カナダサイバーセキュリティセンター (CCCS) Medium
CCCS Medium の概要
カナダ政府 (GC) 機密性の高い政府の情報と資産に対する保護された B セキュリティ レベルは、侵害された場合に個人、organization、または政府に重大な傷害を引き起こす可能性のある情報または資産に適用されます。 カナダサイバーセキュリティセンター(CCCS)が発行するITセキュリティリスク管理に関する情報技術セキュリティガイダンス(ITSG)33に基づき、GCは、Cloud-Based サービスのセキュリティ分類に関するガイダンス(ITSP.50.103)とカナダ政府セキュリティコントロールプロファイル(GCセキュリティコントロールプロファイル)を開発しました。保護された B、中程度の整合性、および中の可用性 (PBMM) の。 元の PBMM セキュリティ制御プロファイルは、 CCCS Medium Cloud Profile Recommendations に進化しました。
GCセキュリティコントロールプロファイルは、ITSG-33と米国連邦リスクおよび認可管理プログラム(FedRAMP)を使用して開発されました。どちらも国立標準技術研究所(NIST)特別出版(SP)800-53のセキュリティとプライバシーの制御の基礎を持っています。 GC は、クラウド サービスの相互運用性と、クラウド サービス プロバイダー (CSP) によって生成される承認証拠の再利用性の両方を最大化するために、GC セキュリティ制御プロファイルを FedRAMP と調整しました。
カナダ財務委員会事務局 (TBS) は、サービスとデジタルに関する指令に基づいて義務付けられている GC Cloud Guardrails に対する監視と監視部門のコンプライアンスの維持を含む、クラウド サービスの GC エンタープライズ ガバナンス、戦略、ポリシーを担当しています。 GC はクラウド導入戦略を進化させ、クラウドが新しいアプリケーションに適したオプションであり、既存のアプリケーション ポートフォリオを合理化して最も適切なホスティング モデルに合わせる クラウド スマート原則 を提唱しています。
カナダサイバーセキュリティセンター (CCCS) は、CSP の CCCS Medium セキュリティ制御を実装する能力をレビューする クラウド サービス プロバイダー セキュリティ評価プロセス を確立しました (注: CCCS Medium コントロール プロファイルは、 クラウドベースの GC サービスの元のカナダ政府セキュリティ制御プロファイルに置き換わりました)。 結果として得られる技術的リスク評価レポートには、レビュー プロセスの結果が含まれます。 クラウド セキュリティの評価と承認に関する部門ガイダンス (ITSP.50.105) も CCCS から入手できます。
対象となる Microsoft のクラウド プラットフォームとサービス
カナダサイバーセキュリティセンターは、 CCCS Mediumセキュリティ制御プロファイルに従って、クラウド サービス プロバイダーのセキュリティ制御とプロセスが、保護された B、中整合性、中可用性 (PBMM) までの情報とサービスに関するカナダ政府のセキュリティ要件に照らして評価される評価を実施します。 現在までに CCCS は、次の Microsoft オンライン サービスを正式に評価しています。
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure、Dynamics 365、Power Platform、CCCS Medium
Microsoft は、2019 年に連邦政府とフレームワーク契約を締結した際に、カナダ政府のセキュリティで保護されたクラウド サービスの資格を得た最初のグローバル クラウド サービス プロバイダーの 1 つでした。 この枠組み合意は、政府プロセスを合理化するというカナダ政府の野望を支持しており、真のデジタル政府への道のりにおける重要なステップです。 Microsoft の Azure CCCS Medium 評価済みサービスは、公的な使用人が保護された B データのストレージと処理をサポートするさまざまな高度な機能にアクセスするため、公共部門のイノベーション、変革、サービスの機敏性に新たな機会を生み出します。 さらに、政府機関は、Azure で革新的で安全なソリューションを構築するパートナーと開発者の Microsoft の繁栄するエコシステムの恩恵を受けています。
Microsoft は、カナダの 2 つの Azure クラウド リージョン (トロントのカナダ中部とケベック シティのカナダ東部) を、それぞれ複数のハイパースケール クラウド データセンター サイトで構成しています。 これらのリージョンは、保存中 の顧客データの保存、フェールオーバー、および多くの Core Online サービスのアプリケーションと顧客データのディザスター リカバリーのために、カナダ国内のデータ所在地を追加します。 カナダ中部リージョンへの追加のデータセンター インフラストラクチャへの投資により、カナダ中部リージョン内の Azure 可用性ゾーン も有効になり、お客様はミッション クリティカルなワークロードに対してさらに回復性と可用性の高いアプリケーションを作成できます。
Azure、Dynamics 365、Power Platform 全体のスコープ内 CCCS 評価クラウド サービスの完全な一覧については、Service Trust Portal のカナダ地域セクションの概要評価レポートを参照してください。
Office 365および CCCS Medium
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
次の表を使用して、Office 365 サービスとサブスクリプションの適用性を判断します。
適用性 | 範囲内のサービス |
---|---|
商用 | Advanced eDiscovery、Customer Lockbox、Defender Endpoint、Defender for Cloud Apps、Defender for M365、Defender of Identity、Exchange Online (EXO)、Loki、Microsoft Information Protection、Microsoft Intune、Microsoft Planner、Microsoft Stream、Microsoft Teams、Office Forms、Office for the Web (Word、Excel、OneNote、PowerPoint)、Office PODS (PowerPoint Online Document Service)、Office Project、Office Services Infrastructure、Office Sway、OneNote Service、Phone System & Calling、Search Content Service、Sharepoint Online、SharePoint Syntex、Suite ユーザー エクスペリエンス、ToDo、Viva Insights、Viva Learning、Viva Topics、Windows 365 |
評価レポート
Microsoft サービスの CCCS 評価レポートの概要は、 サービス 信頼ポータルのカナダリージョン セクションでお客様が利用できます。 Microsoft サービスの詳細なセキュリティ評価レポートは、 contact@cyber.gc.caの CCCS に問い合わせてカナダ政府のお客様が利用できます。
よく寄せられる質問
Shared Services Canada クラウド 契約を通じてカナダ政府が利用できる Microsoft クラウド サービスはどれですか?
カナダ政府からクラウド フレームワーク契約を受けた最初のグローバル クラウド プロバイダーの 1 つである Microsoft は、Azure、Dynamics 365、Power Platform、Microsoft 365 など、さまざまな商用クラウド サービスを提供しています。 Shared Services Canada クラウド ブローカー カタログには、GC 部門が現在利用できる Microsoft クラウド サービスの詳細が記載されています。
Microsoft のクラウド サービスはどのレベルの米国 FedRAMP コンプライアンスに準拠しており、これはカナダのクラウド リージョンにどのように適用されますか?
Microsoft Azure コマーシャル (Dynamics 365を含む) は、FedRAMP 高暫定機関 (P-ATO) を維持しています。 Microsoft 365 コマーシャルでは、FedRAMP High 等価性が維持されます。 米国外の Azure リージョンは、FedRAMP 共同承認委員会 (JAB) によって正式に承認されておらず、FedRAMP High P-ATO スコープには含まれません。 ただし、Azure のセキュリティ制御と運用プロセスは、Azure が実行されるすべての場所で一貫性があります。 FedRAMP は、NIST SP 800-53 制御ベースラインに基づいています。 米国で Azure FedRAMP High P-ATO をサポートするすべての NIST SP 800-53 コントロールは、米国外の他の Azure リージョンでも動作します。 したがって、米国外の Azure のお客様は、NIST SP 800-53 High コントロール ベースラインに関連するのと同じ制御実装の詳細をカウントできます。 詳細については、 連邦リスクおよび承認管理プログラム (FedRAMP) を参照してください。 FedRAMP 監査証拠は、 サービス 信頼ポータルで入手できます。
保護された B データを格納する必要がある場所に地理的な制限はありますか?
カナダ政府は、サービスおよびデジタルに関する指令のセクション4.4.3.14に従って、保護されたBデータの保存のための柔軟なデータ所在地(保存データの保存)ポリシーを開発しました。 これは、サービスとデジタルに関するガイドラインのセクション4.4でさらに明らかにされています。 カナダのデータ所在地は、クラウドに保護された B データを保存するための主要な配信オプションとして識別および評価する必要がありますが、部門 CIO (または場合によってはカナダの CIO) には柔軟性があり、要件の実装に関する セクション 4.4.3 で特定された次のビジネス基準に基づいてカナダ国外にデータを格納する決定を承認する責任があります。
- 評価
- 法的および契約上の考慮事項
- 売買契約
- 市場の可用性
- ビジネス価値
- 技術的な機能
Microsoft のセキュリティ制御とプロセスは、すべてのクラウド リージョンでグローバルに一貫して実装されます。 CCCS Medium プロファイル内のコントロールは GC データ所在地ポリシーを参照する場合があります。保存データの場所の評価は、CCCS クラウド評価レポートのリスク評価には考慮されません。
セクション 4.4.2 (これが重要なのはなぜですか? また、転送中の暗号化されたデータは、データ所在地の要件によって制限されないことも明らかにします。
次のリソースは、多くの一般的な製品やサービスのデータ所在地に関する情報を提供します。
- Microsoft 365 データ所在地の概要、Microsoft 365 顧客データが格納されている場所、および Microsoft 365 Advanced Data Residency オファリング
- Azure のデータ所在地
- Microsoft Entra ID (旧称 Azure Active Directory) とデータ所在地
- Microsoft Defender for Cloud Apps - データのセキュリティとプライバシー
- データストレージとプライバシーのMicrosoft Defender for Endpoint
- Microsoft Defender for Identityデータのセキュリティとプライバシー
- Microsoft Dynamics 365 データの場所
- データの保存と処理のMicrosoft Intune
- Microsoft Power Platform のデータの場所
- Microsoft Professional Services のデータの場所
- Microsoft 365 Defender データのセキュリティとプライバシー
非リージョン クラウド サービスとは
Azure 非リージョン サービスは、特定の Azure リージョンに依存せず、現在、お客様にデプロイ リージョンを指定する機能を提供していないサービスです。 これらのサービスは、Azure のグローバル クラウドの一部として常に利用できるように設計および最適化されています。 非地域サービスの例として、Azure Active Directory があります。 完全な一覧については、「 リージョン別の Azure 製品」を参照してください。
クラウドでのデータ処理はどこで行われますか?
多くの Azure サービスを使用すると、顧客データを格納して処理するリージョンを指定できます。 詳細については、「Azure でのData Residency」を参照してください。 Microsoft 365 などの SaaS オンライン サービスは、通常、データが格納されている場所に最も近いデータを処理しますが、顧客データの処理はカナダ以外のクラウド リージョンで発生する可能性があります。 サポート サービスの提供には、カナダ国外でのデータの処理も含まれる場合があります。
リソース
Microsoft では、保護された B ワークロードの実行に適したクラウド サービスをデプロイする際に役立ついくつかのリソースを開発しました。
- カナダ公共セクター向け Azure ランディング ゾーン: お客様の責任である CCCS Medium 要件に準拠するための政府部門の取り組みをガイドするための、専用のリファレンス実装です。
- Canada Federal PBMM Azure Blueprint: 組織が特定の CCCS Medium コントロールと GC Cloud Guardrails に準拠して新しいクラウド環境を構築できるようにする、反復可能な Azure リソースとパターンのセット。
- 基本的なプライバシー影響評価 (PIA): 基本的な PIA は、プライバシー リーダー、開業医、リスク マネージャーに対して、この分析を Microsoft のクラウドベースのサービス オファリングの導入時に自分の PIA 作業の中核として使用することを検討する方に、より適切に通知することを目的としています。
- Microsoft Purview Compliance ManagerProtected B 評価テンプレート: コンプライアンス マネージャーは、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立つ、Microsoft Purview コンプライアンス ポータルの機能です。 コンプライアンス マネージャーには、Microsoft 365 環境内の多数の CCCS Medium 顧客コントロールの実装を継続的に評価および追跡するための組み込みのメカニズムが用意されています。 コンプライアンス マネージャーの評価テンプレート ページで、保護された B テンプレート を見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。