Azure は、さまざまな規制コンプライアンス フレームワークや業界標準に準拠した、さまざまな組み込みイニシアチブを提供しています。 これらの取り組みは、データ保護、ネットワーク・セキュリティ、アクセス制御などの重要な側面をカバーしています。 堅牢な構成と制御を実施することで、Azure リソースの主権とセキュリティの地位を強化し、機密データを不正アクセスから保護できます。
Microsoft Cloud for Sovereignty は、既存の Azure 組み込みイニシアチブ とカスタムポリシー イニシアチブを、定期的にイニシアチブを追加することで拡張します。
Azure の搭載ポリシーの取り組み
Azure ビルトイン ポリシー イニシアチブは、Azure リソース全体の集中制御と特定の構成の実施を可能にする強力なツールセットです。 これらのイニシアチブは、ポリシー定義のコレクションで構成され、さまざまな規制フレームワーク、業界標準、セキュリティのベストプラクティスへの準拠をサポートします。
イニシアチブは、ガバナンスへの合理化された自動化されたアプローチを提供し、組織がコンプライアンスを大規模に管理および監視できるようにします。 ポリシーへの取り組みについては、 Azure のポリシー をご覧ください。
Azure カスタム ポリシー イニシアチブ
Azure Policy のカスタム イニシアチブを使用すると、組織独自の要件に合わせて一連のポリシーをカスタマイズし、環境にもっとも適した基準やルールを確実に適用できます。 Microsoft Cloud for Sovereignty は、いくつかのカスタム ポリシー イニシアチブとコンプライアンス マッピングを提供しています。 これらは、GitHub の industry-policy-portfolio リポジトリを通じて展開できます。 Microsoft Cloud for Sovereignty ポリシー イニシアチブは、展開のカスタマイズを支援し、環境監査に必要な時間と複雑さを軽減し、確立された規制遵守フレームワークと政府要件を満たすのに役立ちます。
Microsoft Cloud for Sovereignty ポリシーの取り組み
Microsoft Cloud for Sovereignty イニシアチブとコンプライアンス マッピングは、Azure 労災のイニシアチブを拡張するもので、ポリシーの実施を自動化し、コンプライアンス違反のリスクを低減する堅牢なガバナンス フレームワークを構築するのに役立ちます。 さらに、データ保護対策も強化しています。 組織は、利用可能な規制コンプライアンス ビルトイン イニシアチブの大規模なスイートを使用することができます。
規制コンプライアンス ポリシー イニシアチブ
Microsoft Cloud for Sovereignty は、industry-policy-portfolio リポジトリにおいて、複数の規制コンプライアンス ポリシー イニシアチブを維持しています。 このポートフォリオには、コンプライアンスの体験を開始する際に役立つ取り組みのコレクションが含まれています。
これらのイニシアチブは、Azure の組み込みポリシーとカスタムポリシーのイニシアチブとして利用可能です。 組み込みのポリシー イニシアチブは、Azure Policy ポータル ページから見つけることができます。 カスタムイニシアチブの場合は、イニシアチブをテナントに展開する必要があります。 詳細については、industry-policy-portfolio リポジトリを参照してください。 このリポジトリに含まれるポリシー イニシアチブとファイルは、出発点としての役割を果たすことを目的としています。 これらのファイルは、最終的なソリューションや包括的なソリューションを意図したものではありませんが、取り組みを始める上で役立つリソースです。
ポリシー イニシアチブに加え、industry-policy-portfolio リポジトリでは、客観的マッピングを管理するためのポリシーの枠組みや具体的なポリシーに関する情報を記載しています。
ポートフォリオには、次のポリシー イニシアチブが含まれています。
- NIS2指令 (プレビュー) は、欧州連合 (EU) 全域の重要インフラおよびデジタルサービスのサイバーセキュリティと回復力を強化し、サイバー脅威に対するより高いレベルの保護を確保します。
- スペインの国家安全保障計画 (ENS) の高レベルセキュリティ対策 は、公共機関と情報通信技術 (ICT) プロバイダーに対してセキュリティ管理を義務付け、データとサービスの保護に関するスペインおよび EU の基準の遵守を確保しています。
- ニュージーランド情報セキュリティ マニュアル (NZ ISM)は、ニュージーランド政府の情報とシステムを保護するためのプロセスと管理体制の確立を目的としています。
- 政府情報セキュリティ基準 (Baseline informatiebeveiliging Overheid、BIO) は、オランダ政府のすべてのレベル (中央政府、地方自治体、州、水質管理委員会) における情報セキュリティの基盤となる基準フレームワークです。
- イタリアのクラウド戦略 には、イタリア公共行政のデータとデジタルサービスのクラウド移行に関する戦略的ガイドラインを定めており、国家サイバーセキュリティ庁 (ACN) は、クラウド サービスとクラウドサービス インフラストラクチャの認定に関する一連の要件を発行しました。
- カスタム Azure ポリシー イニシアチブとコントロール マッピングは、クラウド セキュリティ アライアンス (CSA) のクラウド コントロール マトリクス (CCM) v4 のクラウド コンピューティングのサイバー セキュリティ コントロール フレームワークで定義されたガイドラインを満たすのに役立ちます。
- Microsoft Cloud for Sovereignty ベースライン グローバル ポリシー と Microsoft Cloud for Sovereignty ベースライン機密ポリシー。
Microsoft は最近、さらに 2 つの規制コンプライアンスの組み込みポリシー イニシアチブを公開しています。Microsoft Cloud for Sovereignty ベースライン グローバル ポリシー および Microsoft Cloud for Sovereignty ベースライン機密ポリシー。
これらの規制コンプライアンスポリシーの取り組みに関する詳細情報については、industry-policy-portfolio を参照してください。
ソブリン ベースライン ポリシーの取り組み
Microsoft Clouds for Sovereignty ポリシー イニシアチブは、主に特定のセキュリティ コントロール フレームワークに対するコンプライアンスを実証するためのものです。 ただし、ソブリン ベースライン ポリシーの取り組みは、主権制御の枠組みの補完を目的とした特別な 搭載された Azure ポリシー イニシアチブ のセットです。
ソブリン コントロールは、Azure Confidential Computing オファリングの適切な利用を支援し、既存のセキュリティ コントロールのフレームワークが一般的に要求する以上のデータ保護ガードレールを、組織が導入しやすい方法で提供します。
Sovereignty Baseline ポリシー イニシアチブは、以下のように列挙された 1 つまたは複数の主権管理目的に対応する方法で、複数の Azure ポリシーを構成する簡単な方法を組織に提供します:
- 顧客データは、顧客が定義した要件に基づき、承認された地政学的地域に所在するデータセンターで完全に保存および処理されなければなりません。
- 顧客は、クラウドおよびマネージド サービス事業者による顧客データへのアクセスを承認する必要があります。
- 顧客が定義した機密性の高い顧客データには、クラウドおよびマネージドサービスのオペレータのみが暗号化された方法でのアクセスに制限刷る必要があります。
- 顧客は、顧客が定義した機密データを復号化するために使用される鍵にアクセスできる ID を決定する排他的な制御権を持つ必要があります。
これらの管理目標は、顧客データを保存または処理するさまざまな Azure オファリングにおける適切な使用と構成をサポートすることにより、データ主権に関する懸念に対処するための Azure が推奨するベストプラクティスです。 ベースライン内に含める必要がある他の管理目標があると思われる場合は、機能要求を作成 することができます。
ソブリン ベースライン ポリシーの取り組みは、ソブリン ランディング ゾーン がプレインストールされているか、または組み込みの Azure ポリシーとして任意の Azure テナントに展開できます。
ソブリン ベースライン ポリシーの取り組みは、搭載された規制コンプライアンスの取り組みを置き換えず、フレームワークに直接マッピングできません。 組織は、すべての適切な規制の枠組みへの準拠を実証するために、既存のイニシアチブを引き続き活用すべきです。
マイクロソフトがデータ主権をどのように捉えているかについては、私たちの ホワイトペーパー をご覧ください。
重要
組織は、適用されるすべての法律および規制の遵守を確保する全責任を負います。 こちらで提供される情報は法的助言を構成するものではありませんので、規制遵守に関するご質問は、各組織の法律顧問にご相談ください。