可用性キーは、データ暗号化ポリシー (DEP) を作成するときに自動的に生成され、プロビジョニングされるルート キーです。 Microsoft 365 は、このキーを格納して保護します。
可用性キーは、Customer Key に指定する 2 つのルート キーと同様に機能します。 キー階層の下位の 1 層のキーがラップされます。 Azure Key Vaultで管理するキーとは異なり、可用性キーに直接アクセスすることはできません。 Microsoft 365 自動サービスは、プログラムによって管理および使用します。
その主な目的は、管理するルート キーの予期しない損失からの回復をサポートすることです (たとえば、管理ミスや悪意のあるアクションなど)。 ルート キーの制御が失われる場合は、Microsoft サポートに問い合わせて、可用性キーを使用して暗号化されたデータを回復し、プロビジョニングした新しいルート キーを使用して新しい DEP に移行します。
可用性キーは、次の 3 つの方法で Azure Key Vault キーとは異なります。
- Azure Key Vault キーの両方が失われた場合は、復旧または中断オプションが提供されます。
- 制御とストレージの論理的な分離により、多層防御が強化され、1 つの障害によるキーまたはデータの完全な損失を防ぐことができます。
- これは、Exchange またはマルチワークロード サービスの暗号化に関する一時的な Azure Key Vault アクセスの問題の間の高可用性をサポートします。 SharePoint と OneDrive では、要求した明示的な復旧中にのみ可用性キーが使用されます。
Microsoft は、階層化されたキー管理の保護とプロセスを通じてデータを保護する責任を共有します。 この方法により、永続的なキーまたはデータの損失のリスクが軽減されます。 サービスを終了する場合は、可用性キーを無効または破棄する唯一の権限があります。 設計上、Microsoft の誰も可用性キーに直接アクセスできません。Microsoft 365 サービス コードのみが使用できます。
Microsoft がキーをセキュリティで保護する方法の詳細については、 Microsoft セキュリティ センターに関するページを参照してください。
可用性キーの使用
可用性キーは、外部の攻撃者または悪意のある内部関係者がキー コンテナーを制御したり、管理ミスによってルート キーが失われたりした場合の回復をサポートします。 この回復機能は、カスタマー キーをサポートするすべての Microsoft 365 サービスに適用されます。 一部のサービスでは、限られた高可用性シナリオにも使用されます。
共有動作:
- 回復: 新しい DEP と新しいカスタマー キーを使用してデータを再暗号化できるように、データの暗号化解除をサポートします。
- プログラムによる使用のみ: Access は Microsoft 365 サービス コードを通じて行われます。 直接管理者アクセスはありません。
- 運用キーに代わるものではありません:2 つのカスタマー キーはプライマリ暗号化ルートのままです。
ワークロード別のサービス動作:
復旧に加えて、サービスは短時間の Azure Key Vault停止またはネットワーク エラーの間に可用性キーを使用します。 この機能により、メールボックス データに必要なバックグラウンド タスクにアクセスできます。
- マルウェア対策とウイルス対策スキャン
- 電子情報開示
- Microsoft Purview データ損失防止
- メールボックスの移動
- インデックス作成
1 つのカスタマー キーでラップ解除しようとするとシステム エラーが返された場合、Exchange は 2 番目のキーを試みます。 両方の試行がシステム エラーで失敗した場合は、可用性キーにフォールバックします。 アクセスが拒否されたエラーは、ユーザーアクションに対してトリガーされません。
可用性キーのセキュリティ
Microsoft は、可用性キーを生成し、データを保護するための厳格な制御を適用することで、データを保護する責任を共有します。
お客様は可用性キーに直接アクセスできません。 たとえば、Azure Key Vaultで管理するキーのみをロールできます。 Microsoft は、ユーザーに公開することなく、自動化されたサービス コードを通じて可用性キーを管理します。
詳細については、「 カスタマー キーまたは可用性キーをロールまたはローテーションする」を参照してください。
可用性キー シークレット ストア
Microsoft は、Azure Key Vaultと同様に、アクセス制御された内部シークレット ストアの可用性キーを保護します。 アクセス制御を使用すると、Microsoft 管理者は格納されているシークレットを直接取得できなくなります。 すべての操作 (ローテーションと削除を含む) は、自動サービス コードによって行われます。
管理操作は特定のエンジニアに限定され、Lockbox を介して特権エスカレーションが必要です。 要求には正当な理由が含まれている必要があります。マネージャーは承認され、期限切れまたはサインアウト時に自動的に取り消されます。
Exchange とマルチワークロードの可用性キーは、Active Directory ドメイン コントローラーのテナント固有のコンテナー内の Exchange Active Directory シークレット ストアに格納されます。 このストアは、SharePoint と OneDrive で使用されるストアから分離されています。
SharePoint と OneDrive の可用性キーは、アプリケーション エンドポイントとSQL Databaseバックエンドを提供するフロントエンド サーバーを備えた内部シークレット ストアに格納されます。 キーは、AES-256 と HMAC を使用するシークレット ストア暗号化キーでラップされます。 これらのキーは、論理的に分離されたデータベース領域に格納され、Microsoft 証明機関 (CA) によって発行された RSA-2048 証明書を使用してさらに暗号化されます。 証明書は、データベース操作を実行するフロントエンド サーバーに格納されます。
多層防御
Microsoft では、Microsoft クラウドに格納されている顧客データの機密性、整合性、または可用性を悪意のあるアクターが侵害するのを防ぐために、多層防御戦略を使用します。 この階層化されたセキュリティ アプローチの一部として、シークレット ストアと可用性キーを保護するための特定の予防および探偵コントロールが用意されています。
Microsoft 365 は、可用性キーの誤用を防ぐために設計されています。 アプリケーション層は、暗号化と暗号化解除にキー (可用性キーを含む) を使用できる唯一のインターフェイスです。 キー階層を解釈して走査できるのは、Microsoft 365 サービス コードだけです。 カスタマー キー、可用性キー、その他の階層キー、顧客データのストレージの場所の間には、論理的な分離が存在します。 この分離により、場所が侵害された場合のデータ公開のリスクが軽減されます。 キー階層内の各レイヤーには、格納されているデータとシークレットを保護するための継続的な侵入検出が含まれています。
アクセス制御により、可用性キー シークレット ストアを含む内部システムへの未承認のアクセスが防止されます。 Microsoft エンジニアは、これらのストアに直接アクセスできません。 詳細については、「 Microsoft 365 の管理アクセス制御」を参照してください。
また、技術的な制御により、Microsoft の担当者が特権の高いサービス アカウントにサインインすることもできなくなります。これにより、攻撃者は Microsoft サービスの偽装に使用する可能性があります。 これらのコントロールは、対話型サインイン試行をブロックします。
セキュリティログと監視は、Microsoft の多層防御アプローチの他の保護手段です。 サービス チームは、アラートと監査ログを生成する監視ソリューションをデプロイします。 すべてのログは中央リポジトリにアップロードされ、そこで集計および分析されます。 内部ツールは、これらのレコードを自動的に評価して、サービスが安全で回復性があり、期待どおりに動作し続けられるようにします。 通常とは異なるアクティビティには、レビューのフラグが設定されます。
Microsoft セキュリティ ポリシーの違反の可能性を示すイベントは、Microsoft セキュリティ チームにエスカレートされます。 Microsoft 365 セキュリティ アラートは、可用性キー シークレット ストアへのアクセス試行と、アカウントへの未承認のサインイン試行を検出するように構成されています。 また、システムは、予想されるベースライン サービス動作からの逸脱も検出します。 Microsoft 365 サービスを悪用しようとするとアラートがトリガーされ、違反者が Microsoft Cloud 環境から削除される可能性があります。
可用性キーを使用してキーの損失から回復する
カスタマー キーの制御を失った場合、可用性キーを使用すると、影響を受けるデータを復号化し、新しいカスタマー キーを使用して新しい DEP で再暗号化できます。
- 別の Azure サブスクリプションに 2 つの新しい顧客キーを作成します。
- 新しい Exchange DEP を作成します。
- 影響を受けるメールボックスに DEP を割り当てます。
- バックグラウンドでの再暗号化を許可します (最大 72 時間かかることがあります)。 可用性キーは、移行中にデータを保護します。
可用性キーの使用方法
Customer Key を使用してデータ暗号化ポリシー (DEP) を作成すると、Microsoft 365 はそのポリシーに関連付けられた DEP キーを生成します。 サービスは、DEP キーを 3 回暗号化します。各顧客キーで 1 回、可用性キーを使用して 1 回暗号化します。 DEP キーの暗号化されたバージョンのみが格納されます。 DEP キーは、いずれかのカスタマー キーまたは可用性キーでのみ復号化できます。
DEP キーは、メールボックス キーを暗号化するために使用されます。これにより、個々のメールボックスが暗号化されます。
Microsoft 365 では、次のプロセスを使用して、メールボックス データの暗号化を解除し、アクセスを提供します。
- 顧客キーを使用して DEP キーの暗号化を解除します。
- 暗号化解除された DEP キーを使用して、メールボックス キーの暗号化を解除します。
- 暗号化解除されたメールボックス キーを使用してメールボックスの暗号化を解除し、データへのアクセスを提供します。
可用性キー トリガー
Microsoft 365 では、特定の状況でのみ可用性キーがトリガーされ、それらの状況はサービスによって異なります。
Microsoft 365 は、メールボックス操作に DEP キーが必要な場合、次の手順に従います。
- メールボックスに割り当てられたデータ暗号化ポリシー (DEP) を読み取り、Azure Key Vaultに格納されている 2 つのカスタマー キーを識別します。
- 2 つのキーのいずれかをランダムに選択し、DEP キーのラップ解除 (復号化) を行う要求を Azure Key Vaultに送信します。
- その要求が失敗した場合、代替キーを使用して 2 番目の要求が送信されます。
- 両方の要求が失敗した場合、Microsoft 365 はエラーの種類を評価します。
- システム エラー (たとえば、Azure Key Vault サービスが利用不可、タイムアウト、一時的なネットワーク障害): 可用性キーを使用して DEP キーのラップを解除します。 その後、DEP キーによってメールボックス キーの暗号化が解除され、サービスによって操作が完了します。
- アクセス拒否エラー (消去プロセス中に削除されたキー、アクセス許可の削除、意図的な削除、または偶発的な削除): 可用性キーは、ユーザーが開始したアクションには使用されません。 ユーザー要求が失敗し、エラーが返されます。
重要
サービス コードは、必要な内部処理に有効なトークンを保持します。 可用性キーを削除するまで、内部 Exchange 操作 (メールボックスの移動、インデックス作成、ウイルス対策スキャン、電子情報開示、DLP など) は、両方のカスタマー キーに到達できない場合でも、原因がシステム エラーであったかアクセスが拒否されたかに関係なく、可用性キーにフォールバックできます。 この設計は、調査中にサービスの回復性を維持するのに役立ちます。
監査ログと可用性キー
自動バックグラウンド処理 (ウイルス対策、電子情報開示、DLP、インデックス作成) では、顧客に表示されるログは生成されません。Microsoft の担当者は、通常の操作中にデータにアクセスしません。
Exchange が可用性キーにアクセスしてサービスを提供すると、Microsoft 365 は顧客に表示されるログを作成します。 これらのログには、Microsoft Purview ポータルからアクセスできます。 サービスが可用性キーを使用するたびに、監査ログ エントリが生成されます。
フォールバック イベント では、統合監査ログ エントリが作成されます 。
- レコードの種類: CustomerKeyServiceEncryption
- アクティビティ: 可用性キーへのフォールバック
フィールドには、日付、時刻、アクティビティ、organization ID、DEP ID、ポリシー ID、スコープ キー バージョン ID、要求 ID (管理アクティビティの共通スキーマ) が含まれます。
ログの詳細内で、 Workload フィールドに Exchangeが表示されます。
カスタマー キー階層の可用性キー
Microsoft 365 では、可用性キーを使用して、その下のキーの層をカスタマー キー暗号化階層にラップします。 各サービスには、異なるキー階層があります。 キー アルゴリズムは、可用性キーと階層内の他のキーによっても異なります。
各サービスで使用される可用性キー アルゴリズムは次のとおりです。
- Exchange 可用性キーは AES-256 を使用します。
- マルチワークロード可用性キーは AES-256 を使用します。
- SharePoint と OneDrive の可用性キーでは、RSA-2048 が使用されます。
Exchange のキーを暗号化するために使用される暗号化暗号
SharePoint のキーを暗号化するために使用される暗号化暗号
