Microsoft 365を安心して使える理由！Microsoftの4つのセキュリティ対策

• ★ この記事は3分で読めます。

こんにちは、Microsoft 365 相談センターの五味です。テレワークの普及により、クラウドサービスをビジネスで利用される企業も増えていますが、その一方で、クラウドサービス導入に踏み込めていないという企業もまだまだいらっしゃるようです。その場合、「果たしてクラウドサービスというものは、本当に安心して利用できるサービスなのか？（なんかクラウドというだけで、セキュリティ上不安な気がする...）」という、クラウドサービスに対する先入観や固定概念から来る不安も一つの障壁となっているのではないでしょうか。

そこで今回の記事では、Officeアプリケーションやメール・スケジュール、ウェブ会議、ファイルストレージ・共有機能などのグループウェアをクラウドから提供するMicrosoft 365（Office 365）をMicrosoft社が提供するにあたって、どのようなセキュリティ対策を講じているのかをご紹介します。「なんとなく、クラウドというだけで不安感がある」といった、クラウドに対する不信感をお持ちでどうしてもクラウド導入に踏み込めないという企業のご担当者さまや、「Microsoft 365を提案しているけど、お客さまがセキュリティ面に不安を感じられている」というお悩みをお持ちの販売店のご担当者さまは、ぜひご一読くださいませ！

1.Microsoft 365を安心して使える理由！Microsoftの4つのセキュリティ対策

Microsoft 365(Office 365)を提供する Microsoftは、Microsoft 365(Office 365)をお客さまに安心してご利用いただけるよう、しっかりとしたセキュリティ対策を講じています。細かいところまで取り上げるとキリがないので、ここでは大まかに4つのセキュリティ対策のポイントを挙げてみます。

• 日本データセンターを2か所に分けてデータ管理。且つデータセンター内、およびデータセンター間同士で冗長管理
• 端末とクラウドサービスとの通信や、クラウドサービス間の通信を暗号化。更にクラウド上に保存される際に暗号化
• ISO 27001や27017などの情報セキュリティに関するISO基準に準拠
• クラウド情報セキュリティ監査制度のゴールドマークを取得

では1つ1つ、もう少し詳しくご紹介しましょう。

2.データセンター内／同士で冗長管理されている日本データセンター

日本データセンターは東日本、西日本の2か所に分けられています。
顧客データはデータセンター内で冗長管理されているだけでなく、データセンター同士でも冗長管理されています。

もちろん、これらのデータセンターへの物理的なセキュリティ（運用センターによる24時間体制の徹底的なビデオ監視や、サーバーラックの固定、多要素アクセス制御、自然災害等のリスクを最小限に抑えるための様々なセーフガード、危機管理計画など...）もきちんと対策を講じられています。詳細については以下のリンク先でも詳しくご確認いただけます。
[Microsoft Docs]データセンターのセキュリティの概要

そのため、災害などで片方のデータセンターが利用できなくなってしまった場合も、もう片方のデータセンターを経由してMicrosoft 365/Office 365を利用できるように対策されています。

自社内にオンプレミスでサーバーを建てて運用するという従来のやり方と比べると、そもそも自社でMicrosoftが講じているレベルのセキュリティ対策を実施することは通常の企業にとっては非常にコストがかかる上に、BCP対策（事業継続計画）を考えると、どうしても柔軟性に欠けてしまうのではないでしょうか。クラウドサービスだからこそ安全に利用できる環境が整っていると言っても良いでしょう。

3.通信と保存されるデータの暗号化

(1) 通信の暗号化

Microsoft 365(Office 365)では、端末とクラウドサービスとの通信や、クラウドサービス間の通信を暗号化しています。クラウドサービス間の暗号化は、Microsoft社クラウドサービス同士の間(TLS または IPsec を使用)、Microsoft社以外のクラウドサービスとの間(TLS を使用)のどちらの通信も暗号化しています。
使用されているTLSのバージョン、前方秘密(FS)が有効かどうか、暗号スイートの順序など、すべての実装の詳細が一般に公開されており、Qualys SSL Labs などwebサイトを使用して詳細を確認することもできます。通信の暗号化について、詳しくは下記のMicrosoftのURLも併せてご参照ください。

[Microsoft Docs]転送中のデータの暗号化

(2) 保存されるデータの暗号化

SharePoint Online/OneDrive for Businessに保存されるドキュメントなどのデータやExchange Onlineメール・添付ファイルのデータは、それぞれのサービスに保存される際に暗号化されます。

[Microsoft Docs]暗号化

4.情報セキュリティに関するISO基準

Microsoft 365(Office 365)は、ISO 27001や27017などの情報セキュリティに関するISO基準を満たしています。

• [Microsoft Docs]ISO/IEC 27001:2013 情報セキュリティ管理基準
• [Microsoft Docs]ISO/IEC 27017:2015 情報セキュリティ コントロールの実施基準

• ※ ISO/IEC 27001とは(引用：JQA 日本品質保証機構 ISO/IEC 27001)
  情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。
• ※ ISO/IEC 27017とは（引用：JQA 日本品質保証機構 ISO/IEC 27017(クラウドサービスセキュリティ) ）
  クラウドサービスに関する情報セキュリティ管理策のガイドライン規格です。情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取り組みをISO/IEC 27017で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。また、ISO/IEC 27001とISO/IEC 27017の両方の認証を取得することで、クラウドサービスセキュリティへの堅実な取り組みを対外的にアピールすることができます。

5.クラウド情報セキュリティ監査制度のゴールドマークを取得

日本マイクロソフト社は、日本セキュリティ監査協会 JASA-クラウドセキュリティ推進協議会が制定した「クラウド情報セキュリティ監査制度」において、クラウドセキュリティゴールドマークを取得しています。

• [Microsoft News Center]日本初のクラウドセキュリティ ゴールドマークを取得(2016年2月10日)

まとめ

いかがでしたか？今回は、Officeアプリケーションやメール・スケジュール、ウェブ会議、ファイルストレージ・共有機能などのグループウェアをクラウドから提供するMicrosoft 365（Office 365）をMicrosoft社が提供するにあたって、どのようなセキュリティ対策を講じているのかをご紹介しました。クラウドサービスであるMicrosoft 365に対する「なんとなくの不安」は解消されましたか？

この他、法人でのMicrosoft 365導入時（導入前）のご相談は、Microsoft 365相談センターまでお気軽にお問い合わせください。
Microsoft 365の専任スタッフが皆さまからのお問い合わせやご相談に丁寧に回答いたします。

• ※ 導入後のお問い合わせは、販売店さま、もしくは購入後の問い合わせ窓口までお願いいたします。

それではまた、次回のブログでお会いいたしましょう！