How OneDrive protects your data
Microsoftエンジニアは2要素認証を必要とするWindows PowerShellコンソールを使ってOneDriveを管理する。 新しい状況に迅速に対応できるよう、ワークフローを実行することで日々のタスクを実行します。 エンジニアが常時アクセスすることはありません。 エンジニアがアクセスする必要があるときは、リクエストする必要があります。
さらに、OneDrive と Office 365 では、個人情報漏洩の可能性を低減し、漏洩が発生した場合にその結果を迅速に検知して緩和するために、システム、プロセス、および人材に強力に投資しています。 この分野への投資の例としては、
アクセス制御システム。 これは、アクセスの昇格を必要とする特定のインシデントに対応して明示的に許可されない限り、エンジニアがサービスにアクセスできないことを意味します。 アクセスが許可される場合は常に最小特権の原則に基づいて行われます。特定のリクエストに対して許可されるのは、そのリクエストに対応するために必要な最小限のアクションのみです。 このため、OneDriveとOffice 365は「昇格ロール」間の厳格な分離を維持し、各ロールは特定の事前定義されたアクションのみを許可しています。 顧客データへのアクセス」ロールは、サービスの管理によく使用される他のロールとは区別され、承認前に最も厳しく精査されます。 これらを総合すると、アクセス制御に対するこれらの投資は、OneDrive または Office 365 のエンジニアが顧客データに不適切にアクセスする可能性を大幅に低減します。
セキュリティ監視システムおよび自動化。 OneDrive と Office 365 は、堅牢でリアルタイムのセキュリティ監視システムを維持しています。 特に、これらのシステムは、顧客データに不正にアクセスしようとしたり、データを当社のサービスから不正に転送しようとしたりすると、アラートを発します。 上記のアクセス制御に関する点に関連して、当社のセキュリティ監視システムは、行われた昇格要求と、特定の昇格要求に対して取られた措置の詳細な記録を保持しています。 また、OneDriveとOffice 365は、検出した問題に対して自動的に脅威を軽減する自動解決投資と、自動解決できないアラートへの対応専門チームを保持しています。 当社のセキュリティ監視システムを検証するため、OneDriveとOffice 365は、内部の侵入テストチームが本番環境に対して攻撃者の行動をシミュレートするレッドチーム演習を定期的に実施しています。 これらの演習により、当社のセキュリティ監視および対応能力が定期的に改善されています。
人員とプロセス。 上記の自動化に加えて、OneDrive と Office 365 は、プライバシーとインシデント管理のプロセスについて組織全体を教育することと、侵害時にそれらのプロセスを実行することの両方に責任を負うプロセスとチームを維持しています。 たとえば、プライバシー侵害に関する詳細な標準作業手順書 (SOP) が整備され、組織全体のチームと共有されています。 このSOPには、OneDriveとOffice 365内の個々のチームと、集中セキュリティインシデント対応チームの両方の役割と責任が詳細に記述されています。 このSOPには、各チームが自らのセキュリティ姿勢を改善するために必要なこと(セキュリティレビューの実施、中央セキュリティ監視システムとの統合、その他のベストプラクティス)と、実際の侵害発生時にチームが行うべきこと(インシデント対応への迅速なエスカレーション、対応プロセスを迅速に進めるために使用する特定のデータソースを維持・提供)の両方が記載されています。 また、チームは、データの分類、個人データの正しい取り扱いと保存手順について定期的にトレーニングを受けています。
主な要点は、OneDrive と Office 365 は、コンシューマー プランとビジネス プランの両方で、顧客に影響を与える個人データの侵害の可能性と結果を減らすために強く投資しているということです。 個人データの侵害が発生した場合、その侵害が確認された時点で、顧客に迅速に通知することを約束します。