送信中のデータの暗号化についてについて説明します
Microsoft では、保存データの保護に加えて、暗号化テクノロジを使用して、転送中の顧客データを保護します。 データの送信シナリオには以下のものが含まれます。
- クライアント コンピューターが Microsoft サーバーと通信するとき。
- Microsoft サーバーが別の Microsoft サーバーと通信するとき。
- Microsoft サーバーが Microsoft 以外のサーバーと通信するとき (Exchange Online がサードパーティのメール サーバーにメールを配信する場合など)。
Microsoft のサーバー間の通信が TLS または IPsec を使用して行われ、すべての顧客向けのサーバーが TLS を使用してクライアント コンピューターとのセキュリティで保護されたセッションをネゴシエートするとき。 たとえば、Exchange Online へのクライアント接続では、AES および FIPS 140-2 互換の TLS 実装が使用されます。 これは、Outlook、Microsoft Teams、Outlook on the web など、すべてのクライアントで使用される Web プロトコルに適用されます。
Microsoft は、サードパーティのソリューションに沿った TLS 暗号化に使用される証明書を管理するために独自の証明機関を所有して管理します。 公開証明書は、Microsoft が SSLAdmin (送信される情報の機密を保護するための Microsoft の社内ツール) を使用して発効します。 Microsoft IT によって発行されたすべての証明書は、RSA アルゴリズムを使用して SHA-2 を使用して署名され、長さが 2048 ビット以上のキーを使用します。 証明書のプロビジョニング基準を満たさない証明書は、標準化された例外プロセスを使用して確認する必要があります。
Microsoft によって使用される承認済みの暗号スイートの一覧は、Microsoft セキュリティ応答センター (MSRC) によって管理されています。これは、Microsoft 製品とサービスのセキュリティの脆弱性を特定して軽減する役割を担います。 MSRC は、最新の暗号化アルゴリズムとプロトコルを評価して、最も安全な暗号化アルゴリズムとプロトコルを決定し、それに応じてリストを更新します。
暗号スイートは、TLS 暗号化によって提供されるセキュリティのレベルを決定する上で重要です。 強力な暗号化アルゴリズムを組み合わせて使用し、サポートされている暗号スイートの一覧を定期的に更新することで、Microsoft はデータ転送に高レベルのセキュリティを提供できます。
お客様は、Qualys SSL Labs に移動し、パブリック Web ポータルのアドレスを検索することで、使用されている TLS のバージョン、Forward Secrecy (FS) が有効かどうか、暗号スイートの順序など、すべての実装の詳細を検証できます。