Exchange Online がメールの機密情報をセキュリティで保護する方法How Exchange Online secures your email secrets

この記事では、Microsoft がデータセンターで電子メール シークレットをセキュリティで保護する方法について説明します。This article describes how Microsoft secures your email secrets in its datacenters.

お客様が提供する秘密情報をセキュリティで保護する方法How do we secure secret information provided by you?

Office 365 のセキュリティ、プライバシー、コンプライアンス情報を提供する Office 365セキュリティ センターに加えて、Microsoft がデータセンターで提供するシークレットを保護する方法を知りたい場合があります。In addition to the Office 365 Trust Center which provides Security, Privacy and Compliance Information for Office 365, you might want to know how Microsoft helps protects secrets you provide in its datacenters. 分散キー マネージャー (DKM) というテクノロジを使用します。We use a technology called Distributed Key Manager (DKM).

分散キー マネージャー (DKM) は、一連のシークレット キーを使用して情報を暗号化および復号化するクライアント側の機能です。Distributed Key Manager (DKM) is a client-side functionality that uses a set of secret keys to encrypt and decrypt information. DKM で暗号化されたデータを復号化するには、Active Directory ドメイン サービスの特定のセキュリティ グループのメンバーだけがこれらのキーにアクセスできます。Only members of a specific security group in Active Directory Domain Services can access those keys in order to decrypt the data that is encrypted by DKM. Exchange Online では Exchange プロセスの実行に使用する特定のサービス アカウントだけが、そのセキュリティ グループに属します。In Exchange Online, only certain service accounts under which the Exchange processes run are part of that security group. データセンター内の標準運用手順の一環として、このセキュリティ グループに属する資格情報は人間には付与されないため、人間はだれもこれらの機密情報を解読できるキーにアクセスできません。As part of standard operating procedure in the datacenter, no human is given credentials that are part of this security group and therefore no human has access to the keys that can decrypt these secrets.

デバッグ、トラブルシューティング、または監査の目的で、データセンター管理者は、セキュリティ グループの一部である一時的な資格情報を取得するために、管理者特権でのアクセスを要求する必要があります。For debugging, troubleshooting, or auditing purposes, a datacenter administrator must request elevated access to gain temporary credentials that are part of the security group. このプロセスでは、複数のレベルの法的承認が必要です。This process requires multiple levels of legal approval. アクセスが許可されている場合、すべてのアクティビティがログに記録され、監査されます。If access is granted, all activity is logged and audited. さらに、アクセスは、自動的に期限切れになる一定の間隔でのみ付与されます。In addition access is only granted for a set interval of time after which it automatically expires.

特別な保護のために、DKM テクノロジには自動キー ロールオーバーとアーカイブが含まれています。For extra protection, DKM technology includes automated key rollover and archiving. これにより、同じキーに無期限に依存することなく、古いコンテンツに引き続きアクセスできます。This also ensures that you can continue to access your older content without having to rely on the same key indefinitely.

Exchange Online は DKM をどこで利用しますか?Where does Exchange Online make use of DKM?

Microsoft では、 分散キー マネージャーを 使用して Exchange Online データセンター内のシークレットを暗号化します。Microsoft uses Distributed Key Manager to encrypt your secrets in Exchange Online datacenters. 次に例を示します。For example:

  • 接続されたアカウントの電子メール アカウント資格情報。Email account credentials for connected accounts. 接続されたアカウントは、アプリ、Gmail、Yahoo などのHotmailサード パーティのアカウントです。Connected accounts are third-party accounts such as Hotmail, Gmail, and Yahoo! メール アカウント。mail accounts.

  • 顧客キー。Customer key. 顧客キーで サービス暗号化を使用している場合、Azure Key Vault を使用してシークレットを保護します。If you are using Service encryption with Customer Key, you'll use Azure Key Vault to safeguard your secrets.

Office 365 での暗号化Encryption in Office 365

暗号化についてのテクニカル リファレンスの詳細Technical reference details about encryption

セキュリティ コンプライアンス センター & のサービス アシュアランスService assurance in the Security & Compliance Center