クラウドサービスを取り巻く環境として、各国で求められる法規制やガイドラインは、ビジネス環境のグローバル化に伴い一層複雑になっています。マイクロソフトが各国において事業活動を継続していくためには、それぞれの国における法令の遵守はもとより、高い水準の行動規範のもとに日々の活動を行うことが重要だと考えています。そこで、責任あるグローバル企業として、各国の規制当局が定める基準を上回る高い水準の行動規範を策定し、世界中の社員に遵守を促しています。
このようなフィランソロピーに基づきマイクロソフトの製品とサービスはお客様の組織がデータの収集と使用を管理する国内、地域、および業界固有の要件に準拠するための包括的なコンプライアンス製品を提供しています。
マイクロソフトのクラウドサービスは、我が国、日本でもこれまでも日本セキュリティ監査協会「CS ゴールドマーク」の取得をはじめとし、パートナー企業との連携による「金融情報システムセンター (FISC) 安全対策基準」への対応や、医療機関向けセキュリティリファレンスなど我が国固有のセキュリティ認証制度やガイドラインへの準拠にも対応しております。

Microsoft コンプライアンスのサービス

詳細はこちら

クラウド セキュリティ ゴールド マーク (CS ゴールド マーク)

詳細はこちら

金融情報システム センター (FISC)

詳細はこちら

医療機関向けクラウドサービス対応セキュリティリファレンス (三菱総合研究所)

詳細はこちら

日本政府における情報システムのクラウドサービス利用を第一選択肢として検討し、情報化の速度を向上させ IT 化による利便性を向上させる取り組みであるクラウド・バイ・デフォルト方針に基づき「政府情報システムのためのセキュリティ評価制度」(Information system Security Management and Assessment Program: 通称、ISMAP (イスマップ)) が制定されました。
この制度は、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
2020 年 5 月 26 日に正式な制度が公開され、独立行政法人情報処理推進機構 (IPA) に設置された公式サイト から各種の情報が閲覧できるようになっています。


2017 年 5 月

クラウド・バイ・デフォルト原則の基本方針を発表

日本政府では「世界最先端 IT 国家創造宣言・官民データ活用推進基本計画」(2017 年 5 月 30 日閣議決定) および「デジタル・ガバメント推進方針」(2017 年 5 月 30 日高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定) において、政府情報システムを整備するにあたり、クラウドサービスの利用を第一候補として検討するクラウド・バイ・デフォルト原則の方針が打ち出されました。

2018 年 6 月

政府調達においてクラウド・バイ・デフォルト原則を採用

これをうけ「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018 年 6 月 7 日各府省情報化統括責任者 (CIO) 連絡会議決定) が発表され、2018 年 6 月からは政府調達においてクラウド・バイ・デフォルト原則が採用されています。

政府情報システムにおける安全性評価制度の検討を開始

一連の流れを受け、「未来投資戦略2018」(2018 年 6 月 15 日 閣議決定)では『クラウドサービスの多様化・高度化に伴い、官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、情報資産の重要性に応じ、信頼性の確保の観点から、クラウドサービスの安全性評価について、諸外国の例も参考にしつつ、本年度から検討を開始する。』との戦略が打ち出され、政府情報システムにおける安全性評価制度を検討する取り組みが開始されました。

2020 年 1 月

政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組み決定

その後、「デジタル・ガバメント実行計画」(令和元年 12 月 20 日閣議決定)、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和 2 年 1 月 30 日 サイバーセキュリティ戦略本部決定) を経て『各政府機関は、クラウドサービスを調達する際は本制度において登録されたサービスから調達することを原則とし、本制度における登録がないクラウドサービスの調達や、経過措置の詳細は、サイバーセキュリティ対策推進会議、各府省情報化統括責任者 (CIO) 連絡会議において定める。』との方針が決定しています。

ISMAP 制度創設

現在は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和 2 年 1 月 30 日サイバーセキュリティ戦略本部決定) に基づき、ISMAP の制度は内閣サイバーセキュリティセンター・情報通信技術 (IT) 総合戦略室・総務省・経済産業省を運営所轄省庁とし、独立行政法人情報処理推進機構 (IPA) が制度運用に係る実務及び評価に係る技術的な支援を担当しています。

マイクロソフトではそれぞれの国の法令やガイドライン、業界固有の要件への適合および準拠には積極的に対応する活動を実施しており、日本での活動も例外ではございません。
このような趣旨に基づき、「政府情報システムのためのセキュリティ評価制度」(ISMAP) 認証制度につきましても、以下のサービスにおいて、制度で定められた ISMAP 監査機関による外部監査作業を完了し、制度運営窓口である独立行政法人情報処理推進機構 (IPA) に申請を実施いたしました。

Microsoft Office 365 Office 365 Microservices Education Services Microsoft Datacenters Microsoft Azure - 1 Microsoft Azure - 2 Azure DevOps Online Services Dynamics 365
Dynamics 365

サービス名

概要

Chat for Dynamics 365

サポートエージェントと対話できるように設計されたサービス

Dynamics 365 AI Customer Insights

顧客サービス システムから重要な業績指標、運用データ、および新たな傾向に関する実用的なインサイトを提供します。

Dynamics 365 Business Central

ビジネス プロセスを自動化および合理化し、ビジネスの管理を支援する中小規模組織向けのビジネス管理ソリューション

Dynamics 365 Commerce

バックオフィス、インストア、コールセンター、デジタルエクスペリエンスを統合した包括的なオムニチャネルソリューション

Dynamics 365 Customer Engagement

営業、カスタマーサービス、フィールドサービス、プロジェクトサービス、マーケティングの機能を組織に提供するサービス

Dynamics 365 Customer Service

顧客サポート機能に対応するためのアカウント、連絡先、ケース、SLA、KPI、ナレッジベース記事、その他の機能など、顧客サービスに関連する業務へのアクセスを提供

Dynamics 365 Field Service

検査、顧客とのアポイントメントやアクティビティなど、現場での顧客対応業務の管理と追跡を可能にします。能力と可用性に基づいてタスクに適したリソースを識別するための自動化機能を提供

Dynamics 365 Finance

財務業務の自動化と近代化を可能にし、リアルタイムのパフォーマンス監視と、ビジネスの成長を促進し、将来の成果を予測するためのデータに基づいた意思決定を行う能力を提供

Dynamics 365 Finance and Operations

ビジネスプロセスを自動化・効率化し、組織のビジネス管理を支援する中堅・中小企業向けのビジネス管理ソリューションです。

Dynamics 365 Fraud Protection

電子商取引における支払い詐欺対策と関連するシナリオに焦点を当てて不正損失ソリューション

Dynamics 365 Human Resources

データ駆動型の従業員体験を構築するために必要なワークフォース・インサイト

Dynamics 365 Marketing

見込顧客を取引関係に変換するのに役立つマーケティング自動化アプリケーション

Dynamics 365 Portals

Dynamics 365 の利用者・管理者向けポータル機能

Dynamics 365 Project Service Automation

プロジェクトのポートフォリオとプロジェクトの実行に必要なリソースの管理と追跡を可能にするアプリケーション

Dynamics 365 Sales

営業担当者は顧客との強い関係を構築するためのアプリケーション

Dynamics 365 Supply Chain Management

資産管理、原価計算、原価管理、在庫管理、IoTインテリジェンス、マスタープランニング、調達・調達、製品情報管理、生産管理、販売・マーケティング、サービス管理、輸送管理、倉庫管理など、組織を支援するために設計されたビジネス管理ソリューション

日本国内のデータセンター 海外のデータセンター
日本国内のデータセンター

西日本リージョン Japan West

Osaka, Japan (OSA01/02/20/21/22)

東日本リージョン Japan East

Tokyo, Japan (KAW, TYO01/20/21/22/31)

ISMAP の認定監査組織およびプロバイダー製品認証の最初の時期が 2021 年 2 月~ 3 月頃になると 2020 年 8 月に発表されました。発表時期から十分な時間が確保できるわけではありませんが、当該時期を目指して準備を進めております。

ISMAP の監査および認証は本年より開始された制度であり、いまだ認証を受けたサービスはございません。このため、監査法人による監査の内容や ISMAP 運営員会による認証などにかかる時間や要求される内容が完全に判明してわけではありません。このため取得について対応を実施していることは表明できても、取得時期等についてはお約束できるものではないことについては予めご理解ください。

取得対象予定スコープには含まれています。

具体的には「Microsoft Azure, Dynamics 365, and Other Online Services」の Other Online Services の中に大半のサービスが含まれています。

既にグローバルで監査が実施され情報を公開している SOC2 監査レポートや ISO27000 シリーズ認証、FedRAMP 認証などの監査がすべて当該区分で実施されており、監査の実施単位 (ガバナンス) を他の監査制度等と合致させて実施することを予定しています。

SOC2 監査レポート、ISMS、FedRAMP などの監査報告書やレポートはマイクロソフトのクラウドサービスご契約者様は情報を閲覧することが可能ですのでこちらの Web サイトよりご確認ください。

FedRAMP SSP (System Security Plan) をこちらの Web サイトからご確認ください。

FedRAMP レポートの中には Azure および O365 の SSP (System Security Plan) のファイルが存在し、SSP のファイル内には詳細な対象サービス名が記載されています。米国の政府機関向け認証制度である FedRAMP と日本の政府機関向けの認証制度である ISMAP は同一のスコープで監査および認証を取得する予定です。

  • 2020/9/8 現在の最新ファイル
    Microsoft Azure Commercial Cloud FedRAMP System Security Plan v3.3 20191218
    Office 365 – MT FedRAMP SSP v7.01 (2019)

Azure SSP の場合、以下が対象サービスとなります。

  • [9.2.1.Infrastructure and Platforms a Service Offerings]に記載のサービス
  • [9.2.2.Software as a Service Offerings]に記載のサービス

O365 SSP の場合には、[9.5. Service Description]に記載のサービスが対象となります。

Microsoft Cloud App Security という正式名称で、Azure SSP のファイルに記載があります。正式名称で検索しても出てこない場合には、現時点で監査が実施されていないサービスの場合があり、監査が実施されていない場合には日本でも監査認証を取得することはできない可能性があります。詳細は担当営業までお問い合わせください。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。