セキュリティ インシデント管理の概要
セキュリティ インシデントとは
Microsoft では、過失または違法な破壊、紛失、改ざん、不正開示、Microsoft によって処理される顧客データまたは個人情報へのアクセスにつながるセキュリティ違反を、オンライン サービスにおいて確認されたセキュリティ インシデントと定義します。 たとえば、Microsoft オンライン サービス インフラストラクチャへの不正アクセスと顧客データの流出はセキュリティ インシデントを構成しますが、サービスや顧客データの機密性、整合性、可用性に影響を与えないコンプライアンス イベントはセキュリティ インシデントとは見なされません。
Microsoft はセキュリティ インシデントにどのように対応しますか?
セキュリティ インシデントが発生するたびに、Microsoft は Microsoft サービスと顧客データを保護するために迅速かつ効果的に対応するよう努めています。 Microsoft では、セキュリティ上の脅威を迅速かつ効率的に調査、封じ込め、削除するように設計されたインシデント対応戦略を採用しています。
Microsoft クラウド サービスは、侵害の兆候がないか継続的に監視されます。 自動セキュリティ監視とアラートに加えて、すべての従業員は、潜在的なセキュリティ インシデントの兆候を認識して報告するための年次トレーニングを受けます。 従業員、顧客、またはセキュリティ監視ツールによって検出された疑わしいアクティビティは、調査のためにサービス固有のセキュリティ対応チームにエスカレートされます。 サービス固有のセキュリティ対応チームを含むすべてのサービス運用チームは、インシデント対応 24 時間 365 分の 1 のリソースを確実に利用できるように、呼び出し時の深いローテーションを維持します。 Microsoft のオンコール ローテーションを使用すると、Microsoft は、広範なイベントや同時イベントを含め、いつでもまたは大規模に効果的なインシデント対応をマウントできます。
疑わしいアクティビティが検出されてエスカレートされると、サービス固有のセキュリティ対応チームが 分析、封じ込め、根絶、回復のプロセスを開始します。 これらのチームは、潜在的なインシデントの分析を調整して、顧客や顧客データへの影響など、その範囲を決定します。 この分析に基づいて、サービス固有のセキュリティ対応チームは、影響を受けるサービス チームと協力して、脅威を含め、インシデントの影響を最小限に抑え、環境からの脅威を根絶し、既知の安全な状態に完全に復旧する計画を策定します。 関連するサービス チームは、サービス固有のセキュリティ対応チームのサポートを受けて計画を実装し、脅威が正常に排除され、影響を受けるサービスが完全に復旧することを保証します。
インシデントが解決されると、サービス チームはインシデントから学んだ教訓を実装して、今後同様のインシデントをより適切に防止、検出、対応します。 セキュリティ インシデント (特に、顧客に影響を与えるインシデントやデータ侵害の結果となるインシデント) を選択すると、事後完全なインシデントが発生します。 事後検討は、技術的過失、手続き上の失敗、手動エラー、およびインシデントの原因となった可能性がある、またはインシデント対応プロセス中に特定されたその他のプロセスの欠陥を特定するように設計されています。 事後分析中に特定された機能強化は、将来のインシデントを防ぎ、検出と対応の機能を向上させるために、サービス固有のセキュリティ対応チームの調整によって実装されます。
セキュリティインシデントやプライバシー インシデントについて、お客様に通知を受け取る方法とタイミング
Microsoft は、お客様のデータの不正な損失、開示、または変更に関するセキュリティ違反を認識するたびに、 データ保護補遺 (DPA) に記載されているように、影響を受けるお客様に 72 時間以内に通知します。 正式なセキュリティ インシデント宣言が発生すると、通知のタイムライン コミットメントが始まります。 セキュリティ インシデントが宣言されると、通知プロセスは、過度な遅延を発生させずに、可能な限り迅速に実行されます。
通知には、侵害の性質、ユーザーへの影響の概算、軽減手順 (該当する場合) の説明が含まれます。 最初の通知時に Microsoft の調査が完了していない場合、通知は後続の通信の次の手順とタイムラインも示します。
データ侵害を含むがこれに限定されない Microsoft に影響を与える可能性のあるインシデントを顧客が認識した場合、お客様は、DPA で定義されているインシデントを Microsoft に迅速に通知する責任を負います。
関連する外部規制 & 認定
Microsoft のオンライン サービスは、外部の規制と認定に準拠するために定期的に監査されます。 インシデント管理に関連するコントロールの検証については、次の表を参照してください。
Azure と Dynamics 365
| 外部監査 | Section | 最新のレポート日 |
|---|---|---|
|
ISO 27001 適用性に関する声明 証明書 |
A.16.1: 情報セキュリティ インシデントの管理と改善 | 2024 年 4 月 8 日 |
|
ISO 27017 適用性に関する声明 証明書 |
A.16.1: 情報セキュリティ インシデントの管理と改善 | 2024 年 4 月 8 日 |
|
ISO 27018 適用性に関する声明 証明書 |
A.9.1: PII に関連するデータ侵害の通知 | 2024 年 4 月 8 日 |
| SOC 1 | IM-1: インシデント管理フレームワーク IM-2: 検出メカニズムとアラート IM-3: インシデント対応の実行 IM-4: インシデント事後分析 IM-6: インシデント対応テスト OA-7: オンコール エンジニア アクセス |
2024 年 8 月 16 日 |
|
SOC 2 SOC 3 |
CCM-9: フォレンジック手順 CUEC: インシデントの報告 IM-1: インシデント管理フレームワーク IM-2: 検出メカニズムとアラート IM-3: インシデント対応の実行 IM-4: インシデント事後分析 IM-6: インシデント対応テスト OA-7: オンコール エンジニア アクセス SOC2-6: カスタマー サポート Web サイト SOC2-9: サービス ダッシュボード |
2024 年 5 月 20 日 |
Microsoft 365
| 外部監査 | Section | 最新のレポート日 |
|---|---|---|
| FedRAMP | IR-4: インシデント処理 IR-6: インシデント レポート IR-8: インシデント対応計画 |
2024 年 8 月 21 日 |
|
ISO 27001/27017 適用性に関する声明 認定 (27001) 認定 (27017) |
A.16.1: 情報セキュリティ インシデントの管理と改善 | 2024 年 3 月 |
|
ISO 27018 適用性に関する声明 証明書 |
A.10.1: PII に関連するデータ侵害の通知 | 2024 年 3 月 |
| SOC 1 | CA-26: セキュリティ インシデントレポート CA-47: インシデント対応 |
2024 年 8 月 1 日 |
| SOC 2 | CA-12: サービス レベル アグリーメント (SLA) CA-13: インシデント対応ガイド CA-15: サービス正常性通知 CA-26: セキュリティ インシデントレポート CA-29: オンコール エンジニア CA-47: インシデント対応 |
2024 年 1 月 23 日 |
| SOC 3 | CUEC-08: インシデントの報告 | 2024 年 1 月 23 日 |