システムと組織管理 (SOC) 3
SOC 3 の概要
サービス提供組織におけるシステムと組織管理 (SOC) は、米国公認会計士協会 (AICPA) によって作成された内部統制レポートです。 エンド ユーザーがアウトソーシングされたサービスに関連するリスクを評価して対処できるように、サービス organizationによって提供されるサービスを調査することを目的としています。
サービス組織向け SOC 3: 一般的な使用に関する信頼サービス基準レポートは、サービス organizationの制御に関する保証を必要とするが、完全な SOC 2 レポートを必要としない、または SOC 2 で受け取る資格がないユーザー向けの SOC 2 Type 2 構成証明レポートの簡単な概要です。 SOC 3 レポートは一般向けのレポートであるため、自由に配布できます。
SOC 3 レポートには、適用される信頼サービスの基準に基づくコミットメントを達成するための制御の有効性に関するサービスorganization管理による書面によるアサーションと、管理のアサーションが公正に記載されているかどうかに関するサービス監査人の意見が含まれています。
Microsoft が提供範囲とするクラウド プラットフォームとサービス
Microsoft が提供範囲とするサービスは、「Azure SOC 2 Type 2 認証レポート」に示されています。
- Azure (詳細な分析情報については、Microsoft Azure コンプライアンス オファリング または Azure SOC 2 Type 2 認証レポートを参照してください)
- Dynamics 365 (詳細な分析情報については、Azure SOC 2 Type 2 認証レポートを参照してください)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Forms Pro
- Microsoft Intune
- Microsoft マネージド デスクトップ
- Microsoft Stream
- Microsoft 脅威エキスパート
- Nomination Portal
- Office 365、Office 365 U.S. Government、Office 365 U.S. Government - High、Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Update Compliance
Azure、Dynamics 365、および SOC 3
Azure、Dynamics 365、およびその他のオンライン サービス コンプライアンスの詳細情報については、Azure SOC 3 オファリングを参照してください。
Office 365 および SOC 3
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
適用性 | 範囲内のサービス |
---|---|
商用 | コンプライアンス マネージャー、カスタマー ロックボックス、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus)、Microsoft Teams、MyAnalytics、Office 365 カスタマー ポータル、Office 365マイクロサービス (Kaizala、ObjectStore、Sway、PowerPoint Online Document Service、Query Annotation Service、School Data Sync、Siphon、Speech、StaffHub、eXtensible Application Program)、Office Online、Office Services Infrastructure、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、Project Online、Microsoft Purview カスタマー キーを使用したサービス暗号化、SharePoint Online、Skype for Business |
GCC | Microsoft Entra ID、コンプライアンス マネージャー、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
GCC High | Microsoft Entra ID、Exchange Online、Flow、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business |
DoD | Microsoft Entra ID、Exchange Online、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ & コンプライアンスCenter、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power Automate、Power BI、SharePoint Online、Skype for Business |
Office 365 監査レポート
必要に応じて SOC 1 および SOC 2 の認証レポートと任意のブリッジ レターをダウンロードするには、Office 365 または Office 365 U.S. Government に既存のサブスクリプションまたは無料試用版アカウントが必要です。
よく寄せられる質問
Office 365 SOC レポートが発行される頻度はどれくらいですか?
Microsoft は、Office 365の SOC 1 Type 2 および SOC 2 Type 2 の完全な検査を毎年委託しています。 これらの審査に関する監査人のレポート (監査とも呼ばれます) は、その監査の準備が整うとすぐに発行されます。 SOC 3レポートは、SOC 2の審査に基づいて、同時に発行されます。
Microsoft は、審査の調査範囲や監査人の完了期間を制御しないため、これらのレポートが発行される期間は設定されていません。 レポートは、通常、審査中の期間が終了した数ヶ月後に発行されます。 Microsoft では、1 つの検査から次の検査までの連続した期間のギャップを許可しません。
また、Microsoft は、SOC Type 2 の最後の監査以降に発行された新しい Microsoft サービスに対して、Office 365の中年 SOC 1 Type 1 および SOC 2 Type 1 の調査を委託しています。 種類 1 の監査では、一定期間のパフォーマンスは振り返りません。
Office 365の高度な性質により、全体として調べれば、サービス スコープは大きくなります。 これにより、スケールによる検査完了の遅延が発生する可能性があります。 Microsoft では、上記のすべての調査を 2 つのカテゴリ (Core Services とマイクロサービス) に整理しています。 Microsoft は、各調査の対象範囲のレポートを発行します。
SOC タイプ 2 の監査では、ローリング 12 か月間の 実行期間 (監査期間または正式には パフォーマンス期間とも呼ばれます) を調べ、翌年の 10 月 1 日から 9 月 30 日までの期間に毎年実施される検査が行われます。 検査は、パフォーマンスの期間が完了した後、すぐに開始されます。
Microsoft では、ブリッジ文字 ( ギャップ文字とも呼ばれます) も発行します。 これらは Microsoft による自己構成証明であり、監査人による審査に基づくレポートではありません。 ブリッジ文字は、まだ完了しておらず、監査検査の準備が整っていない現在のパフォーマンス期間中に発行されます。 Microsoft は、前の 3 か月間のパフォーマンスを証明するために、四半期末にブリッジ文字を発行します。 SOC タイプ 2 監査のパフォーマンス期間により、ブリッジ文字は通常、現在の運用期間の 12 月、3 月、6 月、および 9 月に発行されます。
Microsoft のブリッジレターを含むOFFICE 365 SOC 監査ドキュメントはどこで入手できますか?
監査ドキュメントへのリンクについては、Service Trust Portal の監査レポートセクションを参照してください。 ログインするには、Office 365または Office 365 米国政府機関に既存のサブスクリプションまたは無料試用版アカウントが必要です。 監査証明書、評価レポート、およびその他の該当するドキュメントをダウンロードして、独自の規制要件に役立てることができます。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。