国立標準技術研究所 (NIST) サイバーセキュリティ フレームワーク (CSF)

NIST CSF の概要

国立標準技術研究所 (NIST) は、組織がリスクを評価するのに役立つ測定基準とガイダンスを促進および維持しています。 連邦ネットワークと重要なインフラストラクチャのサイバーセキュリティの強化に関する行政命令 13636 に対応して、NIST は 2014 年 2 月に重要なインフラストラクチャ サイバーセキュリティ (FICIC) を改善するためのフレームワークをリリースしました。

FICIC のメイン優先順位は、組織がサイバーセキュリティ リスクを管理し、ビジネス効率を高めるのに役立つ一連の標準とプラクティスを確立することでした。 NIST Framework は、政府と民間セクターの両方の組織に追加の規制要件を課すことなく、サイバーセキュリティ リスクに対処します。

FICIC は、NIST の重要なインフラストラクチャ サイバーセキュリティ向上フレームワークの付録 A に記載されている NIST SP 800-53 を含む、グローバルに認識された標準を参照しています。 FICIC フレームワーク内の各コントロールは、FedRAMP Moderate Baseline 内の対応する NIST 800-53 コントロールにマップされます。

Microsoft と NIST CSF

NIST サイバーセキュリティ フレームワーク (CSF) は、サイバーセキュリティ関連のリスクを管理するための標準、ガイドライン、ベスト プラクティスで構成される任意のフレームワークです。 Microsoft Cloud サービスは、独立したサード パーティの FedRAMP Moderate および High Baseline 監査を受け、FedRAMP 標準に従って認定されています。 また、主要なセキュリティおよびプライバシー基準の開発と認定organization HITRUSTによって行われた検証された評価を通じて、Office 365はNIST CSFで指定された目的に対して認定されています。

Compliance Manager と Azure Security and Compliance Blueprint を使用して、NIST サイバーセキュリティ フレームワークのデプロイを高速化する方法について説明します。

• NIST SP 800-53 R4 ブループリント サンプルの概要
• コンプライアンス マネージャーでのOffice 365の NIST CSF 評価の詳細を確認する

対象となる Microsoft のクラウド プラットフォームとサービス

• Azure Government
• 政府機関向けDynamics 365
• Office 365

Azure、Dynamics 365、NIST CSF

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure NIST CSF オファリングに関するページを参照してください。

Office 365と NIST CSF

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

• クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
• Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
• Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
• Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
• Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性	範囲内のサービス
商用	アクティビティ フィード サービス、Bing サービス、Delve、Exchange Online、Intelligent Services、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、People カード、SharePoint Online、Skype for Business、Windows Ink

監査サイクルと認定のOffice 365

Office 365のNIST CSF認定は2年間有効です。

• Office 365 NIST CSF 認定状

よく寄せられる質問

独立した評価者は、Office 365が NIST CSF 要件をサポートしていることを検証しましたか?

はい、Office 365 2019年7月にHITRUSTからNIST CSFの認定状を取得しました。

Microsoft Cloud Servicesはフレームワークへのコンプライアンスをどのように示していますか?

Microsoft は、FedRAMP 認定のために第三者によって作成された正式な監査レポートを使用して、これらのレポートに記載されている関連するコントロールが、重要なインフラストラクチャ サイバーセキュリティを改善するための NIST Framework への準拠を示す方法を示すことができます。 Microsoft によって実装された監査された制御は、Microsoft の責任として識別された Azure、Office 365、およびDynamics 365によって格納、処理、および送信されるデータの機密性、整合性、可用性を確保するために役立ちます。

このイニシアチブに対するコンプライアンスを維持するための Microsoft の責任は何ですか?

FICIC への参加は任意です。 ただし、Microsoft は、Office 365が、管理するオンライン サービス利用規約および該当するサービス レベル契約で定義されている条件を満たしていることを確認します。

organizationに Microsoft のコンプライアンスを使用できますか?

はい。 独立したサード パーティのコンプライアンスは、Microsoft Cloud Servicesのセキュリティとプライバシーを維持するために Microsoft が実装したコントロールの有効性を証明する FedRAMP 標準に報告します。 Microsoft のお客様は、これらの関連レポートに記載されている監査されたコントロールを、独自の FedRAMP および NIST FICIC のリスク分析と認定作業の一部として使用できます。

米国 Government によって重要なインフラストラクチャと見なされる組織はどれですか?

国土安全保障省によると、化学、商業施設、通信、重要な製造、ダム、防衛産業基地、緊急サービス、エネルギー、金融サービス、食料農業、政府施設、医療と公衆衛生、情報技術、原子力(反応器材料と廃棄物)、輸送システムと水(および排水)の各部門の組織が含まれます。

一部のOffice 365 サービスがこの認定の対象に含まれていないのはなぜですか?

Microsoft は、他のクラウド サービス プロバイダーと比較して最も包括的なオファリングを提供します。 地域や業界にわたる広範なコンプライアンス オファリングに対応するために、市場の需要、顧客からのフィードバック、製品ライフサイクルに基づいて、保証の取り組みの範囲にサービスを含めます。 特定のコンプライアンス オファリングの現在のスコープにサービスが含まれていない場合、organizationは、コンプライアンス義務に基づいてリスクを評価し、そのサービス内のデータを処理する方法を決定する責任があります。 Microsoft は、お客様からのフィードバックを継続的に収集し、規制当局や監査者と協力して、お客様のセキュリティとコンプライアンスのニーズに合わせてコンプライアンスカバレッジを拡大します。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース

• Microsoft サイバー オファリングのマッピング: NIST サイバーセキュリティ フレームワーク (CSF)、CIS コントロール、ISO27001:2013、HITRUST CSF
• 重要なインフラストラクチャのサイバーセキュリティを改善するためのフレームワーク
• 連邦ネットワークと重要インフラのサイバーセキュリティ強化に関する大統領令
• Microsoft Government クラウド
• オンライン サービスの使用条件
• Microsoft Trust Center のコンプライアンス