Cloud Security Alliance (CSA) STAR Self-Assessment

マイクロソフトの STAR Self-Assessment では、クラウド サービスにおいて Cloud Security Alliance の要件を満たす方法の詳細を説明しています。

マイクロソフトおよび CSA STAR Self-Assessment

STAR Self-Assessment の一環として、CSP は、CSA ベスト プラクティスへの準拠を示す 2 種類のドキュメントを提出できます。1 つは回答を記入した CAIQ で、もう 1 つは CCM への準拠状態を記録したレポートです。CSA STAR Self-Assessment については、マイクロソフトでは Microsoft Azure 用には CAIQ と CCM ベースのレポートの両方を、Microsoft Dynamics 365 と Microsoft Office 365 用には CCM ベースのレポートを公開しています。

Microsoft Cloud における CSA STAR Self-Assessment のメリットをご確認ください。

CSA STAR Self-Assessment の背景説明をダウンロード

「Azure のセキュリティとコンプライアンスのブループリント」で CSA STAR Self-Assessment のデプロイメントを加速する方法をご覧ください。

CSA Consensus Assessments に対する Azure の回答をダウンロード

対象となるマイクロソフトのクラウド サービス

CSA STAR Self-Assessment の概要

Cloud Security Alliance (CSA) は、業界の実務者、企業、および他の重要な関係者の幅広い連合によって主導される非営利組織です。最も安全なクラウド コンピューティング環境の確保に役立ち、IT 運用をクラウドに移行する際にクラウドのお客様が詳細な情報を得た上で決断できるようにするためのベスト プラクティスを定義することに尽力しています。

2010 年に CSA はクラウド IT 運用を評価するためのツールのスイートである CSA Governance, Risk Management, and Compliance (GRC) スタックを公開しました。これは、業界のベスト プラクティスや規格の順守状態、および規制への準拠状態について、クラウドのお客様がクラウド サービス プロバイダー (CSP) を評価できるように作成されています。

2013 年に、CSA と British Standards Institution は Security, Trust & Assurance Registry (STAR) を発表しました。これは、CSP が CSA 関連の評価を公開できる無償の公的にアクセス可能なレジストリです。

CSA STAR は、CSA GRC スタックの 2 つの主要なコンポーネントを基にしています。

  • Cloud Controls Matrix (CCM): 16 のドメインを対象とする、基本のセキュリティ原則についての管理フレームワークです。クラウドのお客様が CSP の全体的なセキュリティ リスクを評価できるようにします。
  • Consensus Assessments Initiative Questionnaire (CAIQ): CCM を基に、CSA ベスト プラクティスへの準拠状態を評価するためにお客様やクラウド監査機関が CSP に対して確認するとよい 140 項目以上の質問をまとめています。

STAR は 3 レベルの保証を提供します。CSA STAR Self-Assessment は、導入レベルである Level 1 の保証になり、すべての CSP が無料で使用できます。それ以降の STAR プログラムの保証については、Level 2 では第三者による評価ベースの認定が必要になり、Level 3 では継続的な監視に基づく認定が必要になります。

コンプライアンスを一元管理する

Compliance Manager により、マイクロソフトのクラウド サービスを利用する際、リアルタイムのリスク評価を実施し、実用的なインサイトを提供して、コンプライアンス プロセスを簡素化することができます。

Compliance Manager を今すぐ試すセキュリティ、プライバシー、コンプライアンスに関するブログを読む

よく寄せられる質問

すべて展開

CCM は、ISO 27001、PCI DSS、HIPAA、AICPA SOC 2、NERC CIP、FedRAMP、NIST など、業界で受け入れられているさまざまなセキュリティ基準、規制、管理フレームワークに対応しています。最新のリストについては、CSA Web サイトを参照してください。

CSP は CSA STAR Self-Assessment を使用すると、透明性の高い方法で、CSA が発行したベスト プラクティスに準拠していることを文書化できます。自己評価レポートは一般に公開されるので、クラウドのお客様が CSP のセキュリティ施策について確認できるほか、同じ基準を使用して異なる CSP を比較検討できます。

  • Level 1: CSA STAR Self-Assessment: Azure、Dynamics 365、Office 365。Self-Assessment は、お客様がサービスのセキュリティを評価できるように、クラウド サービス プロバイダーが自社のセキュリティ コントロールの文書化に使用でき、無料で提供されます。
  • Level 2: CSA STAR Certification: Azure、Cloud App Security、Intune、Power BI。STAR Certification は、ISO/IEC 27001 認定を取得しているか、また、CCM において規定されている基準を満たしているかで判定されます。クラウド サービス プロバイダーのセキュリティ コントロールとセキュリティ施策について、第三者による厳格な評価を実施した上で、認定されます。
  • Level 2: CSA STAR Attestation: Azure および Intune。CSA と AICPA が協力して、CPA が SOC 2 に取り組む際に使用できるガイドラインを提供しています。このガイドラインでは、AICPA (Trust Service Principles, AT 101) および CSA CCM の基準を使用しています。STAR Attestation では、これらのガイドラインを基に、クラウド プロバイダーに対する独立機関による厳格な評価を経て認定されます。