NAKIVO > Blog > Microsoft 365

クラウド暗号化による Microsoft 365 バックアップの保護

Updated: 4月 28, 2026

執筆:: NAKIVOチーム

Microsoft 365 は、コミュニケーションやコラボレーションのために広く利用されているクラウドプラットフォームです。Office 365 のユーザーデータには機密情報が含まれる可能性があるため、データ侵害や漏洩から保護することが重要です。

Office 365 の暗号化機能は、Microsoft クラウド内および Microsoft サーバーとの通信時にユーザーデータを保護するために使用されます。このブログ記事では、Microsoft 365 の暗号化機能とそのさまざまな活用例について解説します。これには、Microsoft 365 のバックアップに対する暗号化の設定方法も含まれます。

Microsoft 365 データのバックアップ

Microsoft 365 データのバックアップ

NAKIVOソリューションを活用して、Exchange Online、Teams、OneDrive、SharePoint Online内のMicrosoft 365データをバックアップし、ワークフローの中断を防ぎ、ダウンタイムをゼロにしましょう。

ソリューションを見る

Office 365の暗号化とは何ですか?

暗号化とは、データを"平文"と呼ばれる読み取り可能な形式から、"暗号文"と呼ばれる読み取り不可能な形式へと変換する、データ保護のためのセキュリティ手法です。このデータ変換は、暗号化アルゴリズムと暗号鍵を用いて行われます。暗号鍵とは、データの暗号化方法を決定する特定の情報です。正しい復号鍵を持つユーザーのみが、このプロセスを逆行させ、暗号文を元の平文に戻すことができます。

暗号化プロセスは、元の読み取り可能なデータである平文から始まります。暗号化が適用されると、アルゴリズムは暗号鍵を使用してこの平文を暗号文に変換します。この暗号文はランダムな文字の組み合わせとして生成され、対応する復号鍵がなければ解読できません。暗号化の強度は、アルゴリズムの複雑さや鍵の長さなど、いくつかの要因に依存しており、一般的に鍵が長いほど強力な暗号化が実現されます。

Microsoft 365 において、暗号化はデータの保護において極めて重要な役割を果たします。特に、データがインターネットを介して保存、処理、送信されることが多いクラウド環境ではその重要性が際立ちます。データが暗号化されていれば、たとえ権限のない人物や悪意のある攻撃者がデータを傍受したとしても、復号鍵がなければその内容を読み取ったり悪用したりすることはできません。これは、電子メール、文書、個人データなどの機密情報を、漏洩や侵害から保護するために不可欠です。

Microsoft 365 やクラウド環境において暗号化が重要である理由は、強力なセキュリティ層を提供し、データのプライバシーと規制への準拠を確保できるためです。これにより、組織は機密情報を保護し、データ保護に関する法的要件を遵守し、顧客の信頼を維持することができます。

Microsoft 365 では暗号化はどのように機能するのでしょうか?

Microsoft 365 における暗号化処理は、以下の各段階で実行されます:

  • ユーザーのデバイスからMicrosoftのクラウドサーバーへデータが送信される際、TLS(Transport Layer Security)などのプロトコルを使用してインターネット経由で転送される間、データは暗号化されます。これにより、送信中に傍受されたとしても、データの安全性が確保されます。
  • データがマイクロソフトのデータセンターに到達すると、AES-256などの強力な暗号化アルゴリズムを用いて保存時に暗号化されます。つまり、データが保存されている物理的なストレージが侵害されたとしても、データ自体は保護されたままとなります。
  • Exchange Onlineのメールボックス、OneDrive for Business、SharePoint Onlineに保存されたファイルなどの保存データは、サーバー上のディスクボリューム全体を保護するBitLockerを使用して暗号化されます。
  • さらに、個々のファイルはファイル単位の暗号化により保護されており、現在利用可能な最も強力な暗号化アルゴリズムの一つである256ビットAES暗号化を採用したAzure Storage Service Encryption(SSE)が使用されています。
  • Microsoft 365、特にExchange Onlineにおける電子メールの暗号化は、Office Message Encryption (OME) を通じて管理されます。これにより、S/MIME (Secure/Multipurpose Internet Mail Extensions) やIRM (Information Rights Management) といった暗号化技術を使用して電子メールを暗号化・保護することができ、IRM によってデータへのアクセス制御も可能になります。詳細については、 Microsoft 365 のメッセージ暗号化 当記事で。
  • さらに、顧客主導の暗号化により、組織はAzure Key Vaultを通じて管理される独自の暗号化キーを使用できるようになり、管理とセキュリティの層がさらに強化されます。

システム管理者は、暗号化設定の管理や監視を行うために、さまざまなツールやダッシュボードを利用できます。管理者は Microsoft 365 Security を使用できます & コンプライアンス・センターおよび Microsoft 365 管理センター 組織全体で暗号化ポリシーを設定し、顧客の鍵を管理し、暗号化関連のアクティビティを監視するためです。

さらに、マイクロソフトは定期的に透明性レポートを公開し、コンプライアンス認証を取得しており、システム管理者は、自社の暗号化対策がグローバル基準に準拠していることを確信できます。これには、ISO 27001、SOC 1、SOC 2、および GDPRへの準拠.

Microsoft 365 暗号化に関する最新情報

2023年にMicrosoft 365でAES-256 CBC(Cipher Block Chainingモード)が導入されたことは、データ暗号化における大きな進歩となりました。AES-256は堅牢な暗号化規格であり、CBCモードを採用することで、暗号文の各ブロックを前のブロックに連結させることで複雑さとセキュリティがさらに強化され、特定の種類の暗号攻撃を防ぐのに役立ちます。

システム管理者にとって、この移行には既存のデータ暗号化ポリシーを慎重に検証し、暗号化管理および監視ツールが更新された暗号化標準に対応できることを確認する必要がありました。管理者は、潜在的な競合や問題を回避するために、カスタム暗号化キーやポリシーが新しいAES-256 CBCモードと互換性があることを確認する必要がありました。

Microsoftはこのプロセスを支援するためのドキュメントとツールを提供し、管理者が大幅な手動介入なしにコンプライアンスとセキュリティを維持できるようにしました。 Microsoftは、既存の設定への影響を最小限に抑え、ほとんどのユーザーにとってこの変更がシームレスに行われるよう配慮しました。この更新は、Microsoft 365へのアクセスや機能を妨げることなく、既存のデータをAES-256 CBCを使用して再暗号化するように展開されました。

Microsoft Office 2013、2016、2019、および 2021 のアプリケーションは、Windows のグループ ポリシーまたは Microsoft 365 のクラウド ポリシーを使用して、AES256-CBC モードを使用するように再構成する必要があります。Microsoft 365 アプリ バージョン 16.0.16327 以降では、デフォルトで AES256-CBC モードが使用されます。

Microsoft Exchange Serverを使用している場合、管理者は hotfixAzure Rights Management Connector Service を Exchange Server と併用する場合、管理者は GenConnectorConfig.ps1 各ExchangeサーバーにMicrosoftが提供するスクリプト。

保存中のデータおよび転送中のデータの暗号化

保存中のデータおよび転送中のデータの暗号化は、機密情報を不正アクセスや情報漏洩から保護することを目的とした、Microsoft 365における基本的なセキュリティ対策です。ここでは、Microsoft 365環境において、これら2つのシナリオで暗号化がどのように適用されるのかについて詳しく見ていきましょう。

保存データ

保存データとは、ハードドライブやクラウドストレージサービスなどの物理的な媒体に保存されている情報であり、ネットワーク上でアクティブに送信されているものではない。Microsoft 365 では、保存データは暗号化されており、物理的なストレージが侵害された場合でも、データが保護された状態が維持されるようになっている。

Microsoft 365 における保存データの暗号化の例としては、次のようなものがある:

  • SharePoint および OneDrive 上のファイル. ユーザーが SharePoint Online または OneDrive for Business にファイルを保存すると、これらのファイルは Azure Storage Service Encryption (SSE) を使用して暗号化されます。Microsoft 365 では、強力な暗号化規格である AES-256 を使用して各ファイルを暗号化し、サーバー上で安全に保管されるようにしています。さらに、データが保存されているディスク全体を BitLocker で暗号化することで、さらなる保護層を提供しています。
  • Exchange Online の電子メールメッセージExchange Onlineのメールボックスに保存されたメールは、BitLockerとAES-256によるファイル単位の暗号化を組み合わせて暗号化されます。つまり、メールボックスデータベース全体が暗号化されるだけでなく、個々のメールメッセージも個別に暗号化されるため、保存されたメールの安全性が確保されます。

転送中のデータ

転送中のデータとは、ユーザーのデバイスとMicrosoftサーバー間、またはMicrosoftデータセンター間で送信されるデータなど、ネットワーク上で実際に転送されている情報を指します。転送中の暗号化により、送信中にデータが傍受されたり改ざんされたりするのを防ぎます。

Microsoft 365における転送中のデータ暗号化の例としては、次のようなものがあります:

  • 電子メール. ユーザー間でメールが送信される際、そのデータは転送中にTLS(Transport Layer Security)によって暗号化されます。TLSは、インターネット経由でデータが転送される際にメールの内容を保護し、傍受者による不正アクセスを防ぎます。さらにセキュリティを強化するため、メールにOffice Message Encryption(OME)を適用することで、メールが組織外に転送された場合でも暗号化が維持されるようにすることができます。
  • オンライン会議(Microsoft Teams)Microsoft Teams を通じて行われるオンライン会議では、ビデオ、音声、共有ファイルなどのデータは、TLS および Secure Real-time Transport Protocol (SRTP) を使用して転送中に暗号化されます。これらのプロトコルにより、会議中のすべての通信が盗聴や改ざんから確実に保護されます。

クラウドバックアップの暗号化に向けた準備

前述の通り、Microsoft 365 のデータは Microsoft クラウド内で強力に暗号化されており、これにより全体的なセキュリティレベルが向上します。Microsoft 365 のデータバックアップはデータ保護戦略の重要な要素であり、定期的にバックアップを行うことを強く推奨します。バックアップデータはネットワーク経由で転送され、保存先には暗号化された状態または暗号化されていない状態で保存されます。

暗号化されていないバックアップは、環境全体にとって脆弱性となる可能性があります。Microsoft 365のデータは、クラウド上のMicrosoftサーバー上および転送中に暗号化されていますが、攻撃者は暗号化されていないMicrosoft 365のバックアップを侵害する可能性があります。暗号化されたMicrosoft 365のバックアップの方がより安全です。

NAKIVO Backup & Replication は、Microsoft 365 のバックアップを含むバックアップの暗号化をサポートするエンタープライズ向けデータ保護ソリューションです。バックアップリポジトリ全体を暗号化することも、バックアップジョブごとに個別に暗号化を有効にすることも可能です。

NAKIVO ソリューションを使用して、暗号化された Microsoft 365 バックアップをクラウドに保存する主なシナリオは、以下の 3 つがあります:

  • [ ] にバックアップリポジトリを作成する Amazon S3 バケット または、S3互換の類似のオブジェクトストレージ。A トランスポーター Amazon Web Services(AWS)にデプロイされたものは、との通信に使用されます ディレクター およびS3バックアップリポジトリへのデータ転送。
  • 作成する バックアップリポジトリ EC2インスタンス上で。この場合、以下の完全なソリューションを展開できます。 NAKIVO Backup & Replication AWS上の仮想マシン(VM)であるAmazon EC2インスタンス上で。あるいは、Transporterとバックアップリポジトリを備えたEC2インスタンスをデプロイし、暗号化されたバックアップをAWSクラウドに保存することも可能です。その場合、Directorはオンプレミスにデプロイされ、AWS上のTransporterとネットワーク接続されます。Linux版Transporterをデプロイすることを推奨します。 不変性 サポート。
  • 包括的なソリューションの導入 NAKIVO Backup & Replication Azureクラウドやその他のパブリッククラウド上の仮想マシンにバックアップリポジトリを配置して。

Amazon S3に暗号化されたMicrosoft 365のバックアップを保存する方法を見ていきましょう。以前のブログ記事の一つでは、 Microsoft 365のバックアップをAmazon S3に設定する方法 このチュートリアルでは、SharePoint Online のデータを使用して詳細に説明します。Amazon S3 に暗号化された Microsoft 365 バックアップを作成するワークフローは、最後のステップを除いて、同じ設定手順を含みます(Options) を有効にして暗号化を有効にします。Amazon S3 へのバックアップ環境を設定するには、こちらの投稿を参照してください。このブログ記事では、Microsoft 365 バックアップの暗号化設定に焦点を当て、準備段階の手順については簡単に触れるにとどめます。

Amazon S3 への Microsoft 365 暗号化バックアップの準備

以下の手順をまだ行っていない場合は、必要な準備を行ってください:

  1. AWSクラウド内のバックアップリポジトリとして使用するAmazon S3のバケットを作成します。このバケットで機能を利用できるように、オブジェクトのバージョン管理とAmazon S3オブジェクトロックを有効にします。 バックアップの不変性 で NAKIVO Backup & Replication このバケットに送信されたリカバリポイントについて。

    S3オブジェクトロックを有効にするには、バケットを選択し、[ Properties タブで、そして Object Lock セクションで、[クリック] Edit. 選択 Enable、警告を読み、内容を確認した上で、 Save Changes.

    Enabling Amazon S3 Object Lock to enable immutable backups

  2. NAKIVOのインベントリにAWSを追加する. AWSアカウントをお持ちで、AWSアクセスキーを生成しておく必要があります。
  3. Microsoft 365 をインベントリに追加するMicrosoft 365 アカウントを追加する際、バックアップ対象としてサポートされているすべての Microsoft 365 サービスを選択することも、特定のサービス(たとえば、Exchange Online や OneDrive for Business)を選択することもできます。

    Configuring the NAKIVO inventory for Microsoft 365 backup

  4. AWSにNAKIVO Transporterを導入する またはローカルマシン上で。この例では、AWSにTransporterをデプロイします。必要なAWSリージョン、インスタンスタイプ、その他の設定を選択します。Transporterは、Directorとの通信や、バックアップデータをAmazon S3バケットへ転送する際、およびバケットからのデータ復旧に使用されます。

    The AWS Transporter for Microsoft 365 backup to Amazon S3

  5. Amazon S3 バケットにバックアップリポジトリを作成する. AWSリージョンと、AWSにデプロイ済みの割り当てられたTransporterを選択する必要があります。

    A backup repository in Amazon S3 is created

Microsoft 365 のバックアップジョブを作成し、暗号化されたバックアップを Amazon S3 クラウドに保存する準備が整いました。

EC2へのMicrosoft 365の暗号化バックアップの準備

Microsoft 365 のデータをバックアップし、そのデータを暗号化してクラウドに保存したいが、Amazon S3 バケットには保存したくない場合は、この代替アプローチを検討してください。説明を簡潔にするため、この例では、完全なソリューションとして NAKIVO Backup & Replication (Director、Transporter、およびバックアップリポジトリ) は EC2 インスタンスにデプロイされます。

要件に応じて、複数の 導入オプション 利用可能です。例えば、 NAKIVO Backup & Replication Azureやその他のクラウド環境上の仮想マシン(VM)上、あるいはローカルマシン上で完全なソリューションを実行し、パブリッククラウド上のバックアップリポジトリを利用する。

  1. デプロイ NAKIVO Backup & Replication Amazon Machine Image(AMI)からEC2インスタンスとして。他のクラウドをご利用の場合は、以下の完全なソリューションをインストールしてください。 NAKIVO Backup & Replication クラウド上の仮想マシン上で。
  2. オンボードリポジトリがない場合は、 ローカルフォルダのバックアップリポジトリ (割り当てられたトランスポーター上で)、NAKIVOソリューションがインストールされているVM上で。
  3. NAKIVOのインベントリにMicrosoft 365アカウントを追加する.

Microsoft 365 のバックアップ ジョブを作成し、暗号化されたバックアップをクラウド バックアップ リポジトリに保存する準備が整いました。

Microsoft 365 の暗号化バックアップの作成

NAKIVOインベントリ、Transporter、バックアップリポジトリなどの環境設定が完了したら、Microsoft 365のバックアップ用に新しいバックアップジョブを作成してください。

  1. NAKIVOソリューションのWebインターフェースで、[ ] に移動します Data Protection、クリック + をクリックして Backup for Microsoft 365.

    Creating a new Microsoft 365 backup job

  2. 新しいバックアップジョブウィザードの最初のステップで、保護対象の項目を選択します。NAKIVOインベントリに事前に追加されたサービス(Exchange Online、OneDrive、SharePoint、Teams)に基づいて項目を選択できます。この例では、Microsoft OneDriveとユーザーのメールボックスをバックアップしてみましょう。

    Selecting Microsoft 365 items to back up

  3. バックアップ先を選択してください。以前にNAKIVOソリューションの設定に追加したバックアップリポジトリの中から、いずれかを選択できます。 Amazon S3 Microsoft 365 の復元ポイントを暗号化されたデータとして Amazon S3 バケットに保存するためのリポジトリです。これは、暗号化された Microsoft 365 のバックアップをパブリッククラウドに保存する上で、最も合理的なシナリオの一つです。

    Selecting a backup repository stored in an Amazon S3 bucket

  4. Microsoft 365 バックアップジョブのスケジュールと保存期間の設定を行います。毎日、毎週、毎月など、複数のスケジュールを追加できるほか、 GFSの保存ポリシー.

    各スケジュールにある"不変性"チェックボックスにご注目ください。ご記憶の通り、環境設定プロセスの冒頭でAmazon S3のObject Lock機能を有効にしました。バックアップの不変性は、バックアップの暗号化と相まって、セキュリティを大幅に向上させます。ランサムウェアがバックアップデータにアクセスしたとしても、不変性のあるバックアップデータを変更、破損、または削除することはできません。

    Setting backup immutability

  5. Microsoft 365 のバックアップジョブの設定を行います。この手順では、Microsoft 365 のバックアップ暗号化を設定してください。バックアップジョブ名を入力します。例: Backup Office 365 encryption 01. を設定する Backup encryption オプションとして Enabled. 次に、[クリック] Settings Microsoft 365 のバックアップ暗号化を設定するには。

    注記: バックアップの暗号化を有効にすると、データは送信元で暗号化されます。暗号化されたデータはネットワーク経由で転送され、バックアップリポジトリに暗号化された形式で保存されます。

    Enabling backup encryption

  6. Microsoft 365 バックアップの暗号化用にパスワードを設定します。NAKIVO ソリューションで以前に作成したパスワードを選択することもできます。パスワードを入力し、確認のためもう一度入力してください。現在のパスワードの説明を入力してください。例: Microsoft Office 365 encryption for backup.

    あるいは、バックアップの暗号化や、パスワードを忘れた場合の復元のために、AWS Key Management Service(KMS)などのキー管理サービスを設定することもできます。クリック Proceed.

    Setting a password for Microsoft 365 backup encryption

  7. この例では、バックアップの暗号化設定時にキー管理サービスを使用していないため、通知メッセージが表示されます。通知内容を確認し、暗号化パスワードを安全に保管してください。[クリック] Proceed そしてクリック Finish & Run Microsoft 365のバックアップジョブを暗号化して実行するには。

    A notification message warns you that you should not lose your encryption password

  8. バックアップジョブを今すぐ実行するには、ジョブの範囲とスケジュールを確認し、[実行] をクリックしてください Run.

    Job scope and schedule configuration to run a backup job

別のアプローチ

もしデプロイする場合は NAKIVO Backup & Replication (完全なソリューション、またはバックアップリポジトリを備えたTransporter)をクラウド上の仮想マシン(AWS、Azure、またはその他のパブリッククラウド)で実行する場合、新しいMicrosoft 365バックアップジョブを作成するワークフローは、バックアップ先の選択ステップにおいて異なります。このシナリオで暗号化されたMicrosoft 365バックアップジョブを設定するには、次の手順を実行してください:

  1. NAKIVOソリューションのWebインターフェースで、[ ] に移動します Data Protection、クリック + そしてクリック Backup for Microsoft 365.
  2. その Sources バックアップウィザードのこのステップで、ユーザーのメール、OneDrive、SharePoint サイト、Teams など、バックアップする Office 365 の項目を選択します。
  3. その Destination 次の手順では、暗号化された Microsoft 365 バックアップを保存するバックアップリポジトリを選択します。この例では、 onboard repository (……の完全解を用いるため) NAKIVO Backup & Replication (Director、Transporter、およびバックアップリポジトリ)をクラウド上の仮想マシンにインストールします。この構成により、暗号化されたバックアップをクラウドに保存することができます。

    Selecting the onboard repository deployed on a VM in the cloud

  4. 前の例で説明したように、スケジュールと保存期間の設定を行います。バックアップの不変性を有効にすることをお勧めします。これを行うには、 Immutable for チェックボックスを選択し、日数を設定します。Linux Transporterに割り当てられたバックアップリポジトリでは、バックアップの不変性がサポートされています。

    Enabling Microsoft 365 backup immutability

  5. 最後に、Microsoft 365 のバックアップ暗号化を Options 新しいバックアップジョブウィザードのステップです。表示するバックアップジョブ名を入力します。例: Backup Office 365 encryption 02. 選択 Enabled 〜のために Backup encryption オプションを選択して、クリック Settings.

    Enabling Microsoft 365 backup encryption in the cloud

  6. キー管理サービスを使用しない場合は、新しい暗号化パスワードを作成するか、保存済みのパスワードを選択してください。最後に、続行して Finish & Run のボタン Options バックアップジョブの設定を保存し、Microsoft 365 のバックアップを作成します。暗号化されたデータは、クラウド上のバックアップリポジトリに転送され、保存されます。

クラウドへのバックアップコピーの設定

一般的なアプローチとしては、Microsoft 365のデータをローカル(オンプレミス)のバックアップリポジトリにバックアップし、その後、バックアップコピーを作成してAmazon S3やAzure Blob Storageなどのパブリッククラウドに送信する方法があります。どちらの場合も、NAKIVOソリューションを使用してバックアップの暗号化を有効にすることができます。この方法の利点は、ローカルでのバックアップを迅速に作成し、その後クラウドにコピーできる点にあります。

Microsoft 365 データのバックアップコピーをクラウドに設定する方法を見てみましょう。この例では、オンボード・バックアップ・リポジトリに保存された Microsoft 365 バックアップを使用します。

  1. 移動 Data Protection、クリック + そしてクリック Backup copy.

    Creating a backup copy job

  2. ローカルバックアップリポジトリに保存されている Microsoft 365 バックアップを選択します。複数のバックアップを選択したり、バックアップからカスタムオブジェクトを選択したりできます。クリック Next 続きを読む。

    Selecting Microsoft 365 objects from a backup

  3. バックアップ先の保存先を選択します。ここでは、Amazon S3内のリポジトリを選択します。

    Selecting Amazon S3 as the destination

  4. スケジュールと保存期間の設定を行います。この手順で、バックアップの不変性を有効にすることができます。

    Configuring scheduling and retention

  5. Microsoft 365 バックアップのコピー ジョブのオプションを設定します。ソース側( Options (バックアップジョブの)この段階では、バックアップコピーは暗号化された状態で転送されます。バックアップジョブが暗号化なしで設定されている場合、 Options バックアップコピー ジョブ ウィザードのステップ。

    クリック Finish & Run 設定を保存し、Microsoft 365のバックアップコピージョブをクラウドに実行します。

    Configuring backup copy job options

結論

Microsoft 365 の暗号化は、Office 365 サービスの利用時のセキュリティを強化する機能です。データは転送中および保存時に暗号化され、不正アクセスに対する保護が強化されます。組み込みの暗号化機能に加え、Microsoft 365 のバックアップについても暗号化を設定することが重要です。 NAKIVO Backup & Replication Amazon S3、AWS EC2、Azure などのクラウドに保存可能な Microsoft 365 バックアップの暗号化に対応しています。NAKIVO のソリューションは、転送中および保存中のバックアップデータを暗号化します。ダウンロード NAKIVO Backup & Replication そして、クラウド上に暗号化されたMicrosoft 365のバックアップを作成します。

試してみてください NAKIVO Backup & Replication

試してみてください NAKIVO Backup & Replication

無料トライアルをご利用いただき、本ソリューションのデータ保護機能をすべてお試しください。15日間無料です。機能や容量の制限は一切ありません。クレジットカードも不要です。

無料でお試しください

People also read

Picture
Hyper-V ネットワーク仮想化のメリットとデメリット
Picture
VMware ESXi で macOS を実行する方法
Picture
NAKIVO Backup & GetAppの「主要ITセキュリティソフトウェア」上半期レポートにReplicationが掲載されました