OneDrive for Business および SharePoint Online におけるデータ暗号化Data Encryption in OneDrive for Business and SharePoint Online

OneDrive for Business および SharePoint Online におけるデータ セキュリティの暗号化の基本要素について理解を深めます。Understand the basic elements of encryption for data security in OneDrive for Business and SharePoint Online.

概要Overview

Office 365 は、物理的なデータ センター セキュリティ、ネットワーク セキュリティ、アクセス セキュリティ、アプリケーション セキュリティ、データ セキュリティといった多層にわたって拡張保護が提供されるセキュリティの高い環境です。この記事では特に、OneDrive for Business および SharePoint Online におけるデータ セキュリティの転送中の暗号化と保管中の暗号化に注目します。Office 365 is a highly secure environment that offers extensive protection in multiple layers: physical data center security, network security, access security, application security, and data security. This article specifically focuses on the in-transit and at-rest encryption side of data security for OneDrive for Business and SharePoint Online.

全体としての Office 365 のセキュリティについては、 Office 365 のホワイト ペーパーでのセキュリティを参照してください。For a description of Office 365 security as a whole, see Security in Office 365 White Paper.

データの暗号化の仕組みについて、次のビデオをご覧ください。Watch how data encryption works in the following video.

転送中データの暗号化Encryption of data in transit

OneDrive for Business および SharePoint Online では、データを入力し、データセンターを終了する 2 つのシナリオがあります。In OneDrive for Business and SharePoint Online, there are two scenarios in which data enters and exits the datacenters.

  • サーバーとのクライアント通信OneDrive for Business とインターネットを介して通信する場合、SSL/TLS 接続を使用します。すべての SSL 接続は 2048 ビット キーを使用して確立されます。Client communication with the server Communication to OneDrive for Business across the Internet uses SSL/TLS connections. All SSL connections are established using 2048-bit keys.

  • データセンター間でのデータの移動 データセンター間でデータを移動させる主な理由は、geo レプリケーションで障害復旧を有効にするためです。たとえば、SQL Server トランザクション ログおよび Blob ストレージの差分はこのパイプで移動します。このデータは既にプライベート ネットワークにより送信されていますが、クラス最高の暗号化を使用してさらに保護されます。Data movement between datacenters The primary reason to move data between datacenters is for geo-replication to enable disaster recovery. For instance, SQL Server transaction logs and blob storage deltas travel along this pipe. While this data is already transmitted by using a private network, it is further protected with best-in-class encryption.

保管中データの暗号化Encryption of data at rest

保管中の暗号化には、ユーザー コンテンツの BitLocker ディスク レベル暗号化と、ファイル単位暗号化が関係しています。Encryption at rest includes two components: BitLocker disk-level encryption and per-file encryption of customer content.

サービスの間で OneDrive のビジネスおよび SharePoint Online に BitLocker が配置されます。ファイルごとの暗号化もビジネスおよび SharePoint Online の OneDrive で Office 365 のマルチ テナントとマルチ テナント型のテクノロジに基づいて構築されている新しい専用の環境にあります。BitLocker is deployed for OneDrive for Business and SharePoint Online across the service. Per-file encryption is also in OneDrive for Business and SharePoint Online in Office 365 multi-tenant and new dedicated environments that are built on multi-tenant technology.

BitLocker 暗号化はディスク上のすべてのデータを暗号化し、ファイル単位暗号化の場合にはファイルごとに固有の暗号化キーを含めてさらに細かく暗号化を行えます。つまり、各ファイルを更新するたびに独自の暗号化キーを使用して暗号化されます。暗号化されたコンテンツに対するキーは、コンテンツとは物理的に別の場所に格納されます。この暗号化の各ステップでは、256 ビット キーによる高度暗号化標準 (Advanced Encryption Standard: AES) が使用され、Federal Information Processing Standard (FIPS) 140-2 に準拠しています。暗号化されたコンテンツは、データセンターにある多数のコンテナーに配布され、各コンテナーでは固有の資格情報が使用されます。これらの資格情報はコンテンツまたはコンテンツ キーとは物理的に別の場所に格納されます。While BitLocker encrypts all data on a disk, per-file encryption goes even further by including a unique encryption key for each file. Further, every update to every file is encrypted using its own encryption key. Before they're stored, the keys to the encrypted content are stored in a physically separate location from the content. Every step of this encryption uses Advanced Encryption Standard (AES) with 256-bit keys and is Federal Information Processing Standard (FIPS) 140-2 compliant. The encrypted content is distributed across a number of containers throughout the datacenter, and each container has unique credentials. These credentials are stored in a separate physical location from either the content or the content keys.

FIPS 140-2 準拠の詳細については、 FIPS 140-2 準拠を参照してください。For additional information about FIPS 140-2 compliance, see FIPS 140-2 Compliance.

残りの部分でファイル レベルの暗号化では、実質的に無制限のストレージの拡張を提供する比類のない保護を有効にして、blob ストレージを活用します。ビジネスと SharePoint の Onlinewill の OneDrive 内のすべてのユーザー コンテンツは、blob ストレージに移行します。そのデータを保護する方法を以下に示します。File-level encryption at rest takes advantage of blob storage to provide for virtually unlimited storage growth and to enable unprecedented protection. All customer content in OneDrive for Business and SharePoint Onlinewill be migrated to blob storage. Here's how that data is secured:

  1. すべてのコンテンツが暗号化されます。その場合、複数のキーを使用して暗号化されることもあります。暗号化されたデータはデータセンターで分散されます。格納される各ファイルはサイズに応じて 1 つ以上のチャンクに分けられます。その後、各チャンクは固有のキーを使用して暗号化されます。更新作業も同様に処理されます。つまり、ユーザーによって送信された一連の変更または差分がチャンクに分けられ、それぞれが独自のキーで暗号化されます。All content is encrypted, potentially with multiple keys, and distributed across the datacenter. Each file to be stored is broken into one or more chunks, depending its size. Then, each chunk is encrypted using its own unique key. Updates are handled similarly: the set of changes, or deltas, submitted by a user is broken into chunks, and each is encrypted with its own key.

  2. これらのチャンク ファイル、ファイル セット、更新差分すべては Blob ストア内で Blob として格納されます。これらのファイルはまた、複数の Blob コンテナーでランダムに分散されます。All of these chunks—files, pieces of files, and update deltas—are stored as blobs in our blob store. They also are randomly distributed across multiple blob containers.

  3. コンポーネントからファイルを再構築するために使用される "マップ" は、コンテンツ データベースに保管されています。The "map" used to re-assemble the file from its components is stored in the Content Database.

  4. それぞれの Blob コンテナーには、アクセスの種類 (読み取り、書き込み、列挙、削除) ごとに独自の資格情報があります。各資格情報セットはセキュリティが確保されたキー ストアで保管され、定期的に更新されます。Each blob container has its own unique credentials per access type (read, write, enumerate, and delete). Each set of credentials is held in the secure Key Store and is regularly refreshed.

つまり、ファイル単位の保管中の暗号化には以下のように 3 つの異なる種類のストアがあり、それぞれ別の機能を持っています。In other words, there are three different types of stores involved in per-file encryption at rest, each with a distinct function:

  • Blob ストアには、コンテンツが暗号化 Blob として格納されます。コンテンツの各チャンクのキーが暗号化されて、コンテンツ データベースに別個に格納されます。コンテンツ自体は、暗号化解除方法に関する糸口を含めずに保持されます。Content is stored as encrypted blobs in the blob store. The key to each chunk of content is encrypted and stored separately in the content database. The content itself holds no clue as to how it can be decrypted.

  • コンテンツ データベースは SQL Server データベースです。Blob ストアに保管されているコンテンツ Blob すべてを見つけて再構築するために必要なマップと、それらの Blob を暗号化解除するために必要なキーが一緒に保管されます。The Content Database is a SQL Server database. It holds the map required to locate and reassemble all of the content blobs held in the blob store as well as the keys needed to decrypt those blobs.

これら 3 つのコンポーネント (Blob ストア、コンテンツ データベース、キー ストア) はそれぞれ物理的に別の場所にあります。いずれかのコンポーネントに保管されている情報は、それ自体では使用できません。それにより、これまでにないレベルのセキュリティが実現します。これら 3 つのすべてのコンポーネントにアクセスしない限りは、チャンクのカギを取得すること、キーを暗号化解除して使用できるようにすること、キーと対応するチャンクを関連付けること、チャンクを暗号化解除すること、構成チャンクからドキュメントを再構築することはいずれも不可能です。Each of these three storage components—the blob store, the Content Database, and the Key Store—is physically separate. The information held in any one of the components is unusable on its own. This provides an unprecedented level of security. Without access to all three it is impossible to retrieve the keys to the chunks, decrypt the keys to make them usable, associate the keys with their corresponding chunks, decrypt any chunk, or reconstruct a document from its constituent chunks.