トップ > Microsoft Fabric > 【Microsoft Fabric】セキュリティとプライバシー(概要編)

【Microsoft Fabric】セキュリティとプライバシー(概要編)

Microsoft Fabric

Microsoft Fabric(以下、Fabric)もリリースしてから時間が経過し、実際のプロジェクトでも触れる機会が増えてきました。

そこで、構築する際に必須となるセキュリティに関して「改めて何ができるのか」「どのように実践すればよいのか」を、今回の概要編および次回の実践編にてまとめていきます。

まず今回は概要編として、セキュリティに関して留意すべき事項を中心にお伝えします。

はじめに

Fabricでデータ基盤を構築する際に、セキュリティは切っても切り離せません。

データは企業にとって非常に大切で重要なものです。不特定多数がアクセスできないようにしたり、また外部からのアクセスも制御したりする必要性があります。

それらの観点から、留意すべき事項について概要を紹介します。

データ暗号化

必要性

情報漏洩の防止、プライバシーの保護、法的要件の遵守、サイバー攻撃対策、データの改ざん防止の観点があげられます。

暗号化について

  • 保存時の暗号化
    • Fabricでは、保存されるデータは自動的に暗号化されます。
    • データが不正アクセスから保護されます。
  • 転送時の暗号化
    • データの転送時にも暗号化が施され、通信の安全性が確保されます。

認証とアクセス管理

必要性

データ暗号化の必要性に加えて、内部統制の強化、ゼロトラストセキュリティの実現の観点が挙げられます。

ツール・方法

  • Microsoft Entra ID
    • FabricはMicrosoft Entra IDを使用して認証を行い、ユーザーが安全にアクセスできるようにします。
    • 設定はMicrosoft Entra 管理センターから行います。
  •  条件付きアクセス
    • IPアドレスの制限や多要素認証(MFA)など、条件付きアクセスを設定することで、セキュリティを強化します。
    • こちらもMicrosoft Entra 管理センターから設定を行います。
  • アクセス制御
    • ワークスペース、アイテム(レイクハウス・ウェアハウス・セマンティックモデル)のアクセスを制御します。
    • また、オブジェクト(テーブル/スキーマ)、行・列レベルでの制御を行います。
    • これらはFabricのポータルおよび、SQLで設定を行います。

ネットワークセキュリティ

必要性

サイバー攻撃の防止、機密情報の保護の観点が挙げられます。

※ Azure観点の記載となりますが、考え方は他社クラウドでも同様です。

ツール・方法

  • プライベートリンク
    • Azure Virtual Network (VNet)からFabricへのアクセスを制限し、パブリックアクセスをブロックすることで、セキュリティを向上させます 。
  • 信頼されたワークスペースアクセス
    • ファイアウォールが有効なAzure Data Lake Gen 2アカウントに、安全にアクセスできるようにします 。

データ主権とコンプライアンス

必要性

法的順守があげられます。例えばEUのGDPRやアメリカのCCPAがあります。

認証の種類

Fabricは複数地域に容量を備えたデータ主権を提供し、さまざまなコンプライアンス標準に対応しています。

※ 厳密にはFabricの機能ではなく、Microsoftが提供しているものになります。

これにより、地域ごとの規制に準拠したデータ管理が可能です。これらはグローバル、米国政府、業界固有、地域/国固有の認証を取得し、法的要件や業界基準を満たしています。

具体的には以下のような認証があります。

ISO 27001 (ISMS認証) 情報セキュリティ管理システムの国際標準規格で、組織の情報資産を保護するためのフレームワークを提供します。
プライバシーマーク 日本国内で個人情報の適切な取り扱いを認証する制度です。
CS認証マーク 一般社団法人日本コンプライアンス推進協会が提供する認証で、企業のコンプライアンス活動を評価します。
NIST SP800-63 アメリカ国立標準技術研究所が提供する認証ガイドラインで、認証の要素を「記憶」「所持」「生体情報」に分類しています。

情報保護ラベルとデータ損失防止

必要性

機密情報の分類と保護のため、ということが挙げられます。

ツール

  • 情報保護ラベル
    • データに対して情報保護ラベルを適用し、機密情報の取り扱いを管理します。
    • 具体的には以下のようなラベル付けが可能となります。
      手動ラベル付け ユーザーがデータアイテムに対して手動でラベルを適用できます。
      デフォルトラベル付け アイテムが作成または編集される際に、デフォルトのラベルが自動的に適用されます。
      必須ラベル付け ラベルが適用されていないアイテムは保存できません。
      プログラムによるラベル付け 管理者がAPIを使用してラベルを追加、変更、削除できます。
    • Microsoft Purviewの機密ラベルとポリシーを使用することもできますが、別途Microsoft Purviewのライセンスが必要になります。
  • データ損失防止(DLP)
    • DLPポリシーを設定することで、機密データの漏洩を防ぎます。
    • ラベルを基にデータを検出したり、ポリシー違反を検知してアラートを通知、機密データへのアクセスを制限します。

ガバナンスツール/機能

必要性

不正行為の予防や、企業としての健全性の確保が挙げられます。

ツール

Fabricにはデータ系列や情報保護ラベル、データ損失防止などのガバナンスツールが付属しており、組織の方針に従ってセキュリティを構成できます。

具体的には以下のツールがあります。

※ One Lake CatalogやMicrosoft Purviewを使用することも可能です。

管理ポータル 組織の管理者がFabric資産全体を制御できる一元化された場所です。テナント設定の変更、容量、ドメイン、ワークスペースの管理、ユーザーの操作方法の制御が可能です。
OneLakeデータハブ データの検出、管理、保護を促進するツールで、ドメイン別にコンテンツをフィルター処理して関連するコンテンツを見つけることができます。
監視ハブ データの監視と分析情報の取得を行い、行動を促すためのツールです。データの使用状況や異常をリアルタイムで監視できます。
Purview情報保護 機密データの検出、保護、監視を行うツールで、データの機密性を維持し、アクセス制御を強化します。
メタデータのスキャン 組織のすべてのFabricアイテムのメタデータをカタログ化してレポートすることで、データのガバナンスを促進します。

おわりに

今回はセキュリティに関して留意すべき事項を機能と合わせて概要としてまとめました。

次回、実践編として、具体的にどのようにそれらの機能を使って設定するのかを検証していきます。

執筆担当者プロフィール
土山 和也

土山 和也(日本ビジネスシステムズ株式会社)

ユーザーサポート、開発、運用、構築業務を経験し、現在はアーキテクトとして提案・プロジェクト支援に従事。専門はデータベースでDBA歴十数年。Azure/AWSを担当。

担当記事一覧