Baseline Informatiebeveiliging Rijksdienst 標準 (BIR 2012)

  • [アーティクル]

BIR 2012 の概要

オランダの官公庁から業務を受託する組織は、Baseline Informatiebeveiliging Rijksdienst 標準 (BIR 2012) に準拠する必要があります。 BIR 2012 は、ISO 27001 および ISO 27002 に基づく標準フレームワークを提供します。 Microsoft Azure または Office 365を使用している組織の場合、Microsoft は、クラウド コンピューティングの共有責任モデルに沿って、これらのクラウド サービスの BIR 2012 コントロールの一部を管理します。 そのため、BIR 2012 に準拠する必要がある組織は、使用している基になる Microsoft サービスが BIR 2012 に準拠しているかどうかを判断する必要があります。

BIR カバレッジ レポートでは、BIR 標準のどの領域が既存の ISO 27001 認証にカバーされているかを解説するガイダンスが提供されています。ISO 27001 認証は、Microsoft クラウド サービスに適用されています。 ISO 27001 でカバーされていない追加の BIR コントロールがある場合は、他の独立した構成証明、監査ドキュメント、または契約上の記述への参照が行われます。

Microsoft と BIR 2012

Microsoft は BIR 2012 コンプライアンスの対象ではありませんが、クラウド サービスの使用を求める政府機関のお客様は、Microsoft の既存の認定資格を使用して、この標準への準拠を決定できます。 Azure と Office 365 はさまざまな独立した保証や認証を受けており、そのうちのいくつかは BIR 2012 に深くかかわるものです。

Microsoft クラウドのダウンロード: Azure および Office 365 BIR-2012 ベースラインのカバレッジ ユーザー ガイド

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure
  • Intune
  • Office 365

Office 365 と BIR 2012

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Azure Information Protection、Bookings、Exchange Online Protection、Exchange Online、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Cloud App Security、Office 365 グループ、Office Delve、OneDrive for Business、Planner、Power Apps、Power Automate、Power BI for Office 365、PowerApps、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage

監査、レポート、証明書

Microsoft の独立した第三者監査機関によって、現在の Azure および Office 365 の認定と構成証明 (ISO/IEC 27001 や SOC 2 Type 2 など) で、Microsoft が担当する BIR 2012 をどの程度カバーできているかを分析しました。 その結果を示すレポートから、BIR 2012 標準に記載されているコントロールに対するこれらの既存の認定と構成証明のマッピングを確認できます。 このレポートは、BIR 2012 に準拠した方法で Azure を採用するのに役立つツールとしてご利用いただけます。 このレポートでは、Microsoft によってカバーされている BIR 2012 コントロールと、お客様が実装する必要のあるコントロールとが明確に示されています。 「Microsoft Cloud: Azure および Office 365 BIR 2012 ベースラインのカバレッジ」レポートは、Service Trust Portal での監査レポートに関するページの「GRC 評価レポート」セクションからダウンロードできます。

よく寄せられる質問

Microsoft は BIR 2012 の認証を取得していますか?

BIR コンプライアンスの義務は、政府部門に適用されます。 BIR コンプライアンスでは、組織が情報セキュリティ管理システムを実行し、適切な技術的および組織的な手段により対処することが求められています。 Microsoft はクラウド サービス プロバイダーとしての役割において、BIR コンプライアンスの準拠を目指してはおらず、また技術的に実現することはできません。 お客様が Microsoft クラウド サービスを導入または利用する場合、それらのサービスが BIR 評価の対象範囲に含まれている可能性があります。 しかし、組織は独自の (さらなる) 統制、選択事項、プロセスを取り入れなくてはならず、それらは総合的な BIR の評価の一部となります。 レポートの目的は、政府部門が BIR 2012 に準拠する形で Microsoft クラウド サービスを導入できるのを実証することにあります。

Microsoft クラウド サービスを利用する顧客は BIR 2012 に準拠しますか?

BIR コンプライアンスへの準拠は、お客様がその責任を負います。 クラウド サービス ベンダーを使用するお客様は、通常、ベンダーに保証を要求し、独自の (追加の) テクノロジと組織の決定、選択、プロセスを追加します。 この取り組みは結果的に、BIR コンプライアンスに関して、総合的な評価はお客様が実施することになり、その内容は審査または認定のため、第三者の監査人に提出されます。 BIR カバレッジ レポートでは、Microsoft クラウド サービスがどの BIR 統制の対象となるかを示すインサイトが提供されていますが、そこではエンド ツー エンドのコンプライアンスは取り上げられていません。

レポートには 100% のカバレッジは表示されません。 BIR 2012 のコンプライアンスは実現不可能ですか?

Microsoft クラウド サービスでは、オランダ国内の組織が持つ BIR コンプライアンスのニーズを支援する、多くの統制を提供しています。 ただし、組織は自身で選択した実施事項、さらなる技術統制、そして管理プロセスに関しては、ベンダーによるそれらの保証を補完する必要があります。 同レポートでは既に、適用可能なすべての統制の 91% 以上が直接カバーされています。 カバーされていない規制に関しては、Microsoft がレポートにおいて、準拠する方法に関するガイダンスを提供しています。

BIR カバレッジ レポートは法的拘束力を持つ文書ですか?

いいえ。 BIR カバレッジ レポートは、お客様の社内的な BIR 保証プロセスをサポートするツールであり、BIR コンプライアンスの実行可能性への信頼と信任を確立するためのものです。 レポートは説明として提供され、法的な免責事項があります。

このレポートを共有することはできますか?

レポートは機密保持契約の元でお客様に提供され、お客様の参照のみを前提としており、また Microsoft の Service Trust Platform 以外のチャネルを介した複製および開示はできません。 お客様はレポートを、コンプライアンスまたは保証プロセスの一環として、社内外の監査人と共有することができます。

リソース