Microsoft Cloud での暗号化

  • [アーティクル]

Microsoft のエンタープライズ クラウド サービス内の顧客データは、さまざまな形式の暗号化など、いくつかのテクノロジとプロセスによって保護されています。 (このドキュメントの顧客データには、Exchange Onlineメールボックスのコンテンツ、電子メール本文、予定表エントリ、および電子メール添付ファイルの内容が含まれます。該当する場合は、Skype for Businessコンテンツ、SharePoint Online サイトコンテンツ、サイト内に保存されているファイル、およびOneDrive for BusinessまたはにアップロードされたファイルSkype for Business.)Microsoft では、製品とサービス全体で複数の暗号化方法、プロトコル、暗号を使用して、お客様のデータがクラウド サービスを通過するための安全なパスを提供し、クラウド サービス内に格納されている顧客データの機密性を保護します。 Microsoft では、お客様のデータへの不正アクセスに対する障壁を提供するために、利用可能な最も強力で最も安全な暗号化プロトコルの一部を使用しています。 適切なキー管理は、暗号化のベスト プラクティスの重要な要素でもあります。Microsoft は、Microsoft が管理するすべての暗号化キーが適切にセキュリティで保護されるように努めます。

Microsoft のエンタープライズ クラウド サービスに格納されている顧客データは、1 つ以上の形式の暗号化を使用して保護されます。 (暗号化ポリシーとその適用の検証は、複数のサード パーティの監査者によって独立して検証され、それらの監査のレポートは Service Trust Portal で入手できます)。

Microsoft では、保存中および転送中の顧客データを暗号化するサービス側テクノロジを提供しています。 たとえば、保存中の顧客データの場合、Microsoft Azure では BitLockerDM-Crypt が使用され、Microsoft 365 では BitLocker、 Azure Storage Service EncryptionDistributed Key Manager (DKM)、Microsoft 365 サービス暗号化が使用されます。 転送中の顧客データの場合、Azure、Office 365、Microsoft Commercial Support、Microsoft Dynamics 365、Microsoft Power BI、Visual Studio Team Servicesでは、Microsoft データセンター間、ユーザー デバイス間、およびユーザー デバイス間で、インターネット プロトコル セキュリティ (IPsec) やトランスポート層セキュリティ (TLS) などの業界標準のセキュリティで保護されたトランスポート プロトコルを使用します。Microsoft データセンター。

Microsoft によって提供される暗号化セキュリティのベースライン レベルに加えて、クラウド サービスには、管理できる暗号化オプションも含まれています。 たとえば、Azure 仮想マシン (VM) とそのユーザーの間のトラフィックに対して暗号化を有効にすることができます。 Azure Virtual Networks では、業界標準の IPsec プロトコルを使用して、企業の VPN ゲートウェイと Azure の間のトラフィックを暗号化できます。 仮想ネットワーク上の VM 間のトラフィックを暗号化することもできます。 さらに、新しいOffice 365メッセージ暗号化機能を使用すると、暗号化されたメールを誰にでも送信できます。

Microsoft セキュリティ ポリシーのコンポーネントである公開キー インフラストラクチャ運用セキュリティ標準に従って、Microsoft は証明書と認証メカニズムに Windows オペレーティング システムに含まれる暗号化機能を使用します。 これらのメカニズムには、米国政府の 連邦情報処理標準 (FIPS) 140-2 標準を満たす暗号化モジュールの使用が含まれます。 暗号化モジュール検証プログラム CMVP を使用して、Microsoft の関連する NIST 証明書番号を検索できます。

[注]リソースとして Microsoft セキュリティ ポリシーにアクセスするには、職場または学校アカウントを使用してサインインする必要があります。 まだサブスクリプションをお持ちでない場合は、 無料試用版にサインアップできます

FIPS 140-2 は、暗号化を実装する製品モジュールを使用する製品ではなく、そのモジュールを検証するために特別に設計された標準です。 サービス内で実装される暗号化モジュールは、ハッシュ強度、キー管理などの要件を満たすものとして認定できます。 Microsoft のクラウド サービスのデータの機密性、整合性、または可用性を保護するために使用される暗号化モジュールと暗号は、FIPS 140-2 標準を満たしています。

Microsoft は、Windows オペレーティング システムの新しいリリースごとに、クラウド サービスで使用される基になる暗号化モジュールを認定します。

  • Azure と Azure 米国政府機関
  • Dynamics 365、Dynamics 365 米国政府
  • Office 365、Office 365 米国政府、Office 365 米国防総省

保存中の顧客データの暗号化は、BitLocker、DKM、Azure Storage Service Encryption、Exchange Online、Skype for Business、OneDrive for Business、SharePoint Online でのサービス暗号化など、複数のサービス側テクノロジによって提供されます。 Office 365サービス暗号化には、Azure Key Vaultに格納されているカスタマー マネージド暗号化キーを使用するオプションが含まれています。 カスタマー キーと呼ばれるこのカスタマー マネージド キー オプションは、Exchange Online、SharePoint Online、Skype for Business、OneDrive for Businessで使用できます。

転送中の顧客データの場合、すべてのOffice 365サーバーは、クライアント マシンと TLS を使用してセキュリティで保護されたセッションを既定でネゴシエートして、顧客データをセキュリティで保護します。 たとえば、Office 365は、セキュリティで保護されたセッションを、Skype for Business、Outlook、Outlook on the web、モバイル クライアント、Web ブラウザーとネゴシエートします。

(すべての顧客向けサーバーは、既定で TLS 1.2 にネゴシエートします)。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。