防衛連邦買収規制の補足 (DFARS)

  • [アーティクル]

DFARS の概要

2016 年 10 月 21 日、国防総省 (DoD) は、防衛連邦買収規制サプリメント (DFARS) を改正し、情報システムが対象の防御情報 (CDI) を処理、保存、または送信する防衛請負業者に対して保護とサイバー インシデント報告義務を課す最終規則を発行しました。

最後の DFARS 句 252.204-7012 (対象となる防御情報とサイバー インシデント レポートの保護) では、サイバー インシデント報告要件とクラウド サービス プロバイダーの追加の考慮事項を含めるセーフガードが指定されています。 DFARS 252.204-7012 では、すべての DoD 請負業者と防衛産業ベースが、適切なセキュリティの DFARS 要件を満たす必要があります 。すぐに実用的ですが、2017 年 12 月 31 日より遅くはありません。

Microsoft と DFARS

Microsoft Government クラウド サービスは、米国の防衛産業基盤および防衛請負業者のお客様が、クラウド サービス プロバイダーに適用される 252.204-7012 の DFARS 条項に列挙されている DFARS 要件を満たすのに役立ちます。 防衛請負業者が契約の DFARS 条項 252.204-7012 に準拠する必要がある場合、Microsoft は、米国政府の防衛サービスのAzure GovernmentおよびOffice 365クラウド サービス プロバイダーに適用される要件をサポートできます。 どちらのサービスも、お客様が国防総省セキュリティ要件ガイドへの L5 認定を通じて DFARS 7012 条項に準拠するために必要な機能のサポートを示しています。

対象となる Microsoft のクラウド プラットフォームとサービス

DoD 影響レベル 5 の対象となるサービス

  • Azure および Azure Government
  • Office 365米国政府とOffice 365米国政府の防衛

Azure、Dynamics 365、DFARS

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure DFARS オファリングに関するページを参照してください。

Office 365と DFARS

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
GCC Microsoft Entra ID、コンプライアンス マネージャー、Delve、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC High Microsoft Entra ID、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business
DoD Microsoft Entra ID、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business

Office 365 監査、レポート、証明書

よく寄せられる質問

Office 365米国政府の防衛でサポートされている DFARS 要件はどれですか?

米国政府Office 365防衛産業基地および防衛請負業者のお客様は、クラウド サービス プロバイダーに適用される 252.204-7012 の DFARS 条項に列挙されている DFARS 要件を満たすことができます。

独立した評価者は、米国政府Office 365国防が DFARS 要件をサポートしていることを検証しましたか?

はい。サードパーティの評価organizationは、米国政府機関向けクラウド サービス オファリングOffice 365が DFARS 句 252.204-7012 (未分類の制御された技術情報の保護) の該当する要件を満たしていることを証明しています。

制御された未分類情報 (CUI) とカバーされる防御情報 (CDI) の関係は何ですか?

CUI は、法律、規制、または政府全体のポリシーに従ってコントロールを保護または配布する必要がある情報です。 [CUI レジストリ] は、承認済みの CUI カテゴリとサブカテゴリを識別します。

CDI は、保護または普及の制御を必要とする技術情報またはその他の情報 (「CUI レジストリ」で説明されている) であり、次のいずれかです。

  • 契約、タスク注文、または配送注文でマークまたは他の方法で識別され、契約または契約のパフォーマンスに関連して DoD の代わりに請負業者に提供されます。
  • 契約の履行をサポートするために、請負業者によって、または請負業者に代わって収集、開発、受領、送信、使用、または保存される

すべてのMicrosoft Office 365サービスは、DFARS 規制に基づく "カバーされた防御情報" に適用される "適切なセキュリティ" 要件を満たしていますか?

2016 年 10 月、国防総省 (DoD) は、情報システムを通じて "対象となる防御情報" を処理、保存、または送信するすべての DoD 請負業者に適用される、防衛連邦買収規制補足条項 (DFARS) 条項を実装する最終規則を公布しました。 この規則では、このようなシステムは、NIST SP 800-171、 非階層情報システムおよび組織での未分類の情報の保護、または DoD 契約責任者によって承認された 「代替的かつ同等に効果的なセキュリティ対策」に記載されているセキュリティ要件を満たす必要があると規定されています。 また、DoD 請負業者が外部クラウド サービス プロバイダーを使用して対象となる防御情報を処理、保存、または送信する場合、そのようなプロバイダーは FedRAMP Moderate ベースラインと同等のセキュリティ要件を満たす必要があります。

次のMicrosoft Office 365クラウド サービスは、FedRAMP の中程度の承認を受け、DFARS に適しています:Office 365米国政府、および米国政府の防衛Office 365。

また、DoD 請負業者が "対象となる防御情報" を処理、保存、または送信するために使用できる可能性がある FedRAMP 認定境界外の Microsoft オファリングは、2017 年 12 月 31 日のコンプライアンス期限を満たすためにレビューを受けます。 Microsoft は、これらの内部サービスと顧客向けサービスが NIST SP 800-171 または許容可能なセキュリティに相当するものにどのように準拠しているかを文書化し、DFARS 関連の条項を満たすために取り組んでいます。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース