Microsoft のセキュリティポリシーと標準プログラムを理解する

  • 5 分

Microsoft のセキュリティ ポリシーと標準プログラムは Microsoft のポリシー フレームワークの一部であり、Microsoft のすべてのスタッフ、エンジニアリング グループ、ビジネス ユニットを対象とした包括的なセキュリティ ガバナンス プログラムを提供しています。 セキュリティ要件は、新しいテクノロジー、規制やコンプライアンス要件、セキュリティ上の脅威を考慮しながら常に変化しているため、Microsoft のシステムや顧客を保護し、コミットメントを果たし、顧客の信頼を維持するために、Microsoft ではセキュリティ ポリシーやサポート ドキュメントを定期的に更新しています。

Microsoft のセキュリティ ポリシーと標準プログラム

Microsoft のセキュリティポリシーと標準プログラムは、ポリシー、標準、要件、ベースラインで構成されています。 ポリシー、標準、要件は、Microsoft 全体で一貫性のあるセキュリティとプライバシー ポリシーをサポートする企業全体に対するガイダンスを提供します。 Microsoft 365 などの個別のビジネス ユニットは、標準業務手順 (SOP) を使用して、そのビジネス ユニットがどのように要件を実装するかを詳細に列挙します。

Microsoft のセキュリティ ポリシーおよび標準プログラムとそれに関連するセキュリティ要件には、次のものがあります。

  • Microsoft セキュリティ ポリシー (MSP): MSP は、すべての Microsoft スタッフへと適用される非技術的なセキュリティ目標のコレクションです。 MSP の目標は、Microsoft 全体を対象とするすべてのセキュリティ ポリシー、標準、要件をガイドするものです。
  • Microsoft セキュリティ プログラム ポリシー (MSPP): Microsoft セキュリティ プログラム ポリシー (MSPP) は、期待どおりのセキュリティ成果を目指すガバナンス フレームワークを推進するためのセキュリティ目標に関する共通のセットを定義します。 MSPP は、Microsoft のソフトウェアおよび/またはサービスの作成、管理、運用を行う中での開発、運用、セキュリティ、コンプライアンス、監査の役割を担う Microsoft のスタッフへと適用されるものですが、これらに限定されるわけではありません。
  • 標準: オンライン サービス セキュリティ標準 (OSSS) とエンタープライズ情報セキュリティ標準 (EISS) は、オンライン サービスとエンタープライズ セキュリティに対する企業全体の要件の概要を説明しています。 OSSS はすべてのオンライン サービスのセキュリティをガイドし、EISS は企業のセキュリティ チームによって実装されます。
  • 要件: 要件は標準よりも詳細で、適用可能なシステムやビジネス ユニットが満たす必要がある具体的かつ技術的な実装について情報を提供します。 たとえば、Microsoft の製品またはサービスを開発するビジネス ユニットは、安全な開発手法を実践するために Microsoft のセキュリティ開発ライフサイクル (SDL) を実装する必要があります。 Microsoft では他にも、運用システムを安全に運用していくための運用セキュリティ アシュアランス (OSA)、公開キー暗号化をセキュリティで保護するための 公開キー基盤 (PKI)、コードの整合性を保護し、確認するための ソフトウェア整合性 (SI) 要件などの要件があります。
  • 標準業務手順 (SOP): 個別の製品グループやビジネス ユニットは、SOP を使用して、MSP で定義されているセキュリティ目標を達成するために組織がどのように標準や要件を実装するかを詳細に列挙します。

MSP と MSPP の役割と責任

Microsoft セキュリティ ポリシー (MSP) や Microsoft セキュリティ プログラム ポリシー (MSPP) の更新は、Microsoft の Corporate, External, and Legal Affairs (CELA) の下にあるビジネス ユニットである Customer Security and Trust が主導し、関連するすべてのエンジニアリング グループやビジネス ユニットから意見を取り入れています。 Customer Security and Trust の CVP と Corporate Strategy の CISO は、MSP に対するすべての変更の最終承認者としての役割を果たします。

MSP と MSPP の 確認プロセス

Microsoft のセキュリティ ポリシー、標準、要件は、少なくとも年に 1 回は見直され、更新されます。 毎年のセキュリティ ポリシーの改訂では、次のような様々な要素が考慮されます。

  • 外部の規制またはコンプライアンス要件の変更。 例としては、ISO や NIST などの外部の標準に対する法律制定や更新が挙げられます。 セキュリティ ポリシーの改訂プロセスには、適用される規制との整合性を確保するための、すべての変更案に対する確認が含まれています。
  • セキュリティ ランドスケープの変化。 これには、新たな脅威、セキュリティの問題、過去のインシデントから得られた教訓が含まれています。
  • ビジネスや顧客のニーズの変化。 ビジネスの変化に伴い、新しいテクノロジーを考慮してポリシーや標準を更新する必要がある可能性があります。 たとえば、新しい製品やサービスに対して、セキュリティへの新しいアプローチが必要になる場合があります。

関連する関係者、その代理人、レビュー担当者は、Microsoft のセキュリティ ポリシーや標準の更新が状況の変化によって必要になる可能性があるかどうかを評価します。 提案された変更案は、承認のために関連するレビュー担当者へと提出されます。 レビューが完了すると、Microsoft のセキュリティ ポリシーや標準の更新版が Microsoft のビジネス ユニットへと配布されて、実装され、Microsoft のビジネス ユニットは、組織固有のセキュリティ実装に対する変更点を考慮して標準業務手順 (SOP) を更新します。

例外的な処理

Microsoft のセキュリティ ポリシーや標準に関する例外として、ビジネス上の正当な理由がある要件に対する違反が挙げられます。 すべての例外は、適切なガバナンス主体によって確認され、承認されます。 例外の範囲やそれが示す潜在的なリスクによっては、適切な経営幹部による例外の承認が必要となる場合があります。 すべての例外は、適切なツールを使用して追跡する必要があります。