ビジネス情報の分類と保護 – マイクロソフト IT 事例

(この記事は 2014 年 5 月 8 日に公開されたホワイトペーパー Classifying and Protecting Your Business Information  の翻訳です) カスタマイズする際のメモ: このドキュメントは Microsoft IT の経験に基づいており、再利用、カスタマイズが可能なガイダンスと手順書が含まれます。組織の状況に合致しない時は利用しないでください。 アイディアやコンセプトなどを含むあらゆる形の情報は、潜在的なビジネス価値を持っています。メールのやり取り、ドキュメント共有、電話により会話など方法にかかわらず会社の機密情報を保護するのはあなた自身の責務です。情報の価値が高くなるほど、それを守るためにより多くのセキュリティ制御を行う必要があります。 このガイドでは、ビジネス情報やデータの、意図せず開示された場合の潜在的なインパクトに応じた分類 (高、中、低ビジネスインパクト) 方法の概要について述べます。また、情報を転送、共有、保管、破棄する前に保護する支援を行うためのソリューションについてもご紹介します。   このガイドラインでのトピック 情報の分類 情報の保護 分類とデータ配布のガイドライン 推奨されるセキュリティ実装 追加の情報   情報の分類 情報は意図しない開示による潜在的なインパクトにより高ビジネスインパクト (High Business Impact, HBI)、 中ビジネスインパクト (Moderate Business Impact, MBI) そして低ビジネスインパクト (Low Business Impact, LBI) の 3 種類に分類することができます。 表 1. 情報の分類 HBI HBI は許可なく公開されると、会社、情報の所有者、お客様に、即時に、直接的に、または多大な影響があるあらゆる情報を含む電子メール、文書、メッセージ、電話の会話などが含まれます。HBI 情報は知る必要がある場合にのみ共有されるべきです。HBI…


プロジェクトマネージャーの生産性向上を支援するProject Online 紹介ビデオを公開

2013年のMicrosoft Project 史上初となるOnlineサービスリリースから1年後、2014年5月に”Project Lite”が提供開始となりProject Onlineのラインアップが完成しました。これを受けてこの度Project Onlineの紹介ビデオを公開しました。 Project Olineは大規模なプロジェクトマネージメントから、日常的なタスク管理でも活用できる非常に優れたサービスです。本日は最新のProject Onlineの概要について改めてご紹介します。 日本ではプロジェクトマネージメントのためのツールにExcelをご利用いただくことが多いのですが、Projectという製品は単にガントチャートを引くだけでなく、Project Serverと連携することで、最適なリソース管理、複数のプロジェクトを横断的に管理する機能など、プロジェクトマネージャーの負担を減らし、正確なプロジェクトマネージメントを支援する機能を提供しています。Project Onlineは、Project Serverの優れた機能をお客様がサーバーを立てることなく導入でき、いつでも、どこからでも直ぐに利用できるため、IT部門の支援が手薄な小規模なチームから、大規模なプロジェクトマネージメントまで幅広いニーズに応えるサービスです。  Project Onlineには4種類のサービスがあります。 Project Lite Project Online Project Pro for Office 365 Project Online with Project Pro for Office 365  1.Project Liteは、Project Online または Project Server により管理されているプロジェクトでのみ使えるサービスで、主にプロジェクトに参加する”メンバー”が利用します。個々人のタイムシート、タスク管理、懸案事項とリスクの追加、共同作業ができるため、プロジェクトマネージャーによるメンバーのワークロード管理の負担を減らし、タイムリーな進捗管理に役立ちます。たとえば、Excelで各メンバーのタスク管理をしているような場合、プロジェクトマネージャーはメンバーから集めたExcelの転記のため、1週間のうち数時間から半日程度時間を使っているケースがありますが、各メンバーにProject Liteへ直接入力してもらうことで、プロジェクトマネージャーの負担を減らし、進捗管理のステータスも常に最新のものを閲覧できるようになります。  2.Project Onlineは、プロジェクト ポートフォリオ管理 (PPM) と日々の作業に適したサービスです。Project Serverと同じ機能を月額料金制で直ぐに導入できます。プロジェクトマネージャーやメンバーは、どこからでも、ほぼすべてのデバイスで直ぐに作業を開始でき、複数のプロジェクトを横断的にそれぞれの進捗確認やリソースの可視化が行えるため、プロジェクト ポートフォリオ投資に優先順位を付け、効率的なプロジェクト管理を実現します。また、SharePoint Onlineと連携することでPPMのみならず、各プロジェクトで使用するドキュメントの共有や、Lync Onlineと連携すれば、メンバーとタイムリーなコミュニケーションも行うことができます。Project Onlineを使用すれば、プロジェクトマネージャーはこれまでExcelなどで行っていた進捗管理よりも、タイムリーに各メンバーの進捗管理とリソース管理ができ、Excelへの転記に使っていた時間や負担を大幅に削減できます。Project OnlineはOffice 365と同じセキュリティおよびプライバシーポリシーが適用されます。つまり、クラウド上に置かれたデータはお客様のものであるため、マイクロソフトではProject Online上のデータを人為的、機械的にクロールすることはないため秘匿性の高いデータでも安心してオンライン上でご利用いただけます。 Project LiteとProject Online,…


東京大学がOffice 365のプライバシー保護と法務面での対応を評価

司法当局によるデータ押収要請への対応を重視。Office 365 検証導入の理由は、”ユーザーのデータ保有権限が最大限保障されること” 東京大学は 1877 年に創設された日本で最も長い歴史を持つ大学で、日本を代表する大学として、近代日本の発展に多方面にわたる貢献をしてきました。同大学は 11 の学部と 15 の研究科、11 の附属研究所と 13 の全学センター、2 つの国際高等研究所からなり、約 1 万人の教職員と 約 3 万人の学生が研究、教育活動を行っています。 東京大学は 2003 年に定めた東京大学憲章で、「世界的な水準での学問研究の牽引力であること」「公正な社会の実現、科学、技術の進歩と文化の創造に貢献する、世界的視野を持った市民的エリートが育つ場であること」を目標にしています。そして、最近、特に変化しているのが教育活動です。総合的教育改革を検討中で、学部学生に対する教育の拡充と強化とともに、競争に耐えうる「タフな東大生」を育てようとしています。この方針のもと、東京大学全学の情報基盤を運営する情報システム本部も、研究活動のベースになる実験やコミュニケーション基盤とともに、学部教育のためのリソースの整備にも力を注ごうとしています。 以前利用していた運用負荷がきわめて高いシステムについては、オンプレミスではスケーラビリティを確保できず、運用負担も大きいため、外部のクラウド サービスの利用を検討しました。4 年ほど前、毎朝の業務開始時に膨大なトラフィックが発生し、スパムなど日々変化する脅威への対応が必要な、事務職員用メール システムをクラウド サービスに切り替えました。 しかし、このクラウド サービスは同大学の要求を最低限満たしていましたが、サービスの特性上カスタマイズするとバージョンアップできないため、より高い要望を実現していくためにはさまざまな可能性を検討する必要が生じてきました。そのためカスタマイズせずに主に運用管理上の要求要件を満たせるクラウド サービスの検討を行い、その結果、利用契約の内容とサービスがその要件を満たしているという観点から、Microsoft Office 365 Education と Active Directory 認証を Microsoft Azure 上で行うフル クラウド導入を災害対策と省電力化の観点から検証中です。東京大学では、情報システム本部での検証作業が順調に進んでいることから、Microsoft SharePoint Online による情報共有も含めた全学的なコミュニケーション基盤の実現を視野に入れて実証検証を進めています。 教育機関のお客様がクラウドサービスを導入検討する場合、機能面での検討に加えて、学内からは”クラウド上に置いたお客様データの取り扱いを懸念”される声が上がりますが、東京大学では、法務面での対応、特に、海外の司法当局によるデータ押収要請に対するマイクロソフトの対応状況を精査した結果、Office 365 Educationの導入に踏み切りました。   今回の導入理由の一つとして、東京大学 情報システム部 副部長 准教授の玉造氏は「(4年の間に)マイクロソフトの対応が進み、司法当局がデータの押収を命じた時に、私たちの保有の権限を最大限保障するような契約になりました。私たちは国立大学であり、国の重要な施策にかかわるやり取りがメールでなされます。そのために、メール データは東京大学が主体的に管理できていることが必要です。今回その点が明確にされ、標準的な機能で要件を満たしていたことから、Office 365 Education の導入検証を本格的にすることにしたのです」と語っています。   詳しくは 東京大学 Office…


お客様の権利保護に関する新たな成果のお知らせ

(この記事は 2014 年5 月23 日に Microsoft on the Issues に投稿された記事 New success in protecting customer rights unsealed today の翻訳です)   国家安全保障書簡に対する異議申し立てが認められたことにより、政府が企業のお客様のデータを要求した場合に、そのお客様に対して通知するという従来のポリシーが保護されることになりました。   投稿者: Brad Smith マイクロソフト法務本部ゼネラル カウンセル兼エグゼクティブ バイス プレジデント 先日、シアトルの連邦裁判所において、マイクロソフトが昨年末に法廷で異議申し立てを行った FBI の国家安全保障書簡に関する公文書 (英語) が公表されました。これは、政府の調査活動からマイクロソフトの企業のお客様を守るための重要な第一歩を踏み出すことに成功した証です。 この訴訟に関する情報はこれまで非公開であったため、今回初めて詳細をお伝えできることとなりました。この問題については、現在世界中から強い関心が寄せられているため、問題の背景について情報を補足したいと思います。 今回の訴訟の対象となった FBI の書簡は、企業のお客様が所有するアカウントに関連する情報を求めるものでした。マイクロソフトの企業のお客様には、合法的な企業、政府機関、非政府組織などが含まれます。他の国家安全保障書簡と同様に、今回の書簡もお客様の基本情報のみを求める内容でした。 マイクロソフトの取り組みについて、昨年の 12 月の記事 で私は次のようにご説明しました。「法的な命令により、企業および政府のお客様のデータを求められた場合は、該当するお客様に通知を行います。報道禁止令により、お客様への通知を行えない場合には、法廷で異議申し立てを行います。過去にこの方法で異議が認められた実績があり、今後も同様の手段を取ることで、政府がお客様のデータを求める場合に、お客様への通知を行う予定です」 今回の件では、書簡に非開示規定が設けられていたため、法廷で異議申し立てを行うこととしました。マイクロソフトでは、この非開示規定が違法であり、憲法で定められた表現の自由に対する権利を侵害するものだと判断しています。企業のお客様のデータに関する法的な命令を受けた場合に、該当するお客様に通知を行うという慣例を妨げたためです。 シアトルの連邦裁判所でこの異議申し立てを行った結果、FBI は書簡を取り下げました。 幸いなことに、政府が企業のお客様に属するデータを要請するケースは非常にまれです。そのため、こういった問題について提訴する必要はこれまでめったにありませんでした。その数少ないケースにおいて要請を受けた場合には、お客様から直接情報を入手するように政府に要求するか、マイクロソフトがお客様から許可を得たうえで情報提供を行ってきました。今回の訴訟が、マイクロソフトの方針の正当性を裏付ける結果となったことを嬉しく思います。 先日、ベルリンとロンドンで数日間過ごし、世界中の政府機関、企業、市民団体の指導者の皆様が、米国国内の問題に引き続き高い関心を寄せていることを改めて実感しました。他国の方々とお会いするときに、政府による調査の問題に対して、米国の裁判所が強力かつ独立した役割を果たすのかと尋ねられることも少なくありません。 過去 2 世紀以上にわたって、米国の国民は最も基本的な自由を守るために裁判を起こしてきました。今回の一件により、裁判所が今後も果たす重要な役割と、裁判所がもたらす信頼性の根拠を見て取ることができるでしょう。


捜索令状の権限に対する異議申し立ての第一歩

(この記事は 2014 年 4 月 26 日に Microsoft on the Issues に投稿された記事 One step on the path to challenging search warrant jurisdiction の翻訳です) 投稿者: David Howard マイクロソフト、コーポレート バイス プレジデント兼副ゼネラル カウンセル   米国政府には他国の家庭を捜索する権限がないのですから、同様に考えれば、海外に保存されている電子メールのコンテンツを捜索する権限もないはずです。 この原則が守られるよう、マイクロソフトは数か月前、米国国外のみに存在するお客様の電子メールのコンテンツの開示を求める米国政府の捜索令状に対し、正式に法的な異議申し立てを行いました。このたび、現状維持という一審判決を受けましたが、これは今後、政府がマイクロソフトのお客様の個人データを求める際に、法律の文言に則って行われるように徹底するという取り組みにおいて、不可欠な第一歩だと捉えています。 今回の異議申し立てを行った際に、まずは下級判事の判決を仰ぎ、その後、地方裁判所、そしておそらくは連邦控訴裁判所へと、控訴を重ねることになるだろうと想定していました。今回、当該捜索令状を発行した下級判事によって、異議申し立てが却下されました。これは、権限を持った裁判所に問題を提示し、米国国外に保存されているデジタル コンテンツに対して捜索令状を適用するという政府の従来の見解を是正するための第一歩です。 法律は複雑ですが、この問題は単純です。現実の世界において、米国で発行された捜索令状は米国国内で証拠を入手するためにしか使用できないことは一般的に知られています。米国の検事は、他国の家庭を捜索するための令状を米国では入手できません。他国の検事が、米国国内で捜索するための裁判所命令を自国で得ることができないのと同様です。そのため、米国は多数の二国間協定を締結し、他国で証拠を入手するために特別な手続きを確立してきたのです。マイクロソフトでは、オンラインの世界にも同じ原則を適用すべきだと考えていますが、政府からは同意を得られていません。 誤解のないように言えば、マイクロソフトは国民全員を守る法執行機関の重要な役割を尊重しています。もちろん、政府による捜査を妨害するつもりはなく、起こりうる犯罪を調査するために必要とする証拠を政府が入手できるべきであると考えています。ただ、現実世界で米国国外に存在する証拠を入手するために確立してきた手続きに従って、オンラインの世界でも捜索を行う必要があると主張しているのです。 マイクロソフトは、昨年 12 月にお約束したデータのプライバシー保護の取り組み の一環として、当局の権限に対してこのような異議申し立てを行っています。マイクロソフトは今回の主張の正当性を信じており、お客様からもプライバシー保護の取り組みを評価していただいているため、今後もこの問題を追及し続けていく所存です。


皆様のご意見に基づいてお客様のプライバシー保護に関する対応基準を変更

(この記事は 2014 年 3 月 28 日に Microsoft on the Issues に公開された記事 We’re listening: Additional steps to protect your privacy の翻訳です) 投稿者: Brad Smith マイクロソフト法務本部ゼネラル カウンセル兼エグゼクティブ バイス プレジデント 先週木曜日、2012 年に漏えいしたマイクロソフトのソース コードを不正に取引していたユーザーの Hotmail のメール内容に、マイクロソフトの調査担当者がアクセスしていたことが報道されました。この 1 週間、私たちはさらにこの問題と向き合う機会を設け、社内だけでなくアドボカシー グループやその他の専門家とも検討した結果、プライバシーに関するマイクロソフトの対応基準を一歩踏み込んだものにするために重大な変更を加えることを決定しました。 この新しいポリシーは即日有効になります。今後は、何者かがマイクロソフトのサービスを利用して、盗まれたマイクロソフトの知的財産または物理的財産を不正に取引しているという情報が得られた場合でも、マイクロソフトが独自にお客様の個人的なコンテンツを調査することはありません。ただし、さらなる措置が必要な場合は、その事案を法執行機関に委ねます。 企業ポリシーの変更に加え、この変更内容がお客様に明確に通達され、マイクロソフトに対して法的拘束力が発生するように、今後数か月でお客様のサービス利用規約にこの変更を反映することを予定しています。 批判を耳にするのは、いつでも心苦しいものです。しかし、少し距離を置いて冷静に考えることができれば、批判によって考えさせられ、今後の助けになる場合も多くあります。ここ 1 週間の私たちがそうでした。業界他社と同様、マイクロソフトでも、このような場合は合法的にアカウントにアクセスできるとサービス利用規約に明記していましたが、今回の事態を受けて、お客様のプライバシー保護に関して当然とも言える疑問が浮かび上がってきたのです。 マイクロソフトは、ここ 1 年で話題となっていたその他のプライバシー問題に関連して、この問題についてもある程度検討を行っていました。スノーデン事件の発生以来、人々は自身の個人情報を他人がどのように取り扱っているのかということに高い関心を寄せています。マイクロソフトは、一企業として、市民のプライバシーの権利と政府の権力との適切なバランスに関する公的なディスカッションに積極的に参加し、政府が監視活動を行う際には正式な法的手続きと法規に依拠するべきだとの主張を続けてきました。 これまで、マイクロソフト独自の調査は明確に法的権利の範囲内で行われていましたが、マイクロソフトからの不正入手が疑われる人に関する独自調査も、同様の原則を適用し、正式な法的手続きを経て実施するべきであることは明白でした。そのため、こうした場合には、お客様の個人的なコンテンツをマイクロソフト自身が調査するのではなく、法執行機関と法的手続きに委ねるべきと判断しました。 また、マイクロソフトは今回のことで、お客様がインターネット経由でサービスを利用する際のプライバシー保護に関する重要な問題にも、改めて目を向けるようになりました。今回のような不正使用の調査以外に、お客様のプライバシー保護と、インターネット サービスやそのユーザーのセキュリティ保護とに深く関わる問題が発生した場合、その 2 つを最善のかたちで両立させるにはどうしたら良いのでしょうか。これは、技術部門全体にとって重要な問題です。そしてこれは、企業や業界が単体で解決しようとすべき問題ではなく、幅広いディスカッションから答えが得られる問題だと、マイクロソフトは考えます。 この理由から、これらの重要な問題を認識し、具体化して討論できるように、さまざまな関係者を集めてプロジェクトに着手するため、アドボカシー コミュニティに働きかけました。Center for Democracy and Technology…


米国政府による顧客データの要請に関する透明性の向上

(この記事は 2014 年 2 月 3 日に Microsoft on the Issues に投稿された記事 Providing additional transparency on US government requests for customer data の翻訳です)   投稿者: Brad Smith マイクロソフト法務本部ゼネラル カウンセル兼エグゼクティブ バイス プレジデント 先日、マイクロソフトは透明性に関する報告を更新し、政府による顧客データの要請に関連する新しい情報を公開しました。昨年の夏より、マイクロソフト、Google、その他複数の企業は米国政府を相手取って訴訟 (英語) を起こし、政府からの要請について、より詳細な情報を開示する法律および憲法上の権利を有することを主張してきました。これまで、外国情報監視法 (FISA) などの米国国家安全保障法に従って行われた法的命令に関しては、情報の開示が禁止されてきましたが、今回の訴訟では開示を許可するよう要求を行いました。 この訴訟と長い議論を経て、先日政府は初めて IT 企業に対し、FISA の命令に関するデータの公表を許可することに合意しました。公表できる内容については現在でも一部の制限が設けられていますが (以下で詳述)、国家安全保障局から米国政府を通じて受けた各種要請について、全体像を公開できるようになりました。 政府は、これらの要請に関するデータを、1,000 件単位 (1,000 未満は「0 ~ 999」とする) で公表することに合意しました。FISA のデータは 6 か月単位で収集されていますが、公表が可能になるのはレポート対象期間の最終日から 6 か月後です。 マイクロソフトの最新レポートでは、2013 年…


政府の詮索の手からお客様のデータを保護

(この記事は 2013 年 12 月 4 日に Microsoft on the Issues に投稿された記事 Protecting customer data from government snooping の翻訳です)   今回は、法務本部ゼネラル カウンセル兼エグゼクティブ バイス プレジデントを務める Brad Smith の記事をご紹介します。 多くのお客様が、政府によるインターネットの監視について深刻な懸念を抱いています。 マイクロソフトはお客様の懸念を理解し、政府がお客様のデータにアクセスする際に、テクノロジを利用した強引な方法ではなく、法的な手続きが経られるように対策を講じています。 多くの IT 企業と同様に、マイクロソフトが特に警戒しているのは、オンラインのセキュリティ対策を (さらに、マイクロソフトの見解では、法的な手続きや保護をも) かいくぐって、ひそかにお客様の個人データを収集するために、複数の政府が協力して幅広い活動を推し進めている疑いがあるという点です。特に、最近のメディアの報道によると、お客様とサーバー間、あるいは IT 企業のデータ センター間でお客様のデータが送受信される際に、政府が捜索令状や召喚令状を用意することなく、データの傍受および収集を行っている疑いがあるとのことです。 これが本当であれば、このような活動によってオンライン コミュニケーションのセキュリティとプライバシーへの信頼性が大きく傷つけられるおそれがあります。実際に、政府による詮索の可能性は、高度なマルウェアおよびサイバー アタックと共に、「高度な持続的脅威」と考えられるようになりました。 こうした疑いを踏まえて、マイクロソフトでは次の 3 つの分野において、早急に組織的な対策を講じることを決定しました。 サービス全体に暗号化を拡張。 お客様のデータに対して法的な保護を強化。 マイクロソフトの製品にバック ドアが含まれていないことをお客様がより簡単に確認できるように、ソフトウェア コードの透明性を向上。 以下に、マイクロソフトの取り組みについて詳細をご紹介します。 暗号化の拡張 マイクロソフトでは長年にわたり、製品およびサービスに暗号化を使用することで、オンライン犯罪やハッキングからお客様を保護してきました。お客様のデータに対して政府による不正なアクセスが行われたという直接の証拠はありませんが、万全の対策を講じて、この問題に真摯に対処する所存です。そのためには、総合的なエンジニアリングの取り組みを進め、マイクロソフトのネットワークおよびサービス全体に存在するお客様のデータの暗号化を強化する予定です。 この取り組みには、Outlook.com、Office 365、OneDrive、Microsoft Azure などの、マイクロソフトの主要なコミュニケーション、生産性、および開発者向けサービスが含まれ、お客様が作成したコンテンツのライフサイクル全体にわたる保護が提供されます。詳細は、以下のとおりです。 お客様とマイクロソフト間で送受信されるお客様のコンテンツが既定で暗号化されます。…