EU データ境界から除外されるサービス
Azure、Dynamics 365、Power Platform、および Microsoft 365 サービス ファミリの Microsoft のエンタープライズ オンライン サービスの大部分は、EU データ境界のスコープ内にありますが、このドキュメントの他の EU データ境界の記事またはセクションで詳しく説明されているサービスの運用と使用に関連する顧客データと仮名化された個人データの継続的なフローの影響を受けますが、これらのファミリの一部のサービスは対象外です。EU データ境界のスコープでは、通常、サービスの性質と提供される顧客価値を、地域化されたアーキテクチャを実装して提供することはできません。 このドキュメントでは、このカテゴリのサービスの主な例について説明します。 この一覧は完全ではなく、時間の経過と同時に更新される可能性があります。 サービス契約の製品使用条件部分は、特定のサービスが EU データ境界サービスであるかどうかを判断するための決定的なソースです。
Azure サービス
Azure Front Door (AFD) と Azure Content Delivery Network (CDN)
Azure Front Door とコンテンツ配信ネットワークは 、EU から顧客データを転送します。 Azure Front Door と Content Delivery Network は、お客様の静的で動的なコンテンツを世界中のエンド ユーザーに近づけるために使用できる非リージョン サービスです。 グローバルな要求を高速化するために、Azure Front Door と Azure CDN は、顧客に代わってグローバル エッジの場所にデータをキャッシュします。 どちらのサービスも、anycast と呼ばれるネットワーク手法を使用して、可能な限り最速のルートを使用して、顧客のエンド ユーザーとポイント オブ プレゼンス (PoP) の場所間でトラフィックを転送します。 このルーティング メカニズムの性質と、世界中のデータをプッシュするためのお客様の要件に対応するために、すべてのトラフィックが EU データ境界内に留まるわけではありません。 キャッシュされたコンテンツの期間は、AFD または CDN プロファイル設定内の顧客の構成に基づいて変更できます。
Windows 10 IoT Core サービス
Windows 10 IoT Coreサービスは、EU から顧客データを転送します。 Windows 10 IoT Coreサービスは、お客様の顧客に配布する顧客データをホストするグローバルなソフトウェア更新プログラム配布サービスです。 このサービスを使用すると、グローバル Windows Update コンテンツ配信ネットワーク (CDN) を使用してマネージド IoT デバイスを更新でき、カスタム コンテンツと Microsoft の Windows IoT ソフトウェア更新プログラムをWindows Updateとして配信できます。 この機能を提供するために、顧客データは Azure Storage と、Windows Updateをサポートするサーバー内の世界中の両方に格納されます。 グローバルに転送される顧客データには、お客様がボードサポートパッケージ (BSP) にアップロードするすべてのデータが含まれます。これには、デバイスの更新を対象とするカスタム ドライバー、アプリケーション、その他のデータを含めることができます。
Microsoft 365 サービス
Microsoft 365 アプリケーション
Microsoft 365 アプリケーション (2022 年 12 月 31 日より前のビルドの場合): Microsoft 365 アプリケーションを使用する既存のお客様のパフォーマンスと安定性を確保するために、EU データ境界コミットメントは 2022 年 12 月 31 日以降にリリースされたバージョンにのみ適用されます。 古いビルドを使用しているお客様は、最新バージョンにアップグレードする必要があります。
セキュリティ サービス
Microsoft セキュリティ サービスは、エンドポイント、クラウド ワークロード、メールおよびコラボレーション ソフトウェアの保護など、最新のマルウェア攻撃からお客様を保護するのに役立ちます。 境界を越えた信号を使用して Microsoft セキュリティ サービスによって生成される顧客向けのセキュリティ機能の例を次に示します。
- 高度な最新のセキュリティ脅威からの保護: Microsoft は、人工知能を含む高度な分析機能を使用して、グローバルに集計されたセキュリティ関連データを分析します。 これにより、脅威の防止、検出、調査、対応、修復に役立ちます。 この一元化された分析機能がグローバル データ全体に存在しなければ、これらのサービスの有効性が大幅に低下し、Microsoft が顧客に必要なレベルの保護を提供できなくなります。
- 侵害されたエンタープライズ ユーザーの検出: Microsoft は、短時間で複数の地域リージョンからの疑わしいアカウント ログインを追跡することで、ID の侵害を検出するのに役立ちます。 これは 不可能な旅行 攻撃と呼ばれます。 この種の保護を有効にするために、Microsoft セキュリティ サービスはグローバル Microsoft Entra認証ログを一元的に処理します。
- データ流出の検出: Microsoft は、さまざまな場所からのデータ ストレージへの悪意のあるアクセスのいくつかのシグナル (悪意のあるアクターが検出レーダーの下を飛行するために使用する手法 ) ( 低 攻撃と 低速 攻撃と呼ばれます) を集計することで、企業からの潜在的なデータ漏洩を顧客に警告するのに役立ちます。
Microsoft Defender XDR
Microsoft Defender XDRは、エンドポイント、ID、電子メール、アプリケーション間で検出、防止、応答をネイティブに調整し、高度な攻撃に対する統合された保護を提供する、侵害前および侵害後の統合されたエンタープライズ防御スイートです。 Microsoft Defender XDR サービスでは、グローバル な顧客の脅威を検出するために、グローバル データ セットに対する人工知能、自動化、人間などのグローバル システムの運用が必要です。 人間のセキュリティ研究者とアナリストは、サービスのインテリジェンスの側面を 24 時間 365 日運用し、世界中に広がるサイトから統合されたデータを使用して、新しい検出、署名、ヒューリスティックを作成します。 Microsoft Defender XDRサービスは、EU リージョンのほとんどの EU 顧客データを格納します。 米国への制限付き転送は、転送中とストレージ中に暗号化されます。 この顧客データへのアクセスは、Just-In-Time (JIT) アクセス許可を持つ Secure 管理 Workstation (SAW) を介してのみ行われます。 詳細については、Microsoft セキュリティ センターのデータの場所に関するページを参照し、クラウド サービスのデータ所在地と転送ポリシー内のMicrosoft Defender XDR サービスに移動します。
EU データ境界から除外されるMicrosoft Defender XDR サービスについては、次のセクションで説明します。
Microsoft Defender for Endpoint
Microsoft Defender for Endpointは、エンタープライズ ネットワークが高度な脅威を防止、検出、調査、対応できるように設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 Microsoft Defenderには、脆弱性管理、攻撃面の縮小、エンドポイントの検出と対応、自動調査と修復を含む次世代の保護が含まれています。 Microsoft Defender for Endpointは、人間のセキュリティ研究者やアナリストによって継続的に更新され、新しい検出が作成され、人間の研究者はグローバルにデータを操作する必要があります。
Microsoft Defender for Identity
Microsoft Defender for Identityは、複数の種類の高度な標的型サイバー攻撃やインサイダーの脅威からエンタープライズ ハイブリッド環境を保護するのに役立つクラウド サービスです。 Defender for Identity はMicrosoft Defender XDRと完全に統合されており、オンプレミスの Active Directory ID とクラウド ID の両方からのシグナルを利用して、organizationに向けられた高度な脅威をより適切に特定、検出、調査します。 Defender for Identity は、新しい検出を作成するために人間のセキュリティ研究者によって継続的に更新されるため、ID 構成とセキュリティのベスト プラクティスに関する貴重な分析情報を提供します。 Microsoft Defender XDRサービスは、EU のほとんどの顧客データを EU に格納します。 顧客データと仮名化された個人データの米国への限定的な転送は、転送および保存中に暗号化されます。 データへのアクセスは、Just-In-Time (JIT) アクセス許可を持つ Secure 管理 Workstation (SAW) を介してのみ行われます。
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Appsは、サービスとしてのソフトウェア (SaaS) アプリケーションの完全な保護を提供し、高度な脅威保護を通じてクラウド アプリ データの監視と保護を支援します。 SaaS アプリはハイブリッド作業環境全体でユビキタスであり、SaaS アプリと、それらが格納する重要なデータを保護することは、組織にとって大きな課題です。 アプリの使用の増加と、会社の境界外の会社のリソースにアクセスする従業員が組み合わされ、新しい攻撃ベクトルが導入されました。 これらの攻撃に効果的に対処するために、セキュリティ チームは、クラウド アクセス セキュリティ ブローカー (CASB) の従来のスコープを超えて、クラウド アプリ内のデータを保護するために Defender for Cloud Apps に依存しています。 Defender for Cloud Apps は、SaaS アプリの使用状況から環境に対するリスクの全体像を示し、サインインできるすべてのユーザーとサードパーティ製アプリを特定して、使用されている内容とタイミングを制御します。 Microsoft Defender for Cloud Appsは、グローバルに分散された人間のセキュリティ研究者やアナリストによって継続的に更新され、新しい検出が作成されます。
Microsoft Defender for Office 365
Microsoft Defender for Office 365は、メール、リンク (URLS)、添付ファイル、コラボレーション ツールの脅威から保護する、Office 365 サブスクリプションへのシームレスな統合です。 Microsoft Defender for Office 365管理者とセキュリティ運用チームに幅広い機能を提供することで、悪意のある脅威から組織を保護します。 これらの機能は、インストール時にユーザー、管理者、およびセキュリティ操作の恩恵を受け始めます。これには、迅速な事前設定オプション、脅威保護ポリシーを定義する機能、リアルタイムの表示と監視を含む堅牢なレポート、脅威の調査と対応ツール、自動調査と対応機能が用意されています。 悪意のある脅威が 1 つのリージョンに限定されることはめったにないため、Microsoft Defender for Office 365では、グローバルに分散された人間のセキュリティ研究者が、ほとんどのデータを転送して米国に格納して、包括的かつグローバルにデータを分析する必要があります。 Microsoft Defender for Office 365 送信者/受信者のメール アドレス、送信者の IP アドレスを含む電子メール ヘッダー、電子メール コンテンツに含まれる URL、スクラブ/難読化された件名行など、セキュリティ分析のために収集されるデータは暗号化されるため、セキュリティ研究者やエンジニアは人間が判読できる方法でコンテンツにアクセスできません。
Microsoft Cloud Security
Microsoft Cloud Security サービスのスイートは、Azure、ハイブリッド、その他のクラウド プラットフォーム (モノのインターネット (IoT) デバイスを含む) で実行されているお客様のワークロードに対して、セキュリティ体制の管理と脅威保護を提供します。 これらはグローバル サービスであり、顧客のクラウド リソースに対してリアルタイムのアラートとセキュリティに関する推奨事項を提供します。 クラウド セキュリティ サービスは、EU リージョンの EU 顧客のほとんどの顧客データを、米国に保存される限られた転送で格納します。 クラウド セキュリティ サービスは、制限付きロールベースのアクセス制御 (RBAC)、Secure 管理 Workstations (SAW)、Just-In-Time (JIT) アクセス許可を持つデータを厳密に制御します。 データ転送はネットワーク上で暗号化され、データストレージは継続的な監視と検出のためにインストルメント化されます。
EU データ境界から除外される Microsoft Cloud Security サービスについては、次のセクションで説明します。
クラウドのMicrosoft Defender
Microsoft Defender for Cloud は、さまざまなサイバー脅威や脆弱性からクラウドベースのアプリケーションを保護するために設計された一連のセキュリティ対策とプラクティスを備えたクラウドネイティブのアプリケーション保護プラットフォームです。 Defender for Cloud には、DevOps セキュリティ管理、クラウド セキュリティ体制管理、クラウド ワークロードの保護など、いくつかの機能が組み合わされています。 セキュリティの脅威を検出し、顧客リソースを保護するには、クラウドのMicrosoft Defenderは、限られた仮名化された個人データと顧客データを米国に転送して、顧客のアクティビティをグローバルに分析する必要があります。 この仮名化された個人データと顧客データは、お客様が欧州連合でテナントをプロビジョニングしない限り、米国に暗号化されて保存されます。 お客様が欧州連合でテナントをプロビジョニングした場合、欧州連合内の顧客のリソースから派生したすべての仮名化された個人データと顧客データは、欧州連合に保存されます。 Defender for Cloud は、セキュリティ関連の顧客データのコピーを、仮想マシンやMicrosoft Entra テナントなどの顧客リソースから収集、または関連付けられた場所に保存する場合があります。
Microsoft Sentinel
Microsoft Sentinel は、セキュリティ情報、イベント管理 (SIEM) オーケストレーション、自動化、応答 (SOAR) を提供するスケーラブルなクラウドネイティブ ソリューションです。 Microsoft Sentinel は、インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に提供します。 Microsoft Sentinel を使用すると、攻撃検出、脅威の可視性、プロアクティブハンティング、脅威対応のための単一のソリューションを入手できます。 Microsoft Sentinel は、高度な攻撃のストレスを緩和し、アラートの量を増やし、長い解決期間を実現する企業全体の鳥瞰図を提供します。 Microsoft Sentinel は、対応する Azure Monitor ワークスペースが EU 内にある場合に、ほとんどの顧客データを EU データ境界に格納して処理できます。 詳細については、「 Microsoft Sentinel での地理的な可用性とデータ所在地」を参照してください。 それ以外の場合、顧客データとオブジェクト ID などの仮名化された個人データは、EU データ境界の外部に転送できます。
IoT のMicrosoft Defender
Microsoft Defender for IoT は、モノのインターネット (IoT) と運用テクノロジ (OT) デバイス、脆弱性、脅威を特定するために特別に構築された統合セキュリティ ソリューションです。 Defender for IoT を使用して、セキュリティ エージェントが組み込まれていない可能性がある既存のデバイスを含め、IoT/OT 環境全体をセキュリティで保護します。 Defender for IoT は、エージェントレスのネットワーク層の監視を提供し、産業用機器とセキュリティ オペレーション センター (SOC) ツールの両方と統合します。 Defender for IoT では、エージェントレス監視を使用して、ネットワーク全体の可視性とセキュリティを提供し、特殊なプロトコル、デバイス、またはマシン間 (M2M) の動作を識別します。 Microsoft Defender for IoT は、お客様のアクティビティをグローバルに分析し、すべての場所で IoT セキュリティ ソリューションを確認するために必要な視点を顧客に提供します。 さらに、Defender for IoT では、セキュリティ検出データを表示および分析して、セキュリティ ギャップを認識し、実用的な推奨事項を提供します。 Microsoft Defender for IoT は、セキュリティ関連の顧客データを処理するために他の Microsoft Online Services を使用する場合があり、このデータはそのサービスの構成設定に基づいて格納されます。
ストレージのMicrosoft Defender
Microsoft Defender for Storage は、ストレージ アカウントに対する潜在的な脅威を検出するセキュリティ インテリジェンスの Azure ネイティブ レイヤーです。 これは、悪意のあるファイルのアップロード、機密データの流出、データの破損という、データとワークロードに対する 3 つの大きな影響を防ぐのに役立ちます。 Microsoft Defender for Storage は、Azure Blob Storage、Azure Files、およびAzure Data Lake Storage サービスからデータ プレーンとコントロール プレーンシステムによって生成されたログを分析することで、包括的なセキュリティを提供します。 Microsoft セキュリティ インテリジェンス、Microsoft Defender ウイルス対策、機密データ検出を利用した高度な脅威検出機能を使用して、潜在的な脅威の検出と軽減に役立ちます。
動的 365 不正防止
Dynamics 365 Fraud Protectionは、複数のビジネス ラインで接続されたビッグ データを使用し、最先端の人工知能 (AI) を適用して、より正確な意思決定をリアルタイムで提供する高度なテクノロジ スタックです。 Dynamic 365 Fraud Protection は、アカウント詐欺の検出、詐欺防止ネットワークへの接続、デバイスフィンガープリント、適応可能なアカウント ルール エンジン、ボット保護、カスタム構成オプションを提供します。 不正防止ネットワーク (FPN) は、処理と分析のための独自の機械学習モデルで使用するためにトランザクション データを仮名化します。 これにより、グローバルな詐欺検出に関する正確なスコアと分析情報を提供できます。 さらに、デバイスフィンガープリントは、顧客のプロビジョニングされた地域に基づいて、顧客の環境内で仮名化された個人データを収集するために使用されます。
Microsoft Copilot for Security
Microsoft Copilot for Securityは、マシンの速度と規模でセキュリティの成果を向上させるために、防御者の効率と機能を向上させるのに役立つ、生成型の AI を利用したセキュリティ ソリューションです。 Copilot for Securityは、インシデント対応、脅威ハンティング、インテリジェンス収集、ポスチャ管理などのエンドツーエンドのシナリオでセキュリティ プロフェッショナルをサポートするのに役立つ、自然言語、支援的な副操縦士エクスペリエンスを提供します。 このソリューションは、Azure OpenAI アーキテクチャの完全な機能を活用して、organization固有の情報、権限のあるソース、グローバル脅威インテリジェンスなど、セキュリティ固有のプラグインを使用してユーザー プロンプトへの応答を生成します。
Copilot for Securityは、顧客データと仮名化された個人データ (ユーザー プロンプトやMicrosoft Entra オブジェクト ID など) をテナント Geo に格納します。 顧客が EU でテナントをプロビジョニングし、 データ共有をオプトインしていない場合、すべての顧客データと仮名化された個人データは、EU データ境界に保存されます。 プロンプトの処理は、指定された Security GPU Geo で行うことができます。 セキュリティ GPU 地域の選択の詳細については、「ユーザーがデータ共有をオプトインしている場合は、Copilot for Securityまたは GPU Geo の外部で作業を開始する」を参照してください。 データ共有の詳細については、「 Microsoft Security Copilot のプライバシーとデータ セキュリティ」を参照してください。