暗号化とキー管理の概要
顧客コンテンツを保護する上で、暗号化はどのような役割を果たしますか?
ほとんどの Microsoft ビジネス クラウド サービスはマルチテナントです。つまり、顧客コンテンツは他の顧客と同じ物理的なハードウェアに格納される可能性があります。 Microsoft オンライン サービスは、顧客コンテンツの機密性を保護するために、保存中および転送中のすべてのデータを、利用可能な最も強力で最も安全な暗号化プロトコルで暗号化します。
暗号化は、強力なアクセス制御に代わるものではありません。 Microsoft のゼロ スタンディング アクセス (ZSA) のアクセス制御ポリシーは、Microsoft 従業員による不正アクセスから顧客のコンテンツを保護します。 暗号化は、保存されている場所を問わず顧客コンテンツの機密性を保護し、Microsoft オンライン サービス システム間、または Microsoft オンライン サービス とお客様間の転送中にコンテンツが読み取られるのを防ぐことで、アクセス制御を補完します。
保存データを Microsoft オンライン サービスで暗号化する方法
Microsoft オンライン サービスのすべての顧客コンテンツは、1 つ以上の形式の暗号化によって保護されます。 Microsoft サーバーでは、BitLocker を使用して、ボリューム レベルで顧客のコンテンツを含むディスク ドライブを暗号化します。 BitLocker によって提供される暗号化は、他のプロセスや制御 (ハードウェアのアクセス制御やリサイクルなど) が失われると、顧客コンテンツを含むディスクに不正な物理的アクセスが発生する可能性がある場合に、顧客のコンテンツを保護します。
ボリューム レベルの暗号化に加えて、Microsoft オンライン サービスアプリケーションレイヤーで暗号化を使用して顧客のコンテンツを暗号化します。 サービス暗号化は、強力な暗号化保護に基づいて、権限の保護と管理機能を提供します。 また、Windows オペレーティング システムと、それらのオペレーティング システムによって保存または処理される顧客データとの間で分離することもできます。
転送中のデータを Microsoft オンライン サービスで暗号化する方法
Microsoft オンライン サービストランスポート層セキュリティ (TLS) などの強力なトランスポート プロトコルを使用して、ネットワーク経由で移動している間に、承認されていない関係者が顧客データを盗聴するのを防ぎます。 転送中のデータの例としては、配信中のメール メッセージ、オンライン会議で行われる会話、データセンター間でレプリケートされるファイルなどがあります。
Microsoft オンライン サービスでは、ユーザーのデバイスが Microsoft サーバーと通信している場合、または Microsoft サーバーが別のサーバーと通信している場合、データは "転送中" と見なされます。
暗号化に使用されるキーを Microsoft オンライン サービスで管理するにはどうすればよいですか?
強力な暗号化は、データの暗号化に使用されるキーと同じくらい安全です。 Microsoft では、独自のセキュリティ証明書と関連するキーを使用して、転送中のデータの TLS 接続を暗号化します。 保存データの場合、BitLocker で保護されたボリュームは完全なボリューム暗号化キーで暗号化されます。これはボリューム マスター キーで暗号化され、サーバーのトラステッド プラットフォーム モジュール (TPM) にバインドされます。 BitLocker では、FIPS 140-2 準拠アルゴリズムを使用して、暗号化キーがクリア内のネットワーク上に保存または送信されないようにします。
サービス暗号化は、顧客の保存データに対して別の暗号化レイヤーを提供し、顧客に暗号化キー管理の 2 つのオプション (Microsoft マネージド キーまたはカスタマー キー) を提供します。 Microsoft が管理するキーを使用する場合、Microsoft オンライン サービスサービス暗号化に使用されるルート キーを自動的に生成し、安全に格納します。
独自のルート暗号化キーを制御するための要件をお持ちのお客様は、Microsoft Purview カスタマー キーでサービス暗号化を使用できます。 顧客キーを使用すると、オンプレミスのハードウェア サービス モジュール (HSM) または Azure Key Vault (AKV) を使用して、独自の暗号化キーを生成できます。 顧客ルート キーは AKV に格納され、顧客のメールボックス データまたはファイルを暗号化するキーチェーンの 1 つのルートとして使用できます。 顧客ルート キーには、データ暗号化用の Microsoft オンライン サービス コードによってのみ間接的にアクセスでき、Microsoft の従業員が直接アクセスすることはできません。
関連する外部規制 & 認定
Microsoft のオンライン サービスは、外部の規制と認定に準拠するために定期的に監査されます。 暗号化とキー管理に関連するコントロールの検証については、次の表を参照してください。
Azure と Dynamics 365
外部監査 | Section | 最新のレポート日 |
---|---|---|
ISO 27001 適用性に関する声明 証明書 |
A.10.1: 暗号化コントロール A.18.1.5: 暗号化コントロール |
2024 年 4 月 8 日 |
ISO 27017 適用性に関する声明 証明書 |
A.10.1: 暗号化コントロール A.18.1.5: 暗号化コントロール |
2024 年 4 月 8 日 |
ISO 27018 適用性に関する声明 証明書 |
A.11.6: パブリック データ転送ネットワーク経由で送信される PII の暗号化 | 2024 年 4 月 8 日 |
SOC 1 SOC 2 SOC 3 |
DS-1: 暗号化証明書とキーのセキュリティで保護されたストレージ DS-2: 顧客データが転送中に暗号化される DS-3: 転送中に暗号化された Azure コンポーネントの内部通信 DS-4: 暗号化の制御と手順 |
2024 年 8 月 16 日 |
Microsoft 365
外部監査 | Section | 最新のレポート日 |
---|---|---|
FedRAMP | SC-8: 伝送の機密性と整合性 SC-13: 暗号化の使用 SC-28: 保存情報の保護 |
2024 年 8 月 21 日 |
ISO 27001/27017 適用性に関する声明 認定 (27001) 認定 (27017) |
A.10.1: 暗号化コントロール A.18.1.5: 暗号化コントロール |
2022 年 3 月 |
ISO 27018 適用性に関する声明 証明書 |
A.11.6: パブリック データ転送ネットワーク経由で送信される PII の暗号化 | 2022 年 3 月 |
SOC 2 | CA-44: 転送中のデータ暗号化 CA-54: 保存データの暗号化 CA-62: 顧客キー メールボックスの暗号化 CA-63: 顧客キーデータの削除 CA-64: カスタマー キー |
2024 年 1 月 23 日 |
SOC 3 | CUEC-16: 顧客の暗号化キー CUEC-17: 顧客キー コンテナー CUEC-18: 顧客キーのローテーション |
2024 年 1 月 23 日 |