顧客により管理される暗号化機能
これらのテクノロジの詳細については、 Microsoft 365 サービスの説明を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
Azure Rights Management
Azure Rights Management (Azure RMS) は、Azure Information Protectionで使用される保護テクノロジです。 暗号化、ID、承認ポリシーを使用して、複数のプラットフォームとデバイス (電話、タブレット、PC) でファイルとメールをセキュリティで保護します。 保護はデータに残るため、organization内と外部の両方で情報を保護できます。 Azure RMS は、すべてのファイルの種類を永続的に保護し、どこからでもファイルを保護し、ビジネス間のコラボレーションをサポートし、さまざまな Windows デバイスと Windows 以外のデバイスをサポートします。 Azure RMS 保護では、 データ損失防止 (DLP) ポリシーを強化することもできます。 Azure Information Protection から Azure Rights Management サービスを使用できるアプリケーションとサービスの詳細については、「アプリケーションが Azure Rights Management サービスをサポートする方法」を参照してください。
Azure RMS は Microsoft 365 と統合されており、すべての顧客が利用できます。 Azure RMS を使用するように Microsoft 365 を構成するには、「 Azure Rights Management を使用するように IRM を構成する」および「SharePoint 管理センターで Information Rights Management (IRM) を設定する」を参照してください。 オンプレミスの Active Directory (AD) RMS サーバーを運用する場合は、オンプレミスの AD RMS サーバーを使用するように IRM を構成することもできますが、他の組織とのセキュリティで保護されたコラボレーションなどの新機能を使用するには、Azure RMS に移行することを強くお勧めします。
Azure RMS を使用して顧客データを保護する場合、Azure RMS は、整合性のために SHA-256 ハッシュ アルゴリズムを使用して 2048 ビット RSA 非対称キーを使用してデータを暗号化します。 Office ドキュメントと電子メールの対称キーは AES 128 ビットです。 Azure RMS によって保護されているドキュメントまたは電子メールごとに、Azure RMS によって 1 つの AES キー ("コンテンツ キー") が作成され、そのキーがドキュメントに埋め込まれており、ドキュメントのエディションを通じて保持されます。 コンテンツ キーは、ドキュメント内のポリシーの一部としてorganizationの RSA キー ("Azure Information Protection テナント キー" で保護され、ポリシーもドキュメントの作成者によって署名されます。 このテナント キーは、organizationに対して Azure RMS によって保護されているすべてのドキュメントと電子メールに共通しており、このキーは、organizationがカスタマー マネージドのテナント キーを使用している場合にのみ、Azure Information Protection管理者が変更できます。 Azure RMS で使用される暗号化制御の詳細については、「Azure RMS のしくみ」を参照してください 。フードの下。
既定の Azure RMS 実装では、Microsoft はテナントごとに一意のルート キーを生成および管理します。 お客様は、オンプレミスの HSM (ハードウェア セキュリティ モジュール) でキーを生成できる Bring Your Own Key (BYOK) というキー管理方法を使用して、Azure RMS のルート キーのライフサイクルを Azure Key Vault Services で管理し、Microsoft の FIPS 140-2 レベル 2 検証済み HSM に転送した後もこのキーを制御できます。 ルート キーへのアクセスは、キーを保護する HSM からエクスポートまたは抽出できないため、どの担当者にも付与されません。 さらに、ルート キーへのすべてのアクセスをいつでも示すほぼリアルタイムのログにアクセスできます。 詳細については、「 Azure Rights Management の使用状況のログ記録と分析」を参照してください。
Azure Rights Management は、ワイヤータップ、中間者攻撃、データの盗難、組織共有ポリシーの意図しない違反などの脅威を軽減するのに役立ちます。 同時に、適切なアクセス許可を持たない未承認のユーザーが転送中または保存中の顧客データに対する不当なアクセスは、そのデータに従うポリシーによって防止され、これにより、データが故意または無知で間違った手に落ちるリスクを軽減し、データ損失防止機能を提供します。 Azure Information Protectionの一部として使用する場合、Azure RMS には、データ分類とラベル付け機能、コンテンツ マーキング、ドキュメント アクセス追跡、アクセス失効機能も用意されています。 これらの機能の詳細については、「Azure Information Protectionとは」、「Azure Information Protection デプロイ ロードマップ」、「Azure Information Protectionのクイック スタート チュートリアル」を参照してください。
セキュリティで保護された多目的インターネット メール拡張機能
Secure/多目的インターネット メール拡張機能 (S/MIME) は、MIME データの公開キー暗号化とデジタル署名の標準です。 S/MIME は RFC 3369、3370、3850、3851 などで定義されています。 これにより、ユーザーは電子メールを暗号化し、電子メールにデジタル署名できます。 S/MIME を使用して暗号化された電子メールは、秘密キーを使用して電子メールの受信者のみが復号化できます。これは、その受信者のみが使用できます。 そのため、電子メールの受信者以外の誰かが電子メールを復号化することはできません。
Microsoft では、S/MIME がサポートされています。 パブリック証明書は、顧客のオンプレミスの Active Directoryに配布され、Microsoft 365 テナントにレプリケートできる属性に格納されます。 公開キーに対応する秘密キーはオンプレミスのままであり、Office 365に送信されることはありません。 ユーザーは、Outlook、Outlook on the web、Exchange ActiveSync クライアントを使用して、organization内の 2 人のユーザー間で電子メールを作成、暗号化、復号化、読み取り、デジタル署名できます。
Office 365 Message Encryption
Azure Information Protection (AIP) に基づいて構築された Office 365 Message Encryption (OME) を使用すると、暗号化された権限で保護されたメールを誰にでも送信できます。 OME は、ワイヤータップや中間者攻撃などの脅威や、適切なアクセス許可を持たない未承認のユーザーによるデータへの不当なアクセスなど、その他の脅威を軽減します。 Azure Information Protectionに基づいて構築された、よりシンプルで直感的で安全な電子メール エクスペリエンスを提供する投資を行いました。 Microsoft 365 から送信されたメッセージを、organization内または外部の任意のユーザーに保護できます。 これらのメッセージは、Microsoft Entra ID、Microsoft アカウント、Google ID など、任意の ID を使用して、さまざまなメール クライアントのセット全体で表示できます。 organizationで暗号化されたメッセージを使用する方法の詳細については、「メッセージ暗号化のOffice 365」を参照してください。
トランスポート層セキュリティ
パートナーとの安全な通信を確保する場合は、受信コネクタと送信コネクタを使用して、セキュリティとメッセージの整合性を提供できます。 証明書を使用して、各コネクタで強制受信および送信 TLS を構成できます。 暗号化された SMTP チャネルを使用すると、中間者攻撃によってデータが盗まれるのを防ぐことができます。 詳細については、「Exchange Onlineが TLS を使用して電子メール接続をセキュリティで保護する方法」を参照してください。
ドメイン キー識別メール
Exchange Online Protection (EOP) とExchange Onlineは、ドメイン キー識別メール (DKIM) メッセージの受信検証をサポートします。 DKIM は、メッセージが送信元のドメインから送信され、他のユーザーによってなりすましされなかったことを検証する方法です。 電子メール メッセージを送信するorganizationに結び付け、電子メール暗号化のより大きなパラダイムの一部です。 このパラダイムの 3 つの部分の詳細については、次を参照してください。