数ヶ月前、COVIDの時点でのセキュリティとプライバシーの重要性について話しました(v.articolo)デジタルテクノロジーのいくつかの倫理的および社会的側面を強調します。
それでは、最も好奇心旺盛な読者に、関連するすべての洞察を見つけることができるトラストセンターサイトを紹介して、その瞬間のスイートに関連するいくつかのポイントを深めてみましょう。
私がお客様と頻繁に直面しなければならないトピックのXNUMXつは、個人データの処理です。
マイクロソフトは、リンクで入手可能なオンラインサービスの個人データの保護(「DPA」)に関連する補遺の規定に従って個人データを処理します。 https://aka.ms/DPA。 特に、前述のDPAは、Microsoftが個人データ処理マネージャーの役割を持ち、アートに従ってマネージャーをデータコントローラーにバインドする契約を構成することを規定しています。 一般データ保護規則の28段落3)-2016年679月27日の欧州議会および理事会の規則(EU)2016/XNUMX(GDPR)。
マイクロソフトのGDPR条件は、第28条でプロセッサーが要求するコミットメントを反映しています。第28条は、プロセッサーが以下にコミットすることを要求しています。
- 所有者の同意を得て二次管理者のみを使用し、それらに責任を負います。
- 個人データは、譲渡を含め、所有者の指示のみに基づいて処理されます。
- あなたの個人データを処理する人々が機密性を尊重することを確認してください。
- リスクに基づいて適切なレベルの個人データのセキュリティを確保するために、適切な技術的および組織的対策を実施します。
- GDPRに基づく権利を行使するための利害関係者からの要求に対応するための関連する義務を持つ所有者を支援するため。
- 違反通知とサポート要件を満たします。
- データ保護の影響評価と管轄当局とのアドバイスで管理者を支援します。
- サービスの提供終了時に個人データを削除または返却します。
- GDPRに準拠していることの証明で所有者をサポートします。
データの暗号化とネットワークの使用
チームを分析の要素として取り上げましょう。 チームの使用は、O365プラットフォームの不可欠な部分であり、より一般的には、すべてのMicrosoftクラウドサービス、つまりAzure、Dynamics 365、およびO365自体であり、リモート接続専用のVPNを必ずしも必要としません。
Microsoft Teamsは、インターネット上で暗号化された通信とエンドポイント認証を提供するTLSおよびMTLSプロトコルを活用します。 チームは両方のプロトコルを使用して、信頼できるサーバーのネットワークを作成し、そのネットワーク上のすべての通信が暗号化されていることを確認します。 サーバー間のすべての通信はMTLSで行われます。 残りのSIPクライアントからサーバーへの通信はTLSを介して行われます。
TLSを使用すると、ユーザーはクライアントソフトウェアを介して、接続先のMicrosoftデータセンター内のTeamsサーバーを認証できます。 TLS接続では、クライアントはサーバーに有効な証明書を要求します。 有効であるためには、証明書はクライアントによっても信頼されている認証局によって発行されている必要があり、サーバーのDNS名は証明書のDNS名と一致している必要があります。 証明書が有効な場合、クライアントは証明書の公開鍵を使用して、通信に使用される対称暗号化キーを暗号化します。そのため、証明書の元の所有者のみが秘密鍵を使用して通信の内容を復号化できます。 結果として得られる接続は信頼性が高く、その後、他の信頼できるサーバーやクライアントによって競合されることはありません。
サーバー間接続は、相互認証のために相互TLS(MTLS)に依存しています。 MTLS接続では、メッセージを生成するサーバーとそれを受信するサーバーは、相互に信頼されたCAから証明書を交換します。 証明書は、各サーバーのIDを他のサーバーに証明します。 Teamsサービスでは、この手順に従います。
TLSとMTLSは、インターセプト攻撃とman-in-the-middle攻撃の両方を防ぐのに役立ちます。
中間者攻撃では、攻撃者は、どちらの当事者も知らないうちに、攻撃者のコンピュータを介してXNUMXつのネットワークエンティティ間の通信を指示します。 信頼できるサーバーのTLSおよびTeams仕様は、XNUMXつのエンドポイント間の公開鍵暗号化を介して調整された暗号化を使用することにより、アプリケーション層に対する中間者攻撃のリスクを部分的に軽減します。 攻撃者は、対応する秘密鍵を備えた有効で信頼できる証明書を持っており、通信を復号化するためにクライアントが通信しているサービスの名前で発行されている必要があります。
この表は、トラフィックのタイプを示しています。
トラフィックの種類 |
暗号化 |
サーバー間 |
MTLS拡張子 |
クライアントからサーバー(インスタントメッセージングやプレゼンスなど) |
TLS |
マルチメディアストリーム(たとえば、マルチメディアコンテンツのオーディオおよびビデオ共有) |
TLS |
マルチメディアコンテンツのオーディオとビデオの共有 |
SRTP / TLS |
報告 |
TLS |
認証および承認システム
「仮想ルーム」はチーム会議であり、同じセキュリティ基準を尊重します。 セキュリティ標準は、チームが不可欠な部分であるプラットフォームであるO365の標準に基づいています。 これはプラットフォームレベルで定義されているため、認証の観点から製品のセキュリティを考慮することは誤りです。
「仮想ルーム」とTeams会議のアクセスアクティビティは、組織によって任命された管理ユーザーがアクセスできるログを通じて追跡されます。
チームはクラウドサービスであり、サーバーはマイクロソフトのデータセンターにあります.
データとメタデータ
テナント内で収集されたデータ、つまり組織がO365サービスにサブスクライブするときに作成された環境には、管理者によって任命された管理者が「Microsoft365セキュリティセンター"含まれるもの:
- ホーム:組織の全体的なセキュリティの状態を一目で確認できます。
- 許可されていない操作:個々のエンティティアラートに表示されるドットを接続して、攻撃のより広範な履歴を確認します。 攻撃が開始された場所、影響を受けるデバイス、影響は何か、脅威がどこに行ったかを正確に知ることができます。
- アラート-MicrosoftCloud App Security、Office 365 ATP、Azure AD、Azure ATP、Microsoft Defender ATPからのアラートを含む、Microsoft365環境内のすべてのアラートの可視性が向上します。 E3およびE5のお客様にご利用いただけます。
- アクションセンター:セキュリティチームが手動で対応する必要のあるアラートの量を減らし、セキュリティ運用チームがより高度な脅威やその他の価値の高いイニシアチブに集中できるようにします。
- レポート-ユーザー、デバイス、アプリなどをより適切に保護するために必要な詳細と情報を表示します。
- セキュアスコア:Microsoftセキュアスコアを使用して全体的なセキュリティレベルを最適化します。 有効になっているすべてのセキュリティ機能の概要が提供され、領域を改善するための提案が利用可能です。
- 高度なハンティング:Microsoft 365組織内のマルウェア、疑わしいファイル、およびアクティビティのプロアクティブな検索。
- 分類-ドキュメント、電子メール、ドキュメント、サイトなどを分類するためのラベルを追加することにより、データ損失を保護します。 ラベルが(自動的にまたはユーザーによって)適用されると、コンテンツまたはサイトは選択された設定に従って保護されます。 たとえば、ラベルを作成してファイルを暗号化したり、コンテンツ表示を追加したり、特定のサイトへのユーザーアクセスを制御したりできます。
- ポリシー-デバイスを管理し、脅威から保護し、さまざまな組織の活動に関するアラートを受信するためのポリシーを追加します。
- 権限:組織内の誰がMicrosoft 365セキュリティセンターにアクセスしてコンテンツを表示し、タスクを実行できるかを管理します。 AzureADポータルでMicrosoft365のアクセス許可を割り当てることもできます。
「セキュリティ&コンプライアンスセンター」の機能へのきめ細かいアクセスを定義することも可能です。
組織によって任命されたグローバル管理者は、「セキュリティ&コンプライアンスセンター」の機能にアクセスできます。 これが、グローバル管理者を適切に保護し、ユーザーアクティビティから切り離して(したがって、これらの管理者にOffice 365ライセンスを割り当てないことをお勧めします)、必要な場合にのみ使用することが重要である理由のXNUMXつです。
データを保存するサーバーはどこにありますか?
サービスにサブスクライブすると、「テナント」が各管理/顧客に関連付けられます。これは、すべての管理データと構成を含む論理ユニットです。
クラウドコンピューティングの主な利点のXNUMXつは、同時に多くの顧客間で共有される共通のインフラストラクチャの概念であり、これが規模の経済につながります。 この概念はマルチテナントと呼ばれます。 マイクロソフトは、マルチテナントクラウドサービスアーキテクチャがエンタープライズレベルのセキュリティ、機密性、プライバシー、整合性、および可用性の標準をサポートすることを保証します。
信頼性の高いコンピューティングとセキュリティ開発のライフサイクルから得られた多大な投資と経験に基づいて、Microsoftクラウドサービスは、すべてのテナントが他のすべてのテナントに対して潜在的に敵対的であり、セキュリティ対策が実装されていることを前提として設計されています。テナントが別のテナントのセキュリティまたはサービスに影響を与えること。
マルチテナント環境でテナントの分離を維持するためのXNUMXつの主な目標は次のとおりです。
- テナント間の顧客コンテンツへの漏洩または不正アクセスを防止します。 です
- あるテナントの行動が別のテナントのサービスに悪影響を与えないようにする
Office 365は、顧客がOffice 365のサービスやアプリケーションを危険にさらしたり、他のテナントやOffice365システム自体からの情報に不正にアクセスしたりするのを防ぐために複数の形式の保護を実装しています。
- Office 365サービスの各テナント内の顧客コンテンツの論理的な分離は、Azure ActiveDirectoryの承認と役割ベースのアクセス制御によって実現されます。
- SharePoint Onlineは、ストレージレベルでデータ分離メカニズムを提供します。
- マイクロソフトは、厳格な物理的セキュリティ、身元調査、および多層暗号化戦略を使用して、顧客コンテンツの機密性と整合性を保護しています。 すべてのOffice365データセンターには生体認証アクセス制御があり、ほとんどのPalmプリントには物理的なアクセスが必要です。
- Office 365は、BitLocker、ファイル暗号化、トランスポート層セキュリティ(TLS)、インターネットプロトコルセキュリティ(IPsec)など、保存中および転送中の顧客コンテンツを暗号化するサービス側テクノロジを使用します。
同時に、以下にリストされている保護は、物理的分離のみによって提供されるものと同等の脅威保護と軽減を提供する堅牢な論理的分離制御を提供します。
データのローカリゼーション
サービスの地理的位置に関して、ヨーロッパの地理的領域のテナントに関する詳細を以下に示します。
►OneDriveforBusiness/ SharePoint Online / Skype for Business / Azure Active Directory / Microsoft Teams / Planner / Yammer / OneNote Services /ストリーム/フォーム:
- アイルランド
- オランダ
►ExchangeOnline/ Office Online / Office Mobile / EOP / MyAnalytics:
- オーストリア
- フィンランド
- アイルランド
- オランダ
顧客は、Office365管理センターの[設定] | [設定]で、テナント固有のデータの場所に関する情報を表示できます。 組織プロファイル| [データパス]タブ。
もちろん、それだけではありません。 マイクロソフトのシステムのセキュリティについてはまだ多くのことが語られているので、近い将来、クラウドでのデータセキュリティの管理についてお話します。