連邦金融機関審査委員会 (FFIEC)
FFIEC の概要
連邦金融機関審査委員会(FFIEC)は、米国の金融機関の米国連邦政府審査を担当する5つの銀行規制当局で構成される正式な機関間機関です。 FFIEC審査官教育事務所は、FFIECメンバー機関のフィールド審査官を対象としたIT試験ハンドブックを発行しています。
FFIEC監査IT審査ハンドブックには、金融機関とTSPの両方のIT監査プログラムの品質と有効性を評価するためのこれらの審査官のためのガイダンスが含まれています。 具体的には、独立監査報告書の例として、米国公認会計士協会 (AICPA) の SOC 1、SOC 2、および SOC 3 構成証明レポートのメンションが含まれます。 ただし、FFIECは、金融機関がこれらの報告書に含まれる情報のみに依存するのではなく、 FFIECアウトソーシング技術サービスIT審査ハンドブックで詳しく説明されている検証および監視手順を使用することを推奨しています。
Microsoft と FFIEC
Microsoft Azure、Microsoft Power BI、Microsoft Office 365は、金融サービス機関にクラウド サービスを提供するという厳しい要件を満たすように構築されています。 Azure は、お客様が独自の FFIEC コンプライアンス義務を満たすのを支援するために、独立した監査会社によって生成された SOC 1 Type 2、SOC 2 Type 2、SOC 3 構成証明レポートを金融機関に提供します。 たとえば、 SOC 1 Type 2 構成証明 は次の下で実行されます。
- SSAE No. 18, 構成証明基準: 明確化と再書き込み, AT-C セクション 320 を含みます, ユーザーエンティティの内部制御に関連するサービス組織でのコントロールの検討に関するレポート (AICPA, プロフェッショナル標準).
- 財務報告に対するユーザー エンティティの内部統制に関連するサービス組織での統制の調査に関する SOC 1 報告 (AICPA ガイド)。
AICPA SSAE 18 標準では SAS 70 が置き換えられ、財務報告に関するユーザー エンティティの内部コントロールに関連するサービスorganizationコントロールに関するレポートに適しています。 これは、金融機関が、Azure にデプロイされた資産に対して独自の FFIEC 固有のコンプライアンス義務を追求する際に、テクノロジ サービス プロバイダーのサード パーティのレビューに活用できる正式な監査です。 これには、特定の監視期間中に関連する制御目標を達成するための制御有効性に関する監査人の意見が含まれます。
さらに、Azure は、金融機関が Azure サービスに対して実施する可能性があるリスク評価を迅速化することを目的とした Excel ベースのクラウド セキュリティ診断ツールを開発しました。 このツールは、FFIEC IT 試験ハンドブックを含む、関連する基準と金融サービス関連の規制に定められた要件を識別する 19 の個別のドメインを含むスプレッドシートに基づいています。 リスク評価ツールには、Azure がクラウド サービス プロバイダーに適用される要件にどのように準拠しているかについての説明が事前に入力されており、お客様が独自の FFIEC コンプライアンス要件を満たすのに役立ちます。
また、お客様が利用できる Azure FFIEC クラウド セキュリティ診断ブックコンパニオンは、Azure サービスの使用に関するガイダンスと、FFIEC 要件に対するお客様のコンプライアンスに関する考慮事項を提供します。
対象となる Microsoft のクラウド プラットフォームとサービス
- Azure
- Intune
- 米国政府Office 365 Office 365
- Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
Azure ガイダンス ドキュメント
クラウド導入に関する FFIEC 監視の対象となる金融機関を支援するために、Microsoft は、Service Trust Portal のデータ保護リソース - コンプライアンス ガイド セクションからダウンロードできる次のガイダンス ドキュメントを公開しています。
- Azure - クラウド セキュリティ診断ツール
- Azure - FFIEC クラウド セキュリティ診断ブックコンパニオン
Office 365と FFIEC
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Microsoft Entra ID、Azure Information Protection、Bookings、コンプライアンス マネージャー、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 グループ、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage |
| GCC | Microsoft Entra ID、コンプライアンス マネージャー、Delve、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
Office 365 監査、レポート、証明書
OFFICE 365 SOC 構成証明レポートを参照してください。
よく寄せられる質問
SOC 標準に対する Microsoft コンプライアンスを使用して、教育機関の FFIEC コンプライアンス義務を満たすことができますか?
これらの義務を満たすのに役立つよう、Microsoft は前述の SOC 標準への準拠に関する詳細を提供します。 ただし、最終的には、当社のサービスが教育機関に適用される特定の法律や規制に準拠しているかどうかを判断するのは、お客様次第です。 FFIECはまた、「監査レポートまたはレビューのユーザーは、TSPの内部制御環境を検証するために、レポートに含まれる情報のみに依存してはならない」とアドバイスしています。 FFIEC IT 試験ハンドブックの アウトソーシング 技術小冊子 で詳しく説明されているように、他の検証と監視の手順を使用する必要があります。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。
リソース
- 連邦金融機関審査委員会 (FFIEC)
- 米国におけるクラウド コンピューティングと規制原則のコンプライアンス マップ
- FFIEC 監査 IT 試験ハンドブック
- FFIEC アウトソーシング テクノロジ サービス IT 試験ハンドブック