国防総省 (DoD) 影響レベル 5 (IL5)
DoD IL5 の概要
国防情報システム庁 (DISA) は、DoD クラウド コンピューティング セキュリティ要件ガイド (SRG) の開発と保守を担当する米国国防総省 (DoD) の機関です。 SRG は、クラウド サービス プロバイダー (CSP) のセキュリティ体制を評価するために DoD が使用するベースライン セキュリティ要件を定義し、CSP が DoD ミッションをホストできるようにする DoD 暫定承認 (PA) を付与する決定をサポートします。 これは、以前に公開された DoD クラウド セキュリティ モデル (CSM) を組み込み、置き換え、取り消し、DoD リスク管理フレームワーク (RMF) にマップします。
DISA は、CSP の使用を計画および承認する DoD 機関と部門をガイドします。 また、CSP オファリングが SRG に準拠することを評価します。これは、CSP が DoD 標準への準拠を示すドキュメントを提供する承認プロセスです。 必要に応じて DoD 暫定承認 (PA) を発行するため、DoD 機関や支援組織は、独自の完全な承認プロセスを経ることなくクラウド サービスを使用できるため、時間と労力を節約できます。
SRG セクション 3.2情報の影響レベルに従って、IL5 情報は以下をカバーします。
IL4 によって提供されるものよりも高いレベルの保護を必要とする未分類情報 (CUI) を制御する
- [CUI レジストリ] には、エグゼクティブ ブランチによって保護されている特定のカテゴリの情報が用意されています。たとえば、20 を超えるカテゴリ グループが、CUI カテゴリリストに含まれています。
- NIST SP 800-171非連邦システムおよび組織における未分類情報の保護 は、非連邦組織との契約またはその他の契約で連邦政府機関が使用することを目的としています。
国家安全保障システム (NSS)
- NIST SP 800-59国家安全保障システムとしての情報システム識別ガイドライン では、NSS の定義を提供します。
- CNSSI 1253国家安全保障システムのセキュリティ分類と制御の選択は、国家安全保障 情報を分類するために連邦政府機関が適用する必要があるセキュリティ基準に関するガイダンスを提供します。
コマーシャル クラウド コンピューティング サービスの取得と使用に関する更新されたガイダンスに関する 2014 年 12 月 15 日の DoD CIO メモでは、「FedRAMP はすべての DoD クラウド サービスの最小セキュリティ ベースラインとして機能します」と述べています。 SRG は、すべての情報影響レベル (IL) で FedRAMP Moderate ベースラインを使用し、一部では高ベースラインを考慮します。
SRG セクション 5.1.1FedRAMP セキュリティ コントロールの DoD 使用では、FedRAMP High PA が、DoD FedRAMP+ のコントロールと制御の強化 (C/CEs) と SRG の要件を補完して、IL5 での DoD PA の授与に向けて CSP を評価するために使用されると述べています。 FedRAMP High PA の基礎として使用される C/CE ベースラインに関係なく、DOD PA を IL5 で授与する前に、追加の考慮事項や要件を評価して承認する必要があります。 具体的には、 表 2 の SRG セクション 5.1.2DoD FedRAMP+ Security Controls/Enhancements では、DoD IL5 PA には FedRAMP High ベースラインを超える 10 個の C/C が必要であると述べています。
さらに、 SRG セクション 5.2.2.3IL5 の場所と分離の要件に従って、レベル 5 PA に対して次の要件 (特に) を設定する必要があります。
- DoD と連邦政府のテナント/ミッション間の仮想/論理分離で十分です。 テナント/ミッション システム間の仮想/論理分離が必要です。
- DoD 以外または連邦政府以外のテナント (つまり、パブリック、ローカル/州政府のテナント) からの物理的な分離が必要です。
- CSP は、DoD とコミュニティの情報への潜在的なアクセスを、米国市民である CSP 従業員に制限します。
対象となる Microsoft のクラウド プラットフォームとサービス
- Azure
- カスタマー サービスDynamics 365
- Microsoft Defender for Endpoint (以前の Microsoft Defender Advanced Threat Protection)
- Microsoft Graph
- Microsoft Stream
- Office 365 米国防総省
- Power Automate (以前の Microsoft Flow)
- Power BI
Azure、Dynamics 365、DoD IL5
Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure DoD IL5 オファリングに関するページを参照してください。
Office 365と DoD IL5
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| DoD | アクティビティ フィード サービス、Bing サービス、Bookings、Exchange Online Protection、Exchange Online、Intelligent Services、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、Peopleカード、SharePoint Online、Skype for Business、Windows Ink |
構成証明ドキュメント
米国政府のお客様は、米国政府Office 365の FedRAMP ドキュメントを FedRAMP Marketplace から直接、パッケージ アクセス要求フォームを送信して要求できます。 FedRAMP から直接 FedRAMP セキュリティ パッケージにアクセスするには、.gov または .mil のメール アドレスが必要です。
システム セキュリティ プラン (SSP)、継続的監視レポート、アクションとマイルストーンの計画 (POA&M) など、FedRAMP と DoD のドキュメントを選択します。このドキュメントは、NDA のお客様が利用でき、サービス 信頼ポータル 監査レポート - FedRAMP レポート セクションから保留中のアクセス承認を受けています。 サポートについては、Microsoft アカウントの担当者にお問い合わせください。
リソース
- Microsoft Government ソリューション
- FedRAMP ドキュメント
- DoD Information Technology (IT) 用 DoD 命令 8510.01DoD リスク管理フレームワーク (RMF)
- NIST SP 800-37情報システムと組織のリスク管理フレームワーク:セキュリティとプライバシーのためのシステム Life-Cycle アプローチ
- NIST SP 800-53情報システムと組織のセキュリティとプライバシーの制御
- NIST SP 800-59国家安全保障システムとしての情報システム識別ガイドライン
- CNSSI 1253国家安全保障システムのセキュリティ分類と制御の選択
- NIST SP 800-171非階層システムおよび組織における制御された未分類情報の保護
- コントロールされた未分類情報 (CUI) レジストリ と CUI カテゴリ リスト。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示