国防総省 (DoD) 影響レベル 5 (IL5)

DoD IL5 の概要

国防情報システム局 (DISA) は、DoD クラウド コンピューティング セキュリティ要件ガイド (SRG) の開発と保守を担当する米国国防総省 (DoD)の機関です。 SRG は、クラウド サービス プロバイダー (CSP) のセキュリティ態勢を評価するために DoD が使用するベースライン セキュリティ要件を定義し、CSP が DoD ミッションをホストできる DoD 暫定承認 (PA) を付与する決定をサポートします。 以前に公開された DoD クラウド セキュリティ モデル (CSM) を組み込み、取り消し、取り消し、DoD リスク管理フレームワーク (RMF) にマップします。

DISA は、CSP の使用を計画および承認する DoD 機関および部門を案内します。 また、CSP が SRG に準拠するための CSP 製品を評価します。認証プロセスでは、CSP は DoD 標準への準拠に関するドキュメントを提供できます。 必要に応じて DoD 暫定承認 (PA) が発行されます。そのため、DoD 機関やサポート組織は、完全な承認プロセスを独自に行わずにクラウド サービスを使用し、時間と労力を節約できます。

SRG セクション 3.2 Information Impact Levels によると、IL5 の情報は次の内容をカバーします。

  • IL4 よりも高いレベルの保護を必要とする制御された未分類情報 (CUI)

    • CUI レジストリは、エグゼクティブ ブランチによって保護されている特定のカテゴリの情報を提供します。たとえば、20 を超えるカテゴリ グループがCUIカテゴリ リストに含まれています。
    • NIST SP 800-171 Nonfederal Systems and Organizations の管理された未分類情報の保護は、連邦政府機関が連邦以外の組織と締結した契約または他の契約で使用することを目的としています。
  • 国家セキュリティ システム (NSS)

    • NIST SP 800-59情報システムを国家セキュリティ システムとして識別するためのガイドラインは、NSS の定義を提供します。
    • CNSSI 1253 Security Categorization and Control Selection for National Security Systemsでは、連邦政府機関が国家のセキュリティ情報を分類するために適用する必要があるセキュリティ基準に関するガイダンスを提供します。

商用クラウド コンピューティング サービスの取得と使用に関するガイダンスの更新に関する2014 年 12 月 15日の DoD CIO メモでは、「FedRAMP は、すべての DoD クラウド サービスの最小セキュリティ ベースラインとして機能する」と示されています。 SRG は、すべての情報影響レベル (IL) で FedRAMP モデレート ベースラインを使用し、一部ではハイ ベースラインと見なします。

SRG セクション 5.1.1 FedRAMP セキュリティ コントロールの DoD の使用では、FedRAMP High PA は、DoD FedRAMP+ コントロールとコントロール拡張 (C/CEs) と SRG の要件を補完して、IL5 での DoD PA の授与に向けて CSP を評価するために使用されます。 FedRAMP High PA の基礎としてどの C/CE ベースラインを使用する場合でも、DOD PA を IL5 で授与する前に、追加の考慮事項や要件を評価および承認する必要があります。 具体的には、表 2 の SRG セクション 5.1.2 DoD FedRAMP+ セキュリティコントロール/拡張機能の状態では、DoD IL5 PA には FedRAMP High ベースラインを超える 10 の追加 C/CEs が必要です。

さらに 、SRG セクション 5.2.2.3 IL5 の場所と分離の要件に従って、レベル 5 PA に対して次の要件 (特に) を設定する必要があります。

  • DoD と連邦政府機関のテナント/ミッション間の仮想/論理的な分離で十分です。 テナント/ミッション システム間の仮想/論理的な分離が必要です。
  • DoD/非連邦政府機関以外のテナント (パブリック、地方/州政府のテナント) からの物理的な分離が必要です。
  • CSP は、DoD およびコミュニティの情報への潜在的なアクセスを、米国市民である CSP 従業員に制限します。

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure
  • Dynamics 365 Customer Service
  • Microsoft Defender for Endpoint (以前の Microsoft Defender Advanced Threat Protection)
  • Microsoft Graph
  • Microsoft Stream
  • Office 365 米国防総省
  • Power Automate (以前の Microsoft Flow)
  • Power BI

Azure、Dynamics 365、DoD IL5

Azure、Dynamics 365、その他のオンライン サービスのコンプライアンスの詳細については 、「Azure DoD IL5の提供」を参照してください。

Office 365 DoD IL5

Office 365 のクラウド環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次の Office 365 クラウド環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
DoD アクティビティ フィード サービス、Bing サービス、Exchange Online、Exchange Online Protection、インテリジェント サービス、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 利用状況レポート、OneDrive for Business、People Card、SharePoint Online、Skype for Business、Windows Ink

構成証明のドキュメント

米国政府のお客様は、Office 365アクセス要求フォームを提出することにより、FedRAMP Marketplaceから直接米国政府機関の FedRAMP ドキュメントを要求できます。 FedRAMP から直接 FedRAMP セキュリティ パッケージにアクセスするには、.gov または .mil の電子メール アドレスが必要です。

System Security Plan (SSP)、継続的監視レポート、Plan of Action and Milestones (POA M) などの FedRAMP ドキュメントと DoD ドキュメントを選択すると、NDA の下のお客様や、Service Trust Portal Audit Reports & - FedRAMP Reports セクションからの保留中のアクセス許可を利用できます。 サポートについては、Microsoft アカウント担当者にお問い合わせください。

リソース