暗号化のリスクと保護
Microsoft 365 は、サービスと顧客データに対するリスクに焦点を当てた制御とコンプライアンスのフレームワークに従います。 このサービスでは、これらのリスクを軽減するために、多数のテクノロジとプロセス ベースのメソッド (コントロールと呼ばれます) が実装されています。 コントロールによるリスクの特定、評価、軽減は、継続的なプロセスです。
施設、ネットワーク、サーバー、アプリケーション、ユーザー (Microsoft 管理者など)、データなどのクラウド サービスのレイヤー内でのコントロールの実装は、多層防御戦略を形成します。 この戦略の鍵となるのは、同じまたは類似のリスク シナリオから保護するために、さまざまなコントロールが異なるレイヤーに実装されていることです。 この多層アプローチでは、コントロールが失敗した場合にフェールセーフな保護が提供されます。
一部のリスク シナリオと、それらを軽減する現在利用可能な暗号化テクノロジを次の表に示します。 多くの場合、これらのシナリオは、Microsoft 365 に実装されている他のコントロールによっても軽減されます。
| 暗号化テクノロジ | サービス | キーの管理 | リスク シナリオ | 値 |
|---|---|---|---|---|
| BitLocker | Exchange と SharePoint | Microsoft | ディスクまたはサーバーが盗まれたり、不適切にリサイクルされたりします。 | BitLocker は、ハードウェア (サーバー/ディスク) の盗難や不適切なリサイクルによるデータの損失から保護するための、フェールセーフなアプローチを提供します。 |
| サービス暗号化 | SharePoint と OneDrive。交換 | Microsoft | 内部または外部のハッカーは、個々のファイル/データに BLOB としてアクセスしようとします。 | 暗号化されたデータは、キーにアクセスしないと復号化できません。 ハッカーがデータにアクセスするリスクを軽減するのに役立ちます。 |
| 顧客キー | SharePoint、OneDrive、Exchange | 顧客 | N/A (この機能はコンプライアンス機能として設計されており、リスクの軽減策として設計されていません)。 | お客様が内部規制とコンプライアンスの義務を満たすのに役立ち、サービスを終了し、Microsoft のデータへのアクセスを取り消す機能 |
| Microsoft 365 とクライアント間のトランスポート層セキュリティ (TLS) | Exchange、SharePoint、OneDrive、Teams、Viva Engage | Microsoft、顧客 | 中間者攻撃またはその他の攻撃により、インターネット経由で Microsoft 365 とクライアント コンピューター間のデータ フローをタップします。 | この実装は、Microsoft と顧客の両方に価値を提供し、Microsoft 365 とクライアントの間を流れるデータの整合性を保証します。 |
| Microsoft データセンター間の TLS | Exchange、SharePoint、OneDrive | Microsoft | 複数の Microsoft データセンターにある Microsoft 365 サーバー間の顧客データ フローをタップするための中間者攻撃またはその他の攻撃。 | この実装は、Microsoft データセンター間の攻撃からデータを保護するもう 1 つの方法です。 |
| Azure Rights Management (Azure RMS) (Microsoft 365 または Azure Information Protectionに含まれています) | Exchange、SharePoint、OneDrive | 顧客 | データは、データにアクセスできないユーザーの手に委ねられます。 | Azure Information Protectionでは、Azure RMS を使用します。これは、暗号化、ID、承認ポリシーを使用して、複数のデバイス間でファイルと電子メールをセキュリティで保護することで、お客様に価値を提供します。 Azure RMS には、特定の条件に一致する Microsoft 365 から送信されたすべてのメール (たとえば、特定のアドレスへのすべてのメール) を、別の受信者に送信する前に自動的に暗号化できる構成オプションが用意されています。 |
| S/MIME | Exchange | 顧客 | 目的の受信者ではないユーザーが電子メールを取得しました。 | S/MIME は、暗号化されたメールの暗号化を解除できるのは、目的の受信者のみであることを確認するのに役立ちます。 |
| Microsoft Purview のメッセージの暗号化 | Exchange、SharePoint | 顧客 | 目的の受信者ではないユーザーが、電子メールとその保護された添付ファイルを取得しました。 | メッセージ暗号化を使用すると、特定の条件に一致する Microsoft 365 からのメール (たとえば、特定のアドレスへのすべてのメール) が送信される前に自動的に暗号化されるようにテナントを構成できます。 |
| パートナー organizationを使用した簡易メール転送プロトコル (SMTP) TLS | Exchange | 顧客 | Emailは、Microsoft 365 テナントからパートナー organizationへの転送中に、中間者攻撃またはその他の攻撃によって傍受されます。 | Microsoft 365 テナントと、暗号化された SMTP チャネル内のパートナーの電子メール organization間のすべての電子メールを送受信できます。 |
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
マルチテナント環境で利用できる暗号化テクノロジ
| 暗号化テクノロジ | によって実装される | キー交換アルゴリズムと強度 | キー管理* | 連邦情報処理標準 (FIPS) 140-2 検証済み |
|---|---|---|---|---|
| BitLocker | Exchange | Advanced Encryption Standard (AES) 256 ビット | AES 外部キーは、シークレット セーフと Exchange サーバーのレジストリに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい |
| SharePoint | AES 256 ビット | AES 外部キーはシークレット セーフに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい | |
| Skype for Business | AES 256 ビット | AES 外部キーはシークレット セーフに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい | |
| サービス暗号化 | SharePoint | AES 256 ビット | BLOB の暗号化に使用されるキーは、SharePoint コンテンツ データベースに格納されます。 SharePoint コンテンツ データベースは、保存時のデータベース アクセス制御と暗号化によって保護されます。 暗号化は、Azure SQL Database で透過的なデータ暗号化 (TDE) を使用して実行されます。 これらのシークレットは、テナント レベルではなく、SharePoint のサービス レベルにあります。 これらのシークレット (マスター キーとも呼ばれます) は、キー ストアと呼ばれる別のセキュリティで保護されたリポジトリに格納されます。 TDE は、アクティブなデータベースとデータベースのバックアップとトランザクション ログの両方に対して保存時のセキュリティを提供します。 お客様がオプションのキーを指定すると、キーは Azure Key Vaultに格納され、サービスはキーを使用してテナント キーを暗号化します。これはサイト キーの暗号化に使用され、ファイル レベルのキーの暗号化に使用されます。 基本的に、顧客がキーを提供すると、新しいキー階層が導入されます。 | はい |
| Skype for Business | AES 256 ビット | 各データは、ランダムに生成された異なる 256 ビット キーを使用して暗号化されます。 暗号化キーは、対応するメタデータ XML ファイルに格納されます。これは会議ごとのマスター キーによって暗号化されます。 マスター キーは、会議ごとに 1 回ランダムに生成されます。 | はい | |
| Exchange | AES 256 ビット | 各メールボックスは、Microsoft または顧客によって制御される暗号化キーを使用するデータ暗号化ポリシーを使用して暗号化されます (カスタマー キーを使用する場合)。 | はい | |
| Microsoft 365 とクライアント/パートナー間の TLS | Exchange | 複数の暗号スイートをサポートする日和見 TLS | Exchange 用 TLS 証明書 (outlook.office.com) は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 Exchange の TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA1RSA証明書です。 |
はい(256 ビット暗号強度の TLS 1.2 が使用されている場合) |
| SharePoint | AES 256 を使用した TLS 1.2 OneDrive および SharePoint におけるデータ暗号化 |
SharePoint (*.sharepoint.com) の TLS 証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 SharePoint の TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットSHA1RSA証明書です。 |
はい | |
| Microsoft Teams | AES 256 を使用した TLS 1.2 Microsoft Teamsに関してよく寄せられる質問 – 管理 ヘルプ |
Microsoft Teamsの TLS 証明書 (teams.microsoft.com、edge.skype.com) は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 Microsoft Teamsの TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 |
はい | |
| Microsoft データセンター間の TLS | すべての Microsoft 365 サービス | AES 256 を使用した TLS 1.2 セキュリティで保護されたリアルタイム トランスポート プロトコル (SRTP) |
Microsoft は、Microsoft データセンター間のサーバー間通信に、内部的に管理およびデプロイされた証明機関を使用します。 | はい |
| Azure Rights Management (Microsoft 365 または Azure Information Protectionに含まれています) | Exchange | 更新および強化された RMS 暗号化実装である暗号化 モード 2 をサポートします。 署名と暗号化には RSA 2048、署名のハッシュには SHA-256 がサポートされています。 | Microsoft によって管理されます。 | はい |
| SharePoint | 更新および強化された RMS 暗号化実装である暗号化 モード 2 をサポートします。 署名と暗号化には RSA 2048、署名の場合は SHA-256 がサポートされます。 |
Microsoft によって管理されます。これは既定の設定です。又は カスタマー マネージド。これは Microsoft が管理するキーの代替手段です。 IT 管理の Azure サブスクリプションを持つ組織は、Bring Your Own Key (BYOK) を使用し、追加料金なしで使用状況をログに記録できます。 詳細については、 独自のキーを持ち込む実装に関するページを参照してください。 この構成では、nCipher ハードウェア セキュリティ モジュール (HSM) を使用してキーを保護します。 |
はい | |
| S/MIME | Exchange | 暗号化メッセージ構文 Standard 1.5 (公開キー暗号化Standard (PKCS) #7) | デプロイされたカスタマー マネージド公開キー インフラストラクチャによって異なります。 お客様がキーを管理し、Microsoft は署名と暗号化解除に使用される秘密キーにアクセスすることはありません。 | はい(3DES または AES256 で送信メッセージを暗号化するように構成されている場合) |
| Microsoft Purview のメッセージの暗号化 | Exchange | Azure RMS と同じです (署名と暗号化の場合は暗号化モード 2 - RSA 2048、署名の場合は SHA-256) | Azure Information Protectionを暗号化インフラストラクチャとして使用します。 使用される暗号化方式は、メッセージの暗号化と復号化に使用する RMS キーを取得する場所によって異なります。 | はい |
| パートナー organizationを使用した SMTP TLS | Exchange | AES 256 を使用した TLS 1.2 | Exchange 用 TLS 証明書 (outlook.office.com) は、DigiCert Cloud Services CA-1 によって発行された RSA 暗号化証明書を使用した 2048 ビット SHA-256 です。 Exchange の TLS ルート証明書は、 GlobalSign Root CA – R1 によって発行された RSA 暗号化証明書を備えた 2048 ビット SHA-1 です。 セキュリティ上の理由から、証明書は随時変更されます。 |
はい(256 ビット暗号強度の TLS 1.2 が使用されている場合) |
*この表で参照されている TLS 証明書は、米国のデータセンター用です。また、米国以外のデータセンターでは、2048 ビット SHA256RSA証明書も使用されます。
Government クラウド コミュニティ環境で利用できる暗号化テクノロジ
| 暗号化テクノロジ | によって実装される | キー交換アルゴリズムと強度 | キー管理* | FIPS 140-2 検証済み |
|---|---|---|---|---|
| BitLocker | Exchange | AES 256 ビット | AES 外部キーは、シークレット セーフと Exchange サーバーのレジストリに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい |
| SharePoint | AES 256 ビット | AES 外部キーはシークレット セーフに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい | |
| Skype for Business | AES 256 ビット | AES 外部キーはシークレット セーフに格納されます。 シークレット セーフは、アクセスに高度な昇格と承認を必要とするセキュリティで保護されたリポジトリです。 アクセスは、Lockbox という内部ツールを使用してのみ要求および承認できます。 AES 外部キーは、サーバーのトラステッド プラットフォーム モジュールにも格納されます。 48 桁の数値パスワードは Active Directory に格納され、Lockbox によって保護されます。 | はい | |
| サービス暗号化 | SharePoint | AES 256 ビット | BLOB の暗号化に使用されるキーは、SharePoint コンテンツ データベースに格納されます。 SharePoint コンテンツ データベースは、保存時のデータベース アクセス制御と暗号化によって保護されます。 暗号化は、Azure SQL Database で TDE を使用して実行されます。 これらのシークレットは、テナント レベルではなく、SharePoint のサービス レベルにあります。 これらのシークレット (マスター キーとも呼ばれます) は、キー ストアと呼ばれる別のセキュリティで保護されたリポジトリに格納されます。 TDE は、アクティブなデータベースとデータベースのバックアップとトランザクション ログの両方に対して保存時のセキュリティを提供します。 顧客が省略可能なキーを指定すると、顧客キーは Azure Key Vaultに格納されます。 サービスでは、キーを使用してテナント キーを暗号化します。これはサイト キーの暗号化に使用され、ファイル レベルのキーの暗号化に使用されます。 基本的に、顧客がキーを提供すると、新しいキー階層が導入されます。 | はい |
| Skype for Business | AES 256 ビット | 各データは、ランダムに生成された異なる 256 ビット キーを使用して暗号化されます。 暗号化キーは、対応するメタデータ XML ファイルに格納されます。 会議ごとのマスター キーは、この XML ファイルを暗号化します。 マスター キーは、会議ごとに 1 回ランダムに生成されます。 | はい | |
| Exchange | AES 256 ビット | 各メールボックスは、Microsoft または顧客によって制御される暗号化キーを使用するデータ暗号化ポリシーを使用して暗号化されます (カスタマー キーを使用する場合)。 | はい | |
| Microsoft 365 とクライアント/パートナー間の TLS | Exchange | 複数の暗号スイートをサポートする日和見 TLS | Exchange 用 TLS 証明書 (outlook.office.com) は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 Exchange の TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA1RSA証明書です。 |
はい(256 ビット暗号強度の TLS 1.2 が使用されている場合) |
| SharePoint | AES 256 を使用した TLS 1.2 | SharePoint (*.sharepoint.com) の TLS 証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 SharePoint の TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットSHA1RSA証明書です。 |
はい | |
| Microsoft Teams | Microsoft Teamsに関してよく寄せられる質問 – 管理 ヘルプ | Microsoft Teamsの TLS 証明書 (teams.microsoft.com;edge.skype.com) は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 Microsoft Teamsの TLS ルート証明書は、Baltimore CyberTrust Root によって発行された 2048 ビットのSHA256RSA証明書です。 |
はい | |
| Microsoft データセンター間の TLS | Exchange、SharePoint、Skype for Business | AES 256 を使用した TLS 1.2 | Microsoft は、Microsoft データセンター間のサーバー間通信に、内部的に管理およびデプロイされた証明機関を使用します。 | はい |
| セキュリティで保護されたリアルタイム トランスポート プロトコル (SRTP) | ||||
| Azure Rights Management サービス | Exchange | 更新および強化された RMS 暗号化実装である暗号化 モード 2 をサポートします。 署名と暗号化には RSA 2048、署名のハッシュには SHA-256 がサポートされています。 | Microsoft によって管理されます。 | はい |
| SharePoint | 更新および強化された RMS 暗号化実装である暗号化 モード 2 をサポートします。 署名と暗号化には RSA 2048、署名のハッシュには SHA-256 がサポートされています。 |
Microsoft によって管理されます。これは既定の設定です。又は カスタマー マネージド (BYOK とも呼ばれます) は、Microsoft が管理するキーの代替手段です。 IT 管理の Azure サブスクリプションを持つ組織は BYOK を使用し、追加料金なしで使用状況をログに記録できます。 詳細については、 独自のキーを持ち込む実装に関するページを参照してください。 BYOK シナリオでは、nCipher HSM を使用してキーを保護します。 |
はい | |
| S/MIME | Exchange | 暗号化メッセージ構文 Standard 1.5 (PKCS #7) | デプロイされる公開キー インフラストラクチャによって異なります。 | はい。3DES または AES-256 で送信メッセージを暗号化するように構成されている場合。 |
| Office 365 Message Encryption | Exchange | Azure RMS と同じです (署名と暗号化の場合は暗号化モード 2 - RSA 2048、署名のハッシュには SHA-256) | Azure RMS を暗号化インフラストラクチャとして使用します。 使用される暗号化方式は、メッセージの暗号化と復号化に使用する RMS キーを取得する場所によって異なります。 Azure RMS を使用してキーを取得する場合は、暗号化モード 2 が使用されます。 Active Directory (AD) RMS を使用してキーを取得する場合は、暗号化モード 1 または暗号化モード 2 が使用されます。 使用される方法は、社内 AD RMS 展開によって異なります。 暗号化モード 1 は、元来の AD RMS 暗号実装です。 署名と暗号化には RSA 1024 がサポートされ、署名には SHA-1 がサポートされます。 RMS のすべての現在のバージョンでは、HSM を使用する BYOK 構成を除き、このモードがサポートされています。 |
はい |
| パートナー organizationを使用した SMTP TLS | Exchange | AES 256 を使用した TLS 1.2 | Exchange 用 TLS 証明書 (outlook.office.com) は、DigiCert Cloud Services CA-1 によって発行された RSA 暗号化証明書を使用した 2048 ビット SHA-256 です。 Exchange の TLS ルート証明書は、 GlobalSign Root CA – R1 によって発行された RSA 暗号化証明書を備えた 2048 ビット SHA-1 です。 セキュリティ上の理由から、証明書は随時変更されます。 |
はい。256 ビット暗号強度を持つ TLS 1.2 が使用されている場合。 |
*この表で参照されている TLS 証明書は、米国のデータセンター用です。また、米国以外のデータセンターでは、2048 ビット SHA256RSA証明書も使用されます。