Microsoft 365 の分離コントロール

Microsoft は、Microsoft 365 のマルチテナント アーキテクチャがエンタープライズ レベルのセキュリティ、機密性、プライバシー、整合性、ローカル、国際、および可用性標準をサポートするように継続的に取り組 みます。 Microsoft が提供するサービスの規模と範囲により、Microsoft 365 を人間の重要な相互作用で管理するのが困難で経済的ではありません。 Microsoft 365 サービスは、グローバルに分散されたデータ センターを通じて提供され、それぞれが高度に自動化され、人間のタッチや顧客コンテンツへのアクセスを必要とする操作がほとんどありません。 当社のスタッフは、自動化されたツールと高度にセキュリティで保護されたリモート アクセスを使用して、これらのサービスとデータ センターをサポートしています。

Microsoft 365 は、重要なビジネス機能を提供し、Microsoft 365 エクスペリエンス全体に貢献する複数のサービスで構成されています。 これらの各サービスは自己完結型であり、相互に統合するように設計されています。 Microsoft 365 は、次の原則を使用して設計されています。

• サービス指向アーキテクチャ: 適切に定義されたビジネス機能を提供する相互運用可能なサービスの形式でソフトウェアを設計および開発します。
• 運用セキュリティの保証: Microsoft セキュリティ開発ライフサイクル、Microsoft セキュリティ対応センター、サイバーセキュリティの脅威状況に対する深い認識など、Microsoft 固有のさまざまな機能を通じて得られた知識を組み込んだフレームワーク。

Microsoft 365 サービスは相互に動作しますが、相互に独立した自律サービスとして展開および運用できるように設計および実装されています。 Microsoft は、microsoft 365 の職務と責任領域を分離して、organizationの資産の不正な変更または意図しない変更や誤用の機会を減らします。 Microsoft 365 チームは、包括的なロールベースのアクセス制御メカニズムの一部としてロールを定義しています。

テナントの分離

クラウド コンピューティングの主な利点の 1 つは、多数の顧客間で共有され共通のインフラストラクチャの概念が同時に実現され、規模のメリットにつながります。 Microsoft は、クラウド サービスのマルチテナント アーキテクチャによって、エンタープライズレベルのセキュリティ、機密性、プライバシー、完全性、可用性の基準をサポートするため、継続的に取り組んでいます。

Microsoft クラウド サービスは、すべてのテナントが他のすべてのテナントに対して敵対的である可能性があることを前提に設計されており、あるテナントのアクションが別のテナントのセキュリティまたはサービスに影響を与えたり、別のテナントのコンテンツにアクセスしたりするのを防ぐためのセキュリティ対策を実装しています。

マルチテナント環境でテナントの分離を維持する主な 2 つの目標は次のとおりです。

• テナント間での顧客コンテンツの漏洩(または未承認のアクセス)を防止する。そして
• あるテナントのアクションが別のテナントのサービスに悪影響を与えないようにする

Microsoft 365 のサービスまたはアプリケーションを侵害したり、他のテナントや Microsoft 365 システム自体の情報に不正にアクセスしたりするのを防ぐために、Microsoft 365 全体で複数の保護形式が実装されています。

• Microsoft 365 サービスの各テナント内の顧客コンテンツの論理的な分離は、Microsoft Entra承認とロールベースのアクセス制御によって実現されます。
• SharePoint Online には、ストレージ レベルでのデータ分離メカニズムが用意されています。
• Microsoft は、厳格な物理的セキュリティ、バックグラウンド スクリーニング、多層暗号化戦略を使用して、顧客コンテンツの機密性と整合性を保護しています。 すべての Microsoft 365 データセンターには生体認証アクセス制御があり、ほとんどの場合、物理的なアクセスを得るために手のひらプリントが必要です。 さらに、米国に拠点を置くすべての Microsoft 従業員は、採用プロセスの一環として標準のバックグラウンド チェックを正常に完了する必要があります。 Microsoft 365 の管理アクセスに使用されるコントロールの詳細については、「 Microsoft 365 アカウント管理」を参照してください。
• Microsoft 365 は、BitLocker、ファイルごとの暗号化、トランスポート層セキュリティ (TLS)、インターネット プロトコル セキュリティ (IPsec) など、保存中および転送中の顧客コンテンツを暗号化するサービス側テクノロジを使用します。 Microsoft 365 での暗号化の詳細については、「Microsoft 365 のデータ暗号化テクノロジ」を参照してください。

上記の保護を組み合わせることで、物理的な分離のみで提供されるのと同等の脅威保護と軽減策を提供する堅牢な論理分離制御が提供されます。

リソース

• Microsoft Entra ID での分離とアクセス制御
• テナント境界の監視とテスト
• Microsoft 365 での分離とアクセス制御