CyberGRX 評価手法は、固有のリスクと残存リスクの両方を特定し、ほぼリアルタイムの脅威分析と独立した証拠検証を使用して、顧客にサードパーティのサイバー リスク態勢の包括的なビューを提供します。
CyberGRX は、世界で初めて最大のコラボレーション リスク交換です。 CyberGRX の分析手法は、1 つの検証済み評価から脅威インテリジェンスと高度なリスク モデルを構築します。 CyberGRX の評価では、データのセキュリティとプライバシーに関するリスクに関する分析情報を使用して、残留リスクに関する詳細な分析情報だけでなく、攻撃シナリオ モデリングと MITRE ATT&CK キル チェーン を組み合わせて、脅威環境における進化する戦術と手法を監視します。
Microsoft と CyberGRX
CyberGRX は、戦略的パートナーのデロイトとタッチと KPMG を利用して、1,000 を超えるセキュリティに関する質問と対応する Microsoft の回答で構成される Microsoft Cloud の評価を検証して報告しました。 CyberGRX は、固有のリスク、業界固有の脅威インテリジェンス、および実際の攻撃シナリオに対処します。 これにより、お客様は、単純なコンプライアンスではなく、リスクに焦点を当てた結果を生成するために、外部の証拠を使用して Microsoft のセキュリティ体制を検証できます。
Microsoft は、お客様がリスクを迅速に評価するためにorganizationに役立つ効率的な車両を使用する必要があることを理解しています。これには、Microsoft のような主要なサービスにサード パーティを使用することによる潜在的なリスクの評価が含まれます。 Microsoft は、世界最大のクラウド サービス プロバイダーの 1 つとして、顧客ベースが膨大で多様であり、これらのお客様がさまざまな優先順位を持ち、さまざまな業界から来たと理解しています。 これらの多様なニーズに対するスケーリングでは、Microsoft は、すべての顧客がセキュリティの優先順位を持ち、使用する Microsoft クラウド サービスに関係なく役立つ重要な知識を共有する能力を広げ、強化するための効果的な方法を探す必要があります。 CyberGRX などのサード パーティの評価会社とのコラボレーションは、お客様がリスク評価の追求を迅速に行うのを支援する 1 つの方法です。
CyberGRX のモデルにより、Microsoft Cloud のセキュリティ制御の実装に関心を持つ組織は、最も関心のあるコントロールを選択し、レビューに対して検証済みの応答を提供できます。 Microsoft は、更新プログラムを提供する機能を軽快に提供できるため、このモデルのメリットを得ることができ、CyberGRX 交換の任意のメンバーが応答を利用できるため、この重要な情報へのより多くの顧客アクセスが提供されます。 要するに、CyberGRX は、Microsoft がリスク評価のニーズを持つより多くの顧客にリーチするのに役立ち、透明性とセキュリティに対する当社のコミットメントを強調しています。
さらに、お客様は CyberGRX の Framework Mapper 機能を使用して、 NIST 800-53、 NIST サイバーセキュリティ フレームワーク (CSF)、 ISO 27001、 PCI DSS、 HIPAA など、既知の業界標準とフレームワークに対する評価コントロールと応答をマップできます。これらはすべて、デュー デリジェンスの負担を大幅に軽減できます。
スコープ内の Microsoft クラウド プラットフォーム & サービスのスコープ内
- Azure
- Dynamics 365
- Microsoft 365
- Power Platform
CyberGRX 監査スコープの Microsoft オンライン サービスの完全な一覧については、次を参照してください。
- Microsoft Azure コンプライアンス オファリング または Azure SOC 2 Type 2 構成証明レポート。
- Azure DevOps Services、
- Microsoft 365 SOC 2 のドキュメント。
Microsoft 365 (Office 365) と CyberGRX
Microsoft 365 環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Microsoft 365 の適用性とスコープ内サービス
次の表を使用して、Microsoft 365 サービスとサブスクリプションの適用性を判断します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Cortana、Customer Lockbox、Exchange Online Archiving、Exchange Online Protection、Exchange Online、Kaizala Pro、Microsoft Bookings、Microsoft Forms、Microsoft MyAnalytics、Microsoft Planner、Microsoft StaffHub、Microsoft Stream、Microsoft Teams (Bookings、Lists、Shifts を含む)microsoft 365、Microsoft 365 Video、Office for the web、OneDrive for Business、Project、SharePoint Online、Skype for Business Online のMicrosoft To-Do、Microsoft Defender、Sway、Whiteboard、Viva Engage |
監査、レポート、証明書
Microsoft Cloud の無料の CyberGRX 評価レポートにアクセスするには、 こちらのフォームに記入してください。
実装方法
- 財務ユース ケース: ケースの概要、チュートリアル、およびその他のリソースを使用して、金融サービス用の Microsoft Cloud ソリューションを構築します。
- 米国の金融サービス規制: Microsoft オンライン サービスで米国の金融機関の規制要請を満たす方法。
よく寄せられる質問
CyberGRX の検証手法、成熟度スコアリング モデル、およびその他の関連領域の詳細については、 セキュリティ評価に関する FAQ を参照してください。