Microsoft 365 認定申請ガイド

この記事の内容:

概要

Microsoft 365 アプリ コンプライアンス プログラムの一部である Microsoft 365 認定資格は、サード パーティの開発者アプリ/アドインを Microsoft 365 プラットフォームに統合する際に、データとプライバシーが適切に保護され保護されていることを企業組織に保証し、信頼を提供します。 検証に合格したアプリケーションとアドインは、 Microsoft 365 エコシステム全体で Microsoft 365 Certified と 指定されます。

Microsoft 365 認定プログラムに参加することで、お客様は、これらの補足条項に同意し、Microsoft Corporation ("Microsoft"、"Microsoft"、"us"、または "Microsoft") による Microsoft 365 認定プログラムへの参加に適用される付随するドキュメントに準拠することに同意するものとします。 お客様は、該当する場合、お客様自身、会社、またはその他のエンティティに代わって、Microsoft 365 サーティフィケーション補助条項に同意する権限があることを当社に表明し、保証するものとします。 当社は、これらの補足条項をいつでも変更、修正、または終了することができます。 変更または修正後も Microsoft 365 認定プログラムに継続的に参加することは、新しい補足条項に同意することを意味します。 新しい補足条項に同意しない場合、またはこれらの補足条項を終了する場合は、Microsoft 365 認定プログラムへの参加を停止する必要があります。

このドキュメントでは、ISV (独立系ソフトウェア ベンダー) を対象に、Microsoft 365 認定プロセス、プロセスを開始するための前提条件、ISV に必要な特定のセキュリティ制御の詳細に関する情報を提供します。Microsoft 365 アプリ コンプライアンス プログラムの一般的な情報は、Microsoft 365 アプリ コンプライアンス プログラム ページにあります。

重要

現時点では、Microsoft 365 認定資格は次すべてに適用されます。

  • Microsoft Teams アプリケーション (タブ、ボットなど) 。
  • Sharepoint Apps/アドイン
  • Office アドイン (Word、Excel、PowerPoint、Outlook、Project、OneNote)
  • WebApps

前提条件

Publisher の構成証明

Microsoft 365 認定プロセスを受け取る前に、パブリッシャー構成証明を完了しておく必要があります。 ただし、パブリッシャー構成証明を完了する前に、Microsoft 365 認定プロセスを開始できます。

Microsoft 365 認定仕様を読む

Microsoft では、すべての ISV (独立系ソフトウェア ベンダー) に対して、この Microsoft 365 認定仕様全体を読み取り、適用されるすべてのコントロールがスコープ内環境とアプリ/アドインによって満たされていることを確認することをお勧めします。 これにより、スムーズな評価プロセスが確保されます。

Microsoft 365 認定仕様の更新プログラム

Microsoft 365 認定仕様の更新は、約 6 か月から 12 か月ごとに行われます。 これらの更新では、新しいターゲット セキュリティ ドメインやセキュリティ制御が導入される可能性があります。 更新プログラムは、開発者からのフィードバック、脅威の状況の変更、およびプログラムの成熟に伴うセキュリティ ベースラインの向上に基づいて行われます。

Microsoft 365 認定評価を既に開始している ISV は、評価の開始時に有効だった Microsoft 365 認定仕様のバージョンで評価を続行できます。 年次再認定を含むすべての新しい申請は、公開されているバージョンに対して評価する必要があります。

注:

認定資格を取得するために、この Microsoft 365 認定仕様内のすべてのコントロールに準拠する必要はありません。 ただし、この Microsoft 365 認定仕様で説明されているセキュリティ ドメインごとに、合格のしきい値 (公開されません) が設定されています。 一部のコントロールは "ハード 失敗" として分類されます。つまり、これらのセキュリティコントロールが不足すると評価が失敗します。

認定スコープ

スコープ内環境は、アプリ/アドイン コードの配信をサポートし、アプリ/アドインが通信している可能性があるバックエンド システムをサポートする環境です。 適切なセグメント化が行われ、接続された環境がスコープ内環境のセキュリティに影響を与えない限り、追加の接続先環境もスコープに含まれます。 また、プライマリ環境に何らかの問題が発生した場合は、これらの環境がサービスを満たすために必要であるため、ディザスター リカバリー環境も評価のスコープ内に含める必要があります。 スコープ内システム コンポーネント という用語は、スコープ内環境内で使用 されるすべての デバイスとシステムを参照します。 スコープ内コンポーネントには、次のものが含まれますが、これらに限定されません。

  • Web アプリケーション。
  • サーバー。
  • ファイアウォール (または同等)。
  • スイッチ。
  • ロード バランサー。
  • 仮想インフラストラクチャ。
  • クラウド プロバイダー Web 管理ポータル

重要

スコープ内環境には DMZ が必要であり、アプリ/アドインのサポート環境を内部ビジネス システムと企業環境からセグメント化する必要があるため、評価アクティビティの範囲をスコープ内システムのみに制限する必要があります。 認定アナリストは、評価中にセグメント化手法を検証し、侵入テスト レポートをレビューします。これには、使用されているセグメント化手法の有効性を検証するためのテストが含まれている必要があります。

サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのソフトウェア (SaaS)

IaaS または PaaS を使用して、レビュー中のアプリケーションまたはアドイン コード配信のインフラストラクチャをサポートする場合、クラウド プラットフォーム プロバイダーは、認定プロセス全体を通じて評価されるセキュリティ制御の一部を担当します。 そのため、認定アナリストは、[PCI DSS] コンプライアンス構成証明 (AOC)、ISO27001、[SOC 2] Type II レポートなどの外部コンプライアンス レポートを通じて、クラウド プラットフォーム プロバイダーによるセキュリティベスト プラクティスの独立した外部検証を提供する必要があります。

付録 F では、次の展開の種類と、アプリ/アドインが Microsoft 365 データを流出させるかどうかに基づいて、適用される可能性のあるセキュリティ制御の詳細を示します。

  • ISV ホステッド
  • IaaS Hosted
  • PaaS/Serverless Hosted
  • ハイブリッド ホステッド
  • 共有ホステッド

IaaS または PaaS がデプロイされている場合は、これらのデプロイの種類でホストされている環境の証拠を提供する必要があります。

サンプリング

認定評価をサポートする証拠の要求は、さまざまなオペレーティング システム、デバイスの主な機能、およびさまざまなデバイスの種類を考慮して、スコープ内のシステム コンポーネントのサンプルに基づいている必要があります。 認定プロセスの開始時に適切なサンプルが選択されます。 次の表は、サンプル サイズのガイドとして使用する必要があります。

人口サイズ サンプル
<5 1
>5 & < 10 2
>9 & < 25 3
>24 4

注:

最初のサンプルに含まれるデバイス間で不一致が特定された場合、評価中にサンプル サイズが大きくなる可能性があります。

認定プロセス

認定プロセスを開始する前に、パブリッシャー構成証明を正常に完了しておく必要があります。 完了すると、Microsoft 365 認定プロセスは次のように進みます。

準備

  1. パートナー センターに移動し、完成した パブリッシャー構成証明ドキュメントを 確認します。 必要に応じて、応答を編集および更新できます。ただし、その場合は、承認のために構成証明のドキュメントを再送信する必要があります。 申請が 3 か月を超える場合は、確認と検証のために Publisher Attestation を再送信する必要があります。
  2. Microsoft 365 認定申請ガイドをよくお読みになり、お客様に何が必要かを理解してください。 Microsoft 365 認定申請ガイドで指定されている 制御要件 を満たすことができるようにします。
  3. パートナー センター内で、[認定資格の開始] を選択します。 これにより、最初のドキュメント提出ポータルに移動します。 最初の ドキュメントの提出を送信します。 これは、アプリの設計方法と顧客データの処理方法に基づいて、評価のスコープ内の内容を判断するのに役立ちます。 提出が受け入れられたかどうかを確認するには、このページを頻繁に確認してください。

注:

すべての Office アプリについては、 Office Apps ユーザー ガイドを参照してください。 すべての WebApps については、 SaaS アプリ ユーザー ガイドを参照してください。

料金の考え方の案内

  1. 最初のドキュメントの提出が受け入れられたら、アプリに必要なセキュリティ コントロールのセットがポータルに自動的に表示されます。 その後、コントロールが配置されていることを示す各コントロールの証拠を提出する必要があります。 すべての証拠を提出するには 、60 日 が与えられます。 アナリストが証拠を確認し、コントロールを承認するか、新しい証拠または追加の証拠を要求します。 このページを頻繁に確認して、証拠が受け入れられたかどうかを確認します。

認定

  1. 提出がアナリストによって検証されると、認定の決定が通知されます。 認定資格を取得したアプリには、 AppSource および Microsoft ドキュメント ページ内のアプリケーションにバッジが表示されます。 認定資格の完全な利点については、 こちらを参照してください

レビューと再認定

アプリケーションが任意の時点で 大幅な変更 を受けた場合は、当社に通知する必要があります。

また、年単位で再認定を行う必要もあります。 これには、現在の環境に対するスコープ内コントロールの再検証が必要になります。 このプロセスは、認定資格の有効期限の 90 日前まで開始できます。 再認定期間中、既存の認定資格の有効期限は切れません。 すべてのプログラムの再認定は、Microsoft 365 認定資格の 1 年の記念日に期限切れになります。

有効期限が切れる前に認定資格が更新されない場合、アプリの認定ステータスは取り消されます。 すべての悪名、アイコン、関連する認定ブランドはアプリから削除され、アプリを Microsoft 365 Certified として宣伝することは禁止されます。

重要

提出期間: 提出状況を頻繁に確認し、コメントや補足的な証拠要求にタイムリーに対応できる場合は、平均して評価プロセスに 30 日かかることが予想されます。 認定プロセスを開始すると、評価を完了するために最大 60 日が許可されます。 すべての申請が 60 日以内に完了していない場合、提出は失敗し、プロセスを再開する必要があります。 これらの結果は公開されません。

初期ドキュメントの提出

最初のドキュメント提出は、認定アナリストがスコープを実行し、評価のスコープを決定するのに役立ちます。 その後、評価を実行するために使用されるサポート ドキュメントと証拠を提出する必要があります。 最初の提出には、次に示す情報を含める必要があります。 その他のガイダンスについては、「 初期ドキュメント提出ガイド」を参照してください。

ドキュメントの概要 ドキュメントの詳細
アプリ/アドインの説明 アプリ/アドインの目的と機能の説明。 これにより、認定アナリストは、アプリ/アドインの機能とその用途について理解を深める必要があります。
侵入テスト レポート 過去 12 か月以内に完了した侵入テスト レポート。 このレポートには、アプリ/アドインの展開をサポートする環境と、アプリ/アドインの操作をサポートする追加の環境が含まれている必要があります。 注: 年間侵入テストを行わない場合は、認定プロセスを通じて実行するように選択できます。
アーキテクチャ図 アプリ/アドインのサポート インフラストラクチャの概要を表す論理アーキテクチャ図。 これには 、すべての ホスティング環境と、アプリ/アドインをサポートするサポート インフラストラクチャが含まれている必要があります。 この図では、認定アナリストがスコープ内のシステムを理解し、サンプリングを決定するのに役立つ、環境内のさまざまなサポート システム コンポーネントをすべて示す必要があります。 使用されるホスティング環境の種類も指定してください。ISV Hosted、IaaS、PaaS、または Hybrid。 手記: SaaS が使用されている場合は、環境内でサポート サービスを提供するために使用されるさまざまな SaaS サービスを指定してください。
パブリック フットプリント サポート インフラストラクチャで使用 されるすべての パブリック IP アドレスと URL の詳細。 これには、使用範囲を分割するために適切なセグメント化が実装されていない限り、環境に割り当てられたルーティング可能な完全な IP 範囲が含まれている必要があります (セグメント化の十分な証拠が必要になります)
データ フロー図 次の詳細を示すフロー図:
✓ Microsoft 365 アプリ/アドインとの間のデータ フロー ( EUIIOII を含む)。
✓ サポート インフラストラクチャ内の Microsoft 365 データ フロー (該当する場合)
✓ 保存されるデータの場所と内容、外部サード パーティへのデータの受け渡し方法 (サード パーティの詳細を含む)、オープン/パブリック ネットワークと保存中の転送中のデータの保護方法を示す図。
API エンドポイントの詳細 アプリで使用されるすべての API エンドポイントの完全な一覧。 環境のスコープを理解するために、環境内の API エンドポイントの場所を指定します。
Microsoft API のアクセス許可 アプリ/アドインが機能するために要求されているアクセス許可と、要求されたアクセス許可の正当な理由と共に使用 されるすべての Microsoft API の詳細を示すドキュメントを提供する
データ ストレージの種類 以下を説明するデータストレージと処理ドキュメント:
✓ お客様の Microsoft 365 Data EUIIOII が受信および保存されている範囲
✓ データ保持期間。
✓ 顧客の Microsoft 365 データがキャプチャされている理由。
✓ 顧客の Microsoft 365 データが格納されている場所 (上記のデータ フロー図に含める必要があります)。
コンプライアンスの確認 Publisher Attestation 申請に含まれる外部セキュリティ フレームワークのサポート ドキュメント、または Microsoft 365 認定コントロールを確認するときに考慮する必要があります。 現在、次の 3 つがサポートされています。
PCI DSS コンプライアンス構成証明 (AOC)。
SOC 2 タイプ I/Type II レポート。
ISMS / IEC - 1S0/IEC 27001 適用性に関する声明 (SoA) と認定。
Web の依存関係 現在実行中のバージョンのアプリ/アドインで使用されるすべての依存関係を示すドキュメント。
ソフトウェア インベントリ スコープ内環境内で使用されるすべてのソフトウェアとバージョンを含む最新のソフトウェア インベントリ。
ハードウェア インベントリ サポート インフラストラクチャによって使用される最新のハードウェア インベントリ。 これは、評価フェーズの実行時のサンプリングに役立ちます。 環境に PaaS が含まれている場合は、使用されるサービスの詳細を提供します。

証拠の収集と評価のアクティビティ

認定アナリストは、定義されたサンプル セット内のすべてのシステム コンポーネントの証拠を確認する必要があります。 評価プロセスをサポートするために必要な証拠の種類には、次のいずれかまたはすべてが含まれます。

証拠の収集

  • 上記の [ 初期ドキュメントの提出 ] セクションで強調表示されている初期ドキュメント
  • ポリシー ドキュメント
  • ドキュメントの処理
  • システム構成設定
  • チケットの変更
  • 制御レコードの変更
  • システム レポート

評価プロセスを完了するために必要な証拠を収集するために、さまざまな方法が使用されます。 この証拠の収集は、次の形式になります。

  • ドキュメント
  • スクリーンショット
  • インタビュー
  • スクリーン共有

使用される証拠収集手法は、評価プロセス中に決定されます。 提出に必要な証拠の種類の具体的な例については、 サンプル証拠ガイドを参照してください。

評価アクティビティ

認定アナリストは、提供した証拠を確認して、この Microsoft 365 認定仕様内のコントロールを適切に満たしているかどうかを判断します。

可能であれば、評価を完了するために必要な時間を短縮するために、 初期ドキュメント提出 に記載されているドキュメントの一部またはすべてを事前に提供する必要があります。

サーティフィケーション アナリストは、最初のドキュメント提出から提供された証拠とパブリッシャー構成証明情報を確認して、適切な調査行、サンプリング サイズ、および上記の詳細な証拠を取得する必要性を特定します。 認定アナリストは、収集されたすべての情報を分析して、この Microsoft 365 認定仕様内のコントロールを満たす方法と方法に関する結論を導き出します。

アプリの認定基準

アプリ、サポート インフラストラクチャ、およびサポート ドキュメントは、次のセキュリティ ドメイン全体で評価されます。

  1. Application Security
  2. 運用セキュリティ/セキュリティで保護されたデプロイ
  3. データ処理のセキュリティとプライバシー

これらの各セキュリティ ドメインには、評価プロセスの一部として評価される 1 つ以上の特定の要件を含む特定のキー コントロールが含まれています。 Microsoft 365 認定資格がすべてのサイズの開発者に包括的であることを確認するために、各セキュリティ ドメインはスコアリング システムを使用して評価され、各ドメインから全体的なスコアが決定されます。 Microsoft 365 認定資格の各コントロールのスコアは、そのコントロールが満たされていないと認識されるリスクに基づいて、1 (低) から 3 (高) の間で割り当てられます。 各セキュリティ ドメインには、パスと見なされる最小割合のマークが付けられます。 この仕様の特定の要素には、いくつかの自動失敗条件が含まれます。

  • 最小特権 (PoLP) の原則に従わない API アクセス許可。
  • 必要な場合は、侵入テスト レポートはありません。
  • マルウェア対策防御なし
  • 管理アクセスを保護するために使用されていない多要素認証。
  • パッチ適用プロセスなし。
  • 適切な GDPR プライバシーに関する通知はありません。

Application Security

アプリケーション セキュリティ ドメインは、次の 3 つの領域に重点を置いています。

  • GraphAPI アクセス許可の検証
  • 外部接続チェック
  • アプリケーション セキュリティ テスト

GraphAPI アクセス許可の検証

GraphAPI アクセス許可の検証は、アプリ/アドインが過度に制限されたアクセス許可を要求しないことを検証するために実行されます。 これは、要求されるアクセス許可を手動で確認することによって実行されます。 認定アナリストは、パブリッシャー構成証明の提出に対してこれらのチェックを相互参照し、要求されているアクセスレベルを評価して、"最小限の特権" プラクティスが満たされていることを確認します。 認定アナリストは、これらの "最小限の特権" プラクティスが満たされていないと考えている場合、認定アナリストは、要求されるアクセス許可のビジネス上の正当な理由を検証するために、あなたとオープンなディスカッションを行います。 このレビュー中に見つかったパブリッシャー構成証明の提出に不一致がある場合は、パブリッシャー構成証明を更新できるようにフィードバックも受け取ります。

外部接続チェック

評価の一環として、アナリストはアプリケーション機能の簡単なウォークスルーを実行して、Microsoft 365 の外部の接続を識別します。 Microsoft またはサービスへの直接接続として識別されない接続は、評価中にフラグが設定され、説明されます。

アプリケーション セキュリティ テスト

アプリ/アドインとサポート環境に関連するリスクの適切なレビューは、アプリ/アドインのセキュリティを顧客に保証するために不可欠です。 侵入テストの形式でのアプリケーション セキュリティ テストは、アプリケーションが Microsoft によって公開されていないサービスに接続している場合に実行する必要があります。 アプリが Microsoft 以外のサービスまたはバックエンドに接続せずにスタンドアロンで動作する場合、侵入テストは必要ありません。

侵入テストスコープ

侵入テスト アクティビティは、アプリ/アドインのデプロイをサポートするライブ運用環境 (たとえば、アプリ/アドイン コードがホストされており、通常はマニフェスト ファイル内のリソース) と、アプリ/アドインの操作をサポートする追加の環境 (たとえば、アプリ/アドインが Microsoft 365 の外部の他の Web アプリケーションと対話する場合) で実行する 必要があります 。 スコープを定義するときは、スコープ内環境のセキュリティに影響を与える可能性がある "接続済み" システムまたは環境もすべての侵入テスト アクティビティに含まれるように注意する必要があります。

スコープ内の環境を他の環境からセグメント化するために手法を使用する場合、侵入テスト アクティビティは、上記のセグメント化手法の有効性を検証する必要があります。 これは、侵入テスト レポート内で詳しく説明する必要があります。

侵入テスト レポートは、以下のコントロールに記載されている次の 自動エラー条件 を満たす脆弱性がないことを確認するためにレビューされます。

侵入テストの要件

抽出条件の種類 侵入テスト コントロール
一般的な条件 Controls
アプリケーションとインフラストラクチャの侵入テストは、毎年 (12 か月ごとに) 実施され、信頼できる独立した会社によって実施される 必要があります
特定された重大および高リスクの脆弱性の修復は、侵入テストの終了から 1 か月以内、または文書化されたパッチ適用プロセスに応じて早く完了 する必要があります 。 
完全な外部フットプリント (IP アドレス、URL、API エンドポイントなど)侵入テストのスコープ内に含まれている必要があり、侵入テスト レポートに文書化する必要があります。
Web アプリケーション侵入テストには、すべての脆弱性クラスが含まれている必要があります。たとえば、最新の OWASP Top 10 や SANS Top 25 CWE などです。
侵入テスト会社によって特定された脆弱性の再テストは必要ありません。修復と自己レビューで十分ですが、十分な修復を実証するための十分な証拠を評価中に提供 する必要があります
自動エラー条件: Controls
サポートされていないオペレーティング システムの存在。
既定、列挙可能、または推測可能な管理アカウントの存在。
SQL インジェクション リスクの存在。
クロスサイト スクリプティングの存在。
ディレクトリ トラバーサル (ファイル パス) の脆弱性が存在する。
ヘッダー応答の分割、要求の密輸、Desync 攻撃など、HTTP の脆弱性が存在します。
ソース コード開示 ( LFI を含む) の存在。
CVSS パッチ管理ガイドラインで定義されているクリティカルスコアまたはハイ スコア。
大量の EUII または OUI を侵害するためにすぐに悪用できる重大な技術的脆弱性。

重要

レポートは、アプリケーション セキュリティ テストの仕様に関するセクションで詳しく説明されているすべてを実証できる十分な保証を提供できる必要があります。

無料の侵入テストの要件と規則

  • 現在侵入テストに関与していない ISV の場合、侵入テストは Microsoft 365 認定資格を無料で実施できます。 Microsoft は、最大 12 日間の手動テストの侵入テストのコストを調整してカバーします。 侵入テストのコストは、環境のテストに必要な日数に基づいて計算されます。 12 日間を超えるテスト費用は、ISV の責任となります。
  • ISV は、侵入テストが実施される前に、証拠を提出し、スコープ内のコントロールの 50% の承認を受ける必要があります。 作業を開始するには、最初のドキュメント提出に記入し、評価の一部として侵入テストを含めるように選択します。 スコープに連絡し、コントロールの 50% を完了したときに侵入テストをスケジュールします。
  • ペンテストが完了すると発行されたレポートは、認定が完了すると ISV に提供されます。 このレポートと Microsoft 365 認定資格は、環境が安全な見込み顧客を示すために使用できます。
  • また、ISV は、認定資格が付与される前に侵入テストで特定された脆弱性が修復されたことを示す責任を負いますが、クリーンなレポートを作成する必要はありません。

侵入テストが手配されると、ISV は次のように再スケジュールとキャンセルに関連する料金を担当します。

料金のタイムスケールの再スケジュール 買掛金の比率
スケジュールされた開始日の 30 日を超えて受信した要求を再スケジュールします。 0% 買掛金
スケジュールされた開始日の 8 日から 30 日前に再スケジュール要求が受信されました。 25% 未払い
スケジュールされた開始日の 2 から 7 日前に受信した要求を、確定の再予約日で再スケジュールします。 50% 未払い
再スケジュール要求は、開始日の 2 日前より前に受信されました。 100% 未払い
キャンセル料のタイムスケール 買掛金の比率
キャンセル要求は、スケジュールされた開始日の 30 日前より前に受信されました。 25% 未払い
キャンセル要求は、スケジュールされた開始日の 8 日から 30 日前に受信されました。 50% 未払い
キャンセル要求は、スケジュールされた開始日の 7 日前に受信しました。 90% 未払い

運用セキュリティ

このドメインは、アプリのサポート インフラストラクチャとデプロイ プロセスとセキュリティのベスト プラクティスとの連携を測定します。

コントロール

コントロール ファミリ Controls
マルウェア保護 - ウイルス対策 ウイルス対策のプラクティスと手順を管理するポリシー ドキュメントを提供します。
サンプリングされたすべてのシステム コンポーネントでウイルス対策ソフトウェアが実行されていることを実証できる証拠を提供します。
すべての環境 (1 日以内) にウイルス対策署名が最新の状態であることを示す証拠を提供します。
サンプリングされたすべてのシステム コンポーネントでオンアクセス スキャンまたは定期的スキャンを実行するようにウイルス対策が構成されていることを示す証拠を提供します。 注: オンアクセス スキャンが有効になっていない場合は、少なくとも 1 日のスキャンとアラートを有効にする必要があります。
サンプリングされたすべてのシステム コンポーネントでマルウェアまたは検疫とアラートを自動的にブロックするようにウイルス対策が構成されていることを示す証拠を提供します。
アプリケーションコントロール: 従来のマルウェア対策が使用されていない場合にのみ必要 デプロイされる前にアプリケーションが承認されていることを示す証拠を提供します。
ビジネス上の正当な理由を持つ承認済みアプリケーションの完全な一覧が存在し、維持されていることを示す証拠を提供します。
アプリケーション制御ソフトウェアが特定のアプリケーション制御メカニズムを満たすように構成されていることを詳しく説明するサポート ドキュメントを提供します。 (例: 許可されたリスト: sample1、sample3、コード署名)
サンプリングされたすべてのシステム コンポーネントから文書化されたとおりにアプリケーション制御が構成されていることを示す証拠を提供します。
パッチ管理 - リスクランキング 新しいセキュリティの脆弱性を特定し、リスク スコアを割り当てる方法を管理するポリシー ドキュメントを提供します。
新しいセキュリティの脆弱性がどのように識別されるかを示す証拠を提供します。
すべての脆弱性が特定されるとリスク ランク付けが割り当てられることを示す証拠を提供します。
パッチ管理 - パッチ適用 重大、高、中のリスクの脆弱性に対する適切な最小限のパッチ適用期間を含む、スコープ内のシステム コンポーネントのパッチ適用に関するポリシー ドキュメントを提供します。サポートされていないオペレーティング システムとソフトウェアの使用停止。
サンプリングされたすべてのシステム コンポーネントにパッチが適用されていることを示す証拠を提供します。
サポートされていないオペレーティング システムとソフトウェア コンポーネントが環境内で使用されていないことを示す証拠を提供します。
脆弱性スキャン 四半期ごとのインフラストラクチャと Web アプリケーションの脆弱性スキャン レポートを提供します。 スキャンは、パブリック フットプリント全体 (IP アドレスと URL) と内部 IP 範囲に対して実行する必要があります。
脆弱性スキャン中に特定された脆弱性の修復が、文書化されたパッチ適用期間に沿って修正されるという実証可能な証拠を提供します。
ファイアウォール ファイアウォール管理のプラクティスと手順を管理するポリシー ドキュメントを提供します。
運用環境にインストールする前に、既定の管理資格情報が変更されていることを実証可能な証拠を提供します。
スコープ内環境の境界にファイアウォールがインストールされ、境界ネットワーク (DMZ、非武装地帯、およびスクリーン サブネットとも呼ばれます) と内部信頼されたネットワークの間にインストールされていることを実証可能な証拠を提供します。
すべてのパブリック アクセスが非武装地帯 (DMZ) で終了するという実証可能な証拠を提供します。
ファイアウォール経由で許可されるすべてのトラフィックが承認プロセスを通過するという実証可能な証拠を提供します。
ファイアウォール規則ベースが明示的に定義されていないトラフィックを削除するように構成されていることを実証可能な証拠を提供します。
ファイアウォールが、コンソール以外のすべての管理インターフェイスで強力な暗号化のみをサポートするという実証可能な証拠を提供します。
少なくとも 6 か月ごとにファイアウォール規則のレビューを実行していることを示す証拠を提供します。
Web アプリケーション ファイアウォール (WAF) (省略可能): 次のコントロールを満たすことで追加のクレジットが付与されます。 Web Application Firewall (WAF) が、悪意のあるトラフィックをアクティブに監視、アラート、ブロックするように構成されていることを示す証拠を提供します。
WAF が SSL オフロードをサポートしていることを実証できる証拠を提供します。
OWASP Core Rule Set (3.0 または 3.1) に従って、WAF が次の脆弱性の一部またはすべてから保護されていることを示す証拠を提供します。
変更コントロール 変更制御プロセスを管理するポリシー ドキュメントを提供します。
開発環境とテスト環境が運用環境からの職務の分離を強制するという実証可能な証拠を提供します。
機密性の高い運用データが開発環境またはテスト環境内で使用されていないことを実証可能な証拠を提供します。
文書化された変更要求に、変更、バックアウト手順の詳細、実行されるテストの影響が含まれていることを示す証拠を提供します。
変更要求が承認を受け、サインアウト プロセスを受けるという実証可能な証拠を提供します。
セキュリティで保護されたソフトウェアの開発/展開 OWASP Top 10 や SANS Top 25 CWE などの一般的な脆弱性クラスに対するセキュリティで保護されたコーディングのベスト プラクティス ガイダンスなど、セキュリティで保護されたソフトウェアの開発と展開をサポートするポリシーと手順を提供します。
コードの変更が、2 番目のレビュー担当者によるレビューと承認プロセスを受けているという実証可能な証拠を提供します。
開発者がセキュリティで保護されたソフトウェア開発トレーニングを毎年受けているという実証可能な証拠を提供します。
コード リポジトリが多要素認証 (MFA) で保護されていることを示す証拠を提供します。
コード リポジトリをセキュリティで保護するためにアクセス制御が実施されていることを示す証拠を提供します。
アカウント管理 アカウント管理のプラクティスと手順を管理するポリシー ドキュメントを提供します。
既定の資格情報が、サンプリングされたシステム コンポーネント全体で無効、削除、または変更されていることを示す証拠を提供します。
アカウントの作成、変更、削除が確立された承認プロセスを経る実証可能な証拠を提供します。
3 か月以内に使用されていないアカウントを無効または削除するためのプロセスが実施されていることを示す証拠を提供します。
ユーザーの資格情報を保護するための強力なパスワード ポリシーまたはその他の適切な軽減策が実施されていることを示す証拠を提供します。 最小ガイドラインとして使用する必要があります。パスワードの最小長は 8 文字、アカウントロックアウトのしきい値は 10 回以下、パスワード履歴は 5 つ以上、強力なパスワードの使用は強制されます。
一意のユーザー アカウントがすべてのユーザーに発行されていることを示す証拠を提供します。
環境内で最小限の特権の原則に従っていることを示す証拠を提供します。
サービス アカウントをセキュリティで保護または強化するためのプロセスが実施されており、プロセスが従われていることを実証できる証拠を提供します。
MFA がすべてのリモート アクセス接続とすべてのコンソール以外の管理インターフェイスに対して構成されていることを示す証拠を提供します。
すべてのリモート アクセス接続とコンソール以外のすべての管理インターフェイス (コード リポジトリやクラウド管理インターフェイスへのアクセスを含む) に対して強力な暗号化が構成されていることを実証できる証拠を提供します。
すべてのパブリック ドメイン ネーム サービス (DNS) レコードを管理および管理するために使用する管理ポータルを保護するために MFA が使用されていることを示す証拠を提供します。
侵入検出と防止 (省略可能): 追加のクレジットは、次のコントロールを満たすことで報われます 侵入検出および防止システム (IDPS) がスコープ内環境の境界にデプロイされていることを実証できる証拠を提供します。
IDPS 署名が最新の状態 (24 時間以内) に保持されていることを示す証拠を提供します。
すべての受信 Web トラフィックの TLS 検査をサポートするように IDPS が構成されていることを示す証拠を提供します。
IDPS がすべての受信トラフィック フローを監視するように構成されていることを示す証拠を提供します。
IDPS がすべての送信トラフィック フローを監視するように構成されていることを示す証拠を提供します。
セキュリティ イベント ログ セキュリティ イベント ログを管理するベスト プラクティスと手順に関するポリシー ドキュメントを提供します。
次のイベントを記録するために、サンプリングされたすべてのシステム コンポーネントにセキュリティ イベント ログが設定されていることを示す実証可能な証拠を提供します。システム コンポーネントとアプリケーションへのユーザー アクセス、高い特権を持つユーザーが実行したすべてのアクション、無効な論理アクセス試行特権アカウントの作成または変更、イベント ログの改ざん、セキュリティ ツールの無効化 (マルウェア対策やイベント ログ記録など) マルウェア対策ログ (更新プログラム、マルウェア検出、スキャン エラーなど)。IDPS イベントと WAF イベント (構成されている場合)
ログに記録されたセキュリティ イベントに、ユーザー、イベントの種類、日付と時刻、成功または失敗のインジケーター、影響を受けるシステムを識別するラベルの最小情報が含まれていることを示す証拠を提供します。
サンプリングされたすべてのシステム コンポーネントが、同じプライマリ サーバーとセカンダリ サーバーに時間同期されていることを実証できる証拠を提供します。
公開システムが使用されている場合、セキュリティ イベント ログが境界ネットワーク内ではなく一元化されたログ ソリューションに送信されていることを示す証拠を提供します。
ログ データの不正な改ざんから一元化されたログ ソリューションが保護されていることを示す実証可能な証拠を提供します。
少なくとも 30 日間のセキュリティ イベント ログ データがすぐに利用でき、90 日間のセキュリティ イベント ログが保持されていることを実証可能な証拠を提供します。
セキュリティ イベント ログ レビュー ログ レビューのプラクティスと手順を管理するポリシー ドキュメントを提供します。
潜在的なセキュリティ イベントを特定するために、人間または自動化されたツールによってログが毎日レビューされるという実証可能な証拠を提供します。
潜在的なセキュリティ イベントと異常が調査され、修復されていることを実証可能な証拠を提供します。
警告 セキュリティ イベント アラートのプラクティスと手順を管理するポリシー ドキュメントを提供します。
特権アカウントの作成または変更、ウイルスまたはマルウェア のイベント、イベント ログの改ざん、IDPS または WAF イベントなど、次の種類のセキュリティ イベントの即時トリアージに対してアラートがトリガーされるという実証可能な証拠を提供します。
セキュリティ アラートに対応するために、スタッフが常に毎日いつでも利用可能であることを示す実証可能な証拠を提供します。
リスク管理 正式な情報セキュリティ リスク管理プロセスが確立されていることを示す証拠を提供します。
少なくとも、正式なリスク評価が毎年行われるという実証可能な証拠を提供します。
情報セキュリティ リスク評価に脅威、脆弱性、または同等のものが含まれているという実証可能な証拠を提供します。
情報セキュリティ リスク評価に影響、尤度リスク マトリックス、または同等のものが含まれているという実証可能な証拠を提供します。
情報セキュリティ リスク評価にリスク レジスタと治療計画が含まれているという実証可能な証拠を提供します。
インシデント対応 セキュリティ インシデント対応計画 (IRP) を指定します。
セキュリティ IRP には、支払いブランドや買収者、規制機関、監督当局、取締役、顧客など、主要な利害関係者にタイムリーに通知するための文書化された通信プロセスが含まれていることを実証可能な証拠を提供します。
インシデント対応チームのすべてのメンバーが年次トレーニングまたはテーブル トップ演習を完了したことを示す実証可能な証拠を提供します。
学習したレッスンまたは組織の変更に基づいてセキュリティ IRP が更新されていることを示す実証可能な証拠を提供します。

データ処理のセキュリティとプライバシー

アプリケーション ユーザー、中間サービス、ISV のシステム間の転送中のデータは、TLS v1.1 の最小値をサポートする TLS 接続を介した暗号化によって保護する必要があります。付録 Aを参照してください

アプリケーションが Microsoft 365 データを取得して格納する場合は、 付録 B で定義されている仕様に従うデータ ストレージ暗号化スキームを実装する必要があります。

コントロール

コントロール ファミリ Controls
転送中のデータ TLS 構成が TLS プロファイル構成要件内の暗号化要件を満たすか、または超えているという実証可能な証拠を提供する
Web 要求を処理するすべてのパブリック向けサービスで TLS 圧縮が無効になっていることを示す証拠を提供します。
TLS HTTP の厳格なトランスポート セキュリティが有効になっており、すべてのサイトで >= 15552000 に構成されていることを示す証拠を提供します。
保存データ 保存データが、AES、Blowfish、TDES、128 ビット、256 ビットの暗号化キー サイズなどの暗号化アルゴリズムを使用して、暗号化プロファイル要件と共にインラインで暗号化されていることを実証できる証拠を提供します。
ハッシュ関数またはメッセージ認証 (HMAC-SHA1) が暗号化プロファイル要件を使用して保存データをインラインで保護するためにのみ使用されることを実証可能な証拠を提供します。
ストレージの場所やデータの保護に使用される暗号化など、格納されているすべてのデータを示すインベントリを提供します。
データの保持と破棄 承認され文書化されたデータ保持期間が正式に確立されていることを実証可能な証拠を提供します。
保持データが定義された保持期間と一致する実証可能な証拠を提供します。
保持期間後にデータを安全に削除するためのプロセスが実施されていることを示す証拠を提供します。
データ アクセス管理 ビジネス上の正当な理由を含め、データまたは暗号化キーへのアクセス権を持つすべての個人の一覧を提供します。
データまたは暗号化キーへのアクセス権を持つサンプリングされた個人が正式に承認され、ジョブ機能に必要な特権を詳細に示す実証可能な証拠を提供します。
データまたは暗号化キーへのアクセス権を持つサンプリングされた個人が、承認に含まれる特権のみを持っているという実証可能な証拠を提供します。
顧客データが共有されているすべてのサード パーティの一覧を指定します。
顧客データを使用するすべてのサード パーティが共有契約を締結していることを示す証拠を提供します。
GDPR (該当する場合) 文書化されたサブジェクト アクセス要求 (SAR) プロセスを提供し、データ主体が SA を上げることができることを示す証拠を提供します。
SAR に応答するときに、データ主体のデータのすべての場所を識別できる実証可能な証拠を提供します。
会社の詳細 (名前、住所など) を含める必要があるプライバシー通知を保持します。
お客様は、処理される個人データの種類を説明する必要があるプライバシー通知を保持します。
お客様は、個人データの処理の適法性を説明する必要があるプライバシー通知を維持します
お客様は、データ主体の権利について詳しく説明するプライバシー通知を保持します。情報を提供する権利、データ主体によるアクセス権、消去する権利、処理の制限の権利、データの移植性に対する権利、異議の権利、プロファイリングを含む自動化された意思決定に関連する権利。
お客様は、個人データの保持期間を説明するプライバシー通知を保持します。

オプションの外部コンプライアンス フレームワーク レビュー

必須ではありませんが、現在 ISO 27001、PCI DSS、または SOC2 に準拠している場合は、これらの認定資格を使用して Microsoft 365 の認定コントロールの一部を満たすことを選択できます。 認定アナリストは、既存の外部セキュリティ フレームワークを Microsoft 365 認定仕様に合わせようとします。 ただし、サポート ドキュメントが、Microsoft 365 認定コントロールが外部セキュリティ フレームワークの監査/評価の一部として評価されたことを保証できない場合は、上記のコントロールが実施されていることを示す追加の証拠を提供する必要があります。

ドキュメントでは、Microsoft 365 認定資格のスコープ内環境が、これらの外部セキュリティ フレームワークのスコープ内に含まれていることを十分に示す必要があります。 これらのセキュリティ フレームワークの検証は、信頼できる外部のサード パーティ企業によって実施された有効な認定資格の証拠を受け入れることによって満たされます。 これらの評判の高い企業は、関連するコンプライアンス プログラムの国際的な認定機関のメンバーである必要があります。 「ISO 27001 の ISO 認定および準拠基準」および「PCI DSS の認定セキュリティ評価者 (QSA)」を参照してください。

次の表は、この検証プロセスの一環として認定アナリストが必要とする外部フレームワークとドキュメントを示しています。

Standard Requirements
ISO 27001 適用性に関する声明 (SOA) の公開バージョンと、発行された ISO 27001 証明書のコピーが必要です。SOA は、114 個の情報セキュリティ コントロールのそれぞれの位置を要約し、ISO 27001 証明書で十分に詳しく説明されていないコントロールの除外があるかどうかを識別するために使用されます。 一般向けバージョンの SOA を確認してこれを判断できない場合、ISO 27001 を使用して Microsoft 365 認定仕様コントロールの一部を検証する場合、アナリストは完全な SOA にアクセスする必要がある可能性があります。 アナリストは、ISO 27001評価活動の範囲を検証するだけでなく、上記のように監査会社の妥当性も確認します。
PCI DSS スコープ内のアプリケーションとシステム コンポーネントを明確に識別する有効な レベル 1 コンプライアンス構成証明 (AOC) ドキュメントを提供する必要があります。自己評価 AOC は、 セキュリティのベスト プラクティスを満たす証拠として受け入れられない。 AOC は、PCI DSS 評価の一環として評価および確認された Microsoft 365 認定仕様コントロールのどれを決定するために使用されます。
SOC 2 SOC 2 (Type I または Type II) レポートは、この Microsoft 365 認定仕様内のいずれかの評価コントロールとの適合性の証拠として使用するために、最新のレポート (過去 15 か月以内に発行され、過去 27 か月以内に開始された宣言された期間) である必要があります。

外部セキュリティ フレームワークがパブリッシャー構成証明に含まれている場合、認定アナリストは、Microsoft 365 認定評価の一環として、これらのセキュリティ コンプライアンス フレームワークの有効性を確認する必要があります。

フレームワーク その他の考慮事項
ISO 27001 付録 C: 証拠コレクション – ISO 27001 のデルタ。
PCI DSS 付録 D: 証拠収集 – PCI DSS のデルタ。
SOC 2 付録 E: 証拠収集 – SOC 2 のデルタ。

注:

上記の外部セキュリティ標準/フレームワークは、Microsoft 365 認定コントロールの一部を満たすために証拠として提出できますが、Microsoft 365 認定資格を合格しても、これらの標準/フレームワークに対する監査が正常に合格するという意味にはなりません。 Microsoft 365 認定仕様は、セキュリティ体制を参照して Microsoft が保証レベルを得ることを可能にする、これらのセキュリティ標準/フレームワークのごく一部にすぎません。

外部コンプライアンス フレームワークを使用するための要件

✓ アプリ/アドインのサポート環境 、サポートされる ビジネス プロセスは 、サポートされている外部セキュリティ コンプライアンス フレームワークの範囲内に含める必要があり、付属のドキュメントで明確に示されている必要があります。

✓ サポートされている外部セキュリティ コンプライアンス フレームワークは最新である 必要があります 。つまり、過去 12 か月以内 (または再評価が現在実行されており、証拠を提供できる場合は 15 か月以内)。

✓サポートされている外部セキュリティコンプライアンスフレームワークは、独立した認定企業によって行われる 必要があります

付録 A

TLS プロファイルの構成要件

仮想ネットワーク、クラウド サービス、またはデータ センター内のすべてのネットワーク トラフィックは、TLS v1.1 (TLS v1.2 以降をお勧めします) またはその他の該当するプロトコルで保護する必要があります。 この要件の例外は次のとおりです。

  • HTTP から HTTPS へのリダイレクト。 アプリは HTTP 経由で応答してクライアントを HTTPS にリダイレクトできますが、応答に機密データ (Cookie、ヘッダー、コンテンツ) を含めてはなりません。 HTTPS へのリダイレクトと正常性プローブへの応答以外の HTTP 応答は許可されません。 以下を参照してください。
  • 正常性プローブ。 アプリは、HTTPS 正常性プローブがチェック パーティによってサポートされていない 場合にのみ 、HTTP 経由で正常性プローブに応答できます。
  • 証明書アクセス。 証明書の検証と失効チェックを目的とした CRL、OCSP、および AIA エンドポイントへのアクセスは、HTTP 経由で許可されます。
  • ローカル通信。 アプリは、オペレーティング システムから離れない通信 (localhost で公開されている Web サーバー エンドポイントへの接続など) に HTTP (またはその他の保護されていないプロトコル) を使用できます。

TLS 圧縮を無効にする 必要があります

付録 B

暗号化プロファイルの構成要件

暗号化プリミティブとパラメーターのみが次のように許可されます。

対称暗号化

暗号化

 ✓ AES、BitLocker、Blowfish、TDES のみが許可されます。 サポートされているキーの長さ >=128 は許可されており (128 ビット、192 ビット、256 ビット)、使用できます (256 ビット のキーをお勧めします)。

 ✓ CBC モードのみが許可されます。 すべての暗号化操作では、新しくランダムに生成された初期化ベクトル (IV) を使用する必要があります。

 ✓ RC4 などのストリーム暗号の使用 は許可されません

ハッシュ関数

 ✓ すべての新しいコードでは、SHA-256、SHA-384、または SHA-512 (総称して SHA-2 と呼ばれます) を使用する必要があります。 出力は 128 ビット以下に切り捨てられる場合があります

 ✓ SHA-1 は互換性上の理由でのみ使用できます。

 ✓ MD5、MD4、MD2、およびその他のハッシュ関数の使用は、暗号化されていないアプリケーションの場合でも許可されません。

メッセージ認証

 ✓すべての新しいコードは、承認されたハッシュ関数のいずれかを持つHMACを使用する必要があります。 HMAC の出力は、128 ビット以下に切り捨てられる場合があります。

 ✓ HMAC-SHA1 は互換性上の理由でのみ使用できます。

 ✓ HMAC キーは少なくとも 128 ビットである必要があります。 256 ビット キーをお勧めします。

非対称アルゴリズム

暗号化

 ✓ RSA は許可されます。 キーは少なくとも 2048 ビットである 必要 があり、OAEP パディングを使用する必要があります。 PKCS パディングの使用は、互換性上の理由でのみ許可されます。

署名

 ✓ RSA は許可されます。 キーは少なくとも 2048 ビットである 必要 があり、PSS パディングを使用する必要があります。 PKCS パディングの使用は、互換性上の理由でのみ許可されます。

 ✓ECDSA は許可されます。 キーは少なくとも 256 ビットである 必要があります 。 NIST P-256、P-384、または P-521 曲線を使用する必要があります。

Key Exchange

 ✓ ECDH は許可されます。 キーは少なくとも 256 ビットである 必要があります 。 NIST P-256、P-384、または P-521 曲線を使用する必要があります。

 ✓ ECDH は許可されます。 キーは少なくとも 256 ビットである 必要があります 。 NIST P-256、P-384、または P-521 曲線を使用する必要があります。

付録 C

証拠収集 – ISO 27001 の Delta

既にISO27001コンプライアンスを達成している場合、ISO 27001 で完全にカバーされていない次のデルタ (ギャップ) は、少なくとも、この Microsoft 365 認定資格の一部としてレビューする必要があります。

注:

Microsoft 365 認定評価の一環として、認定アナリストは、マップされた ISO 27001 コントロールのいずれかが ISO 27001 評価の一部として含まれていないかどうかを判断し、さらに保証を提供するために含まれていることが判明したサンプル コントロールを決定することもできます。 ISO 27001 に満たされていない要件は、Microsoft 365 認定評価アクティビティに含める必要があります。

マルウェア対策 – ウイルス対策

マルウェアの保護がアプリケーション制御を使用して実施されており、ISO 27001 レポート内に証明されている場合は、それ以上の調査は必要ありません。 アプリケーション制御が実施されていない場合、認定アナリストは、環境内のマルウェアの爆発を防ぐために、アプリケーション制御メカニズムの証拠を特定して評価する必要があります。 これにより、次の操作が必要になります。

  • サンプリングされたすべてのシステム コンポーネントでウイルス対策ソフトウェアが実行されていることを示します。

  • マルウェアを自動的にブロックしたり、アラートを検疫したり、アラートを送信したりするために、サンプリングされたすべてのシステム コンポーネントでウイルス対策 & 構成されていることを示します。

  • ウイルス対策ソフトウェアは、すべてのアクティビティをログに記録するように構成する 必要があります

パッチ管理 – パッチ適用

ISO 27001 監査ではこのカテゴリが特に評価されないため、次の操作が必要になります。

  • ベンダーによってサポートされなくなったソフトウェア コンポーネントとオペレーティング システムは、環境内で使用しないでください。 サポート ポリシーは、サポートされていないソフトウェア コンポーネント/オペレーティング システムを環境から削除し、ソフトウェア コンポーネントが終了するタイミングを識別するプロセスを確実に行う必要があります

脆弱性スキャン

ISO 27001 監査ではこのカテゴリが特に評価されないため、次の操作が必要になります。

  • 四半期ごとの内部および外部の脆弱性スキャンが行われることを示します。

  • リスクのランク付けに基づく脆弱性の修復に関するサポート ドキュメントが、次のように仕様に従って作成されていることを確認します。

✓内部スキャンのリスクランキングに沿ってすべての重大および高リスクの問題を修正します。

✓ 外部スキャンのリスクランク付けに沿って、すべての重大、高、中のリスクの問題を修正します。

✓ 文書化された脆弱性修復ポリシーに沿って修復が行われることを示します。

ファイアウォール – ファイアウォール (または同等のテクノロジ)

ISO 27001 監査ではこのカテゴリが特に評価されないため、次の操作が必要になります。

  • スコープ内環境の境界にファイアウォールがインストールされていることを示します。

  • DMZ と信頼されたネットワークの間にファイアウォールがインストールされていることを示します。

  • すべてのパブリック アクセスが DMZ で終了することを示します。

  • ライブ環境にインストールする前に、既定の管理資格情報が変更されることを示します。

  • ファイアウォールを介して許可されたすべてのトラフィックが承認プロセスを通過することを示します。これにより、ビジネス上の正当な理由を持つすべてのトラフィックのドキュメントが作成されます。

  • 明示的に定義されていないトラフィックを削除するようにすべてのファイアウォールが構成されていることを示します。

  • ファイアウォールが、コンソール以外のすべての管理インターフェイスで強力な暗号化のみをサポートしていることを示します。

  • インターネットに公開されているファイアウォールのコンソール以外の管理インターフェイスで MFA がサポートされていることを示します。

  • ファイアウォール規則のレビューが少なくとも 6 か月ごとに行われることを示す

ファイアウォール – Web アプリケーション ファイアウォール (WAF)

WAF がデプロイされている場合、アプリケーションが公開される可能性のある無数の Web アプリケーションの脅威と脆弱性から保護するために、追加のクレジットが提供されます。 WAF などがある場合は、次の操作を行う必要があります。

  • WAF がアクティブな防御モードで構成されているか、アラートを使用してさらに監視されていることを示します。

  • SSL オフロードをサポートするように WAF が構成されていることを示します。

  • 次の攻撃の種類のほとんどから保護するために、OWASP Core 規則セット (3.0 または 3.1) に従って構成されます。

✓ プロトコルとエンコードの問題。

✓ ヘッダーの挿入、要求の密輸、応答の分割。

✓ファイルとパストラバーサル攻撃。

✓リモートファイルインクルード(RFI)攻撃。

✓リモートコード実行攻撃。

✓ PHP インジェクション攻撃。

✓ クロスサイト スクリプティング攻撃。

✓ SQL インジェクション攻撃。

✓セッション固定攻撃。

変更コントロール

ISO 27001 監査では、変更要求プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • 変更要求に次の詳細があることを示します。

✓ 文書化された影響。

✓ 実施する機能テストの詳細。

✓バックアウト手順の詳細。

  • 変更が完了した後に機能テストが実行されることを示します。

  • 機能テストが実行された後、変更要求がサインオフされることを示します。

アカウント管理

ISO 27001 監査ではアカウント管理プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • 再生攻撃 (MFA、Kerberos など) を軽減するために ✓s を実装する方法を示します。
  • 3 か月間使用されていないアカウントを無効または削除する方法を示します。
  • ✓または他の適切な軽減策は、ユーザーの資格情報を保護するように構成する必要があります。 ガイドラインとして、次の最小パスワード ポリシーを使用する必要があります。

✓ パスワードの最小長は 8 文字です。

✓10回以下の試行のアカウントロックアウトしきい値。

✓パスワードの少なくとも5つのパスワードの履歴。

✓強力なパスワードの使用の実施。

  • すべてのリモート アクセス ソリューションに対して MFA が構成されていることを示します。

  • すべてのリモート アクセス ソリューションで強力な暗号化が構成されていることを示します。

  • パブリック DNS の管理がスコープ内環境の外部にある場合、DNS を変更できるすべてのユーザー アカウントは、MFA を使用するように構成する必要があります。

侵入検出と防止 (省略可能)

ISO 27001 監査では、侵入検出および防止サービス (IDPS) プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • IDPS は、サポート環境の境界にデプロイする 必要があります

  • IDPS 署名は、過去 1 日以内に最新の状態に保つ 必要があります

  • IDPS は TLS 検査用に構成する 必要があります

  • IDPS は、すべての受信トラフィックと送信トラフィックに対して構成する 必要があります

  • IDPS はアラート用に構成する 必要があります

イベント ログ

ISO 27001 監査では、セキュリティ イベント ログ プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • パブリックに接続されているシステムが、DMZ 内にない集中ログ ソリューションにログを記録していることを示します。

  • 少なくとも 30 日分のログ データをすぐに使用でき、90 日が保持される方法を示します。

確認 (ログ データ)

ISO 27001 監査では、このカテゴリの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • 毎日のログ レビューの実施方法と、例外と異常がどのように識別されるかを示します。これらの処理方法を示します。

警告

ISO 27001 監査では、このカテゴリの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • 即時トリアージのアラートをトリガーするようにセキュリティ イベントを構成する方法を示します。

  • セキュリティ アラートに対応するために、スタッフが 24 時間 365 日どのように利用できるかを示します。

リスク管理

ISO 27001 監査ではリスク評価プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • 正式なリスク管理プロセスが確立されていることを示します。

インシデント対応

ISO 27001 監査では、インシデント対応ポリシーとプロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • インシデント対応計画/手順に以下が含まれていることを示します。

✓ 予想される脅威モデルに対する特定の対応手順。

✓ NIST サイバーセキュリティ フレームワークに合わせたインシデント処理機能 (識別、保護、検出、応答、回復)。

✓ IRP は、スコープ内のシステムをカバーします。

✓ インシデント対応チームの年次トレーニング。

付録 D

証拠の収集 – PCI DSS のデルタ

PCI DSS コンプライアンスが既に達成されている場合、PCI DSS によって完全にカバーされていない次のデルタ (ギャップ) は、少なくとも、この Microsoft 365 認定資格の一部としてレビューする必要があります。

注:

Microsoft 365 サーティフィケーション評価の一環として、認定アナリストは、マップされた PCI DSS コントロールのいずれかが PCI DSS 評価の一部として含まれていないかどうかを判断し、さらに保証するために含まれることが判明したサンプル コントロールを決定することもできます。 PCI DSS に不足している要件は、Microsoft 365 認定評価アクティビティに含める必要があります。

マルウェア保護 - アプリケーション制御

マルウェア保護がウイルス対策を使用して実施され、PCI DSS レポート内で証明されている場合は、それ以上の調査は必要ありません。 ウイルス対策が実施されていない場合、認定アナリストは、環境内のマルウェアの爆発を防ぐために、アプリケーション制御メカニズムの証拠を特定して評価する必要があります。 これにより、次の操作が必要になります。

  • アプリケーションの承認がどのように行われるかを示し、これが完了したことを確認します。

  • ビジネス上の正当な理由を持つ承認済みアプリケーションの完全な一覧が存在することを示します。

  • 特定のアプリケーション制御メカニズム (許可リスト、コード署名など) を満たすようにアプリケーション制御ソフトウェアがどのように構成されているかを詳しく説明するサポート ドキュメントを提供またはデモンストレーションします。

  • サンプリングされたすべてのシステム コンポーネントで、ドキュメントに記載されているとおりにアプリケーション制御が構成されていることを示します。

パッチ管理 – リスクランキング

PCI DSS 監査ではこのカテゴリが特に評価されないため、次の操作を行う必要があります。

  • 脆弱性のリスク ランク付けがどのように行われるかを示します。

脆弱性スキャン

PCI DSS 監査ではこのカテゴリが特に評価されないため、次の操作を行う必要があります。

  • 文書化された脆弱性修復ポリシーに沿って修復が実行されることを示します。

ファイアウォール – ファイアウォール (または同等のテクノロジ)

PCI DSS 監査ではこのカテゴリが特に評価されないため、次の操作を行う必要があります。

  • ファイアウォールが、コンソール以外のすべての管理インターフェイスで強力な暗号化のみをサポートしていることを示します。

  • インターネットに公開されているファイアウォールのコンソール以外の管理インターフェイスで MFA がサポートされていることを示します。

Web アプリケーション ファイアウォール (WAF) がデプロイされ、アプリケーションが公開される可能性のある無数の Web アプリケーションの脅威と脆弱性から保護するために役立つ場合は、追加のクレジットが提供されます。 WAF などがある場合は、次の操作を行う必要があります。

  • WAF がアクティブな防御モードで構成されているか、アラートを使用してさらに監視されていることを示します。

  • SSL オフロードをサポートするように WAF が構成されていることを示します。

  • 次の攻撃の種類のほとんどから保護するために、OWASP Core 規則セット (3.0 または 3.1) に従って構成されます。

✓ プロトコルとエンコードの問題。

✓ ヘッダーの挿入、要求の密輸、応答の分割。

✓ファイルとパストラバーサル攻撃。

✓リモートファイルインクルード(RFI)攻撃。

✓リモートコード実行攻撃。

✓ PHP インジェクション攻撃。

✓ クロスサイト スクリプティング攻撃。

✓ SQL インジェクション攻撃。

✓セッション固定攻撃。

変更コントロール

PCI DSS 監査では、変更要求プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • 運用環境で行われる前に変更要求が発生することを示します。

  • 運用環境に入る前に変更が承認されていることを示します。

  • 変更が完了した後に機能テストが実行されることを示します。

  • 機能テストが実行された後、変更要求がサインオフされることを示します。

セキュリティで保護されたソフトウェアの開発/展開

PCI DSS 監査では、セキュリティで保護されたソフトウェア開発および展開プロセスの一部の要素に特にアクセスできないためです。これにより、次の操作が必要になります。

  • コード リポジトリは MFA によってセキュリティ保護されている必要があります。

  • 悪意のあるコードの変更からコード リポジトリを保護するために、適切なアクセス制御を行う必要があります。

アカウント管理

PCI DSS 監査では、アカウント管理プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • 再生攻撃 (MFA、Kerberos など) を軽減するための承認メカニズムの実装方法を示します。

  • 強力なパスワード ポリシーまたはその他の適切な軽減策は、ユーザーの資格情報を保護するように構成する必要があります。 ガイドラインとして、次の最小パスワード ポリシーを使用する必要があります。

✓ パスワードの最小長は 8 文字です。

✓10回以下の試行のアカウントロックアウトしきい値。

✓パスワードの少なくとも5つのパスワードの履歴。

✓強力なパスワードの使用の実施。

  • すべてのリモート アクセス ソリューションで強力な暗号化が構成されていることを示します。

  • パブリック DNS の管理がスコープ内環境の外部にある場合、DNS を変更できるすべてのユーザー アカウントは、MFA を使用するように構成する必要があります。

侵入検出と防止 (省略可能)

PCI DSS 監査では、侵入検出および防止サービス (IDPS) プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • IDPS は TLS 検査用に構成する必要があります。

  • IDPS は、すべての受信トラフィックと送信トラフィックに対して構成する必要があります。

リスク管理

PCI DSS 監査ではリスク評価プロセスのいくつかの要素が特に評価されないため、次の操作を行う必要があります。

  • リスク評価に影響と尤度マトリックスが含まれていることを示します。

インシデント対応

PCI DSS 監査では、インシデント対応ポリシーとプロセスの一部の要素が特に評価されないため、開発者は次の作業を行う必要があります。

  • インシデント処理機能を NIST サイバーセキュリティ フレームワーク (識別、保護、検出、応答、回復) に合わせて示します。

付録 E

証拠の収集 - SOC 2 の Deltas

SOC 2 のコンプライアンスを既に達成している場合、SOC 2 が完全にカバーしていない次のデルタ (ギャップ) を、この Microsoft 365 認定資格の一部として確認する必要があります。

注:

Microsoft 365 認定評価の一環として、認定アナリストは、マッピングされた SOC 2 コントロールのいずれかが SOC 2 評価の一部として含まれていないかどうかを判断し、さらに保証を提供するために含まれることが判明したサンプル コントロールを決定することもできます。 SOC 2 評価に不足している要件は、Microsoft 365 認定評価アクティビティの一部として含める必要があります。

マルウェア保護 - アプリケーション制御

マルウェア保護がウイルス対策を使用して実施されており、SOC 2 レポート内で証明されている場合は、それ以上の調査は必要ありません。 ウイルス対策が実施されていない場合、認定アナリストは、環境内のマルウェアの爆発を防ぐために、アプリケーション制御メカニズムの証拠を特定して評価する必要があります。 これにより、次の操作が必要になります。

  • 特定のアプリケーション制御メカニズム (許可リスト、コード署名など) を満たすようにアプリケーション制御ソフトウェアがどのように構成されているかを詳しく説明するサポート ドキュメントを提供またはデモンストレーションします。

  • アプリケーションの承認がどのように行われるかを示し、これが完了したことを確認します。

  • ビジネス上の正当な理由を持つ承認済みアプリケーションの完全な一覧が存在することを示します。

  • サンプリングされたすべてのシステム コンポーネントで、ドキュメントに記載されているとおりにアプリケーション制御が構成されていることを示します。

パッチ管理 – パッチ適用

SOC 2 監査ではこのカテゴリが特に評価されないため、次の操作を行う必要があります。

  • 低、中、高、または重大のいずれかの問題は、通常のパッチ適用アクティビティウィンドウ内で修正プログラムを適用する必要があります。

  • ベンダーによってサポートされなくなったソフトウェア コンポーネントとオペレーティング システムは、環境内で使用しないでください。 サポートされていないソフトウェア コンポーネント/オペレーティング システムを環境から削除し、ソフトウェア コンポーネントがいつ終了するかを識別するプロセスを確実に行うには、サポート ポリシーを設定する必要があります。

ファイアウォール – ファイアウォール

SOC 2 監査では、ファイアウォール アクセス制御リストへの変更制御を特に評価しないため、次の操作を行う必要があります。

  • ファイアウォールを通る許可されたすべてのトラフィックが承認プロセスを通過し、その結果、ビジネス上の正当な理由を持つすべてのトラフィックのドキュメントが作成されることを示します。

  • ファイアウォール規則のレビューが少なくとも 6 か月ごとに行われることを示します。

Web アプリケーション ファイアウォール (WAF) などがデプロイされ、アプリケーションが公開される可能性のある無数の Web アプリケーションの脅威や脆弱性から保護するために、追加のクレジットが提供されます。 WAF などがある場合は、次の操作を行う必要があります。

  • WAF がアクティブな防御モードで構成されているか、アラートを使用してさらに監視されていることを示します。

  • SSL オフロードをサポートするように WAF が構成されていることを示します。

  • 次のほとんどの攻撃の種類から保護するために、OWASP Core 規則セット ((3.0 または 3.1) に従って構成されます。

 ✓ プロトコルとエンコードの問題。

 ✓ ヘッダーの挿入、要求の密輸、応答の分割。

 ✓ファイルとパストラバーサル攻撃。

 ✓リモートファイルインクルード(RFI)攻撃。

 ✓リモートコード実行攻撃。

 ✓ PHP インジェクション攻撃。

 ✓ クロスサイト スクリプティング攻撃。

 ✓ SQL インジェクション攻撃。

 ✓セッション固定攻撃。

変更コントロール

SOC 2 監査では、変更要求プロセスの一部の要素が特に評価されないため、開発者は次の作業を行う必要があります。

  • 開発/テスト環境が、職務の分離を強制する運用環境とは異なる方法を示します。

  • 開発/テスト環境内でライブ データが使用されない方法を示します。

  • 変更が完了した後に機能テストが実行されることを示します。

  • 機能テストが実行された後、変更要求がサインオフされることを示します。

セキュリティで保護されたソフトウェアの開発/展開

SOC 2 監査では、セキュリティで保護されたソフトウェア開発および展開プロセスの一部の要素に特にアクセスできないためです。これにより、次の操作が必要になります。

  • ソフトウェア開発ライフサイクル全体をカバーする、確立された文書化されたソフトウェア開発プロセスが必要です。

  • 開発者は、少なくとも毎年セキュリティで保護されたソフトウェア コーディング トレーニングを受ける必要があります。

  • コード リポジトリは MFA によってセキュリティ保護されている必要があります。

  • 悪意のあるコードの変更からコード リポジトリを保護するために、適切なアクセス制御を行う必要があります。

アカウント管理

SOC2 監査ではアカウント管理プロセスの一部の要素が特に評価されないため、次の操作が必要になります。

  • 再生攻撃 (MFA、Kerberos など) を軽減するための承認メカニズムの実装方法を示します。

  • 3 か月間使用されていないアカウントを無効または削除する方法を示します。

  • 強力なパスワード ポリシーまたはその他の適切な軽減策は、ユーザーの資格情報を保護するように構成する必要があります。 ガイドラインとして、次の最小パスワード ポリシーを使用する必要があります。

 ✓ パスワードの最小長は 8 文字です。

 ✓10回以下の試行のアカウントロックアウトしきい値。

 ✓少なくとも5つのパスワードのパスワード履歴。

 ✓強力なパスワードの使用の実施

  • 一意のユーザー アカウントがすべてのユーザーに発行されることを示します。

  • パブリック DNS の管理がスコープ内環境の外部にある場合、DNS を変更できるすべてのユーザー アカウントは、MFA を使用するように構成する必要があります。

侵入検出と防止 (省略可能)。

SOC 2 監査では、侵入検出および防止サービス (IDPS) プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • 過去 1 日以内に IDPS 署名を最新の状態に保つ必要がある

  • IDPS は TLS 検査用に構成する必要がある

  • すべての受信トラフィックと送信トラフィックに対して IDPS を構成する必要がある

イベント ログ

SOC 2 の監査では、セキュリティ イベント ログ プロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • サンプル セット内のすべてのシステム コンポーネントで、次のイベントをログに記録するように次のシステムを構成する方法を示します

 ✓ システム コンポーネントとアプリケーションへのユーザー アクセス。

 ✓ 高い特権を持つユーザーが実行したすべてのアクション。

 ✓ 無効な論理アクセス試行。

ログに記録されたイベントにが含まれていることを示します。少なくとも、次の情報を参照してください。

 ✓ ユーザー。

 ✓ イベントの種類。

 ✓日付と時刻。

 ✓ 成功/失敗インジケーター。

 ✓影響を受けるシステムを識別するためのラベル。

  • サンプル セット内のすべてのシステム コンポーネントが時間同期を利用するように構成されていること、およびプライマリ/セカンダリ タイム サーバーと同じであることを示します。

  • パブリックに接続されているシステムが、DMZ 内にない集中ログ ソリューションにログを記録していることを示します。

  • パブリックに接続されているシステムが、DMZ 内にない集中ログ ソリューションにログを記録していることを示します。

  • 一元化されたログ ソリューションが、ログ データの不正な改ざんから保護される方法を示します。

  • 少なくとも 30 日分のログ データをすぐに使用でき、90 日以上が保持されていることを示します。

リスク管理

SOC2 監査ではリスク評価プロセスのいくつかの要素が特に評価されないため、次の操作が必要になります。

  • 正式なリスク評価が少なくとも毎年行われることを示します。

インシデント対応。

SOC2 監査では、インシデント対応ポリシーとプロセスの一部の要素が特に評価されないため、次の操作を行う必要があります。

  • インシデント対応計画/手順に以下が含まれていることを示します。

 ✓ 予想される脅威モデルに対する特定の対応手順。

 ✓主要な利害関係者(支払いブランド/買収者、規制機関、監督当局、取締役、顧客など)のタイムリーな通知を確保するための文書化された通信プロセス。

付録 F

デプロイの種類のホスティング

Microsoft では、アプリケーションをデプロイし、異なるホスティング環境内にアプリ/アドイン コードを格納します。 Microsoft 365 認定資格内のセキュリティ制御の一部の全体的な責任は、使用されているホスティング環境によって異なります。 付録 F では、一般的な展開の種類を確認し、評価プロセスの一部として評価されるセキュリティ制御に対してこれらをマップします。 次のホスティング デプロイの種類が特定されました。

ホスティングの種類 説明
ISV ホステッド ISV ホスト型は、アプリ/アドイン環境をサポートするために使用されるインフラストラクチャを担当する場所として定義できます。 これは、共同位置情報サービスを使用して、独自のデータ センターまたはサード パーティのデータ センター内に物理的に配置できます。 最終的には、サポートインフラストラクチャと運用環境に対する完全な所有権と管理制御が得られます。
サービスとしてのインフラストラクチャ (IaaS) (https://azure.microsoft.com/overview/what-is-iaas/) サービスとしてのインフラストラクチャは、クラウド サービス プロバイダー (CSP) によって物理サポート インフラストラクチャが代わりに管理および管理されるサービスです。 通常、ネットワーク、ストレージ、物理サーバー、仮想化インフラストラクチャはすべて CSP の責任です。 オペレーティング システム、ミドルウェア、ランタイム、データ、アプリケーションは、お客様の責任です。 ファイアウォール機能もサード パーティによって管理および管理されますが、通常はファイアウォール規則ベースのメンテナンスがコンシューマーの責任となります。
サービスとしてのプラットフォーム/サーバーレス (PaaS) (https://azure.microsoft.com/overview/what-is-paas/) サービスとしてのプラットフォームでは、使用できるサービスを提示するマネージド プラットフォームを使用してプロビジョニングされます。 オペレーティング システムとサポート インフラストラクチャは CSP によって管理されるため、sysadmin 関数を実行する必要はありません。 これは通常、組織が Web サービスの提示に関心を持たず、代わりに Web アプリケーションのソース コードの作成とクラウドマネージド Web サービスでの Web アプリケーションの発行に集中できる場合に使用されます。別の例としては、データベースへの接続が提供されるデータベース サービスがありますが、サポート インフラストラクチャとデータベース アプリケーションはコンシューマーから抽象化されます。注: サーバーレスと PaaS は似ているため、Microsoft 365 認定ホスティング展開の種類のサーバーレスと PasS は同じとみなされます
ハイブリッド ホステッド ハイブリッド ホスト型では、複数のホスト型を利用して、サポート環境のさまざまな部分をサポートできます。 これは、アプリ/アドインが複数の Microsoft 365 スタック全体で利用される場合の方が多い場合があります。 Microsoft 365 認定資格では、複数の Microsoft 365 サービスにわたるアプリ/アドオンが開発される場所がサポートされますが、(アプリ/アドイン全体の) サポート環境全体の評価は、該当する各 "ホステッド 型マッピング" に沿って評価する必要があります。 場合によっては、1 つのアドインに対して異なるホスト型を利用する場合があります。この場合、条件の適用性は、さまざまなホスト型の "ホステッド 型マッピング" 条件に従う必要があります。
共有ホスティング 共有ホスティングは、複数の個々のコンシューマーによって共有されるプラットフォーム内で環境をホストしている場所です。 Microsoft 365 認定仕様は、クラウドの導入のためにこれを考慮して記述されていません。共有ホスティングは一般的ではありません。 これが使用されていると思われる場合は、この種類のホスティングタイプの追加のリスクを考慮して追加の要件を作成する必要がありますので、Microsoft にお問い合わせください。

付録 G

詳細情報

Microsoft 365 アプリ コンプライアンス プログラムの概要Microsoft 365 App Publisher の構成証明とはMicrosoft 365 認定とは

用語集

AIA

*機関情報アクセスは、発行元証明機関の証明書を検索するために使用されるサービスの場所記述子です。

CRL

*証明書失効リストは、リモート ホストから受信した証明書が有効で信頼できる証明書であることを確認するための、Secure Sockets Layer (SSL) エンドポイントの手段を提供します。

CVSS スコア

*一般的な脆弱性スコアリングシステムは、脆弱性を測定し、その重大度に基づいて数値スコアを計算する公開された標準です。

CVSS パッチ管理ガイドライン

  • クリティカル (9.0 - 10.0)
  • 高 (7.0 から 8.9)
  • Medium (4.0 - 6.9)
  • Low (0.0 - 3.9)

DMZ

*非武装地帯は、ホストの内部、プライベート ネットワークを分離および分離したまま、外部ネットワークまたは非所有者ネットワークを直接やり取りする物理または論理中間ネットワークです。

EUII

エンド ユーザーを特定できる情報

GDPR

*一般的なデータ保護規則は、アプリケーションサイトがどこにあるかに関係なく、すべてのEU市民のデータに対する欧州連合(EU)のプライバシーとデータ保護規則です。

HSTS

*HTTP Strict Transport Security は、HTTPS 経由でのみコンテンツにアクセスするように Web ブラウザーに指示する HTTP 応答ヘッダーを利用します。これは、ダウングレード攻撃やクッキー乗っ取りから保護するように設計されています。

IEC

*国際電気技術委員会。

ISMS

*情報セキュリティ管理システム。

ISV

独立系セキュリティ ベンダーは、サードパーティのソフトウェアとハードウェア プラットフォームで動作するソフトウェアを開発、販売、販売する個人および組織です。

ISO 27001

組織のリスク管理ポリシーと手順プロセスのすべての技術的制御のための情報セキュリティ管理システム仕様フレームワーク。

LFI

ローカル ファイルインクルージョン を使用すると、攻撃者は Web ブラウザーを介してサーバー上のファイルを含めることができます。

NIST

米国商務省の非規制機関である ナショナル・インスティチュート・オブ・スタンダード (NIST)は、サイバー攻撃を防止、検出、対応する能力を評価し、承認する米国の民間部門組織向けのガイダンスを提供しています。

重要でない変更

  • 軽微なバグ修正。
  • パフォーマンスの軽微な改善。
  • オペレーティング システム/ライブラリ/クライアントおよびサーバー アプリケーションのパッチ。

OCSP

オンライン証明書状態プロトコル は、X.509 デジタル証明書の失効状態を確認するために使用されます。

OII

組織を特定できる情報

OWASP

Web アプリケーション セキュリティ プロジェクトを開きます

PCI DSS

世界中のカード所有者データの安全性に関する基準を維持する組織、ペイメント カード業界データ セキュリティ標準

ペンテスト

侵入テスト は、悪意のある攻撃をシミュレートして、攻撃者が悪用する可能性のあるセキュリティの脆弱性を見つけることによって、Web アプリをテストする方法です。

SAML

セキュリティ アサーション マークアップ言語 は、ユーザー、ID プロバイダー、およびサービス プロバイダー間で認証と承認データを交換するためのオープン標準です。

機密データ

  • アクセス制御データ。
  • 顧客コンテンツ。
  • エンド ユーザー ID 情報。
  • サポート データ。
  • パブリック個人データ。
  • エンド ユーザーの仮名情報。

重要な変更

  • ホスティング環境の再配置。
  • サポート インフラストラクチャへの主なアップグレード。たとえば、新しいファイアウォールの実装、正面向けのサービスへの大規模なアップグレードなどです。
  • アプリへの機能と拡張機能の追加。
  • 追加の機密データをキャプチャするアプリの更新。
  • アプリのデータ フローまたは承認モデルの変更
  • API エンドポイントまたは API エンドポイント関数の追加。

SOC 2

Service Organization Control 2 は、サービス プロバイダーが組織のクライアントのデータとプライバシーを安全に管理できるようにするための 5 つの信頼サービス原則で構成される技術的な監査手順です。

SSL

Secure Sockets Layer

TLS

トランスポート層のセキュリティ