ENISA 情報セキュリティ確保のためのフレームワーク
ENISA 情報セキュリティ確保のためのフレームワークの概要
欧州ネットワーク情報セキュリティ機関 (ENISA) は、ネットワークと情報に関する専門知識の中心です。 EU 加盟国や民間の部門と緊密に連携することにより、サイバーセキュリティ対策を向上するためのアドバイスや提言を行います。 また、国家情報セキュリティに関する EU の政策と法案の開発や実施もサポートします。
情報セキュリティ確保のためのフレームワーク (IAF) は、組織が、お客様のデータを十分に保護できるようにするために、クラウド サービス プロバイダーで確認できる保証基準です。 IAF は、組織がクラウド サービスを採用する際のリスクを評価し、さまざまなクラウド サービスのサービスを比較し、クラウド サービス プロバイダーの保証負担を軽減できるようにすることを目的としています。
Microsoft と ENISA IAF
ENISA 情報セキュリティ確保のためのフレームワークは、ISO/IEC 27001、国際情報セキュリティ マネジメント規格、およびクラウド セキュリティ アライアンス (CSA) の Cloud Controls Matrix (CCM) v 3.0.1 の幅広いコントロール クラスに基づいています。 CCM
は、16 のドメインを対象とする基本的なセキュリティ原則についての制御フレームワークです。クラウドのお客様がクラウド サービス プロバイダー (CSP) の全体的なセキュリティ リスクを評価できるようにします。
CSA STAR の自己評価のために、Microsoft は Microsoft Azure が CSA CCM に準拠していることを文書化したレポートを提出しました。 (Microsoft では、Azure の完成したコンセンサス評価イニシアチブ アンケート (CAIQ) も公開しています)。 その自己評価
これを ENISA IAF と整合します。
Azure コンプライアンスは、CSP が CSA 関連の評価を公開する無料の公開レジストリである CSA STAR レジストリにリストされています。 また、Azure は正式な CSA STAR 認証および CSA STAR 構成証明もそこで維持しています。
これらの自己評価レポートは公開されているため、Azure のお客様は Microsoft のセキュリティ プラクティスの可視性を獲得し、同じベースラインを使用してさまざまな CSP を比較できます。
対象となる Microsoft のクラウド プラットフォームとサービス
- Azure
- Office 365
Azure、Dynamics 365、ENISA IAF
Azure、Dynamics 365、およびその他のオンライン サービス コンプライアンスの詳細については、Azure ENISA IAF サービスを参照してください。
Office 365 と ENISA IAF
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Microsoft Entra ID、Azure Information Protection、Bookings、Compliance Manager、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 グループ、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage |