Title 23 NYCRR Part 500

Title 23 NYCRR Part 500 の概要

深刻で、増加の一途をたどる情報や財務システムのサイバーセキュリティに対する脅威に対応するために、ニューヨーク州金融サービス局は 2017 年に、州内での業務の免許または承認を受けている金融機関に対して新しいサイバーセキュリティ要件を適用しました。 Title 23 New York Codes, Rules, and Regulation Part 500: Cybersecurity Requirements for Financial Services Companies (金融サービス会社向けサイバーセキュリティ要件) は、州政府の認可を受けた、民間、または国際的な銀行、住宅ローン ブローカー、保険会社などの金融機関の顧客データおよび IT システムを保護することを目的としています。

Microsoft と Title 23 NYCRR Part 500

Microsoft では、Title 23 NYCRR Part 500 の規制を受ける金融サービスに対して、包括的ガイド『Microsoft クラウド サービス: NYDFS サイバーセキュリティ要件への準拠支援』(Microsoft Cloud Services: Supporting Compliance with NYDFS Cybersecurity Requirements) を提供しています。 規制の要求事項へ準拠が Azure、Office 365、Power BI の各クラウド サービスでサポートされる方法ついて詳しく説明しています。 世界の金融の中心地であるニューヨークでの操業を希望する金融機関はこれらの要求事項を満たす必要があるため、多くの機関にとってコンプライアンスは重要課題です。

ニューヨーク州の規制では、各金融機関に対して以下の活動が要求されます。

• 強力なサイバーセキュリティ プログラムの整備と維持: 最初に機関固有のリスク プロファイルの評価を行い、次にそれに対処するためのプログラムを設計します。 Microsoft Cloud for Financial Servicesとの関わりについては、「Microsoft Cloud Financial Services」を参照してください。 さらに、Service Trust Portal の [Financial Services ] ページには、グローバルな規制要件を満たす方法をより深く理解するのに役立つ国固有のリソースが含まれています。
• 包括的なサイバーセキュリティ ポリシーの実施: 情報のセキュリティ、データ ガバナンスと分類、アクセス制御、事業継続性などに対応するポリシーを実施します。 Microsoft では、このポリシーを整備するためのガイダンスを提供しています。これには、認定とリスク評価、事業継続性と障害復旧指標、ログと監査に関する診断のそれぞれについての詳細情報が含まれます。
• 最高情報セキュリティ責任者 (CISO) の任命: サイバーセキュリティ プログラムの管理およびポリシーの適用における最高責任者です。 CISO を支援するために、Microsoft は、クラウド用のMicrosoft Defender、Advanced Threat Analytics、Power BI Security をOffice 365して、Microsoft クラウドのデプロイに関する詳細なサイバーセキュリティ情報を提供します。
• サイバーセキュリティ プログラムの有効性の監視とテスト: Microsoft では、継続的な監視、定期的な侵入テスト、脆弱性評価などを含む、Microsoft によるサイバーセキュリティ活動の監査結果情報を提供しています。 お客様は、Microsoft からの事前の許可なしに独自のテストを実施できます。
• 監査証跡の管理: お客様は、Azure、Office 365、および Power BI の組み込みの監査機能を使用して、財務取引の再現に使用できる情報の生成や監査証跡情報の整備を行えます。
• 非公開情報が含まれる情報システムへのアクセスの制限: Azure、Office 365、および Power BI で提供されている対策で、各サービス固有の役割ベースのアクセス制御 (RBAC) プロセス、すべての Microsoft 管理者に対する厳格なセキュリティとアクセス要件、およびすべての昇格されたアクセス権の要求に対する監査が含まれます。
• 外部で開発されたアプリケーションのセキュリティの評価とテスト: Visual Studio を使用する開発者の場合、管理コードのためのセキュリティ ルールを使用すると、コードの展開前にアプリケーションのサイバーセキュリティの脅威を検出し、軽減できます。
• 定期的なリスク評価を使用した、サイバーセキュリティプログラムの設計と強化: Microsoft はお客様のために、セキュリティの脅威に関する情報をまとめ、変更管理のロードマップを提供し、委託先会社に関する情報を定期的に更新します。 また、Microsoft では Microsoft 自体のサービスのリスク評価を定期的に実施し、評価結果をお客様に提供します。
• 有資格担当者によるサイバーセキュリティのリスク管理とサイバーセキュリティ機能の監視: Microsoft では、Microsoft の従業員による顧客データへのアクセスに対して厳密な手順を適用しています。 Microsoft が下請け業者を使用する場合、サービスの提供に対して Microsoft が責任を持ち、機密情報の取り扱い要件、身辺調査、機密保持契約を含む、Microsoft のプライバシーとセキュリティに関するコミットメントへの完全な準拠を下請け業者に対して要求します。
• サードパーティ サービス プロバイダーが保持する情報のセキュリティを確保するためのポリシーと手順の適用: Azure、Office 365、および Power BI では、会社のネットワークへのすべての受信接続で多要素認証が利用でき、外部ネットワークで転送中または保管中の非公開情報を保護するための暗号化を含む制御が実装され、顧客通知、インシデント調査、およびセキュリティ インシデントのリスク軽減を提供する Microsoft オンライン サービス条件が提供されます。
• データの保持と削除のポリシーと手順の実装: Azure、Office 365、および Power BI に保存されている顧客データにいつでもアクセスし、抽出できます。
• 承認されたユーザーのアクティビティの監視、許可されていないアクセスの検出、従業員へのサイバーセキュリティに関する定期的な意識向上研修の提供: Azure、Office 365、および Power BI では、外部からの内部の監視によるインシデント警告機能およびログ記録と監査のための広範な診断機能が提供されています。 Microsoft Virtual Academy: Microsoft クラウド サービスを取り扱うオンライン トレーニングを提供します。
• サイバーセキュリティ インシデントでの対応と復旧に関する計画の整備: Microsoft では、セキュリティ侵害を発生前に検出、予測、および回避する防御戦略を使用して、サイバーセキュリティ インシデントへの準備をお手伝いします。 独自の計画を整備する際でも、Microsoft のインシデント管理プランを参考にして、サイバーセキュリティ侵害に対応することができます。

対象となる Microsoft のクラウド プラットフォームとサービス

• Azure
• Intune
• Office 365

Office 365 と Title 23 NYCRR Part 500

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

• クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
• Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
• Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
• Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
• Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性	範囲内のサービス
商用	Exchange Online Protection、Exchange Online、Office 365 Customer Portal、Office Online、Office Services Infrastructure、OneDrive for Business、SharePoint Online、Skype for Business

よく寄せられる質問

この規制の対象となるのはどの機関ですか?

お客様の機関がこの規制の対象かどうかを特定するには、ニューヨーク州金融サービス局の Who We Supervise (監督対象機関) サイトを参照してください。

リソース

• おすすめのリソース
• ニューヨーク州金融サービス局 23 NYCRR 500: Cybersecurity Requirements for Financial Services Companies (金融サービス会社向けサイバーセキュリティ要件)
• Microsoft クラウド サービス: NYDFS サイバーセキュリティ要件への準拠支援
• Microsoft Trust Center のコンプライアンス

金融サービス向けのその他の Microsoft リソース

• Microsoft 法人向けクラウド サービスおよび金融サービス
• Microsoft Cloud Financial Services
• Service Trust Portal の金融サービス
• クラウド コンピューティングの共同責任-