Windows Azure の CSA CCM 認証に関し、SOC 2 Type 2 レポートが発行される

このポストは、8 月 22 日に投稿された Security, Privacy and Compliance チームの Windows Azure Receives SOC 2 Type 2 report with CSA CCM Attestation の翻訳です。

22 日、マイクロソフトの監査法人である Deloitte & Touche LLP が、Windows Azure のセキュリティ、可用性、機密性といった信頼に関する原則、および Cloud Security Alliance (CSA、英語) のクラウド コントロール マトリックス (CCM) 要件に関し、Service Organization Control (SOC) 2 Type 2 レポートを発行したことを発表しました。Windows Azure は、独立した登録公認会計事務所によって CCM に対する認証を受ける、最初のクラウド サービス プロバイダーとなります。

2 月に開催された RSA Conference (英語) において、CSA は米国公認会計士協会 (AICPA、英語) のレポート フレームワークに関する方針説明書を公開しました。これは、クラウド サービス プロバイダーを評価し選択する際に、どの監査レポートが最適か判断するためのガイドラインを示すものです。CSA は方針説明書の中で、SOC レポートと共に CSA クラウド コントロール マトリックスの基準を活用すれば、大半のクラウド サービス ユーザーの保証とレポートのニーズを満たせる可能性が高くなることを強調しています。CSA の方針 (英語) として、レポート内の複合的な基準を参照することにより、クラウド サービス プロバイダーを理解し評価するまでにかかる時間やコストを削減すると同時に、このサービスが広範な国際的要件を満たしていることについてお客様の信頼をさらに高めることが掲げられています。

Windows Azure のセキュリティ、プライバシー、およびコンプライアンス戦略には、世界トップクラスのソリューションと、Windows Azure のメリットを理解するうえで役立つリソースを提供することを目指す、マイクロソフトの取り組みが反映されています。Windows Azure の「Request for Information (情報提供依頼書) に対する標準的なレスポンス セキュリティおよびプライバシー」および Cloud Security Alliance STAR の記事 (英語)は、Windows Azure トラスト センターで最も頻繁にアクセスされているリソースです。これらのリソースは、サービス プロバイダーの評価に役立ちますが、それだけでなく、Windows Azure のセキュリティ制御とプロセスによってデータやアプリケーションを保護しているお客様のコンプライアンス プログラムに、情報を共有しサポートするためにも活用できます。

同時監査および複数の規格に対する認証を目指すという、業界初のアプローチに着手するにあたって、私たちはいくつかの重要な知見を得ました。それらについて最高セキュリティ責任者委員会に伝えたところ、より直接的なアプローチをとって外部との対話を行い、クラウド サービスでのコンプライアンスのために Azure で推進している技術革新に光を当て、アイデアやリソースを他の専門家と共有するように助言されました。

今後の投稿では、Windows Azure のセキュリティとコンプライアンスのロードマップ、制御のフレームワーク、エンジニアリングのライフ サイクルを通じた統合、Azure プラットフォーム全体での実行、O365 や Global Foundation Services といった内部顧客とのパートナーシップなどについて、より深く掘り下げてお伝えします。それまでは、Windows Azure トラスト センター をご覧いただくか、Twitter で @msftlori をフォローしてください。