(Request for Information (情報提供依頼書) に対する標準的なレスポンス> セキュリティおよびプライバシー)

(2011 年 10 月 | バージョン 2)

免責事項

このドキュメントに記載されている情報は、このドキュメントの発行時点におけるマイクロソフトの見解を反映したものです。マイクロソフトは市場の変化に対応する必要があるため、記載された内容の実現に関するマイクロソフトの確約とは見なされないものとします。また、本書の発行後は、提示されている情報の正確性に関して、マイクロソフトはいかなる保証もいたしません。このドキュメントの最新版は、http://aka.ms/gdox5v で参照できます。

このドキュメントに記載された内容は情報提供のみを目的としており、明示、黙示または法律の規定にかかわらず、本書の情報についてマイクロソフトは一切の保証を行うものではありません。

お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、複製または譲渡することは禁じられています。ここでいう形態とは、複写や記録など、電子的な、または物理的なすべての手段を含みます。ただしこれは、著作権法上のお客様の権利を制限するものではありません。

マイクロソフトは、本書に記載されている内容に関し、特許、特許出願、商標にかかわる権利、著作権、またはその他の知的財産権を有する場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、本書はこれらの特許、商標、著作権、またはその他の知的財産権に関する権利をお客様に許諾するものではありません。

© 2011 Microsoft Corporation. All rights reserved.

Microsoft および Microsoft Office 365 は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標である場合があります。

記載されている会社名、製品名は、それぞれの会社の商標の場合があります。

(目次)

ページ

はじめに

4

Office 365 の配信方法: サービス スタック

5

Microsoft Online Services のスタックに対する ISO 認定

6-8

Cloud Control Matrix 項番ごとの Microsoft の対応

9 -50

コンプライアンス

CO-01 ～ CO-06

9 - 11

データ ガバナンス

DG-01 ～ DG-08

12 - 15

施設

FS-01 ～ FS-08

16 - 18

人的資源

HR-01 ～ HR-03

19

情報セキュリティ

IS-01 ～ IS-34

20 - 33

法務

LG-01 ～ LG-02

33 - 34

運用

OP-01 ～ OP-04

34 - 35

リスク管理

RI-01 ～ RI-05

36 - 37

リリース管理

RM-01 ～ RM-05

38 - 39

復元

RS-01 ～ RS-08

40 - 42

セキュリティ アーキテクチャー

SA-01 ～ SA-15

43 - 50

(Cloud Security Alliance (CSA) は、クラウド コンピューティングにおけるセキュリティ保証のためにベスト プラクティスの使用を推進している非営利組織です。Cloud Security Alliance では、お客様によるクラウド サービスの評価をサポートし、クラウド サービスへの移行前に回答を得ておくことが望ましい問題を明らかにするために Cloud Control Matrix を発行しました。これに記載されている内容に対し、Microsoft Online Services では、推奨されている原則に対する対応状況について説明し、それらを ISO 認定に対応付けるためにこのドキュメントを作成しました。)はじめに

クラウドによるコンピューティングでは、セキュリティ、データ保護、プライバシー、およびデータの所有権に関する疑問が生じます。Microsoft® Office 365 (Microsoft® Exchange Online、Microsoft® SharePoint Online、および Microsoft® Lync™ Online ブランドのサービスを含む) は、世界各国のマイクロソフトのデータ センターで物理的にホスティングされており、企業のお客様が求めるパフォーマンス、スケーラビリティ、セキュリティ、およびサービス レベルを提供するように設計されています。マイクロソフトは最先端のテクノロジとプロセスを適用して、一貫性があり信頼できるアクセス、セキュリティ、およびプライバシーをあらゆるユーザーに確保してきました。Microsoft Online Services には、さまざまな規制やプライバシー保護に関する指示を遵守するための機能が組み込まれてきました。

このドキュメントでは、Cloud Security Alliance (CSA) の Cloud Control Matrix (CCM) に定義されたセキュリティ、プライバシー、コンプライアンス、およびリスク管理の諸要件に対して、Microsoft Online Services で行われている対応について詳しく解説します。このドキュメントが Microsoft Online Services の運用に関する情報提供を目的としていることに注意してください。サービスがプロビジョニングされた後、環境を制御して保守する責任はお客様にあります (つまり、ユーザー アクセス管理や、規制要件に準拠した適切なポリシーおよび手順など)。

クラウドのセキュリティ要件: Cloud Control Matrix

Cloud Control Matrix (CCM) は、クラウドに移行するときにお客様が適切な判断を行う指針となるように、業界をリードする実務者で運営される非営利団体によって発行されたものです。このドキュメント内の表では、Cloud Security Alliance ガイダンスに沿ったセキュリティおよびプライバシー、概念、原則について 13 の領域にわたって詳しく説明されています。

このドキュメントでは、この CCM 要件に対するマイクロソフトの対応について詳しく説明します。Request for Information (RFI: 情報提供依頼書) に対する標準的な回答を用意することにより、お客様に詳細な情報を提示し、現在の市場におけるさまざまなサービスの評価に役立てていただきたいと考えています。

Office 365 の紹介

マイクロソフトは、さまざまなクラウド サービスを提供していますが、ここでは特に、マイクロソフトによる企業向けのホスティング サービスである Microsoft® Office 365 に関する回答を提示することを目的としています。Office 365 は、オンライン バージョンの電子メールおよび共同作業支援ソフトウェアを使い慣れた Microsoft Office Professional Plus スイートとクラウドで統合した、一連の生産性アプリケーションを提供します。Office 365 アプリケーションは、クラウド インフラストラクチャで動作し、さまざまなクライアント デバイスからアクセスできます。基盤となるクラウド インフラストラクチャ、ネットワーク、サーバー、オペレーティング システム、ストレージ、特定の構成機能を除いた個々のアプリケーション機能を、お客様が管理したり制御したりすることはありません。詳細については、www.office365.com を参照してください。

(セキュリティ センターでは、データの地理的な場所、管理者アクセス、コンプライアンス プラクティスに関して展開された情報などのトピックに関する追加情報を提供しています。詳細についてはセキュリティ センターにアクセスしてください。(http://go.microsoft.com/fwlink/?LinkID=206613&CLCID=0x411))Office 365 の配信方法: サービス スタック

Software-as-a-Service の制御環境を評価する場合、クラウド サービス プロバイダーのサービス スタック全体を考慮することが重要です。インフラストラクチャおよびアプリケーション サービスの提供に多くのさまざまな組織がかかわっている可能性があり、この場合、調整不良のリスクが高くなります。スタック内のどれか 1 層でも中断されると、クラウド サービスの配信は危うくなり、破滅的な影響が及びます。このため、お客様は、サービス プロバイダーの運用方法を評価し、実際のアプリケーションだけでなくサービスの基盤となるインフラストラクチャとプラットフォームについても理解する必要があるのです。

マイクロソフトは、クラウド用に開発されたアプリケーションから、データおよびサービスをホスティングするデータ センター、さらには情報を転送する光ファイバー ケーブル網、そしてサービスの実際のプロビジョニングまで、スタック全体を所有し管理しているクラウド サービス プロバイダーです。

Office 365 環境では、Microsoft Global Foundation Services グループ (マイクロソフトのお客様とマイクロソフト社内の両方にインフラストラクチャ サービスを提供) と、Microsoft Online Services グループ (アプリケーション スイートとデータ層を提供) によって、サービスが管理されています (図 1 参照)。

図 1: Office 365 のサービス スタック

(Microsoft Global Foundation Services) (Microsoft Online Services) (お客様による管理) (お客様のビジネスプロセス A) (お客様のビジネスプロセス B) (お客様のビジネスプロセス C) (お客様のビジネスプロセス D) ((サーバー、記憶域、ラック)) ((物理的な施設、UPS、冷却機器)) ((スイッチ、ルーター、ケーブル、SAN)) (アプリケーション スイート) (データ センター) (ネットワーク インフラストラクチャ) (サーバー インフラストラクチャ) (データ)

Microsoft Online Services のスタックに対する ISO 認定

(マイクロソフトの ISO 27001 認定により、お客様は、マイクロソフトがどの程度、規格および実装ガイダンスを満たし、または超えているかを評価することができます。)Office 365 とその基盤となっているインフラストラクチャ (Microsoft Global Foundation Services) はどちらも、国際標準化機構のファミリ規格 (ISO/IEC 27001:2005) に基づくセキュリティ フレームワークを採用し、独立した監査法人によって ISO 27001 認定を取得しています。

この ISO 27001 認定により、お客様は、マイクロソフトがどの程度、認定を受けた規格および実装ガイダンスを満たし、または超えているかを評価することができます。ISO 27001 は、Information Security Management System (ISMS) の実装、監視、保守、および継続的な改善方法を定義するものです。さらに、サービスとインフラストラクチャの両方が、年 1 回の SAS 70 (またはその後継である SSAE16) 監査を受けています。

Office 365 に適用される Microsoft Online Services の情報セキュリティ ポリシーは、オンライン サービスに特有の要件で拡張された ISO 27002 にも合致しています。ISO 27002 は認定ではありませんが、Information Security Management System に適切な一連の制御を提案し提供しています。

CSA 要件とマイクロソフトの対応の構成

以降のページでは、マイクロソフトのセキュリティ プラクティスを、CCM で示されたガイダンスに対応させています。“CCM での項番” と “説明” という最初の 2 つの列は、CCM で特定している関連した制御から直接取得した内容から構成されています1。“マイクロソフトの対応” という 3 番目の列は、次の内容から構成されています。

1) Microsoft Online Services が Cloud Security Alliance の推奨事項にどのように対応しているかに関する簡単な説明。

2) Microsoft Global Foundation Services (GFS) または Microsoft Online Services の ISO 27001 認定 (該当する場合) によって立証された ISO 27001 制御の参照。

例:

Cloud Security Alliance の Cloud Control Matrix、項番 IS-O2 での記述:

「役員およびライン管理者は、明確に文書化された指示、コミットメント、明示的な割り当て、割り当て内容の実施状況の検証を通じて、情報セキュリティをサポートするための正式なアクションを行う必要があります。」

マイクロソフトの対応:

「各管理者によって承認されたバージョンの情報セキュリティ ポリシー、およびそれ以降のすべての更新情報が、該当するすべての関係者に対して配布されます。情報セキュリティ ポリシーは、Microsoft Online Services の新規および既存の従業員全員が確認できるようになっています。

(1) 列 1 と 2 の CCM の内容は、© 2011 Cloud Security Alliance の著作権のもと、許可を得て使用しています。

マイクロソフトの対応 (続き):

(Microsoft Online Services が ISO 27001 認定を取得しているという事実は、マイクロソフトの環境がこれらの規格をクリアまたは上回っているという外部監査法人の期待に応えていることを意味しています。Microsoft Online Services の ISO 認定の公開版は次のサイトで入手できます。 ISO 認定(http://www.bsigroup.com/en/Assessment-and-certification-services/Client-directory/ Search Term:Microsoft Online Services))Microsoft Online Services の従業員は全員、情報セキュリティ ポリシー文書内のすべてのポリシーを確認し、それに従うことに同意した旨を表明します。

Microsoft Online Services の契約業者のスタッフは全員、情報セキュリティ ポリシー内の関連したポリシーに従うことに同意しています。これらの関係者のいずれかが何らかの理由でこのポリシーにアクセスできない場合は、マイクロソフトの管理担当のエージェントがこのポリシーをその関係者に配布する責任を負います。お客様向けの情報セキュリティ ポリシーは、要求に応じて入手できるようになっています。お客様と新規のお客様が情報セキュリティ ポリシーのコピーを受け取るには、署名入りの NDA またはその同等物を所有している必要があります。

ISO 27001 規格の、第 5 節および付属文書 A の項 6.1.1 で、"情報セキュリティに対する管理者のコミットメント" と "管理者の責任" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

詳細とガイダンスの取得方法:

公開されている ISO 27001 および ISO 27002 規格を確認しておくことを強くお勧めします。ISO 規格は、国際標準化機構の Web サイト (http://www.iso.org/iso/iso_catalogue) から購入できます。これらの ISO 規格により、詳細とガイダンスを把握できます。繰り返しになりますが、Microsoft Online Services が ISO 27001 認定を取得しているという事実は、マイクロソフトの環境がこれらの規格をクリアまたは上回っているという外部の監査法人の期待値に応えていることを意味しています。

例:

規格を確認する際、ISO 27001 の制御または節を見ると、たとえばISO 27001 規格、または ISO 27002 の項番 6.1.1 の詳細から、第 5 節 "管理者の情報セキュリティへのコミットメント" などの細目がわかります。

“管理者の責任….."

リソース

マイクロソフトのセキュリティ センターにアクセスして次の資料を入手してください。

· ホワイト ペーパー

· よく寄せられる質問

· 認定情報

· 購入可能な ISO 規格

(セキュリティ センターのリンク: http://go.microsoft.com/fwlink/?LinkID=206613&CLCID=0x411)

Microsoft Online Services の ISO 認定の公開版は次のサイトで入手できます。ISO 認定 (http://www.bsigroup.com/en/Assessment-and-certification-services/Client-directory/ 検索語句: Microsoft Online Services)

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 CO-01 ～ CO-02

CCM での

項番[footnoteRef:1] [1: 列 1 と 2 の CCM の内容は、© 2011 Cloud Security Alliance の著作権のもと、許可を得て使用しています。]

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

CO-01

コンプライアンス - 監査計画

データの複製、アクセス、およびデータ境界の制限に焦点を当てた監査計画、アクティビティ、および運用活動の項目は、ビジネス プロセスへの悪影響を最小限に抑えるように設計する必要があります。

監査活動は、事前に関係者の承諾を得たうえで計画する必要があります。

セキュリティを重視したサービスを運用し、セキュリティに関する絶対的な安心感をお客様に約束することが、マイクロソフトの目標です。マイクロソフトでは、不慮の損失、破壊、または変更、承認されていない開示やアクセス、または不法行為による破壊から、お客様のデータを保護できるように、合理的かつ適切で、技術的および組織的な対策、内部統制、情報セキュリティ ルーチンを実装しており、今後もこれを維持していきます。年に 1 度、国際的に認められた第三者機関による監査を受けており、セキュリティ、プライバシー、継続性、およびコンプライアンスに関するポリシーと手順を遵守していることが独立機関によって検証されています。監査情報は、新規のお客様の場合は NDA に基づいて請求することによって、現在のお客様の場合はセキュリティ センターを通じて入手できます。

独立した監査法人によるMicrosoft Online Services のレポートおよび認定は、お客様と共有されるので、お客様が個別に監査を行う必要はありません。これらの認定および認証は、セキュリティおよびコンプライアンスの目標を設定して実現する方法を正確に表し、すべてのお客様に対する約束を検証する実践的なメカニズムとして機能しています。

セキュリティおよび運用上の理由により、Microsoft Online Services では、お客様自身による監査を許可していません。

ISO 27001 規格 (具体的には第 4.2.3 節) で、”Information Security Management System (ISMS) の監視およびレビュー” が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CO-02

コンプライアンス - 独立監査

少なくとも年に 1 度、または定期的に、外部機関による調査および評価を実施して、ポリシー、手順、規格、および該当する規制要件 (内部/外部監査、認証、脆弱性、侵入テストなど) に組織が従っていることを確認する必要があります。

詳細については、CO-01 を参照してください。現在の認定およびサード パーティによる認証についてはセキュリティ センターにアクセスしてください。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 CO-03 ～ CO-05

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

CO-03

コンプライアンス – サード パーティの監査

サード パーティのサービス プロバイダーは、サード パーティとの契約に含まれる、情報セキュリティおよび機密性、サービスの定義、提供レベルの諸合意事項に対するコンプライアンスを示す必要があります。サード パーティによるレポート、レコード、およびサービスは、定期的に監査および調査を受け、サービス提供契約に対するコンプライアンスを制御および維持する必要があります。

Microsoft Online Services は契約に基づいて、マイクロソフトに対するサード パーティのサービス プロバイダーに、Microsoft Online Services の情報セキュリティ ポリシーで規定された要件を実現し維持するように要求しています。さらに、Microsoft Online Services は、これらのサード パーティ プロバイダーに対し、年に 1 度第三者機関による監査を受けるか、Microsoft Online Services の年次の第三者機関による監査に参加するように要求しています。

ISO 27001 規格 (具体的には付属文書 A の項 6.2 および 10.2) で、"サード パーティとの契約およびサード パーティによるサービス提供の管理におけるセキュリティの対処" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CO-04

コンプライアンス - 連絡先/公的機関の管理

ビジネスおよび顧客の要件と、法令、規制、契約上の要件に基づいて、地域の公的機関との窓口や連絡先を保持する必要があります。データ、オブジェクト、アプリケーション、インフラストラクチャ、およびハードウェアに、法的区分および管轄を割り当てれば、コンプライアンス関係の適切な連絡窓口を楽に確保できます。

Microsoft Online Services は、規制機関、サービス プロバイダー、リスク管理機関、および業界フォーラムなどの外部団体との連絡を維持し、必要に応じて適切な行動をすばやく起こし、アドバイスが得られるようにしています。マイクロソフトでは、法執行機関と十分に連絡できるように専任チームを用意しています。これらの関係を管理し維持する役割および責任が定義されています。

ISO 27001 規格 (具体的には付属文書 A の項 6.1.6 および 6.1.7) で、"公的機関との連絡と特別利益団体との連絡" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CO-05

コンプライアンス - 情報システムと規制の対応

法、規制、および契約上の要件は、情報システムのすべての要素に対して定義する必要があります。既知の要件を満たし、新たな規定に適応するために組織が行うアプローチは、組織内の情報システムの要素ごとに、明示的に定義し、文書化し、最新の状態を維持する必要があります。情報システムの要素には、データ、オブジェクト、アプリケーション、インフラストラクチャ、ハードウェアなどがあります。適切なコンプライアンスと対応付けやすくするために、それぞれの要素には法的区分および管轄を割り当てることができます。

Microsoft Online Services は、管轄区域を含め、準拠している法律および規制に関する情報を、契約やサービスの説明を通じて提供します。Microsoft Online Services には、該当する法規制の変更に応じて、変更を識別しサービスに実装するための確立されたプロセスがあります。この確認プロセスは、年に 1 度 ISO 27001 の監査中に行われます。さらに、Microsoft Online Services の Web インターフェイスでは、Microsoft Online Services のサポート対象外の管轄区域に在住しているユーザーを追加する機能が制限されています。

ISO 27001 規格 (具体的には第 4.2.1 節および 7.3 のほか、付属文書 A の項 15.1) で、"ISMS の確立、ISMS の管理レビュー、および法的要件のコンプライアンス" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 CO-06

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

CO-06

コンプライアンス - 知的財産

組織を管理する司法管轄区域および契約上の制約内で、知的財産権および所有権のあるソフトウェアの使用を保護するために、ポリシー、プロセス、および手順を確立して実装する必要があります。

すべての従業員と派遣スタッフは、該当する知的財産権に関する法律に従うことを義務付けられ、マイクロソフトは、組織を管理する司法管轄区域および契約上の制約内で、所有権のあるソフトウェアの使用に対する責任を担っています。それぞれのサービスは、用意ができる前に、あらゆるサード パーティ製ソフトウェアの点検を受け、適切にライセンスが付与されていることが確認されます。

さらに Microsoft Online Services には、デジタル ミレニアム著作権法の "テイクダウン" 要件や同様のサービス関連の法律に従っていることを確認するためのポリシーおよび手順が用意されています。

Microsoft Online Services では、お客様のデータを、Microsoft Online Services を維持し提供する目的にのみ使用します。マイクロソフトのビジネス サービスはコンシューマー サービスとは別に設計されています。コンシューマー サービスとビジネス サービスの両方に使用されるシステム上にデータが保存され、処理される場合がありますが、ビジネス サービスのデータが広告に使用されるシステムと共有されることはありません。

ISO 27001 規格 (具体的には第 4.2.1 節) で、"ISMS の確立" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 DG-01 ～ DG-02

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

DG-01

データ ガバナンス - 所有権/管理者責任

すべてのデータには管理者責任を指定する必要があります。この場合、割り当てられる責任を定義し、文書化し、伝達します。

Microsoft Online Services では、その提供に使用される資産 (資産の定義にはデータとハードウェアを含む) に関して記録を残し、その資産の所有者を割り当てるよう求める正式なポリシーを実装しています。資産所有者は、その資産に関する情報を常に最新にしておく責任を担います。

ISO 27001 規格 (具体的には付属文書 A の項 6.1.3 および 7.1.2) で、"情報セキュリティの責任と資産の所有権の割り当て" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

DG-02

データ ガバナンス - 分類

データの種類、発信元の司法管轄区域、所在地司法管轄区域、内容、法律上の制約、契約上の制約、価値、機密性、組織およびサード パーティの保持義務に対する重要性、および不正な開示または誤使用の防止に基づいて、データおよびデータを含むオブジェクトに対して分類を適用する必要があります。

Microsoft Online Services の規格では、複数の該当するセキュリティ分類カテゴリーに資産を分類し、その後で一連の標準的なセキュリティおよびプライバシー属性を実装するためのガイダンスを用意しています。

ISO 27001 規格 (具体的には付属文書 A の項 7.2) で、"情報の分類" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 DG-03 ～ DG-04

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

DG-03

データ ガバナンス - 処理/ラベリング/セキュリティ ポリシー

データおよびデータを含むオブジェクトのラベリング、処理、およびセキュリティについて、ポリシーと手順を確立する必要があります。データの収集コンテナーとして機能するオブジェクトの場合、ラベル継承のメカニズムを実装する必要があります。

Microsoft Online Services の規格では、複数の該当するセキュリティ分類カテゴリーに資産を分類し、その後で一連の標準的なセキュリティおよびプライバシー属性を実装するためのガイダンスを用意しています。

ISO 27001 規格 (具体的には付属文書 A の項 7.2) で、"情報の分類、ラベリング、および処理" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

DG-04

データ ガバナンス - 保持ポリシー

規制、法律、契約、またはビジネス上の要件に対するコンプライアンスを実現するために、データの保持および格納に関するポリシーと手順を確立し、バックアップまたは冗長性メカニズムを実装する必要があります。ディスクの回復やテープのバックアップのテストを定期的に実施する必要があります。

Microsoft Online Services には、個々のサービスの説明 (http://aka.ms/Office365SD-J) での定義に従って、お客様がデータ保持ポリシーを適用するための機能が用意されています。バックアップの場合、内容がプライマリー データ センターからセカンダリー データ センターにレプリケートされます。このように、レプリケーションは定期的に行われるため、特に決められたバックアップ スケジュールはありません。お客様は、必要に応じて、自社でのデータの抽出およびバックアップの実行を選択できます。お客様のデータは、堅牢なバックアップ、復元、フェールオーバーの各機能を備えた冗長な環境に格納され、可用性、ビジネスの継続性、および迅速な回復を実現します。ローカル ディスクの障害から守るための冗長なディスクから、地理的に分散したデータ センターへの継続的で完全なデータ レプリケーションに至るまで、複数レベルのデータの冗長性が実装されています。Microsoft Online では、年に 1 度、バックアップおよび回復の作業を検証しています。

ISO 27001 規格 (具体的には付属文書 A の項 10.5.1) で、"情報のバックアップ" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 DG-05 ～ DG-06

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

DG-05

データ ガバナンス - 安全な廃棄

データを安全に廃棄し、すべての記憶域メディアから完全に削除するポリシーと手順を確立し、そのためのメカニズムを実装して、どのようなコンピューター犯罪の手段でもデータを回復できないようにする必要があります。

マイクロソフトはベスト プラクティスの手順と、NIST 800-88 準拠の消去ソリューションを使用しています。データを消去できないハード ドライブの場合は、壊し (つまり切断する)、情報の回復を不可能にする (分解、切断、粉砕、償却など) 破壊処理を使用します。廃棄する資産の種類によって適切な処分方法が決まります。破壊の記録は保持されます。

すべての Microsoft Online Services は、承認された記憶域メディアと廃棄管理サービスを使用します。用紙に印刷された文書は、あらかじめ決められた保存期間後に承認された方法で破棄されます。

ISO 27001 規格 (具体的には付属文書 A の項 9.2.6 および 10.7.2) で、"機器の安全な処分または再使用とメディアの処分" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

DG-06

データ ガバナンス - 非運用データ

運用データは複製したり、非運用環境で使用したりしないでください。

マイクロソフトでは、職務分離の原則を採用し、テスト環境や運用環境へのアクセスをポリシーに応じて制限しています。

お客様の非公開データを運用環境から非運用環境に移動またはコピーすることは、お客様の同意が得られた場合や、マイクロソフトの法務部門の指示による場合を除き、明示的に禁止されています。

ISO 27001 規格 (具体的には付属文書 A の項 10.1.4 および 12.4.2) で、"開発設備、テスト設備、および運用設備の分離とシステム テスト データの保護" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 DG-07 ～ DG-08

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

DG-07

データ ガバナンス - 情報漏えい

データの漏えいを防止するセキュリティ メカニズムを実装する必要があります。

Microsoft Online Services の環境には、論理制御と物理制御が実装されています (ダウンロード センターから入手可能な Office365 セキュリティ サービスの説明を参照)。お客様は、次のようなテクノロジをサポートすることにより、基本機能を拡張できます。

1) メッセージのトランスポート ルールの構成

2) 電子メール データ漏えい保護製品との統合

3) Active Directory Rights Management Services の統合のサポート

4) Exchange Hosted Encryption と代替の暗号化製品

5) SharePoint Online 管理者は、グループまたは役割ベースのアクセス制御や、組み込みのコンテンツ監査を有効にすることができます。また (カスタマー サポート サービスを通じて) 管理者アクセス レポートを要求することもできます。

ISO 27001 規格 (具体的には付属文書 A の項 12.5.4) で、"情報の漏えい" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

DG-08

データ ガバナンス - リスク評価

データ ガバナンス要件に関連するリスク評価は、以下の点を考慮して定期的に行う必要があります。

· アプリケーション、データベース、サーバー、およびネットワーク インフラストラクチャ全体で、機密データが保存され、転送される場所に対する認識

· 定められた保持期間と、寿命経過後の処分要件に関するコンプライアンス

· データの分類と、不正な使用、アクセス、損失、破壊、および改ざんに対する保護

Microsoft Online Services は、年に 1 度、ビジネスへの影響分析を実行しています。次のような分析を行います。

• Microsoft Online Services ビジネス環境およびプロセスに関連する脅威の特定• 可能性のある影響と予想される損害を含んだ、特定した脅威の評価• 特定された重大な脅威を軽減し、ビジネス プロセスを回復するための役員により承認された戦略

ISO 27001 規格 (具体的には第 4.2.1 節と付属文書 A の項 7.2) で、"ISMS と情報分類および資産管理の確立" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 FS-01 ～ FS-02

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

FS-01

施設のセキュリティ - ポリシー

オフィス、部屋、施設、およびセキュリティを要する領域において安全でセキュリティの確保された作業環境を維持するためのポリシーと手順を確立する必要があります。

マイクロソフトのすべての建物へのアクセスは管理されており、アクセスはカード リーダーによって制限されます (正規の ID バッジをカード リーダーに通します)。また、データ センターへの入室は生体認証によって制限されます。受付の職員は、ID カードを携帯していない正社員 (FTE) や契約業者を積極的に監視する必要があります。すべてのゲストは、ゲスト バッジを着用し、権限を与えられたマイクロソフトの従業員によってエスコートされる必要があります。

ISO 27001 規格 (具体的には付属文書 A の項 9.1.3) で、"セキュリティが確保されたオフィス、部屋、および施設" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

FS-02

施設のセキュリティ - ユーザー アクセス

ユーザーやサポート担当者による情報資産や機能への物理的なアクセスは制限する必要があります。

アクセスは職務によって制限されるため、必要な担当者だけにお客様のアプリケーションやサービスを管理する権限が与えられます。物理的なアクセス権限では、次のような複数の認証とセキュリティのプロセスを利用します。バッジとスマートカード、生体スキャナー、社内のセキュリティ責任者、継続的なビデオ監視、およびデータ センター環境への物理アクセスの際の 2 要素認証。

データ センター内のさまざまなドアに取り付けられた物理的な入室管理装置に加え、マイクロソフトのデータ センター管理組織では、物理的なアクセスを許可された従業員、契約業者、訪問者のみに限定するための、運用上の手順を導入しています。• マイクロソフトのデータ センターへの一時的または永続的なアクセスを付与する権限は、その資格を持つスタッフに限定されます。要求とそれに対応する権限付与の決定は、チケット/アクセス システムによって追跡されます。• アクセスを要求する従業員には、身元確認が完了した後にバッジが発行されます。• マイクロソフトのデータ センター管理組織は、定期的にアクセス リストの確認を行います。この監査の結果として、確認後に適切な処置が実行されます。

ISO 27001 規格 (具体的には付属文書 A の項 9) で、"物理的なセキュリティおよび環境上のセキュリティ" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 FS-03 ～ FS-05

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

FS-03

施設のセキュリティ - 管理されたアクセス ポイント

機密データや情報システムを保護するため、物理的なセキュリティ境界 (フェンス、壁、障壁、守衛、門、電子的な監視、物理的な認証メカニズム、受付、セキュリティ警備) を実装する必要があります。

データ センターの建物は目立たないようにし、その場所でマイクロソフトのデータ センター ホスティング サービスが提供されていることを公表しないようにします。データ センターの施設へのアクセスは制限されます。主要な内部エリアまたは受付エリアには、その周囲のドアに電子カードによるアクセス コントロール機器が取り付けられており、これによって内部施設へのアクセスが制限されます。マイクロソフトのデータ センター内の重要なシステム (サーバー、発電機、電子パネル、ネットワーク機器など) が設置されている部屋は、電子カードによるアクセス コントロール、キーによるロック、共連れ防止機能、生体認証デバイスなどのさまざまなセキュリティ メカニズムによって入室が制限されます。

特定の資産に関しては、ポリシーやビジネス要件に応じて、"施錠可能な棚"、または施設境界内に設置される施錠可能なケージなど、他の物理的な障壁を敷設する場合があります。

ISO 27001 規格 (具体的には付属文書 A の項 9) で、"物理的なセキュリティ境界および環境上のセキュリティ" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

FS-04

施設のセキュリティ - セキュリティが確保される領域の認証

セキュリティが確保される領域への入退室は、物理的なアクセス コントロール メカニズムによって制限、監視することによって、権限が与えられた人のみに対してアクセスが許可されるようにする必要があります。

ISO 27001 規格 (具体的には付属文書 A の項 9) で、"パブリック アクセス、配送、荷物の積み込み領域、および物理的/環境上のセキュリティ" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

追加情報については、FS-03 も参照してください。

FS-05

施設のセキュリティ - 権限のない人の入館

サービス エリアなどの入退館の場所、および権限のない人が構内に入ることのできる場所は、不正なデータの破損、毀損、損失を防止するため、監視と管理を行う必要があり、可能であればデータ ストレージ施設やデータ処理施設からは隔離します。

ISO 27001 規格 (具体的には付属文書 A の項 9) で、"パブリック アクセス、配送、荷物の積み込み領域、および物理的/環境上のセキュリティ" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

追加情報については、FS-03 も参照してください。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 FS-06 ～ FS-08

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

FS-06

施設のセキュリティ - 施設の外部に移管する際の承認

施設の外部にハードウェア、ソフトウェア、またはデータを移管または移動する場合は、その間に承認を得る必要があります。

Microsoft Online Services の資産やデータの保護手順は、論理的なデータや物理的なデータの保護を規定するガイダンスを提供します。これには、移転に関する指示も含まれています。

ISO 27001 規格 (具体的には付属文書 A の項 9.2.7 および 10.1.2) で、"資産の除去および変更の管理" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

FS-07

施設のセキュリティ - 施設の外部の機器

組織の施設の外部で維持され使用される機器の資産管理と安全性の確保、および安全な廃棄について、ポリシーと手順を確立する必要があります。

Microsoft Online Services のテクノロジ資産、インフラストラクチャ コンポーネント、およびサービス テクノロジを対象とした、マイクロソフトの資産管理ポリシーと許容される使用方法の規格が作成され実装されました。

お客様向けバージョンの情報セキュリティ ポリシーは、要求に応じて入手できるようになっています。お客様と新規のお客様が情報セキュリティ ポリシーのコピーを受け取るには、署名入りの NDA またはその同等物を所有している必要があります。

ISO 27001 規格 (具体的には付属文書 A の項 9.2.5) で、"施設の外部で使用される機器のセキュリティ" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

FS-08

施設のセキュリティ - 資産管理

重要な資産に関して、所有者が定義され、文書化された完全な一覧を保持する必要があります。

Microsoft Online Services では、その提供に使用される資産に関して記録を残し、その資産の所有者を割り当てるよう求める正式なポリシーを実装しています。Microsoft Online Services 環境の主要なハードウェア資産の一覧は保持されています。資産の所有者は、資産一覧の中でその資産の情報 (所有者または関連する代理人、場所、セキュリティ分類など) が最新であるように保守する責任を担います。資産の所有者は、資産保護を規格に応じて分類し、保守する役割も担います。資産の一覧を検証するために、定期的な監査が実施されます。

ISO 27001 規格 (具体的には付属文書 A の項 7) で、"資産管理" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 HR-01 ～ HR-03

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

HR-01

人的資源のセキュリティ - 背景情報の審査

現地の法律、規制、倫理、契約上の制限に従って、すべての採用予定の従業員、契約業者、サード パーティについては、アクセスするデータの分類、ビジネスの要件、および許容し得るリスクに応じて背景情報の確認を行います。

米国のマイクロソフトに採用されたすべての正社員 (FTE) は、採用プロセスの一環として、標準的な背景情報のチェックに合格する必要があります。背景情報のチェックには、採用予定者の学歴、職務経歴、および犯罪歴に関する情報の確認が含まれる場合があります (ただしこれに限定されるものではありません)。

お客様の非公開データへのアクセス権を持つ契約業者もまた、お客様のデータへのアクセス権を付与する前に、背景情報のチェックに合格する必要がある場合があります。

アメリカ合衆国連邦の環境に関連したアクセスが必要な場合は、追加の情報や背景に関するチェックが適用される場合もあります。従業員のプライバシーを保護するため、マイクロソフトは背景情報チェックの結果を顧客と共有することはありません。この審査プロセスは、Microsoft 米国本社人事部門によって所有されます。

HR-02

人的資源のセキュリティ - 雇用における合意事項

施設、システム、データへの物理的または論理的なアクセス権を個人に付与する前に、従業員、契約業者、サード パーティのユーザー、および顧客は、雇用またはサービス契約に関する条項および条件に合意し、署名する必要があります。これには、情報セキュリティに関する関係者の責任が明示的に含まれる必要があります。

マイクロソフト内の該当するすべての従業員は、Microsoft Online Services がスポンサーとなっているセキュリティ トレーニング プログラムに参加し、該当する場合は定期的なセキュリティ意識向上に関する最新情報を受け取ります。セキュリティ教育は継続的なプロセスであり、リスクを最小限に抑えるために定期的に行われます。また、マイクロソフトは、当社の従業員との契約に機密保持条項を組み込んでいます。

Microsoft Online Services のすべての契約業者のスタッフは、その提供するサービスや実行する役割に応じたトレーニングを受ける必要があります。

ISO 27001 規格 (具体的には付属文書 A の項 8) で、"役割と責任、および情報セキュリティの意識向上、教育、トレーニング" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

HR-03

人事 - 雇用の終了

雇用手続きにおいて雇用の終了や変更を行う際の役割や責任に関して、割り当て、文書化、コミュニケーションを行う必要があります。

従業員の雇用終了プロセスは、Microsoft 米国本社の人事ポリシーによって行われます。

当社がお客様のアカウントを作成することはありません。お客様自身が、Microsoft Online Services ポータルで直接アカウントを作成するか、またはローカルの Active Directory 内にアカウントを作成します。それらのアカウントは、Microsoft Online Services と同期することができます。そのため、作成するユーザー アカウントの正確性については、お客様がその責任を負います。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 IS-01 ～ IS-02

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

IS-01

情報セキュリティ - 管理プログラム

情報セキュリティ管理プログラム (ISMP) が開発され、文書化、承認、実装されました。これには、資産やデータを損失、誤使用、不正アクセス、意図しない開示、変更、破壊から保護するための、管理的、技術的、および物理的な保護措置が含まれています。このセキュリティ プログラムは、ビジネスの特徴に関連する限りにおいて、以下の領域に対応します (ただしこれらに限定されません)。 • リスク管理 • セキュリティ ポリシー • 情報セキュリティの組織 • 資産管理 • 人的資源のセキュリティ • 物理的および環境上のセキュリティ • コミュニケーションと運用管理 • アクセス制御 • 情報システムの取得、開発、メンテナンス

セキュリティ、プライバシー、リスクに関する業界のベスト プラクティスに対応するため、Microsoft Online Services では全体的な ISMS が設計および実装されています。

お客様向けバージョンの情報セキュリティ ポリシーは、要求に応じて入手できるようになっています。お客様と新規のお客様が情報セキュリティ ポリシーのコピーを受け取るには、署名入りの NDA またはその同等物を所有している必要があります。

ISO 27001 規格 (具体的には 第 4.2 節および付属文書 A の 6) で、"ISMS および情報セキュリティ組織の確立と管理" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-02

情報セキュリティ - 管理サポート/関与

役員およびライン管理者は、明確に文書化された指示、コミットメント、明示的な割り当て、割り当て内容の実施状況の検証を通じて、情報セキュリティをサポートするための正式なアクションを行う必要があります。

各管理者によって承認されたバージョンの情報セキュリティ ポリシー、およびそれ以降のすべての更新情報が、該当するすべての関係者に対して配布されます。情報セキュリティ ポリシーは、Microsoft Online Services の新規および既存の従業員全員が確認できるようになっています。Microsoft Online Services の従業員は全員、情報セキュリティ ポリシー文書内のすべてのポリシーを確認し、それに従うことに同意した旨を表明します。Microsoft Online Services の契約業者のスタッフは全員、情報セキュリティ ポリシー内の関連したポリシーに従うことに同意します。これらの関係者のいずれかが何らかの理由でこのポリシーにアクセスできない場合は、マイクロソフトの管理担当のエージェントがこのポリシーをその関係者に配布する責任を負います。

お客様向けバージョンの情報セキュリティ ポリシーは、要求に応じて入手できるようになっています。お客様と新規のお客様が情報セキュリティ ポリシーのコピーを受け取るには、署名入りの NDA またはその同等物を所有している必要があります。

ISO 27001 規格 (具体的には第 5 節および付属文書 A の項 6.1.1) で、"管理者の情報セキュリティへのコミットメント、および管理者の責任" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 IS-03 ～ IS-06

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

IS-03

情報セキュリティ - ポリシー

管理者は、情報セキュリティ ポリシーの正式な文書を承認します。この文書は、従業員、契約業者、および他の該当する外部関係者に伝達し、公開する必要があります。情報セキュリティ ポリシーは、組織の方向性を定め、ベスト プラクティスや、該当する規制、連邦/州の法律および国際法に従っている必要があります。情報セキュリティ ポリシーは、戦略的な計画とセキュリティ プログラム、加えて適切に定義されたリーダーシップの役割と責任、および担当者の役割によってサポートされる必要があります。

ISO 27001 規格 (具体的には付属文書 A の項 5.1.1) で、情報セキュリティ ポリシーの文書が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

詳細については、IS-02 を参照してください。

IS-04

情報セキュリティ - 基本的な要件

アプリケーション、データベース、システム、ネットワーク インフラストラクチャ、および情報処理 (開発したものと購入したものの両方) の設計と実装に対して、基本的なセキュリティ要件を確立し、適用する必要があります。これは、ポリシー、規格、および該当する法規制上の要件に合致している必要があります。少なくとも年 1 回、または大きな変更が生じた際に、セキュリティの基本的な要件を満たしているかどうかについて再評価する必要があります。

基本的なセキュリティ要件は、ISMS フレームワーク全体の一部として継続的に確認、向上、実装していきます。

ISO 27001 規格 (具体的には付属文書 A の項 12) で、"情報システムの取得、開発、メンテナンス、および情報システムのセキュリティ要件" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を参照することをお勧めします。

IS-05

情報セキュリティ - ポリシーの確認

管理者は、情報セキュリティのポリシーが継続的に有効性および正確性を確保されるようにするため、計画された間隔で、または変更があった時点でそれらのポリシーを確認する必要があります。

Microsoft Online Services の情報セキュリティ ポリシーは、定期的にスケジュールされた間隔 (1 年以内) で正式に確認および更新されます。セキュリティ要件に関して大きな変更が必要な場合は、定期的なスケジュールとは別に確認および更新が行われることがあります。

ISO 27001 規格 (具体的には付属文書 A の項 5.1.2) で、"情報セキュリティ ポリシーの確認" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-06

情報セキュリティ - ポリシーの実施

従業員がセキュリティ ポリシーやその手順に違反した場合に備えて、正式な懲戒または罰則のポリシーを確立しておく必要があります。従業員には違反するとどのような罰則が適用されるかについて伝えておく必要があります。また、ポリシーや手順の中にそれを明記しておく必要があります。

セキュリティの違反、または情報セキュリティ ポリシーの違反 (これはマイクロソフトの倫理規定の違反と同等) が疑われる Microsoft Online Services のスタッフは、調査プロセスの対象となり、該当する懲戒措置 (最も重い場合は雇用終了も含む) が実施されます。

セキュリティの違反、または情報セキュリティ ポリシーの違反が疑われる契約業者のスタッフは、正式な調査の対象となり、関連する契約に該当する措置が実施されます (契約の終了となる可能性もあります)。

Microsoft Online Services のスタッフがポリシーに違反していると判断された場合、その旨が人事部に通知され、懲戒措置に関しては人事部がその責任を負います。

ISO 27001 規格 (具体的には付属文書 A の項 8.2.2 および 8.2.3) で、"情報セキュリティの意識向上、教育、トレーニング、および懲戒プロセス" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 IS-07 ～ IS-08

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

IS-07

情報セキュリティ - ユーザー アクセス ポリシー

アプリケーション、データベース、サーバー、ネットワーク インフラストラクチャへの通常のアクセス権および特権付きのアクセス権を付与/無効化するためのユーザー アクセスに関するポリシーと手順を文書化し、承認し、実装する必要があります。これは、ビジネス、セキュリティ、コンプライアンス、サービス レベル契約 (SLA) の要件に準拠している必要があります。

アクセス制御ポリシーはポリシー全体を構成するコンポーネントの 1 つであり、正式な確認および更新のプロセスが適用されます。Microsoft Online Services の資産に対するアクセス権は、ビジネス要件に基づいて、資産の所有者の承認を得たうえで付与されます。加えて、以下の項目が適用されます。

• 資産に対するアクセス権は、知る必要性のある人間に限定する原則、および最小特権の原則に基づいて付与されます。

• 適用可能であれば、役割ベースのアクセス制御を使用して、個人ではなく、特定の職務または責任領域に対して論理的なアクセス権を割り当てます。

• 物理的および論理的なアクセス制御ポリシーは、規格に準拠します。

ISO 27001 規格 (具体的には付属文書 A の項 11) で、"アクセス制御" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-08

情報セキュリティ - ユーザー アクセスの制限/承認

アプリケーション、システム、データベース、ネットワーク構成、および機密度の高いデータや機能に対する通常のユーザー アクセス権や特権付きのユーザー アクセス権は制限される必要があります。また、それらのアクセス権を付与する前に管理者によって承認される必要があります。

アクセス制御ポリシーはポリシー全体を構成するコンポーネントの 1 つであり、正式な確認および更新のプロセスが適用されます。Microsoft Online Services の資産に対するアクセス権は、ビジネス要件に基づいて、資産の所有者の承認を得たうえで付与されます。加えて、以下の項目が適用されます。

• 資産に対するアクセス権は、知る必要性のある人間に限定する原則、および最小特権の原則に基づいて付与されます。

• 適用可能であれば、役割ベースのアクセス制御を使用して、個人ではなく、特定の職務または責任領域に対して論理的なアクセス権を割り当てます。

• 物理的および論理的なアクセス制御ポリシーは、規格に準拠します。

ISO 27001 規格 (具体的には付属文書 A の項 11.2) で、"ユーザー アクセスの管理と特権の管理" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 IS-09 ～ IS-11

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

IS-09

情報セキュリティ - ユーザー アクセスの無効化

従業員、契約業者、顧客、ビジネス パートナー、またはサード パーティの状況に何らかの変更があった場合に、組織のシステム、情報資産、およびデータに対するユーザー アクセスの準備解除、無効化、変更のタイムリーな実行を実装する必要があります。こうした状況の変化には、雇用、契約、または合意の終了、雇用状態の変更、組織内での異動などが含まれます。

管理者、およびアプリケーションやデータの所有者は、誰がアクセスしているかを定期的に確認する責任を負います。適切なアクセスの準備が行われていることを検証するために、定期的にアクセスの確認監査が行われます。

ISO 27001 規格 (具体的には付属文書 A の項 8.3.3) で、"アクセス権の削除" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-10

情報セキュリティ - ユーザー アクセスの確認

すべてのレベルのユーザー アクセスは、管理者によって計画された間隔で確認され、文書化されます。アクセス違反が見つかった場合は、文書化されているアクセス制御に関するポリシーと手順に従って改善策を実行する必要があります。

管理者、およびアプリケーションやデータの所有者は、誰がアクセスしているかを定期的に確認する責任を負います。Microsoft Online では、提供しているサービスの中でお客様がエンド ユーザーによるアクセスの監査と委任を行うための強化された機能を用意しています。詳細については、対応するサービスの説明を参照してください。

ISO 27001 規格 (具体的には付属文書 A の項 11.2) で、"ユーザー アクセスの管理と特権の管理" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-11

情報セキュリティ - トレーニング/意識向上

すべての契約業者、サード パーティのユーザー、および組織の従業員向けにセキュリティ意識向上のためのトレーニングプログラムを確立し、必要に応じて受講を義務づける必要があります。組織のデータに対するアクセス権を持つすべての人は、組織内の手順、プロセス、ポリシー、組織に関連した機能について、適切な意識向上のためのトレーニングを受講し、定期的に最新情報を受け取る必要があります。

マイクロソフト内の該当するすべてのスタッフは、Microsoft Online Services がスポンサーとなっているセキュリティ トレーニング プログラムに参加し、該当する場合は定期的なセキュリティ意識向上に関する最新情報を受け取ります。セキュリティ教育は継続的なプロセスであり、リスクを最小限に抑えるために定期的に行われます。社内トレーニングの例としては、BlueHat が挙げられます。

Microsoft Online Services のすべての契約業者のスタッフは、その提供するサービスや実行する役割に応じたトレーニングを受ける必要があります。

ISO 27001 規格 (具体的には付属文書 A の項 8.2) で、"情報セキュリティの意識向上、教育、およびトレーニング" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 IS-12 ～ IS-14

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

IS-12

情報セキュリティ - 業界の知識/ベンチマーク

ネットワーク、専門家によるセキュリティに関するフォーラム、プロフェッショナルとの連携を通じて、業界のセキュリティに関する知識とベンチマークを維持する必要があります。

マイクロソフトは複数の業界組織のメンバーであり、各種のイベントや組織に参加したり、講演者を提供したりしています。また、マイクロソフトは社内でさまざまなトレーニングを実施しています。

ISO 27001 規格 (具体的には付属文書 A の項 6.1.7) で、"特別利益団体との連絡" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-13

情報セキュリティ - 役割/責任

契約業者、従業員、およびサード パーティのユーザーの、情報資産やセキュリティに関連する役割と責任について文書化する必要があります。

Microsoft Online Services のスタッフや契約業者のスタッフに対して、情報資産やセキュリティに関連する役割と責任を含む、明確で簡潔な情報セキュリティ ポリシーの最新情報を提供するために、Microsoft Online Services の情報セキュリティ ポリシーが存在します。これらのポリシーは、Microsoft Online Services の適切な保護のための指針を与えるものです。このポリシーは、Microsoft Online Services の Information Security Management System (ISMS) を構成するコンポーネントの 1 つとして作成されました。このポリシーは、Microsoft Online Services の管理者によって確認、承認、推奨されています。

ISO 27001 規格 (具体的には付属文書 A の項 8.1) で、"契約業者、従業員、およびサード パーティのユーザーの役割と責任" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-14

情報セキュリティ - 管理者による監督

管理者は、自らの責任範囲に該当するセキュリティのポリシー、手順、規格に関して、その意識を維持し、それに準拠する責任を負います。

各管理者によって承認されたバージョンのポリシー、およびそれ以降のすべての更新情報が、該当するすべての関係者に対して配布されます。このポリシーは、Microsoft Online Services の新規および既存のスタッフ全員が確認できるようになっています。Microsoft Online Services のスタッフは全員、このポリシー文書内のすべてのポリシーを確認し、それに従うことに同意した旨を表明します。Microsoft Online Services の契約業者のスタッフは全員、このポリシー内の関連したポリシーに従うことに同意します。これらの関係者のいずれかが何らかの理由でこのポリシーにアクセスできない場合は、マイクロソフトの管理担当のエージェントがこのポリシーをその関係者に配布する責任を負います。

ISO 27001 規格 (具体的には第 5 節および付属文書 A の項 6.1) で、"情報セキュリティとその責任に関する管理者の責任、および管理者のコミットメント" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 IS-15 ～ IS-17

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

IS-15

情報セキュリティ - 職務分離

職務の適切な分離を実施、保証するためのポリシー、プロセス、手順を実装する必要があります。興味の制約に関するユーザーの役割の競合が発生する場合は、組織の情報資産の承認されない変更や意図しない変更、または誤使用によって生じるリスクを軽減するための技術的な制御を行う必要があります。

Office 365 サービスでは、異なるホスティング サービスの開発スタッフや運用スタッフが、職務分離の原則に従うようにすることができます。ソース コード、ビルド サーバー、および運用環境に対するアクセスは、厳しく制御されています。

例:

· Office 365 サービスの運用環境に対するアクセスは運用担当者に制限されます。開発チームとテスト チームには、運用環境内から提供された情報に対してアクセス権が与えられる場合があり、問題のトラブルシューティングに役立てることができます。

· Office 365 サービスのソース コード管理に対するアクセスはエンジニアリング担当者に制限され、運用担当者がソース コードを変更することはできません。

マイクロソフトの担当者は、マルチテナント環境の委託が行われる前にサーバーを構築します。サーバーの構築が完了すると、構築チームは自身のアクセス許可を削除します。サーバーを委託した時点から、マイクロソフトの担当者が委託されたサーバー上で実行されるシステムへのアクセス許可を得ることができる方法は限られています。サポート スタッフは、アクセスを求めるサービス チケットの直接の結果として、またはソフトウェアのインストールや問題解決のためのシステム更新の直接の結果として、アクセス権を入手する場合があります。このような場合、監査ログによって、誰がいつログインしたかが示されます。Office 365 が採用しているプロセスは、マイクロソフトが保持している認定に準拠しています。

不正行為、誤使用、またはエラーの可能性を最小限に抑えるため、Microsoft Online Services の環境内の機密度の高い機能や重要な機能に対して、職務の分離が実装されています。

ISO 27001 規格 (具体的には付属文書 A の項 10.1.3) で、"職務の分離" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-16

情報セキュリティ - ユーザーの責任

ユーザーには以下のような責任があることを通知する必要があります。 • 発行されているセキュリティに関するポリシー、手順、規格、および該当する規制要件の認識と準拠を維持する。 • 安全かつセキュリティで保護された作業環境を維持する。 • 無人の機器はセキュリティが確保された状態を維持する。

Office 365 の該当するすべての従業員は、Microsoft Online Services のセキュリティ トレーニング プログラムに参加し、該当する場合は定期的なセキュリティ意識向上に関する最新情報を受け取ります。セキュリティ教育は継続的なプロセスであり、リスクを最小限に抑えるために少なくとも年 1 回行われます。

Microsoft Online Services のすべての契約業者のスタッフは、その提供するサービスや実行する役割に応じたトレーニングを受ける必要があります。

ISO 27001 規格 (具体的には付属文書 A の項 11.3) で、"ユーザーの責任" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-17

情報セキュリティ - 作業領域

作業領域が無人になる場合に機密度の高いデータが含まれている目視可能な文書を片付けておくこと、およびアクティブでない状態が一定時間続いた場合にワークステーションのセッションをログアウトすることを規定したポリシーと手順を確立する必要があります。

技術的な管理および手続き上の管理はマイクロソフトのポリシーの一部であり、その中には一定時間のセッション タイムアウトに関する要件などの分野も含まれます。

ISO 27001 規格 (具体的には付属文書 A の項 11.3) で、"ユーザーの責任" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 IS-18 ～ IS-19

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

IS-18

情報セキュリティ - 暗号化

格納域内 (ファイル サーバー、データベース、エンドユーザー ワークステーションなど) の機密度の高いデータ、および伝送中 (システム インターフェイス、パブリック ネットワーク上、電子メールなど) のデータを暗号化する場合のポリシーと手順を確立し、メカニズムを実装する必要があります。

暗号化は、トランスポート層、クライアントと Exchange Online 間の暗号化 (SSL)、インスタント メッセージングと IM フェデレーションなど、さまざまなレイヤーで提供されます。詳細については、ダウンロード センターから入手可能な Office 365 のセキュリティ サービスの説明を参照してください。また、マイクロソフトでは S/MIME、Active Directory Rights Management サービス、PGP をサポートしています。

Office 365 では静止状態のデータを暗号化することはありません。ただしお客様は、IRM または RMS を通じて暗号化を行うことができます。

ISO 27001 規格 (具体的には付属文書 A の項 10.8) で、"情報の交換" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-19

情報セキュリティ - 暗号化キーの管理

格納域内のデータ、および伝送中のデータの暗号化をサポートするために、効率的なキー管理のポリシーと手順を確立し、メカニズムを実装する必要があります。

暗号化は、トランスポート層、クライアントと Exchange Online 間の暗号化 (SSL)、インスタント メッセージングと IM フェデレーションなど、さまざまなレイヤーで提供されます。詳細については、ダウンロード センターから入手可能な Office 365 のセキュリティ サービスの説明を参照してください。また、マイクロソフトでは S/MIME、Active Directory Rights Management サービス、PGP をサポートしています。

Office 365 では静止状態のデータを暗号化することはありません。ただしお客様は、IRM または RMS を通じて暗号化を行うことができます。

ISO 27001 規格 (具体的には付属文書 A の項 10.7.3) で、"メディアの取り扱い" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 IS-20

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

IS-20

情報セキュリティ - 脆弱性/更新プログラム管理

アプリケーション、システム、およびネットワーク機器の脆弱性を評価し、重要な更新プログラムの優先順位付けを行うためのリスクベースのアプローチによって、業者が提供するセキュリティ パッチをタイムリーに適用するための、脆弱性と更新プログラムの管理に関するポリシーと手順を確立し、メカニズムを実装する必要があります。

Microsoft Online Services では、環境をスキャンして脆弱性が生じていないかをチェックするためのテクノロジを実装しています。また、脆弱性を特定し、主要な論理制御が適切に行われているかを確認するため、定期的な脆弱性/侵入に関する調査が実施されます。マイクロソフトのセキュリティ レスポンス センター (MSRC) は、外部のセキュリティ脆弱性の通知サイトを定期的に監視しています。Microsoft Online Services では、定例的な脆弱性管理プロセスの一環として、それらの脆弱性の危険度を評価し、必要に応じてリスクを軽減するためのアクションを Microsoft Online Services 全体で主導します。

Microsoft Security Response Center (MSRC) は、毎月第 2 火曜日 ("更新プログラムの火曜日")、またはゼロデイ攻撃を緩和するための適当な時期に、セキュリティ情報をリリースします。攻撃の可能性に関する概念実証コードが公開された場合や、新しい重要なセキュリティ更新プログラムがリリースされた場合、Microsoft Online Services は、顧客のホスティング環境の脆弱性を修正するために、Microsoft Online Services の対象となるシステムに対して、修正プログラム適用ポリシーに従って修正プログラムを適用する必要があります。

ISO 27001 規格 (具体的には付属文書 A の項 12.6) で、"技術的な脆弱性の管理" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

CSA Cloud Control Matrix に基づく Office 365 のセキュリティ レスポンス項番 IS-21 ～ IS-22

CCM での

項番

説明

(CCM バージョン R1.1. 最終版)

マイクロソフトの対応

IS-21

情報セキュリティ - ウイルス/悪意のあるソフトウェアへの対策

すべてのウイルス対策プログラムは、あらゆる既知の種類の、悪意のあるソフトウェアや不正なソフトウェアを検知、削除し、これらのソフトウェアからシステムを保護し、ウイルス対策のシグネチャ更新は少なくとも 12 時間おきに行われるようにする必要があります。

Microsoft Online Services は、一般的な悪意のあるソフトウェアから確実に保護されるように、ウイルス対策ソフトウェアを複数の層で実行します。たとえば、Microsoft Online の環境内のサーバーでは、アップロードされたファイルやサービスからダウンロードしたファイルをスキャンしてウイルスがないか確認するウイルス対策ソフトウェアを実行しています。さらに、Microsoft Exchange メール サーバーでは、電子メール メッセージをスキャンしてマルウェアがないか確認するための追加のウイルス対策ソフトウェアを実行しています。関連するサービスの説明やサービス レベル契約 (SLA) に、その他の情報が記載されている場合があります。

マイクロソフトは独自のセキュリティ レスポンス センター (MSRC) を運営しており、すべての範囲のマイクロソフト製品に関する情報を当社のすべてのお客様に提供しています。詳細については、http://www.microsoft.com/ja-jp/security/msrc/default.aspx を参照してください。

ISO 27001 規格 (具体的には付属文書 A の項 10.4) で、"悪意のあるコードからの保護" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。

IS-22

情報セキュリティ - インシデント管理

セキュリティ関連のイベントのトリアージを行い、タイムリーで完全なインシデント管理を行うためのポリシー、プロセス、および手順を確立する必要があり�