メイン コンテンツへスキップ
Microsoft 365
登録する

Azure AD でのデータの保護方法

こんにちは。

この数年の間に発生しているクラウド サービスに対する大量の侵害を見ると、お客様のデータを保護する方法についてさまざまなテーマが見つかります。そこで本日のブログでは、Azure AD でお客様のデータを保護する方法の詳細を見ていきます。

データセンターとサービスのセキュリティ

最初に Microsoft のデータセンターから見ていきます。第 1 に、Microsoft のすべてのデータセンターで働く人間は、身元確認に合格しなければなりません。データセンターへのすべての経路は厳重に規制されており、すべての出入りが監視されます。これらのデータセンターの中でも、お客様のデータを預かる重要な Azure AD サービスは特別なロッカー ラックに収められています。そこへの物理的なアクセスは厳重に制限され、1 日 24 時間、カメラで監視されています。さらに、これらのサービスのいずれかが終了した場合は、すべてのディスクを論理的に消去した上で物理的に破壊して、データの漏洩を防ぎます。

次に、私たちは Azure AD サービスにアクセスできる人員の数を制限しています。アクセス権を持っている人間であっても、サインインして日々の業務を行うときはそのアクセス特権なしで実行します。サービスへのアクセスに特権が必要な場合には、スマートカードを使用した多要素認証に合格して ID の確認を行った上で、リクエストを提出する必要があります。リクエストが承認されると、ユーザー特権が “ジャストインタイム” で与えられます。この特権は一定時間が経過すると自動的に削除され、それ以上の時間が必要な場合は、誰であっても再度リクエストと承認のプロセスを経る必要があります。

この特権が付与された後、すべてのアクセスは管理された管理者用ワークステーションで (公開されている特権アクセス用ワークステーションに関するガイドに基づいて) 実行されます。これはポリシーによって要求されており、それを守っているか厳密に監視されます。このワークステーションは変更できないイメージ ファイルを使用しており、マシンのすべてのソフトウェアは完全に管理されています。リスクにさらされる面を最小化するために、許可されるアクティビティは限定されており、ユーザーは管理者用ワークステーションに対する管理者権限がないため、意図せずその設計を迂回してしまうこともありません。ワークステーションの保護をさらに強化するために、すべてのアクセスはスマートカードを使用して行う必要があり、ワークステーションごとに一定のユーザーのみがアクセスできるように限定されています。

最後に、少数の “緊急脱出” アカウント (5 つ未満) を用意しています。これらのアカウントは緊急用に予約されており、複数ステップの “緊急脱出” 手順によって守られています。このアカウントの使用は必ず監視され、使用するとアラートが発生します。

脅威検出

以下に示す自動チェックを定期的に実施しています。想定どおりに動作しているかどうかを数分ごとに確認しており、お客様に要請された新しい機能を追加するときにも確認します。

  • 侵害検出: 侵害の兆候となるパターンを確認します。この検出のセットは、定期的に追加されています。また、これらのパターンを発生する自動テストを使用して、侵害検出ロジックが正しく機能しているかどうかも確認しています。
  • 侵入テスト: これらのテストは常時実行されています。サービスを侵害するあらゆる方法を試みて、それらがすべて失敗するかどうかを確認します。成功した場合は、問題があることが示されたということなので、ただちに対処します。
  • 監査: すべての管理アクティビティはログに記録されます。予期しないアクティビティ (管理者が特権のないままアカウントを作成しようとする、など) が実行されるとアラートが発生し、そのアクションが異常でないことを確認できるまで徹底的に調査されます。

また、Azure AD ではすべてのデータが暗号化されます。保存されているすべての Azure AD の ID データは、BitLocker を使用して暗号化されています。通信中はどうでしょうか。それも暗号化しています。すべての Azure AD API は Web ベースであり、HTTPS による SSL が使用されています。 すべての Azure AD サーバーは、TLS 1.2 を使用するように設定されています。TLS 1.1 および 1.0 上のインバウンド接続で外部クライアントをサポートすることは許可されます。SSL 3.0 および 2.0 を含むレガシー バージョンの SSL を使用する接続は、すべて明示的に拒否されます。 情報へのアクセスはトークンベースの認可によって制限され、各テナントのデータには、そのアカウントで許可されているアカウントのみがアクセスできます。また、内部 API では、信頼済み証明書と発行チェーンに基づく SSL クライアント/サーバー認証を使用するという追加要件があります。

結論

Azure AD は 2 つの形で提供されており、この投稿では Microsoft が提供、運用するパブリック サービスのセキュリティと暗号化について説明しています。認定パートナーが運用するナショナル クラウド インスタンスに関して同様のご質問がある場合は、アカウント チームにお問い合わせください。

(注: 簡単な目安として、管理またはアクセスする Microsoft オンライン サービスの URL が .com で終わる場合は、この投稿の内容がお客様のデータの保護と暗号化の説明として当てはまります。)

データのセキュリティは私たちにとって最も重要であり、Microsoft はこのことをきわめて真剣に認識しています。データの暗号化とセキュリティのプロトコルに関するこの概要を読んで安心していただき、また役立てていただければ幸いです。

どうぞよろしくお願いします。

Alex Simons (Twitter: @Alex_A_Simons)

Director of Program Management

Microsoft Identity Division

 

[使用する TLS と SSL の具体的なバージョン情報を追加するために 2017 年 10 月 3 日に更新]