Office 365のセキュリティ、プライバシー、コンプライアンス情報を確認できる「サービスアシュアランス」とは:サービスリスク評価で必要な情報を集約
マイクロソフトは、「Office 365」の顧客がセキュリティ、プライバシー、コンプライアンスに関する重要情報を入手できるサービスアシュアランス機能について解説した。
米マイクロソフトは2016年8月8日(米国時間)、クラウド型オフィススイート「Office 365」のサービスアシュアランスの詳細を公式ブログで解説した。
サービスアシュアランスは、ユーザーが、自身/自社とマイクロソフトが実装する統制策を包括的に把握し、セキュリティとコンプライアンスを維持するのに役立つナレッジベースである。「利用する予定のサービスが、セキュリティ/プライバシー/コンプライアンスの要件を満たしていることを確認したい」場合に必要な情報を容易に入手できるよう、各種情報を以下のようにまとめている。
サービスアシュアランスダッシュボード
「Office 365のサービスリスク評価を行う上で重要な情報」をユーザーが容易に確認できるよう、Office 365セキュリティ/コンプライアンスセンターに「サービスアシュアランスダッシュボード」を追加した。
このダッシュボードから、以下の情報を確認できる。
- Office 365がセキュリティ、プライバシー、コンプライアンスに関する機能をどのように実装しているか。併せて、第三者の独立監査人がこうした管理をどのように監査しているか
- Office 365のサービスが、世界的な標準規格である「SSAE 16」「SOC 1/2」「AT 101」「ISO 27001/27018」にどのように準拠しているかに関する、第三者の独立監査人によるレポート
- 暗号化、インシデント管理、テナント隔離、データ回復力の各機能について、マイクロソフトはどのように実装しているか。また、それに関する深い知見があるか
- ユーザーは、Office 365に備えるセキュリティ管理/構成の機能をどのように利用して、データを保護できるか
監査対象統制策(Audited controls)
「Office 365は、顧客データをどのように保護するのか」を確認するための「監査対象統制策」コーナーをサービスアシュアランスに含めた。以下の詳細情報を提供する。
- Office 365の統制策のテスト状態
- Office 365は、統制策をどのように実装しているか
- マイクロソフトのセキュリティ、コンプライアンス、プライバシーに関する統制策の効果を、独立監査人がどのようにテストするか
- 統制策は、いつテストされたものか
- Office 365の内部統制策が、世界的な標準規格の統制策とどのように対応しているか
コンプライアンスレポート、信頼性関連ドキュメントなど
「どんな統制策を実装しているのか」、そうした統制策を「どのように実装し、テストしているか」を説明した、「コンプライアンスレポート」と「信頼性関連ドキュメント」も用意される。
また、「お客さまのセキュリティに関する考慮事項についてのブック」では、顧客がOffice 365のセキュリティとコンプライアンスの機能や構成を管理し、Office 365サービスのセキュリティを確保する上で考慮すべきとされる項目もまとめられている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ハイブリッド環境でのセキュリティとコンプライアンスの問題を一掃――Azure Active Directoryの新機能
日本マイクロソフトが15周年を迎えた「Active Directory」を記念してイベントを開催。このイベントに来日した米マイクロソフトのEran Dvir氏が「Azure Active Directory」の最新機能を紹介しました。
「データベースセキュリティ」の視点から見る「ユーザー管理」「監査証跡(ログ)管理」のポイント
システムの開発・運用に携わっているけれど、セキュリティに少し不安がある。そんなシステム担当者の方は多いのではないでしょうか? 本連載「システムインテグレーションとセキュリティ」では、“SI視点”に立って、システム担当者が考慮すべきセキュリティ上のポイントについて、身近な例を取り上げながら分かりやすく解説します。最初のテーマは、「データベースセキュリティ」です。
「情報セキュリティ監査」を形だけで終わらせないためには
本稿では、2016年6月27日に実施された「JASA 情報セキュリティ監査セミナー」の模様を紹介し、同セミナーを通じて見えてきた情報セキュリティ監査の意義について整理する。