暗号化のリスクと保護
Microsoft は、Microsoft 365 サービスと顧客データに対するリスクに焦点を当てた制御およびコンプライアンス フレームワークに従います。 Microsoft では、これらのリスクを軽減するために、多数のテクノロジとプロセス ベースのメソッド (コントロールと呼ばれます) を実装しています。 コントロールによるリスクの特定、評価、軽減は、継続的なプロセスです。
施設、ネットワーク、サーバー、アプリケーション、ユーザー (Microsoft 管理者など) やデータなど、クラウド サービスのさまざまなレイヤー内での制御の実装は、多層防御戦略を形成します。 この戦略の鍵となるのは、同じまたは類似のリスク シナリオから保護するために、さまざまなコントロールが異なるレイヤーに実装されていることです。 この多層アプローチでは、何らかの理由でコントロールが失敗した場合に備え、フェールセーフな保護が提供されます。
一部のリスク シナリオと、それらを軽減する現在利用可能な暗号化テクノロジを次に示します。 これらのシナリオは、多くの場合、Office 365に実装されている他のコントロールを使用して軽減されます。
| 暗号化テクノロジ | サービス | キー管理 | リスク シナリオ | 値 |
|---|---|---|---|---|
| BitLocker | Exchange Online、SharePoint Online、Skype for Business | Microsoft | ディスクまたはサーバーが盗まれたり、不適切にリサイクルされたりします。 | BitLocker は、ハードウェア (サーバー/ディスク) の盗難や不適切なリサイクルによるデータの損失から保護するための、フェールセーフなアプローチを提供します。 |
| サービス暗号化 | SharePoint Online、Skype for Business、OneDrive for Business。Exchange Online | Microsoft | 内部または外部のハッカーは、個々のファイル/データに BLOB としてアクセスしようとします。 | 暗号化されたデータは、キーにアクセスしないと復号化できません。 ハッカーがデータにアクセスするリスクを軽減するのに役立ちます。 |
| 顧客キー | SharePoint Online、OneDrive for Business、Exchange Online、Skype for Business | 顧客 | N/A (この機能はコンプライアンス機能として設計されており、リスクの軽減策として設計されていません)。 | お客様が内部規制とコンプライアンスの義務を満たすのに役立ち、サービスを終了し、Microsoft のデータへのアクセスを取り消す機能 |
| Microsoft 365 とクライアント間の TLS | Exchange Online、SharePoint Online、OneDrive for Business、Skype for Business、Teams、Viva Engage | Microsoft、顧客 | 中間者攻撃またはその他の攻撃により、インターネット経由で Microsoft 365 とクライアント コンピューター間のデータ フローをタップします。 | この実装は、Microsoft と顧客の両方に価値を提供し、Microsoft 365 とクライアントの間を流れるデータの整合性を保証します。 |
| Microsoft データセンター間の TLS | Exchange Online、SharePoint Online、OneDrive for Business、Skype for Business | Microsoft | 複数の Microsoft データセンターにある Microsoft 365 サーバー間の顧客データ フローをタップするための中間者攻撃またはその他の攻撃。 | この実装は、Microsoft データセンター間の攻撃からデータを保護するもう 1 つの方法です。 |
| Azure Rights Management (Microsoft 365 または Azure Information Protectionに含まれています) | Exchange Online、SharePoint Online、OneDrive for Business | 顧客 | データは、データにアクセスできないユーザーの手に委ねられます。 | Azure Information Protectionでは、Azure RMS を使用します。これは、暗号化、ID、承認ポリシーを使用して、複数のデバイス間でファイルと電子メールをセキュリティで保護することで、お客様に価値を提供します。 Azure RMS は、特定の条件に一致する Microsoft 365 から送信されたすべてのメール (つまり、特定のアドレスへのすべてのメール) を、別の受信者に送信する前に自動的に暗号化できるお客様に価値を提供します。 |
| S/MIME | Exchange Online | 顧客 | Emailは、目的の受信者ではない人の手に当たります。 | S/MIME は、S/MIME で暗号化された電子メールを電子メールの直接受信者のみが暗号化解除できることを保証することで、顧客に価値を提供します。 |
| Office 365 Message Encryption | Exchange Online、SharePoint Online | 顧客 | 保護された添付ファイルを含むEmailは、電子メールの受信者ではない Microsoft 365 内または外部のユーザーの手に委ねられます。 | OME は、特定の条件に一致する Microsoft 365 から送信されたすべてのメール (つまり、特定のアドレスへのすべてのメール) が、別の内部または外部の受信者に送信される前に自動的に暗号化されるお客様に価値を提供します。 |
| パートナー organizationを使用した SMTP TLS | Exchange Online | 顧客 | Emailは、Microsoft 365 テナントから別のパートナー organizationへの転送中に、中間者攻撃またはその他の攻撃によって傍受されます。 | このシナリオは、Microsoft 365 テナントと、暗号化された SMTP チャネル内のパートナーの電子メール organizationの間ですべての電子メールを送受信できるように、顧客に価値を提供します。 |
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
マルチテナント環境で使用できる暗号化テクノロジ
| 暗号化テクノロジ | によって実装される | キー交換アルゴリズムと強度 | キー管理* | FIPS 140-2 検証済み |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256 ビット | AES 外部キーは、シークレット セーフと Exchange サーバーのレジストリに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい |
| SharePoint Online | AES 256 ビット | AES 外部キーはシークレット セーフに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい | |
| Skype for Business | AES 256 ビット | AES 外部キーはシークレット セーフに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい | |
| サービス暗号化 | SharePoint Online | AES 256 ビット | BLOB の暗号化に使用されるキーは、SharePoint Online コンテンツ データベースに格納されます。 SharePoint Online コンテンツ データベースは、保存時のデータベース アクセス制御と暗号化によって保護されます。 暗号化は、Azure SQL Database で TDE を使用して実行されます。 これらのシークレットは SharePoint Online のサービス レベルであり、テナント レベルではありません。 これらのシークレット (マスター キーとも呼ばれます) は、キー ストアと呼ばれる別のセキュリティで保護されたリポジトリに格納されます。 TDE は、アクティブなデータベースとデータベースのバックアップとトランザクション ログの両方に対して保存時のセキュリティを提供します。 顧客がオプションのキーを指定すると、顧客キーは Azure Key Vaultに格納され、サービスはキーを使用してテナント キーを暗号化します。これはサイト キーの暗号化に使用され、ファイル レベルのキーの暗号化に使用されます。 基本的に、顧客がキーを提供すると、新しいキー階層が導入されます。 | はい |
| Skype for Business | AES 256 ビット | 各データは、ランダムに生成された異なる 256 ビット キーを使用して暗号化されます。 暗号化キーは、対応するメタデータ XML ファイルに格納されます。これは、会議ごとのマスター キーによっても暗号化されます。 マスター キーは、会議ごとに 1 回ランダムに生成されます。 | はい | |
| Exchange Online | AES 256 ビット | 各メールボックスは、Microsoft または顧客によって制御される暗号化キーを使用するデータ暗号化ポリシーを使用して暗号化されます (カスタマー キーを使用する場合)。 | はい | |
| Microsoft 365 とクライアント/パートナー間の TLS | Exchange Online | 複数の暗号スイートをサポートする日和見 TLS | Exchange Online (outlook.office.com) の TLS 証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 Exchange Onlineの TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA1RSA証明書です。 |
はい(256 ビット暗号強度の TLS 1.2 が使用されている場合) |
| SharePoint Online | AES 256 を使用した TLS 1.2 OneDrive for Business および SharePoint Online におけるデータ暗号化 |
SharePoint Online (*.sharepoint.com) の TLS 証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 SharePoint Online の TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA1RSA証明書です。 |
はい | |
| Skype for Business | SIP 通信と PSOM データ共有セッションの TLS | Skype for Business (*.lync.com) の TLS 証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 Skype for Businessの TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 |
はい | |
| Microsoft Teams | AES 256 を使用した TLS 1.2 Microsoft Teams に関してよく寄せられる質問 – 管理 ヘルプ |
Microsoft Teams (teams.microsoft.com、edge.skype.com) の TLS 証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 Microsoft Teams の TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 |
はい | |
| Microsoft データセンター間の TLS | すべての Microsoft 365 サービス | AES 256 を使用した TLS 1.2 セキュリティで保護されたリアルタイム トランスポート プロトコル (SRTP) |
Microsoft は、Microsoft データセンター間のサーバー間通信に、内部的に管理およびデプロイされた証明機関を使用します。 | はい |
| Azure Rights Management (Microsoft 365 または Azure Information Protectionに含まれています) | Exchange Online | 更新および強化された RMS 暗号化実装である暗号化 モード 2 をサポートします。 署名と暗号化には RSA 2048、署名のハッシュには SHA-256 がサポートされています。 | Microsoft によって管理されます。 | はい |
| SharePoint Online | 更新および強化された RMS 暗号化実装である暗号化 モード 2 をサポートします。 署名と暗号化には RSA 2048、署名の場合は SHA-256 がサポートされます。 | Microsoft によって管理されます。これは既定の設定です。または カスタマー マネージド。これは Microsoft が管理するキーの代替手段です。 IT 管理の Azure サブスクリプションを持つ組織は BYOK を使用し、追加料金なしで使用状況をログに記録できます。 詳細については、 独自のキーを持ち込む実装に関するページを参照してください。 この構成では、nCipher HSM を使用してキーを保護します。 |
はい | |
| S/MIME | Exchange Online | 暗号化メッセージ構文標準 1.5 (PKCS #7) | デプロイされたカスタマー マネージド公開キー インフラストラクチャによって異なります。 キー管理は顧客によって実行され、Microsoft は署名と暗号化解除に使用される秘密キーにアクセスすることはありません。 | はい(3DES または AES256 で送信メッセージを暗号化するように構成されている場合) |
| Office 365 Message Encryption | Exchange Online | Azure RMS と同じです (署名と暗号化の場合は暗号化モード 2 - RSA 2048、署名の場合は SHA-256) | Azure Information Protectionを暗号化インフラストラクチャとして使用します。 使用される暗号化方式は、メッセージの暗号化と復号化に使用する RMS キーを取得する場所によって異なります。 | はい |
| パートナー organizationを使用した SMTP TLS | Exchange Online | AES 256 を使用した TLS 1.2 | Exchange Online (outlook.office.com) の TLS 証明書は、DigiCert Cloud Services CA-1 によって発行された RSA 暗号化証明書を持つ 2048 ビット SHA-256 です。 Exchange Onlineの TLS ルート証明書は、GlobalSign Root CA – R1 によって発行された RSA Encryption 証明書を持つ 2048 ビット SHA-1 です。 セキュリティ上の理由から、証明書は随時変更されます。 |
はい(256 ビット暗号強度の TLS 1.2 が使用されている場合) |
*この表で参照されている TLS 証明書は、米国のデータセンター用です。また、米国以外のデータセンターでは、2048 ビット SHA256RSA証明書も使用されます。
Government クラウド コミュニティ環境で利用できる暗号化テクノロジ
| 暗号化テクノロジ | によって実装される | キー交換アルゴリズムと強度 | キー管理* | FIPS 140-2 検証済み |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256 ビット | AES 外部キーは、シークレット セーフと Exchange サーバーのレジストリに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい |
| SharePoint Online | AES 256 ビット | AES 外部キーはシークレット セーフに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい | |
| Skype for Business | AES 256 ビット | AES 外部キーはシークレット セーフに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい | |
| サービス暗号化 | SharePoint Online | AES 256 ビット | BLOB の暗号化に使用されるキーは、SharePoint Online コンテンツ データベースに格納されます。 SharePoint Online コンテンツ データベースは、保存時のデータベース アクセス制御と暗号化によって保護されます。 暗号化は、Azure SQL Database で TDE を使用して実行されます。 これらのシークレットは SharePoint Online のサービス レベルであり、テナント レベルではありません。 これらのシークレット (マスター キーとも呼ばれます) は、キー ストアと呼ばれる別のセキュリティで保護されたリポジトリに格納されます。 TDE は、アクティブなデータベースとデータベースのバックアップとトランザクション ログの両方に対して保存時のセキュリティを提供します。 顧客がオプションのキーを指定すると、顧客キーは Azure Key Vaultに格納され、サービスはキーを使用してテナント キーを暗号化します。これはサイト キーの暗号化に使用され、ファイル レベルのキーの暗号化に使用されます。 基本的に、顧客がキーを提供すると、新しいキー階層が導入されます。 | はい |
| Skype for Business | AES 256 ビット | 各データは、ランダムに生成された異なる 256 ビット キーを使用して暗号化されます。 暗号化キーは、対応するメタデータ XML ファイルに格納されます。これは、会議ごとのマスター キーによっても暗号化されます。 マスター キーは、会議ごとに 1 回ランダムに生成されます。 | はい | |
| Exchange Online | AES 256 ビット | 各メールボックスは、Microsoft または顧客によって制御される暗号化キーを使用するデータ暗号化ポリシーを使用して暗号化されます (カスタマー キーを使用する場合)。 | はい | |
| Microsoft 365 とクライアント/パートナー間の TLS | Exchange Online | 複数の暗号スイートをサポートする日和見 TLS | Exchange Online (outlook.office.com) の TLS 証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 Exchange Onlineの TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA1RSA証明書です。 |
はい(256 ビット暗号強度の TLS 1.2 が使用されている場合) |
| SharePoint Online | AES 256 を使用した TLS 1.2 | SharePoint Online (*.sharepoint.com) の TLS 証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 SharePoint Online の TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA1RSA証明書です。 |
はい | |
| Skype for Business | SIP 通信と PSOM データ共有セッションの TLS | Skype for Business (*.lync.com) の TLS 証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 Skype for Businessの TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 |
はい | |
| Microsoft Teams | Microsoft Teams に関してよく寄せられる質問 – 管理 ヘルプ | Microsoft Teams (teams.microsoft.com;edge.skype.com) の TLS 証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 Microsoft Teams の TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 |
はい | |
| Microsoft データセンター間の TLS | Exchange Online、SharePoint Online、Skype for Business | AES 256 を使用した TLS 1.2 | Microsoft は、Microsoft データセンター間のサーバー間通信に、内部的に管理およびデプロイされた証明機関を使用します。 | はい |
| セキュリティで保護されたリアルタイム トランスポート プロトコル (SRTP) | ||||
| Azure Rights Management サービス | Exchange Online | 更新および強化された RMS 暗号化実装である暗号化 モード 2 をサポートします。 署名と暗号化には RSA 2048、署名のハッシュには SHA-256 がサポートされています。 | Microsoft によって管理されます。 | はい |
| SharePoint Online | 更新および強化された RMS 暗号化実装である暗号化 モード 2 をサポートします。 署名と暗号化には RSA 2048、署名のハッシュには SHA-256 がサポートされています。 | Microsoft によって管理されます。これは既定の設定です。または カスタマー マネージド (BYOK とも呼ばれます) は、Microsoft が管理するキーの代替手段です。 IT 管理の Azure サブスクリプションを持つ組織は BYOK を使用し、追加料金なしで使用状況をログに記録できます。 詳細については、 独自のキーを持ち込む実装に関するページを参照してください。 BYOK シナリオでは、nCipher HSM を使用してキーを保護します。 |
はい | |
| S/MIME | Exchange Online | 暗号化メッセージ構文標準 1.5 (PKCS #7) | デプロイされる公開キー インフラストラクチャによって異なります。 | はい。3DES または AES-256 で送信メッセージを暗号化するように構成されている場合。 |
| Office 365 Message Encryption | Exchange Online | Azure RMS と同じです (署名と暗号化の場合は暗号化モード 2 - RSA 2048、署名のハッシュには SHA-256) | Azure RMS を暗号化インフラストラクチャとして使用します。 使用される暗号化方式は、メッセージの暗号化と復号化に使用する RMS キーを取得する場所によって異なります。 Microsoft Azure RMS を使用してキーを取得する場合は、暗号化モード 2 が使用されます。 Active Directory (AD) RMS を使用してキーを取得する場合は、暗号化モード 1 または暗号化モード 2 が使用されます。 使用される方法は、社内 AD RMS 展開によって異なります。 暗号化モード 1 は、元来の AD RMS 暗号実装です。 署名と暗号化には RSA 1024 がサポートされ、署名には SHA-1 がサポートされます。 このモードは、HSM を使用する BYOK 構成を除き、RMS のすべての現在のバージョンで引き続きサポートされます。 |
はい |
| パートナー organizationを使用した SMTP TLS | Exchange Online | AES 256 を使用した TLS 1.2 | Exchange Online (outlook.office.com) の TLS 証明書は、DigiCert Cloud Services CA-1 によって発行された RSA 暗号化証明書を持つ 2048 ビット SHA-256 です。 Exchange Onlineの TLS ルート証明書は、GlobalSign Root CA – R1 によって発行された RSA Encryption 証明書を持つ 2048 ビット SHA-1 です。 セキュリティ上の理由から、証明書は随時変更されます。 |
はい(256 ビット暗号強度の TLS 1.2 が使用されている場合) |
*この表で参照されている TLS 証明書は、米国のデータセンター用です。また、米国以外のデータセンターでは、2048 ビット SHA256RSA証明書も使用されます。