オーストラリア政府情報セキュリティ登録評価プログラム (IRAP)

情報セキュリティ登録評価プログラム (IRAP) は、オーストラリア政府のポリシーとガイドラインに対するシステムのセキュリティを独立して評価するための包括的なプロセスを提供します。 IRAP の目標は、オーストラリア連邦、州、および地方自治体のデータを格納、処理、および通信する情報と通信テクノロジ インフラストラクチャに焦点を当てることによって、セキュリティを最大化することです。

IRAP の概要

情報セキュリティ登録済み評価者プログラム (IRAP) は、オーストラリアのサイバー セキュリティ センター (ACSC) によって管理および管理されます。 IRAPは、オーストラリア政府にサイバーセキュリティ評価サービスを提供するために、民間および公共部門の個人を支持するフレームワークを提供します。 承認された IRAP 評価者は、ICT セキュリティの独立した評価を提供し、軽減策を提案し、残りのリスクを強調できます。 IRAP は、オーストラリア政府のポリシーとガイドラインに対するシステムのセキュリティを独立して評価するための包括的なプロセスを提供します。 IRAP の目標は、オーストラリア連邦、州、および地方自治体のデータを格納、処理、および通信する情報と通信テクノロジ インフラストラクチャに焦点を当てることによって、セキュリティを最大化することです。

  • 2014 年、オーストラリアで初めての IRAP 評価クラウド サービスとして Azure が開始され、メルボルンとシドニーのデータセンターからホストされました。 これら 2 つのデータセンターにより、オーストラリアのお客様は、顧客データの保存場所を制御できる一方で、両方の場所でバックアップを行うことで、災害が発生した場合のデータの持続性を高めます。
  • 2015 年初め、Office 365はこの評価を完了した最初のクラウド生産性サービスとなりました。
  • 2015 年 4 月、ASD は、azure と Office 365 の両方の CCSL 認定を発表し、2015 年 11 月にDynamics 365。
  • 2017 年 6 月、ASD は、大幅に拡張された一連のサービスの Microsoft Azure とOffice 365の再認定を発表しました。
  • 2018 年 4 月、ACSC は PROTECTED 分類で Azure とOffice 365の認定を発表しました。 Microsoft は、このレベルの認定を達成した最初の唯一のパブリック クラウド プロバイダーです。
  • 2019 年 9 月に、Microsoft の更新された IRAP 評価スコープが拡張され、PROTECTED 分類に 113 のサービスが含まれるまで拡大されました。
  • 2020 年 12 月、Microsoft は Azure とOffice 365の 2 つの増分 IRAP 評価をリリースしました。 これらのレポートは、認定Cloud Servicesリスト (CCSL) の停止後の新しいガイダンスを利用しました。 レポートには、クラウド サービス プロバイダー (CSP) としての Microsoft の評価と、Azure、Dynamics、およびOffice 365全体の 2019 レポートに増分されるその他のサービスの両方が含まれています。

Microsoft と IRAP

2020 年 12 月、Microsoft は 2 つの増分 Azure & Dynamics とOffice 365評価を完了しました。 これらの評価により、PROTECTED の分類レベルに評価されるサービスがさらに追加されました。 さらに、これらの評価は、ACSC のクラウド 評価と承認ガイダンスの構造 に関する記事に記載されている新しい CCSL クラウド セキュリティ ガイダンスの下で行われました。

評価ごとに、Microsoft は ACSC 認定の IRAP 評価者と連携し、Microsoft の IT 運用チーム、物理データセンター、侵入検出、暗号化、クロスドメインとネットワークのセキュリティ、アクセス制御、および情報セキュリティ リスク管理で使用されるセキュリティ制御とプロセスを調査しました。 IRAP の評価では、Microsoft のシステム アーキテクチャは健全なセキュリティ原則に基づいており、該当するオーストラリア政府情報セキュリティ マニュアル (ISM) コントロールが適用され、評価されたサービス内で完全に有効であることが判明しました。

ISM が使用するリスク管理フレームワークは、 国立標準技術研究所 (NIST) 特別出版 (SP) 800-37 Rev. 2 から作成されています。 このリスク管理フレームワークでは、 国際標準化機構 (ISO) 31000:2018、リスク管理 - ガイドラインなど、さまざまなリスク管理基準を使用して、リスクの特定とセキュリティ制御の選択を行うことができます。 大まかに、ISM で使用されるリスク管理フレームワークには、次の 6 つの手順があります。

  • システムの定義
  • セキュリティ コントロールを選択する
  • セキュリティコントロールを実装する
  • セキュリティ制御を評価する
  • システムを承認する
  • システムの監視

常に、追加の補正制御は、機関の承認とその後のこれらのクラウド サービスの使用の前に、個々の機関によってリスク管理ベースで実装できます。

Microsoft のサービスとクラウド運用に関する IRAP 評価は、政府およびパートナーの公共部門のお客様に対して、PROTECTED のレベルまで分類されたデータの処理、ストレージ、転送に対して適切かつ効果的なセキュリティ制御が実施されていることを保証するのに役立ちます。 この評価には、オーストラリアのほとんどの政府、医療、教育データが含まれます。

対象となる Microsoft のクラウド プラットフォームとサービス

Azure、Dynamics 365、IRAP

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure IRAP オファリングに関するページを参照してください。

Office 365と IRAP

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Exchange Online、Exchange Online Protection、フォーム、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、OneDrive for Business、Planner、SharePoint Online、Skype for Business、ホワイトボード、Viva Engage

よく寄せられる質問

IRAP は誰に適用されますか?

IRAP は、クラウド サービスを使用するすべてのオーストラリア連邦、州、および地方自治体に適用されます。 ニュージーランド政府機関は、オーストラリア政府 ISM と同様の基準に準拠する必要があるため、IRAP 評価も使用できます。

organizationのリスク評価と承認プロセスで Microsoft のコンプライアンスを使用できますか?

はい。 organizationが ISM に沿って運用するための承認を求めている場合は、リスク評価で Azure、Dynamics 365、Microsoft Managed Desktop、Office 365の IRAP セキュリティ評価を使用できます。 ただし、お客様は、Microsoft のプラットフォームにデプロイされた実装を評価するために評価者を関与させ、独自のorganization内の制御とプロセスについて責任を負います。

organization自身のリスク評価と運用の承認からどこから始めますか?

ACSC から クラウド セキュリティ評価 のガイダンスを読み取うことをお勧めします。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース