CCCS Medium の概要
カナダ政府 (GC) 機密性の高い政府の情報と資産に対する保護された B セキュリティ レベルは、侵害された場合に個人、organization、または政府に重大な傷害を引き起こす可能性のある情報または資産に適用されます。 カナダサイバーセキュリティセンター(CCCS)が発行するITセキュリティリスク管理に関する情報技術セキュリティガイダンス(ITSG)33に基づき、GCは、Cloud-Based サービスのセキュリティ分類に関するガイダンス(ITSP.50.103)とカナダ政府セキュリティコントロールプロファイル(GCセキュリティコントロールプロファイル)を開発しました。保護された B、中程度の整合性、および中の可用性 (PBMM) の。 元の PBMM セキュリティ制御プロファイルは、 CCCS Medium Cloud Profile Recommendations に進化しました。
GCセキュリティコントロールプロファイルは、ITSG-33と米国連邦リスクおよび認可管理プログラム(FedRAMP)を使用します。どちらも国立標準技術研究所(NIST)特別出版(SP)800-53のセキュリティとプライバシー制御の基礎を持っています。 GC は、クラウド サービスの相互運用性と、クラウド サービス プロバイダー (CSP) によって生成される承認証拠の再利用性の両方を最大化するために、GC セキュリティ制御プロファイルを FedRAMP と調整します。
カナダ財務委員会事務局 (TBS) は、サービスとデジタルに関する指令に基づいて義務付けられている GC Cloud Guardrails に対する監視と監視部門のコンプライアンスの維持を含む、クラウド サービスの GC エンタープライズ ガバナンス、戦略、ポリシーを担当しています。 GC はクラウド導入戦略を進化させ、クラウドが新しいアプリケーションに推奨されるオプションであり、既存のアプリケーション ポートフォリオを合理化して最も適切なホスティング モデルに合わせる クラウド スマート原則 を提唱しました。
カナダサイバーセキュリティセンター (CCCS) は、CSP の CCCS Medium セキュリティ制御を実装する能力をレビューする クラウド サービス プロバイダー セキュリティ評価プロセス を確立しました (注: CCCS Medium Control プロファイルは、 クラウドベースの GC サービスのカナダ政府セキュリティ制御プロファイルに置き換えられます)。 結果として得られる技術的リスク評価レポートには、レビュー プロセスの結果が含まれます。 クラウド セキュリティの評価と承認に関する部門ガイダンス (ITSP.50.105) も CCCS から入手できます。
対象となる Microsoft のクラウド プラットフォームとサービス
カナダサイバーセキュリティセンターは、 CCCS Mediumセキュリティ制御プロファイルに従って、クラウド サービス プロバイダーのセキュリティ制御とプロセスが、保護された B、中整合性、中可用性 (PBMM) までの情報とサービスに関するカナダ政府のセキュリティ要件に照らして評価される評価を実施します。 現在までに、CCCS は次の Microsoft オンライン サービスを正式に評価しました。
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure、Dynamics 365、Power Platform、CCCS Medium
Microsoft は、2019 年に連邦政府とフレームワーク契約を締結した際に、カナダ政府のセキュリティで保護されたクラウド サービスの資格を得た最初のグローバル クラウド サービス プロバイダーの 1 つでした。 この枠組み合意は、政府プロセスを合理化するというカナダ政府の野望を支持しており、真のデジタル政府への道のりにおける重要なステップです。 Microsoft の Azure CCCS Medium 評価サービスは、公共部門のイノベーション、変革、サービスの機敏性の新たな機会を生み出します。公務員は、保護された B データの保存と処理をサポートする高度な機能の範囲にアクセスできます。 さらに、政府機関は、Azureで革新的で安全なソリューションを構築するパートナーと開発者の Microsoft の繁栄するエコシステムの恩恵を受けています。
Microsoft には、カナダの Azure クラウド リージョンが 2 つあります。トロントのカナダ中部とケベック シティのカナダ東部は、それぞれ複数のハイパースケール クラウド データセンター サイトで構成されています。 これらのリージョンは、保存中 の顧客データの保存、フェールオーバー、および多くの Core Online サービスのアプリケーションと顧客データのディザスター リカバリーのために、カナダ国内のデータ所在地を追加します。 カナダ中部リージョンへのデータセンター インフラストラクチャへのさらなる投資により、カナダ中部リージョン内のAzure可用性ゾーンを利用して、お客様がミッション クリティカルなワークロードに対してさらに回復性と可用性の高いアプリケーションを作成できるようになります。
Azure、Dynamics 365、Power Platform 全体のスコープ内 CCCS 評価クラウド サービスの完全な一覧については、サービス 信頼ポータルのカナダ地域セクションの概要評価レポートを参照してください。
Office 365および CCCS Medium
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
次の表を使用して、Office 365 サービスとサブスクリプションの適用性を判断します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Advanced eDiscovery、Customer Lockbox、Defender Endpoint、Defender for Cloud Apps、Defender for M365、Defender of Identity、Exchange Online (EXO)、Loki、Microsoft Information Protection、Microsoft Intune、Microsoft Planner、Microsoft Stream、Microsoft Teams、Office フォーム、Office for the Web (Word、Excel、OneNote、PowerPoint)、Office PODS (PowerPoint Online Document Service)、Office Project、Office Services Infrastructure、Office Sway、OneNote Service、Phone System & Calling、Search Contentサービス、Sharepoint Online、SharePoint Syntex、Suite ユーザー エクスペリエンス、ToDo、Viva Insights、Viva Learning、Viva トピック、Windows 365 |
評価レポート
お客様は、 サービス 信頼ポータルのカナダ地域セクションにある Microsoft サービスの CCCS 評価レポートの概要にアクセスできます。 カナダ政府のお客様は、 contact@cyber.gc.caの CCCS に問い合わせて、Microsoft サービスの詳細なセキュリティ評価レポートを取得できます。
よく寄せられる質問
Shared Services Canada クラウド 契約を通じてカナダ政府が利用できる Microsoft クラウド サービスはどれですか?
Microsoft は、カナダ政府からクラウド フレームワーク契約を受けた最初のグローバル クラウド プロバイダーの 1 つです。 Microsoft では、Azure、Dynamics 365、Power Platform、Microsoft 365 など、さまざまな商用クラウド サービスを提供しています。 Shared Services Canada クラウド ブローカー カタログには、GC 部門がアクセスできる Microsoft クラウド サービスの詳細が記載されています。
Microsoft のクラウド サービスが準拠している米国 FedRAMP コンプライアンスのレベルと、このコンプライアンスはカナダのクラウド リージョンにどのように適用されますか?
Microsoft Azure商用 (Dynamics 365を含む) は、FedRAMP 高暫定機関 (P-ATO) を維持しています。 Microsoft 365 コマーシャルでは、FedRAMP High 等価性が維持されます。 米国外のAzureリージョンは、FedRAMP 共同承認委員会 (JAB) によって正式に承認されておらず、FedRAMP High P-ATO スコープには含まれません。 ただし、Azureセキュリティ制御と運用プロセスは、実行Azureどこでも一貫性があります。 FedRAMP は、NIST SP 800-53 制御ベースラインに基づいています。 米国のAzure FedRAMP High P-ATO をサポートするすべての NIST SP 800-53 コントロールは、米国外の他のAzureリージョンでも動作します。 そのため、米国外のお客様Azure、NIST SP 800-53 の高制御ベースラインに関連するのと同じ制御実装の詳細をカウントできます。 詳細については、 連邦リスクおよび承認管理プログラム (FedRAMP) を参照してください。 FedRAMP 監査証拠は、 サービス 信頼ポータルで入手できます。
保護された B データを格納する必要がある場所に地理的な制限はありますか?
カナダ政府は、サービスおよびデジタルに関する指令のセクション4.4.3.14に従って、保護されたBデータの保存に関する柔軟なデータ所在地(保存データの保存)ポリシーを持っています。 このポリシーは、サービスおよびデジタルに関するガイドラインの第 4.4 項でさらに明確に説明されています。 カナダのデータ所在地を特定し、クラウド内の保護された B データを格納するためのプリンシパル配信オプションとして評価する必要があります。 ただし、部門 CIO (または場合によってはカナダの CIO) には柔軟性があり、要件の実装に関する セクション 4.4.3 の考慮事項で特定された次のビジネス基準に基づいて、カナダの外部にデータを格納する決定を承認する責任があります。
- 評価
- 法的および契約上の考慮事項
- 売買契約
- 市場の可用性
- ビジネス価値
- 技術的な機能
Microsoft のセキュリティ制御とプロセスは、すべてのクラウド リージョンでグローバルに一貫して実装されます。 CCCS Medium プロファイル内のコントロールは GC データ所在地ポリシーを参照する可能性があります。保存データの場所の評価は、CCCS クラウド評価レポートのリスク評価には考慮されません。
セクション 4.4.2 (これが重要なのはなぜですか? また、転送中の暗号化されたデータがデータ所在地の要件によって制限されていないことも明らかにします。
次のリソースは、多くの一般的な製品やサービスのデータ所在地に関する情報を提供します。
- Microsoft 365 データ所在地の概要、Microsoft 365 顧客データが格納されている場所、および Microsoft 365 Advanced Data Residency オファリング
- Azureのデータ所在地
- Microsoft Entra ID (旧称 active Directory Azure) とデータ所在地
- Microsoft Defender for Cloud Apps - データのセキュリティとプライバシー
- データストレージとプライバシーのMicrosoft Defender for Endpoint
- Microsoft Defender for Identityデータのセキュリティとプライバシー
- Microsoft Dynamics 365データの場所
- データの保存と処理のMicrosoft Intune
- Microsoft Power Platform のデータの場所
- Microsoft Professional Services のデータの場所
- Microsoft Defender XDRでのデータのセキュリティと保持
非リージョン クラウド サービスとは
Azure非リージョン サービスは、特定のAzure リージョンに依存せず、現在、デプロイ リージョンを指定する機能を顧客に提供していないサービスです。 これらのサービスは、Azureのグローバル クラウドの一部として常に利用できるように設計および最適化されています。 非地域サービスの例として、Active Directory Azureがあります。 完全な一覧は、Azure製品の地域別にあります。
クラウドでのデータ処理はどこで行われますか?
多くのAzure サービスを使用すると、顧客データを保存して処理するリージョンを指定できます。 詳細については、「AzureのData Residency」を参照してください。 Microsoft 365 などの SaaS オンライン サービスは、通常、データが格納されている場所に最も近いデータを処理します。 ただし、顧客データの処理は、カナダ以外のクラウド リージョンで発生する可能性があります。 サポート サービスの提供には、カナダ国外でのデータの処理も含まれる場合があります。
リソース
Microsoft では、保護された B ワークロードの実行に適したクラウド サービスをデプロイする際に役立ついくつかのリソースを提供しています。
- Azureカナダ公共セクター向けランディング ゾーン: お客様の責任である CCCS Medium 要件に準拠するための政府部門の取り組みをガイドするための、専用のリファレンス実装です。
- Canada Federal PBMM Azure Blueprint: 組織が特定の CCCS Medium コントロールと GC Cloud Guardrails に準拠して新しいクラウド環境を構築できるようにする、反復可能な一連のAzure リソースとパターン。
- 基本的なプライバシー影響評価 (PIA): 基本的な PIA は、プライバシー リーダー、開業医、リスク マネージャーに対して、この分析を Microsoft のクラウドベースのサービス オファリングの導入時に自分の PIA 作業の中核として使用することを検討する方に、より適切に通知することを目的としています。
- Microsoft Purview Compliance ManagerProtected B 評価テンプレート: コンプライアンス マネージャーは、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立つ Microsoft Purview ポータルの機能です。 コンプライアンス マネージャーには、Microsoft 365 環境内の多数の CCCS Medium 顧客コントロールの実装を継続的に評価および追跡するための組み込みのメカニズムが用意されています。 コンプライアンス マネージャーの評価テンプレート ページで、保護された B テンプレート を見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。