Data Encryption in OneDrive for Business and SharePoint Online

Posted on by admin
  • 7/2/2018
  • 3分で読める
    • K
    • D
    • D
    • j
    • l
    • +3

    OneDrive for BusinessおよびSharePoint Onlineにおけるデータセキュリティのための暗号化の基本要素を理解することができるようになります。

    Office 365におけるセキュリティとデータ暗号化

    Microsoft 365は、物理データセンターセキュリティ、ネットワークセキュリティ、アクセスセキュリティ、アプリケーションセキュリティ、データセキュリティという多層で手厚く保護された高セキュリティ環境である。 この記事では、特に OneDrive for Business および SharePoint Online のデータ セキュリティの転送中および静止中の暗号化の側面に焦点を当てます。

    次のビデオで、データ暗号化の仕組みをご覧ください。

    転送中のデータの暗号化

    OneDrive for Business と SharePoint Online では、データがデータセンターに出入りするシナリオは 2 つあります。

    • クライアントとサーバーの通信 インターネット上の OneDrive for Business への通信では SSL/TLS 接続を使用します。 すべての SSL 接続は 2048 ビット キーを使用して確立されます。

    • データセンター間のデータ移動 データセンター間でデータを移動する主な理由は、災害復旧を可能にするためのジオ レプリケーションのためです。 たとえば、SQL Server トランザクション ログと blob ストレージの差分は、このパイプに沿って移動します。 このデータはすでにプライベート ネットワークを使用して転送されていますが、クラス最高の暗号化によってさらに保護されます。

    Ecryption of data at rest

    Ecryption at rest には 2 つのコンポーネントがあります。 BitLocker ディスク レベルの暗号化と顧客コンテンツのファイル単位の暗号化です。

    BitLocker は、サービス全体の OneDrive for Business および SharePoint Online に対して展開されます。 ファイル単位の暗号化は、Microsoft 365 マルチテナントおよびマルチテナント テクノロジーに基づいて構築された新しい専用環境における OneDrive for Business および SharePoint Online にもあります。

    BitLockerはディスク上のすべてのデータを暗号化しますが、ファイル単位の暗号化は、各ファイルに固有の暗号化キーを含むことでさらに高度な暗号化を行っています。 さらに、すべてのファイルに対するすべての更新は、独自の暗号化キーを使用して暗号化されます。 暗号化されたコンテンツの鍵は、保存される前に、コンテンツとは物理的に別の場所に保存されます。 この暗号化の各段階では、256ビットの鍵を持つAES(Advanced Encryption Standard)を使用し、FIPS(Federal Information Processing Standard)140-2に準拠しています。 暗号化されたコンテンツは、データセンター内の複数のコンテナに分散され、各コンテナは固有の認証情報を持ちます。 これらの認証情報は、コンテンツやコンテンツ キーとは別の物理的な場所に保存されます。

    FIPS 140-2 コンプライアンスの詳細については、FIPS 140-2 コンプライアンスを参照してください。

    File-level encryption at rest は Blob Storage を利用して実質的に無限のストレージ増加を実現し、かつてないほどの保護を可能にします。 OneDrive for BusinessとSharePoint Onlineにあるすべての顧客コンテンツは、ブロブストレージに移行されます。

    1. すべてのコンテンツは暗号化され、複数のキーを使用する可能性があり、データ センターに分散されます。 保存される各ファイルは、そのサイズに応じて 1 つ以上のチャンクに分割されます。 その後、各チャンクは独自のキーを使用して暗号化されます。 更新も同様に処理されます。ユーザーによって提出された変更または差分のセットはチャンクに分割され、それぞれが独自のキーで暗号化されます。 また、複数の blob コンテナーにランダムに分散されます。

    2. ファイルのコンポーネントからファイルを再組み立てするために使用する「マップ」は、コンテンツ データベースに格納されます。 各クレデンシャルのセットは安全なキー ストアに保持され、定期的に更新されます。

    言い換えると、ファイルごとの静止暗号化に関わる 3 種類のストアがあり、それぞれが異なる機能を備えています:

    • Content は、ブロブ ストア内に暗号化ブロブとして格納されます。 コンテンツの各チャンクのキーは暗号化され、コンテンツ データベースに別々に保存されます。 コンテンツ自体は、どのように復号化されるかの手がかりを持ちません。

    • Content Database は SQL Server データベースです。 このデータベースは、ブロブ ストアに格納されているすべてのコンテンツ ブロブを検索して再構築するために必要なマップと、それらのブロブを復号化するために必要なキーを保持します。

    これら 3 つのストレージ コンポーネント(ブロブ ストア、コンテンツ データベース、キー ストア)はそれぞれ物理的に分離されています。 これらのコンポーネントのいずれかに保持された情報は、それ自体では使用できません。 これにより、これまでにない高いセキュリティレベルを実現しています。 3つの構成要素すべてにアクセスできなければ、チャンクのキーを取得することも、キーを復号して使用可能にすることも、キーを対応するチャンクに関連付けることも、任意のチャンクを復号することも、チャンクの構成要素からドキュメントを再構築することも不可能です

コメントを残す

メールアドレスが公開されることはありません。