コンプライアンス マネージャーを使用すると、Microsoft クラウド サービスの使用時に、データ保護と規制要件を満たすことができます。

コンプライアンス マネージャーは、21Vianet が運営する Office 365、Office 365 Germany、Office 365 U.S.Government Community High (GCC High)、または Office 365 Department of Defense では利用できません。

Microsoft Service Trust Portal のコンプライアンス マネージャー (ワークフロー ベースのリスク評価ツール) では、Office 365、Dynamics 365、Microsoft Azure などの Microsoft プロフェッショナル サービスや Microsoft クラウド サービスに関連する組織のコンプライアンス活動の追跡、割り当て、検証を行うことができます。コンプライアンス マネージャーには次の特徴があります。

  • さまざまな標準 (ISO 27001、ISO 27018、NIST など) に対する Microsoft のクラウド サービスのさまざまなサードパーティ監査の一環として Microsoft が監査人および規制機関に提供する詳細情報と、Microsoft が規則 (HIPAA、EU 一般データ保護規則、GDPR など) に準拠するためにこれらの標準や規則に対する組織のコンプライアンスの独自の自己評価によって内部で収集する情報を組み合わせます。

  • コンプライアンスおよび評価関係のアクティビティを割り当て、追跡、および記録できるようにします。これは、組織がチームの障壁を超えて組織のコンプライアンス目標を達成するのに役立ちます。

  • コンプライアンス スコアが提供されます。このスコアを使用して、組織の進行状況を追跡し、監査コントロールに優先順位を付けることにより、組織が危険にさらされる可能性を軽減できます。

  • コンプライアンス アクティビティに関連するエビデンスおよびその他の成果物をアップロードおよび管理するための、セキュリティで保護されたリポジトリを提供します。

  • Microsoft および組織が実施するコンプライアンス アクティビティを文書化するための豊富な詳細レポートを Microsoft Excel 形式で生成します。これは、監査人、規制機関、およびその他のコンプライアンス関係者に提供することができます。

重要: コンプライアンス マネージャーは、データ保護およびコンプライアンス水準の概要と、データ保護およびコンプライアンスを改善するための推奨事項を提供するダッシュボードです。コンプライアンス マネージャーに表示される顧客アクションは推奨事項です。実装前に、各組織がそれぞれの規制環境でこれらの推奨事項の有効性を評価する必要があります。コンプライアンス マネージャーに表示される推奨事項を、コンプライアンスの保証と解釈してはいけません。

目次

概念的なトピック   

検索を使用する

ローカライズのサポート

コンプライアンス マネージャーでの評価

アクセス許可とロール ベースのアクセス

コンプライアンス スコアの概要

コンプライアンス スコア手法

評価のグループ化

管理機能   

コンプライアンス マネージャーのロールをユーザーに割り当てる

ユーザー プライバシーの設定

コンプライアンス マネージャーの使用   

コンプライアンス マネージャーへのアクセス

コンプライアンス マネージャー ダッシュボードの使用

アクション アイテムの表示

評価の追加

既存の評価から情報をコピーする

評価の表示

評価プロセスの管理

アクション アイテムの管理

評価からの情報のエクスポート

評価のアーカイブ

顧客管理のコントロールの変更ログ   

変更ログ

概念的なトピック

コンプライアンス マネージャーは、クラウドの共有責任モデル内で法令遵守を管理するために設計されたワークフロー ベースのリスク評価ツールです。コンプライアンス マネージャーでは、標準と規則、および Microsoft のコントロール実装の詳細、テスト結果、顧客コントロール実装ガイダンス、組織の入力の追跡などの評価を表示するダッシュボードを提供しています。コンプライアンス マネージャーは、コントロールの実装、テストの状態、およびエビデンスの管理を追跡するための、証明書評価コントロールの定義、コントロールの実装とテストに関するガイダンス、コントロールのリスクで重み付けされたスコア、ロール ベースのアクセス管理、およびインプレース コントロール アクション割り当てワークフローを提供しています。コンプライアンス マネージャーは、顧客が論理的に評価をグループ化し、同じコントロールまたは関連するコントロールに評価コントロール テストを適用できるようにして、コンプライアンスの作業負荷を最適化し、作業の重複を削減します。コンプライアンス マネージャーを使用しない場合は、異なる証明書間の同じコントロールの要件を満たすために作業の重複が必要になる可能性があります。

Service Trust Portal - 検索入力フィールド

ページの右上隅の虫眼鏡をクリックして検索入力入力フィールドを拡大し、検索用語を入力後に Enter キーを押します。 表示される検索コントロールでは、検索語句が入力された状態の検索ウィンドウの入力フィールドと、その下に検索結果が表示されます。

既定では、検索は [Documents] の検索結果を返します。表示されるドキュメントを絞り込むには [フィルター基準] ドロップダウン リストを使用し、検索結果をビューに追加またはビューから削除することができます。同時に複数のフィルター属性を使用すると、返されるドキュメントを特定のクラウド サービス、コンプライアンスやセキュリティ活動のカテゴリ、世界の中での地域、業種などに絞り込むことができます。 ドキュメントをダウンロードするには、ドキュメント名のリンクをクリックします。

Service Trust Portal - フィルターが適用されたドキュメントの検索

コンプライアンス マネージャー評価コントロールの検索結果を表示させるには、[コンプライアンス マネージャー] リンクをクリックします。表示された検索結果には、評価作成日、評価グループ名、該当するクラウド サービス、コントロールが Microsoft 管理コントロールなのかそれとも顧客管理コントロールなのか、などが表示されます。

Service Trust Portal - コンプライアンス マネージャー コントロールの検索

注: Service Trust Portal のレポートとドキュメントは、公開後少なくとも 12 か月間、またはドキュメントの新しいバージョンが使用可能になるまで、ダウンロードできます。

先頭に戻る

Service Trust Portal では、ページ コンテンツをさまざまな言語で表示できます。 ページの言語を変更するには、ページの左下隅にある地球のアイコンをクリックし、目的の言語を選択するだけです。 

Service Trust Portal - ローカライズ コンテンツ オプション

先頭に戻る

コンプライアンス マネージャーの中心的な構成要素は、評価と呼ばれます。“評価” とは、証明書基準やデータ保護規則 (ISO 27001:2013、GDPR など) についての Microsoft サービスに対する評価のことを指します。評価により、データ保護およびコンプライアンスに対する組織の姿勢を、選択された Microsoft クラウド サービスの業界基準に照らし合わせて確認することができます。評価は、評価対象の証明書基準にマップされるコントロールを実施することにより完了します。

評価の構造は、クラウドのセキュリティおよびコンプライアンス リスクを評価するため、およびコンプライアンス標準、データ標準、規則、または法律によって指定されたデータ保護の保護対策を実装するため、Microsoft と組織の間で共有される責任に基づいています。

評価は、次の複数のコンポーネントで構成されています。

In-Scope Services 各評価は、特定の一連の Microsoft サービスに適用され、これらのサービスは [In-Scope Services] セクションに記載されています。

Microsoft 管理コントロール   さまざまな基準や規則への Microsoft による遵守の一環として、Microsoft は各クラウド サービスごとに一連のコントロールの実装および管理を行っています。これらのコントロールは、評価が準拠する証明書または規制の構成に沿った形で、コントロール ファミリ にまとめられています。コンプライアンス マネージャーは、Microsoft がコントロールをどのように実装し、また、独立したサードパーティ監査人によって実装がいつどのようにテストおよび検証されたかについての詳細を、Microsoft 管理のコントロールごとに記載します。

ここでは、Office 365 と GDPR の評価の [セキュリティ] コントロール ファミリにおける Microsoft 管理のコントロールの例を 3 つ紹介します。

コンプライアンス マネージャーの Microsoft が管理するコントロールの詳細
  1. Microsoft 管理のコントロールにマップされる証明書または規制の次の情報を指定します。

    • コントロール ID   コントロールがマップされる証明書または規制の条項番号。

    • タイトル   対応する証明書または規制のタイトル。

    • アーティクル ID   このフィールドは、対応する GDPR の条項番号を指定するので、GDPR の評価のためにのみ含まれています。

    • 説明   選択した Microsoft 管理のコントロールにマップされる標準または規制の説明。

  2. コントロールのコンプライアンス スコア。Microsoft 管理の各コントロールに関連付けられる (違反またはコントロールの失敗による) リスクのレベルを示します。詳細については、「コンプライアンス スコアの概要」を参照してください。コンプライアンス スコアは 1 から 10 段階で評価され、色分けされています。黄色はリスクの低いコントロール、オレンジは中程度のリスクのコントロール、赤は高いリスクのコントロールを示します。

  3. コントロールの実装状態、コントロールがテストされた日付、テストを実施した担当者、およびテスト結果に関する情報。

  4. [詳細] をクリックすると、コントロールごとに、コントロールの Microsoft の実装についての詳細と、独立したサードパーティの監査人によってコントロールがテストおよび検証された方法についての詳細を含む、追加の情報が表示されます。

顧客管理コントロール    組織によって管理されているコントロールのコレクションです。組織は、所定の基準や規則へのコンプライアンス活動の一環として、これらのコントロールを実装する責任があります。顧客管理コントロールも、対応する証明書または規制のコントロール ファミリにまとめられます。Microsoft がコンプライアンス活動の一環として提案する推奨実施項目を実装するには、顧客管理のコントロールを使用します。組織は、規範ガイダンスと、各顧客管理コントロールで推奨される顧客アクションを使用して、そのコントロールの実装および評価プロセスを管理することができます。

評価の顧客管理のコントロールには、評価の完了に対する組織の進捗を管理および追跡するのに使用できる組み込みのワークフロー管理機能もあります。たとえば、組織のコンプライアンス責任者は、アクション アイテムを、コントロールについて推奨されるアクションを実施する責任と実施に必要な権限を持つ IT 管理者に割り当てることができます。その作業が完了したら、IT 管理者は実装タスクのエビデンスをアップロードし、アクション アイテムを、収集したエビデンスを評価、コントロールの実装をテスト、および実装日とテスト結果を記録するコンプライアンス責任者に、コンプライアンス マネージャーで再度割り当てることができます。詳細については、記事の「評価プロセスの管理」セクションを参照してください。

先頭に戻る

既定では、Office 365 または Azure AD アカウントを持つ組織のすべてのユーザーがコンプライアンス マネージャーにアクセスでき、コンプライアンス マネージャーでアクションを実行できます。既定の権限からロール ベースのアクセス制御モデルに変更するには、少なくとも 1 人のユーザーが各コンプライアンス マネージャー ロールに追加されている必要があります (以下の手順を参照してください)。ユーザーがロールに追加されると、すべてのユーザーにある既定の権限セットから、そのロールに割り当てられたアクションを実行する権限が削除され、そのロールをプロビジョニングされたユーザーのみが、コンプライアンス マネージャーにアクセスでき、そのロールで許可されたアクションを実行できます。

ロール ベースのアクセスを実装すると、定義済みのコンプライアンス マネージャーのロールに割り当てられていないユーザーにはゲスト アクセスが与えられます。

注: ロール ベースのアクセス制御を完全に実装して、アクセスできるユーザーおよびコンプライアンス マネージャーでアクションを実行できるユーザーを管理するには、各ロールにユーザーを追加し、既定の権限を変更する必要があります。たとえば、ユーザーを、ユーザーが評価を管理できるロールに追加すると、そのロールのメンバーのみが評価を管理できます。同様に、ユーザーを、ユーザーが評価のデータを読み取ることができるロールに追加しない場合は、組織内のすべてのユーザーがコンプライアンス マネージャーにアクセスでき、評価内のデータを読み取ることができます。

以下の表では、各コンプライアンス マネージャー権限と、そのユーザーに許可されている操作について説明しています。また、この表は、各権限が割り当てられるロールも示しています。

コンプライアンス マネージャー リーダー

コンプライアンス マネージャー投稿者

コンプライアンス マネージャー評価者

コンプライアンス マネージャー管理者

ポータル管理者

データの読み取り      ユーザーはデータを読み取ることができますが、編集はできません。

チェック マーク

チェック マーク

チェック マーク

チェック マーク

チェック マーク

データの編集      ユーザーは [テスト結果] および [テスト日] フィールドを除くすべてのフィールドを編集できます。

チェック マーク

チェック マーク

チェック マーク

チェック マーク

テスト結果の編集      ユーザーは [テスト結果] および [テスト日] フィールドを編集できます。

チェック マーク

チェック マーク

チェック マーク

評価の管理      ユーザーは、評価を作成、アーカイブ、および削除できます。

チェック マーク

チェック マーク

ユーザーの管理    ユーザーは、組織内の他のユーザーをリーダー、投稿者、評価者、管理者のロールに追加できます。組織内でグローバル管理者ロールを持つユーザーのみが、ポータル管理者ロールにユーザーを追加したり、削除したりすることができます。

チェック マーク

ゲスト アクセス

コンプライアンス マネージャーのアクセス権を構成すると、プロビジョニングされたロールがないユーザーは既定でゲスト アクセスに入ります (これは、個人用の Microsoft アカウントのようなプロビジョニングされた非組織アカウントでも同じです)。 ゲスト アクセスのユーザーはコンプライアンス マネージャーのすべての機能にはアクセスできず、組織のコンプライアンス評価データを表示できません。ただし、コンプライアンス マネージャーを使用して、Microsoft のコンプライアンス評価レポートと Service Trust ドキュメントを表示できます。 アクセスできるものとアクセスできないものの実例については、次の図を参照してください。アクセスできる機能は青で描かれ、アクセスできない機能は赤で描かれています。

コンプライアンス マネージャー ダッシュボード - ゲストのアクセス機能の操作性

コンプライアンス マネージャー - ゲストのグラフィックへのアクセス

先頭に戻る

コンプライアンス マネージャーのダッシュボードでは、Office 365 による評価の合計スコアがタイルの右上隅に表示されます。これは、評価のコンプライアンス スコアの総計で、評価で実装、テスト済みと記録された各コントロールが獲得したポイントの累計です。初めて評価を追加したときに、コンプライアンス スコアの合計が既にある程度完了していることがわかります。これは、Microsoft により実装され独立したサードパーティにより検証された Microsoft 管理コントロールのポイントが、コンプライアンス スコアに既に適用されているためです。

コンプライアンス マネージャー ダッシュボード - コンプライアンス スコアの合計

残りのポイントは、成功した顧客コントロール評価、および顧客管理のコントロールの実装とテストから獲得されます。このそれぞれに、コンプライアンス スコアの合計に対する特定のポイントがあります。  

各評価にはリスクベースのコンプライアンス スコアが表示されます。このスコアは、評価の各コントロール (Microsoft 管理のコントロールと顧客管理のコントロールを含む) に関連するリスクのレベル (コンプライアンス違反またはコントロールの失敗によるリスク) を評価するために役立ちます。 各顧客管理のコントロールには、獲得できる可能性があるポイント数 (重大度ランキングと呼ばれます) が 1 から 10 のスケールで割り当てられます。ここでは、コントロールが失敗した場合、より高いリスク要因に関連するコントロールには、より多くのポイントが付与され、リスクの低いコントロールは少ないポイントが付与されます。

たとえば、以下に示すユーザー アクセスの管理評価コントロールは、非常にリスクが高いランクに属し、値 10 が割り当てられています。

コンプライアンス マネージャー - 評価のコントロール重大度が高い - スコア 10

 対照的に、以下に示す情報のバックアップ評価コントロールは、リスクが低いランクに属し、値 3 が割り当てられています。

コンプライアンス マネージャー - 評価のコントロール重大度が低い - スコア 3

コンプライアンス マネージャーでは、各コントロールに既定の重大度ランキングが割り当てられます。リスク ランキングは、以下の基準に基づいて算出されています。

  • コントロールによってインシデントの発生が防止されるか (最高ランク)、発生したインシデントが検出されるか、またはインシデントの影響を修正するか (最低ランク)。重大度のランキングの点では、脅威を防止し、必須であるコントロールには最高のポイント数が割り当てられます。(必須か任意かに関わらず) 検出または修正のコントロールには最も低いポイント数が割り当てられます。

  • (実装後に) これらのコントロールが必須で、ユーザーがバイパスすることができないか (たとえば、パスワードをリセットし、パスワードの長さと文字の要件を満たす必要があるなど)、任意で、ユーザーがバイパスすることができるか (たとえば、コンピューターのそばを離れるときに画面をロックするようにユーザーに要求するビジネス ルールなど)。

  • データの機密性、整合性、および可用性、これらのリスクが内部と外部の脅威のどちらに由来するか、および悪意がある脅威か偶発的な脅威かに関連するコントロール。たとえば、外部の攻撃者がネットワークに侵入し、個人を特定できる情報にアクセスすることを防ぐコントロールには、従業員がネットワーク ルーターの設定を誤って構成してネットワークを停止させる問題を防ぐことに関連するコントロールよりも多くのポイントが割り当てられます。

  • 各コントロールの契約、規制、公約などの法的および外的要因に関連するリスク。

コントロールに表示されているコンプライアンス スコアの値は、合格/不合格に基づき (コントロールを実装し、その後の評価テストに合格するかしないか) 全体としてコンプライアンス スコアの合計に適用されます。一部の実装に対して一部が加算されることはありません。 コントロールの実装状態が [実装済み] または [別の実装] に設定され、テスト結果が [合格] に設定されている場合、割り当てられたポイントがコンプライアンス スコアの合計に追加されます。  

最も重要な点は、コンプライアンス スコアを使用すると、コントロールに関連する障害が発生した場合にリスクがより高くなる可能性があるコントロールがわかるので、実装に重点を置くコントロールの優先順位を付けやすくなることです。 リスクベースの優先順位付けだけでなく、評価コントロールが他のコントロール (同じ評価内または同じ評価グループの別の評価内のいずれか) に関連する場合、1 つのコントロールを正常に完了すると、コントロールのテスト結果が同期して、作業が大幅に削減される可能性があるという点も重要です。

たとえば、次の図の Office 365 - GDPR の評価では現在 46% が評価済みです。つまり、111 個のコントロール評価のうち 51 個が完了し、コンプライアンス スコアの合計は獲得できる 600 のうち 289 です。

コンプライアンス マネージャー - 評価の概要

評価内で、GDPR コントロール 7.5.5 は他の 5 つのコントロール (7.4.1、7.4.3、7.4.4、7.4.8、および 7.4.9) に関連しており、それぞれが中から高のリスク ランク スコアの 6 または 8 が設定されています。 評価のフィルターを使用して、これらのコントロールのすべてを選択し、評価ビューに表示したため、次の図でいずれも評価されていないことがわかります。    

コンプライアンス マネージャー - 評価ビュー - フィルター コントロール、評価なし これら 6 つのコントロールは関連しているので、いずれか 1 つを完了すると、この評価内の関連するコントロール間でテスト結果が同期されます (同じ評価グループ内にある評価内の関連するコントロールでも同様です)。GDPR コントロール 7.5.5 の実装とテストが完了すると、コントロールの詳細領域が更新されて、6 つのコントロールすべてが評価されたことが表示されます。このとき、対応する数値が加算されて、評価されたコントロールの数が 57 になり、51% が評価済みとなっています。また、コンプライアンス スコアの合計が +40 変更されています。

コンプライアンス マネージャーの評価ビュー - コントロール結果を同期済み

関連する他のコントロールに影響を与えるコントロールの実装状態を変更しようとすると、この更新の確認ダイアログ ボックスが表示されます。

コンプライアンス マネージャーの評価 - 関連コントロールの更新確認のダイアログ ボックス

注: 現在、Office 365 クラウド サービスの評価にのみ、コンプライアンス スコアが含まれています。Azure と Dynamics の評価には、評価の状態が表示されます。

先頭に戻る

コンプライアンス スコア (Microsoft セキュリティ スコアなど) は、その他の動作ベースのスコア システムと似ています。組織のアクティビティによって、データ保護、プライバシー、セキュリティに関連するアクティビティを実行することで、コンプライアンス スコアを上げることができます。

注: コンプライアンス スコアでは、特定の標準や規制を使用して組織のコンプライアンスに関する絶対尺度を表すことはありません。これは、個人データおよび個人のプライバシーに対してリスクを削減できるコントロールを採用する範囲を表します。サービスでお客様が標準や規制に準拠することを保証することはできません。コンプライアンス スコアは、いかなる形でも保証として解釈されることはありません。

コンプライアンス マネージャーでの評価は、クラウド コンピューティングの共有責任モデルに基づいています。共有責任モデルでは、クラウドに保存されている顧客のデータの保護に対する責任は、Microsoft と各顧客の間で共有されます。

以下の Office 365 GDPR の評価に示すように、Microsoft と顧客はそれぞれ、評価されている標準または規制の要件を満たすように設計されるさまざまなアクションを実行する責任があります。さまざまな標準と規制に必要なアクションを合理化および理解するために、コンプライアンス マネージャーでは、すべての標準と規制がコントロール フレームワークであるかのように処理されます。そのため、評価ごとに Microsoft および顧客によって実行されるアクションには、さまざまなコントロールの実装と検証が含まれます。

コンプライアンス マネージャー - GDPR の評価

一般的なアクションの基本ワークフローは次のとおりです:

  1. 組織のコンプライアンス、リスク、プライバシーやデータの保護責任者は、コントロール実装のタスクを組織内のユーザーに割り当てます。次のようなユーザーが指名を受けます:

    1. ビジネス ポリシーの所有者

    2. IT 担当者

    3. タスクを実行する責任を負う組織内の別の個別のユーザー

  2. 指名を受けたユーザーは、コントロールを実装するために必要なタスクを実行し、実装のエビデンスをコンプライアンス マネージャーにアップロードし、アクションに関連付けられているコントロールを実装済みと記録します。これらのタスクを完了したら、検証の評価者にアクションを割り当てます。評価者は次のとおりです:

    1. 組織内のコントロールの検証を実行する内部評価者

    2. Microsoft のクラウド サービスを監査するサードパーティの独立した組織など、コンプライアンスの検査、検証、証明を行う外部評価者

  3. 評価者は、コントロールの検証とエビデンスの検査を行い、評価済みとしてコントロールと評価の結果をマークします (例: 合格)。

評価に関連付けられたコントロールをすべて評価すると、評価は完了と見なされます。

Microsoft が責任を持つコントロールの要件を満たすために、コンプライアンス マネージャーの評価はすべて、Microsoft によって行われるアクションに関する詳細を提供する情報と共にプリロードされます。この情報には、Microsoft が各コントロールを実装する方法、Microsoft の実装を評価する方法とタイミング、およびサードパーティの監査人によって検証される方法とタイミングに関する詳細が含まれます。そのため、各評価の Microsoft の管理コントロールは評価済みとしてマークされ、評価のコンプライアンス スコアに反映されます。

各評価には、共有責任モデルに基づくコンプライアンス スコアの合計が含まれます。Office 365 のコントロールに関する Microsoft の実装とテストは、GDPR 評価に関連して獲得可能な合計ポイントの一部になります。顧客が、各顧客アクションの実装とテストを完了すると、その評価のコンプライアンス スコアにはコントロールに割り当てられたポイントが追加されます。

リスクベースのスコア手法

コンプライアンス マネージャーでは、1 から 10 の範囲を使ったリスクベースのスコア手法を使用します。これは、コントロールが失敗するか、非準拠のイベントで高いリスクを示すコントロールに高い値を割り当てます。コンプライアンス スコアによって使用されるスコア システムは、次のようないくつかの重要な要因に基づいています。

  1. コントロールの本質

  2. 脅威の種類に基づくコントロールのリスク レベル

  3. コントロールの外的要因

コンプライアンス マネージャー - コンプライアンス スコア手法

コントロールの本質

コントロールの本質は、コントロールが必須か任意のどちらか、および予防、検出、または修正のいずれであるかに基づきます。

必須/任意

必須コントロールは、意図的にも偶発的にもバイパスできないコントロールです。一般的な必須コントロールの例は、パスワードの長さ、複雑さ、および期限の要件を設定する一元管理されたパスワードです。システムにアクセスするために、ユーザーはこれらの要件に準拠する必要があります。

任意コントロールは、ポリシーを理解し、それに応じて実行することをユーザーに依存します。たとえば、ユーザーの退席するときにコンピューターのロックを要求するポリシーです。これはユーザーに依存するため、任意コントロールです。

予防、検出、修正

予防コントロールは、特定のリスクを防ぐものです。たとえば、暗号化による保存情報の保護は、攻撃や漏洩などに対する予防コントロールです。職務の分離は、利益相反を制御し、不正行為を防ぐ予防コントロールです。

検出コントロールは、システムを動的に監視するコントロールで、不規則な状態や行動を検出することによりリスクや侵入や漏洩の発生の有無を確認します。システム アクセスの監査や権限の設定された管理操作の監査は、検出コントロールに含まれる監視コントロールです。規制のコンプライアンスの監査は、プロセスの問題を見つけるために使用される検出コントロールです。

修正コントロールは、セキュリティ インシデントの悪影響を最小限に抑え、直後の影響を小さくするための是正措置を取り、可能であれば損害の回復を行うコントロールです。プライバシー インシデントへの対応は、損害を抑え、漏洩後にシステムを稼働状態に復元する修正コントロールです。

これらの要因を使用して各コントロールを評価することで、コントロールの本質を判断し、それが示すリスクに関連する値を割り当てます。

脅威

必須

任意

予防

高リスク

中程度のリスク

検出

中程度のリスク

低リスク

修正

中程度のリスク

低リスク

脅威は、データの CIA トライアドと呼ばれる、基本かつ広く受け入れられているセキュリティ標準に対してリスクを引き起こすものを意味します。機密性、整合性、可用性:

  • 機密性は、信頼できる関係者、承認された関係者によってのみ閲覧および理解できる情報を意味します。

  • 整合性は、承認されていない関係者によって変更または破棄されていない情報を意味します。

  • 可用性は、その情報が高品質のサービスで簡単にアクセスできることを意味します。

これらの特性のエラーはすべて、システム全体の侵害と見なされます。脅威は内部ソースと外部ソースの両方にあり、行為者の目的は偶発的か悪意がある可能性があります。これらの要因は、脅威マトリックスで見積もられます。ここではシナリオの各組み合わせに、高、中、低のいずれかの脅威レベルが割り当てられます。

内部

外部

悪意のある

偶発的

悪意のある

偶発的

機密性

(高、中、低)

(高、中、低)

(高、中、低)

(高、中、低)

整合性

(高、中、低)

(高、中、低)

(高、中、低)

(高、中、低)

可用性

(高、中、低)

(高、中、低)

(高、中、低)

(高、中、低)

外的要因

契約

規制

公約

(高、中、低)

(高、中、低)

(高、中、低)

適用できる規制、契約、公約などの外部要因は、データを保護してデータ違反を防ぐように設計されたコントロールに影響があり、これらの要因ごとにリスク値、または高、中、低が割り当てられます。

CIA/脅威および法的/外的要因で表された可能性のある 15 個のリスク シナリオにおいて、これらの高、中、低のリスク値の予想される発生回数は、リスクの重み付けを提供するために組み合わせられます。これは、重大として指定された値でリスクの可能性と発生数を考慮し、コントロールの重大度ランキングを計算するときに考慮されます。

コントロールの重大度ランキングに基づいて、コントロールにコンプライアンス スコアの値 (1 (低) から 10 (高) の数値) が割り当てられ、次のリスクのカテゴリに分類されます。

リスク レベル

コントロール値

1-3

6

8

重大

10

最高のコンプライアンス スコア値で評価コントロールの優先度を設定することで、組織は最高リスク項目に集中できるようになります。コントロールの評価を完了するごとに、評価に対するコンプライアンス スコアの合計にさらにポイントが追加され、フォームで比例的に高い肯定的なフィードバックを受け取ります。

概要

コンプライアンス スコアはコンプライアンス マネージャーの中心的コンポーネントで、組織がコンプライアンスを理解し管理するための手助けをします。評価のコンプライアンス スコアは、所定の基準や規制に対する組織のコンプライアンス状況を数値化し、高いスコアは (各評価に割り当てられた最大ポイントを上限として) コンプライアンスへのより適切な組織姿勢を意味します。評価対象コントロールをリスクの深刻度により 1– 10 点 (低 – 高) で採点を行うコンプライアンス評価手法と、完了したコントロール評価がどのようにコンプライアンス スコアの合計に加点されるかを理解することは、組織がアクションの優先順位を決める上で重要です。

先頭に戻る

新しい評価を作成すると、新しいグループを作成して評価を割り当てるか、既存のグループに評価を割り当てるかの選択が求められます。グループを使用すると、評価を論理的に整理し、同じまたは関連する顧客管理のコントロールを持つ評価間で共通の情報やワークフロー タスクを共有できます。

たとえば、年ごとや、組織内のチーム、部門、機関ごと、またはそれらを年ごとにグループ化することができます。グループとその中に含まれる可能性のある評価の例を次に示します。

  • GDPR 評価 - 2018

    • Office 365 + GDPR

    • Azure + GDPR

    • Dynamics + GDPR

  • Azure 評価 - 2018

    • Azure + GDPR

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • データ セキュリティとプライバシーの評価

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

ヒント: 組織のグループ化戦略を決めてから、新しい評価を追加することをお勧めします。

評価をグループ化するための要件を次に示します。

  • グループ名 (グループ ID とも呼ばれます) は組織内で一意にする必要があります。

  • グループには同じ証明書/規制の評価を含めることができますが、個々のグループには、特定のクラウド サービス/証明書ペアの評価を 1 つのみ含めることができます。たとえば、1 つのグループに Office 365 と GDPR の 2 つの評価を含めることはできません。同様に、各クラウド サービスの対応する証明書/規制が異なる限り、1 つのグループに同じクラウド サービスに対する複数の評価を含めることができます。

評価グループに評価を追加すると、そのグループを変更することはできません。評価グループの名前は変更できます。これにより、そのグループに関連付けられているすべての評価の評価グループ名が変更されます。新しい評価と新しい評価グループを作成し、既存の評価から情報をコピーすることができます。これにより、その評価の複製が別の評価グループに効率よく作成されます。評価をアーカイブすると、その評価と評価グループ間のリレーションシップが切れるため、それ以降、関連する他の評価を更新しても、アーカイブした評価には反映されません。

前述のように、グループを使用することの重要な利点の 1 つは、同じグループ内の 2 つの異なる評価が同じ顧客管理のコントロールを共有しているので (つまり、各コントロールで顧客アクションが同じになるので)、1 つの評価のコントロールに関する実装の詳細、テスト情報、および状態のすべてが、同じグループに含まれる他の評価の同じコントロールに同期されます。言い換えると、評価が同じコントロールを共有し、それらの評価が同じグループにある場合、コントロールの評価プロセスを 1 つの評価で管理するだけで済みます。このコントロールの結果は自動的に他の評価に同期されます。たとえば、ISO 27001 と ISO 27018 のどちらにもパスワード ポリシーに関連するコントロールがあります。両方の評価が同じ評価グループにある場合、一方の評価でコントロールのテスト状態が "合格" に設定されると、そのコントロールは他方の評価でも更新されます ("合格" とマークされます)。

この例として、Office 365 - GDPR 評価内のコントロール 6.10.1.2 と Office 365 - NIST 800-53 評価内のコントロール SC-13 の 2 つの関連する評価コントロールについて考えてみます。それぞれがパブリック ネットワークでデータの暗号化を処理する必要があります。これらは、2 つの異なる評価内の関連する評価コントロールで、両方とも既定のグループ内にあります。これら 2 つの評価が表示された次のコンプライアンス マネージャー ダッシュボードで示されるように、初めは、どちらの評価でも顧客コントロール評価が完了していません。

コンプライアンス マネージャー ダッシュボード - グループ化された評価 - 以前

Office 365 - GDPR 評価をクリックして、フィルター コントロールを使用し、GDPR コントロール 6.10.1.2 を表示します。関連コントロールとして、NIST 800-53 コントロール SC-13 が表示されていることがわかります。

コンプライアンス マネージャーの評価 - 共有コントロール

 ここでは、GDPR コントロール 6.10.1.2 の実装とテストが完了していることが示されています。 

コンプライアンス マネージャーの評価のコントロール GDPR 6.10.1.2 - パス

グループ化された評価内の関連コントロールに移動すると、NIST 800-53 SC-13 も同じ日時で完了済みとマークされていることがわかります。その他の実装やテストの作業は必要ありません。

コンプライアンス マネージャーの評価 - NIST 800-53 SC(13) 完了

ダッシュボードに戻ると、各評価で 1 つのコントロール評価が完了しており、各評価のコンプライアンス スコアの合計が 8 (その共有コントロールのコンプライアンス スコア値) 加算されていることがわかります。

コンプライアンス マネージャー ダッシュボード - グループ化された評価の進捗状況の同期

先頭に戻る

管理機能

テナント管理者アカウントでのみ使用できる固有の管理機能があり、グローバル管理者としてログインした場合にのみ表示されます。

注: 管理者はドロップダウン リストの [制限付きドキュメントへのアクセス] アクセス許可を使用して、Microsoft が Service Trust Portal で共有する制限付きドキュメントへのアクセスをユーザーに許可できます。制限付きドキュメントの機能は現在使用できませんが、近日中にリリースされる予定です。

コンプライアンス マネージャーの各ロールのアクセス権は、少し異なります。Service Trust Portal を使用すると、各ロールに割り当てられているアクセス権を表示したり、どのユーザーがどのロールに属しているかを確認したり、ロールに対するユーザーの追加または削除を行ったりすることができます。これを実行するには、[管理] メニュー項目を選択し、[設定] を設定します。

STP 管理メニュー - 設定を選択済み

コンプライアンス マネージャーのロールに対してユーザーを追加または削除するには、次の手順を実行します。

  1. https://servicetrust.microsoft.com に移動します。

  2. Azure Active Directory のグローバル管理者アカウントでサインインします。

  3. Service Trust Portal トップ メニュー バーで、[管理] を選択してから、[設定] を選択します。

  4. [ロールの選択] ドロップダウン リストで、管理するロールをクリックします。

  5. 各ロールに追加されたユーザーは、[ロールの選択] ページに一覧表示されます。

  6. このロールにユーザーを追加するには、[追加] をクリックします。[ユーザーの追加] ダイアログ ボックスで [ユーザー] フィールドをクリックします。使用可能なユーザーの一覧をスクロールしたり、ユーザー名に入力し、検索語句に基づいて一覧をフィルター処理したりすることができます。そのロールでプロビジョニングするには、ユーザー名をクリックして、[ユーザーの追加] 一覧にそのアカウントを追加します。同時に複数のユーザーを追加する場合は、ユーザー名の入力を開始して、一覧をフィルター処理し、ユーザーをクリックして一覧にユーザーを追加します。選択したロールをそれらのユーザーにプロビジョニングするには、[保存] をクリックします。

    コンプライアンス マネージャー - プロビジョニングの役割 - ユーザーの追加

  7. このロールからユーザーを削除するには、ユーザーを選択し、[削除] をクリックします。

    コンプライアンス マネージャー - プロビジョニングの役割 - ユーザーの削除

先頭に戻る

ユーザーの履歴データを必要とする特定の規制は、削除できるようにする必要があります。この操作を行うために、コンプライアンス マネージャーでは、管理者に次の操作を許可するユーザー プライバシーの設定機能が提供されています。

コンプライアンス マネージャーの管理者 - ユーザー プライバシーの設定機能

ユーザー アカウントを検索する

ユーザー アカウントを検索するには

  1. エイリアス (@ 記号の左側の情報) を入力し、右側のドメイン サフィックス リストをクリックすることでドメイン名を選択し、ユーザー メール アドレスを入力します。 これが複数の登録されたドメインを含むテナントの場合、メール アドレスのドメイン名サフィックスを確認すると、これが正しいことを確認できます。

  2. ユーザー名を正しく入力したら、[検索] ボタンをクリックします。    

  3. ユーザー アカウントが見つからない場合は、‘ユーザーが見つかりませんでした’ というエラー メッセージがページ上に表示されます。 もう一度試すには、ユーザーのメール アドレス情報を確認して、必要に応じて修正を行い、[検索] をクリックします。

  4. ユーザー アカウントが見つかった場合、ボタンのテキストは [検索] から [クリア] に変更されます。これは、返されたユーザー アカウントは以下に示される追加機能の操作のコンテキストであり、これらの機能を実行すると、このユーザー アカウントに適用されることを示します。

  5. 検索結果をクリアして別のユーザーを検索するには、[クリア] ボタンをクリックします。

アカウント データ履歴のレポートをエクスポートする

ユーザー アカウントが識別されたら、このアカウントへのリンクが存在している依存関係のレポートを生成する必要がある場合があります。 この情報によって、オープンのアクション アイテムを割り当てたり、前にアップロードされたエビデンスへのアクセス権を確保したりすることができます。  

レポートを生成してエクスポートするには   

  1. [エクスポート] をクリックして、現在、返されたユーザー アカウントに割り当てられているコンプライアンス マネージャーのアクション アイテムのレポート、およびそのユーザーによってアップロードされたドキュメントのリストを生成してダウンロードします。 割り当てられたアクションやアップロードされたドキュメントがない場合、"このユーザーのデータがありません" というエラー メッセージが表示されます。

  2. レポートはアクティブなブラウザー ウィンドウのバックグラウンドでダウンロードされます。ダウンロードのポップアップが表示されない場合は、ブラウザーのダウンロード履歴を確認する必要があります。

  3. ドキュメントを開いてレポート データを確認します。

注: これは、アクション アイテムの割り当て履歴に対して変更された状態を保持および表示する、履歴のレポートではありません。 生成されたレポートは、レポートを実行するときに (レポートへの日時スタンプ)、割り当てられたコントロールのアクション アイテムのスナップショットです。 たとえば、このレポートが同じユーザーのためにもう一度生成される場合、アクション アイテムの後続の再割り当ては、別のスナップ レポート データになります。 

アクション アイテムの再割り当て

この機能によって、すべてのアクション アイテムの所有権 (アクティブと完了済みのアクション アイテムの容量が含まれます) を返されたユーザー アカウントから以下で選択された新しいユーザーに再割り当てすることで、組織がユーザー アカウントのアクティブまたは未処理の依存関係を削除できるようにします。 このアクションでは、返されたユーザー アカウントに対するドキュメントのアップロード履歴は変更されません。 

アクション アイテムを別のユーザーに再割り当てするには   

  1. 参照する入力ボックスをクリックして、返されたユーザーのアクション アイテムを割り当てる必要がある、組織内の別のユーザーを選択します。

  2. [置換] を選択して、すべてのコントロール アクションを返されたユーザーから新しく選択したユーザーに再割り当てします。

  3. 確認ダイアログ ボックスには次のように表示されます: “これによりすべてのコントロール アクションが現在のユーザーから選択したユーザーに再割り当てされます。 この操作は元に戻すことができません。 続行しますか。”

  4. 続行するには、[OK] をクリックします。それ以外の場合は、[キャンセル] をクリックします。

注: すべてのアクション アイテム (アクティブおよび完了の両方) が、新しく選択したユーザーに割り当てられます。 ただし、このアクションはドキュメントのアップロード履歴に影響することはありません。前に割り当てられたユーザーによってアップロードされたドキュメントには、前に割り当てたユーザーの日時と名前が引き続き表示されます。  

前に割り当てたユーザーを削除するためにドキュメントのアップロード履歴を変更するには、手動のプロセスで実行する必要があります。 その場合は、管理者は次の操作を行う必要があります。

1)      前にダウンロードしたエクスポート レポートを開きます。

2)      目的のコントロール アクション アイテムを識別して移動します。

3)      [ドキュメントの管理] をクリックして、そのコントロールのエビデンス リポジトリに移動します。

4)      ドキュメントをダウンロードします。

5)      エビデンス リポジトリでドキュメントを削除します。

6)      ドキュメントをもう一度アップロードします。 ドキュメントには、新しいアップロードの日付、時刻、アップロードしたユーザー名が含まれるようになります。  

ユーザー データの履歴を削除する

これにより、返されたユーザーに割り当てられたすべてのアクション アイテムのコントロール アクション アイテムに '割り当てなし' と設定されます。 また、返されたユーザーによってアップロードされたドキュメントに対するアップロードしたユーザーの値にも '削除されたユーザー' と設定されます。

ユーザー アカウントのアクション アイテムとドキュメントのアップロード履歴を削除するには   

  1. [削除] ボタンをクリックします。

  2. 確認ダイアログがポップアップされ、次のように表示されます: “これによりすべてのコントロール アクション アイテムの割り当てと選択したユーザーに対するドキュメントのアップロード履歴が削除されます。 この操作は元に戻すことができません。 続行しますか。”

  3. 続行するには、[OK] をクリックします。それ以外の場合は、[キャンセル] をクリックします。

先頭に戻る

コンプライアンス マネージャーの使用

コンプライアンス マネージャーでは、コンプライアンスおよび評価関係のアクティビティを割り当て、追跡、および記録するためのツールが提供されます。これは、組織がチームの障壁を超えて組織のコンプライアンス目標を達成するのに役立ちます。

コンプライアンス マネージャー ダッシュボード - トップ メニュー - 管理者メニューを更新

先頭に戻る

コンプライアンス マネージャーには Service Trust Portal からアクセスします。Microsoft アカウントまたは Azure Active Directory の組織アカウントを持つすべてのユーザーがコンプライアンス マネージャーにアクセスできます。

コンプライアンス マネージャー - STP メニューからコンプライアンス マネージャーへのアクセス

  1. https://servicetrust.microsoft.com に移動します。

  2. Azure Active Directory (Azure AD) ユーザー アカウントでサインインします。

  3. Service Trust Portal で、[コンプライアンス マネージャー] をクリックします。

  4. 機密保持契約が表示されたら、それを読んでから、[同意] をクリックして続行します。これを実行する必要があるのは 1 回だけです。クリックすると、コンプライアンス マネージャー ダッシュボードが表示されます。

  5. 作業を開始できるように、既定で以下の評価を追加しました。

    コンプライアンス マネージャーでの既定の評価
  6. コンプライアンス マネージャーのショート ツアーを開始するには、 コンプライアンス マネージャーのヘルプ アイコン [ヘルプ] をクリックします。

先頭に戻る

コンプライアンス マネージャーには、割り当てられているすべてのコントロール評価アクション アイテムが表示される便利なビューが用意されているため、迅速かつ簡単にアクション アイテムを実行できます。すべてのアクション アイテムを表示したり、特定の証明書に対応するアクション アイテムを選択したりすることができます。これを実行するには、その評価に関連するタブをクリックします。 たとえば、次の図では [GDPR] タブが選択されており、その GDPR 評価に関連するコントロールが表示されています。

コンプライアンス マネージャー - アクション アイテム リストの複数のタブ GDPR を選択済み

アクション アイテムを表示するには、次の手順を実行します。

  1. コンプライアンス マネージャー ダッシュボードに移動します。

  2. [アクション アイテム] リンクをクリックすると、ページが更新されて、割り当てられているアクション アイテムが表示されます。

  3. 既定では、すべてのアクション アイテムが表示されます。複数の証明書にアクション アイテムがある場合は、評価コントロールの上部のタブに証明書の名前が表示されます。特定の証明書のアクション アイテムを表示するには、そのタブをクリックします。

先頭に戻る

コンプライアンス マネージャー に評価を追加する方法:

  1. コンプライアンス マネージャー ダッシュボードで、 [追加] アイコン [評価の追加] をクリックします。

  2. [評価の追加] ウィンドウでは、新しいグループを作成して評価を追加するか、既存のグループに評価を追加することができます (組み込みのグループ名は "初期グループ" です)。選択したオプションに応じて、新しいグループの名前を入力するか、ドロップダウン リストから既存のグループを選択します。詳細については、「評価のグループ化」を参照してください。

    新しいグループを作成する場合、既存のグループの情報を新しい評価にコピーすることもできます。つまり、コピー元のグループの評価の [実装の詳細] フィールドと [テスト計画と管理の反応] フィールドに追加されたすべての情報が、新しい評価の同じ (または関連する) 顧客管理のコントロールにコピーされます。既存のグループに新しい評価を追加する場合、そのグループの評価の共通する情報が新しい評価にコピーされます。詳細については、「既存の評価から情報をコピーする」を参照してください。

  3. [次へ] をクリックし、次の手順を実行します。

    • Microsoft クラウド サービスを選択して、[製品の選択] ドロップダウン リストからコンプライアンスを評価します。

    • [証明書の選択] ドロップダウン リストから、選択したクラウド サービスを評価する証明書を選択します。

  4. [ダッシュボードに追加] をクリックして、評価を作成します。評価は、既存のタイルの一覧の末尾に新しいタイルとしてコンプライアンス マネージャー ダッシュボードに追加されます。

    コンプライアンス マネージャーダッシュボードの評価タイルには、評価グループ、評価の名前 (サービス名と選択した証明書を組み合わせて自動的に作成されます)、作成日と最終変更日、コンプライアンス スコアの合計 (実装、テストして合格した割り当て済みコントロールのリスク値すべての合計)、および評価されたコントロールの数が表示される進捗状況インジケーター (下部) が表示されます。

  5. 評価名をクリックして評価を開き、評価の詳細を表示します。

  6. [アクション] メニューをクリックして、割り当てられたアクション アイテムの表示、評価のグループの名前の変更、評価レポートのエクスポート、または評価のアーカイブを行います。

コンプライアンス マネージャー - 評価のタイル

先頭に戻る

前述のように、新しい評価グループを作成する場合、既存のグループの評価から新しいグループの新しい評価に情報をコピーすることができます。そのため、完了した評価とテストの作業を、新しい評価の同じ顧客管理のコントロールに適用することができます。たとえば、組織内のすべての GDPR に関連する評価のグループがある場合、グループに新しい評価を追加するときに、既存の評価作業から共通の情報をコピーできます。

ユーザーの次の情報を新しい評価にコピーすることができます。

  • 評価ユーザー。評価ユーザーは、コントロールが割り当てられているユーザーです。

  • 状態、テスト日、テスト結果。

  • 実装の詳細とテスト計画の情報。

同様に、同じ評価グループ内の共有顧客管理のコントロールの情報も同期されます。また、同じ評価内の関連する顧客管理のコントロールの情報も同期されます。

先頭に戻る

  1. 表示する評価に対応する評価タイルを見つけてから、評価名をクリックして開くと、その評価に関連付けられた Microsoft 管理のコントロールと顧客管理のコントロールが、評価の範囲内のクラウド サービスの一覧と共に表示されます。Office 365 と GDPR の評価の例を次に示します。

    コンプライアンス マネージャーの評価ビュー - 吹き出し付きの全面表示

    1. このセクションには、評価のグループの名前、製品、評価名、評価コントロールの数など、評価の概要情報が表示されます。

    2. このセクションには、評価フィルター コントロールが表示されます。評価フィルター コントロールを使用する方法の詳細については、「評価プロセスの管理」セクションを参照してください。

    3. このセクションには、評価の範囲内の個々のクラウド サービスが表示されます。

    4. このセクションには、Microsoft 管理のコントロールが含まれます。関連するコントロールは、コントロール ファミリー別に整理されます。コントロール ファミリーをクリックして展開すると、個々のコントロールが表示されます。

    5. このセクションには、顧客管理のコントロールが含まれます。これもコントロール ファミリー別に整理されます。コントロール ファミリーをクリックして展開すると、個々のコントロールが表示されます。

    6. コントロール ファミリのコントロールの合計数と、評価されているコントロールの数が表示されます。コンプライアンス マネージャー の重要な機能は、顧客管理のコントロールの評価の組織の進捗状況を追跡することです。詳細については、「コンプライアンス スコアの概要」セクションを参照してください。

先頭に戻る

最初、評価ユーザーは評価の作成者だけです。顧客管理の各コントロールについて、組織内のユーザーにアクション アイテムを割り当て、そのユーザーが推奨される顧客アクションの実行およびエビデンスの収集およびアップロードが可能な評価ユーザーになるようにすることができます。アクション アイテムを割り当てると、推奨される顧客アクションとアクション アイテムの優先度などの詳細を含むメールをそのユーザーに送信するように選択することができます。メール通知には、[アクション アイテム] ダッシュボードへのリンクが含まれます。このダッシュボードでは、そのユーザーに割り当てられたすべてのアクション アイテムが一覧表示されます。

ここでは、コンプライアンス マネージャーのワークフロー機能を使用して実行できるタスクを一覧表示しています。

吹き出し付きのコンプライアンス マネージャーの評価のワークフロー
  1. フィルター オプションを使用して特定の評価コントロールを見つける   コンプライアンス マネージャーには、フィルター オプションが用意されています。これにより、評価コントロールを表示するための詳細な選択基準が与えられるため、コンプライアンス作業の特定の領域を正確に対象とすることができます。  

    フィルター オプション コントロールの表示/非表示を切り替えるには、ページの右側にあるじょうごアイコンをクリックします。これらのコントロールを使用すると、フィルター条件を指定できるため、条件を満たす評価コントロールだけが下部に表示されます。 コンプライアンス マネージャーの評価のフィルター コントロール

    • 条項 - 条項名をフィルター処理し、その条項に関連付けられている評価のコントロールを返します。たとえば、"条項 (5)" と入力すると、名前にその文字列が含まれる条項の選択リストが返されます (条項 (5)(1)(a)、条項 (5)(1)(b)、条項 (5)(1)(c) など)。条項 (5)(1)(c) を選択すると、条項 (5)(1)(c) に関連付けられているコントロールが返されます。これは、OR 演算子を複数の値と共に使用する複数選択フィールドです。たとえば、条項 (5)(1)(a) を選択してから、条項 (5)(1)(c) を追加すると、条項 (5)(1)(a) または条項 (5)(1)(c) に関連付けられているコントロールが返されます。

      コンプライアンス マネージャーの評価ビュー - 記事名でフィルター処理

    • コントロール - フィルターに一致する名前を持つコントロールのリストを返します。つまり、7.3 と入力すると、7.3.1、7.3.4、7.3.5 などの項目の選択リストが返されます。これは、OR 演算子を複数の値と共に使用する複数選択フィールドです。たとえば、7.3.1 を選択してから、7.3.4 を追加すると、7.3.1 または 7.3.4 に関連付けられているコントロールが返されます。

      コンプライアンス マネージャーの評価ビュー - フィルター コントロールの複数選択

    • 割り当てられているユーザー - 選択したユーザーに割り当てられているコントロールのリストを返します。

    • 状態 - 選択した状態のコントロールのリストを返します。

    • テスト結果 - 選択したテスト結果を持つコントロールのリストを返します。

    フィルター条件を適用すると、フィルター条件に応じて、該当するコントロールの表示が変更されます。 コントロール ファミリ セクションを展開すると、コントロールの詳細が下に表示されます。  

    コンプライアンス マネージャーの評価ビュー - 記事の結果をフィルター処理

  2. 目的のフィルターを選択しても、結果が表示されない場合は、指定したフィルター条件に対応するコントロールがないことを意味します。たとえば、特定の [割り当てられているユーザー] を選択してから、そのユーザーに割り当てられているコントロールに対応しない [コントロール] 名を選択すると、ページの下に評価が表示されません。

  3. ユーザーへのアクション アイテムの割り当て     アクション アイテムをユーザーに割り当てて、証明書/規則の要件を実装したり、組織の実装要件をテスト、検証、および文書化したりすることができます。アクション アイテムを割り当てると、推奨される顧客アクションとアクション アイテムの優先度などの詳細を含むメールをそのユーザーに送信するように選択することができます。アクション アイテムの割り当てを解除したり、別のユーザーに再割り当てしたりすることもできます。

  4. ドキュメントの管理   顧客管理コントロールには、実装のタスクのためのドキュメントと、テストと検証のタスクのためのドキュメントを管理する場所もあります。コンプライアンス マネージャーでデータを編集する権限を持つすべてのユーザーは、[ドキュメントの管理] をクリックしてドキュメントをアップロードできます。ドキュメントのアップロード後、[ドキュメントの管理] をクリックしてファイルの表示とダウンロードが行えます。

  5. 実装およびテスト詳細の入力   すべての顧客コントロールには編集可能なフィールドがあり、ユーザーは実装の詳細をそこに入力することにより、証明書/規則の要件を満たすために組織が行った手順を記録したり、組織がそうした要件を満たしていることの根拠を検証し記録したりできます。

  6. ステータスの設定   評価プロセスの一環として、各アイテムにステータスを設定します。利用可能なステータスの値は、[実装済み]、[別の実装]、[計画済み]、および [スコープ外] です。

  7. テスト日とテスト結果の入力   コンプライアンス マネージャー評価者ロールのユーザーは、適切なテストが実施されたことを検証し、実装の詳細、テスト計画、テスト結果、およびアップロードされたエビデンスをレビューし、[テスト日] および [テスト結果] を設定します。使用可能なテスト結果の値は、[合格]、[不合格 - リスク低]、[不合格 - リスク中]、および [不合格 - リスク高] です。

先頭に戻る

組織内で評価プロセスに関与しているユーザーは、コンプライアンス マネージャーを使用して、使用するすべての評価からユーザー管理のコントロールをレビューすることができます。ユーザーがコンプライアンス マネージャーにサインインし、[アクション アイテム] を開くと、割り当てられているアクション アイテムのリストが表示されます。ユーザーに割り当てられているコンプライアンス マネージャー ロールによっては、実装またはテストの詳細を入力したり、ステータスを更新したり、アクション アイテムを割り当てたりすることができます。

証明書のコントロールの実装とテストは、一般的に異なるユーザーによって行われるため、初めは実装を行うユーザーにコントロールのアクション アイテムを割り当てることができます。実装が完了すると、そのユーザーはコントロールのテストとエビデンスのアップロードを行う次のユーザーにコントロールのアクション アイテムを再割り当てすることができます。このコントロール アクションの割り当て/再割り当ては、コンプライアンス マネージャー ロールと十分なアクセス許可を持つユーザーが実行できるため、コントロール割り当ての集中管理や、必要に応じて実装者からテスト担当者へのコントロール アクション アイテムの分散ルーティングが可能になります。

アクション アイテムの割り当て

  1. コンプライアンス マネージャーのダッシュボードで、操作する評価の評価タイルを見つけて、評価の名前をクリックし、評価の詳細ページに移動します。

  2. [フィルター] ボタンをクリックし、フィルター コントロールを使用して、割り当てる評価コントロールを見つけることができます。または、

  3. 顧客管理のコントロール セクションまで下にスクロールし、コントロール ファミリを展開し、割り当てる評価が見つかるまで、評価コントロールのリストをスクロールします。

  4. [割り当てられているユーザー] 列で、青色の [割り当て] ボタンをクリックします。

  5. [アクション アイテムの割り当て] ダイアログ ボックスで、[割り当て先] フィールドをクリックして、アクションを割り当てることができるユーザーのリストを設定します。リストをスクロールしてターゲット ユーザーを見つけるか、ユーザー名を検索するフィールドの入力を開始することができます。

  6. このアクション アイテムを割り当てるユーザーをクリックします。

  7. ユーザーにメール通知を送信する場合は、[メール通知を送信する] チェック ボックスがオンになっていることを確認します。

  8. そのユーザーに表示するノートを入力し、[割り当て] をクリックします。

  9. ユーザーは、アクション アイテムの割り当てに関する通知と入力されたノートを受け取ります。

アクション アイテムに関連付けられているノートは、[ノート] セクションに保存されるため、次にアクション アイテムを割り当てるときに使用できます。これらのノートは読み取り専用ではないため、アクション アイテムを割り当てるユーザーが編集、置換、削除できます。

先頭に戻る

評価を Excel ファイルにエクスポートすることができます。これは、組織内のコンプライアンス関係者がレビューでき、監査人や規制機関に提供できます。この評価レポートは、レポートを作成した日時における評価のスナップショットです。これには、その評価の Microsoft 管理のコントロールと顧客管理のコントロールの両方の詳細 (コントロールの実装状態、コントロールのテスト日、テストの結果など)、およびアップロードされたエビデンスのドキュメントへのリンクが含まれています。評価をアーカイブする前に、評価レポートをエクスポートすることをお勧めします。これは、アーカイブされた評価にはアップロードされたドキュメントへのリンクが保持されていないからです。

評価レポートをエクスポートするには、次の手順を実行します。

  1. コンプライアンス マネージャーのダッシュボードで、エクスポートする評価のタイルの [アクション] リンクをクリックし、[Excel にエクスポート] を選択します。または、

  2. 評価の詳細ページを表示している場合は、[Excel にエクスポート] ボタンをクリックします。これは、評価のコンプライアンス スコアの上のページの右上隅にあります。

評価レポートは、ブラウザー セッションでダウンロードされます。ダウンロードを通知するポップアップが表示されない場合は、ブラウザーのダウンロード フォルダーを確認することができます。

先頭に戻る

評価が完了し、コンプライアンスの目的では不要になった場合、評価をアーカイブできます。評価をアーカイブすると、評価ダッシュボードから削除されます。

注: 評価がアーカイブされると、"アーカイブを解除" したり、読み取り/書き込みの進行中の状態に復元したりすることはできません。 アーカイブされた評価は、エビデンス ドキュメントをアップロードするリンクを保持しないことに注意してください。このため、アーカイブする前に評価のエクスポートを実行することを強くお勧めします。エクスポートした評価レポートには、エビデンス ドキュメントへのリンクが含まれているため、アクセスし続けることができます。

評価をアーカイブするには、次の手順を実行します。

  1. 目的の評価のダッシュボード タイルで、[アクション] ボタンをクリックします。

  2. [評価のアーカイブ] を選択します。

  3. [評価のアーカイブ] ダイアログ ボックスが表示され、この評価をアーカイブすることを確認されます。

  4. アーカイブを続行するには、[アーカイブ] をクリックし、アーカイブしない場合は、[キャンセル] をクリックします。

アーカイブした評価を表示するには、次の手順を実行します。

  1. コンプライアンス マネージャーのダッシュボードで、[アーカイブ済みを表示] チェック ボックスをオンにします。

  2. アーカイブされた評価は、[アーカイブされた評価] というタイトルが付いたバーの下の残りのアクティブな評価の下にある新しく表示されたセクションに表示されます。

  3. 表示する評価の名前をクリックします。

  4. アーカイブした評価を表示しても、通常は編集できるコントロール (実装、テスト結果など) はアクティブにならず、[管理対象ドキュメント] ボタンもありません。

先頭に戻る

顧客管理のコントロールの変更ログ

コンプライアンス マネージャーは、規制要件の変更および Microsoft のクラウド サービスの変更に常に対応するために定期的に更新される設計になっています。これらの更新プログラムには、顧客管理のコントロールに対する変更が含まれます。追加または変更されているコンテンツの詳細や、変更が既存の評価に及ぼす影響に関するガイダンスなど、そのような変更が及ぼす影響を理解するのに役立つ変更ログが用意されています。一般的に、次の 2 種類の変更があります。

  • “メジャー” な変更とは、顧客アクションへの大きな変更を指し、コントロールや特定の番号付き手順の追加や削除、責任、推奨事項、またはエビデンスに関するガイダンスの変更などが含まれます。メジャーな変更については、影響を受けるコントロールの実装や評価を見直すことをお勧めします。

  • マイナーの変更は、顧客アクションへの小さな変更です (入力ミスの修正や書式設定の問題、またはハイパーリンクの更新や修正など)。 マイナーの変更では、一般にコントロールの再評価は必要ありませんが、更新された顧客アクションを確認することをお勧めします。

 

Office 365 顧客管理コントロール - 2018 年 7 月 の変更ログ

影響を受けるコントロール

変更の説明と推奨事項

コントロール ID

評価

変更の種類

変更の説明

お客様に推奨されるアクション

45 C.F.R. § 164.308(a)(7)(ii)(A)

Office 365:HIPAA

メジャー

Office 365 の HIPAA 評価に HITECH コントロールが追加されました。

追加されたコントロールと推奨される顧客アクションを確認してください。

45 C.F.R. § 164.312(a)(6)(ii)

Office 365:HIPAA

メジャー

Office 365 の HIPAA 評価に HITECH コントロールが追加されました。

追加されたコントロールと推奨される顧客アクションを確認してください。

45 C.F.R. § 164.312(c)(1)

Office 365:HIPAA

メジャー

Office 365 の HIPAA 評価に HITECH コントロールが追加されました。

追加されたコントロールと推奨される顧客アクションを確認してください。

45 C.F.R.  § 164.316(b)(2)(iii)

Office 365:HIPAA

メジャー

Office 365 の HIPAA 評価に HITECH コントロールが追加されました。

追加されたコントロールと推奨される顧客アクションを確認してください。

 

Office 365 顧客管理コントロール - 2018 年 4 月 の変更ログ 

影響を受けるコントロール

変更の説明と推奨事項

GDPR

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

変更の種類

変更の説明

お客様に推奨されるアクション

6.13.2

C.16.1.1

メジャー

以前は 6.12.1.1 という番号が付いていました。

推奨事項に詳細を追加しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

3.1.6

メジャー

監査の有効化と監査ログの検索を含むガイダンスに手順を追加しました。

顧客アクションの更新された推奨事項を確認します。

6.8.2

A.10.2

メジャー

以前は 6.7.2.9 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

メジャー

以前は 6.5.2.3 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

メジャー

以前は 6.12.1 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

6.7

メジャー

以前は 6.6.1.1 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

6.6.5

A.10.8

IA-3

3.5.2

メジャー

以前は 6.5.4.2 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

6.15.1

メジャー

以前は 6.14.1.3 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

AC-2(h)(2)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

AC-2(7)(b)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

AC-2(h)(1)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

AC-2(12)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

AC-2(4)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

3.1.7

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

A.16.1.7

C.12.4.2, Part 2

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

AC-2(h)(3)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

A.12.4.2

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

A.7.2.8

マイナー

コンテンツ検索ブレードと DSR ポータルへのリンクを追加しました。

必要な操作はありません。

45 C.F.R. § 164.308(a)(3)(ii)(C)

マイナー

監査ブレードを有効にするリンクと、Office 365 の管理者ロールへのリンクを追加しました。

必要な操作はありません。

5.2.1

マイナー

以前は 5.2.2 という番号が付いていました。

ガイダンス内の顧客の責任を明確にしました。

顧客アクションの更新された推奨事項を確認します。

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

マイナー

以前は 6.10.1.2 という番号が付いていました。

入力ミスを修正しました。

必要な操作はありません。

7.5.1

マイナー

以前は A.7.4.1 という番号が付いていました。

入力ミスを修正しました。

必要な操作はありません。

A.8.2.3

3.1.3

マイナー

不要な文を削除しました。

必要な操作はありません。

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

マイナー

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

顧客アクションの更新された推奨事項を確認します。

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

マイナー

サービスのインポートのヘルプ トピックを更新して FWlink を使用しました。

必要な操作はありません。

 

GDPR 評価コントロール ID の変更内容の参照 - 2018 年 2 月の変更ログ

以前のコントロール ID (2017 年 11 月プレビュー)

新しいコントロール ID (2018 年 2 月 GA リリース)

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

先頭に戻る

関連項目

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×