Microsoft 365 の分離コントロール

  • [アーティクル]

Microsoft は、Microsoft 365 のマルチテナント アーキテクチャがエンタープライズ レベルのセキュリティ、機密性、プライバシー、データの整合性、可用性をサポートし、ローカルおよび国際標準を満たしていることを継続的に確認 します。 Microsoft によって提供されるサービスの規模と範囲により、人間の重要な相互作用による管理が困難で実用的ではありません。 Microsoft 365 サービスは、グローバルに分散されたデータ センターを通じて提供され、それぞれが高度に自動化され、人間のタッチや顧客データへのアクセスを必要とする操作がほとんどありません。 当社のスタッフは、自動化されたツールと高度にセキュリティで保護されたリモート アクセスを使用して、これらのサービスとデータ センターをサポートしています。

Microsoft 365 は、重要なビジネス機能を提供し、全体的なエクスペリエンスに貢献する複数のサービスで構成されています。 これらの各サービスは自己完結型であり、相互に統合するように設計されています。 Microsoft 365 は、次の原則を使用して設計されています。

Microsoft 365 サービスは相互に動作しますが、相互に独立した自律サービスとして展開および運用できるように設計および実装されています。 Microsoft は、Microsoft 365 の職務と責任領域を分離して、組織の資産の不正または意図しない変更や誤用の機会を減らします。 Microsoft 365 チームは、包括的なロールベースのアクセス制御メカニズムの一部としてロールを定義しています。

テナントの分離

クラウド コンピューティングの主な利点の 1 つは、多数の顧客間で同時に共有される共通のインフラストラクチャの概念であり、規模の経済につながることです。

マルチテナント環境でテナント分離を管理する主な目標は、次の 2 つです:

  • テナント間での顧客データの漏洩(または未承認のアクセス)を防止する。そして
  • あるテナントのアクションが別のテナントのサービスに悪影響を及ぼすことの防止

Microsoft オンライン サービスは、すべてのテナントが他のすべてのテナントに対して敵対する可能性があることを前提に設計されており、あるテナントのアクションが別のテナントのセキュリティまたはサービスに影響を与えたり、そのコンテンツにアクセスしたりするのを防ぐためのセキュリティ対策を実装しています。

Microsoft 365 では、サービスやアプリケーションの侵害を防いだり、他のテナントやシステム自体の情報への不正アクセスを防ぐために、次のような複数の形式の保護が実装されています。

  • Microsoft 365 サービスの各テナント内の顧客データの論理的な分離は、Microsoft Entra 承認とロールベースのアクセス制御によって実現されます。
  • SharePoint Online などのサービスのストレージ レベルでのデータの分離。
  • Microsoft では厳格な物理的セキュリティ、バックグラウンド スクリーニング、多層暗号化戦略を使用して、顧客データの機密性と整合性を保護しています。 すべての Microsoft 365 データセンターには生体認証アクセス制御があり、ほとんどの場合、物理的なアクセスを得るために掌紋が必要になります。 さらに、米国に拠点を置く Microsoft のすべての従業員は、採用プロセスの一環として標準のバックグラウンド チェックを正常に完了する必要があります。 Microsoft 365 の管理アクセスに使用されるコントロールの詳細については、「Microsoft 365 のアカウント管理」を参照してください。
  • Microsoft 365 は、BitLocker、ファイルごとの暗号化、トランスポート層セキュリティ (TLS)、インターネット プロトコル セキュリティ (IPsec) など、保存中および転送中の顧客コンテンツを暗号化するサービス側テクノロジを使用します。 Microsoft 365 の暗号化の詳細については、「Microsoft 365 の暗号化テクノロジー」を参照してください。

上記の保護を組み合わせることで、物理的な分離のみで提供されるのと同等の脅威保護と軽減策を提供する堅牢な論理分離制御が提供されます。

リソース