クラウドの内部からの話題: Office 365 におけるコンプライアンス要件への継続的な取り組み
(この記事は 2014 年 6 月 24 日に Office Blogs に投稿された記事 From inside the cloud: How does Office 365 continuously meet your compliance needs? の翻訳です)
投稿者: Office 365 チーム、投稿日: 2014 年 6 月 24 日
今回は、Office 365 ガバナンス リスク & コンプライアンス チームのプリンシパル アーキテクトを務める Shawn Veney の記事をご紹介します。
「クラウドの内部からの話題」シリーズの過去 2 回の投稿では、さまざまな方法でデータを保護している舞台裏についてご紹介し、私の同僚であり、リード エンジニアを務める Perry Clarke と Vivek Sharma が、保存されているデータを保護する方法 (英語) と Office 365 内のデータにアクセス可能なユーザー (英語) をテーマにお話ししました。多層防御のアプローチや、ロック ボックス プロセスによる Office 365 サービスへの管理目的のアクセスの制御など、マイクロソフトの幅広い軽減策について取り上げています。これらのビデオは、エンジニアリング担当コーポレート バイス プレジデント兼 Office 365 担当ゼネラル マネージャーを務める Rajesh Jha が、Office 365 サービスの運用全般においてセキュリティ、プライバシー保護、コンプライアンス、透明性の課題に対応するためにマイクロソフトがどのように取り組んでいるかをご紹介したビデオに続く内容となっています。
今回は、コンプライアンスに着目します。当然のことながら、コンプライアンスは、クラウド生産性サービスへの移行を検討されるお客様から特に高い関心が寄せられる分野です。Office 365 は、必要な業界規制に準拠するだけでは不十分で、お客様やお客様の業界にとって重要な規制にも準拠することが求められています。
今回 3 分間のビデオでご紹介するように、マイクロソフトは継続的なコンプライアンスの確保を目指しています。そのためには、規制の一覧を確認するだけではなく、成長を続ける動的なコンプライアンス フレームワークを構築して維持する必要があります。順を追ってご説明しましょう。
[embed]https://www.youtube.com/watch?v=eU7mcuOuSMk[/embed]
コントロール フレームワーク
マイクロソフトのアプローチの中核をなすのは、世界全体のニーズの評価です。地理的なニーズだけでなく、医療、金融、政府、防衛といった業界ごとのあらゆるニーズを評価しています。これらのニーズは、「コントロール」とも呼ばれ、要件の基盤としての役割を果たします。マイクロソフトのエンジニアリング チームがサービスを設計する際、たとえば、特定の地域にデータを保存する方法や、特定の種類のアクセスを適用する方法を開発する際に、考慮すべき要素として扱われます。今日、Office 365 には 1,000 を超えるコントロールが存在し、その数は依然として増え続けています。だからこそ、この記事ではコンプライアンスへの「継続的な」取り組みについてお伝えしているのです。
業界規制の大半では、同じようなコントロールが求められます。マイクロソフトには、検討中にある草案段階の規制を確認するチームも存在するため、新しい要件を先回りして評価し、必要であれば、対応するコントロールを開発することができます。お客様の業界で新しい規制が施行されたとしても、マイクロソフトは必要となる Office 365 サービス内のコントロールの開発に既に着手している可能性が高いため、お客様の特定のニーズに迅速に対応できるというわけです。さらに、新しいコントロールを追加していくことで、全体のコントロール フレームワークも強化されます。
幅広いコントロール要件に対応できるということは、将来的に要件や規制が新しく施行されたり、変更されたりした場合に、迅速に分析および実装を行うことが可能になります。
また、これらのコントロールが重要である理由は他にもあります。コントロールが存在することで、マイクロソフトという企業自体も、ISO 27001 から、CJIS や SSAE 16、HIPAA などの標準まで、非常に厳格な要件を満たすことができているのです。対応する要件の一覧は、Office 365 セキュリティ センターでご覧いただけます。
コンプライアンスに対応する組み込み機能
コントロール フレームワーク以外にも、Office 365 サービスでは、企業がコンプライアンスに適切に対応するための組み込み機能が提供されています。その 1 つが、データ損失防止 (DLP) です。DLP では、ポリシーを設定することで、企業内外のデータ フローを制御できます。Office 365 サービスのもう 1 つの組み込み機能が、企業内検索およびインプレース保持に使用される電子情報開示です。企業独自のコンプライアンス ニーズに対応するためにアプリケーション ログを取得したり、社内の特定の情報を利用して監査機関や規制当局にガバナンスを証明したりする必要がある場合に、電子情報開示を活用すると効率的に行うことができます。
DLP と電子情報開示の詳細については、今後数週間のうちに、情報保護チームのグループ プリンシパル エンジニアを務める Asaf Kashi と Kamal Janardhan がご紹介する予定です。
マイクロソフトのビジョン
将来のコンプライアンスに関して、マイクロソフトが最終的なビジョンとして掲げているのは、さらなる透明性と機動性の実現です。マイクロソフトは、お客様のコンプライアンスを実現するために、さらに充実したデータと革新的な機能を提供することを目標としています。これらをお客様のリスク管理プログラムに統合することで、Office 365 でのデータを保護および維持する方法について、お客様が監査機関に信頼性の高い詳細情報を提供できるようになると考えています。また、それを実現するために、今日のオンプレミス環境で一般的となっている水準を上回る可視性、コントロール、価値をコンプライアンス担当者に提供することを目指しています。
お客様のコンプライアンス要件に対応するためにマイクロソフトがどのように取り組んでいるのかについて、今回の記事がご参考となれば幸いです。
ぜひお客様のご意見、ご質問をお寄せください。また、このトピックに関する追加情報については、Office 365 セキュリティ センターをご覧ください。
—Shawn Veney