コンプライアンスとセキュリティの制御
この記事は、organizationがさまざまなコンプライアンス要件とセキュリティ標準にどのように準拠しているかを理解するのに役立ちます。
コンプライアンス
コンプライアンス カバレッジ
Microsoft Managed Desktop は、次のコンプライアンス認定を取得しています。
- ISO 27001 情報セキュリティ管理標準 (ISMS)
- ISO 27701 プライバシー情報管理システム (PIMS)
- ISO 27017 情報セキュリティ コントロールの実施基準
- クラウドで個人データを保護するための ISO 27018 実施基準
- ISO 9001 品質管理システム標準
- ISO 20000-1 IT サービス マネジメント
- ISO 22301 ビジネス継続性管理標準
- クラウド セキュリティ アライアンス (CSA) STAR 証明
- Cloud Security Alliance (CSA) STAR Certification
- サービス組織コントロール (SOC) 1、2、3
- 情報セキュリティ登録済み評価プログラム (IRAP)
- Payment Card Industry (PCI) Data Security Standard (DSS)
- 医療保険の携行性と責任に関する法律 (HIPAA)
- Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
監査人のレポートとコンプライアンス証明書
コントロールや技術的要件などの関連情報は、Service Trust Portal (STP) で確認できます。 このポータルは、Microsoft Cloud Serviceオファリングに関する情報の中央リポジトリです。 監査レポート、コンプライアンス証明書などを STP の 監査レポート セクションからダウンロードできます。
注:
Microsoft マネージド デスクトップは Azure で実行されるため、関連するドキュメントには通常、"Microsoft Azure、Dynamics 365、およびその他のオンライン サービス" などのファイル名が付いています。 これらのドキュメントでは、通常、Microsoft マネージド デスクトップは "Microsoft オンライン サービス" または "監視と管理" のカテゴリにあります。
セキュリティ コントロール
デバイス制御
Microsoft マネージド デスクトップのすべての担当者は、サービスを管理し、マネージド テナントにアクセスするために承認済みのデバイスを使用します。 これらのデバイスは運用操作専用であり、多要素認証を必要とし、独自の特殊な ID、監視、強化を備えています。 さらに、これらの特殊な使用デバイスには、デバイスがエンジニアによって共有されないように制御できます。
People コントロール
Microsoft Managed Desktop は、顧客データを含む Microsoft システムへの承認された担当者アクセスの記録を保持および更新します。 すべてのサービス エンジニアは、標準の Microsoft セキュリティ ポリシーとプラクティスに準拠している必要があります。 これには、定期的な必須トレーニング (セキュリティ、ID、プライバシー、コンプライアンス) と定期的なバックグラウンドとセキュリティチェックが含まれます。
エンジニアは、運用システムや顧客データへの継続的なアクセスを保持しません。 すべてのアクセスは時間制限があり、管理レビューと承認が必須で、個人が更新する必要があります。 すべての権利は、四半期ごとのアクセス レビューの対象となります。
Microsoft Managed Desktop には、データとリソースへのアクセス許可の付与、変更、取り消しに使用する、割り当てられた所有者を含むプロセスがあります。 たとえば、Microsoft Managed Desktop のスタッフ メンバーがチームを離れた場合、資格情報はタイムリーに取り消されます。
対話型サービス アカウントへのアクセスは、サポート要求のコンテキストに制限され、これらのデバイスを使用するサービス エンジニアに限定されます。 これらのアカウントの要求と使用は、Microsoft のセキュリティで保護されたアクセス ワークステーションからのみ行うことができます。
特権アクセス管理制御
サポート リクエストの処理中に、サービス エンジニアがテナントにアクセスする必要がある場合があります。 そのためには、特定のディレクトリ ロールへのアクセスを要求する必要があります。 承認された場合、ゲスト アカウントには最大 8 時間のアクセス許可が付与されます。 この方法により、特定のユーザーをテナント内で実行されたすべてのアクションと関連付けできます。
サービス アカウント制御
すべての Microsoft Managed Desktop サービス アカウントの資格情報は、セキュリティで保護された Azure Key Vaultに格納されます。 資格情報はランダムに生成され、13 日ごと、または中間期間に使用される場合は 30 分ごとにローテーションされます。 監査ログは、Microsoft Managed Desktop を通じて要求できます。 "Just-In-Time" の使用はすべて監査され、監査ログには Microsoft マネージド デスクトップ サービス エンジニアリング チームによるサービス要求の詳細が含まれており、Azure に 365 日間保存されます。
詳細については、サービス 信頼ポータル (STP) の「Microsoft Managed Desktop - データ ストレージ、使用状況、およびセキュリティプラクティス」ドキュメントを参照してください。