アプリの構成証明を行う
Microsoft Defender for Cloud Apps では、ユーザーのアプリを構成証明して、アプリの評価にクラウド アプリ カタログが使用するコンプライアンスおよびセキュリティの詳細が最新であるかを確認することができます。
アプリが既に Cloud App Catalog にリストアップされているか、あるいは新しいアプリであるかに関係なく、自己構成証明アンケートを提出してください。 自己構成証明プロセスの詳細については、casfeedback@microsoft.com までお問い合わせください。
以下に示すサービス属性に従って、アンケートの提出を正常に完了してください。
| フィールド | 情報カテゴリ | Type | 指定可能な値 | 説明 |
|---|---|---|---|---|
| アプリ名 | 全般 | String | 自由記載 | Cloud App Catalog に表示されるアプリケーションの名前。 |
| 説明 | 全般 | String | 自由記載 | そのアプリケーションでユーザーが実行または達成できることを簡単に記述します。 |
| カテゴリ | 全般 | String | リストを閉じる - アンケート内で提供 | 関連付けられているフィールドに基づくアプリの分類。 |
| バックオフィス | 全般 | 国番号 | リストを閉じる - アンケート内で提供 | プロバイダーの本社所在地の国/地域。 |
| データ センター | 全般 | 国コード配列* | リストを閉じる - アンケート内で提供 (複数選択) | データ センター所在地の国/地域 (複数の場所を指定できます) |
| ホスティング事業者 | 全般 | String | 自由記載 | そのアプリのサーバー ホスティングを提供する事業者名。 |
| 創立 | 全般 | 整数型 | YYYY (2019 年もしくはそれ以前であること) | プロバイダーが設立された年。 |
| 株式 | 全般 | String | Private (非上場)、Public (上場) | プロバイダーが上場企業か非上場企業かを示します。 |
| アプリ ドメイン: | 全般 | URL 配列* | 自由記載 | サービスとのやり取りに使用する特定のドメインのリスト。 たとえば、Microsoft Teams の場合は、'microsoft.com' ような汎用のドメイン名ではなく 'teams.microsoft.com' を記載します。 |
| サービス条件 | 全般 | URL | 自由記載 | このアプリは、ユーザーがアプリを使用する際に同意する必要がある何らかの規則を提供しますか? |
| プライバシー ポリシー | 全般 | URL | 自由記載 | このプロバイダーがアプリの一部として収集する顧客、クライアント、または従業員の情報を処理する方法に関連する法的拘束力のあるドキュメントへのリンク。 |
| ログオン URL | 全般 | URL 配列* | 自由記載 | ユーザーがアプリにログオンする URL。 |
| 仕入先 | 全般 | String | 自由記載 | このアプリを提供するベンダーの名前。 |
| データ型 | 全般 | String | リストを閉じる - アンケート内で提供 | ユーザーがアプリにアップロードできるデータ型は何ですか? |
| Homepage | 全般 | URL | 自由記載 | プロバイダーのホーム ページ URL。 |
| ディザスター リカバリー プラン | 全般 | Boolean | True、False | このアプリには、バックアップと復元の戦略を含めたディザスター リカバリープランはありますか? |
| 最新の侵害インシデント | セキュリティ | 日 | MM-DD-YYYY | アプリが所有する、秘密の、保護対象の、もしくは機密性の高いデータが、閲覧もしくは盗難されたかまたは承認されていない個人によって使用された最新のインシデント。 |
| 保存データの暗号化方法 | セキュリティ | String | リストを閉じる - アンケート内で提供 | アプリが実行する保存データの暗号化の種類。 |
| 多要素認証 | セキュリティ | Boolean | True、False | このアプリは多要素認証ソリューションをサポートしていますか? |
| IP アドレスの制限 | セキュリティ | Boolean | True、False | このアプリは、アプリによる特定の IP アドレスの制限をサポートしていますか? |
| ユーザー監査証跡 | セキュリティ | Boolean | True、False | このアプリは、ユーザー アカウントごとの監査証跡の可用性をサポートしていますか? |
| 管理者監査証跡 | セキュリティ | Boolean | True、False | このアプリは、アプリ内での管理者監査証跡の可用性をサポートしていますか? |
| データ監査証跡 | セキュリティ | Boolean | True、False | このアプリは、アプリ内でのデータ監査証跡の可用性をサポートしていますか? |
| ユーザーによるデータ アップロード | セキュリティ | Boolean | True、False | このアプリは、ユーザーによるデータのアップロードをサポートしていますか? |
| データ分類 | セキュリティ | Boolean | True、False | このアプリでは、アプリにアップロードされたデータの分類オプションを有効にできますか? |
| パスワードの記憶 | セキュリティ | Boolean | True、False | このアプリでは、ユーザー パスワードを記憶してアプリに保存するオプションを有効にできますか? |
| ユーザー ロールのサポート | セキュリティ | Boolean | True、False | このアプリは、ロールとアクセス許可レベルによるユーザー割り当てをサポートしていますか? |
| ファイル共有 | セキュリティ | Boolean | True、False | このアプリには、ユーザー間のファイル共有を許可する機能を含んでいますか? |
| SAML のサポート | セキュリティ | Boolean | True、False | このアプリは、認証データと承認データをやり取りするための SAML 標準をサポートしていますか? |
| DROWN に対する保護 | セキュリティ | Boolean | True、False | アプリケーション サーバーは DROWN 攻撃に対する保護対策を講じていますか? |
| 侵入テスト | セキュリティ | Boolean | True、False | このアプリは、ネットワークの脆弱性を検出して評価する侵入テストを実行していますか? |
| ユーザー認証が必要 | セキュリティ | Boolean | True、False | このアプリは認証を必要とし、匿名での使用を禁止していますか? |
| パスワード ポリシー: パスワードの長さの制限 | セキュリティ | Boolean | True、False | このアプリでは、パスワード作成時に長さ制限が適用されますか? |
| パスワード ポリシー: 文字の組み合わせ | セキュリティ | Boolean | True、False | このアプリは、パスワード作成時に所定の文字の組み合わせを強制しますか? |
| パスワード ポリシー: パスワード変更の期間 | セキュリティ | Boolean | True、False | このアプリは、ユーザーにパスワードの定期的なリセットを強制しますか? |
| パスワード ポリシー: パスワードの履歴と再利用 | セキュリティ | Boolean | True、False | このアプリは古いパスワードの再利用を禁止していますか? |
| パスワード ポリシー: 個人情報の使用 | セキュリティ | Boolean | True、False | このアプリはパスワードへの個人情報の使用を禁止していますか? |
| パスワード ポリシー | セキュリティ | Boolean | True、False | このアプリは、ベスト プラクティスに準拠したパスワード ポリシーを適用していますか? |
| FINRA | コンプライアンス | Boolean | True、False、N/A | このアプリは、投資家の安全と市場の整合性の強化を目的とする、米国議会の承認済み非営利組織向け標準である FINRA に準拠していますか? |
| FISMA | コンプライアンス | Boolean | True、False、N/A | このアプリは、連邦政府機関内の政府情報、オペレーション、アセットを脅威から保護するための包括的なフレームワークを定義する米国の法律である FISMA に準拠していますか? |
| GAAP | コンプライアンス | Boolean | True、False、N/A | このアプリは、一般に公正妥当と認められる財務報告のための会計原則・基準である GAAP に準拠していますか? |
| HIPAA | コンプライアンス | Boolean | True、False、N/A | このアプリは、個人を特定できる医療情報の機密保持とセキュリティ保護のための基準を定めた米国の法律である HIPAA に準拠していますか? |
| ISAE 3402 | コンプライアンス | Boolean | True、False、N/A | このアプリは、サービス組織が適切な管理を実施していることを保証するグローバル標準である ISAE 3402 に準拠していますか? |
| ISO 27001 | コンプライアンス | Boolean | True、False | このアプリは、 組織内の情報セキュリティ管理の立上げ、実装、維持、改善のための国際的に認められたガイドラインと一般的な原則を支持する企業に与えられる認証である ISO 27001 認証を取得していますか? |
| ITAR | コンプライアンス | Boolean | True、False、N/A | このアプリは、米国軍需品リストに記載される防衛関連の物品やサービスの輸出入を管理する規制である ITAR に準拠していますか? |
| SOC 1 | コンプライアンス | Boolean | True、False、N/A | このアプリは、委託企業の財務報告関連の内部制御についての受託事業者による管理報告書式である SOC 1 に準拠していますか? |
| SOC 2 | コンプライアンス | Boolean | True、False | このアプリは、セキュリティ、プライバシー、可用性、機密性、処理の整合性に関する 1 つ以上の信頼サービス基準に基づく非財務処理に関する報告書式である SOC 2 に準拠していますか? |
| SOC 3 | コンプライアンス | Boolean | True、False | このアプリは、自由に配布でき、選択した条件の要件を満たしている旨の経営幹部の誓約のみを含む信頼サービス基準に基づく報告書式である SOC3 に準拠していますか? |
| SOX | コンプライアンス | Boolean | True、False、N/A | このアプリは、会計上の誤りや詐欺から株主や一般の人々を保護し、企業の情報開示精度を向上させることを目的とした米国の法律である SOX に準拠していますか? |
| SP 800-53 | コンプライアンス | Boolean | True、False | このアプリは、連邦情報システムおよび組織に対して推奨されるセキュリティ コントロール指針である SP80053 に準拠していますか? |
| SSAE 16 | コンプライアンス | Boolean | True、False、N/A | このアプリは、サービス組織の内部コンプライアンス管理と報告プロセスについての監査基準である SSAE 16 に準拠していますか? |
| PCI DSS バージョン | コンプライアンス | String | 1、2、3、3.1、3.2、N/A | このアプリでサポートしている PCI-DSS プロトコルのバージョン番号。 |
| ISO 27018 | コンプライアンス | Boolean | True、False、N/A | このアプリは、パブリック クラウド コンピューティング環境における個人を特定できる情報 (PII) の処理および保護に関する一般的に公正妥当とされる管理基準とガイドラインを定めた国際規格である ISO 27018 に準拠していますか? |
| GLBA | コンプライアンス | Boolean | True、False、N/A | このアプリは、顧客の個人情報のセキュリティと機密性を保護するための基準を確立するよう金融機関に義務付ける米国の法律 グラム・リーチ・ブライリー法 (GLBA) に準拠していますか? |
| FedRAMP レベル | コンプライアンス | String | High、Moderate、Low、Li-SaaS | このアプリによって提供される FedRAMP 準拠ソリューションのレベル。 |
| CSA STAR レベル | コンプライアンス | String | 自己評価、認定、構成証明、C-STAR 評価、継続的監視 | このアプリが認証を取得している CSA STAR プログラムレベル |
| Privacy Shield | コンプライアンス | Boolean | True、False、N/A | このアプリは、ヨーロッパ居住者の個人データ保護のために米国企業に強い義務を課すEU-USプライバシー シールド フレームワークに準拠していますか? |
| ISO 27017 | コンプライアンス | Boolean | True、False | このアプリは、パブリック クラウド コンピューティング環境におけるユーザー情報の処理と保護に関する一般に公正妥当とされる管理基準とガイドラインを定めた国際規格である ISO 27017 に準拠していますか? |
| COBIT | コンプライアンス | Boolean | True、False | このアプリは、情報システムとテクノロジーのガバナンスと制御に関するベスト プラクティスを定め、IT をビジネス原則と整合させるためのガイドラインである COBIT に準拠していますか? |
| COPPA | コンプライアンス | Boolean | True、False、N/A | このアプリは、13歳未満の子供向けのコンテンツ提供に関するウェブサイトやオンライン サービス運営事業者向け要件を定めた法律である COPPA に準拠していますか? |
| FERPA | コンプライアンス | Boolean | True、False、N/A | このアプリは、学生の教育記録のプライバシーを保護する連邦法である FERPA に準拠していますか? |
| GAPP | コンプライアンス | Boolean | True、False、N/A | このアプリは、組織内のプライバシー リスク対処のための一般に公正妥当とされる原則である GAPP に準拠していますか? |
| HITRUST CSF | コンプライアンス | Boolean | True、False、N/A | このアプリは、各種情報セキュリティ規則や標準の要件整合化を目的とする管理フレームワークである HITRUST CSF に準拠していますか? |
| ジェリコ・フォーラム・コマンドメンツ | コンプライアンス | Boolean | True、False | このアプリは、脱境界化された環境における安全なオペレーションのためのシステム設計の際に守るべき原則を定めたジェリコ・フォーラム・コマンドメンツに準拠していますか? |
| ISO 27002 | コンプライアンス | Boolean | True、False、N/A | このアプリは、組織の情報セキュリティ標準および情報セキュリティ管理プラクティスの一般的なガイドラインを定めた国際規格である ISO 27002 に準拠していますか? |
| FFIEC | コンプライアンス | Boolean | True、False、N/A | このアプリは、インターネット バンキング環境でのサービス認証に必要なリスク管理コントロールに関する連邦金融機関審査会議 (FEIEC) のガイダンスに準拠していますか? |
| データ所有権 | 法的情報 | Boolean | True、False | このアプリは、アップロードされたデータのユーザーの所有権を完全に保持しますか? |
| DMCA | 法的情報 | Boolean | True、False | このアプリは、著作権で保護されたコンテンツに違法にアクセスしようとする試みすべてを犯罪と見なすデジタル ミレニアム著作権法 (DMCA) に準拠していますか? |
| データ保持期間ポリシー | 法的情報 | Boolean | True、False | アカウント終了後のユーザーデータ保持に関するこのアプリのポリシーはどんなものですか? |
| GDPR 対応性に関する声明 | 法的情報 | URL | 自由記載 | このプロバイダーの GDPR コンプライアンス対応プランに関連するWeb サイトへのリンク (該当する場合)。 |
| GDPR - 忘れられる権利 | 法的情報 | Boolean | True、False、N/A | このアプリは、要求に応じて利用者の個人データの処理を停止し、削除することが可能ですか? |
| GDPR - データ侵害を報告する | 法的情報 | Boolean | True、False、N/A | このアプリは、侵害の検出から 72 時間以内に、監督当局および侵害の影響を受けた個人にデータ侵害を報告しますか? |
| GDPR - 影響のアセスメント | 法的情報 | Boolean | True、False、N/A | このアプリは、個人に対するリスクを特定するためにデータ保護影響評価を実施していますか? |
| GDPR - 国境を越えた安全なデータ管理 | 法的情報 | Boolean | True、False、N/A | このアプリは、国境を越えて安全にデータを転送することができますか? |
| GDPR - データ保護責任者 | 法的情報 | Boolean | True、False、N/A | このアプリは、データ セキュリティ戦略と GDPR コンプライアンスの監督を任務とするデータ保護責任者を指名していますか? |
| GDPR - 異議を述べる権利 | 法的情報 | Boolean | True、False、N/A | このアプリは、特定の状況において自らの個人データの処理に異議を述べる手段を利用者に提供しますか? |
| GDPR - アクセス権 | 法的情報 | Boolean | True、False、N/A | このアプリは、要求すれば会社がどんな個人データをどんな方法で利用しているか知ることができる手段を利用者に提供しますか? |
| GDPR - データ ポータビリティについての権利 | 法的情報 | Boolean | True、False、N/A | このアプリは、要求すれば自らの利便性のために自分の個人情報を入手して他のサービスに再利用することができる手段を利用者に提供しますか? |
| GDPR - 通知される権利 | 法的情報 | Boolean | True、False、N/A | このアプリは、個人データを EU 以外の国/地域または国際組織に転送する際に会社が講じている適切な保護策の内容を利用者に通知していますか? |
| GDPR - 処理を制限する権利 | 法的情報 | Boolean | True、False、N/A | このアプリは、個人データの処理をブロックまたは抑制する手段を利用者に提供しますか? |
| GDPR - 自動化された意思決定に関連する権利 | 法的情報 | Boolean | True、False、N/A | このアプリは、自動化された処理のみに基づく意志決定の対象に含まれないよう選択する手段を個人に提供しますか? これには、法的影響を受ける可能性があるプロファイリングが含まれます。 |
| GDPR - 処理の法的根拠 | 法的情報 | Boolean | True、False、N/A | このアプリは、同意、契約、法的義務、重要な利害、正当な利害、特別なカテゴリ、データ、および犯罪データに従って、個人データを合法的に処理しますか? |
| GDPR - 修正を受ける権利 | 法的情報 | Boolean | True、False、N/A | このアプリは自らの個人データを修正する手段を利用者に提供しますか? 管理者は、要求を受けてから1 か月以内にデータ主体からのすべての要求に応答する必要があります。 |
* 配列型のフィールドはセミコロン (;) で区切る必要があります。
次のステップ
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。