Microsoft のヨーロッパにおけるデジタルに関する取り組み

地政学的に不確実な時期であっても、Microsoft はヨーロッパのお客様に対して、デジタルの安定性を提供することに取り組んでいることを示したいと考えています。 追加のデジタルに関する取り組みを提供することで、お客様との信頼関係をさらに強化し、ソブリン オファリングの堅牢なポートフォリオを基盤にすることで、安定したサポートとリーダーシップを示しています。

ヨーロッパの Microsoft のお客様は何も行う必要はありません。また、ヨーロッパでホストされているクラウド リージョンから現在利用できる包括的な機能セットを利用できます。Microsoft のデジタルの回復性に対する取り組みは、ヨーロッパの国家政府および欧州委員会との契約に組み込まれ、この取り組みを Microsoft Corporation およびそのすべての子会社に法的に拘束力のあるものとします。

ヨーロッパでは既に多くのソブリン機能が用意されています。現在、Microsoft Cloud for Sovereignty はすべての Azure リージョンで利用でき、ヨーロッパおよび世界中の政府機関および規制対象のお客様がソブリン機能を有効にして Azure をデプロイできるように支援しています。 さらに、Microsoft Cloud の EU データ境界は 2025 年 2 月に完全に実装され、Microsoft 365 Advanced Data Residency は現在、フランス、ドイツ、イタリア、ノルウェー、ポーランド、スペイン、スイス、スウェーデン、英国で利用でき、将来的にはオーストリア、デンマーク、ギリシャでも利用可能になる予定です。Microsoft は、クラウド サービスを引き続き拡張し、利用可能になったときにお客様にお知らせします。

Microsoft は、ヨーロッパのデータ境界、Microsoft Cloud for Sovereignty、機密コンピューティングなど、Azure で一連の堅牢なソブリン主権機能を構築しているため、パブリック クラウド オファリングを通じて、ほとんどのお客様のソブリン要件を満たすことができると考えています。そのリストには、運用の継続性を確保するために必要な場合に、弊社のコードを使用する権利を提供することに対するヨーロッパのパートナー様への取り組みが含まれています。一方、Bleu および Delos Cloud は、フランスとドイツの独立したローカル パートナーによって運営されるソブリン クラウド データセンターで実行される Microsoft クラウド サービスの別個のインスタンスです。これらは、適格基準を満たし、政府の特殊な要件 (ローカル パートナーの管理下で運営し、フランスの SecNumCloud 要件やドイツのクラウド プラットフォーム要件を満たすなど) を満たす必要がある特定のお客様を対象としています。

Microsoft は AI アクセス原則を昨年発表し、オープンソースおよび財産的価値のあるさまざまなビジネス モデルに対して、AI およびクラウド プラットフォームへのオープン アクセスを確保し、今後数ヶ月でこれらの取り組みを拡大していく予定です。
 

Microsoft は、コンプライアンス認証や独立した監査を通じて広範な第三者保証を提供しています。 Microsoft の商業クラウド提供は、業界で最も広範なコンプライアンス ポートフォリオの 1 つを持っており、世界中で 100 以上のコンプライアンス提供があり、独立した第三者によって監査されています。Microsoft は、ISO/IEC 27001 (情報セキュリティ管理)、ISO/IEC 27017 (クラウド セキュリティ)、ISO/IEC 27018 (クラウド プライバシー) などの基準に対して定期的な評価を受けており、独立した監査人による SOC 1、SOC 2、SOC 3 の認証も受けています。ヨーロッパでは、Azure はドイツの Cloud Computing Compliance Controls Catalogue (C5) などのスキームに対して認証されており、EU規制 (GDPRなど) に準拠しており、監査報告書は Microsoft Trust Center で入手可能です。Microsoft は、お客様がレビューできるように、Service Trust Portal で監査報告書やコンプライアンス文書を公開しています。これらの第三者監査は、Azure の管理体制が効果的に機能していることを確認し、お客様が安全でコンプライアンスに準拠したクラウド プラットフォームを利用できることを保証します。
 

Microsoft のエンドツーエンドの回復性戦略は、比類のないグローバル インフラストラクチャ、フォールトトレラントなサービス アーキテクチャ、堅牢な災害復旧計画を網羅しており、お客様が高可用性を考慮して設計できるようにします。ミッションクリティカルなワークロードを持つ組織は、可用性ゾーン、地理的冗長地域、厳格にテストされた継続計画など、信頼性の保護策から利益を得ており、技術的な問題のリスクを低減できます。

さらに、地政学的問題によるサービス中断のリスクに対処するために、Microsoft は、万が一 Microsoft が裁判所からサービスを停止するように要求された場合に備えて、運用の継続性のための緊急対策を持つ指定された欧州のパートナーを設置しています。

このデジタルに関する取り組みは、ヨーロッパへの投資に重点を置いています。 Microsoft は、グローバルなお客様のニーズに応えるための投資を続け、地域や国に特化した投資を適切に行っていきます。Microsoft は、運営する市場においてすべての適用法令および規制を遵守することをお約束します。

常に。Microsoft は、お客様が選択したサービスを提供するためにのみ、お客様のコンテンツにアクセスします。Microsoft は、マーケティングや広告のためにデータを採掘したり、第三者の広告主と共有したりすることはありません。Microsoft の生成 AI サービスでは、文書化されたお客様の指示に従わない限り、顧客データを使用して生成 AI 基盤モデルをトレーニングすることはありません。お客様は、コンテンツの保存、アクセス、分類、および削除を制御します。これらの原則は、Microsoft の契約および ISO/IEC 27018 のようなプライバシー基準の遵守によって支えられています。
 

お客様が、サービスの地理的地域を選択することによって、カスタマー コンテンツの保存場所を決定します。 Azure は、他のプロバイダーよりも多くの地域 (世界中で 60 以上存在し、ヨーロッパにも多数あります) を持つグローバル インフラストラクチャを備えており、データの場所を選択する柔軟性を提供します。お客様の承認なしに指定します。カスタマー コンテンツは、お客様が冗長性のために他の場所への複製を明示的に許可するか、法令を遵守する必要がある場合でない限り、お客様の選択した Azure リージョン内に留まります。たとえば、欧州連合内の Azure リージョンを選択した場合、Microsoft はその特定の地域にデータを保持します。Microsoft 365 の場合、対象のお客様は Microsoft 365 Advanced Data Residency アドオンを通じてデータの保存場所を選択するオプションがあります。
 

Microsoft Azure は業界標準の強力な暗号化アルゴリズムを使用しています。保存データの場合、Azure ではすべての顧客データに 256 ビット の AES 暗号化を適用します。AES-256 は最も強力なブロック暗号の1つです。Azure Storage、SQL Database、Azure Key Vault などのサービスで使用されており、FIPS 140-2 の暗号化基準を満たしています。転送中のデータの場合、Microsoft は最新のトランスポート層セキュリティ (TLS) プロトコルを使用しています。 Azure Front Door は、通信で TLS 1.2 と TLS 1.3 をサポートし、堅牢な暗号スイートを使用して、少なくとも 256 ビットの対称暗号化と最新のキー交換を使用して、転送中のデータの暗号化を保証します。
 

Microsoft では、Azure での暗号化キーの管理と保護のための堅牢なオプションが用意されています。既定では、すべての Azure サービスで強力な暗号化と Microsoft によって管理されるキーを使用して、顧客データを保護します。ただし、より多くの制御を必要とするお客様には、複数の選択肢があります。 Azure Storage、Azure SQL、Azure Cosmos DB などのサービス用の Azure Key Vault に格納されているカスタマー マネージド キーを使用すると、キーのローテーションとアクセス ポリシーを制御できます。Azure Key Vault のマネージド HSM を使用することもできます。これにより、専用のハードウェア セキュリティ モジュール (FIPS 140-2 レベル 3 認証済み) を使用して、完全に制御できるキーを保存できます。さらに、Azure では Bring Your Own Key やお客様が用意したキーのシナリオがサポートされています。このシナリオでは、オンプレミスまたはサードパーティの HSM でキーを生成し、クラウドで使用できます。
 

いいえ。 いいえ。Microsoft Cloud は、Microsoft 担当者がお客様の許可なしにお客様のコンテンツにアクセスすることを防ぐように設計されています。既定では、Microsoft のエンジニアは顧客データに対して “ゼロ スタンディング アクセス” (ZSA) を持っています。つまり、お客様のコンテンツを表示するための管理権限を持っていません。Microsoft 担当者が問題を解決するためにお客様のコンテンツにアクセスする必要がある場合、担当者は厳格な Just-In-Time アクセス要求プロセスを経る必要があり、そのためにはお客様の承認 (特定のサービスではカスタマー ロックボックスを介して) または管理者の承認が必要です。 すべてのアクセスには時間制限があり、完全にログされ、監査されます。これらの制御は、Microsoft のコンプライアンスを確保するために (たとえば、SOC 2 の一環として) 定期的に監査されています。

顧客データのリクエストおよび Microsoft の顧客データ保護原則に関する情報、さらなる FAQ については、政府の顧客データに対する要求レポートをご覧ください。

安全に設計されたクラウド インフラストラクチャと広範な組み込みセキュリティ サービスを通じて、データ保護要件を満たすことができます。Azure のデータセンターとネットワーク アーキテクチャは、最もセキュリティに敏感な組織のニーズを満たすように設計されています。Microsoft は多層的なセキュリティ制御とゼロトラストの原則を採用しており、使用中のデータの保護のために Azure Confidential Computing を提供し、クラウド オペレーターが処理中のデータにアクセスできないようにしています。さらに、Microsoft は、アプリケーションとデータを保護するための幅広いセキュリティ ツール (200 以上のセキュリティ、コンプライアンス、ガバナンス機能) を提供しています。たとえば、Microsoft は、すべての保存データと転送中のデータを既定で暗号化し、毎日 65 兆を超えるセキュリティ信号を活用して、脅威を継続的に監視し、新たなリスクを迅速に検出して対応します。100 件以上の認定を受けた堅牢なセキュリティ プラクティスとコンプライアンス ポートフォリオを使用して、規制とデータ保護の義務を果たすことができるよう支援します。
 

Microsoft は、マルチクラウドおよびポータビリティ シナリオの設計のためにアーキテクチャ フレームワーク ガイダンスを提供しています。 Azure はオープンソースの技術と高い互換性があるため、ポータブル コンポーネントを使用して簡単にアプリケーションを設計できます。たとえば、Azure Kubernetes Service (AKS) を介してコンテナ化とオーケストレーションを使用したり、Azure 上で PostgreSQL/MySQL のようなデータベースを使用したりできます。これらは標準エンジンを使用しているため、移行が可能です。 環境をポータブルな方法で定義するために、Infrastructure-as-Code (IaC) テンプレート (Azure Resource Manager テンプレートまたは Terraform) を使用することをおすすめします。Azure は、クラウド全体で機能する CI/CD ツール (GitHub など) とも統合されています。Azure Arc や Azure Local などのマルチクラウドおよびハイブリッドなサービスは、Azure サービスをオンプレミスまたは他のクラウドに展開し、一貫性を確保し、ワークロードをポータブルにするのに役立ちます。
 

はい。 Microsoft は、Microsoft クラウド サービスから外部の宛先へのデータ転送またはコピーをサポートしています。 Microsoft Cloud からデータを移動することに関する技術的な制限はありません。また、お客様は、標準メカニズムを通じて、Microsoft 365 などの Microsoft サービスに関連するデータを含むすべての顧客データをいつでも Azure から取得できます。Azure は、データ エクスポート サービス、Azure Data Box (出荷されたハードウェアを介したペタバイト規模のデータ移行用)、高速度ネットワーク オプション (Azure ExpressRoute または VPN など) などの機能を提供し、他の環境へのデータ移行を支援します。 Microsoft は、データを転送するために長い通知や特別な許可を要求しません。データの転送をオンデマンドで開始でき、Microsoft はオンプレミス外へ、または別のクラウド プロバイダーへのデータ エグレスも無料で提供しています。さらに、Microsoft はお客様がデータを抽出できることを保証する契約上の義務を持っており、お客様が退会した後に Microsoft のクラウドからデータが削除されることを保証しています (これはデータ保護コミットメントに沿ったものです)。