Microsoft Cloud のセキュリティチェック対応 URL まとめ
本記事は Office 365 Advent Calendar 2019 に参加しています。
https://adventar.org/calendars/3960
Microsoft に転職する!とブログに記載して早 1 年が経ちました。
今日は 1 年間で貯めたノウハウを Microsoft 365 をはじめとする Microsoft Cloud に関わる皆様方に向けて発信したいと思います。
※調査に時間がかかりすぎて泣きそうになりお助け頂いた諸先輩方には本当に感謝です
クラウドセキュリティチェック
入社して1番時間がかかって対応に困ったのがクラウドセキュリティチェックです。
様々な角度でのチェックあると思うのですが、これを行う目的として Microsoft Cloud がどのように管理され、どんな認定資格を受け、どんな運用をされているのか、を確認します。もしかしたら人生でお目にかからないすごくラッキーな方もいらっしゃるかと思います。ハッキリ言います、私はとてもこれが苦手です。
私と同じような方も多いと思うので参考 URL や資料などをざっとご紹介します。
Microsoft Trsut Center(なぜか日本語ではセキュリティセンター)
https://www.microsoft.com/ja-jp/trust-center/product-overview
ここでは Microsoft Cloud 各製品ごとにカテゴライズし、例えば Office 365 であれば、契約国におけるデータの所在地、世界中のどんな規格に準じているのか、GDPR の対応についての回答などが掲載されています。
個人的に意外と勉強になるのは「よくある質問」、本当よく聞かれることは大体ここに明記されてます。
https://www.microsoft.com/ja-jp/download/details.aspx?id=26647
このホワイトペーパーでは Cloud Security Alliance のフレームワークを元にデータセンターがどんな運用をしているのかが記載されています。
例えば、「監査はどのように行っているのか」「データセンターっで火災や地震の対応をどう行っているのか?」「それぞれの設問が ISO の何に準拠しているのか」などが記載されています。
ライセンス条項の関連資料
https://www.microsoft.com/ja-jp/licensing/product-licensing/products
SLA の定義などについてはこちらの Web に記載されているオンラインサービス条項(OST)の最新版が常に適応されます。
この中にある製品条項(PT)はどのライセンスプログラムでどのライセンスが購入できるか、ライセンス違反にならないための前提条件やどの Suite でどんな特典がついてくるか等の記載があります。こちらも毎月更新がかかり契約の間は最新情報が適応されますので困ったときに辞書的に使う方がよいです。
Audit Reports
Azure 、Dynamics、Office 365 などの第三者監査レポート (ISO や SOC など)が公開されています
その他、Office 365 関連でのセキュリティ・コンプライアンス対策で使える Docs 集
https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-auditing-and-reporting-overview
Microsoft Cloud における暗号化
Office 365 での管理アクセス制御
Office 365 でのデータの保持、削除、および破棄
Office 365 でのデータの回復
https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-data-resiliency-overview
Office 365 でのサービス拒否攻撃に対する防御
Office 365 でのテナントの分離
https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-tenant-isolation-overview
Power Platform 関連でのセキュリティ・コンプライアンス対策で使える Docs 集
Trust Center(Power Apps - Power Automate 間の通信などの記載もあり)
https://www.microsoft.com/ja-jp/TrustCenter/CloudServices/business-application-platform/default.aspx
コンプライアンスとデータプライバシー
https://docs.microsoft.com/ja-jp/power-platform/admin/wp-compliance-data-privacy
Power Apps 管理センターの地域概要
https://docs.microsoft.com/ja-jp/power-platform/admin/regions-overview
暗号化キーの管理(具体的に普段どんな暗号化されてるか記載あり)
https://docs.microsoft.com/ja-jp/power-platform/admin/manage-encryption-key
環境のバックアップと復元
https://docs.microsoft.com/ja-jp/power-platform/admin/backup-restore-environments
OneNote にしたためてたものがどなたかのお役に立ちますように。