SharePoint と OneDrive がクラウド内のデータを保護する方法

ユーザーのデータはユーザーが管理します。 SharePoint と OneDrive for Microsoft 365 にデータを配置する場合、データの所有者のままです。 データの所有権の詳細については、「 Microsoft 365 Privacy by Design」を参照してください。

お客様のデータの処理方法

Microsoft エンジニアは、2 要素認証を必要とする PowerShell コンソールを使用して SharePoint と OneDrive を管理します。 ワークフローを実行して日常的なタスクを実行し、新しい状況に迅速に対応できるようにします。 サービスへのチェックインには、コード レビューと管理の承認が必要です。

サービスに永続的にアクセスできるエンジニアはいません。 エンジニアがアクセスを必要とするときは、それを要求する必要があります。 適格性がチェックされ、エンジニアアクセスが承認された場合は、期間限定です。 Microsoft エンジニアがコンテンツにアクセスする必要がある場合 (たとえば、ユーザーが破損していると思われる重要なファイルにアクセスできないためにサポート チケットを送信した場合など)、エンジニアは、ビジネス上の正当な理由とマネージャーの承認を必要とする特定のワークフローでチェックする必要があります。 Microsoft 365 管理センターで表示できる監査イベントが生成されます。 Customer Lockbox という機能を有効にすることもできます。そのため、要求を承認する必要があります。 エンジニアは、問題のファイルにのみアクセスします。 カスタマー ロックボックスをオンまたはオフにし、要求を承認および拒否する方法については、「 Microsoft Purview Customer Lockbox Requests」を参照してください。

データを保護する方法

データを保護するために実行できる最も重要なことの 1 つは、Microsoft 365 で ID に 2 要素認証を要求することです。 これにより、資格情報が 2 番目の要素なしで使用されるのを防ぎ、侵害されたパスワードの影響を軽減します。 2 番目の要素は、電話、テキスト メッセージ、またはアプリを使用して行うことができます。 2 要素認証をロールアウトする場合は、グローバル管理者、その他の管理者、サイト コレクション管理者から開始します。 これを行う方法については、「 Microsoft 365 ユーザーの多要素認証を設定する」を参照してください。

セキュリティを強化することをお勧めします。

• デバイス ベースMicrosoft Entra条件付きアクセスを使用して、空港やホテルのキオスクなどの管理されていないデバイスへのアクセスをブロックまたは制限します。 「アンマネージド デバイスからのアクセスを制御する」を参照してください。

• 非アクティブな期間が経過した後、Microsoft 365 Web セッションからユーザーをサインアウトするためのポリシーを作成します。 詳細については、「 非アクティブなユーザーをサインアウトする」を参照してください。

• IP ベースのセッションの必要性を評価します。 これらは、オンプレミスデプロイのアクセス モデルをシミュレートします。 詳細については、「 ネットワークの場所またはアプリに基づくアクセスの制御」を参照してください。

• ワーカーが広く、しかし安全に共有できるようにする。 サインインを要求したり、期限切れになったリンクを使用したり、制限付き特権を付与したりできます。 「SharePoint 環境の外部共有を管理する」を参照してください。

• 機密性の高いコンテンツが誤って公開されるのを防ぎます。 DLP ポリシーを作成してドキュメントを識別し、ドキュメントが共有されないようにします。 「データ損失防止について」を参照してください。

輸送中および保存中に保護

輸送中に保護

データがクライアントからサービスに転送され、データセンター間で転送される場合は、クラス最高の暗号化を使用して保護されます。 詳細については、「 OneDrive と SharePoint でのデータ暗号化」を参照してください。 セキュリティで保護されたアクセスのみを許可します。 HTTP 経由で認証された接続は行いませんが、代わりに HTTPS にリダイレクトします。

保存時に保護

物理的な保護: データセンターにアクセスできるのは、限られた数の重要な担当者のみです。 ID は、スマート カードや生体認証など、認証の複数の要素で検証されます。 オンプレミスのセキュリティ責任者、モーション センサー、ビデオ監視があります。 侵入検出アラートは、異常なアクティビティを監視します。

ネットワーク保護: ネットワークと ID は、Microsoft 企業ネットワークから分離されています。 専用の Active Directory ドメインを使用してサービスを管理し、テストと運用用に個別のドメインを持ち、運用ドメインは信頼性とセキュリティのために複数の分離されたドメインに分割されます。 Microsoft 365 の組み込みの物理的および論理的なセキュリティの詳細については、「Microsoft 365 の組み込みセキュリティ」を参照してください。

アプリケーション セキュリティ: 機能を構築するエンジニアは、セキュリティ開発ライフサイクルに従います。 自動分析と手動分析は、考えられる脆弱性を特定するのに役立ちます。 Microsoft セキュリティ応答センター (Microsoft Security Response Center) は、受信した脆弱性レポートをトリアージし、軽減策を評価するのに役立ちます。 Microsoft Cloud バグ バウンティを通じて、世界中のユーザーが脆弱性を報告することで収益を得ることができます。 詳細については、 Microsoft Cloud バグ報奨金条項に関するページを参照してください。

コンテンツ保護: データは、BitLocker 暗号化を使用してディスク レベルで暗号化され、キーを使用してファイル レベルで暗号化されます。 詳細については、「 OneDrive と SharePoint でのデータ暗号化」を参照してください。 Microsoft 365 で保存データを暗号化するために使用されるキーを顧客キーを提供および制御する方法については、「Microsoft Purview カスタマー キーを使用したサービス暗号化に関する FAQ」を参照してください。

Microsoft 365 マルウェア対策エンジンは、アップロード時にドキュメントをスキャンして、AV 署名に一致するコンテンツをスキャンします (1 時間ごとに更新)。 詳細については、「 SharePoint でのウイルス検出」を参照してください。 高度な保護を実現するには、Microsoft 365 Advanced Threat Protection (ATP) を使用します。 ATP は、共有されているコンテンツを分析し、脅威インテリジェンスと分析を適用して高度な脅威を特定します。 詳細については、「 Microsoft 365 Advanced Threat Protection」を参照してください。

信頼されていないデバイスにコンテンツがダウンロードされるリスクを制限するには:

• 指定したドメイン上のデバイスへの同期を制限する: 特定のドメインに参加しているコンピューターでのみ同期を許可します。

• Intune を使用して、OneDrive および SharePoint モバイル アプリのコンテンツへのアクセスを制限する: OneDrive および SharePoint モバイル アプリの機能へのアクセスを制御します。

保存中のコンテンツを管理するには:

• コンテンツのダウンロードを制限するために SharePoint ドキュメント ライブラリの IRM ポリシーを設定する。 SharePoint 管理センターでの Information Rights Management (IRM) の設定に関するページを参照してください。

• Azure Information Protection (AIP) の使用を評価します。 分類とラベル付けを使用すると、データの使用方法を追跡および制御できます。 Azure Information Protectionにアクセスします。

高可用性、常に回復可能

Microsoft のデータセンターは、リージョン内に地理的に分散され、フォールト トレラントです。 少なくとも 2 つのデータセンターにデータがミラーリングされ、自然災害またはサービスに影響を与える停止の影響を軽減します。 詳細については、「 Microsoft 365 顧客データが格納されている場所」を参照してください。

メタデータ バックアップは 14 日間保持され、5 分以内の任意の時点に復元できます。

ランサムウェア攻撃の場合は、バージョン履歴 (リストまたはライブラリのバージョン管理を有効にして構成する) を使用してロールバックし、復元するごみ箱またはサイト コレクションのごみ箱 (サイト コレクションのごみ箱から削除済みアイテムを復元する) を使用できます。 アイテムがサイト コレクションのごみ箱から削除された場合は、14 日以内にサポートに電話してバックアップにアクセスできます。 ユーザーが過去 30 日以内の任意の時点に OneDrive 全体を復元できる新しいファイルの復元機能の詳細については、「 OneDrive の復元」を参照してください。

継続的に検証される

Microsoft はデータセンターを継続的に監視し、データを正常かつ安全に保ちます。 これはインベントリから始まります。 インベントリ エージェントは、各サブネットをスキャンして近隣ノードを探します。 マシンごとに、状態キャプチャを実行します。

インベントリを作成したら、マシンの正常性を監視および修復できます。 セキュリティ パッチ トレーニングは、パッチを適用し、ウイルス対策署名を更新し、既知の適切な構成が保存されていることを確認します。 ロール固有のロジックがあり、一度に一定の割合のマシンのみを修正またはローテーションできます。

ポリシーを満たしていないマシンを特定し、代わりにキューに入れる自動化されたワークフローがあります。

Microsoft 内の Microsoft 365 "Red Team" は、侵入スペシャリストで構成されています。 不正アクセスを取得する機会を探します。 "ブルー チーム" は、防止、検出、回復に重点を置く防御エンジニアで構成されています。 侵入検出と応答のテクノロジを構築します。 Microsoft のセキュリティ チームの学習に対応するには、 セキュリティ、プライバシー、コンプライアンスに関するブログを参照してください。

Microsoft 365 サブスクリプションのアクティビティを監視および監視するには:

• オンプレミスのセキュリティ オペレーション センターまたは SIEM がある場合は、Management Activity API を使用してアクティビティを監視できます。 詳細については、「 Microsoft 365 Management API の概要」を参照してください。 これにより、SharePoint、Exchange、Microsoft Entra ID、DLP などのアクティビティが表示されます。 オンプレミスのセキュリティ オペレーション センターまたは SIEM がない場合は、Cloud App Securityを使用できます。 Cloud App Securityでは、Management Activity API が使用されます。 詳細については、「Microsoft 365 Cloud App Securityの概要」を参照してください。 Cloud App Securityを通じて、アクティビティに関するレポート、検索、アラートを行うことができます。

• Microsoft Entra ID 保護を使用します。 これにより、機械学習が適用され、疑わしいアカウントの動作 (たとえば、世界のさまざまな部分の同じユーザーからの同時サインイン) が検出されます。 これらのサインインをブロックするアクションを実行するように ID 保護を構成できます。詳細については、「Microsoft Entra ID 保護」を参照してください。

• セキュリティ スコアを使用して、既知の適切なベースラインに対してサブスクリプションのセキュリティ プロファイルを評価し、保護を強化する機会を特定します。 詳細については、「 Microsoft Secure Score」を参照してください。

監査済みおよび準拠

規制コンプライアンスは、Microsoft 365 の基本です。 サービスが規制とコンプライアンスの基準に準拠していることを確認します。 また、監査とコンプライアンスの義務を満たすお手伝いをします。 サービス 信頼ポータルは、Microsoft エンタープライズ サービスのコンプライアンスと信頼に関する情報をワンストップで提供するショップです。 ポータルには、レポート、ホワイトペーパー、脆弱性評価、コンプライアンス ガイドが含まれています。 サービス 信頼ポータルの詳細については、「 Microsoft Service Trust Portal の概要」を参照してください。

規制要件を満たすには、次の手順を実行します。

• セキュリティ & コンプライアンス センターで Microsoft 365 アクティビティを監査する: Microsoft 365 セキュリティ & コンプライアンス センターで監査ログを検索します。

• 電子情報開示ケースの作成: Microsoft 365 セキュリティ & コンプライアンス センターで電子情報開示ケースを管理する

• アイテム保持ポリシーを適用する: 情報管理ポリシーを作成して適用します。