LMS365は、データの送信中、および静止中に処理されるお客様データを保護するための技術的なセキュリティ対策として、エンドツーエンドの暗号化を使用しています。
送信中のデータ
アプリケーションとAzure間のデータ送信は、AESで暗号化されたTLS 1.2+接続を使用して保護されます。
SSL/TLS証明書は、公的に知られている認証局が 2048 bit のキーでSHA256を使用して署名します。
LMS365プラットフォームのセッション情報やその他の機密データを含むCookieは、すべてHttpOnlyとSecureフラグが有効になるように設定されています。これにより、Cookieの内容がスクリプトによってアクセスされたり、暗号化されていない接続で送信されたりしないように保護されます。
さらに、LMS365アプリケーションのドメインは、すべての主要なブラウザの HTTP Strict Transport Security(HSTS)プリロードリストに含まれており、これらのブラウザは暗号化された接続なしにLMS365アプリケーションに接続することはないことを意味します。
プリロードリストの詳細については、こちら「https://hstspreload.org/?domain=365.systems」をご覧ください。
静止中のデータ
データベースの暗号化
Azure SQL Transparent Data Encryption(TDE)*1は、データベース、関連するバックアップ、および静止状態のトランザクションログファイルの暗号化と復号化をリアルタイムに実行することにより、Azure SQL Server & Database(s)を不正なアクセスの脅威から保護することができます。データベースの各ページは、メモリに読み込まれる際に復号化され、ディスクに書き込まれる前に暗号化されます。したがって、データが暗号化されずにディスクに書き込まれることは決してありません。
*1 LMS365は、インストール時に選択したAzureデータリージョン内の Azure Key Vault 内に安全に保管・管理されたお客様管理キー(BYOK)を用いて、TDEを使用します。
詳細については「SQL Database、SQL Managed Instance および Azure Synapse Analytics の透過的なデータ暗号化」をご参照ください。
保存データ(大容量のファイル保存)
Azure Storage のデータは、利用できる最も強力なブロック暗号の1つである 256 bit AES暗号を使用して透過的に暗号化、および復号化されており、FIPS 140-2 に準拠しています。
すべてのAzure Storageリソースは、ブロブ、ディスク、ファイル、キュー、およびテーブルを含めて暗号化されています。また、すべてのオブジェクトのメタデータも暗号化されます。
詳細については、「保存データに対する Azure Storage 暗号化」をご参照ください。
Azure VPNの暗号化
LMS365 プラットフォームで お客様のデータにアクセスするには、OpenVPN を使用した Point-to-site VPN 接続と、2048 bit の RSA 暗号化キーを持つ証明書を使用して、 Azure AD 認証で保護されたトンネルを作成し、ネットワーク経由で送信されるデータのプライバシーを保護することが要求されます。
Azure VPN クライアントは、Intune を介して配布され、許可されたユーザーのみがインストールできます。