(この記事は 2016 年 8 月 8 日に Office Blogs に投稿された記事 Office 365 Service Assurance—gaining your trust with transparency の翻訳です。最新情報については、翻訳元の記事をご参照ください。)
クラウドへの移行を検討中のお客様から「セキュリティ、プライバシー、コンプライアンスの要件を満たすものを望む」という声が多く寄せられています。以下の点について、Office 365 でどのような取り組みがなされているか、お客様にぜひ知っていただきたく考えています。
- データの機密性、整合性、可用性、信頼性の保護
- データへのアクセス制御
- さまざまな規制基準遵守に対する支援
サービス アシュアランス: ダッシュボード
お客様が必要に応じて Office 365 サービスのリスク評価を実施できるように、マイクロソフトでは関連性の高い情報にアクセスできることを目指しています。こうした情報にはシームレスにアクセスできる必要があるため、Office 365 セキュリティ/コンプライアンス センターにおいてサービス アシュアランス ダッシュボードをリリースしました。このダッシュボードでは、以下の情報をすばやく確認できます。
- Office 365 がセキュリティ、プライバシー、コンプライアンスに関する制御をどのように行っているか、第三者の独立監査機関がこうした制御の監査をどのように実施しているかについての詳細情報。
- SSAE 16、SOC 1/SOC 2、AT 101、ISO 27001/27018 などの準拠状況を含む、第三者の独立監査機関による監査レポート。
- 暗号化、インシデント管理、テナント分離、データ回復性の各機能をどのように実装しているかについての詳細情報。
- データを保護する Office 365 のセキュリティ管理および構成の活用方法。
サービス アシュアランス: 監査制御
サービス アシュアランスでは詳細情報が多数提供されていますが、お客様から最初に寄せられたフィードバックで監査制御が特に有益であるということがわかりました。サービス アシュアランスの監査制御機能を使用すると、以下の情報を通じて Office 365 がデータをどのように保護しているかを確認できます。
- Test status: Office 365 の制御のステータス。
- Control implementation details: Office 365 が行っている制御方法。
- Testing performed to evaluate control effectiveness: 独立監査機関によるセキュリティ、コンプライアンス、プライバシー制御の有効性の評価方法。
- Test date: 制御の有効性が確認された日付。
- Office 365 controls: Office 365 の内部統制と標準統制がどのように対応しているかについての情報。
サービス アシュアランス: コンプライアンス レポート
このオープンで透明性の高いモデルでは、「どの」制御が行われているかだけでなく、マイクロソフトがこうした制御を「どのように」実施しているかを知ることができます。Compliance Reports と Trust Documents では、お客様の地域や業界に関連した独立監査レポート、詳細なホワイト ペーパー、よくある質問について確認できます。サービス アシュアランスを利用すると、お客様やマイクロソフトが行う制御を「エンドツーエンド」で監視し、安全性とコンプライアンスを確保することができます。お客様が実施される制御については、リスク管理を行ううえで役立つ関連機能の実地的な導入プランを提供します。
既に多数の組織で Office 365 サービス アシュアランスをご利用いただいており、Office 365 のセキュリティ、プライバシー、コンプライアンスの評価にかかる時間が大幅に短縮されたという声も寄せられています。「Customer Security Considerations Workbook」など、サービス アシュアランスを通じて取得できる情報が、お客様が管理する機能や構成において Office 365 サービスの安全性確保に役立てられています。
サービス アシュアランスをご利用になれるのは、Office 365 をご利用の皆様および Office 365 E3/E5 試用版をご利用の皆様です。ご利用を開始するには『Office 365 セキュリティ/コンプライアンス センターでのサービス アシュアランス (英語)』のガイドに従ってください。
皆様のご意見、ご感想をお待ちしています。
—Om Vaiti (Office 365 トラスト エンジニアリング チーム、シニア プログラム マネージャー)
※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。