2016/12/08 クラウドサービスにおけるISO/IEC27017を適用した 情報セキュリティマネジメントシステムの実践 工学院大学情報学部 ISO/IEC JTC1/SC27/WG1国内主査 クラウドセキュリティコントロール専門委員会委員長 やまさき 山﨑 さとる 哲 Copyright SC27/WG1 Japan, 2016 ご説明内容 1. クラウドサービスにおける情報セキュリティマネジ メントシステムを推進する動力 2. クラウドサービスにおける2つの組織の情報セキュ リティマネジメントシステムを動かす5つの動力 (1)動力1:クラウドサービスカスタマ/プロバイダ の情報セキュリティの役割と責任の明確化 (2)動力2:クラウドサービスカスタマ/プロバイダ の情報セキュリティ目的の設定 (3)動力3:クラウドサービス利用/提供におけるリ スクアセスメントとリスク対応の実施 (4)動力4:クラウドサービス利用/提供における監 視・測定・分析・評価の実施 (5)動力5:クラウドサービスカスタマ/プロバイダ の情報セキュリティガバナンス Copyright SC27/WG1 Japan, 2016 2 車は動力がないと動きません。 CSCとCSPの「情報セキュリティマネジメントシステムの動力」 はお互いに連携して働きます。 車=情報セキュリティマネジメントシステムの要素 CSCの 情報セキュリティ マネジメントシステム 標準 手続き 動力 動力 CSPの 情報セキュリティ マネジメントシステム 動力 標準 手続き 動力 ポリシー アクセス コントロール ポリシー 組織 暗号 組織 物理 運用体 環境 制 動力 動力 動力 CSC: クラウドサービスカスタマ(利用者) 動力 暗号 物理 運用体 環境 制 動力 動力 連携 Copyright SC27/WG1 Japan, 2016 CSP: クラウドサービスプロバイダ(提供者) ご説明内容 1. クラウドサービスにおける情報セキュリティマネジ メントシステムを推進する動力 2. クラウドサービスにおける2つの組織の情報セキュ リティマネジメントシステムを動かす5つの動力 (1) 動力1:クラウドサービスカスタマ/プロバイダの情報 セキュリティの役割と責任の明確化 (2) 動力2:クラウドサービスカスタマ/プロバイダの情報 セキュリティ目的の設定 (3) 動力3:クラウドサービス利用/提供におけるリスクア セスメントとリスク対応の実施 (4) 動力4:クラウドサービス利用/提供における監視・測 定・分析・評価の実施 (5) 動力5:クラウドサービスカスタマ/プロバイダの情報 セキュリティガバナンス Copyright SC27/WG1 Japan, 2016 4 (1) 動力1:クラウドサービスカスタマ/プロバイダの情報セキュリ ティの役割と責任の明確化 - 情報セキュリティの取り組み体制 クラウドサービスプ ロバイダ(CSP) クラウドサービスカ スタマ(CSC) サービス合意 事項又は SLAの締結 社長 社長 CISO CISO セキュリティ 委員会 セキュリティ 委員会 役割責任の 明確化 部門 部門 グループ会社 部門 部門 グループ会社 セキュリティ 委員 セキュリティ 委員 セキュリティ委 員 セキュリティ 委員 セキュリティ 委員 セキュリティ委 員 Copyright SC27/WG1 Japan, 2016 5 (1) 動力1:クラウドサービスカスタマ/プロバイダの情報セキュリ ティの役割と責任の明確化 - Agreements and Roles & Responsibilities クラウドサービスプ ロバイダ(CSP) クラウドサービスカ スタマ(CSC) CLD.6.3.1 6.1.1 8.1.1 12.1.2(SLA) 12.1.3(SLA) 14.1.1 15.1.2 18.1.5 CLD.8.1.5 CS user CS administrator CS business manager CS integrator サービス合意 事項又は SLAの締結 役割責任の 明確化 CLD.6.3.1 6.1.1 8.1.1 12.1.2(SLA) 12.1.3(SLA) 14.1.1 15.1.2 18.1.5 CLD.8.1.5 CS opreations mgr. CS deployment mgr. CS manager CS business mgr. Customer support and care representa. Inter-cloud provider CS security & risk mgr. Network provider Copyright SC27/WG1 Japan, 2016 6 事例:ISO/IEC27017の箇条(本文 CLD.6.3.1) • クラウドサービスカスタマ向け実施の手引の例 – CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の分担 管理策 クラウドサービスの利用において共有する情報セキュリティの役割を遂 行する責任は、クラウドサービスカスタマ及びクラウドサービスプロバ イダのそれぞれにおいて特定の関係者に割り当て、文書化し、伝達し、 実施することが望ましい。 クラウドサービスのための実施の手引 クラウドサービカスタマ クラウドサービスプロバイダ クラウドサービスカスタマは,クラ クラウドサービスプロバイダは,自らの ウドサービスの利用にあわせて方針 及び手順を定義又は追加し,クラウ 情報セキュリティの能力,役割及び責 任を文書化し伝達することが望ましい。 ドサービスユーザにクラウドサービ スの利用における自らの役割及び責 任を意識させることが望ましい。 併せて,クラウドサービスプロバイダは, クラウドサービスの利用の一部として クラウドサービスカスタマが実施及び 管理することが必要となる情報セキュ リティの役割及び責任を,文書化し伝 達することが望ましい。 Copyright SC27/WG1 Japan, 2016 7 (1) 動力1:クラウドサービスカスタマ/プロバイダの情報セキュリ ティの役割と責任の明確化 - 組織の規定体系 クラウドサービスプ ロバイダ(CSP) クラウドサービスカ スタマ(CSC) 基本方針 (Policy) 社長方針 社長方針 グループ共通の 基本方針 グループ共通の 基本方針 5.1.1(topicspecific policies) 9.1.2 9.4.1 10.1.1 14.2.1 15.1.1 CLD.13.1.4 グループ共通の 標準 グループ共通の プロシージャ グループ全体のコンプライアンス行動指針 グループ共通の 標準 グループ共通の プロシージャ グループ全体のコンプライアンス行動指針 Copyright SC27/WG1 Japan, 2016 8 (2)動力2:クラウドサービスカスタマ/プロバイダの情報セキュリ ティ目的の設定 - 情報セキュリティ目的はセキュリティ対策の原点です クラウドサービスカ スタマ(CSC) 情報セキュリティ方針 経 営 陣 サービス合意 事項又はSLA 基本方針 (policy) クラウドサービスプ ロバイダ(CSP) 情報セキュリティ方針 経 営 陣 情報セキュリティ 目的を示す 情報セキュリティ目的 管 情報セキュリティリスクアセスメント とリスク対応 理 者 ・ 従 業 管理策の決定・実施 員 情報セキュリティ目的 15.1.3 12.1.2 12.1.3 情報セキュリティリスクアセスメント 13.2.4 とリスク対応 14.1.1 15.1.2 18.1.5 CLD.8.1.5 管理策の決定・実施 Copyright SC27/WG1 Japan, 2016 9 管 理 者 ・ 従 業 員 (2)動力2:クラウドサービスカスタマ/プロバイダの情報セキュリ ティ目的用者の設定 • 企業活動に貢献するための情報セキュリティ目的の確立 (事例) クラウドサービスプ ロバイダの事例 情報セキュリティ目的 (組織の最高位) クラウドサービスプロバイ ダのデータセンターの事例 情報セキュリティ目的 (営業部門) お客様に影響するインシ デントを減らしクラウド サービス事業の信頼性 を確保する(インシデント =前年比50%) 15.1.3 ICT supply chain 情報セキュリティ目的 (データセンター) 情報セキュリティ目的 (クラウドサービス) システム要因によるクラ お客様サービス提供前に お客様情報を含む営 必ずSLAを締結(サービ ウドサービス事業顧客に 業社員のパソコンの紛 ス毎に100%) 影響するインシデントの 失インシデントの減少 減少(前年比50%) (前年比50%) 1. 2. 3. 4. 5. 実施事項 必要な資源 責任者 達成期限 結果の評価方法 1. 2. 3. 4. 5. 実施事項 必要な資源 責任者 達成期限 結果の評価方法 Copyright SC27/WG1 Japan, 2016 1. 2. 3. 4. 5. 実施事項 必要な資源 責任者 達成期限 結果の評価方法 10 (3) 動力3:クラウドサービス利用/提供におけるリスク アセスメントとリスク対応の実施 - リスク特定、リスク分析、リスク評価クラウドサービスプ クラウドサービスカ ロバイダ(CSP) スタマ(CSC) 1.情報及び機 2. 情報及び機 能の要求 リスクアセスメント:6.1.2 リスク特定:c) リスク分析:d) リスク評価:e) モ ニ タ リ ン グ 及 び レ ビ ュ ー 9 リスクアセスメント:6.1.2 10.1.2 11.2.7 リスク特定:c) 12.3.1 12.4.4 リスク分析:d) 12.6.1 14.1.1 14.2.1 リスク評価:e) 15.1.3 16.1.2 18.1.1 リスク対応:6.1.3,6.2 18.1.3 18.2.1 CLD.8.1.5 CLD.12.4.5及びその他の管理策 Copyright SC27/WG1 Japan, 2016 . . リスク対応:6.1.3,6.2 コ ミ ュ ニ ケ ー シ ョ ン 及 び 協 議 7 4 : : モ ニ タ リ ン グ 及 び レ ビ ュ ー 9 組織の状況の確定: 4.1,4.2,4.3,6.1.1,6.2 : : コ ミ ュ ニ ケ ー シ ョ ン 及 び 協 議 7 4 組織の状況の確定: 4.1,4.2,4.3,6.1.1,6.2 能の提供 11 (3) 動力3:クラウドサービス利用/提供におけるリス クアセスメントとリスク対応の実施 - クラウドサービスプロバイダ(データセンター)の事例- リスクの定義=目的に対する不確かさの影響 クラウドサービス 目的に影響を与えるリスク因子 プロバイダの データセンターの リスク源 Vendor lock-in 事例 情報セ キュリティ 目的 データセンターに おけるシステム要 因によるクラウド サービス事業の顧 客に影響するイン シデントの減少(前 年比50%) CSP側のケース (データセンター) CIAレベル 情報のCIA の喪失 結果(Consequence) 目的に影響を与える事象の結末 (インパクトはAvailability)お客 様から預かったお客様情報を紛 事象と バックアップを取得し ていたが、リストアした 失し、しかも、バックアップを取 原因 得していたが、使用できなかっ が使用できなかった た。お客様の事業を継続できず、 ある一連の周辺状況の出現又は変化 場合により損害賠償 起こりやすさ(likelihood) 何かが起こる可能性 Copyright SC27/WG1 Japan, 2016 12 (3) 動力3:クラウドサービス利用/提供におけるリスク アセスメントとリスク対応の実施 - リスクアセスメント及びリスク対応のCSCからCSPの連携の事例CSC/CSP クラウドサービスカスタマ (CSC) 情報セキュリ サービスの使用可能性 ティ目的 (Availability)を基準(Criteria) 以上とする 提携 クラウドサービスプロバイ ダ(データセンター)(CSP) システム要因によるクラウ ドサービス事業の顧客に影 響するインシデントの減少 リスクアセス メント対象 異なるサービス間の整合性(データ破壊したクラウドの使用を中止して別シス 事象 ①データ破壊に依るシステム 停止。③バックアップデータ を使用を試みたが使用できな かった ②CSCにバックアップデー タを提供した。④(CSCよ りの連絡)CSCのシステム で、利用できない リスク源 アクセス制御不備、バック アップテストの未テスト バックアップデータに、特 定の開発業者のソフトウェ アを含んでいる(Vendor lock-in) 結果 CSCがシステムの使用ができ ず、結果的にサービスの利用 停止となった。 CSPが提供するシステムに おいてシステム停止が発生 し、再開ができない。 テムに移行。取っていたバックアップデータを使用して、システムの継続を実施) クラウドサービス固有(specific)の リスクアセスメントの対象に潜むリスク源 リスク源 クラウドサービスカスタマ (CSC) Loss of governance Responsibility ambiguity Isolation failure Vendor lock-in(事例4) Compliance and legal risks Handling of security incidents Management interface vulnerability Data protection Malicious behaviour of insiders Business failure of the provider Service unavailability(事例 2) Migration and integration failures Evolutionary risks Cross-border issues Insecure or incomplete data deletion クラウドサービスプロバイダ (CSP) Responsibility ambiguity Inconsistency and conflict of protection mechanisms Isolation failure(事例1) Unauthorized access to the provider's systems. Jurisdictional conflict(事例 3) Insider Threats Supply Chain vulnerability (事例5) Copyright SC27/WG1 Japan, 2016 14 事例:ISO/IEC27002の箇条(本文 12.3.1) • クラウドサービスカスタマ/プロバイダ向け実施の手引の例 – 27002: 12.3.1 情報のバックアップ • • 管理策 情報,ソフトウェア及びシステムイメージのバックアップは,合意されたバックアッ プ方針に従って定 期的に取得し,検査することが望ましい。 27017には、記述されませんが、この内容が、適用の対象となります 実施の手引 バックアップ方針を確立し,情報,ソフトウェア及びシステムイメージのバックアッ プに関する組織の 要求事項を定めることが望ましい。 バックアップ方針では, 保管及び保護に関する要求事項を定めることが望ましい。 災害又は媒体故障 の発生の後に,全ての重要な情報及びソフトウェアの回復を確実にするために, 適切 なバックアップ設備を備えることが望ましい。 バックアップ計画を策定する ときは,次の事項を考慮に入れることが望ましい。 a) バックアップ情報の正確かつ完全な記録及び文書化したデータ復旧手順を 作成する。 b) ・・・・・・ Copyright SC27/WG1 Japan, 2016 15 事例:ISO/IEC27017の箇条(本文 12.3.1) • クラウドサービスカスタマ向け実施の手引の例 – 27017: 12.3.1 情報のバックアップ JIS Q 27002の12.3.1に定める管理策並びに付随する実施の手引及び関 連情報を適用する。次のクラウドサービス固有の実施の手引も適用す る。 クラウドサービスのための実施の手引 クラウドサービス固 有の導入の手引き クラウドサービスカスタマ クラウドサービスプロバイダがクラウドサービスの一部としてバックアップ機 能を提供する場合は,クラウドサービスカスタマは,クラウドサービスプロバ イダにバックアップ機能の仕様を要求することが望ましい。また,クラウド サービスカスタマは,その仕様がバックアップに関する要求事項を満たすこと を検証することが望ましい。 クラウドサービスプロバイダがバックアップ機能を提供しない場合は,クラウ ドサービスカスタマがバックアップ機能の導入に責任を負う。 リスクアセスメントの 対象に関するヒント Copyright SC27/WG1 Japan, 2016 16 事例:ISO/IEC27017の箇条(本文 12.3.1) • クラウドサービスプロバイダ向けImplementation guidanceの例 – 27017: 12.3.1 Information backup クラウドサービス固 クラウドサービスのための実施の手引 有の導入の手引き クラウドサービスプロバイダ クラウドサービスプロバイダは,クラウドサービスカスタマに,バックアップ機能の 仕様を提供することが望ましい。その仕様には,必要に応じ,次の情報を含めること が望ましい。 - バックアップ範囲及びスケジュール - 該当する場合には暗号を含む,バックアップ手法及びデータ形式 - バックアップデータ保持期間 - バックアップデータの完全性を検証するための手順 - バックアップからのデータ復旧手順及び所要時間 - バックアップ機能の試験手順 - バックアップの保存場所 クラウドサービスプロバイダは,クラウドサービスカスタマにバックアップにアクセ スさせるサービスを提供する場合には,仮想スナップショットなどの,セキュリテ ィを保った,他のクラウドサービスカスタマから分離したアクセスを提供すること が望ましい。 リスクアセスメントの 対象に関するヒント Copyright SC27/WG1 Japan, 2016 17 (4)動力4:クラウドサービス利用/提供における監 視・測定・分析・評価の実施 - 情報セキュリティパフォーマンスとISMS有効性の評価の体制 - クラウドサービスプ ロバイダ(CSP) クラウドサービスカ スタマ(CSC) 社長 1.エビデン スの要求 経営会議 2. エビデン スの提供 社長 経営会議 報告 報告 CISO 報告 改善指示 セキュリティ 委員会 CISO 18.2.1 情報セ キュリティの独 立したレビュー 報告 改善指示 セキュリティ 委員会 Web 公表 Web 公表 改善指示 改善指示 部門 部門 部門 部門 部門 部門 セキュリティ 委員 セキュリティ 委員 セキュリティ 委員 セキュリティ 委員 セキュリティ 委員 セキュリティ 委員 Copyright SC27/WG1 Japan, 2016 18 CSCは、信頼できるCSPの監査情報を把握でき ないとセキュリティ対策はできない 監査 クラウドサービスカ スタマ(CSC) クラウドサービス/セ キュリティ対策の提供 セキュリティ対策情報 の提供(証拠としての 監査情報) クラウドサービスの 利用/使用 ① CSCは、システム及びセキュリ セキュリティ対策情 ティ対策の主要な部分をCSPに 報に基づくセキュリ ティ対策の実施 委ねている ② CSCは、CSPの提供する情報 及びセキュリティ対策に応じて、 セキュリティ対策を実施(言い換 えると信頼できるCSPの監査情 報を把握できないとセキュリティ 対策はできない) クラウドサービス プロバイダ (CSP) ③ CSPは、CSCのセキュリティ 対策を支援するセキュリティ 対策及び情報を提供(信頼 できるセキュリティ対策と監 査情報の提供) ④ CSPは、複数のCSCのセ キュリティレベルを考慮した セキュリティ対策を提供 Copyright SC27/WG1 Japan, 2016 19 事例:ISO/IEC27017の箇条(本文 18.2.1) • クラウドサービスカスタマ/プロバイダ向け実施の手引の例 – 27002: 18.2.1 情報セキュリティの独立したレビュー • 管理策 情報セキュリティ及びその実施の管理(例えば,情報セキュリティのための管理目 的,管理策,方針,プロセス,手順)に対する組織の取組みについて,あらかじめ定 めた間隔で,又は重大な変化が生じた場 合に,独立したレビューを実施することが 望ましい。 27017には、記述されませんが、この内容が、適用の対象となります • 実施の手引 経営陣は,独立したレビューを発議することが望ましい。このような独立したレ ビューは,情報セキュリティをマネジメントする組織の取組みが,引き続き適切,妥 当及び有効であることを確実にするために 必要である。このようなレビューは,改 善の機会のアセスメントを含むことが望ましい。また,方針及び 管理目的を含むセ キュリティの取組みの変更について,その必要性の評価を含むことが望ましい。 こ のようなレビューは,レビューが行われる領域から独立した個人・組織(例えば,内 部監査の担当部 署,独立した管理者,このようなレビューを専門に行う外部・・・・ 27017には、記述されませんが、この内容が、適用の対象となります Copyright SC27/WG1 Japan, 2016 20 事例:ISO/IEC27017の箇条(本文 18.2.1) • クラウドサービスカスタマ向け実施の手引の例 – 27017: 18.2.1 情報セキュリティの独立したレビュー JIS Q 27002の18.2.1に定める管理策並びに付随する実施の手引及び関連 情報を適用する。次のクラウドサービス固有の実施の手引も適用する。 クラウドサービスのための実施の手引 クラウドサービスカスタマ クラウドサービスカスタマは,クラウドサービスのための情報セキュリティ管理 策及び指針の実施状況がクラウドサービスプロバイダの提示どおりであることに ついて,文書化した証拠を要求することが望ましい。その証拠は,関係する標準 への適合の証明書である場合もある。 Copyright SC27/WG1 Japan, 2016 21 事例:ISO/IEC27017の箇条(本文 18.2.1) • クラウドサービスプロバイダ向け実施の手引の例 – 27017: 18.2.1 情報セキュリティの独立したレビュー クラウドサービスプロバイダ クラウドサービスプロバイダは,クラウドサービスプロバイダが主張する情報セ キュリティ管理策の実施を立証するために,クラウドサービスカスタマに文書化 した証拠を提供することが望ましい。 個別のクラウドサービスカスタマの監査が現実的でない又は情報セキュリティへ のリスクを増加させ得る場合,クラウドサービスプロバイダは,情報セキュリ ティがクラウドサービスプロバイダの方針及び手順に従って実施され,運用され ていることの独立した証拠を提供することが望ましい。この証拠は,契約の前に, クラウドサービスの利用が見込まれる者に利用できるようにしておくことが望ま しい。クラウドサービスプロバイダが選択した独立した監査は,それが十分な透 明性が確保されていることを条件として,クラウドサービスカスタマがもつクラ ウドサービスプロバイダの運用に対するレビューへの関心を満たすために受け入 れられる方法であることが一般に望ましい。独立した監査が現実的でないとき, クラウドサービスプロバイダは,自己評価を行い,クラウドサービスカスタマに そのプロセス及び結果を開示することが望ましい。 Copyright SC27/WG1 Japan, 2016 22 (5)動力5:クラウドサービスカスタマ/プロバイダの情報セキュリ ティガバナンス -組織(Organization)を指揮(Direct)し、統制(Control)するCISO - クラウドサービスプ ロバイダ(CSP) クラウドサービスカ スタマ(CSC) 取引先、顧客、 従業員、社会 等 株主 取引先、顧客、 従業員、社会 等 株主 CEO方針 経営陣 CEO方針 CFO方針 CIO方針 CLO方針 CISO方針 CISO 管理者 従業員 情報セキュリティ 目的設定 管理目的・管理 策の展開 1. CSPの実施状 1. 証拠としての 監査結果の 況の証拠を要 提供 求 2. SLAの合意 2. SLAの要求 目的 達成度・実施度 監視&レビュー 情報セキュリティ対策 企業・組織 15.1.3 CISO 18.2.1 12.1.2 12.1.3 管理者 13.2.4 従業員 14.1.1 15.1.2 18.1.5 CLD.8.1.5 経営陣 CIO方針 CFO方針 CLO方針 CISO方針 情報セキュリティ 目的設定 管理目的・管理 策の展開 目的 達成度・実施度 監視&レビュー 情報セキュリティ対策 企業・組織 Copyright SC27/WG1 Japan, 2016 23 補足(1) ISO/IEC27017の実施の手引き一覧表 箇条(Clause) CSC 5 CSC/CSP CSP Subclause計 1 1 2 6 2 2 7 7 1 1 6 8 2 2 10 9 5 6 14 10 2 1 2 11 1 1 15 12 7 6 14 13 1 1 7 14 2 2 13 15 2 2 5 16 2 2 7 1 17 4 18 5 Total 33 1 5 8 32 114 Copyright SC27/WG1 Japan, 2016 24 補足(2)ISO/IEC27017の追加管理策一覧表 管理策番号 CSC CSP 管理策の内容 リスク源 Compliance and legal risks Malicious behavior of insiders CLD.6.3.1 1 1 クラウドコンピューティ ング環境における役割及 び責任の共有及び分担 CLD.8.1.5 1 1 クラウドサービスカスタ マの資産の除去 Responsibility of ambiguity Data protection CLD.9.5.1 1 1 仮想コンピューティング 環境における分離 Isolation failure 仮想マシンの要塞化 Inconsistency and conflict of protection mechanism Isolation failure Evolutionary risks Insecure or incomplete data deletion Data protection CLD.9.5.2 1 CLD.12.1.5 1 1 実務管理者の運用のセ キュリティ CLD.12.4.5 1 1 クラウドサービスの監視 1 仮想及び物理ネットワー Inconsistency and conflict of クのセキュリティ管理の protection mechanism 整合Copyright SC27/WG1 Japan, 2016 25 CLD.13.1.4 0 おわりに ご清聴有難うございました。 工学院大学情報学部 ISO/IEC JTC1/SC27/WG1国内主査 クラウドセキュリティコントロール専門委員会委員長 山﨑 哲 Copyright SC27/WG1 Japan, 2016 26
© Copyright 2024 ExpyDoc
