クラウド コンピューティングコンプライアンス基準カタログ (C5)

C5 の概要

2016 年、ドイツ連邦情報セキュリティ庁 (Bundesamt für Sicherheit in der Informationstechnik、BSI) は、クラウド コンピューティング コンプライアンス コントロール カタログ (C5) を策定しました。 BSI は、2020 年にクラウド コンピューティングコンプライアンス基準カタログ (C5:2020) としてガイダンスを改訂しました。 C5 とは、ドイツ政府機関とその関連団体がパブリック クラウド ソリューションを導入する際の必要最低限のクラウド セキュリティを定めた監査標準です。 C5 は、民間部門でも導入が進んでいます。

C5 カタログの各要件は、クラウド サービス プロバイダーの認証に必要な一貫性のあるセキュリティ フレームワークを確立し、プロバイダーのお客様に対して安全なデータ管理を保証することが目的です。

C5 は、ISO/IEC 27001:2013、クラウド セキュリティ アライアンス クラウド コントロール マトリックス 3.0.1 などの国際的に認められた IT セキュリティ基準と、BSI 独自の IT-Grundschutz カタログに基づいています。 C5 カタログは、17 分野 (例: 情報セキュリティと物理的セキュリティに携わる組織)、114 の要件で構成されています。すべてのクラウド サービス プロバイダーの根幹となるセキュリティ要件もあれば、機密性の高いデータと高可用性を必要とする状況を処理するための補足要件もあります。

BSI は透明性も重視しています。 監査の際、クラウド プロバイダーは、詳細なシステム記述を示すとともに、管轄区域やデータ処理の場所などの環境パラメーター、サービスのプロビジョニング方法、クラウド サービスに授与された他の認定、クラウド プロバイダーの公的機関への開示義務情報などを開示する必要があります。 このシステムは、潜在的なクラウド顧客が、クラウド サービスが、データ保護、会社のポリシーなどの法的要件への準拠、または産業スパイの脅威に対処する能力などの重要な要件を満たしているかどうかを判断するのに役立ちます。

Microsoft と C5

Microsoft クラウド サービスでは、少なくとも年に 1 回、SOC 2 (AT Section 101) 標準に照らした監査が実施されます。 BSI によると、C5 監査は SOC 2 監査と合わせて行うことができ、重複するコントロールについては、システム記述と監査結果の一部を再利用することができます。 Microsoft Azure、Azure Government、Azure Germany は、独立監査人によって実施された各種監査評価 (C5、SOC 2 Type 2、CSA STAR 証明) に基づく統合レポートを保持しており、このレポートによって C5 への準拠証明を示すことができます。

対象となる Microsoft のクラウド プラットフォームとサービス

• Azure、Azure Government、Azure Germany
• Office 365 Germany

Azure、Dynamics 365、C5

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、ドイツの C5:2020 オファリングを参照してください。

よく寄せられる質問

Microsoft の C5 コンプライアンスを私の組織の C5 準拠証明に利用できますか?

はい。 C5 を必要とするプログラムまたはイニシアチブの基盤として、Microsoft Cloud サービスの準拠証明を使用できます。 ただし、これらのサービス以外、またはその上に構築されるコンポーネントについては、C5 準拠証明をお客様ご自身で取得する必要があります。

C5 と IT-Grundschutz カタログの違いは何ですか?

IT-Grundschutz は、IT システムのセキュリティ対策の決定と実装に役立つ具体的な手法を提供するものであり、C5 標準の基盤となる要素の 1 つです。 C5 は、クラウド サービス プロバイダーの一連の監査標準を提供するものですが、実装の詳細はクラウド サービス プロバイダーに任されています。

Microsoft Cloud Germany とは何ですか?

Microsoft Cloud Germany はドイツに物理的に基づいており、ドイツのプライバシー法の要件を遵守しています。これは、他の国への個人データの転送を制限し、国内法に違反する可能性のある他の管轄区域からの当局によるアクセスに対する保護を提供します。 Azure Germany は、ドイツをデータ所在地とするドイツのデータセンターから Azure サービスを提供します。ドイツ法に準拠した固有のデータ トラスティ モデルによって、データのアクセスと制御に厳格に対処します。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース

• クラウド コンピューティングコンプライアンス基準カタログ (C5:2020) (英語) (ドイツ語)
• クラウド コンピューティング プロバイダーのセキュリティに関する推奨事項 (英語) (ドイツ語)
• Azure + Dynamics 365 + オンライン サービス - パブリック & Government - SOC 2 Type II + C5 + CSA Star Report
• Microsoft 365 - C5 ワールドワイド タイプ 1 レポート
• Microsoft Azure Germany の IT-Grundschutz ブック
• ドイツの IT-Grundschutz ブック (英語) Office 365
• ドイツの IT-Grundschutz ブック (ドイツ語) Office 365
• Microsoft Trust Center のコンプライアンス