コンプライアンス マネージャーで評価を構築および管理する

コンプライアンス マネージャーの評価は、organizationが業界および地域の規制に対するコンプライアンスを評価するのに役立ちます。 organizationに最も関連する評価を設定すると、コンプライアンス リスクを制限するためのポリシーと運用手順を実装するのに役立ちます。 360 を超える規制のすぐに使用できる規制テンプレートには、評価を完了するために必要な制御と改善アクションが含まれています。

評価ページ

すべての評価は、[ 評価 ] ページの [コンプライアンス マネージャー] に一覧表示されます。 複数のサービスを対象とする評価を 1 つ作成できます。 たとえば、Microsoft 365、Microsoft Azure、Amazon Web Services (AWS)、および Google Cloud Platform (GCP) と をカバーする 1 つの EU GDPR 評価を作成できます。 評価の詳細ページには、すべてのサービスで行っている方法を評価するのに役立つ、サービスごとの制御の進行状況の内訳が表示されます。 評価の進行状況の監視の詳細については 、評価の詳細ページを参照してください。

データ保護ベースラインの既定の評価

作業を開始するために、Microsoft は Microsoft 365 データ保護ベースラインの既定の評価を提供します。 このベースライン評価には、データ保護と一般的なデータ ガバナンスに関する主要な規制と標準に対する一連の制御があります。 このベースラインは、主に NIST CSF (国立標準技術研究所のサイバー セキュリティ フレームワーク) および ISO (国際標準化機構) や、FedRAMP (米国連邦リスクおよび承認管理プログラム) および GDPR (一般データ保護規則) の要素を取り入れています。

この評価は、他の評価を構成する前に、コンプライアンス マネージャーに初めてアクセスするときに最初のコンプライアンス スコアを計算するために使用されます。 コンプライアンス マネージャーは、Microsoft 365 ソリューションから初期シグナルを収集します。 主要なデータ保護基準と規制に対するorganizationのパフォーマンスがひとめでわかります。また、推奨される改善アクションを参照してください。 コンプライアンス マネージャーは、organizationの特定のニーズを満たすために独自の評価を構築および管理する際に役立ちます。

評価を作成する前の初期手順

評価を作成するための準備に役立つ手順と情報の詳細を次に示します。

• 評価の グループ化戦略 を計画します。
• 評価のコントロールとアクションの推奨事項を含む 規制テンプレートについて説明します。
• Microsoft 以外 のサービスを 評価する場合は、コネクタを設定します。

評価のグループ

評価を作成するときは、それをグループに割り当てる必要があります。 グループは、年や規制など、またはorganizationの部門や地域に基づいて、論理的な方法で評価を整理できるコンテナーです。 そのため、評価を作成する前にグループ化戦略を計画することをお勧めします。 次に、2 つのグループとその基になる評価の例を示します。

• FFIEC IS 評価 2020
  • FFIEC IS
• データのセキュリティとプライバシーの評価
  • ISO 27001:2013
  • ISO 27018:2014

グループまたはグループ内の異なる評価によって、改善アクションが共有される場合があります。 改善アクションは、2 要素認証の有効化など、テナントにマップされている技術的なソリューション内で行った変更や、新しい職場ポリシーの作成など、システムの外部で実行する技術的でないアクションに対して行う変更です。 技術的な改善アクションに対して行った詳細または状態の更新は、すべてのグループの評価によって取得されます。 技術的ではない改善アクションの更新は、適用するグループ内の評価によって認識されます。 これにより、1 つの改善アクションを実装し、複数の要件を同時に満たすことができます。

グループを操作するときに知っておくべきこと

• 評価の作成プロセス中にグループを作成できます。
• グループをスタンドアロン エンティティにすることはできません。 グループには、少なくとも 1 つの評価が含まれている必要があります。
• グループ名は、organization内で一意である必要があります。
• グループにはセキュリティ プロパティがありません。 すべてのアクセス許可が評価に関連付けられます。
• 評価をグループに追加すると、グループ化を変更することはできません。
• 既存のグループに新しい評価を追加すると、そのグループ内の評価の一般的な情報が新しい評価にコピーされます。
• 同じグループ内のさまざまな評価の関連する評価コントロールは、完了すると自動的に更新されます。
• グループには同じ認定または規制に対する評価を含めることができますが、各グループに含めることができる評価は、特定の製品と認定のペアに対して 1 つだけです。 たとえば、グループには、Office 365と NIST CSF の 2 つの評価を含めることはできません。 1 つのグループに同じ製品に対して複数の評価を含めることができるのは、それぞれに対応する認定または規制が異なる場合のみです。
• 評価を削除すると、その評価とグループの間の関係が解除されます。
• グループは削除できません。

コネクタを設定する

コンプライアンス マネージャーには、Salesforce や Zoom などの Microsoft 以外のサービスに対応する評価を構築するための統合されたコネクタ セットがあります。 詳細については 、「コネクタの操作 」を参照して、セットアップ プロセスを開始します。

評価を作成する

開始する前に、割り当てるグループがわかっているか、この評価用に新しいグループを作成する準備をしておいてください。 グループと評価の詳細を確認します。 評価を作成するには、ガイド付きプロセスを使用して規制を選択し、サービスを指定します。

ガイド付きプロセスを使用して評価を作成する

1. [評価] ページ で 、[ 評価の追加] を選択して、評価の作成ウィザードを開始します。

2. [規制に基づく評価] ページで、[規制の選択] を選択して、評価の規制テンプレートを選択します。 [ 規制の選択] ポップアップ ページが開きます。

3. 検索ボックスを使用して目的の規制を見つけ、規制名の左側にある [チェック] バブルを選択します。 [ 保存] を選択し、選択内容を確認し、[ 次へ] を選択します。

4. [ 名前とグループの追加] ページで、次のフィールドに値を入力します。

   • 評価名: 評価名は一意である必要があります。 名前が任意のグループの別の評価と一致する場合は、別の名前を作成するように求めるエラーが表示されます。
   • 評価グループ: 次の 2 つの方法のいずれかで評価をグループに割り当てます。
     • 既存のグループを使用して 、既に作成したグループに割り当てます。または
     • この評価を割り当てる新しいグループを作成します。 このグループの名前を入力します。 また、適切なボックスを選択して、実装やテストの詳細やドキュメントなど、 既存のグループからデータをコピーすることもできます。

   完了したら、[次へ] を選択します。

5. [サービスの選択] ページで、[サービスの選択] コマンドを使用して、この評価が適用されるサービス (マルチクラウド サポートの詳細) を指定します。 ポップアップ ウィンドウには、選択した規制に使用できるサービスが表示されます。 目的のサービスの横にチェックを配置し、[追加] を選択します。 [次へ] を選択します。

   • 目的のサービスが一覧にない場合は、新しいサービスとして追加できます。 新しいサービスを追加すると、 基になる規制のユニバーサル バージョン が使用され、手動での実装とテスト作業が実行されます。 新しいサービスを追加するには:
     • [ サービスの選択 ] ページで、[ 新しいサービスの追加] を選択します。
     • サービスの名前と説明を入力します。
     • [追加] を選択します。 サービスは、評価の詳細ページの [サービス] セクションに表示されます。

6. クラウドのMicrosoft Defenderでカバーされる複数のサブスクリプションを持つサービスを選択した場合は、[サービス サブスクリプションの選択] のサブステップに進みます。 [ サブスクリプションの管理] を選択します。 ポップアップ ウィンドウの各サービスのタブには、そのサービス内のすべてのサブスクリプションの一覧が表示されます。 すべてのサブスクリプションが既定で選択されていますが、名前の横にある [X ] を選択すると、任意のサブスクリプションを削除できます。 [ サービスの選択 ] ページで、[ 次へ] を選択します。

7. レビューと完了: すべての選択内容を確認し、必要な編集を行います。 設定に問題がなければ、[ 評価の作成] を選択します。

次の画面では、評価が作成されたことを確認します。 [完了] を選択すると、新しい評価の詳細ページに移動します。 [評価の作成] を選択した後に [評価に失敗しました] 画面が表示された場合は、[再試行] を選択して評価を再作成します。

評価を編集する

評価を作成したら、評価を編集して名前を更新し、サービスとサブスクリプションを追加または削除できます。 評価を更新するには:

1. 評価の詳細ページで、右上隅にある省略記号を選択し、[ 評価の編集] を選択します。 評価の更新ウィザードが開きます。

2. [評価名の更新] ページで 評価名を更新 するか、そのままにして、[ 次へ] を選択します。

3. [ サービスの選択 ] ページで、サービスを追加または削除し、[ 次へ] を選択します。

4. [ サービス サブスクリプションの選択 ] ページで、[ サブスクリプションの管理 ] を選択してサブスクリプションに変更を加えます。 [次へ] を選択します。

5. 更新プログラムを確認し、[ 評価の変更 ] を選択して変更を保存します。

評価の進行状況と制御を監視する

各評価には詳細ページがあり、評価の完了の進行状況をひとめで確認できます。 このページには、サービスのパフォーマンスと、コントロールと改善アクションの状態が表示されます。 ページの左側にある [ 概要 ] セクションを展開して、評価のグループ、規制、関連するサービス、完了状態、説明など、評価に関する基本的な詳細を表示します。

[ 進行状況 ] タブには、評価の完了に向けた進行状況の割合が表示されます。 進行状況バーには、評価の対象となる各サービス内で達成されたポイントの数を示す内訳が表示されます。 サービスの詳細を表示して、各 サービスの詳細を取得します。 [コントロール ] タブで、評価内のすべてのコントロールとその現在の状態を表示します。[改善アクション] タブを評価するために、すべての改善アクションの状態にすばやくアクセス します。評価のために Microsoft によって処理されるアクションは、[ Microsoft のアクション] タブに一覧表示されます。

サービス別の評価の進行状況

評価の [進行状況] タブの [サービス] セクションは、サブスクリプション レベルでも、organization全体にわたって、各サービスに対する規制に関してどのように行っているかを理解するのに役立ちます。 評価は、利用可能なサブスクリプションと改善アクションの状態に関するデータを、Microsoft Defender for Cloud から取得します。 サブスクリプションのアクセシビリティに関連するすべてのエラーは、Defender for Cloud で対処する必要があります。 詳細については、「 クラウド設定の構成」 を参照してください。

[評価の進行状況バー] グラフの横または下、または右上のコマンド バーにある [サービスの詳細の表示] コマンドを選択して、詳細を表示するポップアップ ウィンドウを表示します。 [ サービスの詳細の表示 ] ポップアップ ウィンドウには、各サービスとその評価の完了に向けた進行状況が一覧表示されます。 サービス名の横にある [表示 ] を選択すると、サービス内の各サブスクリプションとその状態を一覧表示する別のウィンドウが表示されます。

サービスの詳細パネルには、評価の対象となるサービス内のサブスクリプションの一覧が表示されます。 [サービスの進行状況] カウンターは、達成可能なポイントの合計数から評価のためのサービスに関する改善アクションによって、これまでに達成されたポイントの数を示します。

評価を 編集することで、評価でカバーするサブスクリプションをサービスに追加できます。

コントロール タブ

[ コントロール ] タブには、評価の各コントロールの詳細情報が表示されます。 [コントロールの状態の内訳] グラフには、ファミリ別のコントロールの状態 (構成管理やインシデント対応など) が表示されるため、注意が必要なコントロールのグループを一目で確認できます。 内訳グラフの下にあるテーブルには、すべてのコントロールが一覧表示されます。 コントロール ファミリ、状態、およびサービスで一覧をフィルター処理できます。 次の表は、各コントロールに関する次の詳細を示しています。

• コントロール タイトル
• 状態: コントロール内の改善アクションのテスト状態:
  • 合格: すべての改善アクションのテスト状態が "成功" であるか、少なくとも 1 つが渡され、残りは "範囲外" です。
  • 失敗 しました 少なくとも 1 つの改善アクションのテスト状態は "failed" です。
  • なし: すべての改善アクションがテストされていません。
  • 範囲外: すべての改善アクションがこの評価の範囲外です。
  • 進行中: 改善アクションには、上記以外の状態があります。これには、"進行中"、"部分的なクレジット"、または "検出されない" が含まれる可能性があります。
• コントロール ID: 対応する規制、標準、またはポリシーによって割り当てられたコントロールの識別番号。
• 達成されたポイント: 達成可能な合計数のうち、アクションを完了することによって獲得したポイントの数。
• 改善アクション: 実行する合計数のうち完了したアクションの数。
• Microsoft アクション: Microsoft によって完了されたアクションの数。

一覧からコントロールを選択して、詳細ページを表示します。 グラフは、コントロール内の改善アクションのテスト状態を示します。 グラフの下の表に、そのコントロールの改善アクションの一覧を示します。 一覧から改善アクションを選択して、実装とテストを管理できる改善アクションの詳細ページにドリルインします。 改善アクションの操作の詳細を取得します。

[改善アクション] タブ

評価の詳細ページの [ 改善アクション ] タブには、コントロールのすべての改善アクションが一覧表示されます。 状態棒グラフでは、評価で改善アクションの集計されたテスト状態が詳細に表示されるため、テストされた内容とまだ何を行う必要があるかをすばやく測定できます。 バーのその状態のみを強調表示するには、テスト状態ラベルの上にマウス ポインターを合わせるか、選択します。

バーの下には、サービス、テストの状態、潜在ポイントと獲得ポイントの数、関連する規制と標準、適用可能なソリューション、アクションの種類、コントロール ファミリなど、すべてのアクションと重要な詳細が一覧表示されます。

サービスでフィルター処理して、サービスとその進行状況に関連するアクションを表示します。 テーブルから改善アクションを選択して詳細ページに移動し、そこから実装とテストを管理できます。 改善アクションの操作の詳細を取得します。

[Microsoft アクション] タブ

Microsoft 製品をサポートするテンプレートに基づく評価の [Microsoft アクション] タブが表示されます。 Microsoft によって管理される評価のすべてのアクションが一覧表示されます。 この一覧には、サービス、テストの状態、全体的なコンプライアンス スコアに貢献するポイント、関連する規制と標準、適用可能なソリューション、アクションの種類、制御ファミリなど、重要なアクションの詳細が表示されます。 改善アクションを選択して、その詳細ページを表示します。

個々の評価へのユーザー アクセス権を付与する

Microsoft Purview コンプライアンス ポータルでユーザーにコンプライアンス マネージャー ロールを割り当てると、すべての評価内のデータを既定で表示または編集できます (コンプライアンス マネージャーのロールの種類を確認します)。 評価内からユーザー ロールを管理することで、特定の評価にのみユーザー アクセスを制限できます。 この方法でアクセスを制限すると、特定の規制または標準への準拠を監視する役割を果たすユーザーが、職務を遂行するために必要なデータと情報にのみアクセスできるようになります。 ( 規制に対してユーザー アクセスを設定することもできます。これにより、ユーザーは、その規制に対して作成されたすべての評価にアクセスできます)。

監査やその他の目的でアクセスする必要がある外部ユーザーには、評価を表示し、テスト データを編集するためのロールを割り当てることもできます。 外部の個人にアクセスするには、Microsoft Entraロールを割り当てます。 ロールの割り当てについて詳しくは、こちらをご覧ください。

アクセス権を付与する手順

次の手順に従って、評価へのアクセス権をユーザーに付与します。

1. [ 評価] ページで 、アクセス権を付与する評価を見つけます。 それを選択して詳細ページを開きます。

2. 右上隅にある [ ユーザー アクセスの管理] を選択します。

3. [ ユーザー アクセスの管理 ] ポップアップ ウィンドウが表示されます。 これには、閲覧者、評価者、共同作成者の各ロールに対して 1 つずつ、3 つのタブがあります。 この評価のためにユーザーが保持するロールのタブに移動します。 現在評価にアクセスできるユーザーには、名前の左側にチェックマークが付いた青いボックスがあります。

4. 表示されているロール タブの [+ 追加] コマンドを選択します。 [閲覧者の追加] または [ アセプタの追加] または [共同作成者の追加] を選択します。

5. 別のポップアップ ウィンドウが表示され、organization内のすべてのユーザーが一覧表示されます。 追加するユーザー名の横にあるチェックボックスをオンにするか、検索バーに名前を入力してそこからユーザーを選択できます。 複数のユーザーを一度に選択できます。

6. すべての選択を行った後、[ 追加] を選択します。

   注:

   既存のロールを既に持っているユーザーにロールを割り当てると、選択した新しいロールの割り当てが既存のロールよりも優先されます。 この場合、ロールの変更を確認するように求める確認ボックスが表示されます。

7. ポップアップ ウィンドウが閉じ、評価の詳細ページに戻ります。 上部に確認メッセージが表示され、その評価の新しいロールの割り当てが確認されます。

アクセスを削除する手順

以下の手順に従って、個々の評価に対するユーザーのアクセス権を削除できます。

1. 評価の詳細ページで、[ ユーザー アクセスの管理] を選択します。

2. [ ユーザー アクセスの管理 ] ポップアップ ウィンドウで、削除するユーザーのロールに対応するタブに移動します。

3. ロールを削除するユーザーを見つけます。 名前の左側にある円を確認し、[ロール] タブのすぐ下にある [削除 ] コマンドを選択します。すべてのユーザーを一度に削除するには、すべてのユーザーの名前の横にある円を確認せずに [ すべて削除 ] コマンドを選択するだけです。

4. [アクセスの削除] ダイアログが表示され、削除の確認を求められます。 [ アクセスの削除] を選択 して、ロールの削除を確認します。

5. ポップアップ ウィンドウで [保存] を 選択します。 これで、ユーザーのロールが評価から削除されます。

評価にアクセスできるすべてのユーザーの広範なビューを取得する方法について説明します。

複数のロールに関する注意

• ユーザーは、評価に適用される 1 つのロールを持つ一方で、コンプライアンス マネージャーの全体的なアクセスに広く適用される別のロールを保持することもできます。

  • たとえば、Microsoft Purview コンプライアンス ポータルアクセス許可でコンプライアンス マネージャー閲覧者ロールをユーザーに割り当てた場合は、そのユーザーに特定の評価用のコンプライアンス マネージャー 評価者ロールを割り当てることもできます。 実際には、ユーザーは 2 つのロールを同時に保持しますが、データを編集する機能は、 評価者 ロールが割り当てられている評価に制限されます。
  • 評価ベースのロールを削除しても、ユーザーの全体的なコンプライアンス マネージャー ロールがある場合は削除されません。 ユーザーの全体的なロールを変更する場合は、Microsoft Purview コンプライアンス ポータルの [アクセス許可] ページから変更する必要があります。

• 個々の評価では、1 人のユーザーが一度に保持できる評価ベースのロールは 1 つだけです。

  • たとえば、ユーザーが GDPR 評価の閲覧者ロールを保持していて、それらを共同作成者ロールに変更する場合は、まず閲覧者ロールを削除してから、閲覧者ロールを再割り当てする必要があります。

評価の更新を受け入れる

評価で更新プログラムを使用できる場合は、通知が表示され、更新プログラムを受け入れるか、後で延期するかを選択できます。 Updatesは、コンプライアンス マネージャーで提供されている規制テンプレートに基づく評価に使用できます。 organizationが他の製品を評価するためにユニバーサル テンプレートを使用している場合、継承がサポートされていない可能性があります。

更新の原因

評価の更新は、スコアリングに影響を与える基になるテンプレートの変更がある場合に発生します。 変更には、規制の変更や製品の変更に基づいて制御マッピングやその他のガイダンスを調整する必要があります。 評価の更新は、organizationと Microsoft から発生する可能性があります。

拡張したコンプライアンス マネージャー テンプレートを Microsoft が更新した場合、評価は、受け入れるとそれらの更新プログラムを継承します。 評価では、評価を拡張したときに評価に適用した追加の属性が保持されます。

作成したカスタム評価は、Microsoft からテンプレートの更新プログラムを受け取りません。 カスタム評価では改善アクションの更新プログラムを受け取ることができますが、評価と改善アクションの間のマッピングを制御するための Microsoft の更新プログラムは、カスタム テンプレートには適用されません。

評価更新通知が表示される場所

評価の詳細ページには、 更新プログラムが含 まれる評価の横に [保留中の更新] ラベルも表示されます。 その評価を選択して、その詳細ページに移動します。

評価の詳細ページの上部近くのメッセージは、その評価に更新プログラムが利用可能であることを示しています。 バナーの [ 更新プログラムの確認 ] ボタンを選択して、特定の変更を確認し、更新を受け入れるか延期します。

評価の詳細ページには、その横に [保留中の 更新] ラベルがある改善アクションが一覧表示される場合もあります。 これらの更新プログラムは、改善アクション自体に対する特定の変更を対象とするため、個別に受け入れる必要があります。 詳細については、「 改善アクションの更新を受け入れる 」を参照してください。

更新プログラムを確認して受け入れるか延期します

評価の詳細ページから [ 更新プログラムの確認 ] を選択すると、画面の右側にポップアップ ウィンドウが表示されます。 ポップアップ ウィンドウには、保留中の更新に関する以下のキーの詳細が表示されます。

• テンプレート タイトル
• 更新プログラムのソース (Microsoft、organization、または特定のユーザー)
• 更新プログラムが作成された日付
• 更新プログラムの概要
• コンプライアンス スコアへの影響、評価の完了に向けた進行状況、改善アクションとコントロールに対する特定の変更の数など、変更に関する具体的な詳細。

[更新された テンプレート ] コマンドを選択すると、保留中の更新プログラムを含むテンプレートのバージョンのコントロール データを含む Excel ファイルがダウンロードされます。 [現在のテンプレート] コマンドを選択すると、更新プログラムなしで既存のテンプレートのファイルがダウンロードされます。

更新プログラムを受け入れて評価に変更を加えるには、[ 更新プログラムを受け入れる] を選択します。 受け入れられた変更は永続的です。

[キャンセル] を選択した場合、更新プログラムは評価に適用されません。 ただし、更新を承諾するまで、引き続き [更新待ち] 通知が表示されます。

• 更新プログラムの受け入れを推奨する理由: 更新プログラムを受け入れることは、ソリューションの使用と適切な改善アクションの実行に関する最新のガイダンスを確実に提供し、認定資格の要件を満たすのに役立ちます。

• 更新プログラムを延期する理由: 評価を完了している最中の場合は、コントロール マッピングが中断される可能性がある評価の更新を受け入れる前に、作業を完了していることを確認してください。 更新プログラムを後で延期するには、[更新プログラムの確認] ポップアップ ウィンドウで [キャンセル ] を選択します。

評価レポートをエクスポートする

評価を Excel ファイルにエクスポートして、organizationのコンプライアンス関係者、または外部監査者や規制当局に対してエクスポートできます。 評価の詳細ページで、ページの右上隅にある [エクスポート] アクション を選択します。これにより、保存して共有できる Excel ファイルが作成されます。 レポートは、エクスポートの日付と時刻の時点での評価のスナップショットです。 これには、実装状態、テスト日、テスト結果など、お客様と Microsoft の両方によって管理されるコントロールの詳細が含まれます。

評価を削除する

評価を削除すると、評価ページの一覧から削除されます。 評価の削除に関する次の重要な点に注意してください。

• 評価の削除は永続的です。元に戻すことはできません。 同じ評価をもう一度使用する場合は、もう一度作成する必要があります。
• 評価の改善アクションが他の評価に表示されない場合、評価が削除されると削除されます。
• 評価 を完全に削除する 前に、評価のレポートをエクスポートすることをお勧めします。

評価を削除するには、次の手順に従います。

1. 評価ページ で 、削除する評価を選択して、その評価の詳細ページを開きます。

2. 画面の右上隅にある [ 評価の削除 ] を選択します。

3. 評価を完全に削除することを確認するメッセージが表示されます。 [ 評価の削除] を選択 して、ウィンドウを閉じます。 評価がコンプライアンス マネージャーから削除されたことを確認するウィンドウが表示されます。