Skype for Business、OneDrive for Business、SharePoint Online、Microsoft Teams、Exchange Onlineの暗号化
Microsoft 365 は、物理データ センターのセキュリティ、ネットワーク セキュリティ、アクセス セキュリティ、アプリケーション セキュリティ、データ セキュリティなど、複数のレイヤーで広範な保護を提供する非常に安全な環境です。
Skype for Business
Skype for Business顧客データは、会議の参加者によってアップロードされたファイルまたはプレゼンテーションの形式で保存される場合があります。 Web 会議サーバーは、256 ビット キーを使用して AES を使用して顧客データを暗号化します。 暗号化された顧客データは、ファイル共有に格納されます。 顧客データの各部分は、異なるランダムに生成された 256 ビット キーを使用して暗号化されます。 電話会議で顧客データの一部が共有されると、Web 会議サーバーは、HTTPS 経由で暗号化された顧客データをダウンロードするように会議クライアントに指示します。 対応するキーをクライアントに送信して、顧客データを復号化できるようにします。 Web 会議サーバーは、クライアントが電話会議の顧客データにアクセスできるようにする前に、会議クライアントも認証します。 Web 会議に参加すると、各会議クライアントは、最初に TLS 経由でフロントエンド サーバー内で実行されている会議フォーカス コンポーネントを含む SIP ダイアログを確立します。 会議フォーカスは、Web 会議サーバーによって生成された認証 Cookie を会議クライアントに渡します。 その後、会議クライアントは Web 会議サーバーに接続し、サーバーによって認証される認証 Cookie を提示します。
Sharepoint Online と OneDrive for Business
SharePoint Online のすべての顧客ファイルは、常に 1 つのテナントに排他的な一意のファイルごとのキーによって保護されます。 キーは、SharePoint Online サービスによって作成および管理されるか、顧客がカスタマー キーを使用、作成、管理する場合に使用されます。 ファイルがアップロードされると、Azure Storage に送信される前に、アップロード要求のコンテキスト内で SharePoint Online によって暗号化が実行されます。 ファイルがダウンロードされると、SharePoint Online は、一意のドキュメント識別子に基づいて暗号化された顧客データを Azure ストレージから取得し、ユーザーに送信する前に顧客データを復号化します。 Azure Storage には、顧客データを暗号化解除したり、特定したり理解したりする機能はありません。 すべての暗号化と暗号化解除は、テナントの分離を強制する同じシステムで行われます。これは、Microsoft Entra ID と SharePoint Online です。
Microsoft 365 のいくつかのワークロードでは、SharePoint Online にすべてのファイルを格納する Microsoft Teams や、そのストレージに SharePoint Online を使用するOneDrive for Businessなど、SharePoint Online にデータが格納されます。 SharePoint Online に格納されているすべての顧客データは暗号化され (1 つ以上の AES 256 ビット キーを使用して)、データセンター全体に次のように分散されます。 (この暗号化プロセスのすべての手順は、FIPS 140-2 レベル 2 検証済みです。FIPS 140-2 コンプライアンスの詳細については、「 FIPS 140-2 コンプライアンス」を参照してください。
各ファイルは、ファイル サイズに応じて 1 つ以上のチャンクに分割されます。 各チャンクは、独自の一意の AES 256 ビット キーを使用して暗号化されます。
ファイルが更新されると、更新は同じ方法で処理されます。変更は 1 つ以上のチャンクに分割され、各チャンクは個別の一意キーで暗号化されます。
これらのチャンク (ファイル、ファイルの一部、および更新デルタ) は、複数の Azure ストレージ アカウントにランダムに分散される Azure ストレージに BLOB として格納されます。
これらの顧客データのチャンクに対する暗号化キーのセットは、それ自体が暗号化されます。
- BLOB の暗号化に使用されるキーは、SharePoint Online コンテンツ データベースに格納されます。
- Content Database は、保存時のデータベース アクセス制御と暗号化によって保護されます。 暗号化は、Azure SQL データベースで Transparent Data Encryption (TDE) を使用して実行されます。 (Azure SQL Database は、リレーショナル データ、JSON、空間、XML などの構造をサポートする Microsoft Azure の汎用リレーショナル データベース サービスです)。これらのシークレットは SharePoint Online のサービス レベルであり、テナント レベルではありません。 これらのシークレット (マスター キーとも呼ばれます) は、キー ストアと呼ばれる別のセキュリティで保護されたリポジトリに格納されます。 TDE は、アクティブなデータベースとデータベースのバックアップとトランザクション ログの両方に対して保存時のセキュリティを提供します。
- 顧客がオプションのキーを指定すると、顧客キーは Azure Key Vaultに格納され、サービスはキーを使用してテナント キーを暗号化します。これはサイト キーの暗号化に使用され、ファイル レベルのキーの暗号化に使用されます。 基本的に、顧客がキーを提供すると、新しいキー階層が導入されます。
ファイルの再アセンブルに使用されるマップは、暗号化されたキーと共にコンテンツ データベースに格納されます。暗号化解除に必要なマスター キーとは別に保存されます。
各 Azure ストレージ アカウントには、アクセスの種類 (読み取り、書き込み、列挙、削除) ごとに固有の資格情報があります。 各資格情報セットはセキュリティが確保されたキー ストアで保管され、定期的に更新されます。 上で説明したように、ストアには 3 つの異なる種類があり、それぞれに個別の関数があります。
- 顧客データは、暗号化された BLOB として Azure Storage に格納されます。 顧客データの各チャンクのキーは暗号化され、コンテンツ データベースに個別に格納されます。 顧客データ自体は、暗号化を解除する方法に関する手掛かりを持っていません。
- コンテンツ データベースは、SQL Server データベースです。 Azure Storage に保持されている顧客データ BLOB と、それらの BLOB の暗号化に必要なキーを見つけて再構成するために必要なマップが保持されます。 ただし、キーのセット自体は (前述のように) 暗号化され、別のキー ストアに保持されます。
- キー ストアは、コンテンツ データベースと Azure ストレージとは物理的に分離されています。 各 Azure ストレージ コンテナーの資格情報と、コンテンツ データベースに保持されている暗号化されたキーのセットに対するマスター キーが保持されます。
これら 3 つのストレージ コンポーネント (Azure BLOB ストア、コンテンツ データベース、キー ストア) はそれぞれ物理的に分離されています。 いずれかのコンポーネントに保管されている情報は、それ自体では使用できません。 3 つすべてにアクセスしないと、チャンクにキーを取得したり、キーを復号化して使用可能にしたり、対応するチャンクにキーを関連付けたり、各チャンクの暗号化を解除したり、構成要素のチャンクからドキュメントを再構築したりすることはできません。
データセンター内のマシン上の物理ディスク ボリュームを保護する BitLocker 証明書は、ファーム キーによって保護されているセキュリティで保護されたリポジトリ (SharePoint Online シークレット ストア) に格納されます。
BLOB ごとのキーを保護する TDE キーは、次の 2 つの場所に格納されます。
- BitLocker 証明書を格納し、ファーム キーによって保護されるセキュリティで保護されたリポジトリ。そして
- Azure SQL Database によって管理されるセキュリティで保護されたリポジトリ。
Azure ストレージ コンテナーへのアクセスに使用される資格情報は、SharePoint Online シークレット ストアにも保持され、必要に応じて各 SharePoint Online ファームに委任されます。 これらの資格情報は Azure Storage SAS 署名であり、データの読み取りまたは書き込みに使用される個別の資格情報と、60 日ごとに自動期限切れになるようにポリシーが適用されます。 データの読み取りまたは書き込みに異なる資格情報が使用され (両方ではない)、SharePoint Online ファームには列挙するアクセス許可が付与されません。
注:
米国政府機関のお客様Office 365場合、データ BLOB は Azure 米国政府機関向けストレージに格納されます。 さらに、Office 365米国政府の SharePoint Online キーへのアクセスは、特にスクリーニングされたOffice 365スタッフに限定されます。 Azure 米国政府の運用スタッフは、データ BLOB の暗号化に使用される SharePoint Online キー ストアにアクセスできません。
SharePoint Online と OneDrive for Business でのデータ暗号化の詳細については、「OneDrive for Businessおよび SharePoint Online でのデータ暗号化」を参照してください。
SharePoint Online のリスト アイテム
リスト アイテムは、アドホックに作成された、またはサイト内でより動的にライブできる、ユーザーが作成したリスト内の行、SharePoint Online ブログの個々の投稿、SharePoint Online Wiki ページ内のエントリなど、顧客データの小さなチャンクです。 リスト 項目はコンテンツ データベース (Azure SQL データベース) に格納され、TDE で保護されます。
転送中データの暗号化
OneDrive for Businessと SharePoint Online には、データがデータセンターに出入りする 2 つのシナリオがあります。
- サーバーとのクライアント通信 - SharePoint Online とインターネット経由のOneDrive for Businessへの通信では、TLS 接続が使用されます。
- データ センター間のデータ移動 - データセンター間 でデータを移動する主な理由は、ディザスター リカバリーを有効にする geo レプリケーションです。 たとえば、トランザクション ログと BLOB ストレージデルタSQL Server、このパイプに沿って移動します。 このデータはプライベート ネットワークを使用して既に送信されていますが、クラス最高の暗号化でさらに保護されます。
Exchange Online
Exchange Onlineは、すべてのメールボックス データに BitLocker を使用し、BitLocker 構成については BitLocker for Encryption に関するページを参照してください。 サービス レベルの暗号化では、メールボックス レベルのすべてのメールボックス データが暗号化されます。
Microsoft 365 では、サービス暗号化に加えて、サービス暗号化に基づいて構築されたカスタマー キーがサポートされています。 カスタマー キーは、Microsoft のロードマップにも含まれる、Exchange Onlineサービス暗号化用の Microsoft が管理するキー オプションです。 この暗号化方法は、サーバー管理者の分離とデータの暗号化解除に必要な暗号化キーを提供し、暗号化がデータに直接適用されるため (論理ディスク ボリュームで暗号化を適用する BitLocker とは対照的に)、Exchange サーバーからコピーされたすべての顧客データが暗号化されたままであるため、BitLocker によって提供されない保護が強化されます。
Exchange Onlineサービス暗号化のスコープは、Exchange Online内に保存される顧客データです。 (Skype for Businessは、ユーザーが生成したほぼすべてのコンテンツをユーザーのExchange Online メールボックス内に格納するため、Exchange Onlineのサービス暗号化機能を継承します)。
Microsoft Teams
Teams では、TLS と MTLS を使用してインスタント メッセージを暗号化します。 すべてのサーバー間トラフィックでは、トラフィックが内部ネットワークに限定されているか、内部ネットワーク境界を越えるかに関係なく、MTLS が必要です。
次の表は、Teams で使用されるプロトコルをまとめたものです。
| トラフィックの種類 | 暗号化方法 |
|---|---|
| サーバー間 | Mtls |
| クライアントからサーバーへの接続 (インスタント メッセージングとプレゼンスなど) | TLS |
| メディア フロー (メディアのオーディオとビデオの共有など) | TLS |
| メディアのオーディオとビデオの共有 | SRTP/TLS |
| 通知 | TLS |
メディアの暗号化
メディア トラフィックは、RTP トラフィックに対する機密性、認証、再生攻撃保護を提供する Real-Time トランスポート プロトコル (RTP) のプロファイルである Secure RTP (SRTP) を使用して暗号化されます。 SRTP は、セキュリティで保護された乱数ジェネレーターを使用して生成されたセッション キーを使用し、シグナリング TLS チャネルを使用して交換されます。 クライアント間メディア トラフィックは、クライアント間接続シグナリングを介してネゴシエートされますが、クライアントからクライアントへの直接移動時に SRTP を使用して暗号化されます。
Teams では、TURN 経由でメディア リレーへの安全なアクセスに資格情報ベースのトークンを使用します。 メディア リレーは、TLS で保護されたチャネルを介してトークンを交換します。
Fips
Teams では、暗号化キー交換に FIPS (Federal Information Processing Standard) 準拠アルゴリズムが使用されます。 FIPS の実装の詳細については、 連邦情報処理標準 (FIPS) パブリケーション 140-2 を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示