会社の Web サイトへのリンクを入力します。
会社またはアプリケーションのホームページへのリンク。
アプリの利用規約へのリンクを入力します。
これは、アプリ サービス情報から事前に設定されたデータです。 必要に応じて更新してください。
アプリのコア機能を 500 文字以下で説明します。
これは、アプリ サービス情報から事前に設定されたデータです。 必要に応じて更新してください。
会社が本社を置く国または地域を選択します。
これは、さまざまな国/地域のデータ処理のプラクティスと規制に関連するため、必要です。
アプリに情報ページがありますか?
アプリ情報は、アプリケーションで実行できる操作の概要を示します。
アプリの情報ページへのリンクを入力します。
アプリケーションに関する詳細情報を示すページへのリンク。 このページがない場合は、[いいえ] をマークしてください。
アプリを実行するために使用されるホスティング環境またはサービス モデルは何ですか?
バックエンド サービスまたはコード リポジトリのホスティング環境は、Microsoft 365 認定資格のスコープ内にあります。 ホスティングの種類を特定してください。IaaS = サービスとしてのインフラストラクチャ、PaaS/Serverless = サービスとしてのプラットフォーム、ISV ホステッド = ホスティング環境は、自分で所有または運営されています (つまり、独自のデータ センターまたはサード パーティのデータ センター内の共同場所)、ハイブリッド = 環境は複数のホスティングの種類 (ISV Hosted と PaaS) で構成できます。
アプリが使用するクラウド ホスティング プロバイダーは何ですか?
例としては、Microsoft Azure、Amazon AWS、Google..などがあります。これには、会社に固有のソリューションも含まれる場合があります。
アプリまたは基になるインフラストラクチャで、Microsoft 顧客またはそのデバイスに関連するデータが処理されますか?
アプリで Microsoft Graph や顧客テナントなどの Microsoft リソース エンドポイントから使用される任意のデータなどの Microsoft 顧客データを処理または格納する場合は、[はい] を選択します。 そうでない場合は、[いいえ] を選択します。
アプリによって収集または処理されるデータは何ですか?
ユーザー プロファイル データ、ユーザー メール データなど、アプリによって処理される特定の種類のデータを指定します。
アプリは TLS 1.1 以降をサポートしていますか?
トランスポート層セキュリティ (TLS) 1.1 以降は、コンピューター ネットワーク経由で暗号化チャネルを確立するためのセキュリティ プロトコルです。 TLS を使用すると、傍受攻撃と中間者攻撃の両方を防ぐことができます。 お客様にクラス最高の暗号化を提供するために、アプリは TLS 1.1 以降をサポートしていますか?
アプリまたは基盤となるインフラストラクチャは、Microsoft の顧客データを処理または保存しますか?
アプリまたは基になるインフラストラクチャは、Microsoft の顧客データを格納しますか? |アプリで Microsoft Graph や顧客テナントなどの Microsoft リソース エンドポイントから使用される任意のデータなどの Microsoft 顧客データを処理または格納する場合は、[はい] を選択します。 そうでない場合は、[いいえ] を選択します。
データベースに格納されているデータは何ですか?
ユーザー プロファイル データ、ユーザー メール データ、テナント ID などのテナント情報、ユーザー通信 ID など、データベースに格納されている特定の種類のデータを指定します。
基になるインフラストラクチャが Microsoft 顧客データを処理または格納する場合、このデータは地理的にどこに格納されますか?
Microsoft 顧客データを格納するリージョンを指定します。 例 ドイツ、日本。
データのレンタルと廃棄プロセスが確立されていますか?
顧客がデータの削除または登録解除を要求した場合、organizationはデータの格納または削除に関する厳格な基準に従っていますか?
アカウント終了後にユーザー データを保持する期間はどのくらいですか?
顧客がサービスを終了した後の顧客情報の保存期間を指定します。
顧客データ、暗号化キー、シークレットへのすべてのアクセスを管理するための確立されたプロセスはありますか?
暗号化は、アクセスを制限するため、セキュリティに不可欠なツールKey Vault、アプリケーションとユーザーが複数の種類のシークレット/キー データを格納して使用できるようにします。 顧客データ、暗号化キー/シークレットへのアクセスはすべて処理され、収集され、分析され、管理されますか? この情報は、データ処理とセキュリティプラクティスに関連するため必要です。
アプリは Microsoft の顧客データまたは顧客コンテンツをサード パーティまたはサブプロセッサに転送しますか?
顧客データには、従業員のユーザー名または ID、場所、人の情報、ユーザー固有の IP アドレスなどがあります。organization Microsoft の顧客データまたは顧客コンテンツをサード パーティまたはサブプロセッサに転送する場合は、[はい] を選択します。 そうでない場合は、[いいえ] を選択します。
Microsoft 顧客データを共有するサード パーティサービスとデータ共有契約はありますか?
サードパーティサービスは、コールセンター、BPO、データ入力などです。Microsoft の顧客データをこれらのサード パーティサービスと共有する契約がある場合は、[はい] を選択します。 そうでない場合は、[いいえ] を選択します。
セキュリティ
アプリで毎年侵入テストを実行していますか?
侵入テスト (ペン テストとも呼ばれます) は、コンピューター システム、ネットワーク、または Web アプリケーションをテストして、攻撃者が悪用する可能性のあるセキュリティの脆弱性を見つける方法です。
サービスには、バックアップと復元の戦略を含む文書化されたディザスター リカバリー 計画がありますか?
自然災害、停電、サイバー攻撃、その他の破壊的なイベントなどの計画外のインシデントに対応する方法の詳細な手順を含むディザスター リカバリー (DR) プランの正式なドキュメントがorganizationにある場合は、[はい] を選択します。 そうでない場合は、[いいえ] を選択します。
ご使用の環境では、従来のマルウェア対策保護またはアプリケーション制御を使用していますか?
アンチマルウェアは、ウイルス対策ソフトウェアが処理するために装備されていない、より新しい、より革新的なウイルスに対するプロアクティブなソリューションを提供します。 アプリケーション コントロールは、入力、処理、および出力関数を制御します。 適切なオプションを選択する
セキュリティの脆弱性を識別して、リスクをランク付けするための確立されたプロセスがありますか?
この情報は、セキュリティ プラクティスに関連するため必要です。
パッチを適用するためのサービス レベル アグリーメント (SLA) を管理するポリシーがありますか?
ウイルス対策、ファイアウォール、またはスパイウェア対策の保護をサブスクライブするたびに、コンピューターがこのようなウイルスを検出して取り除くのに役立つ変更、改善、または新しいパラメーターを特定するために、システム ファイルを継続的に更新する必要があります。 これらはセキュリティ パッチと呼ばれます。 パッチを適用するためのサービス レベル アグリーメント (SLA) を管理するポリシーがある場合は、[はい] を選択します。 そうでない場合は、[いいえ] を選択します。
ボットは個人を特定できる情報 (PII) にアクセスできますか?
PII は、特定の人物を識別するために使用できる任意のデータです。 例 名前、電子メール アドレス。
PII にアクセスするための正当な理由を追加します。
例は、Microsoft Docs ページで見つけ、アプリをクリックし、[データ処理] をクリックすると、ボットを介したデータ アクセスの他の正当な理由の例を確認できます。
保存されている PII は何ですか?
個人を特定できる情報 (PII) は、特定の人物を識別するために使用できる任意のデータです。 例 名前、電子メール アドレス。
PII を格納するための正当な理由を追加します。
個人を特定できる情報を保存する必要があるのはなぜですか?
アプリがこれらの API を介して収集する組織を特定できる情報 (OII) を一覧表示します。
OII は、organization/テナントを識別するために使用できる任意のデータです。 例 テナント ID または IP アドレス、テナント使用状況データ、メール アドレス内のテナント ドメイン名 (joe@contoso.com)。
アプリが格納する OII の種類
Organiaztional の識別可能な情報 (OII) は、organization/テナントを識別するために使用できる任意のデータです。 例 テナント ID または IP アドレス、テナント使用状況データ、メール アドレス内のテナント ドメイン名 (joe@contoso.com)。
OII を格納するための正当な理由を追加します。
組織を特定できる情報を格納する必要があるのはなぜですか?
エンド ユーザーを特定できる情報 (EUII) または OII を Microsoft 以外のサービスと譲渡または共有しますか?
|EUII は、顧客データを識別するために使用できる任意のデータです。 例 従業員ユーザー名または ID、ユーザーの位置情報、ユーザー固有の IP アドレス。 |
OII を転送するすべての Microsoft 以外のサービスを一覧表示します。
例 Google Cloud、AWS
organizationの管理者がパートナー システムで情報を制御する方法について説明します。
例 暗号化、2FA
ユーザーはアプリ内でデータを分類できますか?
例 制限付き、機密、インターナル、パブリック
多要素認証
多要素認証 (MFA) は、複数の資格情報を必要とすることでユーザーの ID を検証するセキュリティ システムです。 MFA では、ユーザー名とパスワードを求めるだけでなく、ユーザーのスマートフォンからのコード、セキュリティの質問に対する回答、指紋、顔認識などのその他の資格情報が必要です。
特定の IP アドレスの制限
IP 制限設定は、サービス内の特定のリソースにアクセスできる IP を制限またはアクセスするために使用されます。 IP 制限をサポートするアプリの場合、organization管理者は、organization内の任意のユーザーがユーザー インターフェイスまたは API を介してシステムにアクセスするために使用できる IP アドレスを制限できます。
ユーザー アカウントごとの監査証跡
監査証跡は、サポート、ドキュメント、履歴を提供するためにイベントまたは手順を時系列でカタログ化する電子レコードであり、セキュリティと運用のアクションを認証したり、課題を軽減したりするために使用されます。 ユーザー監査証跡には、ログイン試行、ファイルへのアクセスなどのユーザー アクティビティに関する情報が含まれます。
アプリで監査証跡を管理する
管理監査証跡には、新しいアクセス許可の付与、構成の変更、API 呼び出しなどの管理者アクティビティが含まれます。
アプリのデータ監査証跡
データ監査証跡は、最後に変更された属性がいつだったか、レコードの以前の値だったもの、誰が変更したかなど、データベースの変更のアクティビティに含まれます。
アプリのパスワード ポリシーはありますか?
例 パスワードの最小長、文字の組み合わせ、古いパスワードの再利用を禁止する、個人の情報 (名前、電子メールなど) の使用を禁止する、一定期間後にパスワードの更新を強制する。
認証を交換するためのセキュリティ アサーション マークアップ言語 (SAML) 標準をサポートしますか?
セキュリティ アサーション マークアップ言語 - SAML - は、特に ID プロバイダーとサービス プロバイダーの間で、パーティ間で認証と承認データを交換するためのオープン標準です。
侵入テストを実行して、アプリとその関連サービスのネットワークの脆弱性を検出して評価しますか?
侵入テスト (ペン テストとも呼ばれます) は、コンピューター システム、ネットワーク、または Web アプリケーションをテストして、攻撃者が悪用する可能性のあるセキュリティの脆弱性を見つける方法です。
コンプライアンス
アプリは医療保険の携行性と会計に関する法律 (HIPPA) に準拠していますか? HIPPAは、個人を特定できる健康情報の機密性とセキュリティを保護するための基準を設定する米国の法律です。
これは、医療サービスに関連するアプリを持つ米国ベースの企業と米国以外の企業の両方に必要です。
アプリは Health Information Trust Alliance Common Security Framework (HITRUST CSF) に準拠していますか?HITRUST CSF は、情報セキュリティ規制と標準の要件を調和する一連のコントロールです。
これは、医療サービスに関連するアプリや、ヘルトケア サービスにサービスを提供するアプリに必要です。
アプリは、Service Organization Controls (SOC 1) に準拠していますか? 財務レポートに対するユーザー エンティティの内部コントロールに関連するサービス organizationでのコントロールに関するレポート。
これは、金融サービスに関連するか、金融機関にサービスを提供するアプリを持つ米国ベースの企業と米国以外の企業の両方に必要です
アプリは Service Organization Controls (SOC 2) に準拠していますか?
セキュリティ、プライバシー、可用性、機密性、処理の整合性に関する 1 つ以上の信頼サービス基準に基づく非財務処理に関するレポート。詳細情報
どの SOC 2 認定を達成しましたか?
両方を取得した場合は、タイプ 1 またはタイプ 2 を選択し、タイプ 2 を選択します
アプリは、Service Organization Controls (SOC 3) に準拠していますか?
信頼サービスの条件に基づくレポート。これは自由に配布され、選択した条件の要件を満たしているという経営陣のアサーションのみが含まれている場合があります。 詳細情報
このアプリとそのサポート環境に対して年間 PCI DSS 評価を実行しますか?
Payment Card Industry (PCI) Data Security Standards (DSS) は、クレジット カードのデータを安全に管理して不正利用を防ぐ目的で策定されたグローバル情報セキュリティ基準です。 PCI DSS への準拠は、支払いデータとカード所有者データを格納、処理、または送信するorganizationに必要です。詳細情報
アプリの国際標準化機構 (ISO 27001) は認定されていますか?
ISO 27001は、organization内の情報セキュリティ管理を開始、実装、改善するための国際的に認められたガイドラインと一般的な原則を支持する企業に与えられる証明書です。詳細情報
アプリは国際標準化機構 (ISO 27018) に準拠していますか?
ISO 27018 では、パブリック クラウド コンピューティング環境で個人を特定できる情報 (PII) を処理および保護するためのガイドラインを含む、一般的に受け入れられるコントロールが確立されていますか?詳細情報
アプリは、国際標準化機構 (ISO 27017) に準拠していますか?
ISO 27017 では、パブリック クラウド コンピューティング環境でユーザー情報を処理および保護するための一般的に受け入れられる制御とガイドラインが確立されています。詳細情報
アプリは、国際標準化機構 (ISO 27002) に準拠していますか?
ISO 27002 では、組織の情報セキュリティ標準と情報セキュリティ管理プラクティスに関する共通のガイドラインが確立されています。詳細情報
アプリは、米国連邦リスクおよび承認管理プログラム (FedRAMP) に準拠していますか?
FedRAMP は、クラウド製品とサービスのセキュリティ評価、承認、継続的な監視に標準化されたアプローチを提供する米国政府のプログラムです。詳細情報
FedRAMP コンプライアンス レベルを選択します。
FedRAMP の承認は、NIST のガイドライン (低、中、高) に基づいて 3 つの影響レベルで付与されます。 これらのレベルは、機密性、整合性、または可用性の損失がorganizationに与える可能性がある影響をランク付けします。低 (制限された効果)、中程度 (重大な悪影響)、高 (重大または致命的な影響) です。
アプリは、Family Educational Rights and Privacy Act (FERPA) に準拠していますか?
FERPAは、学生教育記録のプライバシーを保護する連邦法です。詳細情報
アプリは子供のオンラインプライバシー保護法 (COPPA) に準拠していますか?COPPAは、13歳未満の子供にコンテンツを提供するウェブサイトとオンライン サービスオペレーターの要件を定義しています。
これは、子どもも使用できるアプリを持つ米国ベースの企業と米国以外の企業の両方で必要です。
アプリは、サーベンス オクスリー法 (SOX) に準拠していますか? SOXは、株主や一般の人々を会計上の誤りや詐欺から保護し、企業の開示の正確性を向上させることを目的とした米国の法律です。これは、米国の証券取引所市場で取引される米国ベースの公開企業または米国以外の上場企業に必要です。 |
アプリ情報は、アプリケーションで実行できる操作の概要を示します。
アプリは NIST 800-171 に準拠していますか?
NIST SP 800-171 は、制御された未分類情報 (CUI) の機密性を保護するための推奨要件を提供する NIST 特別文書です。 米国国立標準技術研究所(NIST)は、連邦政府機関の情報と情報システムを保護するために、測定基準とガイドラインを促進し、維持しています。詳細情報
アプリはクラウド セキュリティ アライアンス (CSA Star) で認定されていますか?
CSA SSTAR は、より安全なクラウド コンピューティング環境を確保するためのベスト プラクティスの定義と、IT 運用をクラウドに移行する際に、潜在的なクラウド顧客が情報に基づいた意思決定を行うのを支援することに専念しています。詳細情報
CSA STAR 認定レベルを選択します。
CSA STAR、継続的監視、評価、自己評価、構成証明、認定によって提供される 5 つの認定レベルがあります。 取得したを選択します。
GDPR またはその他のプライバシーまたはデータ保護の要件または義務はありますか?
一般データ保護規則 (GDPR) では、欧州連合 (EU) 内のユーザーに商品やサービスを提供する組織、またはお客様または企業の場所に関係なく EU 居住者のデータを収集および分析する組織に対して、新しい規則が導入されています。詳細情報
アプリには、個人データの収集、使用、共有、保存方法を説明する外部向けのプライバシー通知がありますか?
外部向けのプライバシーに関する通知には、組織の情報、収集するデータ、収集されるデータの方法、個人データの使用方法、個人データの共有方法、データセキュリティ、データ保持、顧客の法的権利が含まれている必要があります。詳細については、GDPR ページを参照してください
アプリが、法的な影響や同様の影響を与える可能性のあるプロファイルなどで自動化された意思決定をすることはありますか?
プロファイリングは人に関する側面を評価するプロセスですが、自動化された意思決定は、技術的手段を使用して、人間の関与なしに個人に関する意思決定を行うプロセスです。 GDPR - 自動化された意思決定とプロファイリングに関連する権利。
個人は処理に異議を唱えるオプションを提供されていますか?
GDPR - 異議申し込み権
アプリは、プライバシーに関する通知 (マーケティング、分析など) に記載されていない二次的な目的で個人データを処理しますか?
GDPR - データ処理
機密データの特別なカテゴリ (たとえば、人種的または民族的な発生元、政治上の意見、宗教または慈善団体の信念、臨床または生体認証データ、健康データ) や侵害通知法の対象となるデータのカテゴリを処理しますか?
人種的または民族的起源、政治的意見、宗教的または哲学的信念、遺伝的または生体認証データ、健康データに関連するデータを処理する場合は、[はい] を選択します。 そうでない場合は、[いいえ] を選択します。
アプリは未成年者 (16 歳未満の個人) からデータを収集または処理しますか?
GDPR では、同意の一般的な年齢が 16 に設定されています。つまり、15 歳以下のデータ主体のデータを法的に処理することはできません。
保護者または法的保護者から同意を得ていますか?
16 歳未満の子供のデータを操作する場合は、親または保護者の許可を得たデータのみを処理できます。 保護者の責任を持つ大人の同意なしに処理することは、EU 法の下では違法です。
アプリには、要求に応じて個人データを削除できる機能はありますか?
GDPR - 消去する権利
アプリには、要求に応じて個人データの処理を制限または規制する機能がありますか?
GDPR - 処理を制限する権利
アプリにはユーザーに個人データを修正または更新する機能がありますか?
GDPR - 修正する権利
データ保護の影響評価やプライバシー リスク評価など、アプリの個人データの処理に関連するリスクを特定するために、定期的なデータ セキュリティとプライバシー レビューが実行されていますか?
この情報は、プライバシーとセキュリティのプラクティスに関連するため必要です。
アプリケーションは、シングル サインオン API アクセス用のMicrosoft ID プラットフォーム (Microsoft Entra ID) と統合されますか?
Microsoft ID プラットフォームの詳細については、こちらをご覧ください。詳細情報
アプリで appId Azure アプリケーション使用していますか?
MICROSOFT ENTRA ID によってアプリケーションに割り当てられるアプリケーションの一意識別子。詳細情報
appId のAzure アプリケーション
Azure アプリケーション appID を入力します。詳細情報
上記のAzure アプリケーション appId が登録されているテナントの ID は何ですか?
アプリの登録 コンソールの appId の下Azure アプリケーション表示されるテナントの ID を入力します。
上記のAzure アプリケーション appId が登録されているテナントの ID は何ですか?
アプリの登録 コンソールの appId の下Azure アプリケーション表示されるテナントの ID を入力します。
この ID は複数のアプリケーションで使用されますか?
この情報は、ID プラクティスに関連するため必要です。
アプリは Microsoft Graph のアクセス許可を使用しますか?
Microsoft Entra ID は、アプリに一意のアプリケーションまたはクライアント ID を割り当てます。 ポータルで、アプリケーションの [概要] ページが開きます。 アプリケーションに機能を追加するには、ブランド化、証明書とシークレット、API のアクセス許可など、他の構成オプションを選択できます。
Microsoft Graph のアクセス許可
許容されるアクセス許可の一覧を次に示します。 Microsoft Graph のアクセス許可のリファレンス
アクセス許可の種類は何ですか?
委任されたアクセス許可は、サインインしているユーザーが存在するアプリで使用します。 これに該当するアプリの場合は、ユーザーまたは管理者がアプリの要求するアクセス許可に同意します。アプリは、Microsoft Graph の呼び出し時に、サインインしているユーザーとして動作できます。 一部の委任されたアクセス許可は非管理ユーザーの同意によって付与できますが、高度な特権が付与されるアクセス許可には管理者の同意が必要になります。 アプリケーションのアクセス許可は、サインインしているユーザーが存在しないアプリで使用します。たとえば、バックグラウンド サービスやデーモンとして実行されるアプリです。 アプリケーションのアクセス許可には、管理者のみ同意できます。 詳細については、こちらをご覧ください。
この Graph アクセス許可を使用する理由は何ですか?
なぜその網状グラフのアクセス許可を選択したのですか?
アプリは、シナリオに対して最小限の特権のアクセス許可を要求しますか?
最小特権のアクセス許可は、アプリが顧客向けの目的の機能を提供するために要求する必要がある最小限のアクセス許可セットです。 Microsoft Graph を呼び出すアプリの場合、Graph エクスプローラー および API リファレンス ドキュメントは、シナリオの最小特権のアクセス許可を決定するのに役立ちます。詳細情報
Microsoft ID プラットフォーム統合チェックリストに概説されているすべての該当するベスト プラクティスを確認して準拠しましたか?
ドキュメント ページのMicrosoft ID プラットフォーム統合チェックリストの詳細
アプリでは、認証用に最新バージョンの MSAL (Microsoft 認証ライブラリ) または Microsoft Identity Web を使用していますか?
Microsoft Authentication Library (MSAL) を使用すると、開発者はMicrosoft ID プラットフォームからトークンを取得して、ユーザーを認証し、セキュリティで保護された Web API にアクセスできます。詳細情報
アプリでは、認証用に最新バージョンの MSAL (Microsoft 認証ライブラリ) または Microsoft Identity Web を使用していますか?
Microsoft Authentication Library (MSAL) を使用すると、開発者はMicrosoft ID プラットフォームからトークンを取得して、ユーザーを認証し、セキュリティで保護された Web API にアクセスできます。詳細情報
アプリで条件付きアクセス ポリシーがサポートされていますか?
最も簡単な条件付きアクセス ポリシーは if-then ステートメントです。ユーザーがリソースにアクセスする場合は、アクションを完了する必要があります。 例: 給与管理者が給与計算アプリケーションにアクセスしたいと考え、それにアクセスするには多要素認証を実行する必要があります。詳細情報
サポートされているポリシーの種類を一覧表示します。
サポートするすべての種類の条件付きアクセス ポリシーについて説明します。 例 場所別にアクセスをブロックする、レガシ認証をブロックする。 例については、ドキュメント ページを参照してください。
アプリは 継続的アクセス評価 (CAE) をサポートしていますか?
(CAE) は、Microsoft Entra認証に依存するサービス/ワークロードの回復性を向上させ、COGS を削減する機能です。詳細情報
アプリでコードに資格情報を保存できますか?
アプリがコードに資格情報を格納する場合は、[はい] を選択します。 そうでない場合は、[いいえ] を選択します。
Microsoft 365 のアプリとアドインでは、Graph の外部で追加の Microsoft API が使用される場合があります。 ご使用のアプリまたはアドインは、他の Microsoft API を使用しますか?
アプリまたはアドインで追加の Microsoft API を使用する場合は、[はい] を選択します。 そうでない場合は、[いいえ] を選択します。
|API のサービス名は何ですか?
例 MSAL