コンプライアンス スコアの計算Compliance score calculation

この記事では、次の情報を参照してください。 コンプライアンス マネージャーが組織のコンプライアンス スコアを計算する方法について学習します。In this article: Learn how Compliance Manager calculates a compliance score for your organization. この記事では、スコアを解釈する方法、データ保護ベースライン評価に含まれる内容、継続的な監視、さまざまな種類のアクションの管理とスコア付けを行う方法について 説明しますThis article explains how to interpret your score, what the Data Protection Baseline assessment includes, continuous monitoring, and how different types of actions are managed and scored.

重要

コンプライアンス マネージャーの推奨事項は、コンプライアンスの保証と捉えることはできません。Recommendations from Compliance Manager should not be interpreted as a guarantee of compliance. 規制環境ごとの顧客管理の有効性を評価および検証する必要があります。It is up to you to evaluate and validate the effectiveness of customer controls per your regulatory environment. これらのサービスは、Online Services 利用規約の条件 に従いますThese services are subject to the terms and conditions in the Online Services Terms. セキュリティと コンプライアンスについては、「Microsoft 365 ライセンス ガイダンス」も参照してくださいSee also Microsoft 365 licensing guidance for security and compliance.

コンプライアンス スコアの読み方How to read your compliance score

コンプライアンス マネージャー ダッシュボードには、全体的なコンプライアンス スコアが表示されます。The Compliance Manager dashboard displays your overall compliance score. このスコアは、コントロール内で推奨される改善アクションを完了する進捗状況を測定します。This score measures your progress in completing recommended improvement actions within controls. スコアは、現在のコンプライアンス体制を理解するのに役立ちます。Your score can help you understand your current compliance posture. また、リスクを軽減する可能性に基づいてアクションの優先順位を設定する場合にも役立ちます。It can also help you prioritize actions based on their potential to reduce risk.

スコア値は、次の 3 つのレベルで割り当てられます。A score value is assigned at three levels:

  1. 改善アクション スコア: 各アクションは、関連する潜在的なリスクに応じてスコアに異なる影響を与えますImprovement action score: each action has a different impact on your score depending on the potential risk involved

  2. コントロール スコア: このスコアは、コントロール内の改善アクションを完了することによって獲得したポイントの合計です。Control score: this score is the sum of points earned by completing improvement actions within the control. この合計は、コントロールが次の両方の条件を満たす場合に、全体的なコンプライアンス スコアに完全に適用されます。This sum is applied in its entirety to your overall compliance score when the control meets both of the following conditions:

    • [実装の状態] は、実装済みまたは****代替の実装と等し くなります。Implementation Status equals Implemented or Alternative Implementation, and
    • テスト結果は 、渡された値 と等しくなりますTest Result equals Passed.
  3. 評価スコア: このスコアは、コントロール のスコアの合計です。Assessment score: this score is the sum of your control scores. アクション スコアを使用して計算されます。It is calculated using action scores. 各 Microsoft アクションと、組織が管理する各改善アクションは、コントロールで参照される頻度に関係なく、1 回カウントされます。Each Microsoft action and each improvement action managed by your organization is counted once, regardless of how often it is referenced in a control.

全体的なコンプライアンス スコアはアクション スコアを使用して計算され、各 Microsoft アクションは 1 回カウントされ、管理する各技術的なアクションは 1 回カウントされ、管理する技術的でない各アクションはグループごとに 1 回カウントされます。The overall compliance score is calculated using action scores, where each Microsoft action is counted once, each technical action you manage is counted once, and each non-technical action you manage is counted once per group. このロジックは、組織でのアクションの実装およびテスト方法の最も正確な会計を提供するように設計されています。This logic is designed to provide the most accurate accounting of how actions are implemented and tested in your organization. これにより、全体的なコンプライアンス スコアが評価スコアの平均と異なる場合があります。You may notice that this can cause your overall compliance score to differ from the average of your assessment scores. アクションのスコア付け 方法の詳細については、以下を参照してくださいRead more below about how actions are scored.

Microsoft 365 データ保護基準に基づく初期スコアInitial score based on Microsoft 365 data protection baseline

コンプライアンス マネージャーは、Microsoft 365 データ保護基準に基づく初期スコアを提供します。Compliance Manager gives you an initial score based on the Microsoft 365 data protection baseline. この基準は、データ保護と一般的なデータ ガバナンスの主要な規制と標準を含む一連のコントロールです。This baseline is a set of controls that includes key regulations and standards for data protection and general data governance. このベースラインは、主に NIST CSF (国立標準技術サイバーセキュリティ フレームワーク研究所) と ISO (国際標準化機構) から、また FedRAMP (連邦リスク承認管理プログラム) および GDPR (欧州連合の一般データ保護規則) から要素を描画します。This baseline draws elements primarily from NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) and ISO (International Organization for Standardization), as well as from FedRAMP (Federal Risk and Authorization Management Program) and GDPR (General Data Protection Regulation of the European Union).

初期スコアは、すべての組織に提供される既定のデータ保護ベースライン評価に従って計算されます。Your initial score is calculated according to the default Data Protection Baseline assessment provided to all organizations. 初めてアクセスすると、コンプライアンス マネージャーは既に Microsoft 365 ソリューションから信号を収集しています。Upon your first visit, Compliance Manager is already collecting signals from your Microsoft 365 solutions. 主要なデータ保護の標準と規制に関連して組織がどのように実行されているのかが一目でわかると同時に、推奨される改善措置を参照してください。You’ll see at a glance how your organization is performing relative to key data protection standards and regulations, and see suggested improvement actions to take.

コンプライアンス マネージャーは、すべての組織に固有のニーズを持つため、リスクを可能な限り包括的に最小限に抑え、軽減するために、評価の設定と管理を行います。Because every organization has specific needs, Compliance Manager relies on you to set up and manage assessments to help minimize and mitigate risk as comprehensively as possible.

コンプライアンス マネージャーがコントロールを継続的に評価する方法How Compliance Manager continuously assesses controls

コンプライアンス マネージャーは、Microsoft 365 環境をスキャンしてシステム設定を自動的に検出し、技術的なアクションの状態を継続的に自動的に更新します。Compliance Manager automatically scans through your Microsoft 365 environment and detects your system settings, continuously and automatically updating your technical action status. Microsoft Secure Score は、監視を実行する基になるエンジンです。Microsoft Secure Score is the underlying engine that performs the monitoring.

アクションの状態は、24 時間ごとにダッシュボードで更新されます。Your action status is updated on your dashboard every 24 hours. コントロールを実装するための推奨事項に従った後、通常、コントロールの状態が次の日に更新されるのが表示されます。Once you follow a recommendation to implement a control, you’ll typically see the control status updated the next day.

たとえば、Azure AD ポータルで多要素認証 (MFA) を有効にすると、コンプライアンス マネージャーは設定を検出し、コントロール アクセス ソリューションの詳細に反映します。For example, if you turn on multi-factor authentication (MFA) in the Azure AD portal, Compliance Manager detects the setting and reflects it in the control access solution details. 逆に、MFA を有効にしなかった場合、コンプライアンス マネージャーは推奨されるアクションとしてフラグを設定します。Conversely, if you didn’t turn on MFA, Compliance Manager flags that as a recommended action for you to take.

Secure Score の 詳細と動作について説明しますLearn more about Secure Score and how it works.

アクションの種類とポイントAction types and points

コンプライアンス マネージャーは、次の 2 種類のアクションを追跡します。Compliance Manager tracks two types of actions:

  1. 改善アクション: 組織が管理するアクション。Your improvement actions: actions that your organization manages.
  2. Microsoft のアクション: Microsoft が管理するアクション。Microsoft actions: actions that Microsoft manages.

どちらの種類のアクションにも、完了時の全体的なスコアにカウントされるポイントがあります。Both types of actions have points that count toward your overall score when completed.

技術的および非技術的なアクションTechnical and non-technical actions

アクションは、技術的か非技術的かによってグループ化されます。Actions are grouped by whether they are technical or non-technical in nature. 各アクションのスコアの影響は、種類によって異なります。The scoring impact of each action differs by type.

  • 技術的なアクション は、ソリューションのテクノロジ (構成の変更など) を操作して実装されます。Technical actions are implemented by interacting with the technology of a solution (for example, changing a configuration). 技術的なアクションのポイントは、それが属するグループの数に関係なく、アクションごとに 1 回付与されます。The points for technical actions are granted once per action, regardless of how many groups it belongs to.

  • 非技術的なアクションは 組織によって管理され、ソリューションのテクノロジを操作する以外の方法で実装されます。Non-technical actions are managed by your organization and implemented in ways other than working with the technology of a solution. 非技術的なアクションには、ドキュメントと運用の 2 種類****がありますThere are two types of non-technical actions: documentation and operational. これらのアクションのポイントは、グループ レベルのコンプライアンス スコアに適用されます。The points for these actions are applied to your compliance score at a group level. つまり、アクションが複数のグループに存在する場合は、アクションをグループ内に実装する度にアクションのポイント値を受け取る必要があります。This means that if an action exists in multiple groups, you will receive the action's point value each time you implement it within a group.

技術的および非技術的なアクションのスコア付け方法の例を次に示します。Example of how technical and non-technical actions are scored:

たとえば、5 つのグループに存在する 3 ポイント相当のテクニカル アクションが存在し、同じ 5 つのグループに存在する 3 ポイントの非技術的なアクションがあるとします。Let's say you have a technical action worth 3 points that exists in 5 groups, and you have a non-technical action worth 3 points that exists in the same 5 groups.

技術アクションを正常に実装した場合、受け取ったポイントの総数は 3 です。If you successfully implement the technical action, the total number of points you receive is 3. これは、テナントに対してアクションを 1 回だけ実装する必要があるためです。This is because you only need to implement the action once for your tenant. 技術的なアクションの実装とテストの状態は、そのアクションのすべてのインスタンスで、そのアクションが属しているすべてのグループで同じことを示します。The implementation and test status for the technical action will show the same in all instances of that action, in every group it belongs to.

5 つのグループごとに技術的でないアクションを正常に実装した場合、受け取るポイントの総数は 15 です。If you successfully implement the non-technical action in each of the 5 groups, the total number of points you receive is 15. これは、各グループにアクションを実装する必要があるためです。This is because you need to implement the action in each group. 技術的でないアクションの実装とテストの状態は、各グループ内で個別に実装されるので、グループ間で異なります。The implementation and test status for the non-technical action will differ across groups because the action is implemented separately within each of its groups.

このスコアリング ロジックは、組織内でのアクションの実装およびテスト方法の最も正確な会計を提供するように設計されています。This scoring logic is designed to provide the most accurate accounting of how actions are implemented and tested in your organization.

スコア値の決定方法How score values are determined

アクションには、必須か任意か、予防的か探偵か修正かに基づいてスコア値が割り当てられます。Actions are assigned a score value based on whether they’re mandatory or discretionary, and whether they’re preventative, detective, or corrective.

必須および任意のアクションMandatory and discretionary actions

  • 必須アクションは 、意図的または誤ってバイパスできません。Mandatory actions can't be bypassed, either intentionally or accidentally. 必須アクションの例は、パスワードの長さ、複雑さ、有効期限の要件を設定する、一般に管理されたパスワード ポリシーです。An example of a mandatory action is a centrally managed password policy that sets requirements for password length, complexity, and expiration. ユーザーがシステムにアクセスするには、次の要件を満たす必要があります。Users must follow these requirements to access the system.

  • 任意のアクションは 、ポリシーを理解し、遵守するためにユーザーに依存します。Discretionary actions rely upon users to understand and adhere to a policy. たとえば、ユーザーがコンピューターを離れるときにユーザーにロックを要求するポリシーは、ユーザーに依存する任意のアクションです。For example, a policy requiring users to lock their computer when they leave it is a discretionary action because it relies on the user.

予防、探偵、および修正のアクションPreventative, detective, and corrective actions

  • 予防措置は、特定 のリスクに対処します。Preventative actions address specific risks. たとえば、暗号化を使用して保存中の情報を保護すると、攻撃や侵害に対する予防措置です。For example, protecting information at rest using encryption is a preventative action against attacks and breaches. 職務の分離は、利益相反を管理し、詐欺から保護するための予防措置です。Separation of duties is a preventative action to manage conflict of interest and guard against fraud.

  • 検出アクションは、 システムを積極的に監視して、リスクを表す不規則な条件や動作、または侵入や侵害を検出するために使用できる動作を識別します。Detective actions actively monitor systems to identify irregular conditions or behaviors that represent risk, or that can be used to detect intrusions or breaches. たとえば、システム アクセスの監査と特権管理アクションが含まれます。Examples include system access auditing and privileged administrative actions. 規制コンプライアンス監査は、プロセスの問題を見つけるために使用される検出アクションの一種です。Regulatory compliance audits are a type of detective action used to find process issues.

  • 修正アクションは 、セキュリティ インシデントの悪影響を最小限に抑え、直ちに影響を軽減する是正措置を取り、可能な場合は損害を取り消します。Corrective actions try to keep the adverse effects of a security incident to a minimum, take corrective action to reduce the immediate effect, and reverse the damage if possible. プライバシー インシデント対応は、侵害後にシステムの損傷を制限し、システムを運用状態に復元する是正措置です。Privacy incident response is a corrective action to limit damage and restore systems to an operational state after a breach.

各アクションには、コンプライアンス マネージャーが表すリスクに基づいて値が割り当てられます。Each action has an assigned value in Compliance Manager based on the risk it represents:

Type 割り当てられたスコアAssigned score
予防的な必須Preventative mandatory 2727
予防的な裁量Preventative discretionary 99
探偵必須Detective mandatory 33
探偵の裁量Detective discretionary 11
修正必須Corrective mandatory 33
修正裁量Corrective discretionary 11

コンプライアンス マネージャーのアクション ポイントの値Compliance Manager action point values