Microsoft 365 用アプリ コンプライアンス自動化ツール
この記事では、App Compliance Automation Tool for Microsoft 365 (ACAT) の概要と、コンプライアンスを簡素化して Microsoft 365 認定資格を取得する方法について説明します。
注:
ACAT は現在パブリック プレビュー段階であり、Azure 上に構築されたアプリのみをサポートしています。 将来的には、他のクラウド上に構築されたアプリケーションや異なるクラウドの組み合わせもサポートします。
注:
ACAT パブリック プレビューにフィードバックを提供する場合は、この フォームに入力してください。 ACAT 製品チームは、メッセージを受け取ったら、できるだけ早くフォローアップを行います。
Microsoft 365 用アプリ コンプライアンス自動化ツールとは
App Compliance Automation Tool for Microsoft 365 (ACAT) は、Microsoft 365 顧客データを使用し、パートナー センターを介して発行されるアプリのコンプライアンス体験を簡素化するのに役立つ、Azure portalのサービスです。 これは、Microsoft 365 認定資格をより簡単かつ便利に完了するのに役立つ、アプリケーション中心のコンプライアンス自動化ツールです。 パブリック プレビューでは、Azure で実行されているアプリで ACAT を使用できます。
このツールを使用すると、アプリケーションのコンプライアンス境界をすばやく定義し、コンプライアンスの結果を自動的に監視し、コンプライアンス監査をより簡単に完了できます。 コンプライアンスの境界は、アプリとアプリが通信している可能性があるバックエンド システムの配信をサポートするクラウド インフラストラクチャです。
ACAT は、Microsoft 365 認定に対するより迅速な追跡を提供するだけでなく、Microsoft 365 アプリケーションのさまざまなコンプライアンス シナリオで役立ちます。
- Microsoft 365 認定の責任に関する詳細なビューと修復手順。
- コンプライアンスの結果を継続的に取得するのに役立つ自動日次レポート。
- アプリケーション ライフサイクルの初期段階でガイダンスとして使用できるセキュリティとコンプライアンスのベスト プラクティス。
ACAT の利点
アプリケーション中心のコンプライアンス体験。
- ACAT は、アプリケーションのクラウド環境のコンプライアンス評価を報告します。これにより、現在のクラウド インフラストラクチャ コンプライアンス戦略と統合できます。
- 開発者は、アプリ開発フェーズ中でも ACAT を呼び出すことができます。
Microsoft 365 の認定を受けるプロセスを高速化します。
- ACAT は、特定の Microsoft 365 認定コントロールを完全に自動化します。
- Microsoft によって積極的に開発されている自動化リストが継続的に増え続けています。
Microsoft 365 認定ワークフローとのネイティブ統合。
- ACAT は、Microsoft 365 認定目的のパートナー センターと完全に統合されています。
アプリケーションまたは環境を継続的に準拠させます。
- ACAT では、コンプライアンス評価の毎日の更新が保証され、指定したトリガー時間設定に合わせて調整されます。
- ACAT を使用すると、コンプライアンス評価をGitHub Actionsまたはその他の CI/CD パイプラインにシームレスに統合し、継続的な監視を確保できます。
ACAT の概念
規制コンプライアンス レポート
ACAT では、アプリケーションのコンプライアンス レポートを作成することで、アプリケーションのコンプライアンス状態を監査できます。 アプリケーションを構築する Azure リソースを指定することで、アプリケーションのコンプライアンス境界を定義できます。 異なる開発環境とステージに基づいて、1 つのアプリケーションに対して複数のレポートを作成します。
レポートが作成されると、ACAT は定義済みのトリガー時間に関するコンプライアンス データの収集を開始し、コンプライアンス結果をレポートとして生成します。 一方、ACAT は、レポートを削除するまで、コンプライアンス レポートのコンプライアンスの変更を継続的に監視し続けます。
Microsoft 365 認定制御
ACAT は、コンプライアンス制御を自動化することで、Microsoft 365 認定資格を迅速化します。 自動化の状態に基づいて、ACAT で定義されているコンプライアンス制御には 3 種類があります。
- 完全に自動化された制御: Microsoft の認定コントロールは、ACAT によって完全に自動化されています。
- 部分的な自動手動制御: ACAT は、Microsoft 365 認定制御の部分的な責任を自動化できます。 残りの責任を完了するには、ACAT が提供する指示に従う必要があります。
- 完全な手動制御: ACAT によって提供される指示に従って、すべての責任を完了する必要があります。
長期的には、ACAT は Microsoft 365 認定コントロールの自動化カバレッジを継続的に改善します。
お客様の責任
満足する必要がある各コントロールには、一連の顧客責任が関連付けられています。 これらは、データ、エンドポイント、アカウント、アクセス管理など、ユーザーが保持する責任です。
ACAT は、顧客の責任ごとにデータを収集し、その評価結果を返します。 また、Microsoft 365 認定基準に準拠するのに役立つガイダンスである修復アクションも提供されます。
Microsoft 365 認定コントロールのコンプライアンス状態を理解する
規制コンプライアンス レポートでは、ACAT は、完全に自動化された制御と部分的な自動化された手動制御ごとに、顧客の責任を定義します。 顧客の責任には、2 つのコンプライアンス状態があります。
- 合格: この顧客の責任に適用できるクラウド リソースは正常です。
- 失敗: 少なくとも 1 つのクラウド リソースが異常です。 修復手順に従って、異常なリソースを解決できます。
- N/A: クラウド リソースはお客様の責任に適用されません。または、このレポートのアプリケーション構成に基づいて、この顧客の責任が適用できないと見なされます。
- アプリ コンプライアンス レビューが必要: 証拠を手動で収集し、この顧客の責任にアップロードします。 アナリストは、Microsoft パートナー ネットワークで Microsoft 365 認定要求を送信した後、徹底的なレビューを行います。
Microsoft 365 認定コントロールのコンプライアンス状態は、お客様の責任のコンプライアンス状態に依存します。
- 合格: この Microsoft 365 認定コントロールの [失敗] または [アプリ コンプライアンス レビューが必要] の状態では、お客様の責任は負いません。
- 失敗: この Microsoft 365 認定コントロールに関連して、少なくとも 1 つの顧客の責任が失敗しました。
- N/A: この Microsoft 365 認定コントロールに対するすべてのお客様の責任は、"N/A" 状態です。
- アプリ コンプライアンス レビューが必要: 少なくとも 1 つの顧客の責任が "アプリ コンプライアンス レビューが必要" 状態です。 アナリストは、Microsoft パートナー ネットワークで Microsoft 365 認定要求を送信した後、徹底的なレビューを行います。
FAQ
手動コントロールと部分的に自動化されたコントロールとは
各コンプライアンス制御は特定の顧客責任セットにリンクされ、ACAT はそれに応じてコンプライアンス データを収集します。 ACAT では、Microsoft 365 サーティフィケーションのすべてのコントロールがカバーされているわけではありません (ただし、カバレッジの拡大に向けた取り組みが進行中です)。 部分的に自動化された制御の場合、ACAT は顧客の責任の特定の側面を自動化します。 部分的に自動化された制御による評価結果は Microsoft 365 認定監査に貢献し、残りの要件を満たすためには、追加のアクションが必要です。 ただし、手動制御の場合、ACAT は現在、顧客の責任を自動化しません。
コントロールが完全に自動化されているかどうかを確認するにはどうすればよいですか?
ACAT は、制御の自動化を継続的に強化します。 コントロールオートメーションの現在の状態を次に示します。
| セキュリティ ドメイン | コントロール ファミリ | コントロール番号 | ACAT Automation の状態 |
|---|---|---|---|
| 運用セキュリティ | 意識向上トレーニング | コントロール 1 | Manual |
| 運用セキュリティ | マルウェア対策 - ウイルス対策 | コントロール 2 | 完全自動化 |
| 運用セキュリティ | マルウェア保護 - アプリケーション制御 | コントロール 3 | Manual |
| 運用セキュリティ | パッチ管理 - パッチの適用 & リスクランキング | コントロール 4 | Manual |
| 運用セキュリティ | パッチ管理 - パッチの適用 & リスクランキング | コントロール 5 | Manual |
| 運用セキュリティ | 脆弱性スキャン | コントロール 6 | 完全自動化 |
| 運用セキュリティ | 脆弱性スキャン | コントロール 7 | 完全自動化 |
| 運用セキュリティ | ネットワーク セキュリティ制御 (NSC) | コントロール 8 | 部分自動化 |
| 運用セキュリティ | ネットワーク セキュリティ制御 (NSC) | コントロール 9 | 部分自動化 |
| 運用セキュリティ | 変更コントロール | コントロール 10 | Manual |
| 運用セキュリティ | 変更コントロール | コントロール 11 | Manual |
| 運用セキュリティ | セキュリティで保護されたソフトウェアの開発/展開 | コントロール 12 | Manual |
| 運用セキュリティ | セキュリティで保護されたソフトウェアの開発/展開 | コントロール 13 | Manual |
| 運用セキュリティ | アカウントの管理 | コントロール 14 | 部分自動化 |
| 運用セキュリティ | アカウントの管理 | コントロール 15 | Manual |
| 運用セキュリティ | アカウントの管理 | コントロール 16 | Manual |
| 運用セキュリティ | セキュリティ イベント ログ、確認、およびアラート | コントロール 17 | 部分自動化 |
| 運用セキュリティ | セキュリティ イベント ログ、確認、およびアラート | コントロール 18 | 完全自動化 |
| 運用セキュリティ | セキュリティ イベント ログ、確認、およびアラート | コントロール 19 | Manual |
| 運用セキュリティ | セキュリティ イベント ログ、確認、およびアラート | コントロール 20 | Manual |
| 運用セキュリティ | 情報セキュリティ リスク管理 | コントロール 21 | Manual |
| 運用セキュリティ | 情報セキュリティ リスク管理 | コントロール 22 | Manual |
| 運用セキュリティ | 情報セキュリティ リスク管理 | コントロール 23 | Manual |
| 運用セキュリティ | 情報セキュリティ リスク管理 | コントロール 24 | Manual |
| 運用セキュリティ | セキュリティ インシデント対応 | コントロール 25 | Manual |
| 運用セキュリティ | セキュリティ インシデント対応 | コントロール 26 | Manual |
| 運用セキュリティ | セキュリティ インシデント対応 | コントロール 27 | Manual |
| 運用セキュリティ | 事業継続計画 (BCP) とディザスター リカバリー 計画 | コントロール 28 | Manual |
| 運用セキュリティ | 事業継続計画 (BCP) とディザスター リカバリー 計画 | コントロール 29 | Manual |
| 運用セキュリティ | 事業継続計画 (BCP) とディザスター リカバリー 計画 | コントロール 30 | Manual |
| データ処理のセキュリティ & プライバシー | 転送中のデータ | コントロール 1 | 完全自動化 |
| データ処理のセキュリティ & プライバシー | 転送中のデータ | コントロール 2 | Manual |
| データ処理のセキュリティ & プライバシー | 保存データ | コントロール 3 | 完全自動化 |
| データ処理のセキュリティ & プライバシー | データの保持、バックアップ、破棄 | コントロール 4 | Manual |
| データ処理のセキュリティ & プライバシー | データの保持、バックアップ、破棄 | コントロール 5 | Manual |
| データ処理のセキュリティ & プライバシー | データの保持、バックアップ、破棄 | コントロール 6 | Manual |
| データ処理のセキュリティ & プライバシー | データの保持、バックアップ、破棄 | コントロール 7 | Manual |
| データ処理のセキュリティ & プライバシー | データ アクセス管理 | コントロール 8 | Manual |
| データ処理のセキュリティ & プライバシー | データ アクセス管理 | コントロール 9 | Manual |
| データ処理のセキュリティ & プライバシー | プライバシー | コントロール 10 | Manual |
| データ処理のセキュリティ & プライバシー | プライバシー | コントロール 11 | Manual |
| データ処理のセキュリティ & プライバシー | GDPR | コントロール 12 | Manual |
| データ処理のセキュリティ & プライバシー | GDPR | コントロール 13 | Manual |
| データ処理のセキュリティ & プライバシー | HIPAA | コントロール 14 | Manual |
| データ処理のセキュリティ & プライバシー | HIPAA | コントロール 15 | Manual |
修復の提案に基づいて提案された変更を行いましたが、コントロールはまだ失敗しています
エラーに対処するための修正アクションを実行した後、ACAT で制御状態の更新された評価結果を取得する時間を許可してください。 評価は、所定のトリガー時間に従って 24 時間ごとに行われます。
認定プロセスでコンプライアンス レポートはどのように使用されますか?
ACAT は パートナー センター とシームレスに統合され、Microsoft 365 認定資格の体験を完了します。 コンプライアンス レポートを使用して Microsoft 365 認定資格を加速する方法の詳細