アクティビティとセキュリティ アラートの情報を CSV にエクスポートできます。
データ フロー
Defender for Cloud Apps では、通常のセキュリティ ワークフローを中断することなく、アラートやアクティビティなどの一部のデータを操作する便利な機能が提供されています。 たとえば、SecOps では、Microsoft Sentinel など、優先される SIEM 製品のアラートを表示するのが望ましい場合があります。 そのようなワークフローを有効にするため、Microsoft またはサードパーティの製品と統合するときに、Defender for Cloud Apps では一部のデータが公開されます。
次の表は、製品統合ごとに表示されるデータを示しています。
Microsoft 製品
| Product | 流出したデータ | 構成 |
|---|---|---|
| Microsoft Defender XDR | アラートとユーザー アクティビティ | オンボード時に Microsoft Defender XDR で自動的に有効になる |
| Microsoft Sentinel | アラートと探索データ | Defender for Cloud Apps で有効にされ、Microsoft Sentinel で構成されます |
| Microsoft Purview コンプライアンス ポータル | Microsoft 365 のアラート | Microsoft Purview コンプライアンス ポータルに自動的にストリーミングされます |
| Microsoft Defender for Cloud | Azure のアラート | Defender for Cloud Apps では既定で有効になります。Microsoft Defender for Cloud で無効にすることができます |
| Microsoft Graph Security API | 警告 | Microsoft Graph Security APIにより利用可能なもの |
| Microsoft Power Automate | 自動フローを動作させるために送信されたアラート | Defender for Cloud Apps で構成されます |
| Microsoft の脅威エキスパート | 警告 | Microsoft 脅威エキスパートに自動的にストリーミングされる |
| Microsoft Entra ID Protection | 警告 | Microsoft Entra ID 保護に自動的にストリーミングされる |
| Microsoft Entra ID Protection | ID リスク モデルのアラートのサブセット | オンボード時にMicrosoft Entra ID 保護で自動的に有効にする |
サード パーティ製品
| 統合の種類 | 流出したデータ | 構成 |
|---|---|---|
| SIEM エージェントの使用 | アラートとイベント | Defender for Cloud Apps で有効にされて構成されます |
| Defender for Cloud Apps REST API を使用する | アラートとイベント | Defender for Cloud Apps で有効にされて構成されます |
| ICAP コネクタ | DLP スキャン用のファイル | Defender for Cloud Apps で有効にされて構成されます |
Note
他の製品では、誰がどのデータにアクセスできるかを制御するために、Defender for Cloud Apps ロールベースのセキュリティ アクセス許可が適用されない場合があります。 そのため、他の製品と統合する前に、使用する製品に送信されるデータとデータへのアクセス権を持つユーザーを理解しているか確認してください。
セキュリティ
暗号化
Microsoft では暗号化テクノロジを使用して、Microsoft のデータベースに保存されているデータ、およびユーザー デバイスと Defender for Cloud Apps データセンターの間で伝送されるデータを保護します。 さらに、Defender for Cloud Apps と接続されているアプリの間のすべての通信は、HTTPS を使用して暗号化されます。
Note
Defender for Cloud Apps では、クラス最高レベルの暗号化を提供するために、トランスポート層セキュリティ (TLS) プロトコル 1.2 以降が利用されます。 TLS 1.2+ をサポートしていないネイティブ クライアント アプリケーションとブラウザーは、セッション制御を使用して構成されている場合はアクセスできません。 しかし、TLS 1.1 以下を使用している SaaS アプリは、Defender for Cloud Apps を使用して構成されている場合、TLS 1.2 以降を使用しているようにブラウザーに表示されます。
ID 管理とアクセス管理
Defender for Cloud Apps では、Microsoft Entra ID を使用して、位置情報に基づいてポータルへの管理者のアクセスを制限できます。 Microsoft Entra ID を使用し、Defender for Cloud Apps ポータルへのアクセスに対して、多要素認証を要求することができます。
アクセス許可
Defender for Cloud Apps では、ロールベースのアクセス制御がサポートされます。 Microsoft 365 と Microsoft Entra のグローバル管理者およびセキュリティ管理者ロールには、Defender for Cloud Apps へのフル アクセス権があり、セキュリティ閲覧者には読み取りアクセス権があります。 詳細情報
組織のコンプライアンスを確保するためのお客様独自のコントロール
スコープ付きの展開
Defender for Cloud Apps を使用すると、展開のスコープを指定できます。 スコープを使うと、Defender for Cloud Apps を使用して特定のグループのみを管理したり、Defender for Cloud Apps のガバナンスから特定のグループを除外したりすることができます。 詳細については、「Scoped deployment」(スコープ付きデプロイ) を参照してください。
匿名化
Cloud Discovery レポートを匿名化することを選択できます。 Microsoft Defender for Cloud Apps にログ ファイルがアップロードされた後、すべてのユーザー名情報が暗号化されたユーザー名に置き換えられます。 特定のセキュリティ調査を行うために、実際のユーザー名を解決することができます。 個人データは、テナントごとに専用のキーで AES-128 を使用して暗号化されます。 詳細情報
Defender for Cloud Apps 米国政府機関 GCC High のお客様に対するセキュリティとプライバシー
米国政府機関 GCC High のお客様に対する Defender for Cloud Apps のコンプライアンス基準とデータの場所について詳しくは、「米国政府機関サービス向け Enterprise Mobility + Security の説明」をご覧ください。
次のステップ
Defender for Cloud Apps の無料試用版を入手し、ビジネス上の課題をどのように満たすかを確認します。
フィードバック
近日公開予定: 2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub イシューを段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、以下を参照してください: https://aka.ms/ContentUserFeedback。
フィードバックの送信と表示