このセキュリティ ベースラインは、 Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 のガイダンスを Azure Bot Service に適用します。 Microsoft クラウド セキュリティ ベンチマークでは、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項が提供されます。 コンテンツは、Microsoft クラウド セキュリティ ベンチマークと、Azure Bot Service に適用される関連ガイダンスで定義されているセキュリティ コントロールによってグループ化されています。
このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy の定義は、Microsoft Defender for Cloud ポータル ページの [規制コンプライアンス] セクションに一覧表示されます。
機能に関連した Azure Policy 定義がある場合は、ベースラインに一覧表示されます。これは、Microsoft クラウド セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立ちます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために、有料の Microsoft Defender プランが必要になる場合があります。
注
Azure Bot Service に適用されない機能は除外されています。 Azure Bot Service を完全に Microsoft クラウド セキュリティ ベンチマークにマップする方法については、 完全な Azure Bot Service セキュリティ ベースライン マッピング ファイルを参照してください。
セキュリティ プロファイル
セキュリティ プロファイルは、Azure Bot Service の影響の大きい動作をまとめたもので、セキュリティ上の考慮事項が増える可能性があります。
| サービス動作属性 | 価値 |
|---|---|
| 製品カテゴリ | AI + ML |
| 顧客が HOST または OS にアクセスできる | アクセス許可なし |
| サービスは顧客の仮想ネットワークにデプロイできます | いいえ |
| 顧客のコンテンツを静止状態で保存する | 正しい |
ネットワークのセキュリティ
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。
NS-1: ネットワークセグメント化の境界を確立する
特徴
仮想ネットワーク統合
[説明]: サービスは顧客のプライベート仮想ネットワーク (VNet) へのデプロイをサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: 仮想ネットワークにサービスをデプロイします。 パブリック IP をリソースに直接割り当てる強い理由がない限り、リソースにプライベート IP を割り当てます (該当する場合)。
リファレンス: Azure Bot Service でのネットワーク分離
ネットワーク セキュリティ グループのサポート
[説明]: サービスのネットワーク トラフィックは、サブネットに対するネットワーク セキュリティ グループのルール割り当てに従います。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: ネットワーク セキュリティ グループ (NSG) を使用して、ポート、プロトコル、送信元 IP アドレス、または宛先 IP アドレスによってトラフィックを制限または監視します。 NSG 規則を作成して、サービスのオープン ポートを制限します (信頼されていないネットワークから管理ポートにアクセスできないようにするなど)。 既定では、NSG はすべての受信トラフィックを拒否しますが、仮想ネットワークと Azure Load Balancer からのトラフィックを許可することに注意してください。
リファレンス: 仮想ネットワーク内でDirect Line App Service拡張機能を使用する
NS-2: ネットワーク制御によるクラウド サービスのセキュリティ保護
特徴
Azure Private Link
説明: ネットワーク トラフィックをフィルター処理するためのサービス ネイティブ IP フィルタリング機能 (NSG または Azure Firewall と混同しないでください)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能に関する注意事項: Azure Bot Service でこれを行う唯一の方法は、Direct Line App Service 拡張機能を使用することです。
構成ガイダンス: Private Link 機能をサポートする Azure Bot Service のプライベート エンドポイントをデプロイして、リソースのプライベート アクセス ポイントを確立します。
リファレンス: ネットワーク分離の構成
パブリック ネットワーク アクセスを無効にする
説明: サービスでは、サービス レベルの IP ACL フィルター規則 (NSG または Azure Firewall ではない) を使用するか、[パブリック ネットワーク アクセスを無効にする] トグル スイッチを使用して、パブリック ネットワーク アクセスを無効にすることができます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: パブリック ネットワーク アクセスの切り替えスイッチを使用して、パブリック ネットワーク アクセスを無効にします。
リファレンス: ネットワーク分離の構成
ID 管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ID 管理」を参照してください。
IM-1: 一元化された ID と認証システムを使用する
特徴
データ プレーン アクセスには Azure AD 認証が必要です。
[説明]: サービスはデータ プレーン アクセスに Azure AD 認証を使用することをサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: 既定の認証方法として Azure Active Directory (Azure AD) を使用して、データ プレーンへのアクセスを制御します。
リファレンス: Bot Connector API による認証
データ プレーン アクセスのローカル認証方法
説明: ローカル ユーザー名やパスワードなど、データ プレーン アクセスでサポートされるローカル認証方法。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
機能ノート: ローカル認証方法またはアカウントの使用は避けてください。これらは可能な限り無効にする必要があります。 代わりに、可能な限り Azure AD を使用して認証します。
構成ガイダンス: Direct チャネルを追加すると、Bot Framework によってシークレット キーが生成されます。 クライアント アプリケーションは、これらのキーを使用して、ボットと通信するために発行する Direct Line API 要求を認証します。
リファレンス: ボットを Direct Line に接続する
IM-3: アプリケーション ID を安全かつ自動的に管理する
特徴
マネージド ID
説明: データ プレーン アクションは、マネージド ID を使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: 可能な場合は、サービス プリンシパルではなく Azure マネージド ID を使用します。これは、Azure Active Directory (Azure AD) 認証をサポートする Azure サービスとリソースに対して認証できます。 マネージド ID 資格情報は、完全に管理され、ローテーションされ、プラットフォームによって保護されるため、ソース コードまたは構成ファイルでハードコーディングされた資格情報を回避できます。
リファレンス: Azure Bot リソースを作成する
サービス プリンシパル
[説明]: データ プレーンはサービス プリンシパルを使用した認証をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: この機能の構成に関する現在の Microsoft ガイダンスはありません。 組織でこのセキュリティ機能を構成するかどうかを確認して決定してください。
リファレンス: ボットに認証を追加する
IM-7: 条件に基づいてリソースへのアクセスを制限する
特徴
データ プレーンへの条件付きアクセス
[説明]: データ プレーン アクセスは、Azure AD 条件付きアクセス ポリシーを使用して制御できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
IM-8: 資格情報とシークレットの公開を制限する
特徴
Azure Key Vault におけるサービス資格情報とシークレットの統合およびストレージのサポート
[説明]: データ プレーンは、資格情報とシークレット ストアのための Azure Key Vault のネイティブな使用をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: シークレットと資格情報は、コードまたは構成ファイルに埋め込むのではなく、Azure Key Vault などのセキュリティで保護された場所に格納されていることを確認します。
リファレンス: 保存データの Azure Bot Service 暗号化
特権アクセス
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 特権アクセス」を参照してください。
PA-1: 高い特権を持つユーザーまたは管理ユーザーを分離して制限する
特徴
ローカル管理者アカウント
説明: サービスには、ローカル管理アカウントの概念があります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
PA-7: 必要十分な管理 (最小限の特権) の原則に従う
特徴
データプレーンのためのAzure RBAC
[説明]: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、サービスのデータ プレーン アクションへのアクセスを管理できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
データ保護
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: データ保護」を参照してください。
DP-1: 機密データの検出、分類、ラベル付け
特徴
機密データの検出と分類
説明: ツール (Azure Purview や Azure Information Protection など) は、サービスでのデータの検出と分類に使用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-2: 機密データを対象とする異常と脅威を監視する
特徴
データ漏えい/損失防止
説明: サービスは、機密データの移動 (顧客のコンテンツ内) を監視するための DLP ソリューションをサポートしています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
DP-3: 転送中の機密データの暗号化
特徴
転送中のデータの暗号化
[説明]: サービスはデータ プレーンの転送中データの暗号化をサポートします。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: トランスポート層セキュリティ (TLS) 1.2 を適用する Azure Bot Service
DP-4: 保存データ暗号化を既定で有効にする
特徴
プラットフォーム キーを使用した保存データの暗号化
説明: プラットフォーム キーを使用した保存データの暗号化がサポートされており、保存中の顧客コンテンツはすべて、これらの Microsoft マネージド キーで暗号化されます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | 正しい | Microsoft |
構成ガイダンス: 既定のデプロイで有効になっているので、追加の構成は必要ありません。
リファレンス: 保存データの Azure Bot Service 暗号化
DP-5: 必要に応じて保存データの暗号化でカスタマー マネージド キー オプションを使用する
特徴
静止データの暗号化にCMKを使用
説明: カスタマー マネージド キーを使用した保存データの暗号化は、サービスによって保存される顧客コンテンツでサポートされています。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: 規制コンプライアンスに必要な場合は、カスタマー マネージド キーを使用した暗号化が必要なユース ケースとサービス スコープを定義します。 これらのサービスのカスタマー マネージド キーを使用して、保存データの暗号化を有効にして実装します。
リファレンス: 保存データの Azure Bot Service 暗号化
DP-6: セキュリティで保護されたキー管理プロセスを使用する
特徴
Azure Key Vault でのキー管理
説明: このサービスでは、カスタマー キー、シークレット、または証明書に対する Azure Key Vault 統合がサポートされます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Azure Key Vault を使用して、キーの生成、配布、ストレージなど、暗号化キーのライフ サイクルを作成および制御します。 定義されたスケジュールに基づいて、またはキーの廃止や侵害が発生した場合に、Azure Key Vault とサービスのキーをローテーションおよび無効化します。 ワークロード、サービス、またはアプリケーション レベルでカスタマー マネージド キー (CMK) を使用する必要がある場合は、キー管理のベスト プラクティスに従ってください。キー階層を使用して、キー コンテナー内のキー暗号化キー (KEK) を使用して個別のデータ暗号化キー (DEK) を生成します。 キーが Azure Key Vault に登録され、サービスまたはアプリケーションからキー ID を介して参照されていることを確認します。 独自のキー (BYOK) をサービスに取り込む必要がある場合 (オンプレミスの HSM から Azure Key Vault に HSM で保護されたキーをインポートする場合など)、推奨されるガイドラインに従って初期キーの生成とキー転送を実行します。
リファレンス: 保存データの Azure Bot Service 暗号化
資産管理
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: 資産管理」を参照してください。
AM-2: 承認済みサービスのみを使用する
特徴
Azure Policy のサポート
[説明]: サービス構成は、Azure Policy を使用して監視および適用できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: Microsoft Defender for Cloud を使用して、Azure リソースの構成を監査および適用するように Azure Policy を構成します。 Azure Monitor を使用して、リソースで構成の偏差が検出されたときにアラートを作成します。 Azure Policy の [deny] 効果と [deploy if not exists] 効果を使用して、Azure リソース全体にセキュリティで保護された構成を適用します。
リファレンス: Azure Bot Service の Azure Policy 組み込み定義
ログ記録と脅威の検出
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: ログ記録と脅威検出」を参照してください。
LT-1: 脅威検出機能を有効にする
特徴
サービスおよび製品提供のためのMicrosoft Defender
説明: サービスには、セキュリティの問題を監視およびアラートするためのオファリング固有の Microsoft Defender ソリューションがあります。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
LT-4: セキュリティ調査のためにログ記録を有効にする
特徴
Azure リソース ログ
説明: サービスは、強化されたサービス固有のメトリックとログを提供できるリソース ログを生成します。 お客様はこれらのリソース ログを構成し、ストレージ アカウントやログ分析ワークスペースなどの独自のデータ シンクに送信できます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| 正しい | いいえ | カスタマー |
構成ガイダンス: サービスのリソース ログを有効にします。
リファレンス: Azure Bot Service の監視
バックアップと回復
詳細については、「 Microsoft クラウド セキュリティ ベンチマーク: バックアップと復旧を参照してください。
BR-1: 定期的な自動バックアップを確保する
特徴
Azure バックアップ
説明: サービスは Azure Backup サービスによってバックアップできます。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
機能ノート: Bot Service はメッセージング サービスです。ストレージは、メタデータと一時的なメッセージング キャッシュ (<24 時間) のみです。 Bot Service リソースの顧客バックアップは、Bot 情報のプライマリ ストレージが他の顧客管理リソースにあるため、影響はありません。
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。
サービス ネイティブ バックアップ機能
説明: サービスは、独自のネイティブ バックアップ機能をサポートします (Azure Backup を使用していない場合)。 詳細については、こちらを参照してください。
| サポートされています | 既定で有効 | 設定の責任 |
|---|---|---|
| いいえ | 該当なし | 該当なし |
構成ガイダンス: この機能は、このサービスをセキュリティで保護するためにサポートされていません。