すべての EU データ境界サービスに適用される継続的なデータ転送

  • [アーティクル]

Microsoft がクラウド サービスの運用要件を満たすために引き続き EU データ境界からデータを転送するシナリオがあります。このシナリオでは、EU データ境界に格納されているデータが EU データ境界の外部にある担当者によってリモートからアクセスされ、お客様が EU データ境界サービスを使用すると、お客様の望ましい結果を達成するために EU データ境界からデータが転送されます。 Microsoft は、EU データ境界外の顧客データと仮名化された個人データの転送が、サービス契約と製品ドキュメントに記載されているセキュリティ保護策によって保護されることを保証します。

EU データ境界に格納および処理されたデータへのリモート アクセス

Microsoft クラウド サービスは、お客様に最高レベルのサービス品質、サポート、セキュリティ、信頼性を提供するために、世界中の専門家チームによって構築、運用、セキュリティ保護、保守されています。 このモデル (Microsoft DevOps モデルと呼ばれます) により、開発者と運用スタッフが連携して、サービスを継続的に構築、保守、提供できます。 このセクションでは、Microsoft が顧客データと仮名化された個人データへのこのリモート アクセスを最小限に抑え、発生する必要があるときにこのようなアクセスを制限する方法について説明します。

Microsoft では、Microsoft の従業員とその子会社の従業員と、Microsoft 従業員を支援するサード パーティ組織の契約スタッフの両方で構成される、Microsoft 担当者による不正アクセスから顧客データと仮名化された個人データを保護するための多層アプローチを使用します。 顧客データまたは仮名化された個人データにアクセスするには、Microsoft の担当者は、Microsoft 標準のセキュリティ要件の一部として多要素認証を利用するだけでなく、ファイル上のバックグラウンド チェックを適切な状態で持っている必要があります。

Microsoft の担当者が、境界外から EU データ境界内の Microsoft システムに格納されている顧客データまたは仮名化された個人データにアクセスする必要がある場合 (データは EU データ境界内の Microsoft データセンター インフラストラクチャ内に残りますが、欧州のプライバシー法に基づくデータの転送と見なされます)、この種類の転送が安全であることを保証するテクノロジに依存します。 リモート アクセス ポイントに永続的なストレージが存在しません。 このようなデータ転送が必要な場合、Microsoft は最新の暗号化を使用して、保存中および転送中の顧客データと仮名化された個人データを保護します。 詳細については、「 暗号化とキー管理の概要」を参照してください。

Microsoft が顧客データを保護する方法

Microsoft では、DevOps 担当者が顧客データにアクセスすることなくサービスを運用する能力を最大限に高めるサービスとプロセスを設計し、問題を特定して修復するための自動ツールを使用します。 サービスが停止している場合や、自動ツールで有効にできない修復が必要な場合はまれに、承認された Microsoft 担当者が、顧客データを含む EU データ境界内に格納されているデータへのリモート アクセスを必要とする場合があります。 顧客データへの既定のアクセス権はありません。アクセスは、タスクで必要な場合にのみ Microsoft 担当者に提供されます。 顧客データへのアクセスは、適切な目的のために必要であり、適切な目的を達成するために必要な顧客データの量と種類に制限する必要があり、このレベルのアクセスでのみ目的を達成できる場合。 Microsoft では、Just-In-Time (JIT) アクセスの承認を使用します。この承認は、その目的を達成するために必要な期間だけ付与されます。 また、Microsoft はロールベースのアクセス制御 (RBAC) にも依存しています。個々のアクセスには、知っておくべき原則、必須の継続的なトレーニング、1 人以上のマネージャーによる監視など、厳格な要件が適用されます。

顧客データにアクセスできる Microsoft の担当者は、セキュリティで保護された管理者ワークステーション (SAW) から動作します。 SAW は、マルウェア、フィッシング攻撃、偽の Web サイト、Pass-the-hash (PtH) 攻撃などのセキュリティ リスクによる侵害のリスクを軽減する機能が限られたコンピューターであり、データ流出を困難にするための対策が有効になっています。 たとえば、SAW で作業する Microsoft の担当者は、このようなデバイス上のインターネットへのアクセスを制限しており、SAW 実装でこれらの機能がブロックされているため、外部メディアまたはリムーバブル メディアにアクセスできません。 Microsoft SAW および高リスク環境プログラムは、2022 年、2020 年、2019 年に csoonline.com から CSO50 賞を受賞しました。

前に説明したコントロールに加えて、顧客ロックボックスを有効にすることで、多くの Microsoft クラウド サービスに対して追加のアクセス制御を確立できます。 カスタマー ロックボックス機能の実装はサービスによって若干異なりますが、Customer Lockbox は通常、Microsoft の担当者が顧客の明示的な承認なしに顧客データにアクセスしてサービス操作を実行できないようにします。 動作しているカスタマー ロックボックスの例については、「Office 365のカスタマー ロックボックス」、「Microsoft Azure 用カスタマー ロックボックス」、「Power Platform の Customer Lockbox」および「Dynamics 365」を参照してください。

顧客データへのアクセスは、Microsoft によってログに記録され、監視されます。 Microsoft は定期的な監査を実行して、アクセス管理対策が Microsoft の契約上のコミットメントを含むポリシー要件に従って機能していることを確認し、確認します。

システム生成ログで仮名化された個人データを Microsoft が保護する方法

現在、EU データ境界に格納されている仮名化された個人データにアクセスするために、Microsoft 担当者は SAW または仮想デスクトップ インフラストラクチャ (VDI) を使用できます。 前のセクションで説明した SAW 固有のセキュリティ対策は、SAW を使用して仮名化された個人データにアクセスする場合にも適用されます。 VDI を使用して EU データ境界内の仮名化された個人データにアクセスする場合、Microsoft はアクセス制限を適用して、データ アクセスに安全な環境を提供します。 SAW と同様に、VDI で許可されるユーティリティの一覧は制限されており、VDI での実行が認定される前に厳格なセキュリティ テストの対象となります。 VDI を使用すると、EU データ境界内の仮名化された個人データは、EU データ境界内にある物理マシンでホストされている仮想マシンを介してアクセスされ、EU データ境界の外部にはデータが保持されません。

標準ポリシーでは、EU データ境界外のデータの一括転送は禁止されており、VDI ユーザーは事前に承認された URL の宛先にのみアクセスできます。 さらに、VDI 環境を使用する Microsoft の担当者は、EU データ境界にある物理マシンへの管理アクセス権を持っていません。

顧客データと仮名化された個人データを保護するために使用されるテクノロジの詳細については、次のリソースを参照してください。

顧客が開始したデータ転送

サービス機能の一部として顧客が開始する転送

EU データ境界は、お客様が当社のサービスを使用する際に意図するサービスの成果を妨げたり制限したりするものではありません。 したがって、顧客管理者またはユーザーが EU データ境界からデータ転送を開始するサービスでアクションを実行した場合、Microsoft はそのような顧客が開始した転送の発生を制限しません。これにより、顧客の通常の業務が中断されます。 EU データ境界の外部でユーザーが開始したデータ転送は、次のようなさまざまな理由で発生する可能性があります。

  • ユーザーは、EU データ境界内に格納されているデータにアクセスするか、EU データ境界領域の外部にいる間にサービスと対話します。
  • ユーザーは、EU データ境界の外部に物理的に配置されている他のユーザーと通信することを選択します。 たとえば、電子メールまたは SMS メッセージの送信、Teams チャットの開始、公衆交換電話網 (PSTN) 通話、ボイス メール、geo 会議のクロスなど、音声通信が含まれます。
  • ユーザーは、EU データ境界からデータを移動するようにサービスを構成します。
  • ユーザーは、EU データ境界サービスを他の Microsoft またはサード パーティのオファリングまたは接続されたエクスペリエンスと組み合わせることを選択します(たとえば、Microsoft 365 アプリケーションで利用できるオプションのBingに基づくエクスペリエンスを利用する場合や、利用可能なコネクタを使用して EU データ境界サービス内から Microsoft 以外のプロバイダーとデータを同期する場合など)。
  • 顧客管理者は、EU データ境界サービスを Microsoft またはサード パーティが提供する他のサービスに接続することを選択します。この他のサービスは、EU データ境界サービスに適用されるサービスとは別の条件の対象となります (たとえば、EU データ境界サービスを構成してクエリをBingに送信したり、EU データ境界サービスと Microsoft 以外のプロバイダーでホストされているサービスとの間の接続を確立したりします。顧客もアカウントを持っています)。
  • ユーザーは、EU データ境界サービス (Teams ストアなど) 内で提示されたアプリ ストアからアプリを取得して使用します。このアプリは、アプリ プロバイダーからのエンド ユーザー ライセンス契約など、EU データ境界サービスに適用される用語とは別の条件の対象となります。
  • organizationは、Microsoft がリモート セキュリティ オペレーション センターの容量で機能するか、organizationのセキュリティ グループに代わって (およびの一部として) フォレンジック分析を実行する、プロフェッショナル セキュリティ サービスを要求またはサブスクライブします。

GDPR データ主体の権利要求を世界中で満たす

Microsoft では、お客様が適切であると判断した場合に、一般データ保護規則 (GDPR) に基づくデータ主体の権利要求 (DSR) に対応できるようにするシステム (たとえば、GDPR の第 17 条の要求に応じて個人データを削除する) を実装しており、これらのシステムは世界中のお客様が利用できます。 お客様が GDPR コンプライアンスを維持できるようにするには、ユーザー識別子を含む DSR シグナルをグローバルに処理して、データ主体に関連するすべてのデータが要求どおりに削除またはエクスポートされるようにする必要があります。 お客様が個人データの削除を要求するデータ主体に応じてデータの削除が適切であると判断した場合、そのデータ主体に関連するすべての個人データは、EU データ境界の内外の Microsoft のすべてのデータ ストアに配置および削除する必要があります。 同様に、顧客管理者がエクスポート要求を送信する場合、Microsoft は、EU データ境界の外部にある場合でも、そのデータ主体に関するすべての個人データを、顧客管理者によって指定されたストレージの場所にエクスポートする必要があります。 詳細については、「 GDPR: データ主体要求 (DSR)」を参照してください。

Professional Services データ

お客様がサポートまたは有料コンサルティング サービスに Microsoft と関わる過程で Microsoft にデータを提供する場合、そのデータは、 Microsoft 製品およびサービス データ保護補遺 (DPA) で定義されている Professional Services Data です。 Professional Services Data は現在、米国 ベースの Microsoft データセンターに格納されています。

サポート契約中の Microsoft 担当者による Professional Services データへのアクセスは、必要に応じて、2 要素認証や仮想化環境など、セキュリティと認証の制御を利用する承認済みのサポート管理システムに限定されます。 他の Microsoft 担当者は、必要なビジネス上の正当な理由とマネージャーの承認を提供することによってのみ、特定のエンゲージメントに関連するプロフェッショナル サービス データにアクセスできます。 データは転送中と保存時の両方で暗号化されます。

有料コンサルティング契約中に提供、取得、処理されたプロフェッショナル サービス データは、顧客が購入したサービスを提供するために関与するチームによってアクセスされます。 EU のお客様が、PROFESSIONAL Services データを EU データ境界に格納して処理する必要があることを指定できるようにするための作業が進行中です。

顧客の保護

グローバルなサイバーセキュリティの脅威から保護するために、Microsoft はセキュリティ操作をグローバルに実行する必要があります。 これを行うために、Microsoft は ( セキュリティ運用で詳しく説明されているように) EU データ境界外の仮名化された個人データを制限し、まれな状況では顧客データが制限されます。 悪意のあるアクターはグローバルに動作し、地理的に分散された攻撃を開始し、調整されたステルスを使用して検出を回避しています。 地理的境界を越えてコンテキストの脅威データを分析することで、Microsoft セキュリティ サービスは、高品質で自動化されたセキュリティ検出、保護、対応を提供することで、お客様を保護できます。

このクロス境界分析の結果は、悪意のあるアクティビティ、攻撃、または侵害の試行を顧客に警告するなど、複数の保護シナリオを提供します。

強力なセキュリティ保護を実施することは、お客様とコンピューティング エコシステムに利益をもたらし、顧客データ、仮名化された個人データ、および重要なインフラストラクチャのセキュリティに関する規制上の義務をサポートします。 GDPR と EU 基本権憲章の両方と一致する Microsoft のアプローチは、プライバシー、データ保護、セキュリティを促進することで価値を提供します。

セキュリティ操作のために EU から転送される限られた顧客データと仮名化された個人データへのアクセスは、Microsoft のセキュリティ担当者に限定され、セキュリティ インシデントの検出、調査、軽減、対応など、セキュリティ目的に限定されます。 転送された顧客データと仮名化された個人データは、暗号化とアクセス制限によって保護されます。 EU データ境界に格納および処理されるデータへのアクセスの詳細については、この記事の前半で説明します。

Microsoft がクロス境界信号を使用して提供する顧客向けの機能の例を次に示します。

  • Microsoft は、高度な最新のセキュリティ脅威から保護するために、人工知能を含む高度な分析機能を利用して、アクティビティ ログを含むセキュリティ関連の集計データを分析して、これらの攻撃を保護、検出、調査、対応、修復します。 限定的な顧客データとグローバルに統合された仮名化された個人データは、統計的な要約を作成して誤検知の結果を減らし、有効性を向上させ、既知と未知の両方の脅威の高度な検出のためのユニークな機械学習モデルをほぼリアルタイムで作成するために使用されます。 グローバル モデルを使用すると、特定の操作に対してカスタム モデルを微調整して有効にすることができます。 この一元化された分析機能がグローバル データ全体で行われなければ、これらのサービスの効率が大幅に低下し、お客様を保護することも、一貫したユーザー エクスペリエンスを提供することもできなくなります。
  • ハイパースケール クラウドを使用すると、特定の攻撃に関する事前の知識がなくても、セキュリティ関連のシステム生成ログの多様で継続的な分析が可能になります。 多くの場合、グローバルなシステム生成ログを使用すると、Microsoft またはそのお客様は以前に不明な攻撃を停止できますが、他の場合、Microsoft およびお客様はシステム生成ログを使用して、最初は検出されなかったが、新しい脅威インテリジェンスに基づいて後で検出できる脅威を特定できます。
  • 侵害されたエンタープライズ ユーザーを検出します。短期間 ("不可能な旅行" 攻撃と呼ばれます) 内に、複数の地理的リージョンから 1 つのアカウントへのログインを識別します。 これらの種類のシナリオからの保護を有効にするために、Microsoft セキュリティ製品 (および該当するセキュリティ運用と脅威インテリジェンス チーム) は、Microsoft Entra認証システムによって生成されたログなどのデータを geo 全体で一元的に処理して格納します。
  • 企業からのデータ流出を検出し、さまざまな場所からデータ ストレージへの悪意のあるアクセスのシグナルをいくつか集計することで、悪意のあるアクターが検出レーダーの下を飛行するために使用する手法 ("低および低速" 攻撃と呼ばれます)。

この作業のプライバシーへの影響を最小限に抑えるために、Microsoft のセキュリティ脅威ハンター チームは、悪意のあるアクティビティまたは侵害の早期インジケーターを検出して調査するために必要なシステム生成ログとサービス構成情報への継続的な転送を制限します。 この仮名化されたデータは、主に米国に統合され、保存されますが、前に説明したように、脅威検出作業のために世界中の他のデータ センター リージョンが含まれる場合があります。 仮名化された個人データは、DPA の条項と適用される契約上のコミットメントに従って転送および保護されます。 セキュリティ調査の結果として顧客データにアクセスまたは転送されるまれなケースでは、この記事の前の「 Microsoft による顧客データの保護方法 」セクションに記載されている昇格された承認と制御を通じて行われます。

セキュリティ操作

Microsoft のセキュリティ運用では、内部サービスのコレクションを使用して、顧客が毎日の運用に依存しているプラットフォームに直面している脅威を監視、調査、対応します。 地理的境界を越えた仮名化された個人データ、またはこれらの操作に対して処理される限定的な顧客データは、クラウド インフラストラクチャと Microsoft オンライン サービスに対する悪意のある試行をブロックするのに役立ちます。

セキュリティ目的で処理された仮名化された個人データは、世界中の任意の Azure リージョンに転送されます。 これにより、 Microsoft Security Response Center (MSRC) などの Microsoft のセキュリティ操作により、世界中の脅威に対応して、24 時間 365 日、効率的かつ効果的な方法でセキュリティ サービスを提供できます。 このデータは、Microsoft のプラットフォーム、製品、サービス内のセキュリティ インシデントの監視、調査、対応に使用され、お客様と Microsoft がセキュリティとプライバシーに対する脅威から保護されます。 たとえば、IP アドレスまたは電話番号が不正なアクティビティで使用されていると判断された場合、それを使用するすべてのワークロードからのアクセスをブロックするためにグローバルに公開されます。

  • セキュリティ アナリストは世界中の場所から集計されたデータにアクセスします。MSRC には、分散型の専門知識とスキルを備え、テナントまたはサブスクリプションの悪意のあるアクティビティを特定し、インシデントの解決に役立てるために Microsoft サポートに問い合わせて、セキュリティ調査に対する継続的な監視と対応を提供するスキルを備えています。
  • MSRC は、顧客のテナント、サブスクリプション、またはリソースの侵害を明確に示し、顧客からの承認に従って、顧客に通知し、調査を支援し、インシデントに対応します。
  • 調査の過程で、顧客に影響を与えるプライバシー インシデントが特定された場合、MSRC は厳格なプロトコルに従って、プライバシーに影響を与えるインシデントの通知と対応をサポートするためにさらに調査を行います。
  • アジャイル対応と修復のための Microsoft 内部セキュリティ チーム間での脅威インテリジェンスと調査の詳細の共有。

EU データ境界に格納および処理されるデータへのアクセスの詳細については、この記事の前半で説明します。

セキュリティ脅威インテリジェンス

Microsoft 脅威インテリジェンス サービスは 、お客様の環境に直面している脅威を監視、調査、対応します。 セキュリティ調査のために収集されたデータには、システムで生成されたログに仮名化された個人データと限られた顧客データが含まれる場合があります。 このデータは、お客様のクラウド インフラストラクチャに対する悪意のある試みをブロックし、タイムリーな脅威インテリジェンスと侵害の兆候を組織に提供するために使用され、保護のレベルを高めるのに役立ちます。

国家の脅威または高度なアクターによるその他の悪意のあるアクションの証拠が検出された脅威調査の場合、Microsoft チームは、Microsoft 脅威インテリジェンス センター (MSTIC) などの脅威インテリジェンスを収集して、お客様に通知されたアクティビティを警告します。 MSTIC は、グローバルに統合されたシステム生成ログと、さまざまな Microsoft 製品やサービスから収集された診断データを、MSTIC 担当者による専門家による分析と組み合わせることで、悪意のあるアクティビティを特定できます。

セキュリティ上の目的でグローバルに統合されたシステム生成ログへの地理的に分散したアナリスト チームによるアクセスは、攻撃や侵害をタイムリーに特定し、中断のない調査を提供するために非常に重要です。 MSTIC アナリストは、特定の地域の敵対的な専門知識を持っている可能性があるため、他のリージョンにレプリケートできない特定の攻撃者の知識とスキルを持っています。 その結果、MSTIC 分析操作は必ずしも地政学的境界を越えて、最高レベルの専門知識を顧客に提供します。 アクセス制御の詳細については、この記事の「 EU データ境界に格納および処理されたデータへのリモート アクセス 」を参照してください。

お客様に最適な脅威インテリジェンスを提供するには、次のようなシナリオでグローバルシグナルを活用する必要があります。

  • 国家情報の目標を達成するために使用される悪意のある国家活動。
  • 破壊的で回復不可能な攻撃でコモディティマルウェアと戦術を使用する悪意のある国家の活動、または攻撃者の身元を隠すために使用される (false フラグ) し、妥当な拒否可能性を提供します。 不正な金銭的強要スキーム (たとえば、一般市民の重要なリソースやインフラストラクチャに対するランサムウェア攻撃) で使用される悪意のある犯罪行為。

プレビュー/試用版のサービス

EU データ境界には、一般公開されている有料の Microsoft サービスのみが含まれます。 プレビュー中または無料試用版として利用できるサービスは含まれません。

非推奨のサービス

2022 年 12 月 31 日現在、Microsoft が非推奨と発表したサービスは、EU データ境界には含まれていません。 Microsoft クラウド サービスは モダン ライフサイクル ポリシーに従っており、ほとんどの場合、サービスが非推奨と発表された場合は、EU データ境界のスコープ内にある代替または後続の製品オファリングも推奨しています。 たとえば、Microsoft Stream (クラシック)は、Microsoft 365 のエンタープライズ ビデオ サービスであり、Stream (SharePoint 上) に置き換えられます。 Stream (クラシック)の特定の非推奨日はまだ発表されていませんが、Stream (クラシック)は 2024 年に非推奨となる予定です。 移行ガイダンスとパブリック プレビュー ツールは、お客様が EU データ境界内の Stream (SharePoint 上) に移行するのに役立ちます。

オンプレミスのソフトウェアとクライアント アプリケーション

オンプレミスのソフトウェアおよびクライアント アプリケーションに格納されているデータは、お客様のオンプレミス環境で何が起こるかを Microsoft が制御しないため、EU データ境界には含まれません。 オンプレミスのソフトウェアとクライアント アプリケーションの使用から生成された診断データも、EU データ境界には含まれません。

ディレクトリ データ

Microsoft は、EU データ境界外のMicrosoft Entra (ユーザー名と電子メール アドレスを含む) から制限されたMicrosoft Entraディレクトリ データをレプリケートしてサービスを提供する場合があります。

ネットワークトランジット

ルーティングの待機時間を短縮し、ルーティングの回復性を維持するために、Microsoft では、EU データ境界外で顧客トラフィックのルーティングが発生する可能性がある可変ネットワーク パスを使用します。 これには、プロキシ サーバーによる負荷分散が含まれる場合があります。

サービスとプラットフォームの品質と管理

Microsoft 担当者は、サービスが効率的に実行されていることを確認し、サービスのリアルタイムのグローバル品質メトリックを計算および監視するために、システム生成ログの仮名化された個人データをグローバルに統合する必要がある場合があります。 オブジェクト ID やプライマリ一意 ID (PUID) などの仮名化された個人データの限られた量は、これらの転送に含まれることができ、さまざまなサービスの操作性と管理の問題に対処するために使用されます。 たとえば、サービスに影響を与えるイベントの影響を受けるユーザーの数を計算して、その普及性と重大度を判断したり、このデータに基づく課金計算が完全かつ正確になるように、サービスの月間アクティブ ユーザー (MAU) と毎日のアクティブ ユーザー (DAU) を計算したりします。 MAU および DAU の計算目的で転送された仮名化された個人データは、集計分析をコンパイルするために必要な限り、EU データ境界の外部に保持されます。