Office 365のセキュリティ、プライバシー、コンプライアンス情報を確認できる「サービスアシュアランス」とは：サービスリスク評価で必要な情報を集約

マイクロソフトは、「Office 365」の顧客がセキュリティ、プライバシー、コンプライアンスに関する重要情報を入手できるサービスアシュアランス機能について解説した。

[＠IT]

　米マイクロソフトは2016年8月8日（米国時間）、クラウド型オフィススイート「Office 365」のサービスアシュアランスの詳細を公式ブログで解説した。

　サービスアシュアランスは、ユーザーが、自身／自社とマイクロソフトが実装する統制策を包括的に把握し、セキュリティとコンプライアンスを維持するのに役立つナレッジベースである。「利用する予定のサービスが、セキュリティ／プライバシー／コンプライアンスの要件を満たしていることを確認したい」場合に必要な情報を容易に入手できるよう、各種情報を以下のようにまとめている。

サービスアシュアランスダッシュボード

　「Office 365のサービスリスク評価を行う上で重要な情報」をユーザーが容易に確認できるよう、Office 365セキュリティ／コンプライアンスセンターに「サービスアシュアランスダッシュボード」を追加した。

サービスアシュアランスダッシュボード

　このダッシュボードから、以下の情報を確認できる。

• Office 365がセキュリティ、プライバシー、コンプライアンスに関する機能をどのように実装しているか。併せて、第三者の独立監査人がこうした管理をどのように監査しているか
• Office 365のサービスが、世界的な標準規格である「SSAE 16」「SOC 1／2」「AT 101」「ISO 27001／27018」にどのように準拠しているかに関する、第三者の独立監査人によるレポート
• 暗号化、インシデント管理、テナント隔離、データ回復力の各機能について、マイクロソフトはどのように実装しているか。また、それに関する深い知見があるか
• ユーザーは、Office 365に備えるセキュリティ管理／構成の機能をどのように利用して、データを保護できるか

監査対象統制策（Audited controls）

　「Office 365は、顧客データをどのように保護するのか」を確認するための「監査対象統制策」コーナーをサービスアシュアランスに含めた。以下の詳細情報を提供する。

• Office 365の統制策のテスト状態
• Office 365は、統制策をどのように実装しているか
• マイクロソフトのセキュリティ、コンプライアンス、プライバシーに関する統制策の効果を、独立監査人がどのようにテストするか
• 統制策は、いつテストされたものか
• Office 365の内部統制策が、世界的な標準規格の統制策とどのように対応しているか

監査対象統制策の情報

コンプライアンスレポート、信頼性関連ドキュメントなど

　「どんな統制策を実装しているのか」、そうした統制策を「どのように実装し、テストしているか」を説明した、「コンプライアンスレポート」と「信頼性関連ドキュメント」も用意される。

　また、「お客さまのセキュリティに関する考慮事項についてのブック」では、顧客がOffice 365のセキュリティとコンプライアンスの機能や構成を管理し、Office 365サービスのセキュリティを確保する上で考慮すべきとされる項目もまとめられている。