次の方法で共有

カスタマー キーの可用性キーの詳細

可用性キーは、データ暗号化ポリシーを作成するときに自動的に生成され、プロビジョニングされるルート キーです。 Microsoft 365 は、このキーを格納して保護します。

可用性キーは、Customer Key に指定する 2 つのルート キーと同様に機能します。 キー階層の下位の 1 層のキーがラップされます。 Azure Key Vaultで管理するキーとは異なり、可用性キーに直接アクセスすることはできません。 Microsoft 365 自動サービスは、プログラムによって管理します。 これらのサービスは、キーに直接アクセスすることなく自動化された操作を実行します。

可用性キーのメインの目的は、管理するルート キーの予期しない損失からの回復をサポートすることです。 この損失は、管理ミスや悪意のあるアクションの結果として生じる可能性があります。 ルート キーの制御が失われる場合は、可用性キーを使用した復旧に関するサポートをMicrosoft サポートにお問い合わせください。 このキーを使用して、プロビジョニングする新しいルート キーを使用して新しいデータ暗号化ポリシーに移行します。

可用性キーは、次の 3 つの理由で、ストレージと制御の Azure Key Vault キーとは異なります。

  • Azure Key Vault キーの両方が失われた場合は、復旧オプションまたは "break-glass" オプションが提供されます。
  • 論理制御とストレージの場所の分離により、多層防御が追加され、単一障害点によるキーまたはデータの完全な損失から保護するのに役立ちます。
  • 一時的なエラーが原因で Microsoft 365 が Azure Key Vaultに到達できない場合は、高可用性がサポートされます。 このシナリオは、Exchange サービスの暗号化にのみ適用されます。 SharePoint と OneDrive は、明示的に回復を要求しない限り、可用性キーを使用しません。

Microsoft は、階層化されたキー管理の保護とプロセスを通じてデータを保護する責任を共有します。 この方法により、すべてのキーとデータの永続的な損失または破棄のリスクが軽減されます。 サービスを終了する場合は、可用性キーを無効または破棄する唯一の権限があります。 設計上、Microsoft の誰も可用性キーにアクセスできません。 Microsoft 365 サービス コードでのみアクセスできます。

Microsoft がキーをセキュリティで保護する方法の詳細については、 Microsoft セキュリティ センターを参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview トライアル ハブ で今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

可用性キーの使用

可用性キーは、外部の攻撃者または悪意のあるインサイダーがキー コンテナーを制御する場合、または管理ミスによってルート キーが失われる場合の回復をサポートします。 この回復機能は、カスタマー キーをサポートするすべての Microsoft 365 サービスに適用されます。

各サービスでは、可用性キーが異なる方法で使用されます。 Microsoft 365 では、次のセクションで説明するシナリオでのみ可用性キーが使用されます。

Exchange

Exchange では、復旧のサポートに加えて、可用性キーを使用して、サービスが Azure Key Vaultのルート キーに到達できない一時的または断続的な問題の間にデータ アクセスを維持します。 一時的なエラーが原因でサービスがいずれかのカスタマー キーにアクセスできない場合は、可用性キーが自動的に使用されます。

サービスは可用性キーに直接アクセスしません。 代わりに、Exchange の自動システムでは、一時的な障害時にフォールバック プロセスの一部として使用されます。 この使用法は、ウイルス対策スキャン、電子情報開示、Microsoft Purview データ損失防止、メールボックスの移動、データ インデックス作成などのバックエンド操作をサポートします。

SharePoint および OneDrive

SharePoint と OneDrive の場合、可用性キーは回復シナリオにのみ使用されます。 通常の操作では使用されません。

Microsoft が復旧イベントで可用性キーを使用することを明示的に要求する必要があります。 自動サービス操作は、Azure Key Vaultのカスタマー キーのみに依存します。

キー階層と、これらのサービスによる暗号化の処理方法の詳細については、「 SharePoint と OneDrive で可用性キーを使用する方法」を参照してください。

可用性キーのセキュリティ

Microsoft は、可用性キーを生成し、データを保護するための厳格な制御を適用することで、データを保護する責任を共有します。

お客様は可用性キーに直接アクセスできません。 たとえば、Azure Key Vaultで管理するキーのみをロールできます。 Microsoft は、ユーザーに公開することなく、自動化されたサービス コードを通じて可用性キーを管理します。

詳細については、「 カスタマー キーまたは可用性キーをロールまたはローテーションする」を参照してください。

可用性キー シークレット ストア

Microsoft は、Azure Key Vaultと同様に、アクセス制御された内部シークレット ストアの可用性キーを保護します。 アクセス制御を使用すると、Microsoft 管理者は、 に格納されているシークレットを直接取得できなくなります。 キーのローテーションと削除を含むすべてのシークレット ストア操作は、可用性キーへの直接アクセスを伴わない自動コマンドを使用して実行されます。

これらのシークレット ストアでの管理操作は特定のエンジニアに限定されており、Lockbox という内部ツールを使用して特権エスカレーションを必要とします。 エスカレーションはマネージャーによって承認され、有効な正当な理由が含まれている必要があります。 Lockbox を使用すると、制限時間が切れた場合やエンジニアがサインアウトしたときに、アクセスが期限切れになり、自動的に取り消されます。

Exchange 可用性キーは、Exchange Active Directory シークレット ストアに格納されます。 キーは、Active Directory ドメイン コントローラー内のテナント固有のコンテナー内に保持されます。 このストレージの場所は、SharePoint と OneDrive で使用されるシークレット ストアとは分離されています。

SharePoint と OneDrive の可用性キーは、サービス チームによって管理される内部シークレット ストアに格納されます。 このストアには、アプリケーション エンドポイントを公開するフロントエンド サーバーと、バックエンドとしてSQL Databaseが含まれます。 可用性キーはデータベースに格納され、シークレット ストア暗号化キーを使用してラップされます。

これらの暗号化キーは、保存時の可用性キーを保護するために AES-256 と HMAC を使用します。 暗号化キーは、同じデータベースの論理的に分離された部分に格納され、Microsoft 証明機関 (CA) によって発行された RSA-2048 証明書を使用してさらに暗号化されます。 これらの証明書は、データベースに対する操作を処理するフロントエンド サーバーに格納されます。

多層防御

Microsoft では、Microsoft クラウドに格納されている顧客データの機密性、整合性、または可用性を悪意のあるアクターが侵害するのを防ぐために、多層防御戦略を使用します。 この階層化されたセキュリティ アプローチの一部として、シークレット ストアと可用性キーを保護するための特定の予防および探偵コントロールが用意されています。

Microsoft 365 は、可用性キーの誤用を防ぐために設計されています。 アプリケーション 層は、暗号化と暗号化解除にキー (可用性キーを含む) を使用できる唯一のインターフェイスです。 キー階層を解釈して走査できるのは、Microsoft 365 サービス コードだけです。 カスタマー キー、可用性キー、その他の階層キー、顧客データのストレージの場所の間には、論理的な分離が存在します。 この分離により、場所が侵害された場合のデータ公開のリスクが軽減されます。 キー階層内の各レイヤーには、格納されているデータとシークレットを保護するための継続的な侵入検出が含まれています。

アクセス制御により、可用性キー シークレット ストアを含む内部システムへの未承認のアクセスが防止されます。 Microsoft エンジニアは、これらのストアに直接アクセスできません。 詳細については、「 Microsoft 365 の管理アクセス制御」を参照してください。

また、技術的な制御により、Microsoft の担当者が特権の高いサービス アカウントにサインインすることもできなくなります。これにより、攻撃者は Microsoft サービスの偽装に使用する可能性があります。 これらのコントロールは、対話型サインイン試行をブロックします。

セキュリティログと監視は、Microsoft の多層防御アプローチの他の保護手段です。 サービス チームは、アラートと監査ログを生成する監視ソリューションをデプロイします。 すべてのログは中央リポジトリにアップロードされ、そこで集計および分析されます。 内部ツールは、これらのレコードを自動的に評価して、サービスが安全で回復性があり、期待どおりに動作し続けられるようにします。 通常とは異なるアクティビティには、レビューのフラグが設定されます。

Microsoft セキュリティ ポリシーの違反の可能性を示すイベントは、Microsoft セキュリティ チームにエスカレートされます。 Microsoft 365 セキュリティ アラートは、可用性キー シークレット ストアへのアクセス試行と、アカウントへの未承認のサインイン試行を検出するように構成されています。 また、システムは、予想されるベースライン サービス動作からの逸脱も検出します。 Microsoft 365 サービスを悪用しようとするとアラートがトリガーされ、違反者が Microsoft Cloud 環境から削除される可能性があります。

可用性キーを使用してキーの損失から回復する

カスタマー キーの制御が失われる場合は、可用性キーを使用してデータを回復して再暗号化できます。

Exchange の回復手順

カスタマー キーの制御が失われる場合は、可用性キーを使用してデータを回復し、影響を受ける Microsoft 365 リソースをオンラインに戻すことができます。 可用性キーは、復旧中も引き続きデータを保護します。

キーの損失から完全に回復するには:

  1. Azure Key Vaultで新しいカスタマー キーを作成します。
  2. 新しいキーを使用して、新しいデータ暗号化ポリシー (DEP) を作成します。
  3. 新しい DEP を、侵害されたキーまたは紛失したキーで暗号化されたメールボックスに割り当てます。

この再暗号化プロセスには最大 72 時間かかる可能性があります。これは、DEP を変更するための標準的な期間です。

SharePoint と OneDrive の回復手順

SharePoint と OneDrive の場合、可用性キーは復旧シナリオでのみ使用されます。 可用性キーのアクティブ化を Microsoft に明示的に求める必要があります。

回復プロセスを開始するには、Microsoft サポートにお問い合わせください。 アクティブ化されると、可用性キーによってデータが自動的に暗号化解除されるため、新しく作成されたデータ暗号化ポリシー (DEP) と新しいカスタマー キーを使用してデータを暗号化できます。

回復時間は、organization内のサイトの数によって異なります。 ほとんどのお客様は、可用性キーのアクティブ化を要求した後、約 4 時間以内にオンラインに戻ります。

Exchange で可用性キーを使用する方法

Customer Key を使用してデータ暗号化ポリシー (DEP) を作成すると、Microsoft 365 はそのポリシーに関連付けられた DEP キーを生成します。 サービスは、DEP キーを 3 回暗号化します。各顧客キーで 1 回、可用性キーを使用して 1 回暗号化します。 DEP キーの暗号化されたバージョンのみが格納されます。 DEP キーは、いずれかのカスタマー キーまたは可用性キーでのみ復号化できます。

DEP キーは、メールボックス キーを暗号化するために使用されます。これにより、個々のメールボックスが暗号化されます。

Microsoft 365 では、次のプロセスを使用して、メールボックス データの暗号化を解除し、アクセスを提供します。

  1. 顧客キーを使用して DEP キーの暗号化を解除します。
  2. 暗号化解除された DEP キーを使用して、メールボックス キーの暗号化を解除します。
  3. 暗号化解除されたメールボックス キーを使用してメールボックスの暗号化を解除し、データへのアクセスを提供します。

SharePoint と OneDrive で可用性キーを使用する方法

顧客キーと可用性キーの SharePoint および OneDrive アーキテクチャは、Exchange とは異なります。

organizationがカスタマー マネージド キーの使用を開始すると、Microsoft 365 はorganization固有のテナント中間キー (TIK) を作成します。 Microsoft 365 は、各カスタマー キーで TIK を 2 回暗号化し、暗号化されたバージョンのみを格納します。 TIK は、いずれかのカスタマー キーを使用してのみ復号化できます。 その後、TIK は、BLOB キー (ファイル チャンク キーとも呼ばれます) を暗号化するサイト キーの暗号化に使用されます。 大きなファイルの場合、サービスはそれらを複数のチャンクに分割し、それぞれが一意のキーを持つ場合があります。 これらのファイル チャンク (BLOB) は BLOB キーで暗号化され、Azure Blob Storageに格納されます。

Microsoft 365 では、次の手順を使用して、お客様のファイルの暗号化を解除します。

  1. カスタマー キーを使用して TIK の暗号化を解除します。
  2. 復号化された TIK を使用してサイト キーを復号化します。
  3. 暗号化解除されたサイト キーを使用して、BLOB キーの暗号化を解除します。
  4. 暗号化解除された BLOB キーを使用して、BLOB の暗号化を解除します。

パフォーマンスを向上させるために、Microsoft 365 は 2 つの暗号化解除要求を Azure に送信Key Vaultわずかにオフセットされます。 どちらの要求が最初に完了しても、結果が提供されます。もう 1 つは取り消されます。

カスタマー キーにアクセスできなくなった場合、Microsoft 365 は可用性キーを使用して TIK の暗号化を解除します。 Microsoft は、可用性キーを使用して各 TIK を暗号化し、このバージョンをカスタマー キーで暗号化されたバージョンと共に格納します。 可用性キーは、Microsoft に連絡して復旧を開始する場合にのみ使用されます。

スケーリングと信頼性のために、復号化された TIK は限られた時間メモリにキャッシュされます。 キャッシュされた TIK の有効期限が切れる約 2 時間前に、Microsoft 365 はもう一度復号化を試み、有効期間を延長します。 このプロセスが繰り返し失敗した場合、Microsoft 365 は、キャッシュの有効期限が切れる前にエンジニアリングにアラートを生成します。 復旧が必要な場合、Microsoft は可用性キーを使用して TIK の暗号化を解除し、復号化された TIK と新しいカスタマー キーのセットを使用してテナントを再オンボードします。

現時点では、顧客キーは、Azure Blob Storage内の SharePoint ファイル データを暗号化および暗号化解除しますが、SQL Databaseに格納されているアイテムやメタデータを一覧表示しません。 Microsoft は、明示的に回復を要求しない限り、SharePoint または OneDrive の可用性キーを使用しません。 顧客データへの人間のアクセスは、カスタマー ロックボックスによって保護されたままです。

可用性キー トリガー

Microsoft 365 では、特定の状況でのみ可用性キーがトリガーされ、それらの状況はサービスによって異なります。

Exchange のトリガー

Microsoft 365 は、メールボックスのカスタマー キーにアクセスするときに、このプロセスに従います。

  1. メールボックスに割り当てられたデータ暗号化ポリシー (DEP) を読み取り、Azure Key Vaultに格納されている 2 つのカスタマー キーを識別します。

  2. 2 つのキーのいずれかをランダムに選択し、DEP キーのラップを解除する要求を Azure Key Vaultに送信します。

  3. その要求が失敗した場合、代替キーを使用して 2 番目の要求が送信されます。

  4. 両方の要求が失敗した場合、Microsoft 365 は結果を調べ、次の 2 つの方法のいずれかで応答します。

    • 両方の要求がシステム エラーで失敗した場合 (たとえば、Azure Key Vaultが使用できないか、応答できません)。

      • Microsoft 365 では、可用性キーを使用して DEP キーの暗号化を解除します。

      • その後、DEP キーを使用してメールボックス キーの暗号化を解除し、ユーザー要求を満たします。

    • 両方の要求が "アクセス拒否" エラーで失敗した場合 (データ消去プロセス中を含む、意図的、偶発的、または悪意のあるキーの削除など)。

      • Microsoft 365 では、ユーザー アクションの可用性キーはトリガーされません。

      • ユーザー要求が失敗し、エラー メッセージが返されます。

重要

Microsoft 365 サービス コードでは、コア クラウド サービスをサポートするために、顧客データを処理して推論するための有効なログイン トークンが常に保持されます。 このため、可用性キーが削除されるまで、内部 Exchange 操作 (メールボックスの移動やインデックスの作成など) では、両方のカスタマー キーに到達できない場合でも、障害がシステム エラーによるものか、アクセス拒否応答があったかに関係なく、可用性キーをフォールバックとして使用できます。

SharePoint と OneDrive のトリガー

SharePoint と OneDrive の場合、Microsoft 365 では、回復シナリオに入っていない限り、可用性キーは使用されません。 回復プロセスを開始するには、Microsoft に連絡し、可用性キーの使用を明示的に要求する必要があります。

監査ログと可用性キー

Microsoft 365 の自動システムは、サービスを流れるデータを処理します。 これらのシステムは、ウイルス対策、電子情報開示、データ損失防止、インデックス作成などの機能をサポートします。 Microsoft 365 では、このバックグラウンド アクティビティについてお客様に表示されるログは生成されません。 また、Microsoft の担当者は、通常のシステム操作中にデータにアクセスしません。

Exchange 可用性キーのログ記録

Exchange が可用性キーにアクセスしてサービスを提供すると、Microsoft 365 は顧客に表示されるログを作成します。 これらのログには、Microsoft Purview ポータルからアクセスできます。 サービスが可用性キーを使用するたびに、監査ログ エントリが生成されます。

このエントリでは、 Customer Key Service Encryption という新しいレコードの種類を使用し、アクティビティの種類として [可用性キーへのフォールバック] を使用します。 これらのラベルは、管理者 が統合監査ログ の検索結果をフィルター処理して可用性キー レコードを見つけるのに役立ちます。

ログ エントリには、日付、時刻、アクティビティ、organization ID、およびデータ暗号化ポリシー ID が含まれます。 これらのレコードは統合監査ログの一部であり、Microsoft Purview ポータルの [監査ログ検索] タブに表示されます。

可用性キー イベントの監査ログ検索

Exchange 可用性キー レコードは、Microsoft 365 管理アクティビティ の共通スキーマに従います。 カスタム パラメーター (ポリシー ID、スコープ キー バージョン ID、要求 ID) も含まれます。

可用性キーのカスタム パラメーター

SharePoint と OneDrive 可用性キーのログ記録

可用性キーのログ記録は、SharePoint または OneDrive ではまだ使用できません。 Microsoft では、回復のために可用性キーを要求したときにのみアクティブ化します。 そのため、これらのサービスに可用性キーが使用される場合は、すべてのイベントが既にわかっています。

カスタマー キー階層の可用性キー

Microsoft 365 では、可用性キーを使用して、その下のキーの層をカスタマー キー暗号化階層にラップします。 各サービスには、異なるキー階層があります。 キー アルゴリズムは、可用性キーと階層内の他のキーによっても異なります。

各サービスで使用される可用性キー アルゴリズムは次のとおりです。

  • Exchange 可用性キーは AES-256 を使用します。
  • SharePoint と OneDrive の可用性キーでは、RSA-2048 が使用されます。

Exchange のキーを暗号化するために使用される暗号化暗号

顧客キーでの Exchange の暗号化暗号

SharePoint のキーを暗号化するために使用される暗号化暗号

顧客キーでの SharePoint の暗号化暗号