次の方法で共有

Power BI 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインは、 Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスを Power BI に適用します。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 コンテンツは、Azure セキュリティ ベンチマークと Power BI に適用できる関連ガイダンスによって定義セキュリティ コントロールによってグループ化されます。

機能に関連する Azure Policy 定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するのに役立つ、このベースラインに一覧表示されます。 一部の推奨事項については、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Power BI に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Power BI を Azure セキュリティ ベンチマークに完全にマップする方法については、完全な Power BI のセキュリティ ベースライン マッピング ファイルに関するページを参照してください。

ネットワーク セキュリティ

詳細については、「 Azure セキュリティ ベンチマーク: ネットワーク セキュリティ」を参照してください。

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス: Power BI では、Power BI テナントをプライベート リンク エンドポイントに接続し、パブリック インターネット アクセスを無効にできます。

責任: 共有

NS-4: 外部ネットワーク攻撃からアプリケーションとサービスを保護する

ガイダンス: Power BI はフル マネージドの SaaS オファリングであり、Microsoft が管理するサービス拒否保護が組み込みされています。 外部ネットワーク攻撃からサービスを保護するために、顧客による操作は必要ありません。

責任: Microsoft

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: 適用できません。Power BI は、基盤となる DNS 構成を公開していません。これらの設定は、Microsoft によって管理されます。

責任: Microsoft

ID 管理

詳細については、「 Azure セキュリティ ベンチマーク: ID 管理」を参照してください。

IM-1: Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Power BI は、Azure の既定の ID およびアクセス管理サービスである Azure Active Directory (Azure AD) と統合されています。 組織の ID とアクセス管理を管理するには、Azure AD を標準化する必要があります。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位を持つ必要があります。 Azure AD では、Microsoft のベスト プラクティスの推奨事項を基準にした、お客様の ID セキュリティ体制を評価するために役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

注: Azure AD では、Microsoft アカウントを持たないユーザーが外部 ID を使用してアプリケーションとリソースにサインインできるようにする外部 ID がサポートされています。

責任: Customer

IM-2: アプリケーション ID を安全かつ自動的に管理する

ガイダンス: Power BI と Power BI Embedded では、サービス プリンシパルの使用がサポートされています。 Power BI の暗号化またはアクセスに使用されるサービス プリンシパル資格情報を Key Vault に格納し、適切なアクセス ポリシーをコンテナーに割り当て、アクセス許可を定期的に確認します。

責任: Customer

IM-3: アプリケーション アクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: Power BI では、Azure Active Directory (Azure AD) を使用して、Azure リソース、クラウド アプリケーション、オンプレミスのアプリケーションに ID とアクセスの管理を提供します。 これには、従業員などの企業 ID だけでなく、パートナー、ベンダー、サプライヤーなどの外部 ID も含まれます。 これによってシングル サインオン (SSO) が可能となり、オンプレミスとクラウドにある組織のデータとリソースへのアクセスを管理し、セキュリティで保護することができます。 すべてのユーザー、アプリケーション、デバイスを Azure AD に接続することで、シームレスで安全なアクセスを実現し、可視性と制御性を高めることができます。

責任: Customer

IM-7: 意図しない資格情報の公開を排除する

ガイダンス: Power BI 埋め込みアプリケーションの場合は、資格情報スキャナーを実装してコード内の資格情報を識別することをお勧めします。 また、資格情報スキャナーを使うと、検出された資格情報を、Azure Key Vault などのより安全な場所に移動しやすくなります。

Power BI の暗号化またはアクセスに使用される暗号化キーまたはサービス プリンシパル資格情報を Key Vault に格納し、適切なアクセス ポリシーをコンテナーに割り当て、アクセス許可を定期的に確認します。

GitHub の場合、ネイティブ シークレット スキャン機能を使用して、コード内で資格情報やその他の形式のシークレットを識別できます。

責任: 共有

特権アクセス

詳細については、「 Azure セキュリティ ベンチマーク: 特権アクセス」を参照してください。

PA-1: 高い特権を持つユーザーを保護および制限する

ガイダンス: リスクを軽減し、最小限の特権の原則に従うために、Power BI 管理者のメンバーシップを少数のユーザーに保持することをお勧めします。 これらの特権アクセス許可を持つユーザーは、組織のすべての管理機能にアクセスして変更する可能性があります。 グローバル管理者は、Microsoft 365 または Azure Active Directory (Azure AD) を介して、Power BI サービスの管理者権限も暗黙的に所有します。

Power BI には、高い特権を持つアカウントが以下にあります。

  • グローバル管理者
  • 請求管理者…
  • ライセンス管理者
  • ユーザー管理者
  • Power BI 管理者
  • Power BI Premium 容量管理者
  • Power BI Embedded 容量管理者

Power BIでは、Azure AD のセッション ポリシーをサポートし、Microsoft Defender for Cloud Apps サービスを介して Power BI で使用される条件付きアクセス ポリシーとルート セッションを有効にします。

Microsoft 365 の特権アクセス管理を使用し、Power BI 管理アカウントの Just-In-Time (JIS) 特権アクセスを有効にします。

責任: Customer

PA-3: ユーザー アクセスを定期的に確認して調整する

ガイダンス: Power BI サービス管理者は、Power BI アクティビティ ログに基づくカスタム レポートを使用して、テナント レベルですべての Power BI リソースの使用状況を分析できます。 REST API または PowerShell コマンドレットを使用してアクティビティをダウンロードできます。 また、日付範囲、ユーザー、アクティビティの種類でアクティビティ データをフィルター処理することもできます。

Power BI アクティビティ ログにアクセスするには、次の要件を満たす必要があります。

これらの要件が満たされたら、次のガイダンスに従って、Power BI 内のユーザー アクティビティを追跡できます。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス: セキュリティで保護された分離ワークステーションは、管理者、開発者、重要なサービスオペレーターなどの機密性の高いロールのセキュリティにとって非常に重要です。 Power BI の管理に関連する管理タスクには、高度にセキュリティで保護されたユーザー ワークステーションや Azure Bastion を使用します。 Azure Active Directory (Azure AD)、Microsoft Defender Advanced Threat Protection (ATP)、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションをデプロイします。 セキュリティで保護されたワークステーションを一元管理して、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を実施できます。

責任: Customer

データ保護

詳細については、「 Azure セキュリティ ベンチマーク: データ保護」を参照してください。

DP-1: 機密データの検出、分類、ラベル付け

ガイダンス: レポート、ダッシュボード、データセット、データフローのMicrosoft Purview 情報保護の秘密度ラベルを使用して、未承認のデータ アクセスや漏洩から機密コンテンツを保護します。

Microsoft Purview 情報保護の秘密度ラベルを使用して、Power BI サービスのレポート、ダッシュボード、データセット、データフローを分類してラベル付けし、Power BI サービスから Excel、PowerPoint、PDF ファイルにコンテンツをエクスポートするときに、未承認のデータ アクセスや漏洩から機密コンテンツを保護します。

責任: Customer

DP-2:機密データを保護する

ガイダンス: Power BI は、機密データ保護のために、Microsoft Purview 情報保護の秘密度ラベルと統合されます。 詳細については、Power BI のMicrosoft Purview 情報保護からの感度ラベルに関するページを参照してください。

Power BI を使用すると、サービス ユーザーは保存データを保護するために独自のキーを持ち込みます。 詳細については、「 Power BI 用の独自の暗号化キーを使用する」を参照してください。

お客様は、データ ソースをオンプレミスに保持し、オンプレミス データ ゲートウェイで Direct Query または Live Connect を利用して、クラウド サービスへのデータ公開を最小限に抑えることができます。 詳細については、「 オンプレミス データ ゲートウェイとは」を参照してください。

Power BI では、行レベルのセキュリティがサポートされています。 詳細については、「power BI での レベル セキュリティ (RLS)を参照してください。 RLS は直接クエリ データ ソースにも適用できます。この場合、PBIX ファイルはセキュリティを有効にするプロキシとして機能します。

責任: Customer

DP-3:機密データの不正転送を監視する

ガイダンス: このコントロールは、Power BI 向けの Microsoft Defender for Cloud Apps サポートを使用することで部分的に達成できます。

Power BI で Microsoft Defender for Cloud Apps を使用すると、意図しないリークや侵害から Power BI レポート、データ、サービスを保護できます。 Microsoft Defender for Cloud Apps を使用すると、Azure Active Directory (Azure AD) のリアルタイム セッション制御を使用して組織のデータに対する条件付きアクセス ポリシーを作成し、Power BI 分析をセキュリティで保護するのに役立ちます。 これらのポリシーが設定されると、管理者はユーザーのアクセスとアクティビティを監視し、リアルタイムのリスク分析を実行し、ラベル固有の制御を設定できます。

責任: Customer

DP-4:転送中の機密情報を暗号化する

ガイダンス: POWER BI リソースに接続するすべてのクライアントとデータ ソースが TLS v1.2 以降をネゴシエートできることを、HTTP トラフィックに対して確認します。

責任: Customer

DP-5: 保存時の機密データを暗号化する

ガイダンス: Power BI は、保存データと処理中のデータを暗号化します。 既定では、Power BI で Microsoft マネージド キーを使用してデータを暗号化します。 組織は、レポート イメージから Premium 容量のインポートされたデータセットまで、Power BI 全体で保存されているユーザー コンテンツの暗号化に独自のキーを使用することを選択できます。

責任: 共有

[アセット管理](https://docs.microsoft.com/azure/media-services/previous/media-services-dotnet-manage-entities)

詳細については、「 Azure セキュリティ ベンチマーク: 資産管理」を参照してください。

AM-1: セキュリティ チームが資産のリスクを可視化できるようにする

ガイダンス: Microsoft Sentinel を Power BI Office 監査ログと一緒に使用すると、セキュリティ チームが Power BI の資産のリスクの脆弱性を確実に把握できます。

責任: Customer

AM-2: セキュリティ チームが資産インベントリとメタデータにアクセスできることを確認する

ガイダンス: セキュリティ チームが Power BI Embedded リソースの継続的に更新されたインベントリにアクセスできることを確認します。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、および継続的なセキュリティ改善への入力として、このインベントリを必要とすることがよくあります。

Azure Resource Graph では、サブスクリプション内のすべての Power BI Embedded リソースに対してクエリを実行し、検出できます。

タグと Azure の他のメタデータ (名前、説明、カテゴリ) を使用して、組織の分類に従って資産を論理的に整理します。

責任: Customer

AM-3: 承認された Azure サービスのみを使用する

ガイダンス: Power BI は Power BI Embedded の Azure Resource Manager ベースのデプロイをサポートしており、カスタム ポリシー定義を使用して Azure Policy を使用してそのリソースのデプロイを制限できます。

Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーするルールを作成することもできます。

責任: Customer

ログと脅威検出

詳細については、「 Azure セキュリティ ベンチマーク: ログと脅威の検出」を参照してください。

LT-2: Azure ID とアクセス管理の脅威検出を有効にする

ガイダンス: Power BI から SIEM にログを転送します。これを使用して、カスタム脅威検出を設定できます。 さらに、このガイドを使用して、Power BI で Microsoft Defender for Cloud Apps コントロールを使用して異常検出を有効にします。

責任: Customer

LT-3: Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス: Power BI はフル マネージド SaaS オファリングであり、基になるネットワーク構成とログ記録は Microsoft の責任です。 プライベート リンクを使用しているお客様は、構成できるログ記録と監視を利用できます。

責任: 共有

LT-4: Azure リソースのログ記録を有効にする

ガイダンス: Power BI では、ユーザー アクティビティを追跡するための 2 つのオプションがあります。Power BI アクティビティ ログと統合監査ログです。 これらのログにはどちらも Power BI 監査データの完全なコピーが含まれていますが、次に示すように、いくつかの主な違いがあります。

統合監査ログ:

  • Power BI 監査イベントに加えて、SharePoint Online、Exchange Online、Dynamics 365、およびその他のサービスからのイベントが含まれます。

  • View-Only Audit Logs (表示専用監査ログ) または監査ログのアクセス許可を持つユーザー (グローバル管理者や監査人など) のみがアクセス権を持ちます。

  • グローバル管理者と監査者は、Microsoft 365 Defender ポータルと Microsoft Purview コンプライアンス ポータルを使用して、統合監査ログを検索できます。

  • グローバル管理者と監査者は、Microsoft 365 管理 API とコマンドレットを使用して監査ログ エントリをダウンロードできます。

  • 監査データを 90 日間保持します。

  • テナントが別の Azure リージョンに移動された場合でも、監査データを保持します。

Power BI アクティビティ ログ:

  • Power BI 監査イベントのみが含まれます。

  • グローバル管理者と Power BI サービス管理者がアクセス権を持ちます。

  • アクティビティ ログを検索するためのユーザー インターフェイスはまだありません。

  • グローバル管理者と Power BI サービス管理者は、Power BI REST API および管理コマンドレットを使用して、アクティビティ ログ エントリをダウンロードできます。

  • アクティビティ データを 30 日間保持します。

  • テナントが別の Azure リージョンに移動された場合、アクティビティ データは保持されません。

詳細については、次の参考資料を参照してください。

責任: 共有

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス: Power BI では、Power BI アクティビティ ログと統合監査ログという 2 つの場所でログが一元化されます。 これらのログにはどちらも Power BI 監査データの完全なコピーが含まれていますが、次に示すように、いくつかの主な違いがあります。

統合監査ログ:

  • Power BI 監査イベントに加えて、SharePoint Online、Exchange Online、Dynamics 365、およびその他のサービスからのイベントが含まれます。

  • View-Only Audit Logs (表示専用監査ログ) または監査ログのアクセス許可を持つユーザー (グローバル管理者や監査人など) のみがアクセス権を持ちます。

  • グローバル管理者と監査者は、Microsoft 365 Defender ポータルと Microsoft Purview コンプライアンス ポータルを使用して、統合監査ログを検索できます。

  • グローバル管理者と監査者は、Microsoft 365 管理 API とコマンドレットを使用して監査ログ エントリをダウンロードできます。

  • 監査データを 90 日間保持します。

  • テナントが別の Azure リージョンに移動された場合でも、監査データを保持します。

Power BI アクティビティ ログ:

  • Power BI 監査イベントのみが含まれます。

  • グローバル管理者と Power BI サービス管理者がアクセス権を持ちます。

  • アクティビティ ログを検索するためのユーザー インターフェイスはまだありません。

  • グローバル管理者と Power BI サービス管理者は、Power BI REST API および管理コマンドレットを使用して、アクティビティ ログ エントリをダウンロードできます。

  • アクティビティ データを 30 日間保持します。

  • テナントが別の Azure リージョンに移動された場合、アクティビティ データは保持されません。

詳細については、次の参考資料を参照してください。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス: コンプライアンス、規制、ビジネス要件に従って、Office 監査ログのストレージ保持ポリシーを構成します。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

ガイダンス: Power BI では、独自の時刻同期ソースの構成はサポートされていません。 Power BI サービスは Microsoft の時刻同期ソースに依存しており、構成のために顧客に公開されてはいません。

責任: Microsoft

体制と脆弱性の管理

詳細については、「 Azure セキュリティ ベンチマーク: ポスチャと脆弱性管理を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: 組織とセキュリティの姿勢に適した設定でPower BI サービスを構成します。 サービスにアクセスするための設定、コンテンツ、ワークスペースとアプリのセキュリティは慎重に検討する必要があります。 Power BI Enterprise の展開に関するホワイトペーパーの「Power BI のセキュリティとデータ保護」を参照してください。

責任: Customer

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Power BI 管理者 REST API を使用して Power BI インスタンスを監視します。

責任: Customer

PV-3: コンピューティング リソースのセキュリティで保護された構成を確立する

ガイダンス: Power BI は完全に管理された SaaS サービスであり、サービスの基になるコンピューティング リソースは Microsoft によって保護および管理されます。

責任: Microsoft

PV-4: コンピューティング リソースのセキュリティで保護された構成を維持する

ガイダンス: Power BI は完全に管理された SaaS サービスであり、サービスの基になるコンピューティング リソースは Microsoft によって保護および管理されます。

責任: Microsoft

PV-5: カスタム オペレーティング システムとコンテナー イメージを安全に格納する

ガイダンス: Power BI は完全に管理された SaaS サービスであり、サービスの基になるコンピューティング リソースは Microsoft によって保護および管理されます。

責任: Microsoft

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: Power BI は完全に管理された SaaS サービスであり、サービスの基になるコンピューティングリソースは Microsoft によってスキャンおよび管理されます。

責任: Microsoft

PV-7: ソフトウェアの脆弱性を迅速かつ自動的に修復する

ガイダンス: Power BI は完全に管理された SaaS サービスであり、サービスの基になるコンピューティングリソースは Microsoft によってスキャンおよび管理されます。

責任: Microsoft

PV-8: 定期的な攻撃シミュレーションを実施する

ガイダンス: 必要に応じて、Azure リソースに対して侵入テストまたは赤いチーム アクティビティを実施し、すべての重要なセキュリティ結果を確実に修復します。

お客様の侵入テストが Microsoft のポリシーに違反しないように、Microsoft クラウド侵入テストの実施ルールに従ってください。 Microsoft が管理しているクラウド インフラストラクチャ、サービス、アプリケーションに対する Red Teaming およびライブ サイト侵入テストに関する Microsoft の戦略と実施を活用してください。

責任: 共有

エンドポイント セキュリティ

詳細については、「 Azure セキュリティ ベンチマーク: エンドポイント セキュリティ」を参照してください。

ES-1:エンドポイントでの検出と対応 (EDR) を使用する

ガイダンス: Power BI では、エンドポイントでの検出と対応 (EDR) の保護の顧客による構成を必要とする、顧客向けコンピューティング リソースをデプロイしません。 Power BI の基盤となるインフラストラクチャは Microsoft によって処理されます。これには、マルウェア対策と EDR の処理が含まれます。

責任: Microsoft

ES-2: 一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: Power BI では、マルウェア対策保護の顧客による構成を必要とする、顧客向けコンピューティング リソースをデプロイしません。 Power BI の基盤となるインフラストラクチャは、マルウェア対策のスキャンを含め、Microsoft によって処理されます。

責任: Microsoft

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス: Power BI では、マルウェア対策署名が継続的に更新されていることを顧客が確認する必要がある、顧客向けコンピューティング リソースをデプロイしません。 Power BI の基盤となるインフラストラクチャは、すべてのマルウェア対策のスキャンを含め、Microsoft によって処理されます。

責任: Microsoft

バックアップと回復

詳細については、「 Azure セキュリティ ベンチマーク: バックアップと回復」を参照してください。

BR-3: カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス: Power BI で Bring Your Own Key (BYOK) 機能を使用している場合は、カスタマー マネージド キーにアクセスして復元できることを定期的に検証する必要があります。

責任: Customer

BR-4: キーが失われるリスクを軽減する

ガイダンス: Power BI で Bring Your Own Key (BYOK) 機能を使用している場合は、以下の Power BI ドキュメントの BYOK のガイダンスを使用して、カスタマー マネージド キーを制御する Key Vault が構成されていることを確認する必要があります。 Azure Key Vault で論理的な削除と消去保護を有効にして、キーが偶発的または悪意から削除されないようにします。

ゲートウェイ キー リソースについては、以下のゲートウェイ回復キードキュメントのガイダンスに従っていることを確認してください。

責任: Customer

次のステップ