ISO/IEC27017 - 日本 ISMS ユーザグループ

2014/12/19
安全なクラウドサービス利用のための分野別
ISMS規格”ISO/IEC27017”の意義と最新動向
ISO/IEC 27017: International Standard (IS)
Code of practice for information security controls
based on ISO/IEC 27002 for cloud services
工学院大学情報学部
ISO/IEC JTC1/SC27/WG1国内主査
ISO/IEC 27017 Project Editor
クラウド・セキュリティコントロール専門委員会委員長
やまさき
山﨑
さとる
哲
Copyright SC27/WG1 Japan, 2014
1
ご説明内容
1. クラウドセキュリティの国際標準化の経緯
a. SC27 meetingと国際標準化の経緯
b. 日本からの国際標準化の提案
c. クラウド関係の国際標準化のための役割の合意
d. クラウド関係国際標準の開発スケジュールと国際協力体制
2. 安全なクラウドサービスのためにISO/IEC27017の果たす役割
a. ISO/IEC27017の適用範囲(Scope)
b. ISO/IEC27017とISMS認証との関係
c. ISO/IEC27017とISO/IEC27002との関係
d. ISO/IEC27017の構造
e. ISO/IEC27017で使用するクラウドコンピューティングの用語
f. ISO/IEC27017のISO/IEC27001:2013に基づくリスクマネジメ
ントのプロセス
3. ISO/IEC27017の追加のセキュリティ管理策と実施の手引き(事例)
Copyright SC27/WG1 Japan, 2014
2
a. SC27 meetingと国際標準化の経緯
SC27meetingの審議の概要
 年2回の開催
 WG1~WG5 of SC27
 50+ヵ国、150+人程度の参加
 会議ではEditing meeting
 各国より提出されたコメントによる編集会議
 会議後は、編集会議の結果のまとめ
(Resolutions)と新しいTextが配布
4月
2011年10月 2013年
にNPを承認、
Sophia
規格制定作
Antipolis,
業を開始
France
27017WD5
10月
Incheon,
Korea,
Korea
27017CD1
2014年 4月
Hong
Kong,
China
27017CD2
Copyright SC27/WG1 Japan, 2014
10月
Mexico City,
Mexico
27017DIS
3
b. 日本からの国際標準化の提案
クラウド事業者のセキュリティ対策情報が不足
クラウドの課題:クラウド事業者のセキュリティ対策に関する情報に
関して、クラウド利用者へのフィードバックが、充分でない
クラウド事業者
クラウド利用者
クラウド事業者(米国)
クラウド事業者(中国)
セキュリティ対策に関す
るフィードバックが不足
(特に海外の場合)
Copyright SC27/WG1 Japan, 2014
4
b. 日本からの国際標準化の提案
基準に基づく共通の理解を得る仕組みの提案
クラウドの課題を解決するためには、基準(Criteria)に基づいて、
クラウドの利用者と事業者の間で、(国際環境において)共通の
理解を実現するための仕組みの確立が必要である
クラウド利用者
 クラウド事業者のセ
キュリティ対策は、
何で、どの程度のも
のか?
セキュリティ対策に関
する共通の理解を実
現する
クラウド事業者
 利用者からどの
ようなことが要求
されているか?
クラウド事業者
 利用している他の
事業者のセキュリ
ティ対策はどの程
度のものか?
基準(criteria)に
基づく仕組み
Copyright SC27/WG1 Japan, 2014
ISMS
5
グーグルの法人向けサービス、セキュリティ規格
「ISO27001」を取得 (日経2012/5/30)
グーグルの法人向けサービス、セキュリティ規格「ISO 27001」を取得
対象はGoogle Apps for Business 2012/5/30 6:30 情報元 日本経済新聞 電子版
米グーグルは2012年5月29日、同社の法人向けWebサービス「Google Apps for Business」が、
情報セキュリティの国際規格「ISO 27001」の認定を取得したことを発表した。
ISO 27001は、情報セキュリティマネジメントシステム(ISMS)の国際規格。ISMSとは、情報を適切
に管理するための体制のこと。認証機関による審査を受けて、適切な情報管理体制を構築し運用し
ていると認定されれば、ISO 27001認定を取得できる。
今回取得したISO 27001認定は、Google Apps for Businessを対象としたもの。同サービスを提
供するデータセンターやオフィス、インフラ、アプリケーションなどにおいて、適切な情報管理が行わ
れていると認められた。  但し、クラウド事業分野固有のISMSではない。一般的
ISMSでは不十分です。これまでのISMS プラス ISO/IEC27017が必要
認定を取得したのは2012年5月初旬。その後、グーグル社内で発表内容を調整し、今回の公表に
至ったという。
同サービスがISO 27001認定を取得したことで、「ユーザーは、今まで以上に安心して利用できる
ようになる。また、契約の条件として、サービス提供者にISO 27001認定を求める法人でも、
Google Apps for Businessを問題なく利用できるようになる」(米グーグル エンタープライズセ
キュリティ担当統括責任者のエラン・ファイゲンバウム氏)。
Copyright SC27/WG1 Japan, 2014
6
C. クラウド関係の国際標準化のための
役割の合意
SC27/WG4
SC27/WG1
SC27/WG5
ISO/IEC27036-4
(Cloud for
Supplier
management)
ISO/IEC27017
(Security
control)
ISO/IEC27018
(PII protection
control)
ISO/IEC27036
(Part1 – Part3)
Based on
ISO/IEC27002
Based on
ISO/IEC29100
SC38 (17788, 17789)
(Terminology, Architecture)
Copyright SC27/WG1 Japan, 2014
7
d. クラウド関係国際標準の開発スケジュールと国際協力体制
- ISO/IEC27017プロジェクト開発スケジュール The following ISO/IEC 27017 schedule was endorsed by JTC1
(SC27N13407).
•
•
•
•
•
•
•
•
•
•
•
NP approved 2011-08
WD1 2011-10 (editing session started)
WD2 2011-10(Nairobi)
WD3 2012-05(Stockholm)
WD4 2012-10(Rome)
WD5 2013-04(Sophia Antipolic)
CD1 2013-10(Incheon)
CD2 2014-04(Hong Kong)
DIS
2014-10(Mexico City)
FDIS 2015-04(Kuching)
IS
2015-10(発行)
Copyright SC27/WG1 Japan, 2014
8
d. クラウド関係国際標準の開発スケジュールと国際協力体制
- ISO/IEC27017プロジェクトの国際協力体制 主要国
日本
オースト
ラリア
中国
米国
フラン
ス
ドイツ
英国
韓国
シンガ
ポール
主要組織
ITU-T
SC38
CSA
ISACA
TREsPASS
クラウドセキュリティの国際標準化は、多くの国と
、主要な関係組織の協力により実施されています
Copyright SC27/WG1 Japan, 2014
9
ご説明内容
1. クラウドセキュリティの国際標準化の経緯
a. SC27 meetingと国際標準化の経緯
b. 日本からの国際標準化の提案
c. クラウド関係の国際標準化のための役割の合意
d. クラウド関係国際標準の開発スケジュールと国際協力体制
2. 安全なクラウドサービスのためにISO/IEC27017の果たす役割
a. ISO/IEC27017の適用範囲(Scope)
b. ISO/IEC27017とISMS認証との関係
c. ISO/IEC27017とISO/IEC27002との関係
d. ISO/IEC27017の構造
e. ISO/IEC27017で使用するクラウドコンピューティングの用語
f. ISO/IEC27017のISO/IEC27001:2013に基づくリスクマネジメ
ントのプロセス
3. ISO/IEC27017の追加のセキュリティ管理策と実施の手引き(事例)
Copyright SC27/WG1 Japan, 2014
10
a. ISO/IEC27017の適用範囲(Scope)
- ISO/IEC17789:Reference architectureから -
Cloud Service Partner
Cloud
Service
Developer
Cloud Service
Customer
Cloud
Auditor
Cloud
Service
Broker
Cloud Service
Provider
Cloud
Service
User
Copyright SC27/WG1 Japan, 2014
27017
Scope
外
27017
Scope
内
11
b. ISO/IEC27017とISMS認証との関係
- ISO/IEC27001と分野別標準及び分野別管理策 ISMS要求事項
ISO/IEC 27001
 ISMS Requirements (Main Body)
 Annex A ( based on 27002)
分野別管理策(Sector specific controls)
27017 Cloud Security
Controls
Other sector specific
controls (27011 etc.)
 27017 Cloud Security Control setは、情報セキュリティアセスメント、情
報セキュリティ対応の結果、27001 Annex Aとともに、必要な管理策を決
定するために参照される
 27017は、同時に他の分野別管理策(例えば、27011)とともに、使用する
ことができる
Copyright SC27/WG1 Japan, 2014
12
b. ISO/IEC27017とISMS認証との関係
- ISMSユーザにとっての分野別ISMS認証の意義 クラウド利用者
クラウド事業者-A
普通の
ISMS認証
 クラウド事業者のセ
キュリティ対策は、
何で、どの程度のも
のかを知ることがで
きる。
クラウド事業者-B
クラウド事業
者分野の
ISMS認証
 普通のISMS認証で
は、クラウド固有の
セキュリティ対策は、
カバーされていない
 クラウド利用者に対し
て、クラウド固有のセ
キュリティ対策を、ど
の程度提供すればよ
いか、知ることができ
る。
クラウド利用者とクラウド
事業者の間の
コミュニケーション
Copyright SC27/WG1 Japan, 2014
13
b. ISO/IEC27017とISMS認証との関係
- ISO/IEC27001とISO/IEC27009, 27006の関係 認証組織に対する要求事項
ISMS要求事項
ISO/IEC 27001 (extended by 27009)
 Determine required controls
 Compare with 27001 Annex A and
(sector-specific control sets)
 Produce SoA
分野別管理策セット
分野別管理策セット
27017 Cloud
Security Controls
27011 Telecom
Org. Controls
27002 Information security Controls
ISO/IEC 27006
 Certification
documents (+SoA
Version, Sectorspecific control ID)
分野別標準に対する要求事項
ISO/IEC 27009
 Rule for Sectorspecific standards
• Requirements
• Control sets
Copyright SC27/WG1 Japan, 2014
14
b. ISO/IEC27017とISMS認証との関係
- 分野別ISMS認証を定義するISO/IEC27009 ISO/IEC 27009は、分野別標準の要求事項を定義したもので
す。
• ISO/IEC 27009タイトル:
“Sector-specific application of ISO/IEC 27001 – Requirements”
• 分野別ISMS認証を達成するためには、ISO/IEC 27001及
び分野別標準を合わせて適用:
– ISMS認証(General) : ISO/IEC 27001
– ISMS認証(for CSC) : ISO/IEC 27001 + 27017 (CSC)
– ISMS認証(for CSP) : ISO/IEC 27001 + 27017 (CSP)
– ISMS認証(for Telecom): ISO/IEC 27001 + 27011
– ISMS認証(for Telecom+CSP): ISO/IEC 27001 + 27011 +
27017(CSP)
Copyright SC27/WG1 Japan, 2014
15
c. ISO/IEC27017とISO/IEC27002の関係
(1) タイトル
ISO/IEC 27002
Code of practice for information security controls
ISO/IEC 27017
Code of practice for information security controls
based on ISO/IEC 27002 for cloud services
Copyright SC27/WG1 Japan, 2014
16
(2)箇条(Clauses)の関係
27002及び27017の箇条(Clauses)は、同じ
5 Information security polices (Example 1. 5.1.1)
6 Organization of information security
7 Human resource security
8 Asset management
9 Access control
10 Cryptography
11 Physical and environmental security
12 Operations security (Example 2. 12.3.1)
13 Communications security
14 System acquisition, development and maintenance
15 Supplier relationships
16 Information security incident management
17 Information security aspects of business continuity management
18 Compliance (Example 3. 18.1.1)
Annex A (27017) Cloud Service Extended Control Set
Copyright SC27/WG1 Japan, 2014
17
(3) 27017 specific to cloud services
ISO/IEC27017
Code of practice for information security controls
based on ISO/IEC 27002 for cloud services
ISO/IEC27002
(本文)
ISO/IEC27017
(本文)
(Annex A)
Objective
Objective
New Objective
Control
Control
New Control
Implementation
guidance
+ specific Implementation guidance
+ specific Implementation guidance
Other information
+ Other information
+ Other information
To add
Implementation
guidance and other
information
To add New
Objectives and New
controls,
imple.guida, other
Copyright SC27/WG1 Japan, 2014
18
d. ISO/IEC27017の構造
It was agreed to write texts by the following table format for
implementation guidance of each control.
a. Subclauseの様式
•
Each subclause
Control X.X.X and the associated implementation guidance and other information specified
in ISO/IEC 27002 apply. The following sector-specific implementation guidance also
applies.
•
Subclause header
Implementation guidance for cloud services
Other information for cloud services.
b. Implementation guidanceはテーブル形式
• Type1 Cloud service customer Cloud service provider
Implementation guidance
• Type2
Cloud service customer
Implementation guidance
Cloud service provider
Implementation guidance
c.
Numbering of Annex A
• 27009 defines as rules, ‘A unique identifies shall be used, and 27011 as example’.
• 27011 uses ‘TEL.’, and therefore ‘CLD. X.X.X’ is used
Copyright SC27/WG1 Japan, 2014
19
e. ISO/IEC27017で使用するクラウドコンピュー
ティングの用語 - Normative references  Clause 2 Normative references
Clause 2 Normative references
The following referenced documents are indispensable for the
application of this document. For dated references, only the edition
cited applies. For undated references, the latest edition of the
referenced document (including any amendments) applies.
• ISO/IEC 27000, Information technology - Security techniques Information security management systems - Overview and
vocabulary
• Y.3500 | ISO/IEC 17788, Information technology - Cloud
computing - Overview and vocabulary
• Y.3505 | ISO/IEC 17789, Information technology - Cloud
computing - Reference architecture
• ISO/IEC 27002:2013, Information technology - Security
techniques - Code of practice for information security controls
Copyright SC27/WG1 Japan, 2014
20
e. ISO/IEC27017で使用するクラウドコンピュー
ティングの用語(SC38:ISO/IEC17788)
 Terms and definitions specific to cloud computing (ISO/IEC17788)
• Cloud Computing
3.2.5 cloud computing:
paradigm for enabling network access to a scalable and elastic pool of
shareable physical or virtual resources with self-service provisioning and
administration on-demand
NOTE – Examples of resources include servers, operating systems,
networks, software, applications, and storage equipment.
•
Cloud Service
3.2.8 cloud service:
one or more capabilities offered via cloud computing (3.2.5) invoked using
a defined interface
Copyright SC27/WG1 Japan, 2014
21
e. ISO/IEC27017で使用するクラウドコンピュー
ティングの用語(SC38:ISO/IEC17788)
Cloud Service Categories
IaaS
PaaS
Infrastructure
Capabilities
Type
SaaS
Platform
Capabilities
Type
NaaS
・・・・・
Application
Capabilities
Type
Copyright SC27/WG1 Japan, 2014
22
e. ISO/IEC27017で使用するクラウドコンピュー
ティングの用語(SC38:ISO/IEC17788)
 Terms and definitions specific to cloud computing (ISO/IEC17788)
• Cloud Capabilities Type
3.2.4 cloud capabilities type:
classification of the functionality provided by a cloud service (3.2.8) to the
cloud service customer (3.2.11), based on resources used
NOTE – The cloud capabilities types are application capabilities type
(3.2.1), infrastructure capabilities type (3.2.25) and platform capabilities
type (3.2.31).
•
Cloud Service Category
3.2.10 cloud service category:
group of cloud services (3.2.8) that possess some common set of qualities
NOTE – A cloud service category can include capabilities from one or
more cloud capabilities types (3.2.4).
Copyright SC27/WG1 Japan, 2014
23
e. ISO/IEC27017で使用するクラウドコンピュー
ティングの用語(SC38:ISO/IEC17788)
Cloud Service Partner
(但し、27017では適用しない)
Cloud Service
Customer
Cloud Service
Provider
Cloud
Service
User
Copyright SC27/WG1 Japan, 2014
24
e. ISO/IEC27017で使用するクラウドコンピュー
ティングの用語(SC38:ISO/IEC17788)
 Terms and definitions specific to cloud computing (ISO/IEC17788)
• Cloud Service Customer
3.2.11 cloud service customer:
party (3.1.6) which is in a business relationship for the purpose of using
cloud services (3.2.8)
• Cloud Service Provider
3.2.15 cloud service provider:
party (3.1.6) which makes cloud services (3.2.8) available
• Cloud Service Partner
3.2.14 cloud service partner:
party (3.1.6) which is engaged in support of, or auxiliary to, activities of
either the cloud service provider (3.2.15) or the cloud service customer
(3.2.11)
(注)但し、27017では適用しない
• Cloud Service User
3.2.17 cloud service user:
natural person, or entity acting on their behalf, associated with a cloud
service customer (3.2.11) that uses cloud services (3.2.8)
Copyright SC27/WG1 Japan, 2014
25
e. ISO/IEC27017で使用するクラウドコンピュー
ティングの用語(SC38:ISO/IEC17788)
 Terms and definitions specific to cloud computing (ISO/IEC17788)
• Cloud service customer data
3.2.12 Cloud service customer data:
class of data objects under the control, by legal or other reasons, of the
cloud service customer (3.2.11) that were input to the cloud service
(3.2.8), or resulted from exercising the capabilities of the cloud service
(3.2.8) by or on behalf of the cloud service customer (3.2.11) via the
published interface of the cloud service (3.2.8).
NOTE 1 – An example of legal controls is copyright.
NOTE 2 – It may be that the cloud service (3.2.8) contains or operates on
data that is not cloud service customer data; this might be data made
available by the cloud service providers (3.2.15), or obtained from another
source, or it might be publicly available data. However, any output data
produced by the actions of the cloud service customer (3.2.11) using the
capabilities of the cloud service (3.2.8) on this data is likely to be cloud
service customer data (3.2.12), following the general principles of
copyright, unless there are specific provisions in the cloud service (3.2.8)
agreement to the contrary.
Copyright SC27/WG1 Japan, 2014
26
e. ISO/IEC27017で使用するクラウドコンピュー
ティングの用語(SC38:ISO/IEC17788)
 Terms and definitions specific to cloud computing (ISO/IEC17788)
• Cloud service customer derived data
3.2.13 Cloud service customer derived data
cloud service derived data: Class of data objects under cloud service
provider (3.2.15) control that are derived as a result of interaction with the
cloud service (3.2.8) by the cloud service customer (3.2.11).
NOTE – Cloud service derived data includes log data containing records
of who used the service, at what times, which functions, types of data
involved and so on. It can also include information about the numbers of
authorized users and their identities. It can also include any configuration
or customization data, where the cloud service (3.2.8) has such
configuration and customization capabilities.
Copyright SC27/WG1 Japan, 2014
27
e. ISO/IEC27017で使用するクラウドコンピュー
ティングの用語(SC38:ISO/IEC17789)

Terms and definitions specific to cloud computing (ISO/IEC17789)
•
cloud service administrator
– sub-role of cloud service customer, whose main goal is to ensure the smooth operation of the
customer's use of cloud services, and that those cloud services are running well with the
customer's existing ICT systems and applications
– [Y.3500 | ISO/IEC 17789:2014]
•
cloud service business manager
– sub-role of cloud service customer which aims to meet the business goals of the cloud service
customer through the acquisition and use of cloud services in a cost efficient way
– [Y.3500 | ISO/IEC 17789:2014]
•
cloud service integrator
– sub-role of cloud service customer which is responsible for the integration of cloud services
with a cloud service customer's existing ICT systems, including application function and data
– [Y.3500 | ISO/IEC 17789:2014]
•
peer cloud service provider
– cloud service provider who provides one or more cloud services for use by one or more other
cloud service providers as part of their cloud services
– [Y.3500 | ISO/IEC 17789:2014]
Copyright SC27/WG1 Japan, 2014
28
e. ISO/IEC27017で使用するクラウドコンピュー
ティングの用語(SC38:ISO/IEC17789)

Terms and definitions specific to cloud computing (ISO/IEC17023, ISO/IEC 27040)
•
virtual machine (ISO/IEC 17023)
the complete environment that supports the execution of guest software
NOTE
A virtual machine is a full encapsulation of the virtual hardware, virtual disks, and
the metadata associated with it. Virtual machines allow multiplexing of the underlying physical
machine through a software layer called a hypervisor.
•
•
data breach (ISO/IEC 27040)
compromise of security that leads to the accidental or unlawful destruction, loss, alteration,
unauthorized disclosure of, or access to protected data transmitted, stored, or otherwise
processed
[ISO/IEC 27040]
secure multi-tenancy (ISO/IEC 27040)
multi-tenancy that employs security controls to explicitly guard against data breaches and
provides validation of these controls for proper governance
Note 1
Secure multi-tenancy exists when the risk profile of an individual tenant is no
greater than it would be in a dedicated, single-tenant environment
Note 2
In very secure environments even the identity of the tenants is kept secret
[ISO/IEC 27040]
Copyright SC27/WG1 Japan, 2014
29
f. ISO/IEC27017のISO/IEC27001:2013に基づく
リスクマネジメントのプロセス
組織の状況の確定:
4.1,4.2,4.3,6.1.1,6.2
リスクアセスメント:6.1.2
リスク特定:c)
リスク分析:d)
リスク評価:e)
:
コ
ミ
ュ
ニ
ケ
ー
シ
ョ
ン
及
び
協
議
7
4
:
モ
ニ
タ
リ
ン
グ
及
び
レ
ビ
ュ
ー
9
.
リスク対応:6.1.3,6.2
Copyright SC27/WG1 Japan, 2014
30
f. ISO/IEC27017のISO/IEC27001:2013に基づく
リスクマネジメントのプロセス
リスク及び目的の定義
① リスクの定義:(ISO/IEC27000)
 目的に対する不確かさの影響
② 目的の設定に関する要求事項:(ISO/IEC27001)
 5.1 リーダーシップ及びコミットメント
トップマネジメントは,・・ISMS に関するリーダーシップ及びコミットメ
ントを 実証・・・。
a. 情報セキュリティ方針及び情報セキュリティ目的を確立し,それらが組
織の戦略的な方向性と両立す ることを確実にする。
b. ・・・・
 5.2 方針
トップマネジメントは,・・情報セキュリティ方針を確立・・・・。
a) 組織の目的に対して適切である。
b) 情報セキュリティ目的(6.2 参照)を含むか,又は情報セキュリティ目的
の設定のための枠組みを示す。
 6.2 情報セキュリティ目的及びそれを達成するための計画策定
組織は,関連する部門及び階層において,情報セキュリティ目的を確立しな
ければならない。 情報セキュリティ目的は,次の事項を満たさなければなら
ない。
Copyright SC27/WG1 Japan, 2014
31
f. ISO/IEC27017のISO/IEC27001:2013に基づく
リスクマネジメントのプロセス
• 企業活動に貢献するための情報セキュリティ目的の確立
(事例)
 クラウド顧客に影響する
クラウドサービス
インシデントを減らし、ク
情報セキュリティ目的
事業者の事例
ラウド事業の信頼性を確
(組織の最高位)
保する(インシデント=前
年比50%)
クラウド事業者(営
業部門)の事例
情報セキュリティ目的
(営業部門)
情報セキュリティ目的
(データセンター)
 システム要因によるクラ
 お客様情報を含む営
ウド顧客に影響するイン
業社員のパソコンの紛
シデントの減少(前年比
失インシデントの減少
50%)
(前年比50%)
1.
2.
3.
4.
5.
実施事項
必要な資源
責任者
達成期限
結果の評価方法
1.
2.
3.
4.
5.
情報セキュリティ目的
(クラウドサービス)
 お客様サービス提供前に
必ずSLAを締結(サービ
ス毎に100%)
実施事項
必要な資源
責任者
達成期限
結果の評価方法
Copyright SC27/WG1 Japan, 2014
1.
2.
3.
4.
5.
実施事項
必要な資源
責任者
達成期限
結果の評価方法
32
f. ISO/IEC27017のISO/IEC27001:2013に基づく
リスクマネジメントのプロセス
リスクマネジメントプロセスの定義
① リスクの定義:(ISO/IEC27000)
 目的に対する不確かさの影響
② 情報セキュリティリスクアセスメント:(ISO/IEC27001)
 ISMS の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴う
リスクを特定するため に,情報セキュリティリスクアセスメントのプロセス
を適用する。
③ リスクの特定の定義:(ISO/IEC27000)
 リスク(2.68)を発見,認識及び記述するプロセス。
 注記 1 リスク特定には,リスク源,事象,それらの原因及び起こり得る結果
の特定が含まれる。
 リスク源:それ自体又はほかとの組み合わせによって、リスクを生じさせる
力を本来潜在的に持っている要素
 事象:ある一連の周辺状況の出現又は変化。
④ リスクレベルの定義:(ISO/IEC27000)
 結果(2.14)とその起こりやすさ(2.45)の組合せとして表現される,リス
ク(2.68)の大きさ。
 結果:目的(2.56)に影響を与える事象(2.25)の結末(outcome)
 起こりやすさ:何かが起こる可能性
Copyright SC27/WG1 Japan, 2014
33
f. ISO/IEC27017のISO/IEC27001:2013に基づく
リスクマネジメントのプロセス(営業部門の事例)
リスクの定義=目的に対する不確かさの影響
クラウド事業者 目的に影響を与えるリスク因子 PC自身の保護不足(例えば、
Loginパスワードの強度、暗号
(営業部門)の
リスク源
化されていない重要ファイル)
事例
情報セ
キュリティ
目的
 お客様情報を含む
営業社員のパソコ
ンの紛失インシデ
ントの減少(前年
比50%)
CIAレベル
情報のCIA
の喪失
事象と
原因
結果(Consequence)
「パソコンの紛失」
と「社員の飲酒」
ある一連の周辺状況の出現又は変化
目的に影響を与える事象の結末
お客様から預かったお客
様が漏えいし、お客様の信
頼を失墜、場合により損害
賠償
起こりやすさ(likelihood)
何かが起こる可能性
Copyright SC27/WG1 Japan, 2014
34
f. ISO/IEC27017のISO/IEC27001:2013に基づく
リスクマネジメントのプロセス(営業部門の事例)
情報セキュリティリスクの特定は、「目的に影響を与える事象とその原因、及びその背景
にあるリスク源」の特定が基本であり、以下により情報セキュリティリスクを特定する事例
を説明する。
(1) 情報セキュリティ目的:お客様情報を含む営業社員のパソコンの紛失インシデントの
減少(前年比50%)
(2) リスクアセスメント対象:情報セキュリティ目的に関係するISMS の適用範囲内におけ
る情報資産及びそれの保管形態/保管場所(お客様情報/営業パソコン/携行)
(3) 事象:営業パソコンの紛失
(4) リスク源:パソコン自身の保護不足(例えば、Loginパスワードの強度、暗号化されて
いない重要ファイル)
(5) 原因:社員の飲酒
(6) 結果:お客様から預かったお客様が漏えいし、お客様の信頼を失墜、場合により損害
賠償
(7) リスク所有者:上記で特定されたリスクに対して、リスク所有者を特定する。
(8) リスク特定の結果、リスクの包括的な一覧を作成する。リスク特定の段階では、その
リスクが重要なものかどうかで選別せず、網羅的なリスクの一覧を作成する
Copyright SC27/WG1 Japan, 2014
35
f. ISO/IEC27017のISO/IEC27001:2013に基づくリス
クマネジメントのプロセス(データセンターの事例)
• 企業活動に貢献するための情報セキュリティ目的の確立
(事例)
 クラウド顧客に影響する
クラウドサービス
インシデントを減らし、ク
情報セキュリティ目的
ラウド事業の信頼性を確
事業者の事例
(組織の最高位)
保する(インシデント=前
年比50%)
クラウド事業者(デー
タセンター)の事例
情報セキュリティ目的
(営業部門)
情報セキュリティ目的
(データセンター)
情報セキュリティ目的
(クラウドサービス)
 お客様情報を含む
パソコンの紛失イン
シデントの減少(前
年比50%)
 システム要因によるクラ
ウド顧客に影響するイン
シデントの減少(前年比
50%)
 お客様サービス提供前に
必ずSLAを締結(サービ
ス毎に100%)
1.
2.
3.
4.
5.
実施事項
必要な資源
責任者
達成期限
結果の評価方法
1.
2.
3.
4.
5.
実施事項
必要な資源
責任者
達成期限
結果の評価方法
Copyright SC27/WG1 Japan, 2014
1.
2.
3.
4.
5.
実施事項
必要な資源
責任者
達成期限
結果の評価方法
36
f. ISO/IEC27017のISO/IEC27001:2013に基づくリス
クマネジメントのプロセス(データセンターの事例)
リスクの定義=目的に対する不確かさの影響
クラウド事業者 目的に影響を与えるリスク因子 セキュリティ更新プログ
ラムの機能不足と定期
(データセンター)
リスク源
更新の不徹底
の事例
情報セ
キュリティ
目的
 システム要因による
クラウド顧客に影響
するインシデントの減
少(インシデント発
生:前年比50%)
CIAレベル
情報のCIA
の喪失
事象と
原因
結果(Consequence)
目的に影響を与える事象の結末
「不正侵入及びバックドア
設置を含む不正活動の実
行」と「ハッカーによるセ
キュリティのぜい弱性を使
用しての侵入」
バックドアからの情報盗難
による信用・評判の低下と
損害賠償請求
ある一連の周辺状況の出現又は変化
起こりやすさ(likelihood)
何かが起こる可能性
Copyright SC27/WG1 Japan, 2014
37
f. ISO/IEC27017のISO/IEC27001:2013に基づくリス
クマネジメントのプロセス(データセンターの事例)
情報セキュリティリスクの特定は、「目的に影響を与える事象とその原因、及びその背景
にあるリスク源」の特定が基本であり、以下により情報セキュリティリスクを特定する事例
を説明する。
(1) 情報セキュリティ目的:システム要因によるクラウド顧客に影響するインシデントの減
少(セキュリティ更新プログラムの適用不備によるインシデント発生、前年比50%)
(2) リスクアセスメント対象:情報セキュリティ目的に関係するISMS の適用範囲内におけ
る情報資産及びそれの保管形態/保管場所
(3) 事象:不正侵入及びバックドア設置を含む不正活動の実行(情報の機密性、完全性、
可用性の喪失を引き起こす事象)
(4) リスク源:セキュリティ更新プログラムの機能不足と定期更新の不徹底(それ自体又
はほかとの組み合わせによって、リスクを生じさせる力を本来潜在的に持っている要
素)
(5) 原因:ハッカーによるセキュリティのぜい弱性を使用しての侵入(ぜい弱性は、セキュ
リティパッチの更新不足のため残っていた)
(6) 結果:バックドアからの情報盗難による信用・評判の低下と損害賠償請求(目的に影
響を与える事象の結末)
(7) リスク所有者:上記で特定されたリスクに対して、リスク所有者を特定する。
(8) リスク特定の結果、リスクの包括的な一覧を作成する。リスク特定の段階では、その
リスクが重要なものかどうかで選別せず、網羅的なリスクの一覧を作成する
Copyright SC27/WG1 Japan, 2014
38
参照:情報セキュリティリスクアセスメントの基本的考え方
(ISO/IEC27001:2005)
ぜい弱性レベル
ぜい弱性
アンチウィルスソフトの選定
ミスによる機能不足と、定
期アップデートの不徹底
CIAレベル
情報資産
脅威
マルウェアが侵入、
バックドアの設置を含
む不正活動の実行
脅威レベル
Copyright SC27/WG1 Japan, 2014
39
事例(1):リスクアセスメントの対象
リスク基準:
部門毎に管理策の
内容やレベルが違う
A部門
お客様機密保持契約
対象 →管理策1
B部門
お客様機密保持契約
対象 →管理策2
C部門
お客様機密保持契約
対象 →管理策3
D部門
お客様機密保持契約
対象 →管理策4
①情報資産の分類
A部門
B部門
C部門
D部門
リスク基準(事例)
1.会社内情報
• 会社内機密情報厳格な管理を要する情報
• 会社内機密情報
• 会社内機密情報以外
2.お客様機密情報
• 機密保持契約対象
• 機密保持契約対象でないが機密にする
• 上記以外
3.社員個人情報
• 社員センシティブ情報
• 目的に依ってリ
• 社員関連情報
スクアセスメント
• 社員コンタクト情報
対象が違う
4.お客様個人情報
• 詳細リスク分析
• 個人顧客情報
には、登録され
• 法人担当者センシティブ情報
た個々の情報資
• 法人担当者関連情報
産が適用される
• 法人担当者コンタクト情報
Copyright SC27/WG1 Japan, 2014
40
事例(2):リスクアセスメントの対象
リスク基準:
②関連するその他の資産の分類
A部門
部門毎に管理策の
内容やレベルが違う
A部門
 携行中のUSB上に
NDA対象が保管
→管理策1
B部門
 携行中のUSB上に
NDA対象が保管
→管理策2
C部門
 携行中のUSB上に
NDA対象が保管
→管理策3
D部門
 携行中のUSB上に
NDA対象が保管
→管理策4
B部門
C部門
D部門
リスク基準(事例)
1.ネットワークシステム
• 有線LAN、無線LAN、パブリッククラウド
2.インフラ
• 共用DB、Web、クラウドサービス
3.業務アプリケーション
• 人事、経理等アプリケーション
4.ソフトウェア
・ パッケージ購入、開発、Free software等
5.サーバ
• ファイルサーバ、業務サーバ、部門サーバ等
6.PC等ワークステーション
• 会社所有、部門所有、委託先等
7.ポータブル記憶媒体
目的に依っ
• 部門所有、紙 等
てリスクアセ
8.その他の機器
・ 印刷装置等
スメント対象
9.機器/システムをサポートするUtility
が違う
• UPS、発電機、冷却装置等
Copyright SC27/WG1 Japan, 2014
41
事例(3):リスクアセスメントの対象
リスク基準:

保管形態の設定
保管形態の設定の要領
– 「②関連するその他の資産」として定義し
た資産から選択して、①の情報資産がど
のような資産に保管されるか、取り扱わ
れるかを指定する
– 情報資産がどこに保管されるか、どこで
取り扱われるかを定義するものである
– 一つの情報資産に対して、複数の保管形
態が考えられるときは、複数記述する
例えば、普段センターの共用DBに保管しているが、PC
に保管して携行する場合は、下記の通り、複数通り記述
する
 情報資産: NDA対象 お客様受領資料
・ 保管形態:共用DB 保管場所:社内
 情報資産: NDA対象 お客様受領資料
• 保管形態:PC 保管場所:携行
目的に依っ
てリスクアセ
スメント対象
が違う
同じ情報資産で、保管形
態、保管場所が違う場合
は、複数通り記述
Copyright SC27/WG1 Japan, 2014
42
事例(4):リスクアセスメントの対象
リスク基準:

保管場所の設定
保管場所の設定要領
– 情報資産を保管した資産や取り扱われる資産を物理
的に保管する場所を定義する。基本的に、社内、社外、
移動中 等、わかりやすい定義が良い
– リスク基準
社内
お客様
目的に依っ
てリスクアセ
プロジェクトルーム
スメント対象
委託先
が違う
再委託先
再々委託先以降(再々委託先及びそれ以降全て)
携行
リスク基準(事例)
Copyright SC27/WG1 Japan, 2014
43
事例(5):リスクアセスメントプロセス
- リスク特定とリスク分析 情報セキュリティリスクの特定
目的・目標
アセス
対象
事象
リスク源
原因
営業PC 顧客情/報 PC紛失 PC保護不足 飲酒
/PC/携行
セキュリ 顧客情報
危険
ウィルス 更新不足
/PC/Net
ティ
Web
結果
4
情報セキュリティリスクの分析
4
アセス
目的・目標 対象
リスクレベル計算のためのデータ分析
(事件・事故/セキュリティ内部監査/有効性測定等の
分析結果から)
アセス
起こり
原因
事象
リスク源
対象
やすさ
顧客情/報
/PC/携行 PC紛失
顧客情報
/PC/Net ウィルス
PC保護不足
飲酒
3
更新不足
危険Web
2
事象
リスク源
原因
営業PC PC/携行PC紛失 PC保護不足 飲酒
セキュリ
危険
ティ PC/Net ウィルス 更新不足
Web
Copyright SC27/WG1 Japan, 2014
結果
起こり
やすさ
4
3
4
2
44
事例(5):リスクアセスメントプロセス
- リスク値計算例 リスク値の算出
– リスク値=「結果」+「起こりやすさ」 (和を推奨)
 リスクを許容できない範囲(例)
– 太枠内がリスクレベルである。
– リスク受容レベルを5未満とする、従って、5以上はリスク対応を検
討する。

起こりやすさ
(発生可能性)
結果
(影響度)
まれに発生す
る
たまに起きる
ときどき起き
る
繰り返し起き
る
1
2
3
4
影響極小
1
2
3
4
5
影響小
2
3
4
5
6
影響中
3
4
5
6
7
影響大
4
5
6
7
8
Copyright SC27/WG1 Japan, 2014
45
f. ISO/IEC27017のISO/IEC27001:2013に基づく
リスクマネジメントのプロセス
 7つのリスク対応の選択肢:
① リスクを発生させる活動を開始しない、または継続しない
と決定することによって、そのリスクを回避(avoid)する
こと;
② リスクを取る(take)または増加(increase)させることに
より、機会を追求すること;
③ リスク源(risk source)を取り除くこと;
④ 起こりやすさ(likelihood)を変えること;
⑤ 結果(consequence)を変えること;
⑥ 一つまたは複数の他者とそのリスクを共有(share)するこ
と;および
⑦ 充分な情報を得たうえでの決定により、そのリスクを保有
(retain)すること。
Copyright SC27/WG1 Japan, 2014
46
ご説明内容
1. クラウドセキュリティの国際標準化の経緯
a. SC27 meetingと国際標準化の経緯
b. 日本からの国際標準化の提案
c. クラウド関係の国際標準化のための役割の合意
d. クラウド関係国際標準の開発スケジュールと国際協力体制
2. 安全なクラウドサービスのためにISO/IEC27017の果たす役割
a. ISO/IEC27017の適用範囲(Scope)
b. ISO/IEC27017とISMS認証との関係
c. ISO/IEC27017とISO/IEC27002との関係
d. ISO/IEC27017の構造
e. ISO/IEC27017で使用するクラウドコンピューティングの用語
f. ISO/IEC27017のISO/IEC27001:2013に基づくリスクマネジメ
ントのプロセス
3. ISO/IEC27017の追加のセキュリティ管理策と実施の手引き(事例)
Copyright SC27/WG1 Japan, 2014
47
事例(1) リスクアセスメントの対象
事例:リスクアセスメントの対象(クラウドコンピューティング)
クラウドコンピューティング環境で、一般的に懸念されるリスクが潜む要因は以
下の場合が考えられ、「リスクアセスメント対象」を説明する記述として、以下
の環境を考慮する。
1. コンピューティング資源の一部を共有し、その上に個々の利用者が管理するシステム
が構築されるなど、事業者と利用者関係が緊密かつ複雑である。(管理策事例 1)
2. クラウドコンピューティングサービスは、その提供の仕組みの詳細を利用者が知るこ
とがなくても手軽に利用できる半面、利用者にブラックボックスとなっている。
3. オンプレミスとクラウドコンピューティングサービス、あるクラウドコンピューティ
ングサービスと他のクラウドコンピューティングサービスの併用など、多様な利用が
あり、それらの間の整合性が取りにくい。(管理策事例2)
4. 膨大な利用者が一つの資源を共有している。
5. 仮想化技術を幅広く取り入れており、その結果として、一瞬にして環境が変わる(数
千台のサーバが一瞬に消えるなど)。
6. 論理環境と物理環境が多様に入り組んだ複雑で巨大なコンピュータシステムである。
7. 資源がグローバルに分散配置されている。(管理策事例3)
8. クラウドコンピューティングサービス上に他のクラウドコンピューティングサービス
が行われるなど、クラウドを組み合わせたサービスが存在する。
Copyright SC27/WG1 Japan, 2014
48
事例(2) リスク源の事例
参照:リスク源の事例(クラウドコンピューティング)
リスク源
クラウドサービス利用者
 Loss of governance
 Responsibility ambiguity
 Isolation failure
 Vendor lock-in(管理策事例
2)
 Compliance and legal risks
 Handling of security incidents
 Management interface
vulnerability
 Data protection
 Malicious behaviour of
insiders
 Business failure of the
provider
 Service unavailability
 Migration and integration
failures
 Evolutionary risks
 Cross-border issues
 Insecure or incomplete data
deletion
クラウドサービス事業者
 Responsibility ambiguity
 Inconsistency and conflict of
protection mechanisms
 Isolation failure(管理策事
例 1)
 Unauthorized access to the
provider's systems.
 Jurisdictional conflict(管理
策事例3)
 Insider Threats
 Supply Chain vulnerability
Copyright SC27/WG1 Japan, 2014
49
事例(3) ISO/IEC27017の管理策
管理策No. 管理策内容 実施の手引き
管理策事例0
5.1.1
CSC
CSP
○
○
ポリシー
管理策事例1 CLD9.5.1 仮想環境の
保護
管理策事例2
12.3.1 バックアップ
管理策事例3
18.1.1 法的要求事
項、法域
Copyright SC27/WG1 Japan, 2014
○
○
○
○
○
50
管理策事例0: ISO/IEC27002(本文 5.1.1)
• クラウド利用者/事業者向けImplementation guidanceの例
– 27002: 5.1.1 Policies for information security
•
•
Control
A set of policies for information security should be defined, approved by
management, published and communicated to employees and relevant
external parties.
 上記は27017に記述されていないが、27017に適用される.
Implementation guidance
At the highest level, organizations should define an “information security
policy” which is approved by management and which sets out the
organization’s approach to managing its information security objectives.
Information security policies should address requirements created by:
a) business strategy;
b) regulations, ……
At a lower level, the information security policy should be supported by topicspecific policies, which further mandate the implementation of information
security controls and are typically structured to address the needs of certain
target groups within an organization or to cover certain topics. (continue)
Copyright SC27/WG1 Japan, 2014
51
事例0: ISO/IEC27002(本文 5.1.1)
• クラウド利用者/事業者向けImplementation guidanceの例
– 27002: 5.1.1 Policies for information security
•
Implementation guidance
Examples of such policy topics include:
a) access control (see Clause 9);
b) information classification (and handling) (see 8.2);
c) physical and environmental security (see Clause 11);
d) end user oriented topics such as:
e) backup (see 12.3);
f) information transfer (see 13.2);
g) protection from malware (see 12.2);
h) management of technical vulnerabilities (see 12.6.1);
i) cryptographic controls (see Clause 10);
j) communications security (see Clause 13);
k) privacy and protection of personally identifiable information (see 18.1.4);
l) supplier relationships (see Clause 15).
 上記は27017に記述されていないが、27017に適用される.
Copyright SC27/WG1 Japan, 2014
52
事例0: ISO/IEC27017(本文 5.1.1)
• クラウド利用者/事業者向けImplementation guidanceの例
– 27017: 5.1.1 Policies for information security
Control 5.1.1 and the associated implementation guidance and other
information specified l in ISO/IEC 27002 apply. The following sectorspecific guidance also applies .
Cloud service customer
Cloud service provider
An information security policy for
cloud computing should be
defined as a topic-specific policy
of the cloud service customer.
The cloud service customer’s
information security policy for cloud
computing should be consistent with
the organization’s acceptable levels
of information security risks for their
information and other assets.
When defining the information
The cloud service provider should
augment its information security
policy to address the provision and
use of its cloud services taking the
following into account:
- the baseline information security
requirements applicable to the
design and implementation of the
cloud service;
- risks from authorised insiders;
- multi-tenancy and customer
Copyright SC27/WG1 Japan, 2014
53
事例1:リスクの特定の手順
参照:事例1.(クラウドコンピューティング)
 事例1(事象: CSPへの侵入、リスク源: CSPのmulti-tenantの分離のぜ
い弱性、結果:CSC1のデータ紛失)
考え方 リスクアセス
(事例) メント対象
事象 及び
その原因

 事例:コンピュ  事例:「CSC2から  事例:CSP
CSPへの侵入」及
ーティング資源
multi-tenantの分
び「CSC2での悪意
の一部共有
離のぜい弱性(
の運用管理」
不完全さ)
(注)
リスクの特定は、
各組織の情報セ
キュリティ目的
の下で実施され
る
CSC
1
結果
リスク源
事例:CSC1のデ
ータにアクセスさ
れデータが削除、
その結果、信頼性
喪失
CSP
データ紛失が発生
(CSC1のアクセス
制御の変更なし)
CSC
2
CSC2からCSPへ侵入
CSPのmulti-tenant
の分離のぜい弱性
CSPへの侵入(Direct Threat:
multi-tenantのクラウドへ侵入
、その後CSC1のデータにアク
セス・削除)
Copyright SC27/WG1 Japan, 2014
54
事例1:ISO/IEC27017の箇条
(Annex A CLD.9.5.1)
• クラウド事業者向けImplementation guidanceの例
– 27017: Annex A CLD.9.5.1 Protection of virtual
environment
•
•
Control
A cloud service customer’s virtual environment running on a cloud
service should be protected from other cloud service customers and
unauthorized persons.
Implementation guidance
Cloud service provider
The cloud service provider should enforce segregation of virtualized applications,
operating systems, storage, and networks for the following:
• separation of cloud service customers in multi-tenant environments;
• separation of the cloud service provider’s internal administration from the
cloud service customers’ virtual environments.
The cloud service provider should restrict the use of customer-supplied software
in the virtual environment that can override the protection of virtual environments
for other cloud service customers.
Copyright SC27/WG1 Japan, 2014
55
事例2:リスクの特定の手順
参照:事例2.(クラウドコンピューティング)
 事例2(事象: CSCデータ破壊、システム停止, リスク源:CSPロッ
クイン(lock-in)、結果:システム停止後、再開できない)
考え方 リスクアセス
(事例) メント対象
事象 及び
その原因
結果
リスク源
 事例:CSP
 事例:異なるサ  事例:データ破
ービス間の整合
壊(CSC)及びシス
(開発)の
性
lock-in
テム停止(CSC
(注)
)。データ破壊
リスクの特定は、
がシステム停止
に直結。
各組織の情報セ
キュリティ目的の
CSP
CSP
CSC
下で実施される
1
2
データ破壊が発生
 取得していたバ
ックアップが使
用できず、シス
テ停止後、再開
始できない
クラウドの範囲
当該クラウドの使用を中止して別システム(例え
ば別クラウド、又は自社システム)に移行。取っ
ていたバックアップデータを使用しようとしたが
、lock-inのため、使用できない(システム停止によ
る運用の継続ができない)
CSP
(開発)
直接クラウドに属さないがク
ラウドのソフトを開発した
CSPがlock-inの場合
Copyright SC27/WG1 Japan, 2014
56
事例2:ISO/IEC27002の箇条(本文 12.3.1)
• クラウド利用者/事業者向けImplementation guidanceの例
– 27002: 12.3.1 Information backup
•
•
Control
Backup copies of information, software and system images should be taken
and tested regularly in accordance with an agreed backup policy.
 27017には、記述されませんが、この内容が、適用の対象となります
Implementation guidance
A backup policy should be established to define the organization’s
requirements for backup of information, software and systems.
The backup policy should define the retention and protection requirements.
Adequate backup facilities should be provided to ensure that all essential
information and software can be recovered following a disaster or media
failure.
When designing a backup plan, the following items should be taken into
consideration:
a) accurate and complete records of the backup copies and documented
restoration procedures should be produced; …….
 27017には、記述されませんが、この内容が、適用の対象となります
Copyright SC27/WG1 Japan, 2014
57
事例2:ISO/IEC27017の箇条(本文 12.3.1)
• クラウド利用者向けImplementation guidanceの例
– 27017: 12.3.1 Information backup
Control 12.3.1 and the associated implementation guidance and other
information specified in ISO/IEC 27002 apply. The following sectorspecific guidance also applies .
cloud service customer
Where backup capability is provided by the cloud service provider as part of the
cloud service, the cloud service customer should request the specifications of the
backup capability from the cloud service provider and should verify that they
meet the backup requirements of the cloud service customer.
Where no backup capability is provided as part of the cloud service, then the
cloud service customer is responsible for handling backups.
Copyright SC27/WG1 Japan, 2014
58
事例2:ISO/IEC27017の箇条(本文 12.3.1)
• クラウド事業者向けImplementation guidanceの例
– 27017: 12.3.1 Information backup
cloud service provider
The cloud service provider should provide the specifications of its backup
capabilities to the cloud service customer. The specifications should include the
following information, as appropriate:
- scope and schedule of backups;
- backup methods and data formats, including encryption, if relevant;
- retention periods for backup data;
- procedures for verifying integrity of backup data;
- procedures and timescales involved in restoring data from backup;
- procedures to test the backup capabilities;
- storage location of backups.
The cloud service provider should provide secure and segregated access to
backups, such as virtual snapshots, if such service is offered to cloud service
customers.
Copyright SC27/WG1 Japan, 2014
59
事例3:リスクの特定の手順
参照:事例3.(クラウドコンピューティング)
 事例3(事象:CSPで事件、リスク源: 法域の不一致(jurisdictional
conflict)、結果:CSC1の個人情報漏えい)
考え方 リスクアセス
(事例) メント対象
事象 及び
その原因
 事例:資源のグ  事例:CSPで事
ローバルな分散
件発生(CSP)。
配置
この原因は、セ
キュリティに関
係なし。
リスク源
 事例:CSP
jurisdictional
conflict
結果
 事例:CSC1の
個人情報漏えい
(注)
リスクの特定は、
各組織の情報セ
キュリティ目的の
下で実施される
CSC
1
CSP
CSCの法域でCSPを使
用。CSCの利用者は、
CSCの法律が適用され
ると考える(CSCの個
人情報漏えいが発生)
CSPの法域
(例えば米国)
Copyright SC27/WG1 Japan, 2014
CSPの法域で事件
(セキュリティと関係な
い)が発生、法律によ
りデータ閲覧、その結
果、CSCの個人情報
漏えい(CSCとCSP
の法域のConflictが
発生)
60
事例3:ISO/IEC27017の箇条(本文 18.1.1)
• クラウド利用者/事業者向けImplementation guidance
の例
– 27002: 18.1.1 Identification of applicable legislation and
contractual requirements
•
Control
All relevant legislative statutory, regulatory, contractual requirements and the
organization’s approach to meet these requirements should be explicitly
identified, documented and kept up to date for each information system and
the organization; ・・・・・・・・
 27017には、記述されませんが、この内容が、適用の対象となります
• Implementation guidance
The specific controls and individual responsibilities to meet these
requirements should also be defined and documented. Managers should
identify all legislation applicable to their organization in order to meet the
requirements for their type of business. If the organization conducts business
in other countries, managers should consider compliance in all relevant
countries.
 27017には、記述されませんが、この内容が、適用の対象となります 61
Copyright SC27/WG1 Japan, 2014
事例3:ISO/IEC27017の箇条(本文 18.1.1)
• クラウド利用者向けImplementation guidanceの例
– 27017: 18.1.1 Identification of applicable legislation and
contractual requirements
Control 18.1.1 and the associated implementation guidance and other
information specified in ISO/IEC 27002 apply. The following sectorspecific guidance also applies .
cloud service customer
The cloud service customer should consider the issue that relevant laws and
regulations can be those of jurisdictions governing the cloud service provider, in
addition to those governing the cloud service customer.
The cloud service customer should obtain evidence about the cloud service
provider’s compliance with relevant regulations and standards required for the
cloud service customer’s business. Such evidence could include certifications,
which might be produced by third party auditors.
Copyright SC27/WG1 Japan, 2014
62
事例3:ISO/IEC27017の箇条(本文 18.1.1)
• クラウド事業者向けImplementation guidanceの例
– 27017: 18.1.1 Identification of applicable legislation and
contractual requirements
cloud service provider
The cloud service provider should inform the cloud service customer of the legal
jurisdiction governing the cloud service agreement.
The cloud service provider should identify its own relevant legal requirements (e.g.,
regarding the use of encryption to protect PII.) This information should also be
provided to the cloud service customer when requested.
The cloud service provider should provide the cloud service customer with
evidence of their current compliance with applicable legislation and contractual
requirements.
Copyright SC27/WG1 Japan, 2014
63
おわりに
ご清聴有難うございました。
工学院大学情報学部
ISO/IEC JTC1/SC27/WG1国内主査
ISO/IEC 27017 Project Editor
クラウド・セキュリティコントロール専門委員会委員長
山﨑
哲
Copyright SC27/WG1 Japan, 2014
64