ISO/IEC 27001:2013 情報セキュリティ管理基準

ISO/IEC 27001 の概要

国際標準化機構 (ISO) は中立的な非政府組織で、国際基準を自主的に策定する世界最大の組織です。 国際電気標準会議 (IEC) は、電気工学、電子工学、および関連技術の国際基準の策定および公布を実施する世界トップ レベルの組織です。

ISO/IEC 合同分化委員会発行の ISO/IEC 27000 基準ファミリは、数百もの制御と制御メカニズムを策定し、あらゆる形態および規模の組織が情報資産のセキュリティを確保できるよう支援します。 こうした国際規格は、組織の情報リスク管理プロセスに関連するすべての法的、物理的、技術的な制御を含むポリシーと手順のフレームワークを提供します。

ISO/IEC 27001 は情報セキュリティ管理システム (ISMS) を正式に規定するセキュリティ基準で、情報を明示的に管理することでセキュリティを確保することを目的としています。 正式な規定として、ISMS を実装、監視、保守し、継続的に強化する方法について定義した要件を義務付けています。 また、文書の要件、責任分担、可用性、アクセス制御、セキュリティ、監査、是正手段や予防手段など、一連のベスト プラクティスも規定します。 ISO/IEC 27001 認定は、組織が、情報セキュリティに関連する膨大な規制と法的要件に準拠できるようサポートします。

Microsoft と ISO/IEC 27001

ISO/IEC 27001 は国際的に受け入れられ、広く適用されています。この基準の認定が情報セキュリティの実施と管理に対する Microsoft アプローチの中心になっている大きな理由は、ここにあります。 Microsoft が ISO/IEC 27001 認定を達成していることは、ビジネス、セキュリティ、およびコンプライアンスの観点から顧客との約束を果たすために Microsoft が尽力していることをはっきりと示しています。 現在、Azure Public と Azure Germany は、毎年、ISO/IEC 27001 コンプライアンスに関して、第三者の公認認定機関の監査を受けています。この機関は、セキュリティ コントロールが導入されていて、効果的に運用されていることを独自に検証します。

Microsoft Cloud での ISO/IEC 27001 の利点について説明します。 ISO/IEC 27001:2013 をダウンロードします。

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure、Azure Government、Azure ドイツ
  • Azure DevOps Services
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Dynamics 365、Dynamics 365 Government、Dynamics 365 ドイツ
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Intune
  • Microsoft マネージド デスクトップ
  • Power Automate (旧称 Microsoft Flow) スタンドアロン サービス、または Office 365 や Dynamics 365 ブランド プランあるいはスイートに搭載されているサービスとしてのクラウド サービス
  • Office 365、Office 365 米国政府、Office 365 米国防総省
  • Office 365 Germany
  • OMS Service Map
  • Power Apps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに組み込まれているサービス)
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Professional Services
  • Microsoft Stream
  • Microsoft Threat Expert
  • Microsoft Translator
  • トピック
  • Windows 365 Business

Azure、Dynamics 365、ISO 27001

Azure、Dynamics 365、その他のオンライン サービスコンプライアンスの詳細については、 Azure ISO 27001 オファリングを参照してください。

Office 365 と ISO 27001

Office 365 環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次の Office 365 環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Access Online、Microsoft Entra ID、 Azure Communications Service、コンプライアンス マネージャー、カスタマー ロックボックス、Delve、Exchange Online、Exchange Online Protection、Forms、Griffin、Identity Manager、Lockbox (Torus)、Microsoft Defender for Office 365、Microsoft Teams、Microsoft Viva トピック、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Customer Portal、Office 365 マイクロサービス (Kaizala、ObjectStore、Sway、Power Automate を含むがこれらに限定されない) PowerPoint Online Document Service、Query Annotation Service、School Data Sync、Siphon、Speech、StaffHub、eXtensible Application Program)、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、Office Services Infrastructure、OneDrive for Business、Planner、PowerApps、Power Bi、Project Online、Microsoft Purview カスタマー キーを使用したサービス暗号化、SharePoint Online、Skype for Business、Stream for Business
GCC Microsoft Entra ID、Azure Communications Service、コンプライアンス マネージャー、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Microsoft Viva トピック、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power Bi、SharePoint Online、Skype for Business、Stream
GCC High Microsoft Entra ID、Azure Communications Service、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business
DoD Microsoft Entra ID、Azure Communications Service、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business

Office 365 監査、レポート、証明書

Office 365 のクラウド サービスでは、少なくとも年に 1 回、ISO 27001:2013 標準に照らした監査が実施されます。

Office 365 の評価とレポート

よく寄せられる質問

Office 365 が ISO/IEC 27001 に準拠していることが重要なのはなぜですか?

認定監査人が確認したこれらの基準に準拠することで、Microsoft が、国際的に認められたプロセスとベスト プラクティスを使用して、サービスをサポートおよび提供するインフラと組織を管理していることが証明されます。 証明書は、Microsoft が、情報セキュリティの管理を開始、実装、保守、および強化するためのガイドラインと一般原則を実装していることを実証するものです。

Office 365 サービスの ISO/IEC 27001 監査レポートおよび対象範囲を記述した文書はどこで入手できますか?

Service Trust Portal では、中立的な監査によるコンプライアンス レポートを提供しています。 貴社の監査人が Microsoft のクラウド サービスの監査結果と貴社の法的および規制要件を比較できるようにするために、ポータルでレポートをリクエストすることができます。

Office 365 インフラストラクチャの障害に対して年次テストが実行されていますか?

はい。 1 年に 1 回実施される Microsoft Cloud Infrastructure and Operations グループの ISO/IEC 27001 認定プロセスには、運用回復性の監査が含まれます。 最新の証明書を表示するには、下記のリンクを選択します。

組織の ISO/IEC 27001 コンプライアンス順守は、何から始めればいいですか?

ISO/IEC 27001 を適用することは戦略的なコミットです。 まずは、ISO/IEC 27000 ディレクトリを確認してください。

Office 365 サービスの ISO/IEC 27001 コンプライアンスを、自分の組織の認定に利用できますか?

はい。 ビジネスに必要なのが、Microsoft サービスでデプロイされている実装の ISO/IEC 27001 認定である場合は、該当する認定をコンプライアンス評価で利用できます。 ただし、ご自身の責任で、査定人が、組織内での制御やプロセスと ISO/IEC 27001 コンプライアンスの実装を評価するよう、手配する必要があります。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャー は、 Microsoft Purview コンプライアンス ポータル の機能であり、組織のコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーは、Enterprise E5 をご利用のお客様を対象として、事前に組み込まれた評価を行います。 評価の作成に使用するテンプレートについては、コンプライアンスマネージャーの [ 評価テンプレート ] を参照してください。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース