Microsoft Azure & Office 365 金融機関向けクラウドサービス対応セキュリティリファレンス 公開

金融情報システムに関する自主基準として、FISC (金融情報システムセンター: The Center of Financial Industry Information Systems) により 金融機関等コンピュータシステムの安全対策基準・解説書 が策定されており、クラウド利用における安全対策基準として 第8版追補 が追加されています。 この度、Microsoft Azure および Office 365 に関して、この第8版追補の各項目に対する対応状況を整理した「金融機関向けクラウドサービス対応セキュリティリファレンス」が公開されました。FISC 安全対策基準の各項目(137の設備基準、108の運用基準、51の技術基準について、株式会社三菱総合研究所、日本ビジネスシステムズ株式会社、トレンドマイクロ株式会社、株式会社電通国際情報サービス の4社にて調査された内容になっています。 ▶ FISC > 金融機関等コンピュータシステムの安全対策基準・解説書(第8版追補) ▶ 金融機関向けクラウドサービス対応セキュリティリファレンス (各社サイトにてダウンロード可能)株式会社三菱総合研究所 / 日本ビジネスシステムズ株式会社 / トレンドマイクロ株式会社 / 株式会社電通国際情報サービス   【1/30 追加】 ▶ Microsoft Azure Japan Team Blog > 「金融機関等コンピュータシステムの安全対策基準」(FISC 安全対策基準)に対する Azure の対応状況リストを公開 


Microsoft Azure のコンプライアンス情報アップデート (2015 年 1 月)

国際標準から国別、業界別の基準、規制への Microsoft Azure の対応については、サードパーティー (第三者) によって監査、準拠の確認が行われています。 2015年1月時点での状況は以下のようになっています。   ■ ISO 270001: 情報セキュリティ統制 2013 年度版 ISO 270001 (ISO/IEC 27001:2013) 更新監査が完了し、British Standards Institute (BSI) America による監査証 が BSI の Web サイトで確認できます。 また、Azure はパブリッククラウドにおける 個人情報 (PII: Personally Identifiable Information) 保護に関する実施標準 ISO 27018 (ISO/IEC 27018:2014) を実現するための制御が組み込まれています。   ■ Service Organization Controls (SOC) 1 & 2 受託業務を行う企業の内部統制を保障する国際基準である SSAE 16 / ISAE…


Windows Azure、クレジットカード情報セキュリティ基準 PCI DSS に準拠、 ISO 準拠のサービスも拡大

PCI DSS (Payment Card Industory Data Security Standard) は、米国 PCI データセキュリティ標準審議会 (PCI SCC: Payment Card Industory Security Standards Council) が定めたクレジット産業向けデータセキュリティ基準です。カード会社 / 加盟店 / サービスプロバイダー を含め、支払やカード所有者の情報など、クレジットカード情報を取り扱う全ての会社が順守すべき、国際的なセキュリティ基準となっています。 この度、Windows Azure は QSA (Qualified Security Assessor) と呼ばれる認定審査機関により、PCI DSS 準拠と認定されました。これによりクレジットカード情報を含むアプリケーションを構築するプラットフォームとして、Windows Azure は安全なフレームワークを提供します。 もちろん、Windows Azure および Windows Azure 上に構築されるアプリケーションの両方で、安全なアプリケーションを構築するための取り組みが必要であり、Windows Azure および (アプリケーション構築を担う) 利用者 の双方の担当範囲・内容がガイドとしてまとめられています。(→ Windows Azure Customer PCI Guide) なお、以前より対応していた ISO 標準に関しても、対応する Windows Azure…


Windows Azure、ブラジル新規地域開設の計画を発表

Windows Azure がブラジルに新しい地域を開設する計画が発表されました。こちら南米地域への新規展開となり、2014年の早い時期に利用開始が予定され、4~6週間以内にプレビュー利用がアナウンスされる見込みです。 ストレージの 地域冗長 (Geo Redundant) や課金ベースの区分となる “地域” という名称が改定されており、”アジア太平洋” といった大きな区分は 「地理的区分 (ジオ) / Geo」、”アジア太平洋東部 / East Asia” といったデータセンターの場所を表すものを「地域 / Region」と呼ばれるようになっています。 2014年前半に予定されている日本データセンターの場合は、新規で “地理的区分(ジオ)” および 2 か所の “地域” が追加となります。 現在の稼働中の Windows Azure のデータセンターは  Windows Azure トラストセンター に掲載されています。 地理的区分(ジオ) / Geo(以前の “リージョン(地域) / Region”) 地域 / Region(以前の “サブリージョン(サブ地域) / Sub Region”)  アジア太平洋 アジア太平洋東部 (香港)アジア太平洋南東部 (シンガポール)  ヨーロッパ 北ヨーロッパ (アイルランド)西ヨーロッパ (オランダ)  米国…


Windows Azure が IaaS/PaaS として初めての FedRAMP JAB P-ATO を取得

Windows Azure は米国政府の FedRAMP Joint Authorization Board (JAB) による P-ATO (Provisional Authorities to Operate) 認定を、パブリッククラウドサービス (IaaS / PaaS) として初めて取得しました。 FedRAMP (Federal Risk and Authorization Management Program) は、米国共通役務庁 (U.S General Services Administration) が行っている、クラウドサービスのセキュリティ標準の制定、認定およびモニタリングを行うプログラムです。 国防総省 (Department of Defense) / 国土安全保障省 (Department of Homeland Security) を含むメンバーにより構成された FedRAMP JAB により P-ATO の認定が行われ、米国政府機関がクラウドサービスを利用する上で必須のセキュリティ基準となっています。  Windows Azure Blog > Windows Azure Achieves another Industry First…


Windows Azure の CSA CCM 認証 ~ SOC 2 Type 2 監査報告書を発表

クラウドコンピューティングにおけるセキュリティを保障するためのフレームワークについて、非営利団体である Cloud Security Alliance (CSA) によって Cloud Control Matrix (CCM) が制定されています。このたび、マイクロソフト米国本社の監査法人である Deloitte & Touche LLP により CCM 要件に対応した SOC 2 Type 2 監査報告書が公開され、Windows Azure は独立した登録公認会計事務所によって CCM に対する認証を受ける、最初のサービスプロバイダーとなっています。 CSAは、クラウドサービスプロバイダーを評価、選択するための監査レポートに関するガイドラインとして、米国公認会計士協会 (AICPA: American Institute of Certified Public Accountants) のレポートフレームワークについての方針説明書を公開しています。CSA が制定している CCM と SOC レポートを利用することで、幅広い国際的な要件について、クラウドサービスプロバイダーの検証を行う時間と費用を節減できるとしています。 Windows Azure Security Blog > Windows Azure Receives SOC 2 Type 2 report with…


マイクロソフト本社にて Windows Azure 上で稼働するボットネット型マルウエア対策プログラムを提供

サイバー犯罪に対する脅威 (cyber threat) は今や世界的に発生する現象であり、マイクロソフトでは Microsoft Digital Crimes Unit と呼ばれる組織が対策を講じています。 ボットネット型マルウエア対策は、2010 年から始まった Project MARS (Microsoft Active Response for Sercurity) と呼ばれるプログラムにより行われており、各国のインターネットサービスプロバイダー(ISP) および CERT(Computer Emergency Response Team) / CSIRT (Computer Emergency Incident Response Team: コンピューターセキュリティに対応する事業者による協議会) と情報共有が行われています。 この度、新たに Windows Azure 上にサイバー脅威対策プログラム (C-TIP: Cyber Threat Intelligence Program) が構築され、ボットネット感染情報をリアルタイムで共有し、ISP や CERT/CSIRT が、マルウエアによって発生する脅威に対する注意の喚起や潜在的なセキュリティ問題についての警告を行う、といった対策を早急かつ効果的に実施できるようになります。  Microsoft on the Issues Blog > Microsoft takes botnet threat…


Windows Azure セキュリティセンター公開 ~ Windows Azure のセキュリティ、プライバシー、コンプライアンス情報

Windows Azure のセキュリティ、プライバシー、コンプライアンス情報ををご提供する Windows Azure Trust Center の日本語版 Web サイト、Windows Azure セキュリティセンター が公開されました。 windowsazure.com > Windows Azure セキュリティ センター   Windows Azure は Microsoft Global Foundation Service によって管理・運用されているデータセンターで実行されており、顧客のデータの機密性、整合性、可用性を実現する設計、運用、監視が行われています。Windows Azure のセキュリティ概要や、Windows Azure 用のセキュリティが保護されたアプリケーションの設計・開発方法については、セキュリティ のページにまとめられています。 また、マイクロソフトが取得した顧客データの収集・使用・保護についてのプライバシーポリシー、Windows Azure のデータの所在 (データセンターの所在地) については プライバシー のページをご確認ください。 Windows Azure は、世界標準の情報セキュリティ管理規格である ISO/IEC 27001 認証を取得しており、また、SSAE 16/ISAE 3402 認証などを含め、Windows Azure および Windows Azure 上で提供されるサービスで法律や規則を遵守できるように対応を進めています。現在 WIndows Azure…


クラウド対応のセキュリティ対策を確認できる Cloud Security Readiness Tool を無償公開

IT 管理ポリシーやスキームなど、クラウド活用を前提とした IT セキュリティ対応状況を確認できる Cloud Security Readyness Tool が無償公開されました。 クラウドにおけるセキュリティは Cloud Security Aliance (CSA) によって Cloud Control Matrix (CCM) と呼ばれるフレームワークが提示されていますが、こちらの Tool も CCM に準拠して作成されています。  IT セキュリティに関する 27 の設問に回答することで、セキュリティの脅威・脆弱性への対策レポートが生成されます。 Cloud Security Readiness Tool The Trustworthy Computing blog > RSA Europe: Risks and Rewards in Cloud Adoption Security TechCenter > Trustworthy Computing – Cloud Windows Azure&Office 365 セキュリティホワイトペーパー公開 ~ Cloud Security Alliance…


Windows Azure, Office 365 & Dynamics CRM Online の CSA CCM 対応ホワイトペーパー日本語版

クラウドコンピューティングにおけるセキュリティフレームワークである Cloud Control Matrix に沿った Windows Azure, Office 365, Dynamics CRM Online の対応についてまとめた、Standard Response (標準的な回答) for Request for Information (情報提供依頼書) が 2012 年 4 月に公開されていますが、このたび Dynamic CRM Online も合わせて日本語版が揃いました。 このホワイトペーパーは、クラウドコンピューティングにおけるセキュリティ保障のためにベストプラクティスを推進する非営利団体 Cloud Security Alliance (CSA) によって定義されたセキュリティ、プライバシー、コンプライアンス、リスク管理についての対応をまとめたものです。 Microsoft ダウンロードセンター > Request for Information (情報提供依頼書) に対する標準的なレスポンス セキュリティおよびプライバシー 3つのサービスは Cloud Control Matrix に対応した CSA STAR (Security Trust and Assurance…