クラウドサービスを取り巻く環境として、各国で求められる法規制やガイドラインは、ビジネス環境のグローバル化に伴い一層複雑になっています。マイクロソフトが各国において事業活動を継続していくためには、それぞれの国における法令の遵守はもとより、高い水準の行動規範のもとに日々の活動を行うことが重要だと考えています。そこで、責任あるグローバル企業として、各国の規制当局が定める基準を上回る高い水準の行動規範を策定し、世界中の社員に遵守を促しています。
このようなフィランソロピーに基づきマイクロソフトの製品とサービスはお客様の組織がデータの収集と使用を管理する国内、地域、および業界固有の要件に準拠するための包括的なコンプライアンス製品を提供しています。
マイクロソフトのクラウドサービスは、我が国、日本でもこれまでも日本セキュリティ監査協会「CS ゴールドマーク」の取得をはじめとし、パートナー企業との連携による「金融情報システムセンター (FISC) 安全対策基準」への対応や、医療機関向けセキュリティリファレンスなど我が国固有のセキュリティ認証制度やガイドラインへの準拠にも対応しております。

Microsoft コンプライアンスのサービス

詳細はこちら

クラウド セキュリティ ゴールド マーク (CS ゴールド マーク)

詳細はこちら

金融情報システム センター (FISC)

詳細はこちら

医療機関向けクラウドサービス対応セキュリティリファレンス (三菱総合研究所)

詳細はこちら

日本政府における情報システムのクラウドサービス利用を第一選択肢として検討し、情報化の速度を向上させ IT 化による利便性を向上させる取り組みであるクラウド・バイ・デフォルト方針に基づき「政府情報システムのためのセキュリティ評価制度」(Information system Security Management and Assessment Program: 通称、ISMAP (イスマップ)) が制定されました。
この制度は、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
2020 年 5 月 26 日に正式な制度が公開され、独立行政法人情報処理推進機構 (IPA) に設置された公式サイト から各種の情報が閲覧できるようになっています。


2017 年 5 月

クラウド・バイ・デフォルト原則の基本方針を発表

日本政府では「世界最先端 IT 国家創造宣言・官民データ活用推進基本計画」(2017 年 5 月 30 日閣議決定) および「デジタル・ガバメント推進方針」(2017 年 5 月 30 日高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定) において、政府情報システムを整備するにあたり、クラウドサービスの利用を第一候補として検討するクラウド・バイ・デフォルト原則の方針が打ち出されました。

2018 年 6 月

政府調達においてクラウド・バイ・デフォルト原則を採用

これをうけ「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018 年 6 月 7 日各府省情報化統括責任者 (CIO) 連絡会議決定) が発表され、2018 年 6 月からは政府調達においてクラウド・バイ・デフォルト原則が採用されています。

政府情報システムにおける安全性評価制度の検討を開始

一連の流れを受け、「未来投資戦略2018」(2018 年 6 月 15 日 閣議決定)では『クラウドサービスの多様化・高度化に伴い、官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、情報資産の重要性に応じ、信頼性の確保の観点から、クラウドサービスの安全性評価について、諸外国の例も参考にしつつ、本年度から検討を開始する。』との戦略が打ち出され、政府情報システムにおける安全性評価制度を検討する取り組みが開始されました。

2020 年 1 月

政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組み決定

その後、「デジタル・ガバメント実行計画」(令和元年 12 月 20 日閣議決定)、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和 2 年 1 月 30 日 サイバーセキュリティ戦略本部決定) を経て『各政府機関は、クラウドサービスを調達する際は本制度において登録されたサービスから調達することを原則とし、本制度における登録がないクラウドサービスの調達や、経過措置の詳細は、サイバーセキュリティ対策推進会議、各府省情報化統括責任者 (CIO) 連絡会議において定める。』との方針が決定しています。

ISMAP 制度創設

現在は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和 2 年 1 月 30 日サイバーセキュリティ戦略本部決定) に基づき、ISMAP の制度は内閣サイバーセキュリティセンター・情報通信技術 (IT) 総合戦略室・総務省・経済産業省を運営所轄省庁とし、独立行政法人情報処理推進機構 (IPA) が制度運用に係る実務及び評価に係る技術的な支援を担当しています。

マイクロソフトではそれぞれの国の法令やガイドライン、業界固有の要件への適合および準拠には積極的に対応する活動を実施しており、日本での活動も例外ではございません。
このような趣旨に基づき、「政府情報システムのためのセキュリティ評価制度」(ISMAP) 認証制度につきましても、以下のサービスにおいて、制度で定められた ISMAP 監査機関による外部監査作業を完了し、制度運営窓口である独立行政法人情報処理推進機構 (IPA) に申請を実施いたしました。

Microsoft Office 365 Office 365 Microservices Education Services Microsoft Datacenters Microsoft Azure - 1 Microsoft Azure - 2 Azure DevOps Online Services Dynamics 365
Microsoft Azure - 1

サービス名

概要

AI + Machine AI Builder Learning

AI Builder はコーディングやデータサイエンスのスキルがなくても、アプリケーションにインテリジェンスを追加することができるツール

API Management

API を開発者、パートナー、および従業員に、安全かつ大規模に発行する

App Service: API Apps

簡単操作によるクラウド API の作成と利用

App Service: Mobile Apps

モバイル向けのパワフルなクラウド アプリを短期間で作成

App Service: Web Apps

Web 向けのパワフルなクラウド アプリを短期間で作成

Application Change Analysis

インフラストラクチャ層からアプリケーションのデプロイまで、さまざまな種類の変更を検出します

Application Gateway

安全でスケーラブルな高可用性 Web フロント エンドを Azure で構築する

Application Insights

Azure Monitor に含まれるサービスで、テレメトリを収集および分析するための高度なツールを提供

Aria Collector

ユーザー、顧客、およびビジネス製品の使用状況とフィードバックに関するテレメトリと分析に使用する内部イベント コレクター サービス

Automation

プロセス自動化でクラウド管理を簡素化

Azure Advisor

個別化された Azure のベスト プラクティスを提示するリコメンデーション エンジン

Azure Analysis Services

サービスとしてのエンタープライズ グレードの分析エンジン

Azure API for FHIR

FHIR サービスを容易に作成およびデプロイしてヘルス データ ソリューションと相互運用性を手に入れる

Azure App Configuration

アプリ構成用の高速でスケーラブルなパラメーター ストレージ

Azure App Service Static Web Apps

GitHub のリポジトリから Azure にフルスタックの Web アプリを自動的にビルドしてデプロイするサービス

Azure Arc enabled Kubernetes

Azure 上の AKS-engine、Azure Stack Hub 上の AKS-engine、GKE、EKS、VMware vSphere クラスタなど、Cloud Native Computing Foundation (CNCF) 認定の Kubernetes クラスタで動作するAzure Arc対応のKubernetesクラスター

Azure Arc enabled servers

Azure の管理とサービスをどこにでも拡張

Azure Archive Storage

アクセスの頻度が非常に少ないデータを、業界随一の価格で保存する

Azure Bastion

お客様の仮想マシンへのプライベートでフル マネージドの RDP および SSH アクセス

Azure Blueprints

管理された環境の迅速で反復可能な作成の有効化

Azure Bot Service

オンデマンドにスケーリングできるインテリジェントなサーバーレス ボット サービス

Azure Cache for Redis

優れたスループットと待機時間の短いデータ キャッシュにより、アプリケーションを高速化

Azure Cognitive Search

モバイルおよび Web アプリ開発のための AI を活用したクラウド検索サービス

Azure Confidential Computing

クラウドで処理されている間の機密データを分離するサービス

Azure Container Service

マネージド Kubernetes クラスターを Azure に簡単にデプロイするサービス (2020 年 1 月 31 日にスタンドアロンサービスは廃止され機能は AKS に置き換え)

Azure Cosmos DB

あらゆるスケールに対応したオープン API を備えた、高速な NoSQL データベース

Azure Data Box

Azure へのオフライン データ転送のためのアプライアンスとソリューション

Azure Data Box Edge and Gateway

ネットワークを介して Azure ストレージを簡単に使用したいエッジコンピューティングのタスクのためのサービス

Azure Data Explorer

高速かつスケーラビリティの高いデータ探索サービス

Azure Data Lake Storage Gen1

Azure Blob Storage 上に構築された、非常にスケーラブルで安全な Data Lake 機能

Azure Data Share

ビッグ データを外部組織と共有するためのシンプルかつ安全なサービス

Azure Database for MariaDB

アプリ開発者向けのマネージド MariaDB データベース サービス

Azure Database for MySQL

フル マネージドでスケーラブルな MySQL Database

Azure Database for PostgreSQL

フルマネージド、インテリジェント、およびスケーラブルな PostgreSQL

Azure Database Migration Service

オンプレミスからクラウドへのデータベースの移行を簡素化

Azure Databricks

迅速、簡単で協調型の Apache Spark ベースの分析プラットフォーム

Azure DDoS Protection

お客様のアプリケーションを DDoS (分散型サービス拒否) 攻撃から保護します

Azure Dedicated HSM

クラウドで使用するハードウェア セキュリティ モジュールの管理

Azure Defender for IoT

アンマネージドおよびマネージド IoT/OT デバイスの両方に対する継続的な資産管理と脅威検出

Azure DevOps

チームがコードを共有し、作業を追跡し、ソフトウェアを出荷するためのサービス

Azure DevTest Labs

再利用可能なテンプレートとアーティファクトを使用して環境を素早く構築

Azure DNS

Azure で DNS ドメインをホストする

Azure ExpressRoute

Azure への専用プライベート ネットワーク ファイバー接続

Azure File Sync

オンプレミスのファイル サーバーの柔軟性、パフォーマンス、互換性を維持したまま Azure Files で組織のファイル共有を一元化するサービス

Azure Firewall

クラウドによる無制限のスケーラビリティ、ゼロ メンテナンス、高可用性をビルトインで備えたネイティブなファイアウォール機能

Azure Firewall Manager

グローバルに分散されたソフトウェア定義境界のネットワーク セキュリティ ポリシーとルートを一元管理

Azure for Education

学生、教育者、および教育機関にサービスを提供するように設計された包括的な Azure クラウドサービスを使用したアプリケーションを構築、展開、および管理ソリューション

Azure Front Door

インテリジェントな脅威保護を備えた、セキュリティで保護され、高速で信頼性の高いクラウド CDN

Azure Functions

サーバーレス コードを使用してイベントを処理

Azure HPC Cache

いつでもどこでも、お客様の機密情報をより厳重に保護します

Azure Import/Export

物理的なディスクを Azure に直接送ることで、Microsoft がお客様に代わってデータを Azure にアップロードするサービス

Azure Information Protection

組織とユーザーがドキュメントと電子メールを分類、ラベル付け、保護して、データを識別し、制御し、データの損失を防ぐソリューション

Azure Internet Analyzer

ネットワーク インフラストラクチャの変更が顧客のパフォーマンスに及ぼす影響をテストします

Azure IoT Central

IoT ソリューションの作成を加速する

Azure IoT Hub

莫大な数の IoT 資産を接続、監視、管理

Azure Kubernetes Service (AKS)

Kubernetes のデプロイ、管理、運用を簡略化する

Azure Lab Services

クラスルーム、評価、開発とテストなどのシナリオ向けにラボをセットアップ

Azure Lighthouse

多くの顧客を正確に管理できるようにサービス プロバイダーを支援します

Azure Machine Learning

実験とモデル管理ができる、エンド ツー エンドのスケーラブルで信頼性の高いプラットフォームで、すべてのユーザーが AI を使えるようにします

Azure Managed Applications

各種クラウド サービスの管理を簡単に

Azure Maps

シンプルで安全な位置 API が、地理空間コンテキストをデータに提供します

Azure Media Services

1 つのプレーヤーですべての再生ニーズに対応

Azure Migrate

オンプレミスの VM を簡単に検出、評価して適切なサイズに調整し、Azure に移行

Azure Monitor

アプリケーション、インフラストラクチャ、およびネットワークに対する完全な可観測性

Azure NetApp Files

NetApp によって支えられたエンタープライズ グレードの Azure ファイル共有

Azure Open Datasets

機械学習モデルの開発を加速させる選別されたオープン データセットをホストして共有するためのクラウド プラットフォーム

Azure Peering Service

Microsoft クラウド サービスへのお客様の接続を強化する閉域接続サービス

Azure Performance Diagnostic

仮想マシンのパフォーマンス問題を特定して解決するための調査結果と推奨事項のレポートを提供

Azure Policy

コーポレート ガバナンスと標準を Azure リソースに大規模に実装する

Azure Private Link

Azure プラットフォーム上でホストされたサービスにプライベート アクセス、データは Microsoft ネットワーク上に保持

Azure Public IP

Azure リソースがインターネットおよびパブリックに面した Azure サービスと通信できるようにするためのサービス

Azure Red Hat OpenShift

Red Hat と連携して動作するフル マネージド OpenShift サービス

Azure Remote Rendering

高品質の対話型 3D コンテンツをレンダリングし、リアルタイムでデバイスにストリーミングします

Azure Resource Graph

Azure 環境全体のすべてのリソースにアクセスしご利用の環境を完全に表示することで大規模にリソースの調査と情報管理を行うサービス

Azure Resource Manager

アプリのリソースの管理方法を簡素化する

Azure Security Center

セキュリティ管理を統合し、Advanced Threat Protection をハイブリッド クラウド ワークロード間で有効化

Azure Security for IoT

 IoT とオペレーショナル テクノロジのデバイスのための継続的な資産検出、脆弱性管理、脅威検出を行うソリューション

Azure Sentinel

クラウドネイティブの SIEM とインテリジェントなセキュリティ分析を連携させて会社を保護する

Azure Service Fabric

Windows または Linux でのマイクロサービスの開発とコンテナーのオーケストレーション

Azure Service Health

Azure サービスの問題による影響が発生した場合に、パーソナライズされたガイダンスとサポートを受けられます

Azure Service Manager (RDFE)

Visual Studio や Azure MMC などの管理ポータルやサービス管理 API のフロントエンドとなる公開 API

Azure SignalR Service

リアルタイム Web 機能を簡単に追加

Azure Signup Portal

Azure に登録するためのサインアップを行うサイト

Azure Site Recovery

組み込みのディザスター リカバリー サービスを使用してビジネスを継続的に稼働する

Azure Spatial Anchors

空間認識機能を備えたマルチユーザー対応の複合現実エクスペリエンスを作成します

Azure Sphere

シリコンからクラウドへ MCU 搭載デバイスを安全に接続

Azure Spring Cloud Service

フル マネージドの Spring Cloud サービス、VMware と共同で作成および運用

Azure SQL

クラウド内の常に最新のマネージド SQL インスタンス

Azure Synapse Analytics

制限のない分析サービスで分析情報を得るまでの時間を大幅に短縮

日本国内のデータセンター 海外のデータセンター
日本国内のデータセンター

西日本リージョン Japan West

Osaka, Japan (OSA01/02/20/21/22)

東日本リージョン Japan East

Tokyo, Japan (KAW, TYO01/20/21/22/31)

ISMAP の認定監査組織およびプロバイダー製品認証の最初の時期が 2021 年 2 月~ 3 月頃になると 2020 年 8 月に発表されました。発表時期から十分な時間が確保できるわけではありませんが、当該時期を目指して準備を進めております。

ISMAP の監査および認証は本年より開始された制度であり、いまだ認証を受けたサービスはございません。このため、監査法人による監査の内容や ISMAP 運営員会による認証などにかかる時間や要求される内容が完全に判明してわけではありません。このため取得について対応を実施していることは表明できても、取得時期等についてはお約束できるものではないことについては予めご理解ください。

取得対象予定スコープには含まれています。

具体的には「Microsoft Azure, Dynamics 365, and Other Online Services」の Other Online Services の中に大半のサービスが含まれています。

既にグローバルで監査が実施され情報を公開している SOC2 監査レポートや ISO27000 シリーズ認証、FedRAMP 認証などの監査がすべて当該区分で実施されており、監査の実施単位 (ガバナンス) を他の監査制度等と合致させて実施することを予定しています。

SOC2 監査レポート、ISMS、FedRAMP などの監査報告書やレポートはマイクロソフトのクラウドサービスご契約者様は情報を閲覧することが可能ですのでこちらの Web サイトよりご確認ください。

FedRAMP SSP (System Security Plan) をこちらの Web サイトからご確認ください。

FedRAMP レポートの中には Azure および O365 の SSP (System Security Plan) のファイルが存在し、SSP のファイル内には詳細な対象サービス名が記載されています。米国の政府機関向け認証制度である FedRAMP と日本の政府機関向けの認証制度である ISMAP は同一のスコープで監査および認証を取得する予定です。

  • 2020/9/8 現在の最新ファイル
    Microsoft Azure Commercial Cloud FedRAMP System Security Plan v3.3 20191218
    Office 365 – MT FedRAMP SSP v7.01 (2019)

Azure SSP の場合、以下が対象サービスとなります。

  • [9.2.1.Infrastructure and Platforms a Service Offerings]に記載のサービス
  • [9.2.2.Software as a Service Offerings]に記載のサービス

O365 SSP の場合には、[9.5. Service Description]に記載のサービスが対象となります。

Microsoft Cloud App Security という正式名称で、Azure SSP のファイルに記載があります。正式名称で検索しても出てこない場合には、現時点で監査が実施されていないサービスの場合があり、監査が実施されていない場合には日本でも監査認証を取得することはできない可能性があります。詳細は担当営業までお問い合わせください。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。