Microsoft Online Services は、世界中で提供される最大のエンタープライズ クラウド サービスおよびコンシューマー クラウド サービスの 1 つであり、顧客ベース、製品、および機能で急速に成長し続けています。 お客様は、世界クラスのクラウド オファリングだけでなく、絶えず進化するサイバー脅威環境から最も機密性の高い情報を保護することを信頼しているため、Microsoft に目を向けます。 お客様の信頼を維持する場合は、お客様のデータとインフラストラクチャをセキュリティで保護することが Microsoft の最優先事項です。
セキュリティが後から考えられる場合、この規模と複雑さのシステムをセキュリティで保護することはできません。これは、初期設計プロセス中にセキュリティが統合されている場合にのみ有効です。 これには、自動化されたシステムと高度なスキルを持つエンジニアの両方からの迅速な応答を備えた堅牢な脅威検出システムが必要です。 これらのシステムの継続的な評価と検証は、セキュリティで保護された構成をそのまま維持し、以前は不明だった脆弱性が特定されるようにするために不可欠です。
主要なセキュリティ原則
次の原則は、脅威から Microsoft Online Services を保護し 、脅威 を検出して対応し 、セキュリティ体制を継続的に 評価 し、それらの評価の結果に基づいてサービスを改善するフレームワークの基盤を築きます。
- データのプライバシー: お客様は自分のデータを所有しており、Microsoft はカストディアンです。 Microsoft Online Services は、お客様から明示的に要求されない限り、エンジニアが顧客データにアクセスすることなく動作するように設計されています。
- 侵害を想定する: 担当者とサービスは、侵害が実際の可能性であるかのように扱われます。
- 最小特権: リソースへのアクセスとアクセス許可は、必要なタスクを実行するために必要なもののみに制限されます。
- 侵害の境界: 1 つの境界内の ID とインフラストラクチャは、他の境界内のリソースから分離されます。 ある境界の侵害によって、別の境界が侵害されることはありません。
- Service Fabric 統合セキュリティ: セキュリティの優先順位と要件は、新しい機能の設計に組み込まれており、強力なセキュリティ体制が各サービスと一緒にスケーリングされるようにします。
- 自動および自動: Microsoft は、サービス セキュリティをインテリジェントかつ自動的に適用できる持続性のある製品とアーキテクチャの開発に重点を置き、Microsoft エンジニアは大規模なセキュリティ脅威に対する対応を安全に管理できます。
- アダプティブ セキュリティ: Microsoft のセキュリティ機能は、機械学習モデル、定期的な侵入テスト、自動評価によって適応され、強化されます。
保護
アクセス制御
既定では、Microsoft Online Services の開発と保守を担当する担当者には、サービス インフラストラクチャへのゼロ スタンディング アクセス (ZSA) があります。 Microsoft は最高のエンジニアのみを採用するよう努め、厳格なバックグラウンド チェックが必要ですが、Microsoft は、運用サービスで既定で信頼されているとは考えていません。 さらに、エンジニアが特権アクセスを承認されると、サービス インフラストラクチャの特定のスコープに必要なアクションのみを実行するために、制限された期間だけアクセス権が付与されます。 Microsoft では、これらのポリシーを Just-In-Time (JIT) と Just-Enough-Access (JEA) と呼びます。
不正なユーザーと侵害されたアカウントは、あらゆるorganizationで実際に発生する可能性があり、これらの脅威から保護するように設計されたアクセス制御システムです。
アクセス制御の詳細については、「 ID とアクセス管理の概要」を参照してください。
暗号化
アクセス制御は Microsoft Online Services サービスを防御する上で重要な役割を果たしますが、暗号化はデータ ライフサイクル全体を通じて使用され、Microsoft のお客様の機密性とプライバシーをさらに保護します。
クライアント マシン、Microsoft Online Services サーバー、および Microsoft 以外のサーバー間の転送中のデータは、TLS 1.2 を使用して暗号化されます。 使用されている暗号とプロトコルを定期的に確認し、使用可能な場合は改善されたプロトコルを追加し、必要に応じて弱いプロトコルを削除します。
Microsoft サーバーの保存中の顧客コンテンツは、BitLocker を使用してボリューム レベルで暗号化されます。 アプリケーション レベルの暗号化は、Microsoft またはお客様が管理するキーを使用して、さらに適用できます。 Microsoft が管理するキーへのアクセスは、JIT および JEA プロセスを通じて承認および承認された場合にのみ可能です。
暗号化の詳細については、「 暗号化とキー管理の概要」を参照してください。
ネットワークの分離
Microsoft では、最小限の特権の原則に従って、サービス インフラストラクチャのさまざまな部分間の通信を、運用に必要なもののみに制限します。 すべてのネットワーク トラフィックは既定で拒否され、正当な操作との明示的に定義された通信のみが許可されます。 この制限により、インフラストラクチャ全体で侵害の境界が確立されます。 新しい機能をサービスに対応するために新しいネットワーク パスを追加するチームは、開く前に要求を評価して承認する必要があります。
ネットワーク分離の詳細については、「 Microsoft 365 分離コントロール と Azure 分離コントロール」を参照してください。
検出 & 応答
セキュリティ監視
Microsoft の大規模なセキュリティ監視は、自動化されたクラウドベースのソリューションを使用して非常に正確なアラートを生成することによってのみ可能です。 コア インフラストラクチャ全体から収集された各サービスの監査ログとテレメトリ データは、ほぼリアルタイムで処理およびアラートを生成する独自の集中型ソリューションに送信されます。
検出された脅威は、可能な場合に自動的にトリガーされるアクションを使用して修復されます。 自動ソリューションが失敗した場合、または問題を解決できない場合は、Microsoft エンジニアが直ちに対処して脅威を軽減します。
セキュリティ監視の詳細については、「 監査ログと監視の概要」を参照してください。
料金の考え方の案内
自動評価
システムの設計方法に関係なく、セキュリティ態勢は、時間の経過に伴う意図的で意図しない構成ドリフトによって低下する可能性があります。 自動ツールは常に Microsoft Online Services システムを評価し、不足しているパッチ、構成の誤り、既知のアプリケーションの脆弱性を特定します。
また、このアーキテクチャは頻繁に検証され、未使用のオープン ポートや、永続的な管理アクセスを持つアカウントなどのインスタンスが識別されます。 事前に定義された望ましい状態から逸脱したサービスはすべて、自動的にアライメントに戻されます。
脆弱性管理の詳細については、「 脆弱性管理の概要」を参照してください。
攻撃シミュレーションと侵入テスト
Microsoft の最優先事項は、攻撃が防御に侵入するのを防ぐことです。 Microsoft Online Services には、セキュリティの監視機能を向上させるために、以前は不明だった脆弱性を特定し、豊富なデータの一定のストリームを提供するために、シミュレートされた攻撃を常に実行しているセキュリティ専門家の専用チームがあります。 これらのシミュレートされた攻撃は、頻繁に自動化された小規模な攻撃と専門家主導の深い掘り下げの形を取ります。 これらのアクティビティから、Microsoft は攻撃者を検出、対応、および削除する能力を評価します。
侵入テストの詳細については、「 Microsoft 365 での攻撃シミュレーション」を参照してください。