Microsoft 365 認定を開始するときに ISV (独立系ソフトウェア ベンダー) から寄せられる一般的な質問を次に示します。 ここで取り上げられないクエリがある場合は、 AppCert@Microsoft.com経由で Microsoft 365 アプリ認定チームにお問い合わせください。 このドキュメントは ISV を対象としています。Microsoft 365 セキュリティおよびコンプライアンス プログラムに関する一般的な情報は 、Microsoft 365 アプリ コンプライアンス プログラム ページにあります。
いいえ。これらの業界で認識されているフレームワークのいずれかを取得することは、Microsoft 365 認定資格の要件ではありません。
簡単な答えは [はい] です。 現在、Microsoft 365 認定仕様では、PCI DSS、SOC 2、ISO27001外部フレームワークの証拠を受け入れます。 Microsoft 365 認定申請ガイドは、これらの既存の外部フレームワークが揃っている場所にマップされています。ただし、既存の標準/フレームワークが適切に整合していない場合があります。 このため、Microsoft 365 認定チームは、提供された標準/フレームワークの証拠のレビューを実施し、Microsoft 365 認定資格内のどのコントロールが満たされているかを示します。
Microsoft は、Microsoft 365 認定資格に対する GDPR 準拠の独立したレビューを必要としません。これは、外部レビューがいつ行われなかったかを個別に確認できる自己構成証明を受け入れるシナリオです。 これは監査よりも評価の多くであり、プロセス中に収集する証拠に関しては、プライバシー ポリシーと内部プロセスを確認することは、GDPR 管理にアプローチした方法です。 GDPR コントロールで探しているものの目的のために、基本的な GDPR 要件を満たしていることを確認するためのプライバシー ポリシーの確認が主に含まれます。たとえば、処理されている個人データ、処理の適法性、データ主体の権利の指摘、ユーザーによるサブジェクト アクセス要求 (SAR) の実行方法、ISV による SA の引き受け方法、ISV 企業の詳細、データ保持の詳細などです。
はい。見つかった問題によっては、再テストが必要になる場合があります。 認定アナリストは、既存のレポートを確認し、次の手順に関するアドバイスを提供します。 侵入テストは Microsoft 365 サーティフィケーションの一部として提供されるため、これは無料で新しい侵入テストによって解決される可能性があります。
はい。送信する情報の一部は公開情報であり、一部は機密情報である可能性があります。 Microsoft に既存の NDA がある場合は、送信した機密情報に NDA の条項が適用されます。 Microsoft と NDA をお持ちでない場合は、パートナー センター内で署名したパブリッシャー契約の機密性条件が、その機密情報に適用されます。
現時点では、パートナー センターを使用してこの情報を安全に共有することをお勧めします。 多くの ISV は、パートナー センターを利用して、データが安全かつ効率的に共有されるようにします。
Microsoft 365 認定コントロールの一部を満たすために追加のセキュリティ プロセスをいくつか実装したばかりですが、これは、認定を受けるまで 12 か月待たなければならないことを意味しますか?
いいえ。Microsoft は、既存のセキュリティ プロセスと Microsoft 365 認定資格から期待される内容との間のギャップを埋めるために、追加のセキュリティ プロセスを開発する必要がある可能性があることを認識しています。 Microsoft 365 認定チームは、新しく開発された文書化されたプロセスをレビューし、プロセスが少なくとも 1 回実行されたことを示す証拠を確認します。 また、これらの新しく開発されたプロセスでは使用できないので、歴史的証拠は必要ありません。 12か月後、歴史的証拠のサンプルは、年次評価中に評価され始めます。
評価中、認定アナリストは、提供されたドキュメントと証拠を確認して、Microsoft 365 認定コントロールへの準拠を評価します。 この作業の一環として、Microsoft 365 認定チームは、アーキテクチャの詳細、図、データ ストレージの詳細、アプリの設計の詳細、ポリシーとプロセス ドキュメント、構成ファイルとスクリーンショットを含む情報を要求します。 場合によっては、またはそれが簡単な場合は、サーフィケーション アナリストの証拠を示すスクリーン共有セッションを手配できます。 既存のコンプライアンス フレームワークを使用して評価アクティビティをサポートする場合は、外部監査員/評価者が評価し、実施中と確認した内容を示す適切なドキュメントが必要です。 サポート ドキュメントでは、外部セキュリティ フレームワーク内の制御がどのように満たされているかを正確に示すために必要な説明を提供できない場合、Microsoft 365 認定チームは、Microsoft 365 認定評価をサポートする外部セキュリティ フレームワークを利用できません。
Microsoft 365 認定資格を満たすためにインフラストラクチャに大幅な変更が必要になることはほとんどありません。 コントロールは業界のセキュリティのベスト プラクティスに基づいており、ほとんどの場合、既に実装されます。 私たちはほとんどの場合見てきました。ISV は、現在の作業方法と Microsoft 365 認定資格内で必要なものの間のギャップを埋めるために、内部プロセスを更新する必要がありました。 これが懸念される場合は、Microsoft 365 認定の概要に記載されている最新の Microsoft 365 認定 コントロールを確認して、現在デプロイされている環境と作業プラクティスが定義されているコントロールを満たしていることを確認することをお勧めします。
Microsoft は、Microsoft 365 認定コントロールを満たすためのソリューションに関する特定の推奨事項を提供していません。 商用またはオープンソースのオファリングは、アクティブにサポートおよび保守されている場合に使用できます。
通常、評価は、完全な証拠レビュー ステージの開始から完了するまでに平均 60 日かかる場合があります。 ただし、これは、アプリ/アドインをサポートするために使用されるホスティング環境のサイズ、アプリ/アドインをサポートするホスティング環境の種類、ISV が証拠要求に応答する際のプロンプトなど、多くの変数によって異なります。
ほとんどの作業は、ドキュメントと証拠をタイムリーに収集するだけです。 その後、週に数時間を超える必要はありません。評価プロセスを完了します。 必要な時間に影響を与える可能性のある変数には、環境のサイズと、評価をサポートするために利用できる外部セキュリティ フレームワークがあるかどうかがあります。
既に収集された証拠は、評価にかかる時間が長いほど古くなる可能性があるため、評価を実行できる時間の長さに制限を設定しました。 これはポイント イン タイム評価であるため、完了に適切な期間を割り当てる必要があります。 お客様が最初のドキュメントの提出を送信し、お客様の環境に適用されるコントロールのスコープが正常に設定された後、Microsoft は証拠の要求に応答します。 このステージは、完全な証拠レビューと呼ばれます。 Microsoft 365 認定の概要を読む必要があり、最初のドキュメントの提出を送信する前にすべてのコントロールを満たすことができることを確信している必要があります。
残念ながら、60 日間に評価が完了しない場合、Microsoft は評価に対して失敗をマークします。 このマークは内部統計専用であり、公開されることはありません。 評価プロセスをすぐに再起動できますが、新しいアプリケーションをサポートするために新しい証拠を再送信するように要求されます。
現時点では、Microsoft 365 認定資格を完了することは無料です。 侵入テストに関連する可能性のある料金については、以下を参照してください。
Microsoft 365 サーティフィケーション プログラムの一環として、侵入テストは最大 12 日間、再テスト日は 2 日間無料で、追加の日数は課金されます。 キャンセルが遅れる場合は、追加料金が発生する場合があります。 侵入テストの範囲は、アプリと、Microsoft 365 認定資格の範囲内にあるサポート インフラストラクチャに限定されます。
完了すると、ISV は無料のデジタル マーケティング キットを受け取り、アプリを Microsoft 365 Certified として宣伝します。
Microsoft 365 認定評価中に提供される証拠は、評価される特定の Microsoft 365 認定コントロールを満たしているという十分な保証を提供できる必要があります。 証拠は、構成ファイル、設定または証拠のスクリーンショット、ポリシー/手順のドキュメント、または認定アナリストに証拠を示すスクリーンシェアリング セッションの形式にすることができます。 次の 2 つの例を示します。
評価アクティビティ: "サンプリングされたすべてのシステム コンポーネントでウイルス対策ソフトウェアが実行されていることを示します":このコントロールでは、ウイルス対策プロセスが実行されていることを示すウイルス対策プロセスをサポートするサンプル内のすべてのデバイスのスクリーンショットを提供できます。または、ウイルス対策の一元的な管理コンソールがある場合は、その管理コンソールからデモすることができます。
評価アクティビティ: "新しいセキュリティの脆弱性がどのように識別されるかを示します":このコントロールは、パッチ管理セクションにあります。 意図は、新しいセキュリティの脆弱性を特定する方法について正式に文書化されたプロセスを持っていることです。 これはソース コード内にある可能性がありますが、Windows の脆弱性、Web の依存関係内の脆弱性 (AngularJS、JQuery など) など、サポート環境内にある必要もあります。 新しいセキュリティの脆弱性を特定するために従う文書化されたプロセスが必要であるため、文書化されたプロセス ドキュメントを提供する必要があります。 ドキュメントに加えて、プロセスに従っていることを示す証拠を提供する必要があります。たとえば、npm 監査のようなものを利用して脆弱性の依存関係をチェックする場合、レポートのサンプルを提供すると証拠が提供されます。 複数のプロセス (つまり、異なるシステム コンポーネント) を使用している場合は、すべてのプロセスの証拠を提供する必要があります。