2017年8月8日
PwCあらた有限責任監査法人

PwCあらた有限責任監査法人（東京都中央区、代表執行役：木村 浩一郎）は、日本マイクロソフト株式会社（本社：東京都港区、代表取締役 社長：平野 拓也、以下：日本マイクロソフト）と共同で、内閣サイバーセキュリティセンター（以下：NISC）制定の政府統一基準に対応したセキュリティリファレンスを作成し、8月8日より、無償提供を開始しました。本リファレンスは、日本マイクロソフトのクラウドサービス「Microsoft Azure」（以下：Azure）「Office365」（以下：O365）環境において、政府統一基準を満たすためのセキュリティ対応策を提示しています。

NISCは2016年8月に「政府機関の情報セキュリティ対策のための統一基準」（以下：政府統一基準）を改定し、クラウドの選定および利用の際のガイドラインやセキュリティ要件などの基準を追加しました。本リファレンスは、国内の政府機関（行政機関および独立行政法人など）に向け、AzureおよびO365クラウド環境における政府統一基準の要件整理の考え方や必要となる情報、項目ごとの詳細な対応策を提供しています。

政府統一基準は、国内の政府機関が実施すべきセキュリティ対策の指針になりますが、その項目は複雑かつ多岐にわたります。さまざまな形態のクラウドサービスがある中、各クラウドを利用する際に政府統一基準にどの程度準拠しているかを個別に確認するのは容易ではなく、非常に多くの労力を要するものになっています。本リファレンスは、AzureおよびO365において政府統一基準に準拠するための手順を具体的に示し、政府機関がより高いレベルの情報セキュリティ対策を実現できるよう支援するものです。

本リファレンスの概要と活用イメージ

政府機関がクラウド利用するにあたっては、以下の2つの観点からの検討が重要です。

【観点1】責任分界点を把握し、対応を検討する。
クラウド利用者とクラウド事業者の管理範囲を明確に把握し、クラウド利用者が管理すべき範囲については、クラウド利用者として適切な対応を実施する。

【観点2】クラウド事業者の対策を把握し、対応を検討する。
クラウド事業者の管理範囲について、その管理状況を確認し、不足する部分があれば、クラウド事業者に追加の対応を要求する、あるいはクラウド利用者で補完する対応を実施するなど、クラウド事業者の管理状況を把握し、その対策の十分性を検討する。

本リファレンスは、上記2つの観点からの検討に有用な以下の構成でまとめられています。

対象としている政府統一基準とガイドライン

政府機関の情報セキュリティ対策のための統一基準（平成28年度版）[PDF 642KB]
府省庁対策基準策定のためのガイドライン（平成28年度版）[PDF 3,088KB]

本リファレンスのダウンロード方法

AzureおよびOffice365クラウド利用における政府機関向けセキュリティリファレンスは、下記のリンクからダウンロード可能です。

日本マイクロソフト株式会社 執行役員 常務 パブリックセクター事業本部長 織田浩義氏は、次のようにコメントしています。

「PwCあらた有限責任監査法人による内閣サイバーセキュリティセンター（NISC）発行の『政府機関の情報セキュリティ対策のための統一基準』に対するマイクロソフト クラウド サービス（Microsoft Azure, Office 365）の対応リファレンスの提供について心より感謝いたします。公共機関だけでなく民間企業のお客様においても、安全で安心・信頼できるクラウドサービスを利用する上でNISCの提供する基準に合致していることを確認できるのはとても重要なこととなっております。日本マイクロソフトはPwCあらた有限責任監査法人のクラウドセキュリティ監査（CS ゴールド マーク）の外部監査人としての深い知識と経験に基づいた情報提供により、マイクロソフトが提供する製品・サービスの品質を継続的に確保し、官公庁および企業の変革を強力に支援していきます」

本リファレンスのリリースを機に、当法人は日本マイクロソフトと協力し、クラウドサービス導入予定政府機関および企業向けセミナー開催をはじめとする共同ソリューションサービスを展開していく予定です。

※なお、本リファレンスではクラウド事業者の管理状況を「政府統一基準」の観点からまとめています。

※Microsoft AzureおよびOffice365は、日本マイクロソフト株式会社が提供するクラウドサービスです。詳細は下記リンク先をご覧下さい。

• Microsoft Azure
• Office 365
• 本リファレンスについて