Microsoft Azure の新たな一歩: 業界をリードするクラウド コンプライアンス

このポストは、1 月 13 日に投稿された Microsoft Azure Reaches New Industry-Leading Cloud Compliance Milestones の翻訳です。

最近、筆者はマイクロソフトの本拠地であるレドモンドで、Azure のセキュリティ、プライバシー、コンプライアンスに関する諮問委員会を主催し、多くのお客様の声を直接お伺いする機会を得ました。特に多く寄せられたのは、Azure 利用時のコンプライアンス義務への対応を簡便化してほしいというご意見でした。ほかには、独立した監査機関が実証済みの標準や規制に則して評価を行い、その認証を利用してリスクベースの意思決定を行えるようにしてほしいというご要望もありました。また、お客様からの報告によると、コンプライアンス関連コストの削減に成功されていることや、Azure 内の自システムに対して迅速な認証取得が行われていることもわかりました。

今回の記事では、国際的要件、市場要件、業界要件における Azure のコンプライアンス範囲に関して、最新の情報をご提供したいと思います。

国際標準化機構 (ISO) の国際規格 ISO 27001

Azure は最近、ISO 27002 の包括的な情報セキュリティおよびリスク管理のベスト プラクティスに準拠しているとして、2013 年版標準の ISO 27001 更新監査を完了しました。さらに、British Standards Institute (BSI) America による独立監査も受監しました。今回は、Azure の新しいサービスおよびコンポーネントの範囲拡張に加え、パブリック クラウド内の個人情報 (PII) 保護に関する ISO 27018 (英語) 実施基準に準拠した統制を組み込んだ点を評価するよう求めました。これらの統制では、1) Azure は「広告フリー」であるため、顧客のデータが広告やマーケティング目的で使用される心配がない、2) Azure には個人情報の返却、移管、安全な廃棄に関するポリシーが定義されている、3) Azure は下請業者の ID を先行して開示するという、大きな 3 つのコミットメントを掲げています。BSI の監査担当により最終報告書が作成され、BSI の Web サイトにて証明書が公開されています。

Service Organization Controls (SOC) 1 および 2

Azure はサービス開始から 3 年間、SOC 1 レポートと SOC 2 レポートに記載されるサービスの範囲を拡張し、統制の設計 (Type I) と運用 (Type II) の有効性について、マイクロソフトがテストおよび報告を実施できることを証明してきました。主な統制として、SOC 1/SSAE 16 (財務報告書に関する統制) や、セキュリティ、可用性、処理の整合性に関する信頼原則について定めた SOC 2 (セキュリティ統制) を取り入れています。いずれの原則も、監査機関から設計と運用の有効性について認定を得るために、各統制が満たす必要のある定義済みの基準で構成されています。SOC レポートは、サービス プロバイダーの実施する統制が個々の原則をどのように満たしているかについて詳細を述べたものです。システムの処理が完全、正確、かつタイムリーで、認証済みであることを示す、処理の整合性に関する SOC 2 レポートを取得しているグローバル クラウド サービス プロバイダーは、現時点では Azure のみです。

FedRAMP

最近、Azure Active Directory (AD) の ID 管理サービスを含む Microsoft Office 365 は、米国保健福祉省 (HHS) 監察総監室 (OIG) から FedRAMP の Authority to Operate (ATO) を取得しました。ディレクトリ サービス、高度な ID ガバナンス、アプリケーション アクセス管理が統合された Azure AD は、FedRAMP の Moderate レベルの標準に準拠しています。Azure Government Cloud は、FedRAMP の評価範囲をさらに拡張し、選別された米国市民によって運用されるクラウド サービスを専用の環境で利用したいと考える顧客向けに、サービスを提供しています。

米国刑事司法情報サービス (CJIS)

Azure Government は、国や地方政府を対象とした米国 CJIS の認定要件を満たす、初の商用インフラストラクチャ クラウド プラットフォームです。CJIS のワークロードに Microsoft Office 365 を利用している政府機関に向けて、対応サービスの拡充を図っています。CJIS の認定は、刑事司法情報を保護し、選別された担当者によるサービスを提供するため、厳格な要件を定めています。このため、公的機関で高い関心を集めています。マイクロソフトでは現在、CJIS の担当官と協力して対応サービスの拡張に努めています。

オーストラリア政府の Information Security Registered Assessors Program (IRAP)

マイクロソフトは 2014 年 10 月、オーストラリアでの Azure のリリースと同時に、IRAP の認定を取得しました。これは、Azure によってグローバルなプレゼンスを拡大しつつ、各地域のコンプライアンス対応に早期から積極的に取り組んでいることの表れと言えます。マイクロソフトの目標は、お客様が各国政府固有の要件やデータ主権に関する要件を満たせるよう支援することと、認定済みのクラウド サービスに主要なワークロードのデプロイメントを促進することです。

シンガポールの Multi-Tier Cloud Security (MTCS)

2014 年 10 月、Microsoft Cloud Infrastructure and Operations のデータセンター、Office 365、および Azure が、エンドツーエンドのクラウド サービス製品として初めて MTCS Level 1 の認定を獲得しました。お客様がクラウド製品の導入時点で使用していたサービスを問わず、インフラストラクチャ、プラットフォーム、ソフトウェア サービス全体が MTCS の基準を満たすことが保証されます。

米国食品医薬品局の 21 CFR Part 11

ヘルスケア分野に特化したバーティカル ソリューション、特に薬物検査、デバイス モニタリングのような生死にかかわるソリューションが認定を獲得するためには、複雑な取り組みが必要になることがあります。Azure チームはお客様やライフ サイエンス分野のパートナー企業と連携して、Azure 上で運用されているアプリケーションやサービスが 21 CFR Part 11 に準拠するよう取り組んでいます。Microsoft Azure の評価ガイドライン (英語) は、導入事例を共有してくださったお客様やパートナー企業の実績を示す有効な資料です。

筆者のチームでは現在、監査担当企業 Neohapsis 社の協力を得て、PCI 標準バージョン 3 に対する Azure PCI DSS Level 1 監査を終えようとしています。年 1 回の Azure SOC の監査期間は 1 月 1 日に始まりました。今回は範囲が拡張され、Azure のコンピューティング、Web とモバイル、Data と Storage、分析、ネットワーク、ハイブリッド統合、ID 管理とアクセス管理、メディア サービス、開発者サービス、および管理の各種機能に新たに追加されたサービスも監査対象となっています。最新版の監査レポートとガイダンスについては、Azure のトラスト センターのページを参照してください。その他の支援またはサービスに関するサポート要求も受け付けています。

筆者の Twitter アカウント (@msftlori) からもご意見をお寄せください。

すばらしい新年になりますように。

Lori