クラウドサービスを取り巻く環境として、各国で求められる法規制やガイドラインは、ビジネス環境のグローバル化に伴い一層複雑になっています。マイクロソフトが各国において事業活動を継続していくためには、それぞれの国における法令の遵守はもとより、高い水準の行動規範のもとに日々の活動を行うことが重要だと考えています。そこで、責任あるグローバル企業として、各国の規制当局が定める基準を上回る高い水準の行動規範を策定し、世界中の社員に遵守を促しています。
このようなフィランソロピーに基づきマイクロソフトの製品とサービスはお客様の組織がデータの収集と使用を管理する国内、地域、および業界固有の要件に準拠するための包括的なコンプライアンス製品を提供しています。
マイクロソフトのクラウドサービスは、我が国、日本でもこれまでも日本セキュリティ監査協会「CS ゴールドマーク」の取得をはじめとし、パートナー企業との連携による「金融情報システムセンター (FISC) 安全対策基準」への対応や、医療機関向けセキュリティリファレンスなど我が国固有のセキュリティ認証制度やガイドラインへの準拠にも対応しております。

Microsoft コンプライアンスのサービス

詳細はこちら

クラウド セキュリティ ゴールド マーク (CS ゴールド マーク)

詳細はこちら

金融情報システム センター (FISC)

詳細はこちら

医療機関向けクラウドサービス対応セキュリティリファレンス (三菱総合研究所)

詳細はこちら

日本政府における情報システムのクラウドサービス利用を第一選択肢として検討し、情報化の速度を向上させ IT 化による利便性を向上させる取り組みであるクラウド・バイ・デフォルト方針に基づき「政府情報システムのためのセキュリティ評価制度」(Information system Security Management and Assessment Program: 通称、ISMAP (イスマップ)) が制定されました。
この制度は、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
2020 年 5 月 26 日に正式な制度が公開され、独立行政法人情報処理推進機構 (IPA) に設置された公式サイト から各種の情報が閲覧できるようになっています。


2017 年 5 月

クラウド・バイ・デフォルト原則の基本方針を発表

日本政府では「世界最先端 IT 国家創造宣言・官民データ活用推進基本計画」(2017 年 5 月 30 日閣議決定) および「デジタル・ガバメント推進方針」(2017 年 5 月 30 日高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定) において、政府情報システムを整備するにあたり、クラウドサービスの利用を第一候補として検討するクラウド・バイ・デフォルト原則の方針が打ち出されました。

2018 年 6 月

政府調達においてクラウド・バイ・デフォルト原則を採用

これをうけ「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018 年 6 月 7 日各府省情報化統括責任者 (CIO) 連絡会議決定) が発表され、2018 年 6 月からは政府調達においてクラウド・バイ・デフォルト原則が採用されています。

政府情報システムにおける安全性評価制度の検討を開始

一連の流れを受け、「未来投資戦略2018」(2018 年 6 月 15 日 閣議決定)では『クラウドサービスの多様化・高度化に伴い、官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、情報資産の重要性に応じ、信頼性の確保の観点から、クラウドサービスの安全性評価について、諸外国の例も参考にしつつ、本年度から検討を開始する。』との戦略が打ち出され、政府情報システムにおける安全性評価制度を検討する取り組みが開始されました。

2020 年 1 月

政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組み決定

その後、「デジタル・ガバメント実行計画」(令和元年 12 月 20 日閣議決定)、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和 2 年 1 月 30 日 サイバーセキュリティ戦略本部決定) を経て『各政府機関は、クラウドサービスを調達する際は本制度において登録されたサービスから調達することを原則とし、本制度における登録がないクラウドサービスの調達や、経過措置の詳細は、サイバーセキュリティ対策推進会議、各府省情報化統括責任者 (CIO) 連絡会議において定める。』との方針が決定しています。

ISMAP 制度創設

現在は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和 2 年 1 月 30 日サイバーセキュリティ戦略本部決定) に基づき、ISMAP の制度は内閣サイバーセキュリティセンター・情報通信技術 (IT) 総合戦略室・総務省・経済産業省を運営所轄省庁とし、独立行政法人情報処理推進機構 (IPA) が制度運用に係る実務及び評価に係る技術的な支援を担当しています。

マイクロソフトではそれぞれの国の法令やガイドライン、業界固有の要件への適合および準拠には積極的に対応する活動を実施しており、日本での活動も例外ではございません。
このような趣旨に基づき、「政府情報システムのためのセキュリティ評価制度」(ISMAP) 認証制度につきましても、以下のサービスにおいて、制度で定められた ISMAP 監査機関による外部監査作業を完了し、制度運営窓口である独立行政法人情報処理推進機構 (IPA) に申請を実施いたしました。

Microsoft Office 365 Office 365 Microservices Education Services Microsoft Datacenters Microsoft Azure - 1 Microsoft Azure - 2 Azure DevOps Online Services Dynamics 365
Online Services

サービス名

概要

Azure Active Directory (Free and Basic)

ユーザーとグループの管理、オンプレミス ディレクトリ同期、基本レポート、クラウド ユーザー向けのセルフサービスのパスワード変更のほか、Azure、Microsoft 365、および多くの一般的な SaaS アプリ全体のシングル サインオンを提供

Azure Active Directory (Premium P1 + P2)

ハイブリッド環境の高度な管理機能の提供 (P1) および組織データのリスクベースの条件付きアクセス、管理者アクセスの検出、制限、監視などが提供されます。

Azure Active Directory B2C

コンシューマーの ID とアクセスの管理をクラウドで実行

Azure Active Directory Domain Services

ドメイン コントローラーを使用せずにドメインに Azure 仮想マシンを接続可能

Intune

デバイスとアプリケーション制御 (MDM)、エンタープライズ モビリティ管理 (EMM) の分野でのクラウドベースのサービス

Microsoft 365 Defender

クロスドメイン脅威を検出して対応する統合型ソリューション
(旧称: Microsoft Threat Protection)

Microsoft Cloud App Security

クラウドアプリケーションの可視化、制御と保護 (CASB)

Microsoft Defender for Endpoint

クラウドで運用される総合的なエンドポイントセキュリティソリューションで、リスク ベースの脆弱性管理と評価、攻撃面の減少、行動ベースでクラウドを活用した次世代型保護、エンドポイントでの検出と対応 (EDR)、自動調査と修復、管理された脅威の捜索、リッチ API、統合セキュリティ管理を含みます。
(旧称: Microsoft Defender Advanced Threat Protection)

Microsoft Defender for Identity

クラウドベースのセキュリティ ソリューションであり、オンプレミスの Active Directory シグナルを利用して、組織を対象とする高度な脅威、侵害された ID、および悪意のあるインサイダーによるアクションの識別、検出、調査を行います。

(旧称: Azure Advanced Threat Protection)

Microsoft Defender for Office 365

Office 365 全体を、ビジネス メール詐欺や資格情報フィッシングなどの高度な脅威から保護し、自動的に攻撃を調査して修復。

Microsoft Graph

Microsoft Graph API を使用して、何百万人ものユーザーのデータを扱う組織や消費者向けのアプリケーションを構築することができます

Microsoft Managed Desktop

Microsoft Managed Desktop は、セキュアで最先端の環境をユーザーに提供するサービス

Microsoft Power Automate

アプリケーションとサービス間で自動化されたワークフローを作成し、ファイルを同期したり、通知を取得したり、データを収集したりするのを支援するサービス

Microsoft Power Query Online

幅広い Microsoft 製品内のデータをエンドユーザーがシームレスにインポートして再構築できるようにする、データ接続およびデータ準備技術

Microsoft PowerApps

ビジネスニーズに合わせたカスタムアプリを構築するための迅速なアプリケーション開発環境を提供するアプリ、サービス、コネクタ、データプラットフォーム

Microsoft Stream

ビジネス ニーズを満たすように規模を調整しながら事実上すべてのデバイスにコンテンツを配信

Microsoft Threat Experts

セキュリティ運用センター (SOC) に専門家レベルの監視と分析を提供するマネージド ハンティング サービス

Power BI

関連のないデータ ソースを、一貫性のある、視覚的に没入型で、対話的な洞察のセットに変換するために連携するソフトウェア サービス、アプリ、コネクタのコレクションのスイート

Power BI Embedded

Excel 内から機能してデータを分析および視覚化する Microsoft クラウドベースのビジネスインテリジェンスソリューション

Power Virtual Agents

顧客、他の従業員、または Web サイトやサービスの利用者からの質問に回答できる強力なチャットボット

日本国内のデータセンター 海外のデータセンター
日本国内のデータセンター

西日本リージョン Japan West

Osaka, Japan (OSA01/02/20/21/22)

東日本リージョン Japan East

Tokyo, Japan (KAW, TYO01/20/21/22/31)

ISMAP の認定監査組織およびプロバイダー製品認証の最初の時期が 2021 年 2 月~ 3 月頃になると 2020 年 8 月に発表されました。発表時期から十分な時間が確保できるわけではありませんが、当該時期を目指して準備を進めております。

ISMAP の監査および認証は本年より開始された制度であり、いまだ認証を受けたサービスはございません。このため、監査法人による監査の内容や ISMAP 運営員会による認証などにかかる時間や要求される内容が完全に判明してわけではありません。このため取得について対応を実施していることは表明できても、取得時期等についてはお約束できるものではないことについては予めご理解ください。

取得対象予定スコープには含まれています。

具体的には「Microsoft Azure, Dynamics 365, and Other Online Services」の Other Online Services の中に大半のサービスが含まれています。

既にグローバルで監査が実施され情報を公開している SOC2 監査レポートや ISO27000 シリーズ認証、FedRAMP 認証などの監査がすべて当該区分で実施されており、監査の実施単位 (ガバナンス) を他の監査制度等と合致させて実施することを予定しています。

SOC2 監査レポート、ISMS、FedRAMP などの監査報告書やレポートはマイクロソフトのクラウドサービスご契約者様は情報を閲覧することが可能ですのでこちらの Web サイトよりご確認ください。

FedRAMP SSP (System Security Plan) をこちらの Web サイトからご確認ください。

FedRAMP レポートの中には Azure および O365 の SSP (System Security Plan) のファイルが存在し、SSP のファイル内には詳細な対象サービス名が記載されています。米国の政府機関向け認証制度である FedRAMP と日本の政府機関向けの認証制度である ISMAP は同一のスコープで監査および認証を取得する予定です。

  • 2020/9/8 現在の最新ファイル
    Microsoft Azure Commercial Cloud FedRAMP System Security Plan v3.3 20191218
    Office 365 – MT FedRAMP SSP v7.01 (2019)

Azure SSP の場合、以下が対象サービスとなります。

  • [9.2.1.Infrastructure and Platforms a Service Offerings]に記載のサービス
  • [9.2.2.Software as a Service Offerings]に記載のサービス

O365 SSP の場合には、[9.5. Service Description]に記載のサービスが対象となります。

Microsoft Cloud App Security という正式名称で、Azure SSP のファイルに記載があります。正式名称で検索しても出てこない場合には、現時点で監査が実施されていないサービスの場合があり、監査が実施されていない場合には日本でも監査認証を取得することはできない可能性があります。詳細は担当営業までお問い合わせください。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。