Azure Communications Gateway のセキュリティの概要

Azure Communications Gateway で扱う顧客データは、次のように分けられます。

• 音声通話用メディアなどのコンテンツ データ。
• Azure Communications Gateway でプロビジョニングされた、または呼び出しメタデータに存在する顧客データ。

データ保持、データ セキュリティ、保存時の暗号化

Azure Communications Gateway はコンテンツ データを格納しませんが、顧客データを格納します。

• Azure Communications Gateway にプロビジョニングされた顧客データには、特定の通信サービスの番号の構成が含まれています。 これらの通信サービスに番号を一致させ、(必要に応じて) カスタム ヘッダーの追加など、呼び出しに対して番号固有の変更を行う必要があります。
• 呼び出しメタデータからの一時的な顧客データは、最大 30 日間保存され、統計情報の提供に使用されます。 30 日後、呼び出しメタデータからのデータにアクセスして、個々の呼び出しの診断または分析を実行できなくなります。 顧客データに基づいて作成された匿名化された統計およびログは、30 日間の期限を過ぎた後も利用できます。

Azure Communications Gateway への組織のアクセスは、Microsoft Entra ID を使用して管理されます。 スタッフに必要なアクセス許可の詳細については、「Azure Communications Gateway のユーザー ロールを設定する」を参照してください。 プロビジョニング API での Microsoft Entra ID の詳細については、プロビジョニング API の API リファレンスを参照してください。

Azure Communications Gateway は、Microsoft Azure 用カスタマー ロックボックスをサポートしていません。 ただし、Microsoft エンジニアがデータにアクセスできるのは、ジャスト イン タイム ベースで、診断目的の場合のみです。

Azure Communications Gateway は、プロビジョニングされた顧客と番号の構成、通話レコードなどの一時的な顧客データなど、保存されているすべてのデータを安全に格納します。 Azure Communications Gateway では、プラットフォームで管理される暗号化キーを備えた標準の Azure インフラストラクチャを使用して、FedRAMP を含むさまざまなセキュリティ標準に準拠したサーバー側暗号化を提供します。 詳細については、「保存時のデータの暗号化」を参照してください。

転送中の暗号化

Azure Communications Gateway で処理されるトラフィックはすべて暗号化されます。 この暗号化は、Azure Communications Gateway コンポーネントと Microsoft Phone System の間で使用されます。

• SIP と HTTP のトラフィックは TLS を使用して暗号化されます。
• メディア トラフィックは SRTP を使用して暗号化されます。

ネットワークに送信するトラフィックを暗号化する場合、Azure Communications Gateway は TLSv1.3 を優先します。 必要に応じて TLSv1.2 にフォールバックします。

SIP および HTTPS の TLS 証明書

Azure Communications Gateway では、SIP と HTTPS に相互 TLS が使用されます。つまり、接続用のクライアントとサーバーの両方が相互に検証されます。

ネットワークが Azure Communications Gateway に提示する証明書を管理する必要があります。 既定では、Azure Communications Gateway は、DigiCert Global Root G2 証明書と Baltimore CyberTrust Root 証明書をルート証明機関 (CA) 証明書としてサポートします。 ネットワークが Azure Communications Gateway に提示する証明書で別のルート CA 証明書が使用されている場合は、Azure Communications Gateway をネットワークに接続する場合にオンボード チームにこのルート CA 証明書を提供する必要があります。

Azure Communications Gateway がネットワーク、Microsoft 電話 System、Zoom サーバーに接続するために使用する証明書を管理します。 Azure Communications Gateway の証明書では、ルート CA 証明書として DigiCert グローバル ルート G2 証明書を使用します。 ネットワークがルート CA 証明書としてこの証明書をまだサポートしていない場合は、Azure Communications Gateway をネットワークに接続する場合にこの証明書をダウンロードおよびインストールする必要があります。

TLS (SIP および HTTPS 用) および SRTP 用の暗号スイート

SIP、HTTP、RTP の暗号化には、次の暗号スイートが使用されます。

SIP および HTTPS 用の TLSv1.2 で使用される暗号

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

SIP および HTTPS の TLSv1.3 で使用される暗号

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256

SRTP で使用される暗号

• AES_CM_128_HMAC_SHA1_80

次のステップ

• Azure Communications Gateway のセキュリティ ベースラインを読む
• Azure Communications Gateway のユーザー ロールについて 説明します
• Azure Communications Gateway デプロイの計画について説明します