Multi-Tier Cloud Security (MTCS) Standard for Singapore

マイクロソフトは Multi-Tier Cloud Security Standard for Singapore の認定をすでに取得しています。

マイクロソフトと MTCS

マイクロソフト クラウド サービスは、MTCS 認定機関による厳格な評価を受けた後、Infrastructure as a Service (IaaS)、Platform as a Service (PaaS)、Software as a Service (SaaS) の 3 つのサービス分類のすべてについて MTCS 584:2013 認定を取得しました。マイクロソフトは、3 つのサービス分類すべてでこの認定を取得した最初の国際 CSP となりました。

Microsoft Azure サービス (IaaS および PaaS)、Microsoft Dynamics 365 サービス (SaaS)、Microsoft Office 365 サービス (SaaS) が、レベル 3 で認定されました。レベル 3 認定は、対象となるマイクロソフト クラウド サービスが、最も厳密なセキュリティ要件を持つ規制組織の影響力の大きいデータをホストできることを意味します。シンガポール政府により、この認定は特定のクラウド ソリューション実装の要件として定められています。

Microsoft Cloud における MTCS のメリットを確認してください。

MTCS Standard for Singapore の背景情報をダウンロード

対象となるマイクロソフトのクラウド サービス

監査、レポート、認証

認定の有効期間は 3 年間です。この間、年次サーベイランス監査が実施されます。

MTCS の概要

Multi-Tier Cloud Security (MTCS) Standard for Singapore は、Infocomm Development Authority of Singapore (IDA) の Information Technology Standards Committee (ITSC) の管轄下で策定されました。ITSC は IT と通信を標準化する国家プログラムを推進する委員会で、国際標準化活動へのシンガポールの参画を促進しています。

MTCS は次を提供することを目的としています。

  • クラウド上のデータのセキュリティと機密性、およびクラウド サービスの利用によってビジネスに及ぶ影響についての顧客の一般的な懸念事項に対処するために、クラウド サービス プロバイダー (CSP) が適用できる一般的な基準。
  • クラウド サービスの使用時に顧客がさらされるリスクに対する、検証可能な運用上の透明性と見通し。

MTCS は、広く認められている ISO/IEC 27001 などの国際基準に基づいており、データ保持、データ統治、データの移植性、責任、可用性、ビジネスの継続性、障害復旧、インシデント管理など、さまざまな分野を対象としています。また、CSP の機能を、最小限必要な基本的セキュリティ要件に照らして評価し、ランク付けするためのメカニズムも含まれます。

MTCS は、さまざまなセキュリティ レベルを備えた最初のクラウド セキュリティ基準で、どのレベルを提供するかは、認定 CSP が指定できます。また、基本セキュリティ (レベル 1)、より厳格なガバナンスとテナント制御 (レベル 2)、影響力の大きい情報システムの信頼性と回復性 (レベル 3) の 3 つのセキュリティ レベルで合計 535 個のコントロールがあります。

GDPR コンプライアンスを評価する

組織が個人データの保護要件を満たしているかご確認ください。簡単な 10 の質問からなるインタラクティブな評価を実施して、GDPR への準拠の準備状況をすぐに把握できます。

アセスメントを実施する

よくあるご質問

すべて展開

MTCS 基準に準拠する必要があるクラウド サービスを購入したシンガポール内の企業に適用されます。

MTCS には合計で 535 個の制御があり、3 つのセキュリティ レベルが用意されています。

  • レベル 1 は、コストを抑えるために、最小限必要な基本的セキュリティ コントロールのみを備えています。Web サイトのホスト、テストと開発作業、シミュレーション、およびクリティカルではないビジネス アプリケーションに適しています。
  • レベル 2 は、データのセキュリティについて不安を抱えるほとんどの組織のニーズに対応し、データに対するセキュリティ リスクと脅威を対象とした厳格な制御を備えています。レベル 2 は、ミッションクリティカルなビジネス アプリケーションを含め、クラウド使用のほとんどに適用できます。
  • レベル 3 は、特定の要件を持つ規制組織や、より厳しいセキュリティ要件に対してコストをかけてもかまわない組織を対象としています。レベル 3 では、レベル 1 と 2 のセキュリティ コントロールを補完する一連の制御が追加されます。規制システム内の機密情報が含まれるホスト アプリケーションなど、クラウド サービスを利用している、影響力の大きい情報システムへのセキュリティ リスクおよび脅威には、この制御で対処します。

MTCS SS Implementation Guideline Report に、監査コントロールとセキュリティ要件に関するガイダンスが記載されています。

はい。マイクロソフト クラウド サービスに基づくサービスを認定する必要がある場合は、MTCS 認定を使用して、IT インフラの監査の影響を軽減できます (ただし、そのインフラがサービスを使用している範囲内に限ります)。ただし、コンプライアンスや、組織内のコントロールおよびプロセスに関して、実装を評価する査定人の手配の責任は、審査を受ける組織が負うものとします。