Microsoft 365 データのセキュリティ - 暗号化とバックアップ

Microsoft 365 では、SharePoint Online や OneDrive for Business に保存されているファイル、Exchange Online のメールボックスに保存されているメッセージと添付ファイル、Teams のチャットやチャネル投稿など、多くのデータが保存されます。
これらのデータの中には組織(企業)の機密情報や、顧客の個人情報など、そのセキュリティが重要なものも少なくありません。
そのため Microsoft 365 にはデータのセキュリティを確保するための機能が用意されています。またセキュリティが確保され適切に管理・運用されていることを確認・証明できるコンプライアンスの機能も用意されています。
今回は Microsoft 365 内のデータのセキュリティ(機密性・完全性・可用性)についての機能を紹介していきます。

データの機密を守る - 暗号化

機密性を確保するため、Microsoft 365 に保存されているデータは、既定で暗号化されています。また Microsoft 365 から共有されるデータを暗号化して、明示的に共有した相手以外が開けなくすることもできます。

Microsoft 365 暗号化

Microsoft 365 に保存されているデータは、ディスクレベルとファイルレベルの二重に暗号化されています。

ディスクレベルの暗号化

Microsoft 365 のデータは Microsoft のクラウドインフラストラクチャーに保存されます。このクラウドインフラストラクチャーで利用されているディスクはすべて BitLocker 暗号化で保護されます。

オンプレミスのコンピューター同様、BitLocker 暗号キーはサーバーハードウェアの TPM で保護されています。また BitLocker 回復キーは通常人間(エンジニアなど)が取り扱うことはありません。どうしても人手での処理が必要な場合は、Microsoft 社内での厳密な審査に合格したエンジニアのみが、必要な場合にのみ管理者の承認と一時的なアクセス昇格を通じてアクセス可能となります。

ファイルレベルの暗号化

ファイルレベルの暗号化では、ファイル(コンテンツ)ごとに固有の暗号化キーを含めてさらに細かく暗号化を行います。各ファイルは更新されるごとに暗号化されます。この暗号化の各ステップでは、256 ビットキーによる高度暗号化標準(Advanced Encryption Standard: AES) が使用され、Federal Information Processing Standard(FIPS) 140-2 に準拠しています。

  1. Microsoft 365 にアップロードされたコンテンツはサイズに応じて複数のチャンク(断片)に分割され、チャンクごとに独自の一意のキーを使用して暗号化されます。

    暗号化に使用されるキーはコンテンツデータベース(SQL Server データベース)に保存されます。

  2. 暗号化されたチャンクは複数のコンテナー(データの格納場所)へランダムに分散して配置されます。

    コンテナー自体もアクセスの種類(読み取り、書き込み、列挙、削除) ごとに独自の資格情報を持ち、各資格情報セットはセキュリティが確保されたキーストアで保管され、定期的に更新されます。

  3. 分割されたチャンクから元のコンテンツを復元するための「マップ」情報はコンテンツデータベースに格納されます。

つまり暗号化されたコンテンツをチャンクから復元して復号するには、コンテナー・コンテンツデータベース・キーストアの3つの場所にアクセスする必要があります。これらは物理的にも離れた場所に配置されます。これにより、Microsoft 365 に保存されているデータでは非常に高いレベルのセキュリティが実現しています。

なおファイルベースの暗号化では、カスタマーキーを利用することも可能です。カスタマーキーは Microsoft 365 の利用者が提供するルートキーで、このキーを使ってデータを暗号化できます。カスタマーキーを使用すると、Microsoft サービスが顧客データの暗号化を解除して処理する機能を制御できます。

Microsoft 365 のデータ暗号化についてさらに詳しい情報は、以下を参照してください。

IRM(Information Rights Management)

Information Rights Management(IRM) を使用すると、SharePoint Online や OneDrive で共有されている Office ドキュメントファイルや PDF ファイルがダウンロードされた後のアクセスを制御および保護できます。共有によって SharePoint Online のライブラリ内にあるファイルやリストの添付ファイルがダウンロードされる際、自動的に暗号化が行われます。
ファイルを復号するには、共有されたユーザーが自分のアカウントでサインインしてクラウド上の Rights Management サービスサーバーにアクセスし、暗号鍵を受け取る必要があります。そのため、ダウンロードされたファイルは共有対象の本人以外開くことができません。もしダウンロードしたユーザーが別の人にファイルを共有しても、暗号鍵を受け取ることができないので別の人はファイルを開けません。
Information Rights Management については以下の担当者コラム記事で紹介していますので、詳しい内容や動作原理はこちらをご覧ください。

なお Information Rights Management の利用には Microsoft 365 Business Premium・Microsoft 365 E3 / E5・Office 365 E3 / E5 のライセンスが必要です。

データを保全する - バックアップとアーカイブ

保存されているデータが暗号化で保護されていても、ユーザーのミスや事故などでデータを誤って削除してしまうことはあります。またランサムウェアへの感染でデータが利用できなくなるインシデントも最近は少なくありません。これは完全性や可用性に対する脅威となります。そのような脅威へのリスクに対して、オンプレミスのファイルサーバーであればデータのバックアップやアーカイブを取得して、安全に保存することで対策をするのが一般的です。
これに対して従来 Microsoft 365 の Share Point Online や OneDrive for Business では、保存されているデータを丸ごとバックアップするにはサードパーティ製のソリューションを利用する必要がありました。

Share Point Online や OneDrive for Business には標準で「ファイル履歴」の機能があり、個々のファイルやフォルダーについては、削除されたり改変されたりした場合でも、過去に遡ってファイルやフォルダーを復元することが可能です。

サードパーティ製品を利用しなくとも Share Point Online や OneDrive for Business のデータをバックアップ/アーカイブできる機能が「Microsoft 365 Backup」と「Microsoft 365 Archive」です。いずれも現在(2024年2月)プレビュー中ですが非常に便利な機能なので紹介します。

Microsoft 365 Backup

Microsoft 365 Backup はプレビュー中ですが、近日中に正式公開が開始される予定です。
文字通り SharePoint Online のサイト、OneDrive for Business の個人用ストレージ、Exchange Online のメールボックスのバックアップと復元が可能です。また今後 Teams のバックアップも行えるようになる予定です。
Microsoft 365 Backup は以下のような特徴を持っています。

  • バックアップストレージにデータのコピーを作成
  • 作成されたバックアップを任意のタイミングで復元可能
  • 完全な SharePoint サイトと OneDrive アカウントの再現
  • 検索を使用した Exchange メールボックスアイテムの完全な復元または詳細なアイテムの復元

Microsoft 365 Backup はすべての Microsoft 365 プランで利用可能ですが、バックアップの保存場所として Microsoft Azure を利用し、バックアップの容量に応じた従量課金となるため、以下の前提条件があります。

  • Microsoft 365 テナント(Entra ID テナント)と同じテナント内に Azure サブスクリプションがある
  • Microsoft Syntex サービスに対する従量課金を有効にする
  • 容量あたりの料金は現時点で $0.15/GB/月となっています。
  • Azure サブスクリプションをお持ちでない場合は、あらかじめご用意ください。サブスクリプションの取得については当社担当営業までご相談ください。

これらを含めた Microsoft 365 Backup の有効化手順を簡単に示します。

  1. 管理者権限のあるアカウントで Microsoft 365 管理センターにサインインします。
  2. [セットアップ] を選択し、[ファイルとコンテンツ] セクションにある [Microsoft Syntex でコンテンツ AI を使用する] をクリックします。
  3. [Microsoft Syntex でコンテンツ AI を使用する] 画面が表示されますので、[請求を設定する] をクリックします。
  4. [従量課金制の設定] 画面で、下にスクロールして [Azure サブスクリプション]・[リソースグループ]・[地域] を選択します。
    • リソースグループはこの従量課金専用のものをあらかじめ東日本または西日本リージョンに作成しておくことをお勧めします。
    • 地域はリソースグループのリージョンと同じものを選択してください。
  5. サービス使用条件への同意にチェックを入れて、[保存] をクリックします。
  6. [正常に設定されました] と表示されたら、[×] で閉じます。
    これで Microsoft 365 Backup の課金設定は終了です。
  7. 次に Microsoft 365 Backup を有効にします。
    [Microsoft Syntex でコンテンツ AI を使用する] 画面で [Manage Microsoft Syntex] をクリックします。
  8. [Microsoft Syntex] の画面で [バックアップ] をクリックします。
  9. [オンにする] をクリックし、[保存] をクリックします。
  10. [Microsoft 365 Backup は組織で有効になっています] と表示されたら、[×] で閉じます。
  11. これでバックアップの設定が行えます。
    ナビゲーションで [設定] - [Microsoft 365 Backup] を選択します。
  12. バックアップを行うには「バックアップポリシー」を作成します。
    ここでは SharePoint サイトのバックアップを行うポリシーを作成してみます。
    画面の SharePoint 欄にある [ポリシーを設定] をクリックします。
  13. ポリシーで構成されるバックアップの概要が表示されます。[Next] をクリックします。
  14. バックアップの対象となるサイトを指定します。
    [サイトの選択] をクリックすると、一覧から選択できます。
  15. サイトが指定できたら、[Next] をクリックします。
  16. 確認画面が表示されますので、[ポリシーの作成] をクリックします。
  17. [ポリシー作成済み] と表示されたら、[Done] をクリックします。

以上の手順で、Microsoft 365 Backup を構成して SharePoint サイトのバックアップを行うことができました。

バックアップポリシーの詳細については以下を参照してください。

またバックアップの復元については以下を参照してください。

なお Microsoft 365 Backup は現在プレビューのため、以下の制限事項があります。正式公開後には制限は無くなる予定です。

Microsoft 365 Archive

Microsoft 365 Archive は、使用しなくなった SharePoint Online サイトをアーカイブして安価に長期保存できるサービスです。サイトをアーカイブすると、その中にある以下のようなすべてのものがアーカイブされます。

  • ドキュメントライブラリとファイル
  • リストとリストデータ

Microsoft 365 Archive は以下のような特徴を持っています。

  • 高速なアーカイブ:アーカイブするサイトの数や容量に関わらず高速でアーカイブされます。
  • コスト削減:SharePoint の既定の容量を超えている場合、アーカイブされたサイトの容量は安価な従量課金が行われます。
  • メタデータの保持:サイトは、再アクティブ化時にすべてのメタデータとアクセス許可を保持します。
  • データの分離:アクティブなサイト・コンテンツと非アクティブなサイト・コンテンツを明示的に分離でき、サイトのライフサイクルを管理するのに役立ちます。

Microsoft 365 Backup でのサイトのバックアップとは以下の点が異なります。

  • バックアップは定期的に実行されて世代管理され、任意のバックアップを復元できます。アーカイブは1回限りの操作で、アーカイブされた時点に復元できます。
  • バックアップを実行しても元のサイトに変化はありません。アーカイブされたサイトは利用できなくなり、サイト内のファイルやデータにはアクセスできなくなります。
  • バックアップはバックアップで保持される容量全体が課金対象となります。アーカイブはテナントに割り当てられた SharePoint の容量(既定で 1TB+10GB×ユーザー数)を超過した分のみ課金対象となります。
  • バックアップは復元の際に費用は発生しません。アーカイブの復元では、復元されるデータ量に従量課金されます。

過去のプロジェクトで利用したチームサイトなどすでに使用しなくなったサイトの容量が大きく、SharePoint 全体の割り当て容量を圧迫していたり、追加容量の購入が必要になっていたりする場合、使用しなくなったサイトをアーカイブすることで、容量に対する費用を削減することができます。
またアーカイブされたサイトのデータには通常の手段ではアクセスできなくなりますので、データの保護(意図しないアクセスや共有の防止)にも役立ちます。

Microsoft 365 Archive はすべての Microsoft 365 プランで利用可能ですが、アーカイブ容量と復元に応じた従量課金となるため、以下の前提条件があります。

  • Microsoft 365 テナント(Entra ID テナント)と同じテナント内に Azure サブスクリプションがある
  • Microsoft Syntex サービスに対する従量課金を有効にする
  • アーカイブの課金対象の容量あたりの料金は現時点で $0.05/GB/月となっています。さらにアーカイブを復元する(アクティブに戻す)場合に $0.60/GB の費用が発生します(アーカイブから7日目までの復元は無料です)。
  • Azure サブスクリプションをお持ちでない場合は、あらかじめご用意ください。サブスクリプションの取得については当社担当営業までご相談ください。

Microsoft 365 Archive の有効化手順を簡単に示します。

  1. Microsoft 365 Backup の有効化の「1.」?「6.」の手順と同様の方法で、従量課金を有効に設定します。
  2. 次に Microsoft 365 Backup を有効にします。
    [Microsoft Syntex でコンテンツ AI を使用する] 画面で [Manage Microsoft Syntex] をクリックします。
  3. [Microsoft Syntex] の画面で [アーカイブ] をクリックします。
  4. [オンにする] をクリックし、[保存] をクリックします。
  5. 確認メッセージが表示されますので、[確認] をクリックします。
  6. [Microsoft 365 Archive は組織で有効になっています] と表示されたら、[×] で閉じます。
  7. これでサイトのアーカイブが行えます。
    SharePoint 管理センターに移動し、[アクティブなサイト] を選択します。
  8. アーカイブするサイトをクリックして選択し、[アーカイブ] をクリックします。
    ※現時点では、Microsoft 365 Backup のバックアップ対象となっているサイトはアーカイブできません。アーカイブする場合はバックアップの対象から除外してください。
  9. [アーカイブしますか?] の画面が表示されますので、[アーカイブ] をクリックします。
  10. 確認が表示されますので、[確認] をクリックします。

これでサイトがアーカイブされます。
アーカイブされたサイトは、SharePoint 管理センターの [アーカイブ済みサイト] ページで確認できます。

サイトのアーカイブの詳細と、アーカイブされたサイトの復元については以下を参照してください。

まとめ

Microsoft 365 に保存されているデータはディスクレベルとファイルレベルの二重に暗号化が行われ、安全に保存されています。また IRM を利用することで、Microsoft 365 から共有されダウンロードされたファイルに対しても暗号化を自動的に行い、アクセス制御を行うことができます。このような暗号化の機能を通じて、データの機密性を確保することが可能です。
また意図しない(誤操作やランサムウェアへの感染などによる)データの喪失や改変は完全性や可用性に対するリスクですが、これに対してはバックアップやアーカイブが有効な対策となります。Microsoft 365 では Microsoft 365 Backup で SharePoint Online・One Drive for Business・Exchange Online のデータを簡単かつ安価にバックアップできます。また Microsoft 365 Archive で SharePoint Online サイトをアーカイブすることもできます。

Information Rights Management の利用には Microsoft 365 Business Premium・Microsoft 365 E3 / E5・Office 365 E3 / E5 のサブスクリプションが必要となり、Microsoft 365 Backup と Microsoft 365 Archive の利用には Microsoft Azure サブスクリプションが必要となります。
Microsoft 365 サブスクリプションの新規契約やプランのアップグレード、Azure サブスクリプションの契約につきましては、ぜひ当社担当営業までご相談ください。

CSPの記事