Microsoft Cloud における暗号化Encryption in the Microsoft Cloud

Microsoft のエンタープライズクラウドサービス内の顧客データは、さまざまな形式の暗号化などのさまざまなテクノロジとプロセスによって保護されています。Customer data within Microsoft's enterprise cloud services is protected by a variety of technologies and processes, including various forms of encryption. (この文書に含まれるお客様のデータには、Exchange Online メールボックスのコンテンツ、電子メール本文、予定表のエントリ、電子メールの添付ファイルの内容、適用可能な場合、Skype for Business コンテンツ、サイト内に格納されているファイル、および OneDrive for business または Skype for business にアップロードされたファイルが含まれます。Microsoft では、製品とサービスに対して複数の暗号化方式、プロトコル、および暗号を使用して、顧客データがクラウドサービスを通過するための安全なパスを提供し、クラウドサービス内に格納されている顧客データの機密性を保護するのに役立つようにしています。(Customer data in this document includes Exchange Online mailbox content, e-mail body, calendar entries, and the content of e-mail attachments, and if applicable, Skype for Business content), SharePoint Online site content and the files stored within sites, and files uploaded to OneDrive for Business or Skype for Business.) Microsoft uses multiple encryption methods, protocols, and ciphers across its products and services to help provide a secure path for customer data to travel through our cloud services, and to help protect the confidentiality of customer data that is stored within our cloud services. Microsoft では、お客様のデータへの不正なアクセスからの障壁を得るために使用できる最強の安全な暗号化プロトコルの一部を使用しています。Microsoft uses some of the strongest, most secure encryption protocols available to provide barriers against unauthorized access to customer data. 適切なキー管理は、暗号化のベストプラクティスの重要な要素でもあり、microsoft は、すべての Microsoft 管理暗号化キーが適切にセキュリティ保護されていることを確認するために機能します。Proper key management is also an essential element of encryption best practices, and Microsoft works to ensure that all Microsoft-managed encryption keys are properly secured.

お客様の構成に関係なく、Microsoft のエンタープライズクラウドサービス内に格納されているお客様のデータは、1つ以上の形式の暗号化を使用して保護されます。Regardless of customer configuration, customer data stored within Microsoft's enterprise cloud services is protected using one or more forms of encryption. (暗号化ポリシーとその強制の検証は、複数のサードパーティの監査者によって個別に確認され、それらの監査のレポートはサービス信頼ポータルで利用できます)。(Validation of our crypto policy and its enforcement is independently verified by multiple third-party auditors, and reports of those audits are available on the Service Trust Portal.)

Microsoft は、お客様のデータを保存中および転送中に暗号化するサービス側テクノロジを提供しています。Microsoft provides service-side technologies that encrypt customer data at rest and in transit. たとえば、お客様のデータが保存されている場合、Microsoft Azure はbitlockerDM-Cryptを使用し、microsoft 365 は Bitlocker、 Azure Storage Service 暗号化Distributed Key Manager (DKM)、および microsoft 365 Service 暗号化を使用します。For example, for customer data at rest, Microsoft Azure uses BitLocker and DM-Crypt, and Microsoft 365 uses BitLocker, Azure Storage Service Encryption, Distributed Key Manager (DKM), and Microsoft 365 service encryption. 転送中の顧客データの場合、Azure、Office 365、Microsoft コマーシャルサポート、Microsoft Dynamics 365、Microsoft Power BI、Visual Studio Team Services は、Microsoft データセンター間、およびユーザーデバイスと Microsoft データセンター間で、業界標準のセキュリティで保護されたトランスポートプロトコル (インターネットプロトコルセキュリティ (IPsec)、トランスポート層セキュリティ (TLS) など) を使用します。For customer data in transit, Azure, Office 365, Microsoft Commercial Support, Microsoft Dynamics 365, Microsoft Power BI, and Visual Studio Team Services use industry-standard secure transport protocols, such as Internet Protocol Security (IPsec) and Transport Layer Security (TLS), between Microsoft datacenters and between user devices and Microsoft datacenters.

Microsoft によって提供される暗号化セキュリティのベースラインレベルに加えて、クラウドサービスには、管理可能な追加の暗号化オプションも含まれています。In addition to the baseline level of cryptographic security provided by Microsoft, our cloud services also include additional cryptography options that you can manage. たとえば、Azure 仮想マシン (Vm) とユーザーの間のトラフィックに対して暗号化を有効にすることができます。For example, you can enable encryption for traffic between their Azure virtual machines (VMs) and their users. Azure 仮想ネットワークでは、業界標準の IPsec プロトコルを使用して、企業の VPN ゲートウェイと Azure の間、および仮想ネットワーク上に配置された vm 間のトラフィックを暗号化することができます。With Azure Virtual Networks, you can use the industry-standard IPsec protocol to encrypt traffic between your corporate VPN gateway and Azure as well as between the VMs located on your Virtual Network. さらに、新しい Office 365 メッセージの暗号化機能を使用すると、暗号化されたメールをだれにでも送信できます。In addition, In addition, new Office 365 Message Encryption capabilities allow you to send encrypted mail to anyone.

Microsoftセキュリティポリシーのコンポーネントである公開キー基盤の運用セキュリティ標準に準拠して、microsoft は、証明書と認証機構のために Windows オペレーティングシステムに含まれている暗号化機能を活用しています。これには、米国政府機関の連邦情報処理規格(FIPS) 140-2 標準に準拠する暗号化モジュールの使用が含まれます。In accordance with the Public Key Infrastructure Operational Security Standard, which is a component of the Microsoft Security Policy, Microsoft leverages the cryptographic capabilities included in the Windows operating system for certificates and authentication mechanisms, which includes the use of cryptographic modules that meet the U.S. government's Federal Information Processing Standards (FIPS) 140-2 standard. (Microsoft の関連する NIST 証明書番号については、「」を参照してください。https://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401vend.htm.)(Relevant NIST certificate numbers for Microsoft can be found at https://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401vend.htm.)

ことMicrosoft セキュリティポリシーにリソースとしてアクセスするには、職場または学校のアカウントを使用してサインインする必要があります。[NOTE] To access the Microsoft Security Policy as a resource, you must sign in using your work or school account. サブスクリプションをまだお持ちでない場合は、無料試用版にサインアップできます。If you don't have a subscription yet, you can sign up for a free trial.

FIPS 140-2 は、これを使用する製品ではなく、暗号化を実装する製品モジュールを検証するために特別に設計された標準です。FIPS 140-2 is a standard designed specifically for validating product modules that implement cryptography rather than the products that use them. サービス内で実装されている暗号化モジュールは、ハッシュの強度、キーの管理などの要件を満たすことが認定されている場合があります。Cryptographic modules that are implemented within a service can be certified as meeting the requirements for hash strength, key management, and the like. Microsoft のクラウドサービスでのデータの機密性、整合性、または可用性を保護するために暗号化機能が使用されている場合は、FIPS 140-2 標準に準拠するモジュールと暗号が使用されます。Any time cryptographic capabilities are employed to protect the confidentiality, integrity, or availability of data in Microsoft's cloud services, the modules and ciphers used meet the FIPS 140-2 standard.

Microsoft は、Windows オペレーティングシステムの新しいリリースごとにクラウドサービスで使用される基礎となる暗号化モジュールを認定しています。Microsoft certifies the underlying cryptographic modules used in our cloud services with each new release of the Windows operating system:

  • Azure および Azure 米国政府Azure and Azure U.S. Government
  • Dynamics 365、Dynamics 365 米国政府Dynamics 365 and Dynamics 365 U.S. Government
  • Office 365、Office 365 U.S. Government、Office 365 U.S. Government DefenseOffice 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense

保存されている顧客データの暗号化は、BitLocker、DKM、Azure Storage Service の暗号化、Exchange Online、Skype for business、OneDrive for Business、および SharePoint Online のサービス暗号化など、複数のサービス側テクノロジによって提供されます。Encryption of customer data at rest is provided by multiple service-side technologies, including BitLocker, DKM, Azure Storage Service Encryption, and service encryption in Exchange Online, Skype for Business, OneDrive for Business, and SharePoint Online. Office 365 service encryption には、Azure Key Vault に格納されている、顧客が管理する暗号化キーを使用するオプションが含まれています。Office 365 service encryption includes an option to use customer-managed encryption keys that are stored in Azure Key Vault. Customerキーと呼ばれるこの顧客管理キーオプションは、Exchange Online、SharePoint Online、Skype for business、および OneDrive for business で使用できます。This customer-managed key option, called Customer Key, is available for Exchange Online, SharePoint Online, Skype for Business, and OneDrive for Business.

送信中の顧客データの場合、すべての Office 365 サーバーは、既定で TLS を使用してセキュリティで保護されたセッションを、顧客データをセキュリティで保護するクライアントコンピューターを使用してネゴシエートしますFor customer data in transit, all Office 365 servers negotiate secure sessions using TLS by default with client machines to secure customer data. これは、Skype for Business、Outlook、web 上の Outlook、モバイルクライアント、web ブラウザーなど、クライアントによって使用されるすべてのデバイスのプロトコルに適用されます。This applies to protocols on any device used by clients, such as Skype for Business, Outlook, and Outlook on the web, mobile clients, and web browsers.

(お客様に接しているすべてのサーバーは、既定で TLS 1.2 にネゴシエートされますが、必要に応じて、より低い標準へのネゴシエートもサポートしています)。(All customer-facing servers negotiate to TLS 1.2 by default, but we also support negotiating down to a lower standard, if required.)