暗号化とキー管理の概要
顧客コンテンツを保護する上で、暗号化はどのような役割を果たしますか?
ほとんどの Microsoft ビジネス クラウド サービスはマルチテナントです。つまり、顧客コンテンツは他の顧客と同じ物理的なハードウェアに格納される可能性があります。 Microsoft オンライン サービスは、顧客コンテンツの機密性を保護するために、保存中および転送中のすべてのデータを、利用可能な最も強力で最も安全な暗号化プロトコルで暗号化します。
暗号化は、強力なアクセス制御に代わるものではありません。 Microsoft のゼロ スタンディング アクセス (ZSA) のアクセス制御ポリシーは、Microsoft 従業員による不正アクセスから顧客のコンテンツを保護します。 暗号化は、保存されている場所を問わず顧客コンテンツの機密性を保護し、Microsoft オンライン サービス システム間、または Microsoft オンライン サービス とお客様間の転送中にコンテンツが読み取られるのを防ぐことで、アクセス制御を補完します。
保存データを Microsoft オンライン サービスで暗号化する方法
Microsoft オンライン サービスのすべての顧客コンテンツは、1 つ以上の形式の暗号化によって保護されます。 Microsoft サーバーでは、BitLocker を使用して、ボリューム レベルで顧客のコンテンツを含むディスク ドライブを暗号化します。 BitLocker によって提供される暗号化は、他のプロセスや制御 (ハードウェアのアクセス制御やリサイクルなど) が失われると、顧客コンテンツを含むディスクに不正な物理的アクセスが発生する可能性がある場合に、顧客のコンテンツを保護します。
ボリューム レベルの暗号化に加えて、Microsoft オンライン サービスアプリケーション 層で Service Encryption を使用して顧客のコンテンツを暗号化します。 Service Encryption では、強力な暗号化保護に基づいて、権限の保護と管理機能が提供されます。 また、Windows オペレーティング システムと、それらのオペレーティング システムによって保存または処理される顧客データとの間で分離することもできます。
転送中のデータを Microsoft オンライン サービスで暗号化する方法
Microsoft オンライン サービス、TLS などの強力なトランスポート プロトコルを使用して、承認されていない当事者がネットワーク経由で移動している間に顧客データを盗聴するのを防ぎます。 転送中のデータの例としては、配信中のメール メッセージ、オンライン会議で行われる会話、データセンター間でレプリケートされるファイルなどがあります。
Microsoft オンライン サービスでは、ユーザーのデバイスが Microsoft サーバーと通信している場合、または Microsoft サーバーが別のサーバーと通信している場合、データは "転送中" と見なされます。
暗号化に使用されるキーを Microsoft オンライン サービスで管理するにはどうすればよいですか?
強力な暗号化は、データの暗号化に使用されるキーと同じくらい安全です。 Microsoft は、転送中のデータの TLS 接続を暗号化するために、独自のセキュリティ証明書を使用します。 保存データの場合、BitLocker で保護されたボリュームは完全なボリューム暗号化キーで暗号化されます。これはボリューム マスター キーで暗号化され、サーバーのトラステッド プラットフォーム モジュール (TPM) にバインドされます。 BitLocker では、FIPS 準拠のアルゴリズムを使用して、暗号化キーがクリア内のネットワーク経由で保存または送信されないようにします。
Service Encryption は、顧客の保存データに別の暗号化レイヤーを提供し、顧客に暗号化キー管理の 2 つのオプション (Microsoft マネージド キーまたはカスタマー キー) を提供します。 Microsoft が管理するキーを使用する場合、Microsoft オンライン サービス Service Encryption に使用されるルート キーを自動的に生成して安全に格納します。
独自のルート暗号化キーを制御するための要件をお持ちのお客様は、Microsoft Purview カスタマー キーで Service Encryption を使用できます。 顧客キーを使用すると、オンプレミスのハードウェア サービス モジュール (HSM) または Azure Key Vault (AKV) を使用して、独自の暗号化キーを生成できます。 顧客ルート キーは AKV に格納され、顧客のメールボックス データまたはファイルを暗号化するキーチェーンの 1 つのルートとして使用できます。 顧客ルート キーには、データ暗号化用の Microsoft オンライン サービス コードによってのみ間接的にアクセスでき、Microsoft の従業員が直接アクセスすることはできません。
関連する外部規制 & 認定
Microsoft のオンライン サービスは、外部の規制と認定に準拠するために定期的に監査されます。 暗号化とキー管理に関連するコントロールの検証については、次の表を参照してください。
Azure と Dynamics 365
| 外部監査 | Section | 最新のレポート日 |
|---|---|---|
| ISO 27001/27002 適用性に関する声明 証明書 |
A.10.1: 暗号化コントロール A.18.1.5: 暗号化コントロール |
2023 年 11 月 6 日 |
| ISO 27017 適用性に関する声明 証明書 |
A.10.1: 暗号化コントロール A.18.1.5: 暗号化コントロール |
2023 年 11 月 6 日 |
| ISO 27018 適用性に関する声明 証明書 |
A.11.6: パブリック データ転送ネットワーク経由で送信される PII の暗号化 | 2023 年 11 月 6 日 |
| SOC 1 SOC 2 SOC 3 |
DS-1: 暗号化証明書とキーのセキュリティで保護されたストレージ DS-2: 顧客データが転送中に暗号化される DS-3: 転送中に暗号化された Azure コンポーネントの内部通信 DS-4: 暗号化の制御と手順 |
2023 年 11 月 17 日 |
Microsoft 365
| 外部監査 | Section | 最新のレポート日 |
|---|---|---|
| FedRAMP (Office 365) | SC-8: 伝送の機密性と整合性 SC-13: 暗号化の使用 SC-28: 保存情報の保護 |
2023 年 7 月 31 日 |
| ISO 27001/27002/27017 適用性に関する声明 認定 (27001/27002) 認定 (27017) |
A.10.1: 暗号化コントロール A.18.1.5: 暗号化コントロール |
2022 年 3 月 |
| ISO 27018 適用性に関する声明 証明書 |
A.11.6: パブリック データ転送ネットワーク経由で送信される PII の暗号化 | 2022 年 3 月 |
| SOC 2 | CA-44: 転送中のデータ暗号化 CA-54: 保存データの暗号化 CA-62: 顧客キー メールボックスの暗号化 CA-63: 顧客キーデータの削除 CA-64: カスタマー キー |
2024 年 1 月 23 日 |
| SOC 3 | CUEC-16: 顧客の暗号化キー CUEC-17: 顧客キー コンテナー CUEC-18: 顧客キーのローテーション |
2024 年 1 月 23 日 |
リソース
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示