次の方法で共有

データ暗号化について

  • [アーティクル]

データは組織にとって最も貴重でかけがえのない資産であり、暗号化は多層的なデータセキュリティ戦略における最後にして最強の防御線として機能します。 Microsoft ビジネス クラウド サービスと製品は暗号化を使用して顧客データを保護し、顧客データに対する制御を維持できるようにします。

保存データ保護

情報を暗号化すると、許可されていない人がファイアウォールを突破したり、ネットワークに侵入したり、デバイスに物理的にアクセスしたり、ローカル マシンのアクセス許可をバイパスしたりした場合でも、情報を読み取れなくなります。 暗号化はデータを変換して、復号化キーを持っている人だけがデータにアクセスできるようにします。

Dynamics 365は、異種ストレージ (Dataverse) を使用してデータを保存します。 データはさまざまなストレージ タイプに分散されます。

  • リレーショナル データ用の Azure SQL Database
  • 画像やドキュメントなどのバイナリ データ用の Azure Blob Storage
  • 検索インデックス用の Azure Search
  • Microsoft 365 アクティビティ ログと監査データ用 Azure Cosmos DB
  • 分析用 Azure Data Lake Analytics

Dataverse データベースは SQLTDE (Transparent Data Encryption、FIPS 140-2 に準拠) を使用して、保存中のデータ暗号化のためにデータとログ ファイルのリアルタイム I/O 暗号化と復号化を提供しています。 Azure Storage Encryption は、Azure Blob Storageに保存されている保存データに使用されます。 これらは、FIPS 140-2 に準拠した 256 ビットの AES 暗号化を使用して、透過的に暗号化および復号化されます。

デフォルトでは、 Microsoft は Microsoft管理キーを使用して環境のデータベース暗号化キーを保存および管理します。 ただし、Power Platform は追加されたデータ保護規則用の顧客管理の暗号化キー (CMK) を提供し、データベース暗号化キーを自己管理できます。 暗号化キーは独自の Azure Key Vault に存在するため、必要に応じて暗号化キーを交換したり入れ替えたりできます。 また、いつでも当社のサービスへのキーアクセスを取り消すことで、 Microsoftによる顧客データへのアクセスを防止することもできます。

保存データの暗号化

管理者は、独自のキー ジェネレータ ハードウェア (HSM) を使用して独自の暗号化キーを提供するか、Azure Key Vault を使用して暗号化キーを生成できます。 キー管理機能は、Azure Key Vault を使用して暗号化キーを安全に保管することにより、暗号化キー管理の複雑さを取り除きます。 Azure Key Vault は、クラウド アプリケーションとサービスで使用される暗号化キーとシークレットを保護するのに役立ちます。 暗号化キーは、次の Azure Key Vault の要件を満たしている必要があります。

管理者はいつでも暗号化キーを管理対象キーに戻すこともできます。 Microsoft

転送中データ保護

Azure は、外部コンポーネントとの間で転送中のデータ、および 2 つの仮想ネットワーク間などの内部で転送中のデータを保護します。 Azureは、ユーザー デバイスとデータ センター間、およびデータ センター内で、TLSなどの業界標準のトランスポート プロトコルを使用します。 Microsoft データをさらに 元に戻す するために、サービス間の内部通信はバックボーン ネットワークを使用しているため、パブリック インターネットには公開されません。 Microsoft Microsoft

Microsoft は、製品とサービス全体で複数の暗号化方式、プロトコル、アルゴリズムを使用して、インフラストラクチャを通過するデータの安全なパスを提供し、インフラストラクチャ内に保存されているデータの機密性を維持します。 Microsoft 業界で最も強力で安全な暗号化プロトコルを使用して、データへの不正アクセスを防止します。 適切なキー管理は暗号化のベスト プラクティスに不可欠な要素であり、 Microsoft 暗号化キーが適切に保護されることを保証するのに役立ちます。

転送中のデータの暗号化

プロトコルとテクノロジーの例は次のとおりです。

  • Transport Layer Security/Secure Sockets Layer (TLS/SSL)。共有シークレットに基づく対称暗号化を使用して、ネットワーク上を移動する通信を暗号化します。
  • インターネット プロトコル セキュリティ (IPsec) は、データがネットワークを介して転送されるときに、IP パケット レベルでデータの認証、整合性、および機密性を提供するために使用される業界標準のプロトコルセットです。
  • Advanced Encryption Standard (AES)-256、データ暗号化標準 (DES) および RSA 2048 公開鍵暗号化技術に代わるものとして米国政府によって採用された対称鍵データ暗号化に関する国立標準技術研究所 (NIST) 仕様。