Microsoft 365 のネットワーク、サービス、テナントの分離を理解する
違反境界線は、Microsoft 365 の設計を左右する重要なセキュリティ原則です。 Microsoft 365のサービスは共有インフラストラクチャ上に構築されており、あるテナントの行動がセキュリティに影響を与えたり、他のテナントのコンテンツにアクセスしたりできないように設計されています。 Microsoft 365は、ネットワーク、サービス、およびテナントの分離を活用してサービスの違反境界線を作成します。これにより、ある境界の侵害が他の境界の侵害につながることを防ぎます。
ネットワークとサービスの分離
ネットワークの分離の目標は、サービスを運用するために必要最小限の場合を除き、Microsoft 365 サービス インフラストラクチャのさまざまな部分が相互に通信する機能を制限することです。 Microsoft 365 サービスは、相互に関係していますが、それぞれ自律し独立したサービスとして展開および運用できるように設計および実装されています。 また、オンライン サービスでの顧客トラフィックは、企業ネットワークから分離されます。 最小特権のゼロ スタンディング アクセスの実装のような他の制御と組み合わせることで、ネットワークとサービスの分離を実現し、Microsoft 365 内のサービスとサービス コンポーネント間の違反の境界を確立することができます。
その中核として、Microsoft 365 のネットワーク分離は、サービス・コンポーネントとネットワーク・セグメント間の不要で無許可のトラフィックをブロックするように設計されています。 ネットワークの分離は、あるサービスから別のサービスへの不要な認証を防ぐだけではありません。 また、認証されていない攻撃から当社のサービスを守るのにも役立ちます。 最も危険なゼロデイ エクスプロイトには、コンピューター間で機密ネットワークパスを悪用する、認証されていないリモートコード実行 (RCE) が含まれます。 認証を試みる前にターゲットとの接続を確立する機能は、可能な限り制限する必要があります。 Microsoft 365 の強力なネットワークの分離により、これらの種類の攻撃に対する重大な保護が提供されます。
Microsoft クラウド インフラストラクチャは、外部境界、主要な内部境界、およびアクセス制御リスト (ACL) を使用するホスト上のネットワーク トラフィックを監視および制御します。 ACL は、通信を制限するための推奨されるメカニズムであり、ルーター、ネットワークおよびホスト ベース ファイアウォール、Azure Network Security Groups (NSG) などのネットワーク デバイスを使用して実装されます。 明示的な運用ニーズを満たしていないネットワーク トラフィックは、既定で拒否されます。 Microsoft は、アーキテクチャとデータ フロー図 (DFDs) の管理の一環として、すべてのネットワーク トラフィックを綿密に調べています。 DFDs ドキュメントは、サービス コンポーネント間のネットワーク フローを認定しています。エンジニアは、ネットワーク トラフィック パターンを視覚化して、ネットワーク上のホスト、ファイアウォール、およびルーター層の不要なトラフィックを制限します。
中核となる Microsoft 365 サービスが拡大すると、新たにプロビジョニングされた機能から、以前に確立されたサービスの一部へのトラフィックは、既定では拒否されます。 チームは、新しいサービス機能が動作するために必要なネットワーク パスを手動で開く必要があります。これを行うと、必要最小限のパスのみが開かれるように、その操作が精査されます。 主なセキュリティ原則は次のとおりです。新たにプロビジョニングされた機能は、安全を確信できるものではなく、サービス規模に応じてネットワーク分離ポリシーが自動的に適用されます。
テナントの分離
クラウド コンピューティングの主な利点の1つは、同時に複数のユーザー間で共有されているインフラストラクチャを活用して、経済規模を拡大できることです。 この概念は、マルチテナント機能と呼ばれます。 Microsoft は、クラウド サービスのマルチテナント アーキテクチャによって、エンタープライズレベルのセキュリティ、機密性、プライバシー、完全性、可用性の基準をサポートするため、継続的に取り組んでいます。 Microsoft 365 テナントのすべての顧客コンテンツは、他のテナントや、Microsoft 365 の管理に使用されている運用およびシステム データから分離されます。 Microsoft 365 には複数の保護形態が実装されており、Microsoft 365 のサービスやアプリケーションが侵害される危険を最小限に抑えることができます。
Microsoft クラウド サービスは、すべてのテナントが他のすべてのテナントに対して潜在的に悪意を持つ可能性があることを想定して設計されています。 結果として、1つのテナントのアクションがセキュリティに影響したり、別のテナントのコンテンツにアクセスしたりするのを防ぐセキュリティ対策を実装しました。 Microsoft 365 のテナント分離を管理する主な目的は、次の2つです。
- テナント間での顧客コンテンツの漏洩や無許可アクセスを防止します。
- あるテナントのアクションが、別のテナントのサービスに悪影響を及ぼすことを防止します。
各テナント内の顧客コンテンツの論理的な分離は、設計によって各サービスに組み込まれており、Microsoft Entra IDとロールベースのアクセス制御によって実現されます。 具体的には、Microsoft 365 の各テナント コンテナーは、Microsoft Entra IDのテナントの組織単位 (OU) によって定義されます。 テナントには、個人のセキュリティ境界線とユーザー代表者名 (UPNs) が含まれています。これにより、情報の漏えいや、テナント間の無許可アクセスを防ぐことができます。 Microsoft 365 のユーザー認証は、ユーザー ID を確認するだけでなく、ユーザー アカウントが含まれるテナントの ID も確認します。これにより、ユーザーはテナント環境外のデータにアクセスできなくなります。 サービス レベルでのテナント固有の暗号化により、顧客テナントごとに保護のレイヤーを追加することができます。
サービスのデータ層とアプリケーション層では、個々のサービスにテナント分離のレイヤーを追加することができます。 たとえば、SharePoint Online では、顧客コンテンツを暗号化して分離されたデータベースに保存することにより、ストレージ レベルでデータを分離することができます。 Exchange Onlineでは、メールボックス レベルでの認証が必要です。また、カスタマー キーを使用して、顧客が管理する暗号化キーでメールボックスを暗号化することができます。