My 365 LIFE

主に Office365 / Teams / EMS / Windows 10 の利活用ネタや技術的備忘録など。

Microsoft Cloud のセキュリティチェック対応 URL まとめ

本記事は Office 365 Advent Calendar 2019 に参加しています。

https://adventar.org/calendars/3960

f:id:matsuko365:20181209144605p:plain

Microsoft に転職する!とブログに記載して早 1 年が経ちました。

今日は 1 年間で貯めたノウハウを Microsoft 365 をはじめとする Microsoft Cloud に関わる皆様方に向けて発信したいと思います。

※調査に時間がかかりすぎて泣きそうになりお助け頂いた諸先輩方には本当に感謝です

 

クラウドセキュリティチェック

入社して1番時間がかかって対応に困ったのがクラウドセキュリティチェックです。

様々な角度でのチェックあると思うのですが、これを行う目的として Microsoft Cloud がどのように管理され、どんな認定資格を受け、どんな運用をされているのか、を確認します。もしかしたら人生でお目にかからないすごくラッキーな方もいらっしゃるかと思います。ハッキリ言います、私はとてもこれが苦手です。

私と同じような方も多いと思うので参考 URL や資料などをざっとご紹介します。

 

Microsoft Trsut Center(なぜか日本語ではセキュリティセンター)

https://www.microsoft.com/ja-jp/trust-center/product-overview

ここでは Microsoft Cloud 各製品ごとにカテゴライズし、例えば Office 365 であれば、契約国におけるデータの所在地、世界中のどんな規格に準じているのか、GDPR の対応についての回答などが掲載されています。

個人的に意外と勉強になるのは「よくある質問」、本当よく聞かれることは大体ここに明記されてます。

 

Request for Information (情報提供依頼書) に対する標準的なレスポンス セキュリティおよびプライバシー

https://www.microsoft.com/ja-jp/download/details.aspx?id=26647

このホワイトペーパーでは Cloud Security Alliance のフレームワークを元にデータセンターがどんな運用をしているのかが記載されています。

例えば、「監査はどのように行っているのか」「データセンターっで火災や地震の対応をどう行っているのか?」「それぞれの設問が ISO の何に準拠しているのか」などが記載されています。

 

ライセンス条項の関連資料

https://www.microsoft.com/ja-jp/licensing/product-licensing/products

SLA の定義などについてはこちらの Web に記載されているオンラインサービス条項(OST)の最新版が常に適応されます。

この中にある製品条項(PT)はどのライセンスプログラムでどのライセンスが購入できるか、ライセンス違反にならないための前提条件やどの Suite でどんな特典がついてくるか等の記載があります。こちらも毎月更新がかかり契約の間は最新情報が適応されますので困ったときに辞書的に使う方がよいです。

 

Audit Reports

https://aka.ms/auditreports

Azure 、Dynamics、Office 365 などの第三者監査レポート (ISO や SOC など)が公開されています

 

その他、Office 365 関連でのセキュリティ・コンプライアンス対策で使える Docs 集

Microsoft クラウドサービスでの監査とレポート

https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-auditing-and-reporting-overview

Microsoft Cloud における暗号化

https://docs.microsoft.com/ja-jp/microsoft-365/compliance/office-365-encryption-in-the-microsoft-cloud-overview

Office 365 での管理アクセス制御

https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-administrative-access-controls-overview

Office 365 でのデータの保持、削除、および破棄

https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-data-retention-deletion-and-destruction-overview

Office 365 でのデータの回復

https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-data-resiliency-overview

Office 365 でのサービス拒否攻撃に対する防御

https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-defending-against-denial-of-service-attacks-overview

Office 365 でのテナントの分離

https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-tenant-isolation-overview

 

Power Platform 関連でのセキュリティ・コンプライアンス対策で使える Docs 集

Trust Center(Power Apps - Power Automate 間の通信などの記載もあり)

https://www.microsoft.com/ja-jp/TrustCenter/CloudServices/business-application-platform/default.aspx

 

コンプライアンスとデータプライバシー

https://docs.microsoft.com/ja-jp/power-platform/admin/wp-compliance-data-privacy

Power Apps 管理センターの地域概要

https://docs.microsoft.com/ja-jp/power-platform/admin/regions-overview

暗号化キーの管理(具体的に普段どんな暗号化されてるか記載あり)

https://docs.microsoft.com/ja-jp/power-platform/admin/manage-encryption-key

環境のバックアップと復元

https://docs.microsoft.com/ja-jp/power-platform/admin/backup-restore-environments

 

OneNote にしたためてたものがどなたかのお役に立ちますように。