Office 365のセキュリティ

Office 365のセキュリティ

Office 365は、堅牢なセキュリティ、信頼性、ユーザーの生産性に関する組織のニーズを満たすように設計されたクラウド ベースのサービスです。その上、時間とコストを節約し、貴重なリソースを解放するのに役立ちます。Office 365は、使い慣れたMicrosoft Officeデスクトップ スイートとクラウド ベース バージョンのMicrosoft次世代通信およびコラボレーション サービスを統合し、インターネットを活用してユーザーの生産性をほぼどこからでも高めることができます。

組織をクラウド サービスに移行する際には、最も重要かつ機密性の高いデータについて、サービス プロバイダーを信頼できる必要があります。セキュリティはビジネスの成功における優先事項であるため、Microsoftでは、お客様の情報を安全に保つために、堅牢なポリシー、コントロール、およびシステムをOffice 365に組み込んでいます。Office 365は、セキュリティ要件を開発のすべてのフェーズに組み込む必須のMicrosoftプロセスである『Microsoft Security Development Lifecycle 』の原則に基づいて設計されています。

Office 365のデータはユーザーの所有物です。つまり、ユーザーがそのデータを完全に制御しています。データが存在する場所、データにアクセスできるユーザー、サービスの可用性と変更について、広範なプライバシー コントロールと可視性が与えられます。サービスへのサブスクリプションを終了した場合、ご自分のデータを取得できます。Microsoftが管理するサービス レベルのセキュリティ テクノロジーとポリシーはデフォルトで有効になっており、また、お客様が管理するコントロールにより、組織のセキュリティ ニーズに合わせてOffice 365環境をカスタマイズできます。Office 365は、セキュリティを強化するために継続的にアップデートされています。

安全なID

Office 365は、Azure Active Directory (Azure AD)を使用してユーザーを管理し、認証、ID管理、アクセス制御を提供します。Azure AD機能には、ディレクトリー データ用のクラウド ベースのストアと、ユーザー ログイン プロセス、認証サービス、フェデレーション サービスなどのIDサービスのコア セットが含まれます。これらのIDサービスは、オンプレミスのAzure AD導入環境と簡単に統合でき、サード パーティーのIDプロバイダーを完全にサポートします。ユーザー アカウントを設定および管理する際には、Office 365の3つの主要なIDモデルから選択できます。

• クラウドID 
• 同期ID 
• フェデレーションID 

Office 365は、Office 365管理センターから管理される多要素認証を使用して、セキュリティを強化しています。Office 365は、サブスクリプションの一部として、Azure多要素認証機能の次のサブセットを提供します。

• エンド ユーザーに対して多要素認証を有効化および適用する機能
• モバイル アプリ（オンラインおよびワンタイム パスワード）を2番目の認証要素として使用
• 電話を2番目の認証要素として使用
• ショート メッセージ サービス(SMS)を2番目の認証要素として使用
• 非ブラウザー クライアントのアプリケーション パスワード（Skype for Businessクライアント ソフトウェアなど）
• 認証用電話中のデフォルトのMicrosoftによる挨拶

安全なインフラストラクチャ

Office 365は、多層防御セキュリティの原則を使用して、内部および外部のリスクから保護しています。Microsoftが展開するスケールとグローバルな性質により、プロバイダーやお客様の組織には実現するのが難しい、ネットワーク攻撃を防御するための戦略と手法を使用できます。当社の戦略にとって不可欠なことは、このグローバルな展開を生かし、世界中のインターネット プロバイダー、公共およびプライベートのピアリング プロバイダー、および民間企業と連携して、インターネットで大きな存在感を獲得することです。これにより、Microsoftは非常に広範囲にわたる攻撃を検出して防御することができます。

脅威の管理

Office 365の脅威管理戦略には、潜在的な脅威の兆候、機能、脆弱性の悪用が成功する可能性を特定することが含まれます。このような悪用から保護するために使用されるコントロールは、業界のセキュリティ基準とベスト プラクティスに基づいて決定されます。Office 365は、Exchange Online Protectionを使用して、スパム、ウイルス、マルウェアに対する堅牢なEメール保護を提供します。また、Office 365は、特定タイプの高度な脅威に対して追加の保護を提供するEメール フィルタリング サービスである、Advanced Threat Protection (ATP)も提供しています。

機動性

現在、Office 365のユーザーは常に移動しており、さまざまなデバイスを使用して、どこにいてもアクセスする必要があります。Microsoft Intuneモバイル デバイス管理を使用すると、Windows、Apple iOS、Androidプラットフォーム全体でデバイスを管理および保護できます。モバイル アプリケーション管理のデータ ロス防止コントロールを使用して、機密情報を識別、監視、保護できます。

インシデント対応

セキュリティ インシデントを管理するためのOffice 365プロセスは、米国標準技術局(NIST)が規定する方式に準拠しています。Microsoftセキュリティ インシデント対応には、セキュリティ インシデントの防止、監視、検出、対応を行う複数の専属チームが含まれています。Office 365セキュリティ チームは、NIST 800-61対応管理フェーズを含むセキュリティ インシデントに対して同じ方式を採用しています。

• 準備 - ツール、プロセス、コンピテンシー、準備状況など、インシデントに対応するために必要な組織の準備。
• 検出と分析 - 本番環境でのセキュリティ インシデントの検出、およびセキュリティ インシデントの真偽を確認するためのすべてのイベントの分析。
• 封じ込め、根絶、修復 - 前のフェーズで行った分析に基づいて、セキュリティ インシデントを封じ込めるために必要な適切なアクション。このフェーズでは、セキュリティ インシデントを完全に修復するために追加の分析が必要になる場合もあります。
• インシデント後のアクティビティー - セキュリティ インシデントの修復後に実行する分析。プロセス中に実行された運用アクションをレビューして、準備フェーズまたは検出/分析フェーズで変更が必要かどうかを判断します。

物理的なセキュリティ

Office 365のお客様データは、地理的に分散され、多層防御セキュリティによって保護されているMicrosoftデータ センターに保存されます。Microsoftデータ センターは、自然災害、環境上の脅威、または不正アクセスによる損害からサービスとデータを保護するためにゼロから構築されています。Office 365は高可用性を実現するように設計されており、自動フェールオーバー能力を備えたGeo冗長データ センターで実行されます。

データ センターへのアクセスは、ジョブ機能によって24時間制限され、モーション センサー、ビデオ監視、セキュリティ侵害アラームを使用して監視されます。物理的なアクセス制御には、境界フェンシング、安全なエントランス、オンプレミスのセキュリティ責任者、継続的なビデオ監視、リアルタイムの通信ネットワークが含まれます。バッジとスマート カード、生体認証スキャナー、二要素認証などの多要素認証およびセキュリティ プロセスにより、不正なアクセスから保護します。自動化された火災防止および消火システムおよび耐震補強ラックにより、自然災害から保護します。

データ暗号化

Office 365は、お客様の静止データと転送中データを暗号化するサービス側テクノロジーを使用します。お客様の静止データの場合、Office 365はボリューム レベルおよびファイル レベルの暗号化を使用します。お客様の転送中データの場合、Office 365はデータ センター間およびクライアントとサーバー間の通信にTransport Layer Security (TLS)やInternet Protocol Security (IPsec)など、複数の暗号化テクノロジーを使用します。またOffice 365には、お客様が管理する暗号化機能も含まれています。Office 365に保存されているお客様のデータは、すべての構成で保護されます。Microsoftの暗号形式ポリシーとその適用は、複数のサード パーティー監査人を通じて個別に検証されます。

マルチテナント アーキテクチャでのセキュリティ管理

マルチテナントは、クラウド コンピューティングの主なメリットです。これは、多数のお客様に共通のインフラストラクチャを同時に共有する機能であり、規模の経済性につながります。Microsoftは、Office 365のマルチテナント アーキテクチャがエンタープライズ レベルのセキュリティ、機密性、プライバシー、整合性、可用性の標準をサポートするように継続的に取り組んでいます。Office 365を含むMicrosoftクラウド サービスは、信頼できるコンピューティングとセキュリティ開発ライフサイクルから収集された豊富な経験に基づいて、すべてのテナントが他のすべてのテナントに対して敵対的である可能性があることを前提として設計されました。したがって、お客様がOffice 365のサービスやアプリケーションを侵害したり、他のテナントやOffice 365システム自体の情報に不正にアクセスしたりするのを防ぐために、Office 365全体に複数の形で保護が実装されています。

Microsoftによるデータへのアクセス方法

Microsoftは、ほとんどのOffice 365操作を自動化すると同時に、お客様のコンテンツへのアクセスを意図的に制限しています。これにより、Office 365を大規模に管理し、悪意のあるユーザーやMicrosoftエンジニアを標的としたスピアー フィッシングなど、お客様のコンテンツに対する内部的な脅威のリスクに対処することができます。デフォルトでは、Microsoftエンジニアには通常、Office 365のお客様のコンテンツに対する管理者権限とアクセス権がありません。Microsoftエンジニアは、限られた期間、お客様のコンテンツに制限付き、監査付きで保護されたアクセス権が与えられる場合があります。ただし、サービスの運用に必要な場合、およびMicrosoftの経営幹部メンバー（およびお客様のロックボックス機能のライセンスを受けているお客様）によって承認された場合に限られます。

お客様によるデータへのアクセス方法

Microsoftが実装するコントロールに加えて、Office 365では、オンプレミス環境でデータを管理するのとほとんど同じ方法で、ご自分のデータを管理できます。グローバル管理者は、管理センターのすべての機能にアクセスでき、ユーザーの作成または編集、管理タスクの実行、管理者ロールの割り当てを他のユーザーに割り当てることができます。また、ユーザーが特定のデバイスや特定の場所、またはその両方の組み合わせから情報にアクセスする方法を制御することもできます。