シンガポールの多階層クラウド セキュリティ (MTCS) 標準

MTCS の概要

シンガポールの多階層クラウド セキュリティ (MTCS) 標準は、シンガポール情報通信開発局 (IDA) の 情報技術標準化委員会 (ITSC) の管轄下で策定されました。 ITSC は IT と通信を標準化し、容易にする国家プログラムを推進する委員会で、国際標準化活動へのシンガポールの参画を促進しています。

MTCS は次を提供することを目的としています。

• クラウド上のデータのセキュリティと機密性、およびクラウド サービスの利用によってビジネスに及ぶ影響についての顧客の一般的な懸念事項に対処するために、クラウド サービス プロバイダー (CSP) が適用できる一般的な基準。
• クラウド サービスの使用時に顧客がさらされるリスクに対する、検証可能な運用上の透明性と見通し。

MTCS は、広く認められている ISO/IEC 27001 などの国際基準に基づいており、データ保持、データ統治、データの移植性、責任、可用性、ビジネスの継続性、障害復旧、インシデント管理など、さまざまな分野を対象としています。 また、CSP の機能を、最小限必要な基本的セキュリティ要件に照らして評価し、ランク付けするためのメカニズムも含まれます。

MTCS は、さまざまなセキュリティ レベルを備えた最初のクラウド セキュリティ基準で、どのレベルを提供するかは、認定 CSP が指定できます。 また、基本セキュリティ (レベル 1)、より厳格なガバナンスとテナント制御 (レベル 2)、影響力の大きい情報システムの信頼性と回復性 (レベル 3) の 3 つのセキュリティ レベルで合計 535 個のコントロールがあります。

Microsoft と MTCS

Microsoft クラウド サービスは、MTCS 認定機関による厳格な評価を受けた後、サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのソフトウェア (SaaS) の 3 つのサービス分類のすべてについて MTCS 584:2013 認定を取得しました。 Microsoft は、3 つのサービス分類すべてでこの認定を取得した最初の国際 CSP となりました。

Microsoft Azure サービス (IaaS および PaaS)、Microsoft Dynamics 365 サービス (SaaS)、Microsoft Office 365 サービス (SaaS) が、レベル 3 で認定されました。 レベル 3 認定は、対象となる Microsoft クラウド サービスが、最も厳密なセキュリティ要件を持つ規制組織の影響力の大きいデータをホストできることを意味します。 このレベルは、シンガポール政府のクラウド ソリューション実装に必要です。

対象となる Microsoft のクラウド プラットフォームとサービス

• Azure
• Dynamics 365 オンライン サービス (ビジネス セントラル、コマース、カスタマー サービス、フィールド サービス、ファイナンス、不正防止、マーケティング、販売、サプライ チェーン管理)
• Genomics
• Intune
• Microsoft Defender for Cloud Apps
• Microsoft Graph
• Microsoft Healthcare Bot
• Office 365
• OMS Service Map
• PowerApps
• Power BI

Office 365 と MTCS

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

• クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
• Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
• Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
• Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
• Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性	範囲内のサービス
商用	Delve、Exchange Online、Exchange Online Protection Loki、Microsoft Teams、Office 365 Customer Portal、Office Online、Office Service Infrastructure、SharePoint Online、Skype for Business

監査、レポート、証明書

認定の有効期間は 3 年で、年次サーベイランス監査が実施されます。

Microsoft MTCS 認定

• Microsoft Azure およびその他のオンライン サービス
• Dynamics 365
• Office 365

Microsoft MTCS クラウド サービス プロバイダーの開示

• Microsoft Azure およびその他のオンライン サービス
• Dynamics 365
• Intune
• Office 365

よく寄せられる質問

この標準はだれに適用されますか?

MTCS 基準に準拠する必要があるクラウド サービスを購入したシンガポール内の企業に適用されます。

MTCS セキュリティ レベルはそれぞれどう違うのですか?

MTCS には合計で 535 個の制御があり、3 つのセキュリティ レベルが用意されています。

• レベル 1 は、コストを抑えるために、最小限必要な基本的セキュリティ コントロールのみを備えています。 Web サイトのホスト、テストと開発作業、シミュレーション、およびクリティカルではないビジネス アプリケーションに適しています。
• レベル 2 は、データのセキュリティについて不安を抱えるほとんどの組織のニーズに対応し、データに対するセキュリティ リスクと脅威を対象とした厳格な制御を備えています。 レベル 2 は、ミッションクリティカルなビジネス アプリケーションを含め、クラウド使用のほとんどに適用できます。
• レベル 3 は、特定の要件を持つ規制組織や、より厳しいセキュリティ要件に対してコストをかけてもかまわない組織を対象としています。 レベル 3 では、レベル 1 と 2 のセキュリティ コントロールを補完する一連の制御が追加されます。 規制システム内の機密情報が含まれるホスト アプリケーションなど、クラウド サービスを利用している、影響力の大きい情報システムへのセキュリティ リスクおよび脅威には、この制御で対処します。

組織でのコンプライアンス活動は、何から始めればよいですか?

MTCS 認証制度には、監査制御とセキュリティ要件に関するガイダンスが記載されています。

Microsoft のコンプライアンスを自分の組織の認定プロセスに利用できますか?

はい。 Microsoft クラウド サービスに基づくサービスを認定する必要がある場合は、MTCS 認定を使用して、IT インフラの監査の影響を軽減できます (ただし、そのインフラがサービスに依存している場合)。 ただし、コンプライアンスや、組織内の統制およびプロセスに関して、実装を評価する査定人の手配の責任は、審査を受ける組織が負うものとします。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース

• Microsoft オンライン サービス条件
• Microsoft セキュリティ センターのコンプライアンス