国防総省 (DoD) 影響レベル 2 (IL2)
DoD IL2 の概要
国防情報システム庁 (DISA) は、DoD クラウド コンピューティング セキュリティ要件ガイド (SRG) の開発と保守を担当する米国国防総省 (DoD) の機関です。 SRG は、クラウド サービス プロバイダー (CSP) のセキュリティ体制を評価するために DoD が使用するベースライン セキュリティ要件を定義し、CSP が DoD ミッションをホストできるようにする DoD 暫定承認 (PA) を付与する決定をサポートします。 これは、以前に公開された DoD クラウド セキュリティ モデル (CSM) を組み込み、置き換え、取り消し、DoD リスク管理フレームワーク (RMF) にマップします。
DISA は、CSP の使用を計画および承認する DoD 機関と部門をガイドします。 また、CSP オファリングが SRG に準拠することを評価します。これは、CSP が DoD 標準への準拠を示すドキュメントを提供する承認プロセスです。 必要に応じて DoD 暫定承認 (PA) を発行するため、DoD 機関や支援組織は、独自の完全な承認プロセスを経ることなくクラウド サービスを使用できるため、時間と労力を節約できます。
コマーシャル クラウド コンピューティング サービスの取得と使用に関する更新されたガイダンスに関する 2014 年 12 月 15 日の DoD CIO メモでは、「FedRAMP はすべての DoD クラウド サービスの最小セキュリティ ベースラインとして機能します」と述べています。 SRG は、すべての情報影響レベル (IL) で FedRAMP Moderate ベースラインを使用し、一部では高ベースラインを考慮します。
FedRAMP セキュリティ制御のSRG セクション 5.1.1 DoD の使用は、セクション 5.6.2 で説明されている担当者のセキュリティ要件に準拠する条件に従って、FedRAMP Moderate PA と DoD レベル 2 PA を最小限に抑えた CSP で IL2 情報がホストされる可能性があることを示しています。 ただし、この方法では、ミッション所有者が要求する他のセキュリティと統合の要件を満たすことから CSP が軽減されることはありません。 SRG セクション 5.2.2.1影響レベル 2 の場所と分離の要件に従って、DoD IL2 PA は、要件が IL2 PA に対して追加で評価されないように、FedRAMP Moderate PA によって適切にカバーされます。
対象となる Microsoft のクラウド プラットフォームとサービス
- Azure
- Dynamics 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Graph
- Microsoft Intune
- Microsoft Stream
- Office 365 米国政府、Office 365 米国政府 - 高
- Power Apps
- Power Automate
- Power BI
Azure、Dynamics 365、DoD IL2
Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、 Azure DoD IL2 オファリングを参照してください。
Office 365 と DoD IL2
Office 365 環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次の Office 365 環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| GCC | アクティビティ フィード サービス、Bing サービス、Bookings、Delve、Exchange Online、Exchange Online Protection、インフラストラクチャ、インテリジェント サービス、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office Service、Office 使用状況レポート、OneDrive for Business、People Card、SharePoint Online、Skype for Business、Windows Ink |
| GCC High | アクティビティ フィード サービス、Bing サービス、予約、Exchange Online、Exchange Online 保護、インテリジェント サービス、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、People Card、SharePoint Online、Skype for Business、Windows Ink |
リソース
- Microsoft Government ソリューション
- DoD クラウド コンピューティングのセキュリティ要件ガイド
- FedRAMP ドキュメント
- NIST SP 800-37情報システムと組織のリスク管理フレームワーク:セキュリティとプライバシーのためのシステム Life-Cycle アプローチ
- NIST SP 800-53情報システムと組織のセキュリティとプライバシーの制御
- DoD Information Technology (IT) 用 DoD 命令 8510.01DoD リスク管理フレームワーク (RMF)