OneDrive と SharePoint でのデータ暗号化
OneDrive と SharePoint のデータ セキュリティの暗号化の基本的な要素について理解します。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
Microsoft 365 でのセキュリティとデータの暗号化
Microsoft 365 は、物理データ センターのセキュリティ、ネットワーク セキュリティ、アクセス セキュリティ、アプリケーション セキュリティ、データ セキュリティなど、複数のレイヤーで広範な保護を提供する非常に安全な環境です。 この記事では、具体的には、OneDrive と SharePoint のデータ セキュリティの転送中および保存時の暗号化側に焦点を当てます。
データの暗号化の仕組みについて、次のビデオをご覧ください。
転送中データの暗号化
OneDrive と SharePoint では、データがデータ センターに出入りするシナリオが 2 つあります。
サーバーとのクライアント通信 インターネット経由の OneDrive への通信では、SSL/TLS 接続が使用されます。 すべての TLS 接続は、2048 ビット キーを使用して確立されます。
データ センター間のデータ移動 データ センター間でデータを移動する主な理由は、ディザスター リカバリーを可能にする geo レプリケーションです。 たとえば、トランザクション ログと BLOB ストレージデルタSQL Server、このパイプに沿って移動します。 このデータはプライベート ネットワークを使用して既に送信されていますが、クラス最高の暗号化でさらに保護されます。
保管中データの暗号化
保管中の暗号化には、ユーザー コンテンツの BitLocker ディスク レベル暗号化と、ファイル単位暗号化が関係しています。
BitLocker は、OneDrive と SharePoint 用にサービス全体に展開されます。 ファイルごとの暗号化は、Microsoft 365 マルチテナントおよびマルチテナント テクノロジに基づいて構築された新しい専用環境の OneDrive と SharePoint にも存在します。
BitLocker 暗号化はディスク上のすべてのデータを暗号化し、ファイル単位暗号化の場合にはファイルごとに固有の暗号化キーを含めてさらに細かく暗号化を行えます。 つまり、各ファイルを更新するたびに独自の暗号化キーを使用して暗号化されます。 暗号化されたコンテンツのキーは、コンテンツとは物理的に別の場所に格納されます。 この暗号化の各ステップでは、256 ビット キーによる高度暗号化標準 (Advanced Encryption Standard: AES) が使用され、Federal Information Processing Standard (FIPS) 140-2 に準拠しています。 暗号化されたコンテンツは、データ センター全体の多くのコンテナーに分散され、各コンテナーには一意の資格情報があります。 これらの資格情報はコンテンツまたはコンテンツ キーとは物理的に別の場所に格納されます。
FIPS 140-2 コンプライアンスの詳細については、「 FIPS 140-2 コンプライアンス」を参照してください。
保存時のファイル レベルの暗号化では、BLOB ストレージを利用してストレージの増加を実現し、前例のない保護を実現します。 OneDrive と SharePoint のすべての顧客コンテンツが BLOB ストレージに移行されます。 データのセキュリティ保護方法を次に示します。
すべてのコンテンツが暗号化され、複数のキーを持つ可能性があり、データ センター全体に分散されます。 格納する各ファイルは、そのサイズに応じて 1 つ以上のチャンクに分割されます。 その後、各チャンクは独自の一意のキーを使用して暗号化されます。 Updatesは同様に処理されます。ユーザーによって送信された一連の変更 (デルタ) はチャンクに分割され、それぞれが独自のキーで暗号化されます。
これらのチャンク ファイル、ファイル セット、更新差分すべては Blob ストア内で Blob として格納されます。 これらのファイルはまた、複数の Blob コンテナーでランダムに分散されます。
コンポーネントからファイルを再構成するために使用される "map" は、コンテンツ データベースに格納されます。
それぞれの Blob コンテナーには、アクセスの種類 (読み取り、書き込み、列挙、削除) ごとに独自の資格情報があります。 各資格情報セットはセキュリティが確保されたキー ストアで保管され、定期的に更新されます。
つまり、ファイル単位の保管中の暗号化には以下のように 3 つの異なる種類のストアがあり、それぞれ別の機能を持っています。
Blob ストアには、コンテンツが暗号化 Blob として格納されます。 コンテンツの各チャンクのキーが暗号化されて、コンテンツ データベースに別個に格納されます。 コンテンツ自体は、暗号化解除方法に関する糸口を含めずに保持されます。
コンテンツ データベースは、SQL Server データベースです。 BLOB ストアに保持されているすべてのコンテンツ BLOB と、それらの BLOB の暗号化を解除するために必要なキーを見つけて再アセンブルするために必要なマップが保持されます。
これら 3 つのコンポーネント (Blob ストア、コンテンツ データベース、キー ストア) はそれぞれ物理的に別の場所にあります。 いずれかのコンポーネントに保管されている情報は、それ自体では使用できません。 この戦略は、これまでにないレベルのセキュリティを提供します。 3 つすべてにアクセスしないと、チャンクへのキーを取得したり、キーを復号化して使用可能にしたり、対応するチャンクにキーを関連付けたり、任意のチャンクを復号化したり、構成要素のチャンクからドキュメントを再構築したりすることはできません。