データセキュリティと暗号化

  • 更新

LMS365は、データの通信中、および保存状態中に処理されるお客様データを保護するための技術的なセキュリティ対策として、エンドツーエンドの暗号化を使用しています。

通信中のデータ

アプリケーションとAzure間のデータ通信は、AESで暗号化されたTLS 1.2+接続を使用して保護されます。

SSL/TLS証明書は、2048ビットキーでSHA256を使用し、公的に知られた認証局によって署名されます。

LMS365プラットフォームのセッション情報やその他の機密データを含むCookieは、すべてHttpOnlyとSecureフラグが有効になるように設定されています。これにより、Cookieの内容がスクリプトによってアクセスされたり、暗号化されていない接続で送信されたりしないように保護されます。

さらに、LMS365アプリケーションのドメインは、すべての主要なブラウザの HTTP Strict Transport Security(HSTS)プリロードリストに含まれており、これらのブラウザは暗号化された接続でなければLMS365アプリケーションに接続することはありません。
プリロードリストの詳細については、こちらhttps://hstspreload.org/?domain=365.systemsをご覧ください。

保存状態中のデータ

データベースの暗号化

Azure SQL Transparent Data Encryption(TDE)*1は、データベース、関連するバックアップ、および保存状態のトランザクションログファイルの暗号化と復号をリアルタイムに実行することで、悪意のあるアクティビティの脅威からAzure SQL Serverとデータベースを保護します。各データベースページは、メモリに読み込まれるときに復号され、ディスクに書き込まれる前に暗号化されます。したがって、データが暗号化されずにディスクに書き込まれることはありません。

*1LMS365 は、インストールの際に選択した Azure データリージョン内の Azure Key Vault 内で安全に保存および管理されるカスタマー・マネージド・キー(BYOK)を用いて TDE を使用します。

詳細についてはマイクロソフトのドキュメント「SQL Database、SQL Managed Instance および Azure Synapse Analytics の透過的なデータ暗号化」をご参照ください。

保存データ(大容量のファイル保存)

Azure Storageのデータは、利用可能なブロック暗号の中で最も強力な256ビットAES暗号を使用して透過的に暗号化および復号され、それはFIPS 140-2に準拠しています。

ブロブ、ディスク、ファイル、キュー、テーブルを含むすべてのAzure Storageリソースを暗号化します。また、すべてのオブジェクトメタデータも暗号化されています。

詳細についてはマイクロソフトのドキュメント保存データに対する Azure Storage 暗号化」をご参照ください。

Azure VPNの暗号化

LMS365 プラットフォーム上でお客様のデータにアクセスするには、OpenVPN を使用した Point-to-Site VPN 接続と、ネットワーク間で送信されるデータのプライバシーを保護のため、Azure AD 認証で安全なトンネルを作成する 2048 ビットの RSA 暗号化キーをもつ証明書が要求されます。

Azure VPN クライアントは Intune を通じて配布され、認証されたユーザーだけがインストールすることができます。