Microsoft 365 用アプリ コンプライアンス自動化ツール
この記事では、App Compliance Automation Tool for Microsoft 365 (ACAT) の概要と、コンプライアンスを簡素化して Microsoft 365 認定資格を取得する方法について説明します。
注:
ACAT は現在パブリック プレビュー段階であり、Microsoft Azure とアマゾン ウェブ サービス (AWS) 上に構築されたアプリのみをサポートしています。 今後の更新プログラムには、他のクラウド上に構築されたアプリの機能が含まれます。
注:
ACAT パブリック プレビューにフィードバックを提供する場合は、この フォームに入力してください。 ACAT 製品チームは、メッセージを受け取ったら、できるだけ早くフォローアップを行います。
Microsoft 365 用アプリ コンプライアンス自動化ツールとは
App Compliance Automation Tool for Microsoft 365 (ACAT) は、Microsoft 365 顧客データを使用し、パートナー センターを介して発行されるアプリのコンプライアンス体験を簡素化するのに役立つ、Azure portalのサービスです。 これは、Microsoft 365 認定資格をより簡単かつ便利に完了するのに役立つ、アプリケーション中心のコンプライアンス自動化ツールです。
このツールを使用すると、アプリケーションのコンプライアンス境界をすばやく定義し、コンプライアンスの結果を自動的に監視し、コンプライアンス監査をより簡単に完了できます。 コンプライアンス境界は、アプリとアプリが通信するすべてのバックエンド システムの配信をサポートするクラウド インフラストラクチャです。
ACAT は、Microsoft 365 認定に対するより迅速な追跡を提供するだけでなく、Microsoft 365 アプリケーションのさまざまなコンプライアンス シナリオで役立ちます。
- Microsoft 365 認定の責任に関する詳細なビューと修復手順。
- コンプライアンス評価の自動日次レポートを使用して、アプリケーションを継続的に準拠させ続けます。
- アプリケーション ライフサイクルの初期段階でガイダンスとして使用できるセキュリティとコンプライアンスのベスト プラクティス。
ACAT の利点
アプリケーション中心のコンプライアンス体験。
- ACAT は、アプリケーションのクラウド環境のコンプライアンス評価を報告します。これにより、現在のクラウド インフラストラクチャ コンプライアンス戦略と統合できます。
- 開発者は、アプリ開発フェーズ中でも ACAT を呼び出して、潜在的なコンプライアンス リスクを早期に特定できます。
Microsoft 365 の認定を受けるプロセスを高速化します。
- ACAT は、特定の Microsoft 365 認定コントロールを完全に自動化します。
- Microsoft によって積極的に開発されている自動化リストが継続的に増え続けています。
Microsoft 365 認定ワークフローとのネイティブ統合。
- ACAT は、Microsoft 365 認定目的のパートナー センターと完全に統合されています。
アプリケーションまたは環境を継続的に準拠させます。
- ACAT では、コンプライアンス評価の毎日の更新が保証され、指定したトリガー時間設定に合わせて調整されます。
- ACAT を使用すると、コンプライアンス評価をGitHub Actionsまたはその他の CI/CD パイプラインにシームレスに統合し、継続的な監視を確保できます。
ACAT の概念
規制コンプライアンス レポート
ACAT では、アプリケーションのコンプライアンス レポートを作成することで、アプリケーションのコンプライアンス状態を監査できます。 アプリケーションを構築するクラウド リソースを指定することで、アプリケーションのコンプライアンス境界を定義できます。 異なる開発環境とステージに基づいて、1 つのアプリケーションに対して複数のレポートを作成します。
レポートが作成されると、ACAT は定義済みのトリガー時間に関するコンプライアンス データの収集を開始し、コンプライアンス結果をレポートとして生成します。 一方、ACAT は、レポートを削除するまで、コンプライアンス レポートのコンプライアンスの変更を継続的に監視し続けます。
Microsoft 365 認定制御
ACAT は、コンプライアンス制御を自動化することで、Microsoft 365 認定資格を迅速化します。 自動化の状態に基づいて、ACAT で定義されているコンプライアンス制御には 3 種類があります。
- 完全に自動化された制御: Microsoft の認定コントロールは、ACAT によって完全に自動化されています。
- 部分的な自動手動制御: ACAT は、Microsoft 365 認定制御の部分的な責任を自動化できます。 残りの責任を完了するには、ACAT が提供する指示に従う必要があります。
- 完全な手動制御: ACAT によって提供される指示に従って、すべての責任を完了する必要があります。
長期的には、ACAT は Microsoft 365 認定コントロールの自動化カバレッジを継続的に改善します。
お客様の責任
満足する必要がある各コントロールには、一連の顧客責任が関連付けられています。 これらは、データ、エンドポイント、アカウント、アクセス管理など、ユーザーが保持する責任です。
顧客の手動責任: コンプライアンス証拠を準備し、ACAT にアップロードする必要があります。 その後、ACAT レポートを送信すると、ACAT によってパートナー センターに証拠が転送されます。
自動評価の顧客責任: ACAT は、各責任のデータを収集し、評価結果を提供できます。 異常なリソースに対処するには、リソースを修復するか、リソースの現在の状態を正当化するためのコンプライアンス証拠をさらに提供する必要があります。
自動証拠収集の顧客責任: ACAT の自動証拠収集機能によってサポートされるリソースを含むレポートの場合、ACAT は、簡単なボタン選択プロセスを通じてコンプライアンス証拠を準備するための合理化された支援を提供します。 レポートのリソース 一覧にサポートされているリソースがない場合でも、コンプライアンス証拠を手動でアップロードするオプションは保持されます。
自動評価と自動証拠収集の両方の顧客責任により、Microsoft 365 認定基準に準拠するためのガイドラインである修復アクションが提供されます。
注:
自動評価の顧客責任は、スケジュールされたトリガー時間に基づいて毎日更新されます。 ただし、自動証拠収集の顧客責任は、[ACAT による自動証拠収集] ボタンをクリックしてオンデマンドでのみ更新できます。
Microsoft 365 認定コントロールのコンプライアンス状態を理解する
規制コンプライアンス レポートでは、ACAT は、完全に自動化された制御と部分的な自動化された手動制御ごとに、顧客の責任を定義します。 顧客の責任には、2 つのコンプライアンス状態があります。
- 合格: この顧客の責任に適用できるクラウド リソースは正常です。
- 失敗: 少なくとも 1 つのクラウド リソースが異常です。 修復手順に従って、異常なリソースを解決できます。
- N/A: クラウド リソースはお客様の責任に適用されません。または、このレポートのアプリケーション構成に基づいて、この顧客の責任が適用できないと見なされます。
- アプリ コンプライアンス レビューが必要: 証拠を手動で収集し、この顧客の責任にアップロードします。 アナリストは、Microsoft パートナー ネットワークで Microsoft 365 認定要求を送信した後、徹底的なレビューを行います。
Microsoft 365 認定コントロールのコンプライアンス状態は、お客様の責任のコンプライアンス状態に依存します。
- 合格: この Microsoft 365 認定コントロールの [失敗] または [アプリ コンプライアンス レビューが必要] の状態では、お客様の責任は負いません。
- 失敗: この Microsoft 365 認定コントロールに関連して、少なくとも 1 つの顧客責任が失敗しました。
- N/A: この Microsoft 365 認定コントロールに対するすべてのお客様の責任は、"N/A" 状態です。
- アプリ コンプライアンス レビューが必要: 少なくとも 1 つの顧客の責任が "アプリ コンプライアンス レビューが必要" 状態です。 アナリストは、Microsoft パートナー ネットワークで Microsoft 365 認定要求を送信した後、徹底的なレビューを行います。
FAQ
手動コントロールと部分的に自動化されたコントロールとは
各コンプライアンス制御は特定の顧客責任セットにリンクされ、ACAT はそれに応じてコンプライアンス データを収集します。 ACAT では、Microsoft 365 サーティフィケーションのすべてのコントロールがカバーされているわけではありません (ただし、カバレッジの拡大に向けた取り組みが進行中です)。 部分的に自動化された制御の場合、ACAT は顧客の責任の特定の側面を自動化します。 部分的に自動化された制御による評価結果は Microsoft 365 認定監査に貢献し、残りの要件を満たすためには、追加のアクションが必要です。 ただし、手動制御の場合、ACAT は現在、顧客の責任を自動化しません。
コントロールが完全に自動化されているかどうかを確認するにはどうすればよいですか?
ACAT は、制御の自動化を継続的に強化します。 コントロールオートメーションの現在の状態を次に示します。
| セキュリティ ドメイン | コントロール ファミリ | コントロール番号 | ACAT Automation の状態 | AWS の ACAT Automation 状態 |
|---|---|---|---|---|
| 運用セキュリティ | 意識向上トレーニング | コントロール 1 | Manual | Manual |
| 運用セキュリティ | マルウェア対策 - ウイルス対策 | コントロール 2 | 完全自動化 | 部分自動化 |
| 運用セキュリティ | マルウェア保護 - アプリケーション制御 | コントロール 3 | Manual | Manual |
| 運用セキュリティ | パッチ管理 - パッチの適用 & リスクランキング | コントロール 4 | Manual | Manual |
| 運用セキュリティ | パッチ管理 - パッチの適用 & リスクランキング | コントロール 5 | 部分自動化 | 部分自動化 |
| 運用セキュリティ | 脆弱性スキャン | コントロール 6 | 完全自動化 | 部分自動化 |
| 運用セキュリティ | 脆弱性スキャン | コントロール 7 | 完全自動化 | 完全自動化 |
| 運用セキュリティ | ネットワーク セキュリティ制御 (NSC) | コントロール 8 | 部分自動化 | Manual |
| 運用セキュリティ | ネットワーク セキュリティ制御 (NSC) | コントロール 9 | 部分自動化 | 自動証拠収集 |
| 運用セキュリティ | 変更コントロール | コントロール 10 | Manual | Manual |
| 運用セキュリティ | 変更コントロール | コントロール 11 | 自動証拠収集 | 自動証拠収集 |
| 運用セキュリティ | セキュリティで保護されたソフトウェアの開発/展開 | コントロール 12 | Manual | Manual |
| 運用セキュリティ | セキュリティで保護されたソフトウェアの開発/展開 | コントロール 13 | 部分自動化 | 部分自動化 |
| 運用セキュリティ | アカウントの管理 | コントロール 14 | 部分自動化 | 部分自動化 |
| 運用セキュリティ | アカウントの管理 | コントロール 15 | 部分自動化 | 部分自動化 |
| 運用セキュリティ | アカウントの管理 | コントロール 16 | 部分自動化 | 部分自動化 |
| 運用セキュリティ | セキュリティ イベント ログ、確認、およびアラート | コントロール 17 | 完全自動化 | 部分自動化 |
| 運用セキュリティ | セキュリティ イベント ログ、確認、およびアラート | コントロール 18 | 完全自動化 | 部分自動化 |
| 運用セキュリティ | セキュリティ イベント ログ、確認、およびアラート | コントロール 19 | Manual | Manual |
| 運用セキュリティ | セキュリティ イベント ログ、確認、およびアラート | コントロール 20 | 完全自動化 | 部分自動化 |
| 運用セキュリティ | 情報セキュリティ リスク管理 | コントロール 21 | Manual | Manual |
| 運用セキュリティ | 情報セキュリティ リスク管理 | コントロール 22 | Manual | Manual |
| 運用セキュリティ | 情報セキュリティ リスク管理 | コントロール 23 | Manual | Manual |
| 運用セキュリティ | 情報セキュリティ リスク管理 | コントロール 24 | Manual | Manual |
| 運用セキュリティ | セキュリティ インシデント対応 | コントロール 25 | Manual | Manual |
| 運用セキュリティ | セキュリティ インシデント対応 | コントロール 26 | Manual | Manual |
| 運用セキュリティ | セキュリティ インシデント対応 | コントロール 27 | Manual | Manual |
| 運用セキュリティ | 事業継続計画 (BCP) とディザスター リカバリー 計画 | コントロール 28 | 自動証拠収集 | Manual |
| 運用セキュリティ | 事業継続計画 (BCP) とディザスター リカバリー 計画 | コントロール 29 | 自動証拠収集 | Manual |
| 運用セキュリティ | 事業継続計画 (BCP) とディザスター リカバリー 計画 | コントロール 30 | Manual | Manual |
| データ処理のセキュリティ & プライバシー | 転送中のデータ | コントロール 1 | 完全自動化 | 完全自動化 |
| データ処理のセキュリティ & プライバシー | 転送中のデータ | コントロール 2 | 完全自動化 | 完全自動化 |
| データ処理のセキュリティ & プライバシー | 保存データ | コントロール 3 | 完全自動化 | 完全自動化 |
| データ処理のセキュリティ & プライバシー | データの保持、バックアップ、破棄 | コントロール 4 | Manual | Manual |
| データ処理のセキュリティ & プライバシー | データの保持、バックアップ、破棄 | コントロール 5 | Manual | Manual |
| データ処理のセキュリティ & プライバシー | データの保持、バックアップ、破棄 | コントロール 6 | 自動証拠収集 | Manual |
| データ処理のセキュリティ & プライバシー | データの保持、バックアップ、破棄 | コントロール 7 | 部分自動化 | Manual |
| データ処理のセキュリティ & プライバシー | データ アクセス管理 | コントロール 8 | 自動証拠収集 | Manual |
| データ処理のセキュリティ & プライバシー | データ アクセス管理 | コントロール 9 | Manual | Manual |
| データ処理のセキュリティ & プライバシー | プライバシー | コントロール 10 | Manual | Manual |
| データ処理のセキュリティ & プライバシー | プライバシー | コントロール 11 | 自動証拠収集 | Manual |
| データ処理のセキュリティ & プライバシー | GDPR | コントロール 12 | 自動証拠収集 | Manual |
| データ処理のセキュリティ & プライバシー | GDPR | コントロール 13 | Manual | Manual |
| データ処理のセキュリティ & プライバシー | HIPAA | コントロール 14 | Manual | Manual |
| データ処理のセキュリティ & プライバシー | HIPAA | コントロール 15 | Manual | Manual |
注:
ACAT Automation Status は、ACAT がコントロールのコンプライアンス証拠を準備するのに役立つ自動化範囲を表します。
- 手動: このコントロールの下で、顧客の責任ごとにすべてのコンプライアンス証拠を手動で準備する必要があります。
- 部分自動化: このコントロールには、自動評価、自動証拠収集、手動の顧客責任など、顧客の責任が混在しています。 失敗した顧客の責任を修復し、証拠収集のために自動証拠収集機能を利用する必要があります。 手動で責任を負う場合は、必要なコンプライアンス証拠を提供し、ACAT にアップロードしてください。
- 完全自動化: この管理下のすべての顧客責任は、自動評価の顧客責任または自動証拠収集の顧客責任のいずれかです。
顧客の責任が失敗するのはなぜですか?
顧客の責任が失敗する可能性のある理由はいくつかあります。
- ACAT では構成に基づいて特定のコントロールの既定の状態が調整されるため、最初にアプリケーション構成設定を完了することを強くお勧めします。
- 手動の顧客責任ケースの場合、証拠を手動で収集してアップロードするためのサンプル証拠ガイドに従うためのリマインダーとして、既定の状態は "失敗" に設定されます。
- 自動証拠収集の顧客責任ケースでは、顧客の責任ごとに
Remidiation stepsで ACAT ソリューションを採用し、ACAT をトリガーして自動的に証拠を収集できます。 または、サンプル証拠ガイドに従って、独自のソリューションの証拠を手動で収集してアップロードすることもできます。 - 自動評価の顧客責任ケースの場合は、顧客の責任ごとに
Remidiation stepsの ACAT ソリューションに従うか、サンプル証拠ガイドに従って、独自のソリューションの証拠を手動で収集してアップロードすることができます。
ヒント
ACAT のすべてのエラーを解決することは必須ではありません。 ACAT で "失敗" 状態を保持し、代わりに認定レビューを開始した後にパートナー センターで独自の証拠をアップロードすることもできます。 これにより、特定の制御に関する問題や質問を最初に監査員と話し合うことができます。
アプリケーション構成設定の変更を確認するように求める警告メッセージが ACAT に表示されるのはなぜですか?
ACAT は構成に基づいて特定のコントロールの既定の状態を調整するため、 application configuration 設定は重要です。たとえば、一部のコントロールは既定で "N/A" 状態に変更されます。
application configuration設定を変更すると、ACAT は選択したクラウド リソースと照合して、構成が正しくない可能性がある場合に警告メッセージを表示します。 認定校閲者は、Microsoft 365 認定資格の Initial Document Submission 段階でもこれらの設定を確認します。
修復の提案に基づいて提案された変更を行いましたが、コントロールはまだ失敗しています
エラーに対処するための修正アクションを実行した後、ACAT で制御状態の更新された評価結果を取得する時間を許可してください。 評価は、所定のトリガー時間に従って 24 時間ごとに行われます。
証拠は ACAT に格納されていますか?
ACAT に証拠を手動でアップロードするか、ACAT が自動的に証拠を収集できるようにする前に、 Evidence Repository 設定を使用して独自のストレージ アカウントを証拠リポジトリとして構成するように求められます。 すべての証拠は、指定されたストレージ アカウントに格納されます。 パートナー センターで Microsoft 365 認定レビューを送信し、特定の ACAT レポートを選択すると、ACAT コンプライアンス レポートの送信、自動的に証拠の収集、証明の手動アップロードが自動的に行われます。
認定プロセスでコンプライアンス レポートはどのように使用されますか?
ACAT は パートナー センター とシームレスに統合され、Microsoft 365 認定資格の体験を完了します。 コンプライアンス レポートを使用して Microsoft 365 認定資格を加速する方法の詳細