イギリス Government-Cloud (G-Cloud)

英国の G-Cloud の概要

Government Cloud (G-Cloud) は、政府機関によるクラウド サービスの調達を容易にし、政府全体でのクラウド コンピューティングの導入を促進する英国政府のイニシアチブです。 G-Cloud は、クラウド サービスのサプライヤー (Microsoft など) との一連のフレームワーク契約と、オンライン ストアである Digital Marketplace でのサービスの一覧で構成されます。 これらの機能により、公的機関は、独自の完全なレビュー プロセスを実行することなく、それらのサービスを比較および調達できます。 デジタル マーケットプレースに含めるには、コンプライアンスの自己証明が必要です。その後、その裁量で政府機関デジタル サービス (GDS) ブランチによって実行される検証が必要です。

G-Cloud の予定プロセスは 2014 年に合理化され、英国政府の時間とコストが削減され、政府のセキュリティ分類スキームは、OFFICIAL、SECRET、TOP SECRET の 6 から 3 つのレベルに簡素化されました。 (G-Cloud 認定レベルは、影響レベル (IL) として表現されなくなりました。Microsoft は以前、ユーザー、Microsoft Dynamics 365、および Microsoft Azureの IL2 認定をMicrosoft Office 365。

以前に提供されたクラウド サービスの中央評価ではなく、新しいプロセスでは、クラウド サービス プロバイダーが G-Cloud の 14 のクラウド セキュリティ原則をサポートする証拠を自己認定し、証拠を提供する必要があります。 これは、Microsoft が作成する証拠や、会社が遵守する基準を変更していません。

Microsoft と UK の G-Cloud

Microsoft は毎年、ドキュメントを準備し、スコープ内のエンタープライズ クラウド サービスが原則に準拠し、潜在的な G-Cloud のお客様にリスク環境の概要を示す証拠を提出しています。 (以前の G-Cloud 認定と同様に、ISO 27001 の認定に依存しています)。その後、GDS 認定者は、Microsoft アサーション ステートメントに対していくつかのランダムなチェックを実行し、証拠をサンプルし、コンプライアンスの決定を行います。

デジタル マーケットプレースMicrosoft サービスの予定は、英国政府機関とパートナーがスコープ内サービスを使用して、英国の公式政府データ (ほとんどの政府データ) を保存および処理できるという意味です。 さらに、G-Cloud には、Microsoft クラウド サービスのリセラーである 450 を超える Microsoft パートナーが含まれています。 スコープ内サービスのコンプライアンスを、14 の原則を独自のアプリケーションで直接主張できます。 ただし、顧客とパートナーは、Microsoft クラウド サービスのコンプライアンスの構成証明と決定に含まれていないコンポーネントに対して、独自のコンプライアンスを達成する必要があります。

Microsoft Azure を使用した英国のクラウド向け14クラウド セキュリティコントロールは、サービスを Azure に移行し、CESG/NCSC が義務付ける英国の義務を満たすのに役立つ顧客戦略を提供します。 ホワイトペーパーでは、Azure を使用してクラウド セキュリティ プリンシパルで概説されている 14 のコントロールに対処する方法について説明し、Microsoft Azure サービスを採用する場合に顧客が迅速に移行し、より多くの成果を達成する方法について説明します。

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure
  • Microsoft Cloud App Security
  • Dynamics 365
  • Intune
  • Office 365
  • Power Automate (Microsoft Flow) クラウド サービス (スタンドアロン サービスとして、または Office 365 または Dynamics 365 ブランドプランまたはスイートに含まれている場合)
  • PowerApps クラウド サービス (スタンドアロン サービスとして、または Office 365 または Dynamics 365 ブランドプランまたはスイートに含まれている場合)
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)

Office 365と英国の G-Cloud

Office 365 のクラウド環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次の Office 365 クラウド環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Exchange Online, SharePoint, Skype for Business

監査、レポート、証明書

Microsoft クラウド サービスが G-Cloud 契約への準拠を維持しているのを確認するために、GDS 認定者は、いつでも、その裁量で証拠を確認できます。

Azure

Dynamics 365

Intune

Office 365

Azure での英国の G-Cloud ソリューションの展開を加速する

政府機関のサービスをクラウドに移行すると、Azure Security and Compliance UK Blueprint を使用する作業がこれまで以上に簡単になりました。 このブループリントは、今日の準拠ソリューションの構築を開始するためのガイダンスと自動化されたスクリプトを提供します。

Azure UK G-Cloud ブループリントの使用を開始する

よく寄せられる質問

Whoマーケットプレースを使用する資格はありますか?

英国のすべての政府機関、デボルブされた行政、地方当局、より広範な公的機関、およびアームの長さの機関は、市場でサービスを購入する資格があります。 資格が不明な場合は、現在のクラウン 商用サービスのサプライヤーガイダンス を参照 してください。

腕の長さのボディとは何ですか?

これは、英国政府が資金を提供しているが、独立して行動する組織または機関です。

英国のお客様にとって、ローカル データセンターの場所とはどういう意味ですか。

英国の Microsoft Cloud は、信頼性とパフォーマンスと英国のデータ常駐を組み合わせて提供します。 このサポートは、お客様がローカルのコンプライアンスとポリシー要件を満たすのに役立つ信頼できるクラウド サービスを提供します。 さらに、英国全体の複数のデータセンターでのデータのレプリケーションにより、純粋なクラウドとハイブリッドの両方のシナリオで、ビジネス継続性のための地理的冗長データ保護が顧客に提供されます。 英国全体の複数の場所にデータセンターがあります。

  • グローバル Azure マップで、新しい Azure 地域 (英国西部、英国南部) を確認できます
  • このOffice 365、英国のデータセンターは、新しい英国および地域Office 365構成します。 グローバル マップの詳細については、Office 365参照してください

他の Microsoft EU データセンターはどこに配置されていますか?

Microsoft クラウド サービスには、英国のデータセンターに加えて、複数の場所にデータ センターがあります。 すべてのセンターの最新のリストについては、データの場所ページ をご覧ください

監査人のレポートのコピーを取得する方法

Service Trust Portal では、中立的な監査によるコンプライアンス レポートを提供しています。 ポータルを使用して監査レポートを要求し、監査者が Microsoft の結果を独自の法的および規制上の要件と比較できます。

リソース