データ暗号化について

  • [アーティクル]

データは組織にとって最も貴重でかけがえのない資産であり、暗号化は多層的なデータセキュリティ戦略における最後にして最強の防御線として機能します。 Microsoft のビジネス クラウド サービスおよび製品は、暗号化を使用して顧客データを保護し、その管理を維持するのに役立ちます。

保存データ保護

情報を暗号化すると、許可されていない人がファイアウォールを突破したり、ネットワークに侵入したり、デバイスに物理的にアクセスしたり、ローカル マシンのアクセス許可をバイパスしたりした場合でも、情報を読み取れなくなります。 暗号化はデータを変換して、復号化キーを持っている人だけがデータにアクセスできるようにします。

Dynamics 365 は異種ストレージ (Dataverse) を使用してデータを保存します。 データはさまざまなストレージ タイプに分散されます。

  • リレーショナル データ用の Azure SQL Database
  • 画像やドキュメントなどのバイナリ データ用の Azure Blob Storage
  • 検索インデックス用の Azure Search
  • Microsoft 365 アクティビティ ログと監査データ用 Azure Cosmos DB
  • 分析用 Azure Data Lake Analytics

Dataverse データベースは SQLTDE (Transparent Data Encryption、FIPS 140-2 に準拠) を使用して、保存中のデータ暗号化のためにデータとログ ファイルのリアルタイム I/O 暗号化と復号化を提供しています。 Azure Blob ストレージに格納されている顧客データは、Azure Storage Encryption を使用して暗号化されます。 これらは、FIPS 140-2 に準拠した 256 ビットの AES 暗号化を使用して、透過的に暗号化および復号化されます。

既定では、マイクロソフトが管理するキーを使用してマイクロソフトが環境のデータベース暗号化キーを保存および管理します。 ただし、Power Platform は追加されたデータ保護規則用の顧客管理の暗号化キー (CMK) を提供し、データベース暗号化キーを自己管理できます。 暗号化キーは独自の Azure Key Vault に存在するため、必要に応じて暗号化キーを交換したり入れ替えたりできます。 また、サービスへのキー アクセスを取り消すときに、マイクロソフトが顧客データにアクセスすることをいつでも防ぐこともできます。

保存データの暗号化

管理者は、独自のキー ジェネレータ ハードウェア (HSM) を使用して独自の暗号化キーを提供するか、Azure Key Vault を使用して暗号化キーを生成できます。 キー管理機能は、Azure Key Vault を使用して暗号化キーを安全に保管することにより、暗号化キー管理の複雑さを取り除きます。 Azure Key Vault は、クラウド アプリケーションとサービスで使用される暗号化キーとシークレットを保護するのに役立ちます。 暗号化キーは、次の Azure Key Vault の要件を満たしている必要があります。

管理者は、いつでも暗号化キーを Microsoft 管理キーに戻すことができます。

転送中データ保護

Azure は、外部コンポーネントとの間で転送中のデータ、および 2 つの仮想ネットワーク間などの内部で転送中のデータを保護します。 Azure は、ユーザー デバイスと Microsoft データセンター間で TLS、データセンター間で MACsec などの業界標準のトランスポート プロトコルを使用しています。 データをさらに保護するために、Microsoft サービス間の内部通信は、Microsoft バックボーン ネットワークを使用しているため、パブリック インターネットに公開されていません。

Microsoft は、インフラストラクチャを通過するデータの安全な経路を提供し、インフラストラクチャ内に保存されるデータの機密性を保護するために、その製品やサービス全体で複数の暗号化方法、プロトコル、アルゴリズムを使用しています。 マイクロソフトは、業界で最も強力で安全な暗号化プロトコルを使用して、ご利用のデータへの不正なアクセスに対するバリアを提供します。 適切なキー管理は暗号化のベストプラクティスに不可欠な要素であり、マイクロソフトは暗号鍵が適切に保護されていることを確認する支援を行っています。

転送中のデータの暗号化

プロトコルとテクノロジーの例は次のとおりです。

  • Transport Layer Security/Secure Sockets Layer (TLS/SSL)。共有シークレットに基づく対称暗号化を使用して、ネットワーク上を移動する通信を暗号化します。
  • インターネット プロトコル セキュリティ (IPsec) は、データがネットワークを介して転送されるときに、IP パケット レベルでデータの認証、整合性、および機密性を提供するために使用される業界標準のプロトコルセットです。
  • Advanced Encryption Standard (AES)-256、データ暗号化標準 (DES) および RSA 2048 公開鍵暗号化技術に代わるものとして米国政府によって採用された対称鍵データ暗号化に関する国立標準技術研究所 (NIST) 仕様。