スペインの Esquema Nacional de Seguridad (ENS) のハイ レベルなセキュリティ対策
ENS (スペイン) の概要
スペイン政府は 2007 年に 11/2007 の法律を制定しました。国民が政府機関の公的なサービスに電子的にアクセスするための法的な枠組みを定めた法律です。 この法律は、Esquema Nacional de Seguridad (国家安全保障フレームワーク) の基礎であり、更新された王立法令 (RD) 311/2022 によって管理されています。 この枠組みの目的は、電子サービスの信頼性を高めることであり、データや情報やサービスのアクセス、整合性、可用性、信頼性、機密性、追跡可能性、保全性を確保することです。
この枠組みの対象になるのは、クラウド サービスを購入するスペイン国内のすべての公共機関や政府機関と、情報通信技術 (ICT) のプロバイダーです。 それらの機関や企業は、セキュリティとプライバシーに関するスペインと EU の基準に準拠しつつ、クラウドやオンプレミスで効果的なセキュリティ対策を実施する際に、その枠組みを守らなければなりません。
この枠組みでは、政府機関とサービス プロバイダーの両方が守らなければならない重要な方針や必須要件を定めています。 可用性、信頼性、整合性、機密性、追跡可能性に関する具体的なセキュリティ コントロールを定義しており、その多くは ISO/IEC 27001 に直接かかわっています。 情報の機密性 (低、中、高) に応じて、情報を保護するために実施しなければならないセキュリティ対策が決まっています。
どの政府機関も、セキュリティに関してリスク管理の手法を採用することが義務付けられています。つまり、リスクを洗い出し、分析したうえで、それぞれのリスクに適したセキュリティ コントロールを実施する、ということです。 サービス プロバイダーも、さまざまな手順や機能や操作の安全性を確保し、各種の機関が法令に準拠できるようにするために、非常に厳格な枠組みの要件を守らなければなりません。
この枠組みでは、認定制度を定めています。この認定は、機密性の低い情報を取り扱うシステムでは任意ですが、中レベルから高レベルの機密情報を取り扱うシステムでは必須になっています。 監査は、認定された独立監査人によって実施されます。 監査レポートの精査という段階を経てはじめて、リスク管理の対策が認定プロセスの最終段階で承認される運びになります。
マイクロソフトと ENS (スペイン) のハイ レベルなセキュリティ対策
Microsoft Azure と Microsoft Office 365 は、独立監査人である BDO の厳しい審査を経て、正式な認定証を取得しました。 BDO は、両方のサービスにおけるセキュリティ対策、情報システムとデータ処理に関する機能が RD 3/2010 に高水準に準拠しており、是正措置が不要であると報告しています。 マイクロソフトは、この認定をスペインで取得した最初の超大規模クラウド サービス プロバイダーになりました。
対象となる Microsoft のクラウド プラットフォームとサービス
- Azure
- Microsoft 365 & Microsoft 365 for Education
- Dynamics 365
Microsoft 365 と ENS High
Microsoft 365 (Office 365) 環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Microsoft 365 & Microsoft 365 for Education の適用性とスコープ内サービス
次の表を使用して、Microsoft 365 および Microsoft 365 for Education サービスとサブスクリプションの適用性を判断します。
適用性 | 範囲内のサービス |
---|---|
商用 | Microsoft Viva (Connections、Insights、Learning、Engageを含む)、Microsoft 365 (Word、Excel、PowerPoint、Outlook、Sharepoint、Exchange、OneNote、OneDrive、Microsoft Planner、Sway、Whiteboard、Delve、Microsoft Forms、Microsoft To Do および Windows)、Microsoft Purview (監査、適応保護、コミュニケーション コンプライアンス、電子情報開示、コンプライアンス マネージャー、Information Protection、データ ライフサイクル管理、インサイダー リスク管理、データ損失防止、統合データ ガバナンス (Azure Purview) を含む)、Microsoft Teams (電話会議と電話システムを含む)Microsoft Outlook Web App、Microsoft Outlook Mobile、Microsoft Copilot for Microsoft 365、Windows の Copilot、商用データ保護を備えた Microsoft Copilot、Microsoft Exchange Online Protection、Microsoft Defender XDR (Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps)、Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps、Microsoft Intune |
Dynamics 365と ENS High
Dynamics 365の適用性とスコープ内サービス
次の表を使用して、Dynamics 365 サービスとサブスクリプションの適用性を判断します。
適用性 | 範囲内のサービス |
---|---|
商用 | Copilot Studio、Dynamics 365 Sales、Dynamics 365 Customer Insights Journey、Dynamics 365 Customer Insights Data、Dynamics 365 Finance、Dynamics 365 サプライ チェーン管理、Dynamics 365 Business Central、Dynamics 365 カスタマー サービス (オムニチャネルを含む)、Dynamics 365 フィールド サービス (リモート アシストを含む)、Dynamics 365人事、Dynamics 365 プロジェクト運用、Dynamics 365 Commerce、Dynamics 365 Fraud Protection、Dynamics 365 Customer Voice、Power Platform (Power BI、Power Apps、Power Automate、Power Pages を含む)、Power Platform の Copilot (Power Apps 用 Copilot、Power Automate 用 Copilot、Power Pages 用 Copilot を含む)Power BI 用の Copilot)、Copilot for Sales、Copilot for Service、Copilot for Finance、Copilot for Dynamics 365 |
Microsoft Azure と ENS High
Azure の適用性とスコープ内サービス
次の表を使用して、Azure サービスとサブスクリプションの適用性を判断します。
適用性 | 範囲内のサービス |
---|---|
商用 | Azure Confidential Computing、Microsoft Entra (Entra ID、Entra ID Governance、Entra External ID、Entra Domain Services、Entra Verified ID、Entra Permissions Management、Entra Workload ID、Entra Internet Access y Entra Private Access を含む)、Azure Site Recovery、Azure Virtual Network、AzureExpressRoute、Azure Load Balancer、Azure Backup、Azure AI Services (Azure OpenAI、Azure Cognitive Search、Azure AI Vision、Azure AI Custom Vision、Azure AI 言語、Azure AI Speech、Azure AI Translator、Azure AI ドキュメント インテリジェンス、Azure AI を含む)Bot Service、Azure AI Audio & Video、Azure AI Anomaly Detector、Azure AI Content Safety、Azure AI Personalizer、Azure AI Metrics Advisor y Azure AI イマーシブ リーダー)、Azure AI Studio(Azure OpenAI Studio、Azure Machine Learning Studio、Azure Language Studio、Azure Speech Studio、Azure Vision Studio、Azure Custom Translator Studio、Azure Document Intelligent Studio y Azure Content Safety Studio を含む)、Copilot for Azure、Azure SQL、Azure Cosmos DB、Azure SQL Database、Azure Database for PostgreSQL、Azure SQL Managed Instance、Azure Database for MySQL、Azure Cache for Redis、Azure Database for MariaDB、Azure Storage (Blob、Archive、Disk、File y Data Box を含む)、Azure Synapse Analytics |
Azure Databricks、Azure Data Factory、Azure HDInsight、Azure Analysis Services、Azure Data Lake、Azure Data Lake Analytics、Microsoft Fabric、Fabric Copilot、Power BI Embedded、Azure DevOps、Azure IoT Hub、Azure Event Hubs、Azure Log Analytics、Azure Monitor、Azure Key Vault (Standard、Premium y Managed HSM を含む)、Microsoft Sentinel、Microsoft Copilot for Security、Microsoft Defender for IoT、クラウド、Microsoft Defender クラウド セキュリティ態勢管理、Microsoft Defender 外部攻撃面管理 (EASM)、Azure DDOS Protection、Azure Firewall、Azure Firewall のMicrosoft DefenderManager、Azure Web Application Firewall、Azure Application Gateway、Azure VPN Gateway、Azure Bastion、Azure Virtual Machines、Azure Kubernetes Service、Azure Container Instances、Azure Container Registry、Azure Containers Apps、Azure App Service、Azure Web Apps、Azure Logic Apps、Azure API Management、Azure Service Bus、Azure Event Grid、Azure VMWare Solution、Azure Virtual Desktop (AVD)、Azure Arc |
監査、レポート、証明書
認定の有効期間は 2 年です。また、1 年ごとのサーベイランス監査が必要です。
Azure
- Azure National Security Framework (ENS) 証明書 (スペイン語)
- Azure National Security Framework (ENS) 監査レポート (スペイン語)
Microsoft 365 および Microsoft 365 for Education
- Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS) 証明書 (スペイン語)
- Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS) 監査レポート (スペイン語)
Dynamics 365
よく寄せられる質問
監査レポートと認定証のコピーはどのようにして入手できますか?
Service Trust Portal には、スペイン語と英語の両方の監査レポートと認定証が用意されています。 お客様の監査人は、そのレポートに基づいて、マイクロソフト クラウド サービスの監査結果とお客様の法的規制要件を比較できます。
組織でのコンプライアンス活動は、何から始めればよいですか?
お客様の組織が Azure または Office 365 を使用している場合は、お客様独自の認定プロセスの一環として、ENS マイクロソフト監査レポートと認定証をご利用いただけます。 ただしその場合も、お客様の責任で、コンプライアンスの実施状況や組織内の対策やプロセスがその枠組みに沿っているかどうかを監査人が評価するよう手配する必要があります。
リソース
- スペインの Esquema Nacional de Seguridad (スペイン語と英語)
- マイクロソフト オンライン サービス条件
- Microsoft セキュリティ センターのコンプライアンス