管理された物品は、主に、カナダ政府によって国内で管理され、 防衛生産法で定義されている、軍事または国家の安全保障上の重要性を持つコンポーネントや技術データを含む商品です。管理された商品の概要、規制方法、およびそれらに関連する法的責任については、「 管理された商品とは」を参照してください。 個人および組織は、管理された商品を調査、所有、または移転する必要がある場合、管理された物品プログラム (CGP) に登録する必要があります。
管理された商品とクラウド サービス
CGP に登録されている多くの組織は、管理された商品技術データをデジタル形式で管理し、これらのワークロードにパブリック クラウド サービスの利点を適用することを目指しています。 2024 年 5 月 16 日、管理された物品局 (CGD) は、 管理された商品データのクラウド ソリューションの使用または提供に関するガイダンスを更新しました。 CGD クラウド ガイダンスでは、クラウド サービスの利用を検討する可能性があるクラウド サービス プロバイダー (CSP) と CGP 登録者との間で、管理された商品データを保護する共有の責任について説明します。
Microsoft と管理された商品
Microsoft Canada Inc. は、コンサルティング サービスやオンライン クラウド サービスなど、従来の目的で CGP に登録されています。 CGP に登録されている組織のディレクトリを表示するには、「 管理された商品プログラムに登録されている個人と組織を検索する」を参照してください。
管理された商品に対するコンプライアンス認定はありませんが、Microsoft の CGP 登録には、スコープ内サービスの CGD クラウド ガイダンスとの連携について説明する、承認済みの管理された商品セキュリティ プランが含まれています。 この記事では、管理された商品ワークロードについてスコープ内の Microsoft Online Services を評価する場合の CGP 登録者に関する考慮事項について詳しくは、こちらの記事をご覧ください。
対象となる Microsoft のクラウド プラットフォームとサービス
Microsoft は、商用クラウド サービスの幅広いポートフォリオをグローバルに提供しています。 さまざまな製品の使用条件と機能と複雑な規制上の考慮事項を考慮して、Microsoft では、管理された商品データを格納および処理する適合性について、次のサービスのみを評価することを検討することをお勧めします。
カナダリージョン Azure Core Services は、カナダリージョン (現在カナダ中部またはカナダ東部) 内にデプロイ可能な 製品条件 のプライバシー & セキュリティ条件で識別された Azure Core Online Services で構成されます。 カナダのリージョンで利用可能な Azure Core Services については、「 リージョン別に利用可能な Azure 製品 」を参照してください。
カナダリージョン Office Core サービスは、Exchange Online、SharePoint Online、OneDrive for Business、Teams です。
一般提供前にオプションで使用するためにお客様が利用できるこれらのサービスのプレビューまたはプレリリース バージョンは、このガイダンスの対象ではありません。
カナダリージョン Azure Core Services とカナダリージョン Office Core Services は、Microsoft のグローバル クラウド インフラストラクチャの一部です。 カナダ国防産業基地のお客様の中には、Microsoft の 米国政府機関向けクラウド オファリングにアクセスできる場合もあります。 これらの米国ベースのオファリングを、管理された商品データのコンテキストで評価することは、この記事の範囲外です。
管理された商品と Microsoft Cloud Services
Microsoft Cloud は、グローバルに展開され標準化されたオンライン サービスのセットであり、特定のビジネス要件を満たすために評価、調達、構成、デプロイを行うことができます。 顧客のクラウド テナントが正しく構成されると、従来のオンプレミス テクノロジデプロイよりも柔軟性が高く、高度な機能とセキュリティが向上します。 Microsoft は、お客様のデータがセキュリティで保護され、お客様の管理下にあるように、オンライン サービスを設計します。 Microsoft は一般に、特定の顧客要件を満たすためにオンライン サービス の提供方法をカスタマイズできません。
クラウド サービスを使用することを選択したお客様は、管理された商品規制義務に準拠し、クラウドに保存することを選択した管理された商品データを保護する最終的な責任を負います。 顧客共有責任の義務には、次のものが含まれます。
- これらのサービスの使用が、規制された商品の検査、所有、または移転に関する法律を含む、適用される法律に準拠していることを確認します。
- サービス内の機能やツールを含むクラウド サービスが、規制された商品の関連カテゴリの処理に適しているかどうかを評価します。これには、国際武器規制 (ITAR) などの米国の規制の下でも制御される可能性があるデータを含みます。 これには、クラウド サービス プロバイダーのセキュリティ責任セーフガードの妥当性の評価、データ所在地 (保存時のストレージ) コミットメント、データ処理の場所、データ転送の場所、サード パーティの監査、顧客データの人間によるレビュー (悪用を防ぐための一部の AI サービスの出力のレビューなど) を含む可能性のある機能またはツールが含まれます。
- クラウド セキュリティ機能を評価して適用し、顧客がクラウドに格納する管理された商品データへのアクセスを制限します。
- 管理された商品データがヘッダー、ドキュメント名、またはファイル パスに含まれていないことを確認します。
- 管理された商品データへの不正アクセスに関する残りのリスクを管理するための顧客独自のセキュリティ制御およびその他の手段を実装します。たとえば、管理された商品データへのアクセスが、管理された商品データの調査、所有、または転送を要求する方法で Microsoft 担当者に提供されないようにするなど、個人が制御された商品の検査を承認されたと判断した場合を除きます。
オンライン サービスを運用する場合、Microsoft は管理された商品データを建設的に所有していません。 Microsoft の担当者は、お客様がオンライン サービスにアップロードすることを選択したデータの特徴に関する知識を持っていません。 また、Microsoft は、管理された商品データを保存および処理するために、オンライン サービスを使用または使用しようとしているお客様のどれを理解するための商用手段も持っていません。
クラウド サービス プロバイダー向けの管理された商品ガイダンスとの連携
オンライン サービスは、Microsoft のボリューム ライセンス契約に従って顧客に提供される標準化された商用オフザシェルフ サービスです。 本契約には、Microsoft 製品およびサービス データ保護補遺 (DPA) と Microsoft 製品条項 (製品条項) が含まれます。
Microsoft は、カナダリージョンの Azure Core Services とカナダリージョン Office Core Services を設計および実装し、国際的に認められたセキュリティプラクティスとポリシーに準拠しています。 多くの Microsoft Online Services は、 クラウド サービス プロバイダー情報テクノロジのセキュリティ評価プロセス (ITSM.50.100) を通じて CCCS Medium Cloud Security Profile に対してカナダサイバーセキュリティ センターによって評価されています。 さらに、Microsoft は、ISO 27001、ISO 27002、および ISO 27018 の要件に準拠した技術的および組織的な対策を実装し、維持することを約束します。 さらに、各カナダ リージョン Azure Core サービスとカナダリージョン Office Core サービス (限定的な公開例外あり) は、SSAE 18 SOC 1 Type II および SSAE 18 SOC 2 Type II の一部を形成するコントロール標準とフレームワークにも準拠しています。 詳細については、製品条項の DPA とプライバシー & セキュリティ条件に関するページを参照してください。
CGD の セキュリティ 計画 ガイダンスでは、次の重要な定義が提供されます。
- アクセス: 管理された商品を調査、所有、または移転する立場にある。
- 調査: 重要な特徴や意味を発見するために、分析の詳細または対象を検討する。
- 所有: 実際の所有物は、特定の時点で制御された善良を直接物理的に制御する場合、または建設的な所有物のいずれかであり、コントロールされた善良を直接、または別の人または人を通して制御を行使する力と意図を持っています。
- 譲渡:管理された善良に関して、それを破棄するか、または何らかの方法でその内容を開示する。
カナダリージョン Azure Core Services およびカナダリージョン Office Core Services に実装されているセキュリティ制御と運用プラクティスに関して、Microsoft の理解は、そのようなサービスや関連するテクニカル サポートを提供しながら、制御された商品データにアクセス、調査、所有、または転送しないということです。
テクニカル サポート
Microsoft Online Services は、お客様がオンライン サービスを使用して管理された商品データ (またはその他の種類のデータ) を保存または処理する方法やタイミングを Microsoft が把握できないように設計されています。 Microsoft の担当者は、Online Services の顧客データに既定で永続的にアクセスできません。 サポートとエンジニアリングの非常に限られたシナリオでは、Microsoft のサポート担当者またはエンジニアリング担当者が顧客データへのアクセスを必要とする場合があります。 このようなまれなケースでは、Microsoft のサポート担当者またはエンジニアリング担当者 (通常はカナダの外部にいる) には、Just-In-Time (JIT) 特権アクセス管理システムを介して一時的な資格情報を使用して、管理下にある顧客データへのアクセス権を付与できます。 制限付きアクセス ワークフローを使用すると、顧客データへのアクセスは、不要になったときに慎重に制御、ログ記録、取り消されます。 これらのシナリオでも、管理された商品ワークロードが影響を受け取っているかどうかは Microsoft では認識されません。
Microsoft のグローバルに展開されているサポートおよびエンジニアリング担当者は、 管理された物品規制の要件に従ってセキュリティ評価されません。 このため、顧客は、オンライン サービス内で処理するデータを決定するか、サポート 契約中に Microsoft と共有するかを決定する必要があります。 より広い範囲で、オンライン サービスの使用によってこれらの担当者が管理された商品を検査しないようにするのは、お客様の責任です。
CGP のガイダンスでは、"検査" という用語を、データを詳細に検討したり、分析に従ってその本質的な特徴や意味を発見したりすることを定義しています。 このガイダンスは、本質的に一時的であり、詳細に検討したり、その本質的な意味を判断したりしないデータに対する偶発的な露出は、制御された善良の「検査」を伴わないことを示唆しています。
詳細なリスク軽減策の追加の防御として、Microsoft では、顧客がスコープ内サービスでカスタマー ロックボックス機能を有効にすることをお勧めします。 Customer Lockbox は、顧客がこのような昇格された要求を承認または拒否できるようにすることで、顧客データへのアクセスを必要とするサポート ワークフローを顧客に制御します。 Customer Lockbox の詳細については、以下を参照してください。
注:
スコープ内のオンライン サービスでは、一般に、一部の例外を除き、カスタマー ロックボックス機能がサポートされます。 管理された商品ワークロードでの使用に対するオンライン サービスの適合性の評価中にこれを検討するのは、お客様の責任です。
カナダベースの制限付きサポート
テクノロジの展開またはトラブルシューティング中に技術的な支援を提供するために、管理された商品の検査または所有が必要になるシナリオが限られている場合があります。 詳細な審査が必要な場合、お客様は、管理された商品データを調べる必要がある担当者がカナダに拠点を置き、 規制された物品規制に従って評価されるセキュリティであることを確認するための明示的な契約上のコミットメントを含む、Microsoft Canada との別の関与を要求する必要があります。 Microsoft カナダと直接このカスタム 契約を確立するのは、お客様の責任です。 詳細については、Microsoft アカウント チームにお問い合わせください。
レコードの保持
Microsoft は、お客様が Online Services 内に保存または処理する可能性のあるデータの文字やコンテンツに関する知識がなく、オンライン サービスにアップロードするデータの種類に関連するお客様からの通知を受け取る機能もありません。 その結果、Microsoft は、管理された商品データを保存および処理するために、お客様がオンライン サービスを使用または使用しようとしているかを追跡する商用手段を持っていません。 記録義務は、Microsoft のオンライン サービスを使用することを選択した場合にのみ、お客様に残ります。
セキュリティ インシデント
オンライン サービスに対する Microsoft のセキュリティ インシデント通知コミットメントについては、DPA に記載されています。 Microsoft の担当者は、セキュリティ インシデントの影響を受けた可能性のある特定の顧客データの性質に関する知識を持っていません。 お客様 (または CGP 登録者) は、規制の セクション 10(h) で必要に応じて、特定のセキュリティ インシデントが管理された商品データに関与しているかどうかを判断し、CGP に報告する責任を負います。
よく寄せられる質問
Microsoft Online Services のサポート担当者とエンジニアリング担当者はどこにいますか?
Microsoft は、さまざまな地域や国の顧客に対して、世界中の多くの場所で商用クラウド オファリングのサポート サービスを運営しています。
カナダの Microsoft のクラウド データセンターの市民アドレスは何ですか?
Microsoft は、データセンターの市民アドレスを公開していません。 データセンター施設のセキュリティを確保するために、このポリシーを確立しました。 Microsoft は現在、カナダの 2 つのクラウド リージョン ( カナダ中部 ) を運営しており、トロントと カナダ東部 にサイトがあり、ケベック シティにサイトがあります。 お客様は、必要に応じて、管理された商品セキュリティ 計画の物理的な住所の代わりにデータが格納されているクラウド リージョンを参照することをお勧めします。
Microsoft Online Services にデータが格納されている場所
データ所在地は、顧客データが保存されているクラウドの地域またはリージョンを指します。 スコープ サービスの現在のデータ所在地とデータ所在地のコミットメントを決定する方法を理解するには、次のリンクを使用します。
お客様は、特定のクラウド サービスがデータ所在地の構成を有効にするかどうかを評価する責任があります ( 製品条項 または Microsoft セキュリティ センターで特定された例外を含む)。 すべてのオンライン サービスで、特定のクラウド リージョンでのデータ ストレージの構成が許可されているわけではありません。
Microsoft Online Services でデータが処理される場所
データ処理には、クラウド サービスが必要なオンライン サービスを提供するために顧客データに対して実行するコンピューティング操作が含まれます。 カナダ国外でのデータの処理、保存、または転送がクラウド サービス内で行われるか、テクニカル サポートの一部として、また輸出許可が必要になる可能性があるかどうかを評価するのは、お客様の責任です。
カナダリージョンの Azure Core Services の場合、Microsoft は、お客様の承認なしに、顧客が指定した Geo の外部に顧客データを保存または処理しません。 お客様は 、Azure のデータ所在地を確認する必要があります。顧客データの場所に関する詳細情報 を確認し、次の内容を評価する必要があります。
- 回復性を維持するために、Microsoft は地理的境界を越えることがある可変ネットワーク パスを使用しますが、リージョン間の顧客データのレプリケーションは常に暗号化されたネットワーク接続経由で送信されます。
- Geo の外部にある Microsoft の担当者 (サブプロセッサーを含む) は、Geo 内のデータ処理システムをリモートで操作できますが、お客様の承認なしに顧客データにアクセスすることはありません。
- 特定のサービスでは、お客様が特定の Azure リージョンまたは主要な地理的領域 (Geo) でのデプロイを構成できない場合や、Microsoft セキュリティ センターで詳しく説明されているように、他の場所で制限された処理やストレージを実行できる場合があります (Microsoft は随時更新される可能性がありますが、プレビューではサービスの例外は追加されません)。
- お客様の管理者またはユーザーがカナダ地域からのデータ転送を開始するサービスでアクションを実行した場合、Microsoft はそのような顧客が開始した転送の発生を制限しません。これにより、顧客の通常の業務が中断されます。
カナダリージョン Office Core Services の場合、データは通常、データが格納されている場所に最も近い場所で処理されますが、一部の操作ではカナダ以外の Azure 商用クラウド地域で顧客データを処理する場合があります。 これらの国/リージョンの完全な一覧については、「 Azure geographies」を参照してください。
制御された商品に対するジェネレーティブ AI ソリューションの使用に関する考慮事項は何ですか?
Azure OpenAI Service や Copilot のサービスと機能を含む Microsoft のジェネレーティブ AI ソリューションは、organizationのデータを使用して、許可なく基礎モデルをトレーニングしません。 データは OpenAI では使用できないか、OpenAI モデルのトレーニングに使用されます。 Azure OpenAI Service と Copilots を使用する場合、お客様のデータは非公開のままであり、 Microsoft のデータ保護補遺、Microsoft の製品条件、 Microsoft プライバシーに関する声明で行うコミットメントなど、適用されるプライバシーと契約上のコミットメントによって管理されます。
責任ある AI に対する Microsoft のコミットメントにより、Azure OpenAI サービスは、人間のレビューを含む悪用監視プロセスを使用して、行動規範やその他の該当する製品条項に違反する可能性のある方法でサービスの使用を提案する定期的なコンテンツや行動 の インスタンスを検出して軽減します。 お客様は、 Azure OpenAI データ、プライバシー、およびセキュリティ で利用可能なリソースを使用してデータがどのように処理されるか、および不正使用の監視と人間のレビューの免除を受けるために適用する方法を評価する必要があります。
Microsoft 365 のMicrosoft Copilotのデータ、プライバシー、セキュリティの詳細については、「Microsoft 365 Copilotのデータ、プライバシー、セキュリティ」を参照してください。
Microsoft Online Services で管理された商品を使用する場合、どのような輸出承認が必要ですか?
お客様は、Microsoft Canada Region Azure Core Services とカナダリージョン Office Core Services を評価する際に必要となる輸出承認に関して、グローバル・アフェアーズ・カナダ (またはその他の規制当局) からガイダンスを求める必要があります。これには、データ ストレージ、転送中のネットワーク データ、データ処理、または転送がカナダの外部で発生する可能性があるシナリオが含まれますが、これに限定されません。
Microsoft は、当社の明示的な同意なしに、輸出ライセンスアプリケーションに当事者として追加されたことに対する責任または責任を負いません。 詳細については、「 Microsoft のエクスポートに関する FAQ」を参照してください。
管理された商品で使用するスコープ内のオンライン サービスを構成する場合に役立つその他のセキュリティおよびプライバシー機能は何ですか?
お客様は、オンライン サービスの使用が、Microsoft Online Services の担当者、検査、所有、または管理された商品の転送など、承認されていない個人を生じないようにする責任を負います。 これには、たとえば、特定のオンライン サービス内で利用可能なセキュリティ機能の評価と採用が含まれる場合があります。 関連する機能は次のとおりです。
- カスタマー ロックボックス: Microsoft では、顧客がスコープ内サービスを使用してカスタマー ロックボックス機能を、リスク軽減策の追加防御として有効にすることをお勧めします。 Customer Lockbox は、顧客がこのような昇格された要求を承認または拒否できるようにすることで、顧客データへのアクセスを必要とするサポート ワークフローを顧客に制御します。 Customer Lockbox の詳細については、次を参照してください。
- Microsoft Purview Information Protection: Microsoft Purview Information Protectionからの秘密度ラベルを使用すると、organizationを分類して保護できます。ユーザーの生産性と共同作業の能力が妨げられていないことを確認しながら、' のデータ。 Microsoft では、Office Core Services の管理された商品データに対して適切な秘密度ラベルと関連するデータ保護ポリシーを展開して構成することをお勧めします。
- Microsoft Purview Double Key Encryption (DKE): Office Apps (Outlook、Word、Excel、PowerPoint on Windows) では、エンドツーエンドの暗号化構成オプションを提供する Double Key Encryption の使用がサポートされています。 Office ドキュメントと電子メールの本文は、顧客の管理下にあるキー管理サービスとキーを使用して、Office クライアント アプリケーションによって暗号化されます。 DKE を使用してコンテンツを暗号化する場合、Microsoft クラウド インフラストラクチャは秘密キーにアクセスできないため、暗号化されたデータに対してクラウド処理を実行できないため、多くの顧客構成のセキュリティ機能を含む Microsoft 365 Core Services の全体的な機能を削減できます。 たとえば、クラウドベースのデータ損失防止 (DLP)、Office Web Appsの使用、共同編集などの一部の機能が制限されます。 拡張機能により、クラウドの DKE で暗号化された顧客データには、Microsoft のサポート担当者やエンジニアリング担当者が暗号化されていない形式でアクセスすることはできません。 DKE は、サービスの暗号化とコンテンツでの秘密度ラベルの使用のために、Microsoft Purview Information Protectionと共にデプロイする必要があります。
- Azure Confidential Computing: Azure のコンフィデンシャル コンピューティング は、コンピューティング クラウド インフラストラクチャのさまざまな側面にわたってセキュリティを強化し、 業界の機密コンピューティングの定義に準拠します。 既存の暗号化は保存データと転送中のデータを保護しますが、 コンフィデンシャル コンピューティング では、Azure の新しいハードウェア ベースの信頼された実行環境を使用して、メモリ内の処理中または計算中にデータを保護または暗号化します。 Azure のコンフィデンシャル コンピューティング オファリングは、運用上のセーフガードとメモリ保護を超えて、ハードウェアルートの信頼を使用してワークロードの分離を提供します。 コンフィデンシャル コンピューティングの脅威モデルは、クラウド プロバイダーオペレーターやテナントのドメイン内の他のアクターが、実行中にコードとデータにアクセスする機能を削除または削減することを目的としています。 保存時および転送中のデータ暗号化で使用する場合、機密コンピューティングでは、セキュリティで保護されたパブリック クラウド プラットフォームで機密性の高いデータ セットや高度に規制されたデータ セットとアプリケーション ワークロードを保護することで、使用中の暗号化という 1 つの最大の障壁が排除されます。
- Azure Key Vault: Azure Key Vault Managed HSM (ハードウェア セキュリティ モジュール) は、FIPS 140-2 レベル 3 の検証済み HSM を使用して、クラウド アプリケーションの暗号化キーを保護できるようにする、フル マネージドの高可用性シングルテナント標準準拠クラウド サービスです。 これは、Azure のいくつかの主要な管理ソリューションの 1 つです。
Office Connected Services に関連する考慮事項は何ですか?
Microsoft Office は、クライアント ソフトウェア アプリケーションと、より効果的に作成、通信、共同作業を行えるように設計された 接続エクスペリエンス で構成されています。 接続環境の例としては、OneDrive に保存されているドキュメントを他のユーザーとの共同作用や、Word 文書のコンテンツを別の言語に翻訳するなどがあります。 Office Apps を使用してインターネット (または他の Microsoft Online Services) にアクセスして機能を実行する場合にアクセスできる、オプションの接続エクスペリエンスと呼ばれる一部の接続エクスペリエンス。
一部の Office 接続エクスペリエンスでは、Office Apps の顧客コンテンツが分析され、設計に関する推奨事項、編集候補、データ分析情報、および同様の機能が提供されます。 この方法でコンテンツを分析することは、データ処理のもう 1 つの形式であり、カナダ以外の Azure 商用クラウド地域で発生する可能性があります。
お客様は、特定の秘密度ラベルが適用されているドキュメントのコンテンツを 分析するエクスペリエンスの使用を制御 する機能など、管理された商品と Microsoft Online Services の評価の一環として Office 接続エクスペリエンスを含める必要があります。
クラウド サービスを使用したエンドツーエンド暗号化の一般的な制限事項は何ですか?
エンドツーエンドの暗号化 (E2EE) は、通常、コンテンツがクラウドに送信される前に暗号化され、クラウドから受信されたときに目的の受信者によってのみ暗号化解除されることを意味します。 E2EE では、データの暗号化と暗号化解除に関与するのは 2 つのエンドポイント システムだけです。 クラウド サービス インフラストラクチャがデータの暗号化を解除するための暗号化キーへのアクセスを制御していない場合、そのデータの処理を実行する機能が制限されます。 たとえば、クラウドベースのマルウェア スキャン、コンテンツに対するクラウドベースのデータ損失防止 (DLP) ルールの適用、マルチユーザー ドキュメント編集は、クラウド サービス プロバイダーが必要な処理を実行するためにデータを復号化できない場合は機能しません。
Microsoft Double Key Encryption には、最も厳格なデータ保護要件の対象となるOffice 365 データのサブセットで使用することを目的としたエンドツーエンドの暗号化構成オプションが用意されています。 この機能を評価するときは、デプロイ要件を慎重に確認する必要があります。
注:
エンドツーエンドの暗号化用語には、定義されたセキュリティ境界のコンテキストなど、他の解釈を含めることができます。 オンライン サービス内で使用できる暗号化オプションを評価および構成するのは、お客様の責任です。
組織のセキュリティ ポリシーを適用するセキュリティで保護されたクラウド構成を実装するのに役立つリソースは何ですか?
Microsoft は、セキュリティで保護されたクラウド テナント構成を設計、構成、運用する方法に関する広範な情報を公開しています。 Microsoft クラウド導入フレームワーク for Azure は、IaaS ワークロードと PaaS ワークロードの出発点として役立ちます。 Microsoft 365 を使用したゼロ トラスト展開計画では、Microsoft 365 でゼロ トラストセキュリティを構築する方法に関するガイダンスを提供します。
管理された商品データが他の輸出管理規制の対象になっている場合はどうしますか?
お客様は、Microsoft サービス (オンライン サービス、テクニカル サポート、プロフェッショナル サービスを含む) が、特定の法律または規制の対象となる情報の保存または処理に適しているかどうかを判断し、法的および規制上の義務と一致する方法で Microsoft サービスを使用する責任を負います。 カナダ以外の輸出管理規制の対象となる管理された商品データに関連するシナリオは、この記事の範囲外ですが、「リソース」セクションの情報は、お客様に役立つ場合があります。