エクスポート制御の Azure サポート

エクスポート管理ルールをナビゲートするために、Microsoft は Microsoft Azure エクスポート コントロール ホワイトペーパーを公開しました。 特にソフトウェアや技術データに適用される米国の輸出管理について説明し、輸出管理リスクの潜在的な原因をレビューし、これらの管理に基づく義務を評価するのに役立つ具体的なガイダンスを提供します。 追加情報は、 Microsoft 製品のエクスポートに関するよく寄せられる質問からアクセスできる Cloud Export FAQ から入手できます。

輸出管理法の概要

輸出関連の定義は、輸出管理規制によって多少異なります。 簡単に言えば、輸出とは、制限された情報、材料、機器、ソフトウェアなどを何らかの手段で外国人または外国の目的地に転送することを意味します。 米国の輸出管理政策は、主に商務省、国務省、エネルギー省、原子力規制委員会、および財務省によって管理される輸出管理法および規制を通じて施行されています。 各部門内の各機関は、表1に示すように、過去の管理に基づいて輸出管理の特定の領域を担当しています。

表 1. 米国の輸出管理法および規制

この記事には、現在の米国の輸出管理規制、クラウド コンピューティングに関する考慮事項、および輸出管理要件をサポートする Azure の機能とコミットメントのレビューが含まれています。

耳

米国商務省は、産業安全保障局(BIS)を通じて輸出管理規則(EAR)を施行する責任があります。 BIS の定義によれば、輸出とは、保護された技術または情報を外国の目的地に転送すること、または保護された技術または情報を米国内の外国人に公開することであり、みなし輸出とも呼ばれます。 EARの対象となる品目は 、商取引管理リスト(CCL)に掲載されており、各品目には固有の 輸出管理分類番号(ECCN) が割り当てられています。 CCLに記載されていない品目はEAR99に指定されており、ほとんどのEAR99商用製品は輸出にライセンスを必要としません。 ただし、アイテムの宛先、エンド ユーザー、またはエンド ユースによっては、EAR99 アイテムであっても BIS エクスポート ライセンスが必要になる場合があります。

EARは、商用および軍事用の両方のアプリケーションを持つデュアルユースアイテムと、純粋に商用アプリケーションを持つアイテムに適用されます。 BIS は、クラウド サービス プロバイダー (CSP) が、顧客がクラウド サービスを使用しているため、顧客のデータを輸出していないというガイダンスを提供しています。 さらに、2016年6月3日に発表された 最終規則 で、BISは、機密扱いでない技術データおよびソフトウェアの送信および保存が、連邦情報処理標準(FIPS)140検証済みの暗号化モジュールを使用してエンドツーエンドで暗号化され、軍事禁輸措置が取られた国/地域、つまり パート740の補足No.1 に記載されている国/地域グループD:5に意図的に保存されていない場合、EARライセンス要件は適用されないことを明確にしましたEARの、またはロシア連邦で。 米国商務省は、データまたはソフトウェアがクラウドにアップロードされる場合、そのデータまたはソフトウェアへの転送、保存、およびアクセスがEARに準拠していることを確認する責任がある の は、クラウドプロバイダーではなく顧客であることを明確にしています。

Azure と Azure Government はどちらも、EAR コンプライアンス要件を満たすのに役立ちます。 香港特別行政区の Azure リージョンを除き、Azure と Azure Government のデータセンターは、禁止されている国/地域やロシア連邦にはありません。

Azure サービスは、基になるオペレーティング システムの FIPS 140 検証済み暗号化モジュールに依存しており、Azure Key Vault を使用した暗号化キー管理など、転送中および保存中のデータを暗号化するための多くのオプションを提供します。 Key Vault サービスでは、お客様の制御下にある FIPS 140 検証済みハードウェア セキュリティ モジュール (HSM) ( カスタマー マネージド キー (CMK)) に暗号化キーを格納できます。 Azure Key Vault HSM 内で生成されたキーはエクスポートできません。HSM の外部にクリア テキスト バージョンのキーを含めることはできません。 このバインディングは、基になる HSM によって適用されます。 Azure Key Vault は、Microsoft とそのエージェントが暗号化キーを表示または抽出しないように設計、デプロイ、運用されています。 追加の保証については、「Azure Key Vault でキーを保護する方法」を参照してください。

アプリケーションとデータをデプロイするために Azure または Azure Government リージョンを選択するのは、お客様の責任です。 さらに、EAR要件を満たすエンドツーエンドのデータ暗号化を適用するようにアプリケーションを設計する責任があります。 Microsoft は、Azure または Azure Government にデプロイされたアプリケーションを検査、承認、または監視しません。

Azure Government は、顧客データの米国でのストレージに関する契約上のコミットメントを通じて、データを処理するシステムへの潜在的なアクセスを スクリーニングされた米国人に制限することで、追加の保護レイヤーを提供します。 EAR の Azure サポートの詳細については、「 Azure EAR コンプライアンス オファリング」を参照してください。

ITAR

米国国務省は、国防貿易管理局(DDTC)が管理する国際武器取引規則(ITAR)に基づき、防衛用品、サービス、および関連技術に対する輸出管理権限を持っています。 ITARの保護下にある品目は、 米国軍需品リスト(USML)に記載されています。 USMLで定義されている防衛用品、サービス、および関連技術の製造者、輸出業者、およびブローカーである場合は、DDTCに登録し、ITARを理解して遵守し、ITARに従って運営していることを自己証明する必要があります。

DDTCは、2020年3月25日に 発効したITAR規則を改訂 し、EARとより緊密に連携させました。 これらのITAR改訂では、米国商務省が2016年にEARに採用したのと同じ用語の多くを組み込んだエンドツーエンドのデータ暗号化カーブアウトが導入されました。 具体的には、改訂されたITAR規則では、輸出、再輸出、再転送、または一時的な輸入を構成しない活動には、(他の活動の中でも特に)1)未分類、2)エンドツーエンドの暗号化を使用して保護、3)規則で規定されているFIPS 140準拠の暗号化モジュールを使用して保護、4) §126.1で禁止されている国/地域の 人物に意図的に送信または保存されていない技術データの送信、取得、または保存が含まれるとされていますまたはロシア連邦、および 5) § 126.1 で禁止されている国/地域またはロシア連邦から送付されていないもの。 さらに、DDTCは、インターネット経由で転送中のデータは保存されているとは見なされないことを明確にしました。 エンドツーエンドの暗号化とは、データが発信者と目的の受信者の間で常に暗号化され、復号化の手段が第三者に提供されないことを意味します。

ITARコンプライアンス認証はありません。ただし、Azure と Azure Government はどちらも、ITAR コンプライアンスの義務を果たすのに役立ちます。 香港特別行政区の Azure リージョンを除き、Azure と Azure Government のデータセンターは、禁止されている国/地域やロシア連邦にはありません。 Azure サービスは、基になるオペレーティング システムの FIPS 140 検証済み暗号化モジュールに依存しており、Azure Key Vault を使用した暗号化キー管理など、転送中および保存中のデータを暗号化するための多くのオプションを提供します。 Key Vault サービスでは、お客様の制御下にある FIPS 140 検証済みハードウェア セキュリティ モジュール (HSM) ( カスタマー マネージド キー (CMK)) に暗号化キーを格納できます。 Azure Key Vault HSM 内で生成されたキーはエクスポートできません。HSM の外部にクリア テキスト バージョンのキーを含めることはできません。 このバインディングは、基になる HSM によって適用されます。 Azure Key Vault は、Microsoft とそのエージェントが暗号化キーを表示または抽出しないように設計、デプロイ、運用されています。 追加の保証については、「Azure Key Vault でキーを保護する方法」を参照してください。

アプリケーションとデータをデプロイするために Azure または Azure Government リージョンを選択するのは、お客様の責任です。 さらに、ITAR 要件を満たすエンドツーエンドのデータ暗号化を適用するようにアプリケーションを設計する責任があります。 Microsoft は、Azure または Azure Government にデプロイされたアプリケーションを検査、承認、または監視しません。

Azure Government は、顧客データの米国でのストレージに関する契約上のコミットメントを通じて、データを処理するシステムへの潜在的なアクセスを スクリーニングされた米国人に制限することで、追加の保護レイヤーを提供します。 Azure での ITAR のサポートの詳細については、「 Azure ITAR コンプライアンス オファリング」を参照してください。

DoE 10 CFR Part 810

米国エネルギー省(DoE)の輸出管理規則10 CFR Part 810は、1978年原子力不拡散法(NNPA)第302条により改正された、1954年原子力法(AEA)第57b条(2)を施行しています。 これは、国家核安全保障局(NNSA)によって管理されています。 改訂されたパート810(最終規則)は2015年3月25日に発効し、とりわけ、機密扱いではない原子力技術と支援の輸出を管理しています。 米国から輸出された原子力技術が平和目的にのみ使用されることを保証することにより、平和的な原子力貿易を可能にします。 パラグラフ810.7(b)は、機密性の高い核技術を外国のエンティティに提供または移転するには、特定のDoEの許可が必要であると述べています。

Azure Government は、Azure 運用担当者の間で情報とシステムへのアクセスを米国人に制限する特定の制御を実装するように設計されているため、DoE 10 CFR Part 810 輸出管理要件を満たすのに役立ちます。 Azure Government にデータをデプロイする場合は、独自のセキュリティ分類プロセスに責任を持つ必要があります。 DoEの輸出規制の対象となるデータについては、AEAのセクション148によって確立された 未分類の規制核情報(UCNI) 規制によって、分類システムが強化されています。 DoE 10 CFR Part 810 の Azure サポートの詳細については、「 Azure DoE 10 CFR Part 810 コンプライアンス オファリング」を参照してください。

NRC 10 CFRパート110

原子力規制委員会(NRC)は、10 CFR Part 110輸出管理規則に基づく原子力機器および材料の輸出入を担当しています。 NRCは、原子力施設および関連機器および材料の輸出入を規制しています。 NRCは、エネルギー省の管轄下にあるこれらの品目に関連する原子力技術と支援を規制していません。 したがって、 NRC 10 CFR Part 110 規制 は、Azure または Azure Government には適用されません。

OFAC制裁法

米国外国資産管理局(OFAC)は、米国の外交政策および国家安全保障の目標に基づき、標的となる外国/地域、テロリスト、国際麻薬密売人、および大量破壊兵器の拡散に関連する活動に従事する団体に対する経済制裁および貿易制裁を管理および執行する責任を負っています。

OFACは、禁止されている取引を、OFACによって許可されているか、法律によって明示的に免除されていない限り、米国人が関与できない貿易取引または金融取引およびその他の取引と定義しています。 ウェブベースのインタラクションについては、OFACが発表した一般的なガイダンスである FAQ No.73 を参照し、例えば、「電子商取引を促進または関与する企業は、顧客を直接知るために最善を尽くすべきである」と明記されています。

Microsoft Online Services の契約条件 データ保護補遺 (DPA) に記載されているように、"Microsoft は、お客様またはお客様のエンド ユーザーがお客様のデータにアクセスまたは移動できる地域を制御または制限しません。" Microsoft オンライン サービスの場合、Microsoft はデュー デリジェンスを実施して、OFAC 禁輸国/地域のエンティティとの取引を防ぎます。 たとえば、制裁対象では Azure サービスのプロビジョニングが許可されていません。 OFACは、BISがEARに対して提供したガイダンスのように、みなし輸出に関してクラウドサービスプロバイダーと顧客を区別するガイダンスを発行していません。 そのため、Azure にデプロイされた Web サイトを含むアプリケーションを含む オンライン トランザクションから制裁対象を除外するのは、お客様の責任 となります。 Microsoft は、Azure にデプロイされた Web サイトへのネットワーク トラフィックをブロックしません。 OFACは、顧客がIPテーブルの範囲に基づいてアクセスを制限できると述べていますが、このアプローチではインターネットのコンプライアンスリスクに完全には対処できないことも認識しています。 したがって、OFACは、eコマース企業が顧客を直接知ることを推奨しています。 Microsoft は、Azure にデプロイされたアプリケーションを操作するエンド ユーザーを直接知る責任を負わず、その手段もありません。

OFAC制裁は、「制裁対象とされたビジネスを行う」こと、つまり、貿易、決済、金融商品などの取引を防止するために設けられています。 OFAC の制裁措置は、禁止されている国/地域の居住者が公開 Web サイトを閲覧するのを防ぐことを意図したものではありません。

輸出管理要件の管理

Azure の使用が米国の輸出規制にどのように影響するかを慎重に評価し、クラウドに保存または処理するデータのいずれかが輸出規制の対象となる可能性があるかどうかを判断する必要があります。 Microsoft は、Azure を使用する際の輸出管理義務を果たすのに役立つ契約上のコミットメント、運用プロセス、および技術的機能を提供します。 次の Azure 機能は、潜在的な輸出管理リスクの管理に役立ちます。

• データの場所を制御する機能 – データの保存場所を可視化し、データストレージを単一の地域または国/地域に制限するための堅牢なツールを利用できます。 たとえば、データを米国または選択した国/地域に保存し、対象国/地域外への管理された技術/技術データの転送を最小限に抑えることができます。 お客様のデータは、EARおよびITARのルールに準拠して、意図的に不適合な場所 に保存され ることはありません。
• エンドツーエンドの暗号化 – データは発信者と意図した受信者の間で常に暗号化され、復号化の手段は第三者に提供されないことを意味します。 Azure は、基になるオペレーティング システムの FIPS 140 検証済み暗号化モジュールに依存しており、Azure Key Vault を使用した暗号化キー管理など、転送中および保存中のデータを暗号化するための多くのオプションを提供します。 Key Vault サービスでは、お客様の制御下にある FIPS 140 検証済みハードウェア セキュリティ モジュール (HSM) ( カスタマー マネージド キー (CMK)) に暗号化キーを格納できます。 Azure Key Vault は、Microsoft とそのエージェントが 暗号化キーを表示または抽出しないように設計、デプロイ、運用されています。
• データへのアクセスの制御 – 誰がどのような条件でデータにアクセスできるかを把握し、制御できます。 Microsoft テクニカル サポート担当者は、お客様のデータに対する既定のアクセス権を必要としません。 まれに、サポート要求の解決にデータへの昇格されたアクセスが必要な場合、 Azure のカスタマー ロックボックス では、データ アクセス要求の承認または拒否を担当します。
• 不正なみなし輸出/再輸出を防止するためのツールとプロトコル - EARおよび ITARのエンドツーエンド暗号化 の物理的な保管場所のセーフハーバーとは別に、暗号化の使用は、米国以外の人が暗号化されたデータにアクセスできる場合でも、暗号化されている間はデータを読み取ったり理解したりできない非米国人には何も明らかにされないため、潜在的なみなし輸出またはみなし再輸出から保護するのに役立ちます。 ただし、ITARは、ITAR技術データを復号化することを可能にする情報へのアクセスを外国人に付与する前に、ある程度の許可を必要とします。 Azure には、幅広い暗号化機能とソリューション、暗号化オプションから選択できる柔軟性、暗号化を管理するための堅牢なツールが用意されています。

顧客データの場所

Microsoft は、クラウド サービスのデータ所在地と転送ポリシーに関して、お客様の強力なコミットメントを提供します。 ほとんどの Azure サービスはリージョンごとにデプロイされるため、サービスをデプロイするリージョン (米国など) を指定できます。 このコミットメントにより、米国の地域に保存されている 顧客データは 米国に残り、米国外の別の地域に移動されることはありません。

データの暗号化

Azure には、さまざまな暗号化モデルなど、 データ暗号化を使用してデータを保護するための広範なサポートがあります。

• サービスマネージド キー、Azure のカスタマー マネージド キー (CMK)、または顧客が管理するハードウェアの CMK を使用するサーバー側暗号化。
• オンプレミスまたは別のセキュリティで保護された場所にキーを管理および格納できるクライアント側の暗号化。

データ暗号化は、暗号化キー アクセスに直接関連付けられている分離保証を提供します。 Azure ではデータ暗号化に強力な暗号が使用されるため、暗号化キーにアクセスできるエンティティのみがデータにアクセスできます。 暗号化キーを取り消すか削除すると、対応するデータにアクセスできなくなります。

FIPS 140検証済み暗号化

連邦情報処理標準 (FIPS) 140 は、情報技術製品の暗号化モジュールの最小セキュリティ要件を定義する米国政府の標準です。 標準の現在のバージョンである FIPS 140-3 には、暗号化モジュールの設計と実装に関連する 11 の領域をカバーするセキュリティ要件があります。 Microsoft は、 FIPS 140 の要件を満たすための積極的な取り組みを維持しており、2001 年の標準の開始以来、暗号化モジュールを検証してきました。 Microsoft は、米国国立標準技術研究所 (NIST ) の暗号化モジュール検証プログラム (CMVP) の下で暗号化モジュールを検証しています。 多くのクラウド サービスを含む複数の Microsoft 製品では、これらの暗号化モジュールが使用されています。

現在の CMVP FIPS 140 実装ガイダンスでは、クラウド サービスの FIPS 140 検証は除外されていますが、クラウド サービス プロバイダーは、クラウド サービスを構成するコンピューティング要素に対して FIPS 140 検証済みの暗号化モジュールを取得して運用できます。 Azure は、ハードウェア、市販のオペレーティング システム (Linux と Windows)、および Azure 固有のバージョンの Windows を組み合わせて構築されています。 Microsoft セキュリティ開発ライフサイクル (SDL) を通じて、オペレーティング システムはハイパースケール クラウドで動作する際に FIPS 140 承認アルゴリズムを使用するため、すべての Azure サービスはデータ セキュリティに FIPS 140 承認アルゴリズムを使用します。 対応する暗号化モジュールは、Microsoft Windows FIPS 検証プログラムの一部として FIPS 140 で検証されています。 さらに、独自の暗号化キーやその他のシークレットをFIPS 140検証済みハードウェアセキュリティモジュール(HSM)に保存できます。

暗号化キーの管理

データセキュリティには、暗号化キーの適切な保護と管理が不可欠です。 Azure Key Vault は、シークレットを安全に格納および管理するためのクラウド サービスです。 Key Vault を使用すると、FIPS 140 検証済みのハードウェア セキュリティ モジュール (HSM) に暗号化キーを格納できます。 詳細については、「 データ暗号化キーの管理」を参照してください。

転送中のデータの暗号化

Azure には、転送中のデータを暗号化するためのオプションが多数用意されています。 転送中のデータ暗号化は、ネットワーク トラフィックを他のトラフィックから分離し、傍受からデータを保護するのに役立ちます。 詳細については、「 転送中のデータ暗号化」を参照してください。

保存データの暗号化

Azure には、Microsoft が管理 する暗号化 キーとカスタマー マネージド暗号化キーの両方を使用して、データを保護し、コンプライアンスのニーズを満たすために役立つ保存データを暗号化するための広範なオプションが用意されています。 このプロセスは、セキュリティで保護されたキー アクセスと一元化されたキー管理を確保するために、Azure Key Vault や Microsoft Entra ID などの複数の暗号化キーとサービスに依存します。 Azure Storage 暗号化と Azure Disk 暗号化の詳細については、「 保存データの暗号化」を参照してください。

Azure SQL Database の既定では、保存時に Transparent Data Encryption (TDE) が使用されます。 TDE により、データ ファイルとログ ファイルのリアルタイムの暗号化と復号化の操作が実行されます。 データベース暗号化キー (DEK) は、回復の間に使用できるよう、データベース ブート レコードに格納される対称キーです。 これは、サーバーのマスター データベースに格納されている証明書、または Azure Key Vault の制御下に格納されている TDE 保護機能と呼ばれる非対称キーによって保護されます。 Key Vault では Bring Your Own Key (BYOK) がサポートされているため、TDE 保護機能を Key Vault に格納し、キーのローテーション、アクセス許可、キーの削除、すべての TDE 保護機能の監査/レポートの有効化などのキー管理タスクを制御できます。 キーは、Key Vault で生成するか、インポートするか、オンプレミスの HSM デバイスから Key Vault に転送することができます。 また、Azure SQL Database の Always Encrypted 機能を使用することもできます。これは、アプリケーション内のデータを暗号化し、 暗号化キーをデータベース エンジンに公開することがなく、機密データを保護するために特別に設計されています。 このように、Always Encrypted では、データを所有して表示できるユーザーと、データを管理するがアクセス権を持たないユーザーの間で分離されます。

インサイダーアクセスの制限

米国内のすべての Azure および Azure Government の従業員は、Microsoft のバックグラウンド チェックの対象となります。 詳細については、 スクリーニングを参照してください。

Insider の脅威は、システムとデータへのバックドア接続とクラウド サービス プロバイダー (CSP) 特権管理者アクセスを提供する可能性があると特徴付けられます。 Microsoft がデータへのインサイダー アクセスを制限する方法の詳細については、「 インサイダー アクセスの制限」を参照してください。

Azure リソースの監視

Azure には、プロビジョニングされた Azure リソースに関する詳細な分析情報を取得し、アプリケーションやデータを対象とした外部攻撃を含む疑わしいアクティビティに関するアラートを受け取るために使用できる重要なサービスが用意されています。 これらのサービスの詳細については、「 Azure リソースの顧客監視」を参照してください。

結論

お客様は、Azure の使用が米国の輸出規制にどのように影響するかを慎重に評価し、クラウドに保存または処理するデータのいずれかが輸出規制の対象となる可能性があるかどうかを判断する必要があります。 Microsoft Azure は、輸出管理リスクの管理に役立つ重要な技術的機能、運用プロセス、および契約上のコミットメントを提供します。 米国の輸出規制の対象となる技術データが含まれる可能性がある場合、Azure は、Azure で管理された技術データにアクセスする際に誤って米国の輸出規制に違反する潜在的なリスクを軽減するのに役立つ機能を提供するように構成されています。 適切な計画を立てることで、Azure の機能と独自の内部手順を使用して、Azure プラットフォームを使用する際に米国の輸出規制に完全に準拠することができます。

次のステップ

輸出管理ルールをナビゲートするために、Microsoft は Microsoft Azure 輸出規制 ホワイトペーパーを公開し、米国の輸出規制 (特にソフトウェアおよび技術データに適用される場合) について説明し、輸出管理リスクの潜在的な原因を確認し、これらの規制に基づく義務を評価するのに役立つ具体的なガイダンスを提供しています。

詳細については、以下をご覧ください。

• Azure セキュリティ
• Azure コンプライアンス
• Microsoft 政府機関向けソリューション
• Azure Government とは?
• Azure Government の詳細を見る
• Microsoft 製品のエクスポート
• Azure Government のコンプライアンス
• Azure EAR コンプライアンス オファリング
• Azure ITAR コンプライアンス オファリング
• Azure DoE 10 CFR Part 810 コンプライアンス オファリング
• Azure FedRAMP コンプライアンス オファリング