タグアーカイブ | Security

PCI DSS準拠 と ISO認証範囲の拡大

Windows Azure のセキュリティーやコンプライアンス情報については、
公式ページの「トラストセンター」(トップ>サポート>トラストセンター)セクション
http://www.windowsazure.com/ja-jp/support/trust-center/
にまとめられています。

このたび、Windows Azureは新にPCI DSS準拠の認定を取得しました。

PCI DSS 基準というのは、クレジットカード情報を安全に保存、伝送、処理するためのグローバルセキュリティ基準です。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で策定したものです。現在はver2.0 が有効になっています。

認定取得企業は、たとえば楽天では楽天カードが準拠認定を取得する前に楽天市場の決済プロセスが取得しているなど、必ずしもカード会社に限りません。

ただ、これまでもWindows Azure上で稼働しているサービスで決済関連のものがなかったというわけではありません。Azure上で稼働するサービスからIFRAMEなどで第三者のゲートウェイにリンクして、クレジットカード情報はリンク先で処理している場合には、そのゲートウェイがPCI DSS準拠であるかどうかが考慮の対象となります。つまり、稼働させるサービス(アプリケーション)自体がPCI DSS準拠になるかどうかは、こういったケースではAzureの準拠とは関係ありませんでした。

今回Windows Azure自体が PCI DSS準拠の認定を取得したことで、クレジットカード情報を直接保存するようなサービス(上記のケースでは第三者のゲートウェイ自体)も安心してAzure上に配置していただくことができるようになった、ということになります。

さて、今回のもう一点のお知らせは、これまでも取得していたISO/IEC 27001:2005 認証についてです。このたびの更新監査にて、認証対象となっている Windows Azure のサービスが拡大しました。現在の対象サービスの主なものは下記の通りです。

クラウドサービス 、 ストレージ (テーブル、BLOB、キュー)、仮想マシン仮想ネットワークTraffic ManagerWeb サイト、 BizTalk サービスメディアサービスモバイルサービスService Bus多要素認証Active DirectorySQL データベース (version 11.0.9164.000 以上)、HDInsight

昨年本社で関係者から聞いてから、発表を心待ちにしていました。今年は日本のデータセンターもサービスを始める年です。それに先立ったこの発表は個人的にもかなり嬉しいです。

関連リンク

トラストセンター > コンプライアンス:http://www.windowsazure.com/ja-jp/support/trust-center/compliance/ (現時点で英語ページのみ更新済み。日本語ページの更新は少しお待ち下さい)

PCI Security Standards Council ホームページ(日本語):https://ja.pcisecuritystandards.org/minisite/en/index.php

公式ブログ:http://blogs.msdn.com/b/windowsazure/archive/2014/01/16/announcing-pci-dss-compliance-and-expanded-iso-certification-for-windows-azure-general-availability-of-windows-azure-hyper-v-recovery-manager-and-other-updates-to-windows-azure.aspx (英語。日本語版は少しお待ち下さい)

クラウドと輸出管理規制 – 経産省通達で解釈が明確に

クラウドと輸出管理規制に関して新しい通達が出ました。

これまで、国外のクラウドサービス利用による情報の保管が外為法上の輸出管理規制の対象になるのかどうかの解釈が、必ずしも明確ではありませんでした。つまり、特定技術情報を保存することが外為法上の「輸出」にあたるのかどうか、というところが曖昧だったのです。

6月21日付けで経済産業省が出した通達(施行は9月1日から)で、この部分の解釈が明確化されました。

「輸出注意事項25第14号 外国為替及び外国貿易法第25条第1項及び外国為替令第17条第2項の規定に基づき許可を要する技術を提供する取引又は行為についての一部を改正する通達 (日本)」
http://www.jetro.go.jp/notice/announcement/51babdbc01f40

添付ファイル(PDF)
http://www.jetro.go.jp/biznews/attachment/51babdbc01f40.pdf

「情報を保管し利用するためのサーバーを提供するサービス(ストレージサービス)においては、当該サービス利用者が意図するとしないとにかかわらず、国外に設置されたサーバーに情報が保管される可能性がある。
他方で、ストレージサービスを利用するための契約は、サービス利用者が自らが使用するためにサービス提供者のサーバーに情報を保管することのみを目的とする契約である限りにおいて、サービス利用者からサービス提供者等に情報を提供することを目的とする取引にあたらないため、外国に設置されたサーバーに特定技術が保管される場合であっても、原則として外為法第25条第1項に規定する役務取引に該当せず、同条に基づく許可を要しない。したがって、外為法第25条第3項の対象にも該当しない。」

「サーバー上に存在するプログラム(アプリケーションソフトウェア等)を、インターネットを介して、他者がダウンロードすることなく利用できる状態にするサービス(SaaS等)を提供することは、プログラムをサービス利用者にとって利用できる状態に置くことを目的とする取引であり、提供を目的とする取引にあたるため、当該プログラムが特定技術であれば、外為法第25条
第1項に定める役務取引に該当する。」

詳しくは全文を参照いただきたいですが誤解を恐れずに要約すると、

  • PaaS や IaaS を利用する場合は、データの保存先が国外であってもサービス提供者に対する輸出にはあたらない
  • 特定技術にあたるプログラムをSaaS提供する場合は、 役務取引に該当することがある

ということになります。

パブリッククラウドのサービスを利用するに際して、輸出管理規制が気になっていた方もいらっしゃるかもしれませんが、この通達によって解釈が明確になりましたね。

また、Windows Azureは日本リージョンの開設も今後予定されています(こちらご参照)。併せてご検討の上でご利用ください。

米国愛国者法とWindows Azure

クラウドの利用にあたって米国愛国者法(パトリオット法)の影響と懸念は、よく話題に上がります。

先日(5月23日)、Windows Azureの日本リージョンデータセンター開設計画が発表されましたが

日本にデータセンターがあっても米国愛国者法の影響下にあるから…と懸念されるコメントも聞きました。

そこで、今回は米国愛国者法に対する誤解について重要なふたつのポイントをとりあげます。

#詳細な情報は、最後にご紹介している文献などをご参照下さい。ここではBusiness面からWindows Azure利用を検討される方のために、ふたつのポイントに絞って記載しています。

  1. マイクロソフトは米国系企業だから、データセンターがどこにあっても米国愛国者法の対象になる。ー 誤解があります

      • 「米国系企業」または「米国に本社がある企業」が対象、と誤解されがちですが、米国に「存在がある」企業であれば、データの管理や保持をしている限りは米国愛国者法の対象にはなります。情報の存在場所には関わりません。
      • Microsoftは、もちろん米国に存在がある企業ですので、その意味で米国愛国者法の対象にはなります。「米国系企業だから」ではありません。そして、米国に存在がある企業であれば、日本企業でも対象にはなり得ます。

     

  2. 米国愛国者法はクラウド事業者に顧客の情報の開示を強制できる。 ー 誤解があります

      • 米国愛国者法は、テロ行為などの阻止を目的とした法律です。テロ活動にまったく関わりのない一般企業の情報の開示を、この法律があるからと米国政府がクラウド事業者に求めることはありません。
      • この法律は、捜査上の手続きを簡略化するためのものであり、この法律だけで新たにオンラインデータに米国政府がアクセスできるようになったわけではありません。
      • 政府は、事業者に情報提供を請求する際に、顧客にそのことを通知することを基本的に許しています。Microsoftを含むどの事業者でも、請求を受けた場合にはまずお客様に連絡をして許可を求めるように対応するのが一般的です。
      • 日本の国内のデータセンターに対しては、米国政府はきちんと日本の当局と相談の上でプロセスを進めるであろうことは、米国大使館で行われたセミナー参加者による記録でも記載されています(このセミナー、当初参加予定だったのですが、急な日程変更で参加できなかったのです。残念でした)。米国政府が勝手な強制力を持って操作を進めるようなことは、実際にはないものと解釈できます。
参考文献

USA PATRIOT Act and the Use of Cloud Services (Covington & Burling LLP) :

http://www.insideprivacy.com/cloud-computing/usa-patriot-act-and-the-use-of-cloud-services/

USAパトリオット法とクラウド・サービスの利用  質疑応答(上記記事の日本語訳):

http://www.insideprivacy.com/resource_center/Covington%20Cloud%20Info%20and%20Patriot%20Act_Japanese.pdf

インターネット新時代の法律実務Q&A(日本加除出版):

http://www.kajo.co.jp/book/40475000001.html

海外展開時に誤解しがちなクラウドの課題を再考する(マイクロソフト Enterprise Customer Careサイト スペシャルコンテンツ):

http://www.microsoft.com/ja-jp/business/enterprise/ecc/article/cxo1303_global-it-infra.aspx

 

なお、Windows Azureのセキュリティーやコンプライアンスの情報については、Windows Azure トラストセンターのページ(http://www.windowsazure.com/ja-jp/support/trust-center/)をご参照下さい。

 

Windows Azureのセキュリティ、プライバシー、コンプライアンス関連情報

(2013年2月4日追記)Trust Centerの日本語版ページができました。日本語ページのタイトルは「Windows Azure セキュリティ センター」ですが、内容は下記と同じです。

http://www.windowsazure.com/ja-jp/support/trust-center/

Windows Azureの公式サイトにはセキュリティ、コンプライアンスなど情報を記載した「Trust Center」というページがあります。

サポートセクションの下にあるこのページ、残念ながら現在は英語でしか用意されていません(他言語のページは2013年1月公開予定です)。言語を英語に設定した際には”legal” (法的情報)のあとにセクション名がリンクされていますが、

TC01

他の言語設定ではtrust centerセクションのリンク自体が表示されていません(言語設定はページ左下隅の言語名をクリックすることで変更できます)。

このため、Azureをよく使っていても、このTrust Centerのことを知らない方もいらっしゃるようです。

今回は、日本語ページができるまでの暫定として、簡単に内容をご紹介します。

Trust Centerには大きく4つのセクションがあります。

TC-sections1

セキュリティ情報のセクションです。以前このブログでも紹介した「セキュリティとプライバシーに関するRFI(情報提供依頼書)への標準回答」の紹介のほか、侵入テストやその他Windows Azureのプラットフォームとしてのセキュリティや、セキュリティを考慮した開発、設計のためのドキュメントリンクがあります。

TC-sections2

プライバシー関連情報のセクションです。顧客データの保存場所やその扱いについて、そしてEUデータ保護指令について(Safe Harbor 認定を受けています)紹介しています。

TC-sections3

公的認証関連はこちらのセクションです。現在Windows Azureのコアサービス(クラウドサービス、ストレージ、ネットワーク、仮想マシン)について下記のような状況になっています。

・  ISO27001の認証取得

・ SSAE 16 ISAE 3402  (SAS70の2011年6月15日以降の新基準)の(SOC 1)Type 2準拠報告書入手可能

・ EU Model Clauses(EUモデル契約条項)締結可能

・ HIPAA BAA締結可能

TC-sections3-1

TC-sections4

最後はFAQセクションです。セキュリティやコンプライアンス関連のよくある質問に対する回答集です。

関連情報

Trust Center: http://www.windowsazure.com/en-us/support/trust-center/

セキュリティとプライバシーに関するRFI(情報提供依頼書)への標準回答を公開:   https://ayakotan.wordpress.com/2012/04/10/stdres-to-rfi-securityandprivacy/

セキュリティとプライバシーに関するRFI(情報提供依頼書)への標準回答 日本語版を公開

以前ご紹介した「セキュリティとプライバシーに関するRFI(情報提供依頼書)に対する標準回答」の
日本語版が公開されました。

下記のページで「Standard Response to Request for Information Windows Azure Security Privacy.docx」をダウンロードできます。

http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=6dd73e12-95d9-4834-98b4-49bd65a85cbe

 

関連情報

セキュリティとプライバシーに関するRFI(情報提供依頼書)への標準回答を公開
https://ayakotan.wordpress.com/2012/04/10/stdres-to-rfi-securityandprivacy/

セキュリティとプライバシーに関するRFI(情報提供依頼書)への標準回答を公開

Windows Azure Platform に関連するセキュリティ、プライバシー、コンプライアンス情報とFAQをまとめた
Windows Azure Trust Center が公開されたことはすでにご存知かもしれませんが、
この中でNon-techの方にも注目していただきたい情報についてお知らせします。

Relentless on Security の “LEARN MORE” から

Standard Response to Request for Information: Security and Privacy に行ってください。

“StandardResponsetoRequestforInformationWindowsAzureSecurityPrivacy.docx” というドキュメントがダウンロードできるようになっています。

このドキュメントはCloud Security Alliance (CSA) というNPO団体が定義している、 Cloud Control Matrix (セキュリティ、コンプライアンス、リスク管理の要件)を Windows Azure core service (コンピューティング、ストレージ、仮想ネットワーク)がどのように満たしているかについて説明しています。

#SQL  Azure、サービスバス、Marketplace、コンテンツ配信ネットワーク(CDN)はこのドキュメントの対象外です。

各項目には、簡潔な回答の文章のあとに、該当するISO27001のドキュメントのどこに詳細情報が記述されているかも示されています。

データセンターの物理セキュリティや運用に関するプロセスや管理体制など、多岐にわたる情報について回答を記述しています。簡潔な回答の部分だけでも、かなりの内容を知っていただくことができます。

日本には、SaaSの安全性、信頼性について(財)マルチメディア振興センターが運営する「ASP・SaaS安全・信頼性に係る情報開示認定制度」がありますが、この制度で開示する情報と重なっている部分もあります。

ぜひご一読を…と言いたいところですが、英文で50ページあります。英語が問題ない方はすぐにどうぞ。
日本語訳も鋭意準備中です。日本語版が公開された時にはまたお知らせしますので、しばらくお待ちください。

(2012年6月14日追記)

お待たせしました。日本語版が公開されました。下記のページで「Standard Response to Request for Information Windows Azure Security Privacy.docx」をダウンロードできます。

http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=6dd73e12-95d9-4834-98b4-49bd65a85cbe

 

関連情報 CSA(Cloud Security Alliance):https://cloudsecurityalliance.org/