Cloud Security Alliance (CSA) STAR Attestation

Azure と Intune には独立した監査に基づき、Cloud Security Alliance STAR Attestation が授与されています。

対象となるマイクロソフトのクラウド サービス

Microsoft Azure と Microsoft Intune は CSA STAR Attestation の認定を取得しました。STAR Attestation では、SOC 2 コントロールに関してマイクロソフト クラウド サービスの設計の適性と運用の有効性について、監査人の所見が示されます。

  • Azure および Azure Government 詳細リスト
  • Azure Germany 詳細リスト
  • Cloud App Security
  • Graph
  • Intune
  • Microsoft Flow クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに組み込まれているサービス)
  • Power Apps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに組み込まれているサービス)
  • Power BI

監査、レポート、認証

CSA STAR Attestation の概要

Cloud Security Alliance (CSA) は、Security, Trust & Assurance Registry (STAR) を管理しています。STAR は、クラウド サービス プロバイダー (CSP) が CSA 関連の評価を公開できる、無償の、一般からアクセス可能な登録簿です。STAR は CSA Cloud Controls Matrix (CCM) のコントロール目標に即した 3 つのレベルの保証で構成されています。(CCM は 16 のドメインを対象とする基本のセキュリティ原則を扱っており、クラウドのお客様がクラウド サービスの全体的なセキュリティ リスクを評価できるよう支援します)。

  • Level 1: STAR Self-Assessment
  • Level 2: STAR Attestation、STAR Certification、および C-STAR Assessment (第三者監査により判定)
  • Level 3: STAR Continuous Monitoring (プログラム要件は CSA により現在策定中)

STAR Attestation には、クラウド プロバイダーのセキュリティ態勢について、SOC 2 Type 2 の監査を基に CCM 基準を加味した、独立した監査人による厳格な監査が必要です。STAR Attestation に関してクラウド プロバイダーの製品やサービスを評価する独立した監査人は、公認会計士 (CPA) で、CSA Certificate in Cloud Security Knowledge (CCSK) を取得している必要があります。

SOC 2 Type 2 の監査は、American Institute of Certified Public Accountants (AICPA) Trust Services Principles and Criteria に基づき、セキュリティ、可用性、機密性、処理の整合性と、CCM の基準について評価します。STAR Attestation では、SOC 2 コントロールに関してマイクロソフト クラウド サービスの設計の適性と運用の有効性について、監査人の所見が示されます。上記の AICPA 基準と、CCM で規定されている要件の両方を満たすことが目的です。

コンプライアンスを一元管理する

Compliance Manager により、マイクロソフトのクラウド サービスを利用する際、リアルタイムのリスク評価の実施し、実用的なインサイトを提供して、コンプライアンス プロセスを簡素化することができます。

Compliance Manager を今すぐ試すセキュリティ、プライバシー、コンプライアンスに関するブログを読む

よく寄せられる質問

すべて展開

CCM は、ISO/IEC 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP、NIST など、業界で受け入れられているさまざまなセキュリティ基準、規制、管理フレームワークに対応しています。最新のリストについては、CSA Web サイトを参照してください。

Azure の CSA STAR Attestation は CSA 登録簿からダウンロードできます。この Attestation には、Intune の評価も含まれています。

  • Level 1: CSA STAR Self-Assessment: Azure、Microsoft Dynamics 365、Microsoft Office 365。Self-Assessment は、お客様がサービスのセキュリティを評価できるように、クラウド サービス プロバイダーが自社のセキュリティ コントロールの文書化に使用でき、無料で提供されます。
  • Level 2: CSA STAR Certification: Azure、Cloud App Security、Intune、Microsoft Power BI。STAR Certification は、ISO/IEC 27001 認定を取得しているか、また、CCM において規定されている基準を満たしているかで判定されます。クラウド サービス プロバイダーのセキュリティ コントロールとセキュリティ施策について、第三者による厳格な評価を実施した上で、認定されます。
  • Level 2: CSA STAR Attestation: Azure および Intune。CSA と AICPA が協力して、CPA が SOC 2 に取り組む際に使用できるガイドラインを提供しています。このガイドラインでは、AICPA (Trust Service Principles, AT 101) および CSA CCM の基準を使用しています。STAR Attestation では、これらのガイドラインを基に、クラウド プロバイダーに対する独立機関による厳格な評価を経て認定されます。