CSゴールドマークを取得しました

マイクロソフトは、2016 年 2 月 10 日に、「クラウド情報セキュリティ監査制度」に基づく、日本初のクラウドサービスのセキュリティに対する監査を認定する「CS ゴールドマーク」（Microsoft Azure, Office 365）を取得した最初のクラウドサービスプロバイダーとなりました。この基準に基づいて日本が提案し、このたびクラウドサービスのセキュリティ基準となった国際基準として ISO/IEC 27017 があります。Microsoft Azure および Office 365 は、この国際基準に基づいたセキュリティ対策を実施しているとの認定を得たことになります。マイクロソフトでは、ISMS（ISO/IEC 27001）, HIPAA , FedRAMP、SOC 1、SOC 2 など、国際的に認知された数多くの基準の認証を取得していますが、「CS ゴールドマーク」の取得により、日本にクラウド利用者や、Microsoft Azure や Office 365 を活用してクラウドビジネスを展開するパートナー企業に対して、マイクロソフトが提供するクラウドサービスに対する客観的な評価を提示したものと考えています。

「クラウド情報セキュリティ監査制度」は、JASA(特定非営利法人 日本セキュリティ監査協会)が、総務省および経済産業省と共に取り組んだ制度で、クラウドサービスプロバイダーが提供する情報セキュリティマネジメント要件（基本言明要件）の設計・実装・運用に対する監査を通じて、基本言明要件に対して約 1500 項目[1]の管理基準[-m1] に基づいた情報セキュリティ監査を通じて、セキュリティ対策の信頼性を示すものです[2]。この制度により、クラウドサービスの利用者に対して、クラウドサービスを選択するための客観的な基準を提示すると同時に、クラウドサービスプロバイダーが実施すべきセキュリティ要件を明確にすることで、信頼性の高いクラウドサービスの提供と利用の促進することを目的としています。

JASA は、「クラウド情報セキュリティ監査制度」の特徴として以下の点を挙げています[3]。

1. サービスごとの信頼性の表明（CS シルバーマーク）

2. リスクごとに対策の実施状況を確認

3. 標準的な監査による監査の品質を確保

4. クラウドサービスの良さを活かす効率的な監査

5. クラウドサービスに関するセキュリティの国際標準を先取り

マイクロソフトは、この制度の最初に認定を受けたクラウドサービスプロバイダーであることを誇りに思うとともに、「クラウド情報セキュリティ監査制度」が客観的な基準を明示することで、セキュリティに対する懸念を払拭し、日本のクラウド利用の活性化に寄与するものと考えています。

マイクロソフトは、今後もグローバルな展開とともに、地域を見据えた安心してご利用いただける最新のクラウドサービスの提供を行っていきます。

マイクロソフトでは、様々な領域で、セキュリティ、プライバシー、コンプライアンス等に対する取り組みを行っています。日本マイクロソフトの取り組みについては、以下サイトを参照下さい。

[1] クラウドサービスを安全に活用するための 情報セキュリティ監査の利用促進に向けた取り組みについて

http://www.jasa.jp/information/result/pdf2011/2011_cloud_doc01.pdf

[2]経済産業省受託事業の成果である「クラウドセキュリティ監査」について報道発表

http://www.jasa.jp/news/news_20120914.html

[3] CS シルバーマークの発行について
http://www.jasa.jp/news/downf/news_20150511.pdf