Microsoft 365 アプリ コンプライアンスドキュメントの付録と用語集
付録 A
TLS プロファイルの構成要件
仮想ネットワーク、クラウド サービス、またはデータ センター内のすべてのネットワーク トラフィックは、TLS v1.1 (TLS v1.2 以降をお勧めします) またはその他の該当するプロトコルで保護する必要があります。 この要件の例外は次のとおりです。
- HTTP から HTTPS へのリダイレクト。 アプリは HTTP 経由で応答してクライアントを HTTPS にリダイレクトできますが、応答に機密データ (Cookie、ヘッダー、コンテンツ) を含めてはなりません。 HTTPS へのリダイレクトと正常性プローブへの応答以外の HTTP 応答は許可されません。 以下を参照してください。
- 正常性プローブ。 アプリは、HTTPS 正常性プローブがチェック パーティによってサポートされていない 場合にのみ 、HTTP 経由で正常性プローブに応答できます。
- 証明書アクセス。 証明書の検証と失効チェックを目的とした CRL、OCSP、および AIA エンドポイントへのアクセスは、HTTP 経由で許可されます。
- ローカル通信。 アプリは、オペレーティング システムから離れない通信 (localhost で公開されている Web サーバー エンドポイントへの接続など) に HTTP (またはその他の保護されていないプロトコル) を使用できます。
TLS 圧縮を無効にする 必要があります 。
付録 B
暗号化プロファイルの構成要件
暗号化プリミティブとパラメーターのみが次のように許可されます。
対称暗号化
暗号化
✓ AES、BitLocker、Blowfish、TDES のみが許可されます。 サポートされている任意のキー長 >=128 (128 ビット、192 ビット、256 ビット) が許可され、使用できます (256 ビットのキーをお勧めします)。
✓ CBC モードのみが許可されます。 すべての暗号化操作では、新しくランダムに生成された初期化ベクトル (IV) を使用する必要があります。
✓ RC4 などのストリーム暗号の使用 は許可されません 。
ハッシュ関数
✓ すべての新しいコードでは、SHA-256、SHA-384、または SHA-512 (総称して SHA-2 と呼ばれます) を使用する必要があります。 出力は 128 ビット以下に切り捨てられる場合があります
✓ SHA-1 は互換性上の理由でのみ使用できます。
✓ MD5、MD4、MD2、およびその他のハッシュ関数の使用は、暗号化されていないアプリケーションの場合でも許可されません。
メッセージ認証
✓すべての新しいコードは、承認されたハッシュ関数のいずれかを持つHMACを使用する必要があります。 HMAC の出力は、128 ビット以下に切り捨てられる場合があります。
✓ HMAC-SHA1 は互換性上の理由でのみ使用できます。
✓ HMAC キーは少なくとも 128 ビットである必要があります。 256 ビット キーをお勧めします。
非対称アルゴリズム
暗号化
✓ RSA は許可されます。 キーは少なくとも 2048 ビットである 必要 があり、OAEP パディングを使用する必要があります。 PKCS パディングの使用は、互換性上の理由でのみ許可されます。
署名
✓ RSA は許可されます。 キーは少なくとも 2048 ビットである 必要 があり、PSS パディングを使用する必要があります。 PKCS パディングの使用は、互換性上の理由でのみ許可されます。
✓ECDSA は許可されます。 キーは少なくとも 256 ビットである 必要があります 。 NIST P-256、P-384、または P-521 曲線を使用する必要があります。
Key Exchange
✓ ECDH は許可されます。 キーは少なくとも 256 ビットである 必要があります 。 NIST P-256、P-384、または P-521 曲線を使用する必要があります。
✓ ECDH は許可されます。 キーは少なくとも 256 ビットである 必要があります 。 NIST P-256、P-384、または P-521 曲線を使用する必要があります。
付録 C
証拠収集 – ISO 27001 の Delta
既にISO27001コンプライアンスを達成している場合、ISO 27001 で完全にカバーされていない次のデルタ (ギャップ) は、少なくとも、この Microsoft 365 認定資格の一部としてレビューする必要があります。
注:
Microsoft 365 認定評価の一環として、認定アナリストは、マップされた ISO 27001 コントロールのいずれかが ISO 27001 評価の一部として含まれていないかどうかを判断し、さらに保証を提供するために含まれていることが判明したサンプル コントロールを決定することもできます。 ISO 27001 に満たされていない要件は、Microsoft 365 認定評価アクティビティに含める必要があります。
マルウェア対策 – ウイルス対策
マルウェアの保護がアプリケーション制御を使用して実施されており、ISO 27001 レポート内に証明されている場合は、それ以上の調査は必要ありません。 アプリケーション制御が実施されていない場合、認定アナリストは、環境内のマルウェアの爆発を防ぐために、アプリケーション制御メカニズムの証拠を特定して評価する必要があります。 これにより、次の操作が必要になります。
サンプリングされたすべてのシステム コンポーネントでウイルス対策ソフトウェアが実行されていることを示します。
マルウェアを自動的にブロックしたり、アラートを検疫したり、アラートを送信したりするために、サンプリングされたすべてのシステム コンポーネントでウイルス対策 & 構成されていることを示します。
ウイルス対策ソフトウェアは、すべてのアクティビティをログに記録するように構成する 必要があります 。
パッチ管理 – パッチ適用
ISO 27001 監査ではこのカテゴリが特に評価されないため、次の操作が必要になります。
- ベンダーによってサポートされなくなったソフトウェア コンポーネントとオペレーティング システムは、環境内で使用しないでください。 サポート ポリシーは、サポートされていないソフトウェア コンポーネント/オペレーティング システムを環境から削除し、ソフトウェア コンポーネントが終了するタイミングを識別するプロセスを確実に行う必要があります
脆弱性スキャン
ISO 27001 監査ではこのカテゴリが特に評価されないため、次の操作が必要になります。
四半期ごとの内部および外部の脆弱性スキャンが行われることを示します。
リスクのランク付けに基づく脆弱性の修復に関するサポート ドキュメントが、次のように仕様に従って作成されていることを確認します。
✓内部スキャンのリスクランキングに沿ってすべての重大および高リスクの問題を修正します。
✓ 外部スキャンのリスクランク付けに沿って、すべての重大、高、中のリスクの問題を修正します。
✓ 文書化された脆弱性修復ポリシーに沿って修復が行われることを示します。
ファイアウォール – ファイアウォール (または同等のテクノロジ)
ISO 27001 監査ではこのカテゴリが特に評価されないため、次の操作が必要になります。
スコープ内環境の境界にファイアウォールがインストールされていることを示します。
DMZ と信頼されたネットワークの間にファイアウォールがインストールされていることを示します。
すべてのパブリック アクセスが DMZ で終了することを示します。
ライブ環境にインストールする前に、既定の管理資格情報が変更されることを示します。
ファイアウォールを介して許可されたすべてのトラフィックが承認プロセスを通過することを示します。これにより、ビジネス上の正当な理由を持つすべてのトラフィックのドキュメントが作成されます。
明示的に定義されていないトラフィックを削除するようにすべてのファイアウォールが構成されていることを示します。
ファイアウォールが、コンソール以外のすべての管理インターフェイスで強力な暗号化のみをサポートしていることを示します。
インターネットに公開されているファイアウォールのコンソール以外の管理インターフェイスで MFA がサポートされていることを示します。
ファイアウォール規則のレビューが少なくとも 6 か月ごとに行われることを示す
ファイアウォール – Web アプリケーション ファイアウォール (WAF)
WAF がデプロイされている場合、アプリケーションが公開される可能性のある無数の Web アプリケーションの脅威と脆弱性から保護するために、追加のクレジットが提供されます。 WAF などがある場合は、次の操作を行う必要があります。
WAF がアクティブな防御モードで構成されているか、アラートを使用してさらに監視されていることを示します。
SSL オフロードをサポートするように WAF が構成されていることを示します。
次の攻撃の種類のほとんどから保護するために、OWASP Core 規則セット (3.0 または 3.1) に従って構成されます。
✓ プロトコルとエンコードの問題。
✓ ヘッダーの挿入、要求の密輸、応答の分割。
✓ファイルとパストラバーサル攻撃。
✓リモートファイルインクルード(RFI)攻撃。
✓リモートコード実行攻撃。
✓ PHP インジェクション攻撃。
✓ クロスサイト スクリプティング攻撃。
✓ SQL インジェクション攻撃。
✓セッション固定攻撃。
変更コントロール
ISO 27001 監査では、変更要求プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
- 変更要求に次の詳細があることを示します。
✓ 文書化された影響。
✓ 実施する機能テストの詳細。
✓バックアウト手順の詳細。
変更が完了した後に機能テストが実行されることを示します。
機能テストが実行された後、変更要求がサインオフされることを示します。
アカウント管理
ISO 27001 監査ではアカウント管理プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
- 再生攻撃 (MFA、Kerberos など) を軽減するために ✓s を実装する方法を示します。
- 3 か月間使用されていないアカウントを無効または削除する方法を示します。
- ✓または他の適切な軽減策は、ユーザーの資格情報を保護するように構成する必要があります。 ガイドラインとして、次の最小パスワード ポリシーを使用する必要があります。
✓ パスワードの最小長は 8 文字です。
✓10回以下の試行のアカウントロックアウトしきい値。
✓パスワードの少なくとも5つのパスワードの履歴。
✓強力なパスワードの使用の実施。
すべてのリモート アクセス ソリューションに対して MFA が構成されていることを示します。
すべてのリモート アクセス ソリューションで強力な暗号化が構成されていることを示します。
パブリック DNS の管理がスコープ内環境の外部にある場合、DNS を変更できるすべてのユーザー アカウントは、MFA を使用するように構成する必要があります。
侵入検出と防止 (省略可能)
ISO 27001 監査では、侵入検出および防止サービス (IDPS) プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
IDPS は、サポート環境の境界にデプロイする 必要があります 。
IDPS 署名は、過去 1 日以内に最新の状態に保つ 必要があります 。
IDPS は TLS 検査用に構成する 必要があります 。
IDPS は、すべての受信トラフィックと送信トラフィックに対して構成する 必要があります 。
IDPS はアラート用に構成する 必要があります 。
イベント ログ
ISO 27001 監査では、セキュリティ イベント ログ プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
パブリックに接続されているシステムが、DMZ 内にない集中ログ ソリューションにログを記録していることを示します。
少なくとも 30 日分のログ データをすぐに使用でき、90 日が保持される方法を示します。
確認 (ログ データ)
ISO 27001 監査では、このカテゴリの一部の要素が特に評価されないため、次の操作を行う必要があります。
- 毎日のログ レビューの実施方法と、例外と異常がどのように識別されるかを示します。これらの処理方法を示します。
警告
ISO 27001 監査では、このカテゴリの一部の要素が特に評価されないため、次の操作を行う必要があります。
即時トリアージのアラートをトリガーするようにセキュリティ イベントを構成する方法を示します。
セキュリティ アラートに対応するために、スタッフが 24 時間 365 日どのように利用できるかを示します。
リスク管理
ISO 27001 監査ではリスク評価プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
- 正式なリスク管理プロセスが確立されていることを示します。
インシデント対応
ISO 27001 監査では、インシデント対応ポリシーとプロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
- インシデント対応計画/手順に以下が含まれていることを示します。
✓ 予想される脅威モデルに対する特定の対応手順。
✓ NIST サイバーセキュリティ フレームワークに合わせたインシデント処理機能 (識別、保護、検出、応答、回復)。
✓ IRP は、スコープ内のシステムをカバーします。
✓ インシデント対応チームの年次トレーニング。
付録 D
証拠の収集 – PCI DSS のデルタ
PCI DSS コンプライアンスが既に達成されている場合、PCI DSS によって完全にカバーされていない次のデルタ (ギャップ) は、少なくとも、この Microsoft 365 認定資格の一部としてレビューする必要があります。
注:
Microsoft 365 サーティフィケーション評価の一環として、認定アナリストは、マップされた PCI DSS コントロールのいずれかが PCI DSS 評価の一部として含まれていないかどうかを判断し、さらに保証するために含まれることが判明したサンプル コントロールを決定することもできます。 PCI DSS に不足している要件は、Microsoft 365 認定評価アクティビティに含める必要があります。
マルウェア保護 - アプリケーション制御
マルウェア保護がウイルス対策を使用して実施され、PCI DSS レポート内で証明されている場合は、それ以上の調査は必要ありません。 ウイルス対策が実施されていない場合、認定アナリストは、環境内のマルウェアの爆発を防ぐために、アプリケーション制御メカニズムの証拠を特定して評価する必要があります。 これにより、次の操作が必要になります。
アプリケーションの承認がどのように行われるかを示し、これが完了したことを確認します。
ビジネス上の正当な理由を持つ承認済みアプリケーションの完全な一覧が存在することを示します。
特定のアプリケーション制御メカニズム (許可リスト、コード署名など) を満たすようにアプリケーション制御ソフトウェアがどのように構成されているかを詳しく説明するサポート ドキュメントを提供またはデモンストレーションします。
サンプリングされたすべてのシステム コンポーネントで、ドキュメントに記載されているとおりにアプリケーション制御が構成されていることを示します。
パッチ管理 – リスクランキング
PCI DSS 監査ではこのカテゴリが特に評価されないため、次の操作を行う必要があります。
- 脆弱性のリスク ランク付けがどのように行われるかを示します。
脆弱性スキャン
PCI DSS 監査ではこのカテゴリが特に評価されないため、次の操作を行う必要があります。
- 文書化された脆弱性修復ポリシーに沿って修復が実行されることを示します。
ファイアウォール – ファイアウォール (または同等のテクノロジ)
PCI DSS 監査ではこのカテゴリが特に評価されないため、次の操作を行う必要があります。
ファイアウォールが、コンソール以外のすべての管理インターフェイスで強力な暗号化のみをサポートしていることを示します。
インターネットに公開されているファイアウォールのコンソール以外の管理インターフェイスで MFA がサポートされていることを示します。
アプリケーションが公開できる無数の Web アプリケーションの脅威と脆弱性から保護するためにデプロイされたWeb Application Firewall (WAF) の場合は、追加のクレジットが提供されます。 WAF などがある場合は、次の操作を行う必要があります。
WAF がアクティブな防御モードで構成されているか、アラートを使用してさらに監視されていることを示します。
SSL オフロードをサポートするように WAF が構成されていることを示します。
次の攻撃の種類のほとんどから保護するために、OWASP Core 規則セット (3.0 または 3.1) に従って構成されます。
✓ プロトコルとエンコードの問題。
✓ ヘッダーの挿入、要求の密輸、応答の分割。
✓ファイルとパストラバーサル攻撃。
✓リモートファイルインクルード(RFI)攻撃。
✓リモートコード実行攻撃。
✓ PHP インジェクション攻撃。
✓ クロスサイト スクリプティング攻撃。
✓ SQL インジェクション攻撃。
✓セッション固定攻撃。
変更コントロール
PCI DSS 監査では、変更要求プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
運用環境で行われる前に変更要求が発生することを示します。
運用環境に入る前に変更が承認されていることを示します。
変更が完了した後に機能テストが実行されることを示します。
機能テストが実行された後、変更要求がサインオフされることを示します。
セキュリティで保護されたソフトウェアの開発/展開
PCI DSS 監査では、セキュリティで保護されたソフトウェア開発および展開プロセスの一部の要素に特にアクセスできないためです。これにより、次の操作が必要になります。
コード リポジトリは MFA によってセキュリティ保護されている必要があります。
悪意のあるコードの変更からコード リポジトリを保護するために、適切なアクセス制御を行う必要があります。
アカウント管理
PCI DSS 監査では、アカウント管理プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
再生攻撃 (MFA、Kerberos など) を軽減するための承認メカニズムの実装方法を示します。
強力なパスワード ポリシーまたはその他の適切な軽減策は、ユーザーの資格情報を保護するように構成する必要があります。 ガイドラインとして、次の最小パスワード ポリシーを使用する必要があります。
✓ パスワードの最小長は 8 文字です。
✓10回以下の試行のアカウントロックアウトしきい値。
✓パスワードの少なくとも5つのパスワードの履歴。
✓強力なパスワードの使用の実施。
すべてのリモート アクセス ソリューションで強力な暗号化が構成されていることを示します。
パブリック DNS の管理がスコープ内環境の外部にある場合、DNS を変更できるすべてのユーザー アカウントは、MFA を使用するように構成する必要があります。
侵入検出と防止 (省略可能)
PCI DSS 監査では、侵入検出および防止サービス (IDPS) プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
IDPS は TLS 検査用に構成する必要があります。
IDPS は、すべての受信トラフィックと送信トラフィックに対して構成する必要があります。
リスク管理
PCI DSS 監査ではリスク評価プロセスのいくつかの要素が特に評価されないため、次の操作を行う必要があります。
- リスク評価に影響と尤度マトリックスが含まれていることを示します。
インシデント対応
PCI DSS 監査では、インシデント対応ポリシーとプロセスの一部の要素が特に評価されないため、開発者は次の作業を行う必要があります。
- インシデント処理機能を NIST サイバーセキュリティ フレームワーク (識別、保護、検出、応答、回復) に合わせて示します。
付録 E
証拠の収集 - SOC 2 の Deltas
SOC 2 のコンプライアンスを既に達成している場合、SOC 2 が完全にカバーしていない次のデルタ (ギャップ) を、この Microsoft 365 認定資格の一部として確認する必要があります。
注:
Microsoft 365 認定評価の一環として、認定アナリストは、マッピングされた SOC 2 コントロールのいずれかが SOC 2 評価の一部として含まれていないかどうかを判断し、さらに保証を提供するために含まれることが判明したサンプル コントロールを決定することもできます。 SOC 2 評価に不足している要件は、Microsoft 365 認定評価アクティビティの一部として含める必要があります。
マルウェア保護 - アプリケーション制御
マルウェア保護がウイルス対策を使用して実施されており、SOC 2 レポート内で証明されている場合は、それ以上の調査は必要ありません。 ウイルス対策が実施されていない場合、認定アナリストは、環境内のマルウェアの爆発を防ぐために、アプリケーション制御メカニズムの証拠を特定して評価する必要があります。 これにより、次の操作が必要になります。
特定のアプリケーション制御メカニズム (許可リスト、コード署名など) を満たすようにアプリケーション制御ソフトウェアがどのように構成されているかを詳しく説明するサポート ドキュメントを提供またはデモンストレーションします。
アプリケーションの承認がどのように行われるかを示し、これが完了したことを確認します。
ビジネス上の正当な理由を持つ承認済みアプリケーションの完全な一覧が存在することを示します。
サンプリングされたすべてのシステム コンポーネントで、ドキュメントに記載されているとおりにアプリケーション制御が構成されていることを示します。
パッチ管理 – パッチ適用
SOC 2 監査ではこのカテゴリが特に評価されないため、次の操作を行う必要があります。
低、中、高、または重大のいずれかの問題は、通常のパッチ適用アクティビティウィンドウ内で修正プログラムを適用する必要があります。
ベンダーによってサポートされなくなったソフトウェア コンポーネントとオペレーティング システムは、環境内で使用しないでください。 サポートされていないソフトウェア コンポーネント/オペレーティング システムを環境から削除し、ソフトウェア コンポーネントがいつ終了するかを識別するプロセスを確実に行うには、サポート ポリシーを設定する必要があります。
ファイアウォール – ファイアウォール
SOC 2 監査では、ファイアウォール アクセス制御リストへの変更制御を特に評価しないため、次の操作を行う必要があります。
ファイアウォールを通る許可されたすべてのトラフィックが承認プロセスを通過し、その結果、ビジネス上の正当な理由を持つすべてのトラフィックのドキュメントが作成されることを示します。
ファイアウォール規則のレビューが少なくとも 6 か月ごとに行われることを示します。
アプリケーションが公開できる無数の Web アプリケーションの脅威や脆弱性から保護するために、Web Application Firewall (WAF) などがデプロイされている場合は、追加のクレジットが提供されます。 WAF などがある場合は、次の操作を行う必要があります。
WAF がアクティブな防御モードで構成されているか、アラートを使用してさらに監視されていることを示します。
SSL オフロードをサポートするように WAF が構成されていることを示します。
次のほとんどの攻撃の種類から保護するために、OWASP Core 規則セット ((3.0 または 3.1) に従って構成されます。
✓ プロトコルとエンコードの問題。
✓ ヘッダーの挿入、要求の密輸、応答の分割。
✓ファイルとパストラバーサル攻撃。
✓リモートファイルインクルード(RFI)攻撃。
✓リモートコード実行攻撃。
✓ PHP インジェクション攻撃。
✓ クロスサイト スクリプティング攻撃。
✓ SQL インジェクション攻撃。
✓セッション固定攻撃。
変更コントロール
SOC 2 監査では、変更要求プロセスの一部の要素が特に評価されないため、開発者は次の作業を行う必要があります。
開発/テスト環境が、職務の分離を強制する運用環境とは異なる方法を示します。
開発/テスト環境内でライブ データが使用されない方法を示します。
変更が完了した後に機能テストが実行されることを示します。
機能テストが実行された後、変更要求がサインオフされることを示します。
セキュリティで保護されたソフトウェアの開発/展開
SOC 2 監査では、セキュリティで保護されたソフトウェア開発および展開プロセスの一部の要素に特にアクセスできないためです。これにより、次の操作が必要になります。
ソフトウェア開発ライフサイクル全体をカバーする、確立された文書化されたソフトウェア開発プロセスが必要です。
開発者は、少なくとも毎年セキュリティで保護されたソフトウェア コーディング トレーニングを受ける必要があります。
コード リポジトリは MFA によってセキュリティ保護されている必要があります。
悪意のあるコードの変更からコード リポジトリを保護するために、適切なアクセス制御を行う必要があります。
アカウント管理
SOC2 監査ではアカウント管理プロセスの一部の要素が特に評価されないため、次の操作が必要になります。
再生攻撃 (MFA、Kerberos など) を軽減するための承認メカニズムの実装方法を示します。
3 か月間使用されていないアカウントを無効または削除する方法を示します。
強力なパスワード ポリシーまたはその他の適切な軽減策は、ユーザーの資格情報を保護するように構成する必要があります。 ガイドラインとして、次の最小パスワード ポリシーを使用する必要があります。
✓ パスワードの最小長は 8 文字です。
✓10回以下の試行のアカウントロックアウトしきい値。
✓少なくとも5つのパスワードのパスワード履歴。
✓強力なパスワードの使用の実施
一意のユーザー アカウントがすべてのユーザーに発行されることを示します。
パブリック DNS の管理がスコープ内環境の外部にある場合、DNS を変更できるすべてのユーザー アカウントは、MFA を使用するように構成する必要があります。
侵入検出と防止 (省略可能)。
SOC 2 監査では、侵入検出および防止サービス (IDPS) プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
過去 1 日以内に IDPS 署名を最新の状態に保つ必要がある
IDPS は TLS 検査用に構成する必要がある
すべての受信トラフィックと送信トラフィックに対して IDPS を構成する必要がある
イベント ログ
SOC 2 の監査では、セキュリティ イベント ログ プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
- サンプル セット内のすべてのシステム コンポーネントで、次のイベントをログに記録するように次のシステムを構成する方法を示します
✓ システム コンポーネントとアプリケーションへのユーザー アクセス。
✓ 高い特権を持つユーザーが実行したすべてのアクション。
✓ 無効な論理アクセス試行。
ログに記録されたイベントにが含まれていることを示します。少なくとも、次の情報を参照してください。
✓ ユーザー。
✓ イベントの種類。
✓日付と時刻。
✓ 成功/失敗インジケーター。
✓影響を受けるシステムを識別するためのラベル。
サンプル セット内のすべてのシステム コンポーネントが時間同期を利用するように構成されていること、およびプライマリ/セカンダリ タイム サーバーと同じであることを示します。
パブリックに接続されているシステムが、DMZ 内にない集中ログ ソリューションにログを記録していることを示します。
パブリックに接続されているシステムが、DMZ 内にない集中ログ ソリューションにログを記録していることを示します。
一元化されたログ ソリューションが、ログ データの不正な改ざんから保護される方法を示します。
少なくとも 30 日分のログ データをすぐに使用でき、90 日以上が保持されていることを示します。
リスク管理
SOC2 監査ではリスク評価プロセスのいくつかの要素が特に評価されないため、次の操作が必要になります。
- 正式なリスク評価が少なくとも毎年行われることを示します。
インシデント対応。
SOC2 監査では、インシデント対応ポリシーとプロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。
- インシデント対応計画/手順に以下が含まれていることを示します。
✓ 予想される脅威モデルに対する特定の対応手順。
✓主要な利害関係者(支払いブランド/買収者、規制機関、監督当局、取締役、顧客など)のタイムリーな通知を確保するための文書化された通信プロセス。
付録 F
デプロイの種類のホスティング
Microsoft では、アプリケーションをデプロイし、異なるホスティング環境内にアプリ/アドイン コードを格納します。 Microsoft 365 認定資格内のセキュリティ制御の一部の全体的な責任は、使用されているホスティング環境によって異なります。 付録 F では、一般的な展開の種類を確認し、評価プロセスの一部として評価されるセキュリティ制御に対してこれらをマップします。 次のホスティング デプロイの種類が特定されました。
ホスティングの種類 | 説明 |
---|---|
ISV ホステッド | ISV ホスト型は、アプリ/アドイン環境をサポートするために使用されるインフラストラクチャを担当する場所として定義できます。 これは、共同位置情報サービスを使用して、独自のデータ センターまたはサード パーティのデータ センター内に物理的に配置できます。 最終的には、サポートインフラストラクチャと運用環境に対する完全な所有権と管理制御が得られます。 |
サービスとしてのインフラストラクチャ (IaaS) (https://azure.microsoft.com/overview/what-is-iaas/) | サービスとしてのインフラストラクチャは、クラウド サービス プロバイダー (CSP) によって物理サポート インフラストラクチャが代わりに管理および管理されるサービスです。 通常、ネットワーク、ストレージ、物理サーバー、仮想化インフラストラクチャはすべて CSP の責任です。 オペレーティング システム、ミドルウェア、ランタイム、データ、アプリケーションは、お客様の責任です。 ファイアウォール機能もサード パーティによって管理および管理されますが、通常はファイアウォール規則ベースのメンテナンスがコンシューマーの責任となります。 |
サービスとしてのプラットフォーム/サーバーレス (PaaS) (https://azure.microsoft.com/overview/what-is-paas/) | サービスとしてのプラットフォームでは、使用できるサービスを提示するマネージド プラットフォームを使用してプロビジョニングされます。 オペレーティング システムとサポート インフラストラクチャは CSP によって管理されるため、sysadmin 関数を実行する必要はありません。 これは通常、組織が Web サービスの提示に関心を持たず、代わりに Web アプリケーションのソース コードの作成とクラウドマネージド Web サービスでの Web アプリケーションの発行に集中できる場合に使用されます。別の例としては、データベースへの接続が提供されるデータベース サービスがありますが、サポート インフラストラクチャとデータベース アプリケーションはコンシューマーから抽象化されます。注: サーバーレスと PaaS は似ているため、Microsoft 365 認定ホスティング展開の種類のサーバーレスと PasS は同じとみなされます |
ハイブリッド ホステッド | ハイブリッド ホスト型では、複数のホスト型を利用して、サポート環境のさまざまな部分をサポートできます。 これは、アプリ/アドインが複数の Microsoft 365 スタック全体で利用される場合の方が多い場合があります。 Microsoft 365 認定資格では、複数の Microsoft 365 サービスにわたるアプリ/アドオンが開発される場所がサポートされますが、(アプリ/アドイン全体の) サポート環境全体の評価は、該当する各 "ホステッド 型マッピング" に沿って評価する必要があります。 場合によっては、1 つのアドインに対して異なるホスト型を利用する場合があります。この場合、条件の適用性は、さまざまなホスト型の "ホステッド 型マッピング" 条件に従う必要があります。 |
共有ホスティング | 共有ホスティングは、複数の個々のコンシューマーによって共有されるプラットフォーム内で環境をホストしている場所です。 Microsoft 365 認定仕様は、クラウドの導入のためにこれを考慮して記述されていません。共有ホスティングは一般的ではありません。 これが使用されていると思われる場合は、この種類のホスティングタイプの追加のリスクを考慮して追加の要件を作成する必要がありますので、Microsoft にお問い合わせください。 |
付録 G
詳細情報
Microsoft 365 アプリ コンプライアンス プログラムの概要Microsoft 365 App Publisher の構成証明とはMicrosoft 365 認定とは
用語集
Aia
*機関情報アクセスは、発行元証明機関の証明書を検索するために使用されるサービスの場所記述子です。
Crl
*証明書失効リストは、リモート ホストから受信した証明書が有効で信頼できる証明書であることを確認するための、Secure Sockets Layer (SSL) エンドポイントの手段を提供します。
CVSS スコア
*一般的な脆弱性スコアリングシステムは、脆弱性を測定し、その重大度に基づいて数値スコアを計算する公開された標準です。
CVSS パッチ管理ガイドライン
- クリティカル (9.0 - 10.0)
- 高 (7.0 から 8.9)
- Medium (4.0 - 6.9)
- Low (0.0 - 3.9)
Dmz
*非武装地帯は、ホストの内部、プライベート ネットワークを分離および分離したまま、外部ネットワークまたは非所有者ネットワークを直接やり取りする物理または論理中間ネットワークです。
FedRAMP
連邦リスク・認可管理プログラム(FedRAMP)は、2011年に設立された米国連邦政府全体のプログラムです。 クラウド製品とサービスのセキュリティ評価、承認、継続的な監視に対して標準化されたアプローチを提供します。
EUII
エンド ユーザーを特定できる情報。
GDPR
*一般的なデータ保護規則は、アプリケーションサイトがどこにあるかに関係なく、すべてのEU市民のデータに対する欧州連合(EU)のプライバシーとデータ保護規則です。
HSTS
*HTTP Strict Transport Security は、HTTPS 経由でのみコンテンツにアクセスするように Web ブラウザーに指示する HTTP 応答ヘッダーを利用します。これは、ダウングレード攻撃やクッキー乗っ取りから保護するように設計されています。
Iec
*国際電気技術委員会。
Isms
*情報セキュリティ管理システム。
ISV
独立系セキュリティ ベンダーは、サードパーティのソフトウェアとハードウェア プラットフォームで動作するソフトウェアを開発、販売、販売する個人および組織です。
ISO 27001
組織のリスク管理ポリシーと手順プロセスのすべての技術的制御のための情報セキュリティ管理システム仕様フレームワーク。
LFI
ローカル ファイルインクルージョン を使用すると、攻撃者は Web ブラウザーを介してサーバー上のファイルを含めることができます。
Nist
米国商務省の非規制機関である ナショナル・インスティチュート・オブ・スタンダード (NIST)は、サイバー攻撃を防止、検出、対応する能力を評価し、承認する米国の民間部門組織向けのガイダンスを提供しています。
重要でない変更
- 軽微なバグ修正。
- パフォーマンスの軽微な改善。
- オペレーティング システム/ライブラリ/クライアントおよびサーバー アプリケーションのパッチ。
Ocsp
オンライン証明書状態プロトコルは、X.509 デジタル証明書の失効状態をチェックするために使用されます。
OII
組織を特定できる情報。
Owasp
Web アプリケーション セキュリティ プロジェクトを開きます。
PCI DSS
支払いカード業界データセキュリティ標準は、世界中のカード所有者データの安全性に関する基準を維持するorganizationです。
ペンテスト
侵入テスト は、悪意のある攻撃をシミュレートして、攻撃者が悪用する可能性のあるセキュリティの脆弱性を見つけることによって、Web アプリをテストする方法です。
SAML
セキュリティ アサーション マークアップ言語 は、ユーザー、ID プロバイダー、およびサービス プロバイダー間で認証と承認データを交換するためのオープン標準です。
機密データ
- アクセス制御データ。
- 顧客コンテンツ。
- エンド ユーザー ID 情報。
- サポート データ。
- パブリック個人データ。
- エンド ユーザーの仮名情報。
重要な変更
- ホスティング環境の再配置。
- サポート インフラストラクチャへの主なアップグレード。たとえば、新しいファイアウォールの実装、正面向けのサービスへの大規模なアップグレードなどです。
- アプリへの機能と拡張機能の追加。
- 追加の機密データをキャプチャするアプリに更新します。
- アプリのデータ フローまたは承認モデルの変更
- API エンドポイントまたは API エンドポイント関数の追加。
SOC 2
Service Organization Control 2 は、サービス プロバイダーがorganizationのクライアントのデータとプライバシーを安全に管理できるようにするための 5 つの信頼サービス原則で構成される技術的な監査手順です。
SSL
Secure Sockets Layer。
TLS
トランスポート層のセキュリティ。