クラウド セキュリティ ゴールド マーク (CS ゴールド マーク)

CS ゴールド マークの概要

クラウド セキュリティ マーク (CS マーク) は、クラウド サービス プロバイダー (CSP) を対象とした日本初のセキュリティ基準であり、情報セキュリティ コントロールの国際実施基準である ISO/IEC 27017 に基づいています。 ISO/IEC 27017 が基づいている ISO/IEC 27002 はクラウド サービスを対象とし、クラウド コンピューティングにおける情報セキュリティと、クラウドに関連した情報セキュリティ コントロールの実施を取り扱っています。

CS マークは、日本における情報セキュリティを強化するために総務省と経済産業省が設立した非営利法人、日本セキュリティ監査協会 (JASA) によって認定されます。CS マークは、クラウド サービスの使用を促進し、以下を提示する制度です。

  • クラウド上のデータのセキュリティと機密性について、およびクラウド サービスの利用によってビジネスに及ぶ影響についての顧客の一般的な懸念事項に対処するために、CSP が適用できる一般的な基準
  • クラウド サービスの使用時に顧客がさらされるリスクに対する、検証可能な運用上の透明性と見通し
  • エンタープライズ企業や政府機関が CSP の選定に使用できる客観的な基準と、認定を取得するために CSP が従わなければならないセキュリティ要件の説明

JASA が制定したクラウド情報セキュリティ監査制度では、情報セキュリティ、物理セキュリティ、開発セキュリティに関するなどの分野を対象とした約 1,500 項目の管理策の監査、人的資源のセキュリティ、およびビジネス継続性、災害復旧、インシデントの管理を規定しています。 クラウド情報セキュリティ監査制度が認定する CS ゴールド マークを取得するには、JASA 公認の独立した監査人が実施する厳しい監査を受ける必要があります。 CS ゴールド マークは、言明対象のサービスにおいて、重要な政府資料をホストできることを意味します。

Microsoft と CS ゴールド マーク

JASA 公認の監査人による厳格な評価を受けた結果、Microsoft は 3 つのサービス分類すべてについて CS ゴールド マークを取得しました。 認定された分類は、Microsoft Azure がサービスとしてのインフラストラクチャ (IaaS) と サービスとしてのプラットフォーム (PaaS)、Microsoft Office 365 がサービスとしてのソフトウェア (SaaS) です。 Microsoft は、3 つのサービス分類すべてでこの認定を取得した最初の国際 CSP となりました。

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure
  • Intune
  • Office 365

Office 365 と CS ゴールド マーク

Office 365 のクラウド環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次の Office 365 クラウド環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Azure Active Directory、Azure Information Protection、Bookings、Compliance Manager、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 Groups、Office 365 セキュリティ/コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Yammer Enterprise

監査、レポート、証明書

認定の有効期間は 3 年で、年に 1 回、年次サーベイランス監査が実施されます。

よく寄せられる質問

組織でのコンプライアンス活動は、何から始めればよいですか?

Azure または Office 365 をご利用のお客様は、CS マークがお客様のセキュリティ要件を満たしていることを確認する必要があります。 CS マークがお客様のセキュリティ要件を満たしていない場合は、お客様独自の認定プロセスの一環として、Microsoft の認定および監査レポートをご利用いただけます。 ご自身の責任で、監査人が、コンプライアンスの実装と、組織内でのコントロールやプロセスの実装を評価するよう手配する必要があります。

リソース