Azure のローカル標準とセキュリティ標準
この記事では、Azure Local に関連するセキュリティ標準について説明します。 この記事で詳しく説明するリソース (認定や評価レポートなど) は、コンプライアンス計画に役立つソースとして使用できます。
この記事の各セクションでは、Azure Local と特定のセキュリティ標準に関する情報と、完了した認定について説明します。
連邦情報処理標準 (FIPS) 140
Federal Information Processing Standard (FIPS) 140 は、情報技術製品およびシステムの暗号化モジュールの最小セキュリティ要件を指定する米国政府のセキュリティ標準です。 Azure Local は、FIPS 140 検証の長い歴史を持つ Windows Server データセンター上に構築されています。
次の表に、Azure ローカル FIPS 140 検証の現在の状態を示します。 Windows Server Datacenter の暗号化モジュールとアルゴリズムの関連する FIPS 140 検証の詳細については、「 FIPS 140 検証を参照してください。
| 製品 | 評価の状態 | 詳細 |
|---|---|---|
| Azure Local バージョン 22H2 | 処理中 | プロセス内の NIST モジュールに関する一覧 |
| Azure Local バージョン 21H2 | 処理中 | カーネル モード暗号化プリミティブ ライブラリ #4766 |
情報技術セキュリティ評価の一般的な基準 (CC)
Microsoft は、製品とサービスのセキュリティの最適化に取り組んでいます。 この取り組みの一環として、Microsoft は 情報技術セキュリティ評価基準 プログラム (CC) をサポートし、関連する Common Criteria Protection Profiles に必要な機能を製品に確実に組み込み、複数のオペレーティング システム製品の共通基準認定を完了します。
次の表に、Azure Local Common Criteria 認定の現在の状態と、関連する認定ドキュメントを示します。 Common Criteria 認定に対する Microsoft のアプローチの詳細については、「 Common Criteria certifications」を参照してください。
| 製品 | 評価の状態 | 詳細 |
|---|---|---|
| Azure Local バージョン 22H2 | 完了 2024 年 1 月 17 日 | 汎用オペレーティング システムの保護プロファイル、VPN クライアント用 PP モジュール、ワイヤレス ローカル エリア ネットワーク クライアント用 PP モジュール、および Bluetooth 用 PP モジュールが含まれます。 認定ドキュメント: Security Target、 Administrative Guide、 Assurance Activity Report、および Certification Report |
| Azure Local バージョン 21H2 | 完了 2022 年 11 月 21 日 | 汎用オペレーティング システム保護プロファイル、WLAN クライアント用拡張パッケージ、VPN クライアント用 PP モジュールが含まれます。 認定ドキュメント: Security Target、 Administrative Guide、 Assurance Activity Report、および Certification Report |
| Azure Local バージョン 21H2 | 完了 2022 年 1 月 12 日 | 汎用オペレーティング システム保護プロファイル、WLAN クライアント用拡張パッケージ、VPN クライアント用 PP モジュールが含まれます。 認定ドキュメント: Security Target、 Administrative Guide、 Assurance Activity Report、および Certification Report |
国際標準化機構 (ISO/IEC) 27001:2022
ISO/IEC 27001 は、情報セキュリティを明示的な管理制御下に持ち込むための情報セキュリティ管理システム (ISMS) を正式に指定する標準です。 この標準は、組織がグローバル標準に従ってデータを管理および保護し、データ 漏洩のリスクを軽減することを保証します。 ISO/IEC 27001 の認定は、組織が情報セキュリティに関連する多数の規制および法的要件に準拠するのに役立ちます。
次のガイダンスでは、Azure Local のセキュリティ機能を使用して ISO/IEC 27001:2022 への準拠を維持する方法について詳しく説明します。
Payment Card Industry (PCI) Data Security Standards (DSS)
Payment Card Industry (PCI) Data Security Standards (DSS)は、クレジット カード データの制御を強化することで不正行為を防止するように設計されたグローバルな情報セキュリティ標準です。 PCI DSS は、カード所有者データを格納、処理、または送信する場合、任意のサイズの組織に必要です。 これらの組織には、販売者、支払い処理者、発行者、取得者、サービス プロバイダーが含まれます (ただし、これらに限定されません)。
Azure クラウド サービスには、Azure Local の PCI DSS 検証だけでなく、ハイブリッド環境全体でさまざまな機能が用意されており、独自の PCI DSS 検証を取得するための関連する労力とコストを削減するのに役立ちます。 詳細については、次のガイダンスを参照してください。
医療保険の携行性と責任に関する 1996 年の法律 (HIPAA)
1996年の ヘルス保険の移植性と説明責任に関する法律(HIPAA) は、患者の機密情報のプライバシー、セキュリティ、整合性を保護するために米国保健福祉省(HHS)が定めた一連の規則と規制です。 HIPAA は、医師のオフィス、病院、医療保険業者、その他の医療企業を含む (ただしこれらに限定されない) 電子保護医療情報 (PHI) を作成、受信、維持、または送信するすべての組織または個人に適用されます。
HIPAA への準拠は、医療ソリューション企業にとって不可欠ですが、困難な作業です。 ハイブリッド IT 環境を開発するために Azure Local を選択した場合は、組み込みの機能とクラウド統合サービスを利用して、HIPAA コンプライアンスの達成と維持の多くの側面を自動化できます。 詳細については、次のガイダンスを参照してください。
US Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP は、クラウド コンピューティング製品とサービスを評価、監視、承認するための標準化されたプロセスを提供します。 これにより、米国連邦政府機関向けのセキュリティで保護されたクラウド ソリューションの導入が簡素化され、Microsoft などのプロバイダーがこれらの機関にサービスを提供できるようになります。 FedRAMP 承認の取得は非常に重要ですが、連邦機関と連携しようとするクラウド サービス プロバイダーにとって大きな課題となります。 これに対処するために、認定の取り組みをサポートするために、関連するサービスやその他の関連情報を明確にするガイダンスを提供します。