ISO/IEC 27017 の概要
ISO/IEC 27017:2015 の実践コードは、ISO/IEC 27002:2013 に基づくクラウド コンピューティング情報セキュリティ管理システムを実装する際に、クラウド サービスの情報セキュリティ制御を選択する組織のリファレンスとして機能します。 クラウド サービス プロバイダーは、一般的に受け入れられる保護制御を実装するためのガイダンス ドキュメントとしても使用できます。
この国際規格は、ISO/IEC 27002 に基づく追加のクラウド固有の実装ガイダンスを提供します。 制御、実装ガイダンス、その他の情報については、ISO/IEC 27002:2013 の句 5-18 を参照して、クラウド固有の情報セキュリティの脅威とリスクに対処するための追加のコントロールを提供します。 具体的には、この規格は ISO/IEC 27002 の 37 コントロールに関するガイダンスを提供します。また、ISO/IEC 27002 では重複しない 7 つの新しいコントロールも備えています。 これらの新しいコントロールは、次の重要な分野に対応しています。
- クラウド コンピューティング環境で共有される役割と責任
- 契約終了時におけるクラウド サービスのお客様の資産の削除と返却
- 顧客の仮想環境を他の顧客の環境から保護および分離する
- ビジネス ニーズに応じた仮想マシンの要塞化要件
- クラウド コンピューティング環境の管理運用の手順
- クラウド コンピューティング環境内の関連アクティビティに対する監視手段の提供
- 仮想ネットワークと物理ネットワークのセキュリティ管理の連携
Microsoft と ISO/IEC 27017
ISO/IEC 27017 は、クラウド サービス プロバイダーとクラウド サービスお客様の両方にガイダンスを提供している点で独特です。 また、クラウド サービスお客様がクラウド サービス プロバイダーに期待できることに関する実際的な情報も示しています。 お客様が ISO/IEC 27017 から直接得られるメリットとして、クラウドにおける共同責任を理解できます。
Microsoft のスコープ内のクラウド プラットフォームとサービス
- Azure、Azure Government、Azure Germany
- Microsoft Defender for Cloud Apps
- Dynamics 365、Dynamics 365、Dynamics 365 ドイツ
- Intune
- Microsoft Defender for Endpoint
- Microsoft Graph
- Microsoft Healthcare Bot
- Microsoft マネージド デスクトップ
- Office 365、Office 365 米国政府、Office 365 米国防総省、Office 365 Germany
- Power Automate (旧称 Microsoft Flow) スタンドアロン サービス、または Office 365 や Dynamics 365 ブランド プランあるいはスイートに搭載されているサービスとしてのクラウド サービス
- Power Apps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
- Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに組み込まれているサービス)
- Power BI Embedded
- Windows 365 Business
Azure、Dynamics 365、ISO 27017:2015
Azure、Dynamics 365、およびその他のオンライン サービス コンプライアンスの詳細については、Azure ISO 27017 サービスを参照してください。
Office 365 と ISO 27017:2015
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Access Online、Microsoft Entra ID、Azure Communications Service、Compliance Manager、Customer Lockbox、Delve、Exchange Online、Exchange Online Protection、Forms、Griffin、Identity Manager、Lockbox (Torus)、Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 カスタマー ポータル、Office 365のMicrosoft Defenderマイクロサービス (Kaizala、ObjectStore、Sway、PowerPoint Online Document Service、Query Annotation Service、School Data Sync、Siphon、Speech、StaffHub、eXtensible Application Program)、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、Office Services Infrastructure、OneDrive、Planner、PowerApps、Power Automate、Power BI、Power BI、Office 365 セキュリティ &Project Online、Microsoft Purview カスタマー キーを使用したサービス暗号化、SharePoint Online、Skype for Business、Stream、ホワイトボード |
| GCC | Microsoft Entra ID、Azure Communications Service、Compliance Manager、Delve、Exchange Online、フォーム、Office 365、Microsoft Teams、MyAnalytics のMicrosoft Defender、Office 365 Advanced Complianceアドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream、ホワイトボード |
| GCC High | Microsoft Entra ID、Azure Communications Service、Exchange Online、フォーム、Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオンのMicrosoft Defender、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、ホワイトボード |
| DoD | Microsoft Entra ID、Azure Communications Service、Exchange Online、フォーム、Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオンのMicrosoft Defender、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive、Planner、Power BI、SharePoint Online、Skype for Business |
Office 365 監査、レポート、証明書
Microsoft クラウド サービスは、年 1 回、ISO/IEC 27001:2013 の認定プロセスの一環として、ISO/IEC 27017:2015 実施基準に関する監査を受けています。
よく寄せられる質問
この標準はだれに適用されますか?
この実施基準では、クラウド サービス プロバイダーとクラウド サービスお客様の両方にコントロールと実装のガイダンスが提供されています。 ISO/IEC 27002:2013 に似た形式で構成されています。
ISO/IEC 27017:2015 に関するMicrosoftコンプライアンス情報はどこで確認できますか?
Azure、Intune、Power BI の ISO/IEC 27017:2015 認定証をダウンロードできます。
Microsoft サービスの ISO/IEC 27017 コンプライアンスを私の組織の認定プロセスに利用できますか?
はい。 ビジネスで求められているのが、Microsoft の適用エンタープライズ クラウド サービスのいずれかに展開されている実装の認定である場合は、Microsoft の関連認定をコンプライアンス評価で利用できます。 ただし、評価者がコンプライアンスの実装を評価し、独自のorganization内の制御とプロセスを評価する責任を負います。
該当する監査レポートのコピーはどのようにして入手できますか?
Service Trust Portal では、独立している第三者監査レポートと他の関連資料が提供されています。 このポータルを利用して、お客様の規制要件に役立つ資料をダウンロードおよび確認できます。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。