Cloud Security Alliance (CSA) STAR Self-Assessment

  • [アーティクル]

CSA STAR Self-Assessment の概要

Cloud Security Alliance (CSA) は、業界の実務者、企業、および他の重要な関係者の幅広い連合によって主導される非営利組織です。 最も安全なクラウド コンピューティング環境の確保に役立ち、IT 運用をクラウドに移行する際にクラウドのお客様が詳細な情報を得た上で決断できるようにするためのベスト プラクティスを定義することに尽力しています。

2010 年に CSA はクラウド IT 運用を評価するためのツールのスイートである CSA Governance, Risk Management, and Compliance (GRC) スタックを公開しました。 これは、業界のベスト プラクティスや規格の順守状態、および規制への準拠状態について、クラウドのお客様がクラウド サービス プロバイダー (CSP) を評価できるように作成されています。

2013 年に、CSA と British Standards Institution は Security, Trust & Assurance Registry (STAR) を発表しました。これは、CSP が CSA 関連の評価を公開できる無償の公的にアクセス可能なレジストリです。

CSA STAR は、CSA GRC スタックの 2 つの主要なコンポーネントを基にしています。

  • Cloud Controls Matrix (CCM): 16 のドメインを対象とする、基本のセキュリティ原則についての管理フレームワークです。クラウドのお客様が CSP の全体的なセキュリティ リスクを評価できるようにします。
  • Consensus Assessments Initiative Questionnaire (CAIQ): CCM を基に、CSA ベスト プラクティスへの準拠状態を評価するためにお客様やクラウド監査機関が CSP に対して確認するとよい 140 項目以上の質問をまとめています。

STAR は 3 つのレベルの保証を提供します。CSA STAR Self-Assessment は、導入レベルである Level 1 の保証になり、すべての CSP が無料で使用できます。 それ以降の STAR プログラムの保証については、Level 2 では第三者による評価ベースの認定が必要になり、Level 3 では継続的な監視に基づく認定が必要になります。

Microsoft および CSA STAR Self-Assessment

STAR Self-Assessment の一環として、CSP は、CSA ベスト プラクティスへの準拠を示す 2 種類の異なるドキュメントを提出できます。1 つは回答を記入した CAIQ で、もう 1 つは CCM への準拠状態を記録したレポートです。 CSA STAR Self-Assessment の場合、Microsoft では Microsoft Azure 用に CAIQ と CCM ベースのレポートの両方を、Microsoft Dynamics 365 と Microsoft Office 365 用には CCM ベースのレポートを公開しています。

対象となる Microsoft のクラウド プラットフォームとサービス

Azure、Dynamics 365、CSA STAR 自己評価

Azure、Dynamics 365、およびその他のオンライン サービス コンプライアンスの詳細については、Azure CSA STAR 自己評価サービスを参照してください。

Office 365 と CSA STAR 自己評価

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Exchange Online、Exchange Online Protection、Office 365 Customer Portal、Office Online、Office Services Infrastructure、OneDrive for Business、SharePoint Online、Skype for Business

よく寄せられる質問

CSA CCM が対応しているのはどの業界標準ですか?

CCM は、ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP、NIST など、業界で受け入れられているさまざまなセキュリティ基準、規制、管理フレームワークに対応しています。 最新のリストについては CSA の Web サイトにアクセスしてください。

CSA STAR Self-Assessment が重要であるのはなぜですか?

CSP は CSA STAR Self-Assessment を使用すると、透明性の高い方法で、CSA が発行したベスト プラクティスに準拠していることを文書化できます。 自己評価レポートは一般に公開されるため、クラウドのお客様が CSP のセキュリティ施策について確認し、同じ基準を使用して異なる CSP を比較検討できます。

Office 365 が達成した CSA STAR の保証レベルは?

  • レベル 1: CSA STAR 自己評価: クラウド サービス プロバイダーにより提供される無償のサービスで、顧客がサービスのセキュリティを評価できるよう、プロバイダーが自社のセキュリティ制御を文書化したものです。

Office 365 のリソース