Microsoft Azure のコンプライアンス情報アップデート (2015 年 1 月)

  • Article

国際標準から国別、業界別の基準、規制への Microsoft Azure の対応については、サードパーティー (第三者) によって監査、準拠の確認が行われています。

2015年1月時点での状況は以下のようになっています。

 

■ ISO 270001: 情報セキュリティ統制

2013 年度版 ISO 270001 (ISO/IEC 27001:2013) 更新監査が完了し、British Standards Institute (BSI) America による監査証 が BSI の Web サイトで確認できます。

また、Azure はパブリッククラウドにおける 個人情報 (PII: Personally Identifiable Information) 保護に関する実施標準 ISO 27018 (ISO/IEC 27018:2014) を実現するための制御が組み込まれています。

 

■ Service Organization Controls (SOC) 1 & 2

受託業務を行う企業の内部統制を保障する国際基準である SSAE 16 / ISAE 3402 を満たしていることを示す SOC 1 (財務報告書に関する統制) および SOC 2(セキュリティ、可用性、機密性、プライバシーに関わる統制) レポートは監査機関により作成され、それぞれ Type I (統制の設計) / Type II (運用) の有効性が確認されます。

Azure は SOC 1 レポートの対象となるサービスを次々拡張しており、また、現在 SOC 2 レポートを取得している唯一のグローバルのクラウドサービスプロバイダーとなっています。

【参考】 Windows Azure の CSA CCM 認証 ~ SOC 2 Type 2 監査報告書を発表 (2013/08/31)

 

■ Federal Risk and Authorization Management Program (FedRAMP) / Criminal Justice Information Services (CJIS, 米国刑事司法情報サービス)

Microsoft Azure および Microsoft Office 365 (Azure Active Directory による ID 管理サービスを含む) は、米国政府機関がクラウドサービスを利用する上で必須のセキュリティ基準 である FedRAMP の認定を受けています。

【参考】 Windows Azure が IaaS/PaaS として初めての FedRAMP JAB P-ATO を取得 (2013/10/4)

また、米国政府 (連邦政府関係機関、国家 / 地方政府機関) を対象とした専用サービスとして提供されている Azure Government は、米国の法執行機関のセキュリティ要件となる FBI 刑事司法情報システム (CJIS) のセキュリティポリシーを満たしています。

【参考】 ビジネスプロダクティビティ製品チーム Blog > カリフォルニア州とマイクロソフトが CJIS のセキュリティ ポリシー条項を締結 (2013/11/04)

 

■ Payment Card Industry Data Security Standards (PCI DSS)

米国ペイメントカード業界 (PCI) による データセキュリティ基準 PCI DSS Level 1 に対応済みです。

【参考】 Windows Azure、クレジットカード情報セキュリティ基準 PCI DSS に準拠、 ISO 準拠のサービスも拡大 (2014/1/17)

 

■ 各国の法律、基準への対応

Azure は英国政府から Official 認証評価を受けており、英国政府のクラウドフレームワークである G-Cloud Framework で利用できます。また、オーストラリア政府の Information Security Registered Assessors Program (IRAP)、シンガポールの Multi-Tier Cloud Security (MTCS) の認定も獲得しています。

【参考】 Wikipedia > UK Government G-Cloud

なお、現在、米国 食品医薬品局 (FDA; Food and Drug Administration) が定める、21 CFR Part11 に準拠する取り組みを行っています。

 

--------------------

Azure における セキュリティ、プライバシー、コンプライアンス情報は Microsoft Azure トラストセンター  にまとめられています。また、各サービスごとのコンプライアンス対応状況はMicrosoft Azure トラストセンター > サービスごとのコンプライアンス をご確認ください。

Azure Blog > Microsoft Azure Reaches New Industry-Leading Cloud Compliance Milestones (日本語訳)