Dynamics 365 セキュリティ
Microsoft Dynamics 365 と Microsoft Power Platform はサブスクリプション ベースの、Microsoft Azure データセンター内でホストされるサービスとしてのソフトウェア (SaaS) サービスです。 これらのオンライン サービスは、事業組織で使用されるミッション クリティカルなアプリケーションやシステムに必要なパフォーマンス、スケーラビリティ、セキュリティ、管理機能、サービス レベルを提供するように設計されています。
マイクロソフトでは、信頼はサービス提供、契約上のコミットメント、業界の認定における焦点であり、だからこそ Trusted Cloud Initiative を導入したのです。 Trusted Cloud Initiative は、クラウド サービス プロバイダーの、業界で推奨されるセキュアで相互運用可能な ID、アクセス、コンプライアンス管理の設定と実践の開発を支援するために設立された業界グループ、Cloud Security Alliance (CSA) のプログラムです。 この一連の要件、ガイドライン、管理されたプロセスにより、エンジニアリング、法律、コンプライアンスのサポートに関して最高水準のクラウド サービスを提供することができます。 マイクロソフトはクラウドにおけるデータの整合性を維持することを重視しており、以下の 3 つの主要な原則によって管理されています。
セキュリティ : サイバー脅威から保護します。 プライバシー : データへのアクセスを制御できます。 コンプライアンス : 国際基準に対応するための圧倒的な投資。
マイクロソフトでは、お客様の情報を保護するために、最新の国際基準を満たし、セキュリティ トレンドや業界特有のニーズに迅速に対応できるテクノロジ、運用手順、ポリシーからなるセキュリティ コントロールの枠組みを導入しています。 また、組織とそのセキュリティ ニーズに対応した一連の顧客管理ツールを提供しています。 Microsoft 365 セキュリティ/コンプライアンス センター を使用すると、ユーザーや管理者の活動、マルウェアの脅威、データ損失のインシデントなどを追跡することができます。 レポート ダッシュボードは、組織のセキュリティおよびコンプライアンス機能に関連する最新のレポートに使用されます。 Microsoft Entra レポートを使用すると、異常あるいは不審なサインイン活動を常に把握できます。
メモ
現在 Azure Active Directory は Microsoft Entra ID になりました。 詳細情報
セキュリティ ポリシーでは、サービス環境の情報セキュリティ規則と要件を定義します。 マイクロソフトは、定期的に情報セキュリティ管理システム (ISMS) のレビューを実施し、その結果を IT 管理者とともに確認しています。 このプロセスでは、セキュリティ上の問題点、監査結果、監視状況を確認し、必要な修正処置を計画および実施することで、ISMS の管理環境の有効性と改善状況を継続的に監視します。
次のようなコントロールを行います。
- 変更管理ポリシーが厳密に適用された物理的および論理的なネットワーク上の境界。
- 業務上必要な環境にアクセスするための職務分掌。
- 高度に制限された、クラウド環境への物理的および論理的なアクセス。
- コーディングの実践、品質テスト、コード プロモーションを定義する、Microsoft セキュリティ開発ライフサイクルと運用セキュリティ保証の実践に基づく厳格な管理。
- 進行中のセキュリティ、プライバシー、セキュアなコーディングの実践の認識とトレーニング。
- システム アクセスの継続的なログと監査。
- コントロールの有効性を確保するための定期的なコンプライアンス監査。
Microsoft は、新たな脅威や進化する脅威に対抗するため、革新的な「侵害想定」戦略を導入し、レッド チームと呼ばれる高度に専門化したセキュリティ専門家グループを活用して、企業のクラウド サービスの脅威の検知、対応、防御の強化に取り組んでいます。 マイクロソフトは、レッド チームとマイクロソフトが管理するクラウド インフラストラクチャに対するライブ サイト テストを利用して、実際の侵害のシミュレーション、継続的なセキュリティ監視、セキュリティ インシデントへの対応の練習を行い、オンライン サービスのセキュリティを検証および向上しています。
Microsoft Cloud のセキュリティ チームは、頻繁に内部および外部のスキャンを実施し、脆弱性の特定とパッチ管理プロセスの有効性の評価を行っています。 既知の脆弱性についてサービスをスキャンし、新しいサービスは、その対象日に基づいて、次のタイミングでの四半期スキャンに追加され、その後は四半期ごとのスキャン スケジュールに従います。 これらのスキャンは、ベースラインのコンフィギュレーション テンプレートへの準拠を確認し、関連するパッチのインストールを検証して、脆弱性を特定するために使用されます。 スキャン レポートは適切な担当者が確認し、修復作業が速やかに行われます。
エッジ プロダクション サーバーの未使用の I/O ポートはすべて、ベースラインのセキュリティ構成で定義されたオペレーティング システム レベルの構成によって無効化されます。 オペレーティング システム レベルの構成のドリフトを検出するために、継続的な構成検証チェックを有効にしています。 また、侵入検出スイッチを有効にし、サーバーへの物理的なアクセスを検出しています。
マイクロソフトの監視システムで検知された悪質なイベントをタイムリーに調査し、対応する手順を確立しています。
Microsoft は、業務全体を通じて、職務分掌と最小権限の原則を導入しています。 特定のサービスに関するカスタマー サポートを提供するために、Microsoft サポート担当者は、お客様の明示的なアクセス許可を得た場合にのみ、顧客データにアクセスすることができます。 アクセス許可は、記録と監査が行われる「Just-In-Time」方式で行われ、エンゲージメント後に取り消されます。 マイクロソフトでは、運用システムにアクセスするオペレーション エンジニアやサポート担当者は、社内ネットワークへのアクセスやアプリケーション (メールやイントラネットなど) の利用に、仮想マシンがプロビジョニングされた強化されたワークステーション PC を使用しています。 管理用ワークステーション コンピューターはすべてトラステッド プラットフォーム モジュール (TPM) を搭載し、そのホスト ブート ドライブは BitLocker で暗号化されており、マイクロソフトの主要な企業ドメインの特別な組織単位に参加しています。
一元化されたソフトウェア更新を行い、グループ ポリシーを通してシステム強化が行われます。 監査と分析のために、セキュリティや AppLocker などのイベント ログは管理用ワークステーションから収集し、安全な中心的な場所に保存されます。 また、運用ネットワークへの接続には、2 要素認証が必要な Microsoft ネットワーク上の専用ジャンプボックスが使用されます。