利用しているクラウド サービスでは、セキュリティに最高レベルの国際標準が設定されていますか
(この記事は Whymicrosoft.com に 2012 年 2 月 3 日に投稿された記事の翻訳です)
マイクロソフトでは、人々のやり取りが毎日数千回も国や企業の境界を越えて行われていること、また、多くのビジネスではトランザクションは国内でのみ発生していることを理解しています。ビジネス データは従業員、事業運営、お客様、およびパートナーに対して機密性の高い資産であるため、マイクロソフトでは、お客様のデータが世界のどこにあろうとも、セキュリティで保護されるようにしています。政府や機関との取り組みを通じて、マイクロソフトでは、さまざまな国際的な標準、規制、および契約条項に従うことの重要性を理解しています。
国境を越えるデータ セキュリティとデータ転送に影響する数多くの法令、標準、および要件に関して、常に最新の状態を維持するのは大きな課題です。また、データ セキュリティの国際規制は通常、米国内でビジネスを行う米国企業が従っている規制よりも制限が多くなっています。
国内のデータ保護とコンプライアンス、および国境を越えたデータ保護とコンプライアンスの両方を広く可能な範囲で考慮した場合、クラウド生産性ツールの利用を開始する際に、どのような認定を把握しておく必要があるでしょうか。マイクロソフトは、クラウド サービスを利用するビジネスにとって、データ転送に対処する上で 2 つの標準が特に重要であることを理解しており、最初の主要なクラウド生産性サービスとなることで、次のことを行っています。
Google は、提供しているクラウド サービスに関して、いずれにおいても優位性がありません。
ISO 27001 認定
国境を越える場合と国内の場合の両方について、お客様におけるセキュリティ ベンチマークとしての重要性、およびデータ転送における重要性を認識し、マイクロソフトは国際標準化機構 (ISO) の27000 ファミリ規格に準拠しています。ISO 27001 の広い範囲と高い認知度が組み合わさることで、ISO 27001 は非常に厳しい認定となっています。このファミリ規格では、プライバシー、機密性、およびセキュリティに関する技術的な問題を対象とし、組織内で情報セキュリティ管理を開始、実装、保守、および改善するための確立されたガイドラインと一般原則に対処しています。
ISO 27001/27002 では、数百もの可能なコントロールとコントロール メカニズムについて概要を説明しています。また、ISO 27001/27002 では、情報セキュリティを明確にコントロールするための管理システムを規定しています。ISO 27001 でOffice 365 が認定を受ける際、マイクロソフトはクラウド スイートに高レベルの物理的および論理的なプロセス コントロールと管理セキュリティ コントロールを実装しました。世界的に認知されている ISOが、これらのコントロールを毎年単独で検証しています。
欧州連合 (EU) 標準契約条項
EU 標準契約条項は、お客様が欧州委員会のデータ保護指令への準拠について証明するのを支援します。マイクロソフトでは、Office 365 のお客様との間で保持する個々の契約に EU 標準契約条項を組み込んでいます。これらの条項は、国境を越えて転送されるデータが高いセキュリティ レベルを満たしており、データが欧州外にある場合でもデータが保護されることを要求するものです。
欧州の規制機関では、サービスが準拠していると規制機関が判断するまで、EU のデータ保護指令に対応していない可能性があるサービスの使用を禁止することができるため、欧州内でビジネスを行う企業では、これらの条項に対応していることが重要になります。組織が毎日利用するクラウド生産性サービスへのアクセスが禁止されるというのは、致命的である可能性があります。
EU 標準契約条項に準拠 していることが、Microsoft Office 365 が他のどのクラウド サービス ベンダーよりも、欧州のデータ保護とセキュリティに関する法令により完全なアプローチを行うことができる一因となっています。
米国の Health Insurance Portability and Accountability Act ( 医療保険の携行性と責任に関する法律 )
Office 365 は米国で義務付けられている Health Insurance Portability and Accountability Act (HIPAA) に準拠しています。この準拠により、Office 365 を使用している医療機関では、自信を持ってドキュメント共有を実装したり、ページング、IM、ビデオ会議などのツールを実現するテクノロジを実装しながら、従業員がセキュリティで保護されたあらゆるデバイスから情報にアクセスすることができます。同時に、これらの組織では IT 運用コストを大幅に低減できます。
米国の監査 US SAS/SSAE
American Institute of Certified Public Accountants (AICPA: 米国公認会計士協会) では、セキュリティ コントロール システムの設計を監査し、有効性を実証する 1 つの方法として、SAS/SSAEを策定しました。SAS/SSAE には、組織独自のプロセスのレビューと、組織の取り組みに対する監査法人の評価が含まれています。
この監査レポートに従う際、混乱が生じる可能性があります。SAS/SSAE に関して、規制要件を専門的に扱う米国企業は、「用語 “システム” とその説明がさまざまな意味を持つ場合があり、SSAE 16 に準拠する必要があるサービス組織 (英語) 間で、やや異なるように解釈される場合があります」と述べています。SAS/SSAE では、従う必要があるセキュリティ要件のチェックリストは必須ではありませんが、ISO 27001 では必須です。また、SAS では企業のセキュリティ コントロール システムのレビューが重要であるとは示していませんが、ISO ではこのようなシステムのレビューだけでなく監査も重要であると示しています。
また、マイクロソフトは、Office 365 の SSAE 16 Type 1 の監査に準拠することでお客様を支援しています。Googleでは、ISO 27001 ほどにはクラウド セキュリティに直接関係しない監査レポートを活発に宣伝 (英語) しており、お客様が SSAE 16 を監査レポートではなく認定や標準であると誤って解釈する事態を引き起こしています。SSAE 16 は、組織が自ら規定するコントロールのリストであり、組織がどのようにリストに従うのかを具体化するものです。また、適合性は変化する可能性があるため、組織の一部では、組織のデータ セキュリティ全体に及ぶ影響が少ない、低品質の少ないコントロールのリストに従うことを選択する場合があります。
Office 365 セキュリティセンター
小規模企業から大企業まで、マイクロソフトでは次のことを理解しています。
- データをセキュリティでいかに保護するのかを管理する国際標準が組み込まれた、プライバシーを保護するサービスを使用することが重要です。
- マイクロソフトは、クラウド生産性サービスの提供に高い標準を実現し、お客様データの処理にセキュリティ、プライバシー、および透明性を実現することを約束します。
Office 365 セキュリティ センターでは、前述した標準に関する背景情報を含め、マイクロソフトがいかにして Office 365 のデータを管理しているのかを説明し、マイクロソフトが Office 365 とそのデータ センターの両方について保持している、EU Safe Harbor や FISMA などのその他の認定について説明しています。これは、お客様が、組織に重要な標準にサービスが準拠しているかどうかを評価する際に、役立つリソースです。
Office 365 を選択すれば、次のものを満たすサービスを利用できます。
- さまざまな標準と EU 標準契約条項
- セキュリティに関する厳しいガイドラインが含まれ、遵守と監査の両方に対応した認定を伴う、国際標準
Google Apps を選択すれば、次のようなサービスを利用することになります。
- サービス プロバイダーがいかにして米国の独自の内部セキュリティ コントロールに従ったのかという、SAE 監査にのみ準拠。どちらを選択しますか。