クラウドのデータを OneDrive で安全に保護する方法

データを保護する方法

ここでは、OneDrive でのファイルの保護に役立ついくつかの方法について説明します。

• 強力なパスワードを作成します。 パスワードの強度を確認してください。

• Microsoft アカウントにセキュリティ情報を追加します。 電話番号、代替メール アドレス、セキュリティ上の質問と回答などの情報を追加できます。 これによって、パスワードを忘れるか、アカウントがハックされた場合に、Microsoft で ID を確認し、アカウントの復帰を支援するためにセキュリティ情報を使うことができます。 [セキュリティ情報] ページにアクセスします。

• 2 要素認証を使用します。 これによって、信頼されていないデバイスでサインインするときに常に追加セキュリティ コードの入力を求めることで、アカウントを保護するのに役立ちます。 2 番目の要素は、電話、テキスト メッセージ、アプリのいずれかで作成できます。 2 段階認証の詳細については、「Microsoft アカウントで 2 段階認証を使用する方法」を参照してください。

• モバイル デバイスで暗号化を有効にします。 OneDrive モバイル アプリをお持ちの場合は、iOS または Android デバイスで暗号化を有効にすることをお勧めします。 これは、モバイル デバイスの紛失、盗難、または誰かがアクセスした場合に、OneDrive ファイルを保護するのに役立ちます。

• Microsoft 365 を購読します。 Microsoft 365 サブスクリプションを使用すると、ウイルスやサイバー犯罪からの 高度な保護 と、悪意のある攻撃からファイルを回復する方法が提供されます。

OneDrive がデータを保護する方法

Microsoft のエンジニアは、2 要素認証を必要とする Windows PowerShell コンソールを使用して OneDrive を管理します。 新しい状況に迅速に対応できるように、ワークフローを実行して日常のタスクを行います。 エンジニアはサービスにスタンディング アクセスできません。 エンジニアがアクセスを必要とするとき、彼らはそれを要求しなければなりません。 適格性がチェックされ、エンジニアのアクセスが承認された場合、それは限られた時間のみです。

さらに、OneDrive と Office 365 は、システム、プロセス、および人員に強力に投資して、個人データ侵害の可能性を減らし、侵害が発生した場合の結果を迅速に検出して軽減します。 この分野への投資には次のものがあります。

アクセス制御システム: OneDrive と Office 365 は、"ゼロスタンディング アクセス" ポリシーを維持しています。つまり、アクセスの昇格が必要な特定のインシデントに対応して明示的に許可されない限り、エンジニアはサービスにアクセスできません。 アクセスが許可されるときは常に、最小特権の原則の下で行われます。特定の要求に付与されたアクセス許可は、要求するサービスに必要なアクションの最小セットのみを許可します。 これを行うために、OneDrive と Office 365 は、"昇格の役割" を厳密に分離し、各役割は特定の事前定義されたアクションのみを実行できるようにします。 "顧客データへのアクセス" の役割は、サービスの管理に一般的に使用される他の役割とは異なり、承認前に最も綿密に精査されます。 これらを総合すると、アクセス制御へのこれらの投資により、OneDrive または Office 365 のエンジニアが顧客データに不適切にアクセスする可能性が大幅に減少します。

セキュリティ監視システムと自動化: OneDrive と Office 365 は、堅牢なリアルタイムのセキュリティ監視システムを維持しています。 その他の問題の中でも、これらのシステムは、顧客データへの不正アクセスの試み、またはサービスからのデータの不正転送の試みに対してアラートを生成します。 上記のアクセス制御に関するポイントに関連して、セキュリティ監視システムは、行われた昇格要求の詳細な記録、および特定の昇格要求に対して実行されたアクションを保持します。 OneDrive と Office 365 は、検出した問題に対応して脅威を軽減するように自動的に機能する自動解決への投資と、自動的に解決できないアラートに対応するための専用チームも保持しています。 セキュリティ監視システムを検証するために、OneDrive と Office 365 は、内部侵入テスト チームがライブ環境に対する攻撃者の行動をシミュレートするレッド チーム演習を定期的に実施しています。 これらの演習により、セキュリティの監視および応答機能が定期的に改善されます。

人員とプロセス: 上記の自動化に加えて、OneDrive と Office 365 は、プライバシーとインシデント管理プロセスについてより広範な組織を教育し、違反時にそれらのプロセスを実行する責任を負うプロセスとチームを保持します。 たとえば、詳細なプライバシー侵害の標準運用手順 (SOP) が維持され、組織全体のチームと共有されます。 この SOP では、OneDrive と Office 365 内の個々のチームと、一元化されたセキュリティ インシデント対応チームの両方の役割と責任について詳しく説明します。 これらは、自身のセキュリティ体制を改善するためにチームが行う必要があること (セキュリティ レビューの実施、中央のセキュリティ監視システムとの統合、およびその他のベスト プラクティス) と、実際の違反が発生した場合にチームが行う必要があること (インシデント対応への迅速なエスカレーション、対応プロセスを促進するために使用される特定のデータ ソースの維持および提供) の両方に及びます。 チームはまた、データの分類、および個人データの正しい処理と保存手順について定期的にトレーニングを受けています。

主なポイントは、OneDrive と Office 365 は、消費者プランとビジネス プランの両方で、顧客に影響を与える個人データ侵害の可能性と結果を減らすことに強力に投資していることです。 個人データ侵害が発生した場合、その違反が確認され次第、お客様に迅速に通知することをお約束します。 

転送中および保管中の保護

高可用性、常に回復可能

データセンターは、地域内に分散しており、耐障害性があります。 データは、互いに少なくとも数百マイル離れた少なくとも 2 つの異なる Azure リージョンにミラーリングされるため、リージョン内の自然災害や損失の影響を軽減できます。

継続的に検証

データセンターを常に監視して、正常性と安全性を維持します。 これはインベントリから始まります。 インベントリ エージェントは、各マシンの状態キャプチャを実行します。

インベントリを作成したら、マシンの正常性を監視および修正できます。 継続的デプロイにより、各マシンがパッチ、更新されたアンチウイルス シグネチャ、保存された既知の適切な構成を確実に受信します。 デプロイメント ロジックにより、一度に特定の割合のマシンにのみパッチを適用またはローテーションすることができます。

Microsoft 内の Microsoft 365 "レッド チーム" は、侵入スペシャリストで構成されています。 彼らは、不正アクセスをする機会を探します。 "ブルー チーム" は、予防、検出、回復に重点を置く防衛エンジニアで構成されています。 彼らは侵入検知および応答技術を構築します。 Microsoft のセキュリティ チームの学習についていくには、「セキュリティ Office 365 (ブログ)」を参照してください。

追加の OneDrive セキュリティ機能

クラウド ストレージ サービスとして、 OneDrive には他にも多くのセキュリティ機能があります。 次のようなものがあります。

• 既知の脅威に対するダウンロード時のウイルス スキャン - Windows Defender マルウェア対策エンジンは、ダウンロード時にドキュメントをスキャンして、AV 署名に一致するコンテンツを探します (1 時間ごとに更新)。

• 疑わしいアクティビティの監視 - アカウントへの不正アクセスを防ぐために、OneDrive は疑わしいサインインの試行を監視してブロックします。 さらに、新しいデバイスや場所からのサインインの試みなど、異常なアクティビティが検出された場合は、メール通知を送信します。

• ランサムウェアの検出と回復 - Microsoft 365 サブスクライバーとして、OneDrive がランサムウェアまたは悪意のある攻撃を検出するとアラートが送信されます。 攻撃から最大 30 日後まで、影響を受ける前の時点にファイルを簡単に復元できます。 また、悪意のある攻撃や、ファイルの破損、誤った削除や編集などの他の種類のデータの損失から最大 30 日後に OneDrive 全体を復元することもできます。

• すべてのファイルの種類のバージョン履歴 - 不要な編集や誤った削除が発生した場合は、削除したファイルを OneDrive のごみ箱から復元するか、OneDrive で以前のバージョンのファイルを復元できます。

• パスワード保護と共有リンクの有効期限 - Microsoft 365 サブスクライバーは、共有ファイルにアクセスするためにパスワードを要求するか、共有リンクに有効期限を設定することで、共有ファイルをより安全に保つことができます。

• 大量のファイル削除の通知と回復 - OneDriveクラウド バックアップ内の多数のファイルを誤ってまたは意図的に削除した場合は、警告が表示され、それらのファイルを回復する手順が提供されます。

個人用 Vault

OneDrive Personal Vault は、 OneDrive の保護された領域であり、強力な認証方法、または指紋、顔、PIN、電子メールや SMS 経由で送信されたコードなどの ID 検証の 2 番目の手順でのみアクセスできます。¹ 個人用 Vault 内でロックされているファイルは、追加のセキュリティ層を持ち、誰かがアカウントやデバイスにアクセスを試みた場合でもファイルはより安全に保護されます。 個人用 Vault は、PC、OneDrive.com、および OneDrive モバイル アプリで利用でき、次の機能も含まれています。

• 個人用 Vault に直接スキャンする - OneDrive モバイルアプリを使用すると、撮影した写真、または撮影した動画を個人用 Vault に直接取り込むことが可能になり、カメラ ロールなどの、デバイスの安全性の低い場所に保存せずにすみます。² 重要な旅行、ID、車両、自宅、保険の書類を直接個人用 Vault にスキャンすることもできます。 また、どこにいても、デバイスを超えて、これらの写真やドキュメントにアクセスできます。

• BitLocker 暗号化 - Windows 10 PC では、OneDrive が個人用 Vault ファイルをローカル ハード ドライブの BitLocker 暗号化領域に同期します。

• 自動ロック - 個人用 Vault は、短期間の非アクティブ状態の後、PC、デバイス、またはオンラインで自動的に再ロックします。 ロックされると、使用していたファイルもロックされ、アクセスするには再認証が必要になります。³

これらの対策を組み合わせることで、Windows 10 PC またはモバイル デバイスを紛失したり、盗まれたり、誰かがアクセスしたりした場合でも、ロックされた個人用 Vault ファイルを保護できます。

¹ 顔と指紋の検証には、Windows Hello 対応デバイス、指紋リーダー、照光式 IR センサー、またはその他の生体認証センサーと対応デバイスを含む特殊なハードウェアが必要です。
² Android と iOS の OneDrive アプリには、Android 6.0 以降または iOS 12.0 以降が必要です。
³ 自動ロック間隔はデバイスによって異なり、ユーザーが設定できます。

補足説明