この記事では、オーストラリア政府機関に関連する Microsoft 365 暗号化機能の概要について説明します。 その目的は、政府機関が 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件に従いながら、データ セキュリティの成熟度を高めるのに役立ちます。
暗号化は情報保護戦略の重要な部分であり、データが適切に保護されるように理解する必要があります。 Microsoft 365 では、複数の暗号化レイヤーが採用されています。 これらの一部は、 Microsoft データセンターでの BitLocker 暗号化 や、 クライアントとサーバー間の通信に対する SSL/TLS 暗号化など、生まれつきです。 その他の暗号化機能を管理者が有効にして、保護をさらに拡張できます。
オーストラリア政府の暗号化要件
PSPF には、転送中の情報の暗号化に関する要件が含まれています。 これらの要件は、 保護セキュリティ ポリシー フレームワーク (PSPF) のセクション 9.3 で確認できます。 これらの要件のサブセットは次のとおりです。
| 分類 | 要件 |
|---|---|
| 保護 | PROTECTED (またはそれ以上) ネットワークを使用します。それ以外の場合は暗号化が必要です。 |
| OFFICIAL: Sensitive | OFFICIAL: 機密 (またはそれ以上) のネットワークを使用します。 パブリック ネットワーク インフラストラクチャまたはセキュリティで保護されていないスペースを介して転送された場合に暗号化します。 |
| 公式 | 特にパブリック ネットワーク インフラストラクチャ経由で通信される情報については、暗号化をお勧めします。 |
Microsoft 365 サービスは、Microsoft 365 プラットフォームの保存データと、既定で Microsoft 365 とエンドポイント間の転送中のデータの暗号化を提供します。 これらの既定の構成では、暗号ブロック チェーン モード (AES256-CBC) で 256 ビット のキー長を持つ Advanced Encryption Standard (AES) が使用されます。 これらの機能は、次の ISM 要件に沿っています。
| 要件 | 詳細 |
|---|---|
| ISM セキュリティ制御: ISM-1769 (ISM March 2025) | 暗号化にAESを使用する場合は、AES-128、AES-192またはAES-256が使用され、好ましくはAES-256である。 |
Microsoft 365 で使用される暗号化の詳細については、「 暗号化」を参照してください。
暗号化機能の拡張
オーストラリア政府機関が Microsoft 365 の既定の暗号化機能を拡張するために使用できるオプションの方法は次のとおりです。
- セキュリティに分類された電子メールのトランスポート層セキュリティ (TLS) の適用
- ファイルと電子メールへの Azure Rights Management 暗号化の適用
- Microsoft Purview Message Encryptionを使用した電子メールの暗号化
次の表では、Microsoft 365 の生来の暗号化機能を拡張するオプションの方法と、このガイドの関連セクションへのリンクについて説明します。
| 要件カテゴリ | 達成方法 |
|---|---|
| 転送中の暗号化 | TLS 暗号化は、転送中、およびクライアント デバイスと Microsoft 365 サービス間の対話中に、Microsoft 365 のファイルと電子メールに適用されます。 ただし、電子メール送信の場合、TLS は日和見的であり、適用されません。 送信者と受信者の両方のメール プラットフォームで TLS がサポートされている場合、電子メールは安全に転送されます。 受信者のメール サービスが TLS をサポートしていない場合、電子メールが暗号化されていない形式で送信され、コンテンツの傍受のリスクが高くなる可能性があります。 セキュリティで分類されたメールに TLS 暗号化を適用することで、受信サーバーが TLS 暗号化をサポートしていない状況でセキュリティで分類されたアイテムが送信されないように Exchange を構成できます。 - 秘密度ラベルの暗号化 は、ファイルと電子メールの両方に適用するように構成できます。 アイテムが暗号化されると、転送中に暗号化が行われ、転送の暗号化要件が確実に満たされます。 - Microsoft Purview Message Encryption (PME) を使用すると、送信中に電子メールと添付ファイルに暗号化を適用するルールを作成できます。 この暗号化は、Microsoft 365 環境間の電子メールに対してシームレスであり、受信者を カスタム ブランドの暗号化ポータルに誘導することで、Microsoft 以外のメール プラットフォームへの保護を拡張できます。 |
| 知る必要があることを確認する |
秘密度ラベル暗号化 を使用すると、暗号化された情報にアクセスできるユーザーまたはグループを構成できます。 これにより、承認されていないユーザー アクセスをブロックすることで、知る必要をより適切に制御できます。 ラベル暗号化を使用すると、印刷を制限する機能など、アイテムへのアクセス許可を適用することもできます。これにより、情報へのアクセスを制限する機能が向上します。 - Microsoft Purview Message Encryptionでは、指定した受信者のみが暗号化された電子メールとその添付ファイルを開くことができます。 |
| セキュリティクリアランスを確保する | 秘密度ラベルの暗号化 を使用すると、暗号化された項目にアクセスする機能をセキュリティ グループに関連付けることができます。 これらのグループは、適切なセキュリティ クリアランスを持つユーザーのみを含めるために、手動または動的に構成できます。 この方法は、クリアランスが評価されたゲストを承認されたユーザーのグループに含めることができるので、ゲスト ユーザーにも拡張できます。 |
このセクションの残りの記事 では、TLS 暗号化 と 秘密度ラベルの暗号化 に関する記事で、これらの機能の実装についてさらに詳しく説明します。