Microsoft 365 アーキテクチャのセキュリティの原則を確認する
Microsoft 365 のセキュリティを維持するために、サービス アーキテクチャにセキュリティを組み込み、クラウド環境に関連するセキュリティ リスクを軽減します。 堅牢な中核的セキュリティ原則を使用してサービスを設計し、それらの原則がサービスの設計と運用に深く組み込まれていることを確認します。
Microsoft の Microsoft 365 セキュリティへのアプローチには、次のような重要な原則があります:
- データのプライバシー: お客様はデータを所有し、Microsoft 365 は Microsoft 365 サービスのデータへのアクセスを統制、管理、制御するためのツールをお客様に提供します。 このサービスは、お客様からの要求がない限り、エンジニアがお客様のデータに触れずに操作できるように設計されています。 ゼロ スタンディング アクセス (ZSA) を実装し、サービスを可能な限り自動化して、お客様のデータとの人間の相互作用を制限します。
- 設計によるセキュリティ: セキュリティの優先度と要件は、新機能の設計に組み込まれており、強力なセキュリティ体制がサービスに合わせて拡大します。 セキュリティは、設計の初期段階から、Microsoft のセキュリティ開発ライフサイクル (SDL) を使用したサービスのライフサイクル全体を通して組み込まれています。
- 違反の想定: サービスのすべてのエンティティを潜在的な脅威として扱います。これには、サービスを管理する担当者、サービスを使用するテナント、サービス インフラストラクチャ自体が含まれます。 システムの一部で違反が発生した場合に攻撃者が引き起こす可能性のある損害を制限することにより、違反がセキュリティ インシデントの影響を軽減すると想定します。 また、セキュリティの監視機能を継続的に改善して、迅速かつ効果的にセキュリティの脅威を検出し対処することができます。
- 多層防御: このサービスでは、セキュリティへの多層防御アプローチが実装されています。複数層のセキュリティ制御を強化して、保護を強化します。 たとえば、このサービスでは、多要素認証を使用して、資格情報の盗用を防ぐことができます。 アカウントが侵害された場合、セキュリティ監視は、異常な動作を検出して警告するように設計されています。 一方、保管中および転送中のすべてのデータの暗号化は、ゼロ スタンディング アクセスを補完し、お客様のデータへ不正アクセスするために使用されているアカウントを保護します。
- 違反の範囲: このサービスは、ネットワーク、サービス、テナントレベルの分離を使用して違反の範囲を実装します。 これらの範囲により、1 つの範囲にあるアイデンティティおよびインフラストラクチャは、他の範囲のリソースから確実に分離されます。 1 つの範囲の妥協は、他の部分の妥協につながりません。 たとえば、テナント分離は、Microsoft 365 の共有インフラストラクチャを介してテナントが相互に影響を与えることを防ぎます。
- 復元力: このサービスは、サービスの可用性を維持し、お客様のデータを継続的に保護するために、フォールトおよびエラーから保護されるように設計されています。 復元力は、Microsoft 365 のアーキテクチャに通知する設計原則です。