Visual Studio Online で ISO 27001 認定を取得、EU モデル条項を追加

昨年 12 月に、Visual Studio Online が ISO 27001 認定 (Wikipedia (英語)) を取得し、サービス利用規約に EU モデル条項が追加されるという大きなニュースを発表しました。

マイクロソフトは、お客様のデータを厳重に保護し、データの安全性確保に全力で取り組むと共に、当社のサービスを提供するあらゆる地域で必要とされるポリシーに準拠することに努めています。この 2 つの成果は、マイクロソフトが自ら定めるポリシーへの遵守を保証し、文書化すること推し進めるうえで重要な一歩です。

下の画像が、今回取得した ISO 27001 認定書です (恥ずかしくも、自慢したい気分なのです)。

EU モデル条項に関する記述は、こちらのページ (英語) の『マイクロソフト オンライン サービス条件』ドキュメントの「追加の欧州関連の条件」セクションをご覧ください。

このドキュメントは、Visual Studio チームが数か月間かけて、Visual Studio Online の幅広い構築プロセスと運用プロセスを明確に定義し、文書化したものです。これにより、お客様のデータをあらゆる段階で確実に保護することが可能になります。

チームの努力が実ったことをたいへんうれしく思います。これを励みに、私たちは引き続き認定の取得に取り組んでまいります。

認定について

皆様はどう思われるかわかりませんが、私自身はプロセスの認定にこれほど深く携わることになるとは想像もしていませんでした。認定と言っても、ISO、SOC、HIPPA、FISMA、FedRAMP など、目まいがするほど数多くの種類があります。そしてどの認定も、長々とした難解な文書と謎に包まれた監査/認定プロセスを伴うことが珍しくありません。

この 1 年は自分で考えていた以上に多くのことを学びました。一般的な認定もあれば、業種に特化したものもありますが、それら全体の工程を理解するのはとてもたいへんな作業です。ISO 27001 は多くの場合、手始めに取得する認定とされており、一般に広く使用され、追加の認定を取得しようとする際にも必要になります。

ISO 27001 認定では、顧客データの保護に関して幅広くカバーする遵守方法と手続きを文書化したものについて、独立機関によって認証が行われます (詳細については、冒頭で触れた Wikipedia の記事をご覧ください)。ISO 27001 は、遵守方法がどうあるべきかという見解を示すものではありません。企業が遵守方法を確立し、それらが自社のビジネスや顧客の要件を満たしているかについて評価を行っていることを保証するものです。また、常にポリシーに準拠していることを認定するわけではありません。単にポリシーを定めていること、ポリシーが必要な要件を満たしていること、企業の担当者がポリシーについて理解していることを認定しています。たとえば、私のチームのメンバーは、遵守方法を心得ているかどうか監査担当者から聞き取り調査を受けました。

ISO 27001 は、私たちの取り組みの最終目標ではなく、始まりにすぎません。マイクロソフトがお客様のデータの保護について真摯に考え、改善に向けて取り組んでいる証です。次のステップはおそらく、SOC の認定取得です。SOC は ISO を土台とし、ドキュメント化されている手続きに実際に従っていることを一定期間にわたって証明するものです。コンプライアンスの「階層」のさらなる上に位置する認定は、プロセス内に定めるべきことをより厳格な観点で捉えています。また、さらなる監査も (そして費用も) 伴います。

皆様にとってはあまり興味のない内容だったかもしれませんが、知識の一端としてお役立ていただければ幸いです。

Visual Studio Online のコンプライアンスと認定に関する今後の進展にご注目ください。

Brian