Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners...
Transcript of Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners...
![Page 1: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/1.jpg)
山崎善寛日本マイクロソフト株式会社Microsoft 365 ビジネス本部 本部長
山本築日本マイクロソフト株式会社Microsoft 365 ビジネス本部プロダクトマネージャー
Microsoft Teams プライバシー・セキュリティへの取り組み~プライバシー
日本マイクロソフト株式会社
2020年4月16日
![Page 2: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/2.jpg)
「企業や個人のユーザーがテクノロジーを心から受け入れるとすれば、それはそのテクノロジーを信頼することができた場合だけです。」
Satya Nadella
Chief Executive OfficerMicrosoft Corporation
![Page 3: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/3.jpg)
![Page 4: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/4.jpg)
プライバシーを守るための設計
• データはお客様のもの
• データの使用目的は契約に明記。目的外使用は禁止。
• データへのアクセスは厳しく制限
• 契約終了後はデータを削除
• 各種法令、規制に対応
• データの運用に関する情報公開
4
![Page 5: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/5.jpg)
顧客データの使用
❑ お客様が顧客データのすべての権利を持ちます。❑ MSによる使用目的を契約に明記し、目的外使用は禁止です。
• お客様へのオンラインサービス(=クラウドサービス)提供のためo クラウドサービス機能の提供
o トラブルシューティング
o 生産性、ライセンス、有効性、セキュリティ面での製品改良
• オンラインサービス提供に伴うMSの正当な事業運営のためo サイバー犯罪への対応
o 課金やアカウント管理
o インセンティブ計算
o 内部報告(業績予測、キャパシティ計画など)
o アクセシビリティ、プライバシー、エネルギー効率面での製品改良
o 財務務報告その他MSの法令遵守
※ユーザープロファイリング、広告その他商用目的では使用しません。
5
![Page 6: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/6.jpg)
顧客データへのアクセス
• お客様は契約期間中自由にアクセスできます
• MSの顧客データへのアクセスは厳しく制限されています
• MSは第三者に顧客データを開示しません
<例外>✓お客様の指示がある場合
✓契約に明記されている場合
✓法令上の要求
6
法執行機関からの要請への対応プロセス1. MSではなくお客様に請求するよう回答2. (再要請を受けたときは)強制力のある要請が法務部門に
て詳しく検討3. 強制力のある要請の場合のみ、必要最低限の情報を提供4. (法令上認められれば)お客様に要請があったことを通知
![Page 7: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/7.jpg)
契約終了後のデータ削除
契約期間中
お客様は自由にデータを保存、
抽出、削除可能
契約終了後90日
機能限定アカウントにデータ
が保持される
お客様によるデータ抽出可能
契約終了後91日から
180日
お客様はアクセスできない
期間内にアカウント無効とな
り、データ削除
![Page 8: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/8.jpg)
下請業者の利用
• 下請業者を利用します。
• 下請業者は、MSとの書面契約に基づき、の責任を負います。
• 顧客データの処理にかかわる下請業者リストを公開。• 新規の業者を追加する場合、アクセスするデータの種類に応じて、60日または14日前までに通知
• その業者の使用を認めない場合、ペナルティなしで解約可能
8
![Page 9: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/9.jpg)
コンプライアンス-世界各国の基準や法律に対応G
lob
al
Us
Go
vIn
du
stry
Reg
ion
al
HIPAA/HITECH Act
FERPAGxP21 CFR Part 11
ISO 27001 SOC 1 Type 2ISO 27018 CSA STARSelf-Assessment
SingaporeMTCS
UK G-Cloud
AustraliaIRAP/CCSL
FISC Japan
New Zealand
GCIO
ChinaGB 18030
EUModel Clauses
ENISAIAF
Argentina PDPA
Japan CS Mark Gold
CDSA SharedAssessments
Japan MyNumber Act
FACT UK GLBA
SpainENS
PCI DSSLevel 1
MARS-E FFIEC
ChinaTRUCS
SOC 2 Type 2 SOC 3
CanadaPrivacy Laws
MPAA
PrivacyShield
ISO 22301
IndiaMeitY
Germany ITGrundschutz
workbook
SpainDPA
CSA STARCertification
CSA STARAttestation
HITRUST IG Toolkit UK
ChinaDJCP
ITARSection 508 VPATSP 800-171 FIPS 140-2HighJAB P-ATO
CJISDoD DISASRG Level 2
DoD DISASRG Level 4
IRS 1075DoD DISASRG Level 5
ModerateJAB P-ATO
ISO 27017
![Page 10: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/10.jpg)
積極的な情報公開
• クラウドサービスのセキュリティ、プライバシーに関するweb上での情報提供
• クラウドサービスの運用に関する契約をwebで公開• 誰でも、サービス利用前でも内容確認可能
• 過去の契約も確認
• 法執行機関からの開示要請への対応状況をwebで公開
10
![Page 11: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/11.jpg)
トラストセンター
11
https://www.microsoft.com/ja-jp/trust-center
![Page 12: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/12.jpg)
オンラインサービスデータ保護追加条件 Data Protection Addendum
顧客データ取扱い、セキュリティなど詳細。
法的拘束力のある契約。ダウンロード可。
日本語、外国語にも対応。
https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode
=3&DocumentTypeId=67
![Page 13: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/13.jpg)
オンラインサービス条件 Online Services Terms (OST)
https://www.microsoft.com/ja-jp/licensing/product-licensing/products
オンラインサービス毎の条件。顧客データの保存場所。
法的拘束力のある契約。ダウンロード可。
毎月更新。日本語、外国語にも対応。
![Page 14: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/14.jpg)
法執行機関からの開示要請情報の公開
https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report
![Page 15: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/15.jpg)
![Page 16: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/16.jpg)
山崎善寛日本マイクロソフト株式会社Microsoft 365 ビジネス本部 本部長
山本築日本マイクロソフト株式会社Microsoft 365 ビジネス本部プロダクトマネージャー
Microsoft Teams プライバシー・セキュリティへの取り組み
日本マイクロソフト株式会社
2020年4月16日
![Page 17: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/17.jpg)
![Page 18: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/18.jpg)
情報セキュリティの 3 大要素 - CIA
18
![Page 19: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/19.jpg)
コミュニケーション
基盤 (Mail, 共有…)
業務システム(CRM, HR, ERP…)
IT 管理基盤(Directory…)
IT 環境の変化
非信頼ゾーン
信頼ゾーン
![Page 20: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/20.jpg)
コミュニケーション
基盤 (Mail, 共有…)
業務システム(CRM, HR, ERP…)
IT 管理基盤(Directory…)
システムのクラウドシフトが進み、IT 環境が大きく変化
必要なモノが非信頼ゾーンに
信頼ゾーンが信頼できない
攻撃の高度化、多様化により信頼ゾーンへの侵入は日常的に
・・・
非信頼ゾーン
信頼ゾーン
IT 環境の変化→ ネットワーク境界モデルの限界
![Page 21: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/21.jpg)
![Page 22: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/22.jpg)
!
!
!
!!
!
![Page 23: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/23.jpg)
![Page 24: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/24.jpg)
![Page 25: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/25.jpg)
User log-ins
Unauthorized data access
Data encryption
Malware
System updates
Enterprise security
Attacks
Phishing Denial of service
User accounts
Device log-ins
Multi-factor authentication
![Page 26: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/26.jpg)
![Page 27: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/27.jpg)
App and Data
SaaS
Malware Protection Center (MMPC)
Cyber Hunting TeamsSecurity Response
Center (MSRC)
Device
CERT and Partners
Infrastructure
Anti-Virus Network
PaaS IaaS
ID
Intelligent Security Graph
Cyber DefenseOperations Center (CDOC) Legal Comm.
Digital Crime Unit(DCU)
![Page 28: Microsoft Teams プライバシー・セキュリティへの取り組み ......CERT and Partners Infrastructure Anti-Virus Network PaaS IaaS ID Intelligent Security Graph Cyber Defense](https://reader035.fdocument.pub/reader035/viewer/2022062506/5f91f53a211e4c0f8a4e82b0/html5/thumbnails/28.jpg)
28
Teams ではデータの転送中も静止状態でも暗号化が施され、安全なデータセンターネットワーク内に保存
多要素認証 (MFA) による、脆弱なパスワードや盗難パスワードを利用した攻撃からのユーザー保護
HIPAA | GDPR | FedRAMP | SOCなど90
以上の国際的な規制基準や法律に準拠
https://aka.ms/security-teams-blog