国防連邦取得規則の補足 (DFARS)

DFARS の概要

2016 年 10 月 21 日、国防総省 (DoD) は、防衛連邦取得規制補足 (DFARS) を修正し、情報システムが対象防御情報 (CDI) を処理、保存、または送信する防衛請負業者に対して保護およびサイバー インシデント報告義務を課す最終規則を発行しました。

最後の DFARS 条項 252.204-7012 (保護対象防御情報とサイバー インシデント報告) では、サイバー インシデント報告要件とクラウド サービス プロバイダーの追加の考慮事項を含むセーフガードを指定します。 DFARS 252.204-7012 では、すべての DoD 請負業者と防衛産業基盤は、「できるだけ早く実用的だが、2017 年 12 月 31 日より早く」適切なセキュリティのために DFARS 要件に準拠する必要があります。

Microsoft および DFARS

Microsoft Government Cloud Services は、米国の防衛産業基盤および防衛請負業者のお客様が、クラウド サービス プロバイダーに適用される 252.204-7012 の DFARS 条項に列挙されている DFARS 要件を満たすのに役立ちます。 防衛請負業者が契約で DFARS 条項 252.204-7012 に準拠する必要がある場合、Microsoft は Azure Government および Office 365 米国政府機関のクラウド サービス プロバイダーに適用される要件をサポートできます。 どちらのサービスも、L5 認定を通じて、お客様が DFARS 7012 条項に準拠するために必要な機能を国防総省セキュリティ要件ガイドに対するサポートを示しています。

対象となる Microsoft のクラウド プラットフォームとサービス

DoD 影響レベル 5 の対象サービス

  • Azure および Azure Government
  • Office 365米国政府と米国Office 365国防

Azure、Dynamics 365、DFARS

Azure、Dynamics 365、その他のオンライン サービスコンプライアンスの詳細については 、「Azure DFARSの提供」を参照してください。

Office 365 DFARS

Office 365 のクラウド環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次の Office 365 クラウド環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
GCC Azure Active Directory、コンプライアンス マネージャー、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ/コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC High Azure Active Directory、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ/コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business
DoD Azure Active Directory、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ/コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business

Office 365 監査、レポート、証明書

よく寄せられる質問

どの DFARS 要件が米国政府機関Office 365サポートされていますか?

Office 365米国政府機関は、クラウド サービス プロバイダーに適用される 252.204-7012 の DFARS 条項に列挙されている DFARS 要件を、防衛産業基盤および防衛請負業者のお客様が満たします。

独立した評価者は、米国Office 365が DFARS 要件をサポートしていることを検証しましたか?

はい、サード パーティの評価組織は、Office 365 米国政府機関のクラウド サービス提供が DFARS 条項 252.204-7012 (未分類の管理技術情報の保護) の該当する要件を満たしていることを証明しています。

管理された未分類情報 (CUI) と対象となる防御情報 (CDI) の関係は何ですか?

CUI は、法律、規制、または政府全体のポリシーに従って制御を保護または普及する必要がある情報です。 CUI レジストリは、承認済みの CUI カテゴリとサブカテゴリを識別します。

CDI は、技術的な情報または他の情報 (CUI レジストリに記載されている) を制御し、保護または普及の制御が必要であり、次のいずれかです。

  • 契約、タスクオーダー、または配信注文でマークされた、または他の方法で識別され、契約のパフォーマンスに関連して DoD によって、または DoD に代わって請負業者に提供される
  • 契約のパフォーマンスをサポートするために、契約者によってまたは代理して収集、開発、受信、送信、使用、または保存される

すべてのサービスMicrosoft Office 365は、DFARS 規制の下で「対象となる防御情報」に適用される「適切なセキュリティ」要件を満たしていますか?

2016 年 10 月、国防総省 (DoD) は、情報システムを通じて 「対象となる防御情報」を処理、保存、または送信するすべての DoD 請負業者に適用される、国防連邦取得規制補足 (DFARS) 条項を実装する最終規則を公布しました。 このルールでは、このようなシステムは、NIST SP 800-171、非統合情報システムおよび組織における制御された未分類情報の保護、または DoD 契約担当者によって承認された「代替的だが、同様に効果的なセキュリティ対策」に記載されているセキュリティ要件を満たす必要があります。 また、DoD の請負業者が外部クラウド サービス プロバイダーを使用して、対象となる防御情報を処理、保存、または送信する場合、そのようなプロバイダーは FedRAMP モデレート ベースラインと同等のセキュリティ要件を満たす必要があります。

次のMicrosoft Office 365クラウド サービスは FedRAMP の中程度の承認を受け取り、DFARS Office 365 米国政府、および米国政府機関Office 365に十分です。

また、DoD の請負業者が「対象となる防御情報」の処理、保存、または送信に使用する可能性がある FedRAMP 認定の境界外の Microsoft 製品は、2017 年 12 月 31 日のコンプライアンス期限を満たす審査を受けています。 Microsoft は、DFARS 関連条項を満たすために、これらの内部および顧客向けサービスが NIST SP 800-171 または許容可能なセキュリティと同等に準拠する方法を文書化しています。

Microsoft コンプライアンス マネージャーを使用してリスクを評価する

Microsoft コンプライアンス マネージャーは、 Microsoft 365 コンプライアンス センターの機能で、組織のコンプライアンスに対する姿勢を把握し、リスクを軽減するための処置を実行できるようにします。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの 評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース