Office 365 が HHS OIG から FedRAMP の Authority to Operate (ATO) を取得
対象: Office365 Government Community Cloud (US Only)
(この記事は 2014 年 11 月 20 日に Office Blogs に投稿された記事 Office 365 receives FedRAMP Authority to Operate (ATO) from HHS OIG の翻訳です。最新情報については、翻訳元の記事をご参照ください。)
今回は、Office 365 セキュリティ チームの主任プログラム マネージャーを務める Bill Birkholz と、Office 365 チームのシニア プロダクト マネージャーを務める Vijay Kumar の記事をご紹介します。
このたび、マイクロソフトの Office 365 に対して、米国保健福祉省の監察総監室 (HHS OIG) より FedRAMP の Authority to Operate (ATO) が付与されました。Office 365 は、Exchange Online、SharePoint Online、Lync Online といったサービスの政府機関専用インスタンスを提供するマルチテナント型クラウド サービスです。Office 365 サービスの政府機関専用インスタンスは、米国の連邦政府、部族政府、州政府、地方自治体、連邦政府出資研究開発センター (FFRDC) のお客様のみを対象としています。
Federal Risk and Authorization Management Program (FedRAMP) は、安全なクラウド ソリューション導入の促進を目的とし、クラウド製品およびサービスに対するセキュリティ評価、認定、継続的なモニタリングの標準的アプローチを策定した米国政府全体のプログラムです。FedRAMP の詳細については、こちらのページ (英語) をご覧ください。
FedRAMP 公認の第三者評価機関 (3PAO) である Dynamic Research Corporation により、Office 365 の審査が実施され、NIST 800-53 に基づく厳格な FedRAMP 要件を満たしていることが確認されました。HHS OIG の認定を受けたことで、Office 365 のセキュリティが政府機関の機密データを保存、処理、保護するための Moderate impact レベルに達していると実証されたことになります。
米国連邦政府一般調達局の FedRAMP 取締役代行を務める Matt Goodrich 氏は、次のように述べています。「マイクロソフトが HHS OIG から認定を受け、Office 365 は FedRAMP 認定を取得した世界初のクラウドベースのメールおよびコラボレーション サービスとなりました。マイクロソフトは、HHS OIG と FedRAMP プロジェクト管理オフィス (PMO) の協力の下、米国政府がクラウド サービス導入時の必須事項として定めた FedRAMP の厳格なセキュリティ要件を Office 365 が満たしていることを証明したのです」。
このニュースの詳細については、政府の Web サイト (英語) をご覧ください。
セキュリティとコンプライアンスは、Office 365 をご利用のすべてのお客様にとって重要な事項であり、マイクロソフトが Office 365 を設計および管理するうえでの中核を成すものです。Office 365 の生産性サービスに対して迅速なイノベーションを進めるにあたり、今後も Office 365 を世界共通または地域や業界固有の標準や規制に準拠する安全性の高いサービスにするために、取り組みを続けてまいります。Office 365 のセキュリティとコンプライアンスの詳細については、Office 365 セキュリティ センターをご覧ください。
よく寄せられる質問
Q. FedRAMP とは何ですか。
A. Federal Risk and Authorization Management Program (FedRAMP) は、クラウド製品およびサービスに対するセキュリティ評価、認定、継続的なモニタリングの標準的アプローチを策定した米国政府全体のプログラムです。連邦政府機関によるクラウド導入およびサービス モデルの必須要件として定められています。FedRAMP の セキュリティ評価フレームワーク (SAF) や入門ガイドなど、FedRAMP の詳細については、https://www.fedramp.gov (英語) をご覧ください。
Q. FedRAMP はなぜ重要なのですか。
A. FedRAMP は NIST 800-53 標準によって定義された厳格なセキュリティ要件に基づき、リスク ベースの管理に対して画一的なアプローチを策定するものです。連邦政府機関は、このアプローチを通じて、クラウド プロバイダーのセキュリティを評価するために必要な時間、費用、リソースを大幅に節約することが可能です。
Q. Office 365 は FedRAMP のどのレベルに適合していますか。
A. Office 365 は、第三者評価機関により Moderate レベルと評価され、HHS OIG から FedRAMP ATO が付与されています。
Q. FedRAMP ATO は、どの Office 365 のプランまたは製品に適用されますか。
A. FedRAMP ATO は、米国の政府機関向け Office 365 Enterprise プラン (E1、E3、E4) と、Exchange Online プラン 1、Exchange Online プラン 2 などのスタンドアロン プランに適用されます。米国の政府機関向け Office 365 Enterprise プランは「政府機関コミュニティ クラウド (GCC)」とも呼ばれます。
Q. Office 365 の企業向けプランを利用するお客様や、米国政府機関以外のお客様にとって、 FedRAMP ATO はどのように役立ちますか。
A. 米国の政府機関向け Office 365 Enterprise プラン (通称「政府機関コミュニティ クラウド」) は、企業向け Office 365 プランと同じマルチテナント サービス上に構築されています。政府機関コミュニティ クラウドが厳格な FedRAMP 標準に適合するために採用されているプロセスやテクノロジの大半は、企業向け Office 365 プランにも同様に導入されています。この ATO は、Office 365 を業界および政府機関の重要な標準や規制に準拠する安全性の高いサービスとして提供するというマイクロソフトの取り組みを実証するものです。