スペインの Esquema Nacional de Seguridad (ENS) のハイ レベルなセキュリティ対策

ENS (スペイン) の概要

スペイン政府は 2007 年に 11/2007 の法律を制定しました。国民が政府機関の公的なサービスに電子的にアクセスするための法的な枠組みを定めた法律です。 この法律は、Esquema Nacional de Seguridad (国家のセキュリティの枠組み) の基盤になっており、その枠組みを規制するのが Royal Decree (王室令) (RD) 3/2010 です。 この枠組みの目的は、電子サービスの信頼性を高めることであり、データや情報やサービスのアクセス、整合性、可用性、信頼性、機密性、追跡可能性、保全性を確保することです。

この枠組みの対象になるのは、クラウド サービスを購入するスペイン国内のすべての公共機関や政府機関と、情報通信技術 (ICT) のプロバイダーです。 それらの機関や企業は、セキュリティとプライバシーに関するスペインと EU の基準に準拠しつつ、クラウドやオンプレミスで効果的なセキュリティ対策を実施する際に、その枠組みを守らなければなりません。

この枠組みでは、政府機関とサービス プロバイダーの両方が守らなければならない重要な方針や必須要件を定めています。 可用性、信頼性、整合性、機密性、追跡可能性に関する具体的なセキュリティ コントロールを定義しており、その多くは ISO/IEC 27001 に直接かかわっています。 情報の機密性 (低、中、高) に応じて、情報を保護するために実施しなければならないセキュリティ対策が決まっています。

どの政府機関も、セキュリティに関してリスク管理の手法を採用することが義務付けられています。つまり、リスクを洗い出し、分析したうえで、それぞれのリスクに適したセキュリティ コントロールを実施する、ということです。 サービス プロバイダーも、さまざまな手順や機能や操作の安全性を確保し、各種の機関が法令に準拠できるようにするために、非常に厳格な枠組みの要件を守らなければなりません。

この枠組みでは、認定制度を定めています。この認定は、機密性の低い情報を取り扱うシステムでは任意ですが、中レベルから高レベルの機密情報を取り扱うシステムでは必須になっています。 監査は、認定された独立監査人によって実施されます。 監査レポートの精査という段階を経てはじめて、リスク管理の対策が認定プロセスの最終段階で承認される運びになります。

マイクロソフトと ENS (スペイン) のハイ レベルなセキュリティ対策

Microsoft Azure と Microsoft Office 365 は、独立監査人である BDO の厳しい審査を経て、正式な認定証を取得しました。 BDO は、両方のサービスにおけるセキュリティ対策、情報システムとデータ処理に関する機能が RD 3/2010 に高水準に準拠しており、是正措置が不要であると報告しています。 マイクロソフトは、この認定をスペインで取得した最初の超大規模クラウド サービス プロバイダーになりました。

対象となる Microsoft のクラウド プラットフォームとサービス

• Azure
• Office 365

Office 365 と ENS High

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

• クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
• Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
• Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
• Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
• Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性	範囲内のサービス
商用	Exchange Online、Exchange Online Protection、Microsoft Teams、MyAnalytics、Office 365 Customer Portal、Office Online、Office Service Infrastructure、Outlook Mobile、SharePoint Online、Skype for Business

監査、レポート、証明書

認定の有効期間は 2 年です。また、1 年ごとのサーベイランス監査が必要です。

Azure

• Azure National Security Framework ENS 認定証
• Azure Spanish National Security Framework (ENS) 監査レポート
• Azure 監査レポート ENS (スペイン語)
• Azure National Security Framework 認定証 ENS (スペイン語)

Office 365

• Office 365 National Security Framework ENS 認定証
• Office 365 Spanish National Security Framework (ENS) 監査レポート
• Office 365 監査レポート ENS (スペイン語)
• Office 365 National Security Framework 認定証 ENS (スペイン語)

よく寄せられる質問

監査レポートと認定証のコピーはどのようにして入手できますか?

Service Trust Portal には、スペイン語と英語の両方の監査レポートと認定証が用意されています。 お客様の監査人は、そのレポートに基づいて、マイクロソフト クラウド サービスの監査結果とお客様の法的規制要件を比較できます。

組織でのコンプライアンス活動は、何から始めればよいですか?

お客様の組織が Azure または Office 365 を使用している場合は、お客様独自の認定プロセスの一環として、ENS マイクロソフト監査レポートと認定証をご利用いただけます。 ただしその場合も、お客様の責任で、コンプライアンスの実施状況や組織内の対策やプロセスがその枠組みに沿っているかどうかを監査人が評価するよう手配する必要があります。

リソース

• スペインの Esquema Nacional de Seguridad (スペイン語と英語)
• マイクロソフト オンライン サービス条件
• Microsoft セキュリティ センターのコンプライアンス