Microsoft 365を利用して国境を越えて共有されるファイルを暗号化する方法
Microsoft 365を利用した国境を越えたファイル共有の暗号化を確実にする方法
組織がグローバルに展開し、ハイブリッドワークを導入する中で、国境を越えたファイル共有のセキュリティは機密データを守る上で不可欠です。Microsoft 365は分散チームの生産性を高める強力なツールですが、この環境でファイルを適切に暗号化して共有するには、デフォルト設定に頼るだけでは不十分です。特に、異なる規制が存在する国同士でデータが移動する場合は注意が必要です。
本記事では、IT・セキュリティ・コンプライアンス担当者向けに、Microsoft 365を活用した国境を越えたコラボレーションにおいて、暗号化を最大化し、リスクを最小化し、コンプライアンスを効率化するためのステップバイステップのアプローチを解説します。暗号化プロトコルの理解や高度な制御設定、組み込み機能の活用、ユーザー教育まで、どこでどのようにファイルが共有されても、機密性・完全性・可用性を維持する方法が分かります。
エグゼクティブサマリー
主なポイント:Microsoft 365の暗号化、ラベリング、アクセス制御を適切に設定・管理し、国境を越えて共有されるファイルも暗号化とコンプライアンスを維持できるようにしましょう。
なぜ重要か:国境を越えた共有はデータ主権、データプライバシー、侵害リスクを高めます。暗号化とデータガバナンスを正しく実施することで、知的財産を保護し、グローバルな安全なコラボレーションを加速し、データコンプライアンスの負担を軽減できます。
主なポイント
-
感度ラベルによる保護の自動化。ラベルを設定して暗号化やアクセスルールを国境を越えて適用し、手作業によるミスを減らし、多国籍コラボレーションでも一貫した保護を実現します。
-
主権確保にはカスタマー管理キーを活用。Azure Key Vaultに地域内で鍵を保管し、レジデンシー要件を満たし、迅速な鍵ローテーションや暗号鍵の所有権維持を実現します。
-
外部共有制御の強化。本人確認を必須とし、機密データには「誰でもリンク」を無効化、時間制限付き権限を設定して、国境を越えたアクセスを限定・可監査化します。
-
地理情報対応ポリシーとアクセスの徹底。DLP、条件付きアクセス、管理者ポリシーを活用し、国境を越えるシナリオや高リスク地域・外部宛先で暗号化や多要素認証を強制します。
-
監査と教育でセキュリティを維持。定期的なレビューとユーザー教育により、誤分類を減らし、設定の有効性を保ち、各国の規制変化にも対応したコンプライアンスを維持します。
戦略的概要
グローバル企業にとって、暗号化されたファイル共有の最適解は、シームレスな使いやすさとエンタープライズレベルのセキュリティ、規制コンプライアンス、中央集権的なガバナンスを兼ね備えたものです。
Microsoft 365は、統合された暗号化機能と高度な鍵管理オプションにより、積極的な設定・運用を行うことでこれらの要件を満たします。
適切な制御とベストプラクティスを導入することで、組織は大陸やチームをまたいだ安全なファイル共有を、生産性やコンプライアンスを損なうことなく実現できます。
データ主権や地域ごとの鍵配置、地理情報に基づくアクセス制御など、国境を越えた運用に関する考慮事項は、最初から設定・ガバナンスに組み込むべきです。
業界別で最適なセキュアなファイル共有の活用例は?
Read Now
Microsoft 365における暗号化
暗号化はMicrosoft 365におけるセキュアなファイル共有の基盤です。このエコシステムでは、保存中(Microsoftのサーバー上)と転送中(ユーザーやデバイス間)の両方のデータが暗号化されます。
Microsoft 365は保存データにAdvanced Encryption Standard(AES)、転送データにTLSを使用し、ファイル・チャット・メールに多層的な保護を提供します。これらの保護はコラボレーターの所在地を問わず適用され、国境を越えた転送やアクセス時も機密性を維持します。
SharePointやOneDriveにアップロードされたファイル、Outlookメールで送信されたファイルはすべて保存時に暗号化され、各ファイルチャンクごとに一意のAES 256暗号鍵が生成されます。この分割管理により、仮に1つの鍵が侵害されてもリスクを最小化できます。
より高度なコンプライアンス要件を持つ組織向けには、カスタマー管理キー(CMK)によって暗号鍵をAzure Key Vaultで保管・管理でき、厳格な規制要件や国境を越えた利用時の地域内鍵レジデンシー要件にも対応できます。
保存時・転送時の暗号化規格
Microsoft 365は、あらゆる段階で機密性を保証する業界最高水準の暗号化規格を採用しています:
-
保存データ:ファイルはAES 256暗号化で保護され、各ファイルセグメントごとに異なる鍵が使用されます。
-
転送データ:SharePoint、OneDrive、Teams、Exchange間のファイルや通信はTLS/SSLプロトコルで自動的に暗号化されます。
AES(Advanced Encryption Standard)は、世界中で広く利用されている対称ブロック暗号アルゴリズムで、デジタルデータ暗号化のゴールドスタンダードとされています。
Microsoft 365はさらに、Perfect Forward Secrecyを活用して1セッションの鍵が侵害されても他のセッションに影響しないようにし、ファイル単位・チャンク単位で暗号鍵を生成することでリスクを低減しています。
制御強化のためのカスタマー管理キーの役割
カスタマー管理キー(CMK)を利用すると、暗号鍵をMicrosoftに頼らず自社のAzure Key Vaultに保管できます。このアプローチにより:
-
鍵のローテーションや失効をオンデマンドで実施可能
-
GDPRやHIPAAなどの規制への対応
-
新たな脅威への迅速かつ細やかな対応
どのモデルをいつ選ぶべきか?
|
鍵管理オプション |
最適な用途 |
運用上の影響 |
|---|---|---|
|
Microsoft管理キー |
デフォルト、シンプル、手間が少ない |
管理負担が最小、細かな制御は不可 |
|
カスタマー管理キー(CMK) |
規制業界、追加制御が必要な場合 |
Azure Key Vaultが必要、管理負担増 |
高度な機密データを扱う、または厳格な規制下で運用する組織はCMKの恩恵が大きく、鍵の侵害やポリシー変更にも即時対応でき、暗号鍵の完全な所有権を維持できます。国境を越えたコラボレーションでも、CMKにより地域内に鍵を配置しつつグローバルな生産性を維持し、データレジデンシーや主権要件を満たせます。
重要な違い:カスタマー管理キーとカスタマー所有キー
CMKは暗号鍵を自社のAzure Key Vaultに配置し管理できますが、Microsoft 365のサービスはその鍵を利用してデータを復号・処理する権限を持ちます。そのため、鍵アクセスを失効させるか追加制御を行わない限り、Microsoftは法的要請に応じて顧客データを提出できる場合があります。
カスタマー管理キー(Microsoft 365):鍵はAzure Key Vaultで作成・保管され、ローテーションや失効を自社で制御可能。ただし、Microsoftのサービスは許可された鍵でデータを復号できるため、法的アクセス要求の対象となる可能性があります。
カスタマー所有キー(Kiteworks):鍵は一切外部に渡らず、Kiteworksも復号できません。このモデルでは、プロバイダーが顧客の参加なしに平文データを第三者へ提供できないため、法的アクセスリスクを低減し、厳格なデータ主権要件にも対応します。
Microsoft 365の組み込み暗号化機能を活用
Microsoft 365には、ユーザーフレンドリーで堅牢な暗号化機能が組み込まれており、有効化することでエンドユーザーも簡単にセキュアなファイル共有が可能です。感度ラベルやAzure Rights Management(Azure RMS)が自動化の中心となり、ファイルの分類や組織ポリシーに基づいて暗号化が確実に適用されます。これらの保護はファイルが国境を越えて移動しても持続し、情報ライフサイクル全体で制御を維持します。
感度ラベルによる自動暗号化の適用
感度ラベルは、Microsoft 365内のファイル・メール・ドキュメントに付与されるメタデータタグで、暗号化や共有制限などのセキュリティポリシーを分類・適用します。
感度ラベルを設定すると:
-
SharePoint、OneDrive、Exchange内のファイルやメールを自動的に暗号化
-
外部ユーザーとの安全な共有や詳細な権限指定が可能
-
規制対応のためのDLP(データ損失防止)ポリシーを発動
|
ラベル種別 |
暗号化 |
透かし |
転送制限 |
外部共有制御 |
|---|---|---|---|---|
|
公開 |
オフ |
なし |
なし |
オープン |
|
機密 |
オン |
あり |
あり |
制御付き |
|
制限 |
オン |
あり |
あり |
厳格制限 |
このポリシーベースのアプローチにより、手作業の判断を排除し、データの機密性に応じて常に適切な保護が施されます。
Azure Rights Management保護の設定
Azure Rights Management(Azure RMS)は、暗号化・ID・認可制御を提供するクラウド型保護技術で、ファイルやメールが外部共有後もデバイスを問わず保護を維持します。
Azure RMSを有効化する手順:
-
Microsoft Purviewコンプライアンス ポータルにアクセス
-
全ユーザーまたは特定セキュリティグループ向けにAzure RMSを有効化
-
ダウンロード禁止、印刷制限、共有制限などのポリシーをカスタマイズ
-
ファイルを社内外で共有し、保護の動作をテスト
Azure RMSは、医療や金融などファイルが企業外に出ても保護が必要な業界で特に有効です。
Microsoft 365の暗号化設定を構成
Microsoft 365の暗号化を構成・監視・監査することは、継続的な保護のために不可欠です。中央集権的な制御により、メールや添付ファイルのエンドツーエンド暗号化(E2EE)が実現し、ヒューマンエラーを最小化しつつコンプライアンスを自動化できます。
メールと添付ファイルのエンドツーエンド暗号化有効化
エンドツーエンド暗号化は、通信当事者のみがメッセージやファイルの内容にアクセスできるようにし、転送経路のすべてで傍受を防ぐセキュリティ手法です。
Microsoft 365では、E2EEがメッセージ本文と添付ファイルの両方を転送中に保護します。有効化手順:
-
Microsoft 365管理センターとExchange管理センターを開く
-
メールフロー > ルールで、特定の感度ラベルやキーワードにE2EEを適用するルールを作成
-
特定グループ・部門・全社にE2EEを有効化
-
暗号化されたテストメールを送信し、設定を検証
この設定により、機密通信のプライバシー・コンプライアンス・可監査性が確保されます。
Microsoft 365管理センターでの暗号化ポリシー設定
Microsoft 365管理センターでは、暗号化を徹底するための詳細な制御が可能です:
-
DLPトリガールールを定義し、機密データを含むファイルやメールを自動暗号化
-
リスクプロファイルに応じてユーザーグループや部門ごとにポリシーをカスタマイズ
-
組み込みのコンプライアンスダッシュボードで侵害や例外を監査・報告
暗号化ポリシーチェックリスト:
-
すべてのデフォルト暗号化・共有設定を確認
-
部門や役割ごとにポリシーを最適化
-
暗号化ポリシー違反や異常検知のアラートを有効化
-
ポリシーの有効性・コンプライアンスを定期的にレビュー
-
DLPや条件付きアクセスに地理情報(場所・国・地域)条件を追加し、国境を越えた共有時にはより厳格な暗号化・アクセス制御を適用
信頼できるMicrosoft 365チャネルで安全にファイル共有
ファイルの暗号化とセキュリティを確実にするには、常に承認済みのMicrosoft 365プラットフォーム(SharePoint、OneDrive、Teams)を利用して社内外で共有しましょう。これらのプラットフォームは暗号化を自動適用し、メタデータや共同編集、コンプライアンス制御とも連携します。
SharePoint、OneDrive、Microsoft Teamsでの暗号化活用
-
SharePoint & OneDrive:すべてのファイルは一意のAES鍵で暗号化され、データ本体とは別に保存されるため、機密性が最大化されます。
-
Teams:すべてのファイル転送や通信にTLSがデフォルトで適用され、意図した受信者のみが内容にアクセスできます。
|
プラットフォーム |
暗号化プロトコル |
デフォルト設定 |
外部ゲスト制限 |
|---|---|---|---|
|
SharePoint |
AES 256, TLS |
常時暗号化 |
サイトやファイル単位で制限可能 |
|
OneDrive |
AES 256, TLS |
常時暗号化 |
共有制御、リンク有効期限設定 |
|
Teams |
TLS(ファイル・チャット)、AES |
常時暗号化 |
ゲストアクセス制限、MFA必須化可能 |
本人確認による外部共有の安全管理
機密コンテンツの外部共有は厳格に管理しましょう:
-
受信者にMicrosoft/Googleアカウントまたはワンタイムパスコードでの認証を必須化
-
「リンクを知っている全員」共有を機密・規制データでは禁止
-
共有リンクや権限を中央で管理し、DLPや感度ラベルで誤送信や悪意ある公開を防止
-
国境を越える受信者には、時間制限付きアクセス、最小権限、場所ベースの制限など、より厳格な制御を適用
これらの措置により、認証された正当なユーザーのみが暗号化ファイルにアクセスできます。
デバイス・アクセスセキュリティ制御の実装
暗号化だけでは不十分であり、安全なアクセスやデバイスコンプライアンスも機密ファイル保護には不可欠です。ゼロトラストアーキテクチャ、デバイス暗号化、多要素認証(MFA)などで多層防御を構築しましょう。
ゼロトラストアクセスは、ユーザーやデバイスを自動的に信頼せず、リソースアクセス前に本人確認と継続的な認証を求めるセキュリティモデルです。
暗号化アクセスのためのモバイルデバイス管理ポリシー導入
モバイルデバイス管理(MDM)ポリシーにより、セキュアで準拠したデバイスのみがMicrosoft 365データへアクセスできます:
-
Microsoft IntuneなどでMDMを設定
-
デバイス暗号化とコンプライアンスをアクセス前に必須化
-
不審な挙動のデバイスを監視し、侵害端末をブロック
MDMは紛失・盗難デバイスからのリスクを減らし、無防備なデータ漏洩も防ぎます。
ゼロトラストアクセスと多要素認証の徹底
Microsoft Entra(Azure AD)の条件付きアクセスで強力なID・アクセス制御を実現:
-
暗号化ファイルへの全ユーザーにMFAを必須化
-
強力なパスワードポリシーとセッションタイムアウトを適用
-
デバイスコンプライアンスを確認してからアクセス許可
-
場所条件を組み込み、国境を越えるコラボ時は追加認証や高リスク地域からのアクセスをブロック
これらの制御により、信頼できるユーザー・デバイスだけが機密暗号化コンテンツにアクセスできることが保証されます。
チーム教育と暗号化ベストプラクティスの徹底
テクノロジーだけではセキュリティは保証できません。継続的なユーザー教育と定期的な監査が、暗号化ベストプラクティスの有効性とコンプライアンス維持に不可欠です。
安全な共有プロトコルと暗号化の重要性に関するユーザー教育
定期的なトレーニングでスタッフは:
-
感度ラベルを適切に使用
-
機密ファイルの認識・分類が可能
-
不審な共有行為を報告
ビジュアルガイドや「やるべきこと・やってはいけないこと」、インフォグラフィックなどで意識向上を図り、国境を越えた共有や規制対応に必要な追加注意も促します。
暗号化設定の定期監査とレビュー体制の構築
暗号化監査は、組織がポリシー・設定・制御を見直し、すべての機密データ共有が適切に暗号化されているか、ログが正確に管理されているかを確認する体系的なプロセスです。
基本的な監査チェックリスト:
-
管理センターでの共有・暗号化設定の確認
-
感度ラベル、RMS/Azure保護、DLPが有効か検証
-
コンプライアンスやポリシー例外のレポート生成
-
監査結果への対応と記録
-
データの所在、地域ごとのアクセスパターン、レジデンシー要件の遵守状況を確認
定期監査により脆弱性の特定、コンプライアンス維持、ビジネス変化に合わせた暗号化ポリシーの最適化が可能です。
KiteworksによるMicrosoft 365強化と国境を越えたセキュアなファイル共有の実現
Kiteworksは、Microsoft 365にネイティブアドインを追加し、Outlook、Office、SharePoint、Teamsのワークフローにさらなるセキュリティ・ガバナンス・コンプライアンス制御を重ねます。ユーザーの生産性を損なうことなく強化が可能です。
-
Microsoft Office 365用セキュアファイル共有プラグイン:ユーザーはOutlookやOfficeからファイルを送受信でき、Kiteworksが添付ファイルを自動的に管理された暗号化リンクに置換。アクセス・有効期限・透かし・DLPのポリシーが一貫して適用され、すべてのアクティビティが中央で記録されるため、国境を越えた監査にも対応。詳細はこちら:https://www.kiteworks.com/platform/simple/microsoft-office-365/
-
Microsoftエコシステム向けフィッシング・マルウェアリスク低減:外部ファイル配信をKiteworksにオフロードすることで、Microsoftブランドの偽装リンクや悪意ある添付ファイルへの曝露を削減。受信者認証、脅威スキャン、安全なリンク配信により、認証情報窃取攻撃やランサムウェア攻撃からMicrosoft 365を強化。詳細はこちら:https://www.kiteworks.com/secure-file-sharing/microsoft-is-a-magnet-for-phishing-attacks/ | https://www.kiteworks.com/platform/simple/secure-file-sharing/
-
中央ガバナンス・主権・鍵所有権の強化:Microsoft 365発のコンテンツでも、Kiteworksが地理情報対応制御、統合ログ、カスタマー所有鍵暗号化を適用し、プロバイダーがデータにアクセスできないようにします。これにより、データレジデンシー要件を満たしつつ、法的アクセスリスクも最小化し、コラボレーションを維持。詳細はこちら:https://www.kiteworks.com/platform/private-data-network/ | https://www.kiteworks.com/platform/compliance/data-sovereignty/
Microsoft Office 365プラグインを通じてこれらの多層制御を追加することで、Kiteworksは多国籍チームがコンプライアンス・セキュリティ・生産性を損なうことなく、安心してデータを国境を越えて移動できるよう支援します。
Microsoft 365利用時のセキュアなファイル共有強化にKiteworksを活用したい方は、ぜひカスタムデモをご予約ください。
よくあるご質問
はい、Microsoft 365内のファイルはデフォルトで暗号化されます。保存時はAES、転送時はTLSが適用され、すべての保存・共有データに基本的な保護が施されます。
組織はカスタマー管理キーを利用でき、Azure Key Vaultで暗号鍵を管理することで、コンプライアンスやセキュリティを強化できます。
Microsoft 365内で保存・共有されているファイルは暗号化が維持されますが、ダウンロード後は自動保護が失われるため、追加の制御やソリューションで保護する必要があります。
保存時・転送時の暗号化有効化、感度ラベルの活用、暗号鍵の管理、暗号化ポリシーの定期監査、ユーザー教育がベストプラクティスです。
感度ラベルはファイル分類に基づき自動で暗号化やアクセス制限を適用し、許可されたユーザーだけが機密コンテンツを閲覧・編集できるようにします。
追加リソース
- ブログ記事
エンタープライズ向けセキュアファイル共有ソリューション5選 - ブログ記事
安全なファイル共有の方法 - 動画
Kiteworks Snackable Bytes:セキュアファイル共有 - ブログ記事
セキュアファイル共有ソフトウェアに必須の12要件 - ブログ記事
エンタープライズ&コンプライアンス向け最も安全なファイル共有オプション