OneDrive for Businessと SharePoint Online でのデータ暗号化

OneDrive for Businessおよび SharePoint Online のデータ セキュリティの暗号化の基本的な要素について理解します。

Microsoft 365 でのセキュリティとデータの暗号化

Microsoft 365 は、物理データ センターのセキュリティ、ネットワーク セキュリティ、アクセス セキュリティ、アプリケーション セキュリティ、データ セキュリティなど、複数のレイヤーで広範な保護を提供する非常に安全な環境です。 この記事では、特に、OneDrive for Businessと SharePoint Online のデータ セキュリティの転送中および保存時の暗号化側に焦点を当てます。

データの暗号化の仕組みについて、次のビデオをご覧ください。

転送中データの暗号化

OneDrive for Businessと SharePoint Online では、データがデータ センターに出入りする 2 つのシナリオがあります。

• サーバーとのクライアント通信インターネット経由でOneDrive for Businessする通信では、SSL/TLS 接続を使用します。 すべての SSL 接続は、2048 ビット キーを使用して確立されます。

• データ センター間のデータ移動 データ センター間でデータを移動する主な理由は、ディザスター リカバリーを可能にする geo レプリケーションです。 たとえば、トランザクション ログと BLOB ストレージデルタSQL Server、このパイプに沿って移動します。 このデータはプライベート ネットワークを使用して既に送信されていますが、クラス最高の暗号化でさらに保護されます。

保管中データの暗号化

保管中の暗号化には、ユーザー コンテンツの BitLocker ディスク レベル暗号化と、ファイル単位暗号化が関係しています。

BitLocker は、サービス全体でOneDrive for Businessと SharePoint Online 用に展開されます。 ファイルごとの暗号化は、Microsoft 365 マルチテナントのOneDrive for Businessと SharePoint Online と、マルチテナント テクノロジに基づいて構築された新しい専用環境にも存在します。

BitLocker 暗号化はディスク上のすべてのデータを暗号化し、ファイル単位暗号化の場合にはファイルごとに固有の暗号化キーを含めてさらに細かく暗号化を行えます。 つまり、各ファイルを更新するたびに独自の暗号化キーを使用して暗号化されます。 暗号化されたコンテンツのキーは、コンテンツとは物理的に別の場所に格納されます。 この暗号化の各ステップでは、256 ビット キーによる高度暗号化標準 (Advanced Encryption Standard: AES) が使用され、Federal Information Processing Standard (FIPS) 140-2 に準拠しています。 暗号化されたコンテンツは、データ センター全体で多数のコンテナーに分散され、各コンテナーには一意の資格情報があります。 これらの資格情報はコンテンツまたはコンテンツ キーとは物理的に別の場所に格納されます。

FIPS 140-2 コンプライアンスの詳細については、「 FIPS 140-2 コンプライアンス」を参照してください。

ファイル レベルでの保管中の暗号化では Blob ストレージを活用し、事実上無制限のストレージ拡張を行ったり、前例のないレベルの保護機能を提供したりできます。 OneDrive for Businessと SharePoint Online のすべての顧客コンテンツが BLOB ストレージに移行されます。 データのセキュリティ保護方法を次に示します。

1. すべてのコンテンツが暗号化され、複数のキーを持つ可能性があり、データ センター全体に分散されます。 格納する各ファイルは、そのサイズに応じて 1 つ以上のチャンクに分割されます。 その後、各チャンクは独自の一意のキーを使用して暗号化されます。 更新は同様に処理されます。ユーザーによって送信された一連の変更 (デルタ) はチャンクに分割され、それぞれが独自のキーで暗号化されます。

2. これらのチャンク ファイル、ファイル セット、更新差分すべては Blob ストア内で Blob として格納されます。 これらのファイルはまた、複数の Blob コンテナーでランダムに分散されます。

3. コンポーネントからファイルを再アセンブルするために使用される "map" は、コンテンツ データベースに格納されます。

4. それぞれの Blob コンテナーには、アクセスの種類 (読み取り、書き込み、列挙、削除) ごとに独自の資格情報があります。 各資格情報セットはセキュリティが確保されたキー ストアで保管され、定期的に更新されます。

つまり、ファイル単位の保管中の暗号化には以下のように 3 つの異なる種類のストアがあり、それぞれ別の機能を持っています。

• Blob ストアには、コンテンツが暗号化 Blob として格納されます。 コンテンツの各チャンクのキーが暗号化されて、コンテンツ データベースに別個に格納されます。 コンテンツ自体は、暗号化解除方法に関する糸口を含めずに保持されます。

• コンテンツ データベースは、SQL Server データベースです。 Blob ストアに保管されているコンテンツ Blob すべてを見つけて再構築するために必要なマップと、それらの Blob を暗号化解除するために必要なキーが一緒に保管されます。

これら 3 つのコンポーネント (Blob ストア、コンテンツ データベース、キー ストア) はそれぞれ物理的に別の場所にあります。 いずれかのコンポーネントに保管されている情報は、それ自体では使用できません。 それにより、これまでにないレベルのセキュリティが実現します。 これら 3 つのすべてのコンポーネントにアクセスしない限りは、チャンクのカギを取得すること、キーを暗号化解除して使用できるようにすること、キーと対応するチャンクを関連付けること、チャンクを暗号化解除すること、構成チャンクからドキュメントを再構築することはいずれも不可能です。