Microsoft クラウドでの暗号化
Microsoft のエンタープライズ クラウド サービス内の顧客データは、さまざまな形式の暗号化など、いくつかのテクノロジとプロセスによって保護されています。 (このドキュメントの顧客データには、Exchange Onlineメールボックスのコンテンツ、電子メール本文、予定表エントリ、および電子メール添付ファイルの内容が含まれます。該当する場合は、Skype for Businessコンテンツ、SharePoint サイト コンテンツ、およびサイト内に格納されているファイル、OneDrive または Skype for Business にアップロードされたファイルが含まれます。.)Microsoft では、製品とサービス全体で複数の暗号化方法、プロトコル、暗号を使用します。 暗号化は、お客様のデータがクラウド サービスを通過するための安全なパスを提供し、クラウド サービス内に格納されている顧客データの機密性を保護するのに役立ちます。 Microsoft では、お客様のデータへの不正アクセスに対する障壁を提供するために、利用可能な最も強力で最も安全な暗号化プロトコルの一部を使用しています。 適切なキー管理は、暗号化のベスト プラクティスの重要な要素でもあります。Microsoft は、Microsoft が管理するすべての暗号化キーが適切にセキュリティで保護されるように努めます。
Microsoft のエンタープライズ クラウド サービスに格納されている顧客データは、1 つ以上の形式の暗号化を使用して保護されます。 (Microsoft 以外の複数の監査者は、独自に暗号化ポリシーとその適用を検証します。これらの監査のレポートは、 Service Trust Portal で入手できます)。
Microsoft では、保存中および転送中の顧客データを暗号化するサービス側テクノロジを提供しています。 たとえば、保存中の顧客データの場合、Microsoft Azure では BitLocker と DM-Crypt が使用され、Microsoft 365 では BitLocker、 Azure Storage Service Encryption、 Distributed Key Manager (DKM)、Microsoft 365 サービス暗号化が使用されます。 転送中の顧客データの場合、Azure、Office 365、Microsoft Commercial Support、Microsoft Dynamics 365、Microsoft Power BI、Visual Studio Team Servicesでは、Microsoft データセンター間、ユーザー デバイス間、およびユーザー デバイス間で、インターネット プロトコル セキュリティ (IPsec) やトランスポート層セキュリティ (TLS) などの業界標準のセキュリティで保護されたトランスポート プロトコルを使用します。Microsoft データセンター。
Microsoft によって提供される暗号化セキュリティのベースライン レベルに加えて、クラウド サービスには、管理できる暗号化オプションも含まれています。 たとえば、Azure 仮想マシン (VM) とそのユーザーの間のトラフィックに対して暗号化を有効にすることができます。 Azure Virtual Networks では、業界標準の IPsec プロトコルを使用して、企業の VPN ゲートウェイと Azure の間のトラフィックを暗号化できます。 仮想ネットワーク上の VM 間のトラフィックを暗号化することもできます。 さらに、Microsoft Purview Message Encryptionでは、暗号化されたメールを誰にでも送信できます。
Microsoft セキュリティ ポリシーのコンポーネントである公開キー インフラストラクチャ運用セキュリティ Standardに従って、Microsoft は証明書と認証メカニズムに Windows オペレーティング システムに含まれる暗号化機能を使用します。 これらのメカニズムには、米国政府の 連邦情報処理標準 (FIPS) 140-2 標準を満たす暗号化モジュールの使用が含まれます。 暗号化モジュール検証プログラム (CMVP) を使用して、Microsoft の関連する国立標準技術研究所 (NIST) 証明書番号を検索できます。
[注]Microsoft セキュリティ ポリシーは、パブリック ダウンロードとして利用できません。 ポリシーの詳細については、Microsoft にお問い合わせください。
FIPS 140-2 は、暗号化を実装する製品モジュールを使用する製品ではなく、そのモジュールを検証するために特別に設計された標準です。 サービス内で実装される暗号化モジュールは、ハッシュ強度、キー管理などの要件を満たすものとして認定できます。 Microsoft のクラウド サービスのデータの機密性、整合性、または可用性を保護するために使用される暗号化モジュールと暗号は、FIPS 140-2 標準を満たしています。
Microsoft は、Windows オペレーティング システムの新しいリリースごとに、クラウド サービスで使用される基になる暗号化モジュールを認定します。
- Azure と Azure 米国政府機関
- Dynamics 365、Dynamics 365 米国政府
- Office 365、Office 365 米国政府、Office 365 米国防総省
保存中の顧客データの暗号化は、BitLocker、DKM、Azure Storage Service Encryption、Exchange、OneDrive、SharePoint のサービス暗号化など、複数のサービス側テクノロジによって提供されます。 Microsoft 365 サービス暗号化には、Azure Key Vaultに格納されているカスタマー マネージド暗号化キーを使用するオプションが含まれています。 このカスタマー マネージド キー オプションはカスタマー キーと呼ばれ、Exchange、SharePoint、OneDrive、Teams ファイル、Windows 365クラウド PC (パブリック プレビュー) で使用できます。
転送中の顧客データの場合、すべてのOffice 365サーバーは、クライアント マシンと TLS を使用してセキュリティで保護されたセッションを既定でネゴシエートして、顧客データをセキュリティで保護します。 たとえば、Office 365は、セキュリティで保護されたセッションをSkype for Business、Outlook、Outlook on the web、モバイル クライアント、Web ブラウザーとネゴシエートします。
(すべての顧客向けサーバーは、既定で TLS 1.2 にネゴシエートします)。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。