FFIEC の概要
連邦金融機関審査委員会(FFIEC)は、5つの銀行規制当局を含む正式な機関間機関機関です。 これらの規制当局は、米国の金融機関の米国連邦政府の審査を担当しています。 FFIEC審査官教育事務所は、FFIECのメンバー機関からのフィールド審査官のためのIT試験ハンドブックを発行しています。
FFIEC監査IT審査ハンドブックは、金融機関とTSPの両方でIT監査プログラムの品質と有効性を評価するための審査官のためのガイダンスを提供します。 具体的には、米国公認会計士協会 (AICPA) からの SOC 1、SOC 2、および SOC 3 構成証明レポートが、独立した監査レポートの例として記載されています。 ただし、FFIECは、金融機関がこれらの報告書の情報のみに依存しないことを推奨しています。 代わりに、 FFIEC アウトソーシング テクノロジ サービス IT 試験ハンドブックで詳しく説明されている検証と監視の手順も使用する必要があります。
Microsoft と FFIEC
Microsoft Azure、Microsoft Power BI、Microsoft Office 365は、金融サービス機関にクラウド サービスを提供するための厳しい要件を満たすように構築されています。 Azureは、顧客が独自の FFIEC コンプライアンス義務を満たすのを支援するために、独立した監査会社から SOC 1 Type 2、SOC 2 Type 2、SOC 3 の構成証明レポートを金融機関に提供します。 たとえば、 SOC 1 Type 2 構成証明 は次の下で実行されます。
- SSAE No. 18, 構成証明基準: 明確化と再書き込み, AT-C セクション 320 を含みます, ユーザーエンティティの内部制御に関連するサービス組織でのコントロールの検討に関するレポート (AICPA, プロフェッショナル標準).
- 財務報告に対するユーザー エンティティの内部統制に関連するサービス組織での統制の調査に関する SOC 1 報告 (AICPA ガイド)。
AICPA SSAE 18 標準は SAS 70 に置き換えられました。 これは、財務レポートに対するユーザー エンティティの内部コントロールに関連するサービス organizationでのコントロールに関するレポートに適しています。 この正式な監査金融機関は、Azureに展開された資産に対する独自の FFIEC 固有のコンプライアンス義務を追求する際に、テクノロジ サービス プロバイダーのサード パーティのレビューを活用できます。 これには、特定の監視期間中に関連する制御目標を達成するための制御有効性に関する監査人の意見が含まれます。
さらに、Azureには Excel ベースのクラウド セキュリティ診断ツールが用意されており、金融機関がAzure サービスに対して実施したいリスク評価を迅速化します。 このツールは、FFIEC IT 試験ハンドブックを含む、関連する基準や金融サービス関連の規制から要件を識別する 19 の個別のドメインを特徴とするスプレッドシートに基づいています。 リスク評価ツールには、クラウド サービス プロバイダーに適用される要件Azure準拠する方法の説明が事前に設定されており、お客様が独自の FFIEC コンプライアンス要件を満たすのに役立ちます。
また、FFIEC クラウド セキュリティ診断ブックのAzureコンパニオンも利用できます。これは、Azure サービスの使用に関するガイダンスと、FFIEC 要件に対するお客様のコンプライアンスに関する考慮事項を提供します。
Microsoft のスコープ内のクラウド プラットフォームとサービス
- Azure
- Intune
- 米国政府Office 365 Office 365
- Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
Azureガイダンス ドキュメント
クラウド導入に関する FFIEC 監視の対象となる金融機関を支援するために、Microsoft は次のガイダンス ドキュメントを公開しました。 これらのドキュメントは、Service Trust Portal の [データ保護リソース - コンプライアンス ガイド ] セクションからダウンロードできます。
Office 365と FFIEC
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Microsoft Entra ID、Azure Information Protection、Bookings、Compliance Manager、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Office 365、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365のMicrosoft Defenderグループ、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage |
| GCC | Microsoft Entra ID、コンプライアンス マネージャー、Delve、Exchange Online、フォーム、Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオンのMicrosoft Defender、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
Office 365 監査、レポート、証明書
OFFICE 365 SOC 構成証明レポートを参照してください。
よく寄せられる質問
SOC 標準に対する Microsoft コンプライアンスを使用して、教育機関の FFIEC コンプライアンス義務を満たすことができますか?
これらの義務を満たすのに役立つよう、Microsoft は前述の SOC 標準への準拠に関する詳細を提供します。 ただし、お客様は、当社のサービスが、お客様の機関に適用される特定の法律および規制に準拠しているかどうかを判断する必要があります。 FFIECはまた、「監査報告書またはレビューのユーザーは、TSPの内部制御環境を検証するために、レポートに含まれる情報のみに依存してはならない。 FFIEC IT試験ハンドブックの アウトソーシング技術小冊子 で詳しく説明されているように、他の検証と監視の手順を使用する必要があります。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。
リソース
- 連邦金融機関審査委員会 (FFIEC)
- 米国におけるクラウド コンピューティングと規制原則のコンプライアンス マップ
- FFIEC 監査 IT 試験ハンドブック
- FFIEC アウトソーシング テクノロジ サービス IT 試験ハンドブック