イギリス Government-Cloud (G-Cloud)

UK G-Cloud の概要

Government Cloud (G-Cloud) は、政府部門によるクラウド サービスの調達を容易にし、クラウド コンピューティングの政府全体の導入を促進するための英国政府イニシアチブです。 G-Cloud は、クラウド サービス サプライヤー (Microsoft など) との一連のフレームワーク契約と、オンライン ストアである Digital Marketplace でのサービスの一覧で構成されます。 これにより、公共部門の組織は、独自の完全なレビュー プロセスを行うことなく、これらのサービスを比較して調達できます。 Digital Marketplace に含めるには、コンプライアンスの自己証明が必要であり、その後、政府機関デジタル サービス (GDS) ブランチが独自に実行した検証が必要です。

G-Cloud の任命プロセスは、英国政府の時間とコストを削減するために 2014 年に合理化され、政府のセキュリティ分類スキームは、OFFICIAL、SECRET、TOP SECRET の 6 つのレベルから 3 つのレベルに簡素化されました。 (G-Cloud 認定レベルは、影響レベル (IL) として表現されなくなりました。以前は、Microsoft Azure、Microsoft Dynamics 365、Microsoft Office 365の IL2 認定を受けていました。

新しいプロセスでは、以前に提供されたクラウド サービスの一元的な評価ではなく、G-Cloud の 14 個のクラウド セキュリティ原則をサポートするために、クラウド サービス プロバイダーが自己認証を行い、証拠を提供する必要があります。 これは、Microsoft が作成した証拠や、会社が準拠している標準のいずれにも変更されていません。

Microsoft と英国の G-Cloud

Microsoft は毎年、ドキュメントを準備し、スコープ内のエンタープライズ クラウド サービスが原則に準拠していることを証明する証拠を提出し、潜在的な G-Cloud のお客様にリスク環境の概要を提供しています。 (以前の G-Cloud 認定と同様に、ISO 27001 の認定に依存しています)。GDS 認定機関は、Microsoft アサーション ステートメントに対していくつかのランダム チェックを実行し、証拠をサンプリングし、コンプライアンスを決定します。

デジタル マーケットプレースへの Microsoft サービスの任命は、英国政府機関とパートナーがスコープ内サービスを使用して、英国の公式政府データ (ほとんどの政府データ) を格納および処理できることを意味します。 さらに、現在、Microsoft クラウド サービスのリセラーである 450 を超える Microsoft パートナーが G-Cloud に含まれています。 スコープ内サービスのコンプライアンスは、独自のアプリケーションの 14 原則を使用して直接アサートできます。 ただし、お客様とパートナーは、Microsoft クラウド サービスのコンプライアンスの構成証明と決定に含まれていないコンポーネントに対して、独自のコンプライアンスを達成する必要があります。

対象となる Microsoft のクラウド プラットフォームとサービス

• Azure
• Microsoft Defender for Cloud Apps
• Dynamics 365
• Intune
• Office 365
• Power Automate (旧称 Microsoft Flow) クラウド サービス (スタンドアロン サービスとして、またはOffice 365またはDynamics 365ブランドプランまたはスイートに含まれるもの)
• PowerApps クラウド サービス (スタンドアロン サービスとして、またはOffice 365またはDynamics 365ブランドプランまたはスイートに含まれるもの)
• Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)

Office 365と英国の G-Cloud

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

• クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
• Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
• Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
• Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
• Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性	範囲内のサービス
商用	Exchange Online、SharePoint Online、Skype for Business

監査、レポート、証明書

Microsoft クラウド サービスが G-Cloud 契約への準拠を維持していることを確認するために、GDS 認定機関は、いつでもその裁量で証拠を確認できます。

Azure

• Azure UK G-Cloud リスク環境
• Azure UK G クラウドの残存リスク
• Intune UK G Cloud Security Cloud Assessment の概要

Dynamics 365

• Dynamics 365 UK G クラウド リスク環境

Intune

• Intune UK G クラウド リスク環境
• Intune UK G クラウドの残存リスク
• Azure UK G クラウドセキュリティ評価の概要

Office 365

• 英国 G クラウド リスク環境のOffice 365

よく寄せられる質問

誰がデジタルマーケットプレースを使用する資格がありますか?

英国のすべての政府機関、デボルブされた行政機関、地方自治体、より広範な公的機関、および腕の長さの機関は、マーケットプレースでサービスを購入する資格があります。 資格が不明な場合は、 現在のクラウンコマーシャルサービスサプライヤー のガイダンスを参照してください。

腕の長さの体とは

これは、英国政府によって資金提供されているが、独立して行動するorganizationまたは機関です。

英国のお客様にとってのローカル データセンターの場所とは何を意味し、どこに配置されていますか?

英国の Microsoft Cloud は、信頼性とパフォーマンスを英国のデータ所在地と組み合わせて提供します。 このサポートにより、お客様は、ローカルのコンプライアンスとポリシーの要件を満たすのに役立つ信頼できるクラウド サービスが提供されます。 さらに、英国全体の複数のデータセンターでデータをレプリケーションすると、純粋なクラウドとハイブリッドの両方のシナリオで、ビジネス継続性のための geo 冗長データ保護が提供されます。 英国全土の複数の場所にデータセンターがあります。

• グローバル Azure マップには、新しい Azure リージョン、英国西部、英国南部が 表示されます。
• Office 365の場合、英国のデータセンターは、新しい英国のOffice 365リージョンで構成されます。 詳細については、グローバル Office 365 マップを参照してください。

他の Microsoft EU データセンターはどこにありますか?

Microsoft クラウド サービスには、英国のデータセンターに加えて、複数の場所にデータ センターがあります。 すべてのデータの場所の最新の一覧については、「Azure のData Residency」を参照してください。

監査人のレポートのコピーを取得するにはどうすればよいですか?

Service Trust Portal では、中立的な監査によるコンプライアンス レポートを提供しています。 ポータルを使用して監査レポートを要求して、監査者が Microsoft の結果を独自の法的および規制上の要件と比較できるようにすることができます。

リソース

• 英国政府機関向けクラウド戦略
• Digital Marketplace
• Microsoft Online Services
• Microsoft Trust Center のコンプライアンス