確認・評価リスト編

クラウドサービス提供における
情報セキュリティ対策ガイドライン 適用実態の
確認・評価リスト
クラウドサービス提供における情報セキュリティ対策ガイドライン使い方ガイド
【抜粋版】
平成 27 年 1 月
特定非営利活動法人 ASP・SaaS・クラウド コンソーシアム
はじめに
特定非営利活動法人 ASP・SaaS・クラウドコンソーシアム(ASPIC)では、「クラウドサービス提供における情報
セキュリティ対策ガイドライン ~利用者との接点と事業者間連携における実務のポイント~」(総務省、平成 26 年
4 月)の指針をクラウド事業者に広く普及・浸透させ、日々活用できる環境を構築するために、当該ガイドラインの使
い方を解説するガイドを公表している。
本資は、ASPIC が公表したガイドから、クラウド事業者が、利用者との接点及び事業者間連携において実施すべ
き実務をどのように適用しているかの実態を、確認・評価するためのチェックリスト(確認・評価リスト)を抜粋したもの
である。クラウドサービスの利用者においても、サービスを比較・評価して選択する際に、このチェックリストを参考として、
共通の比較項目を設定することができる。
なお、他のクラウドサービスを利用してサービスを提供するクラウド事業者もまた、クラウド利用者であることを、ここで
附記しておく。
目次
1.
背景と趣旨 ................................................................................................................................. 1
1.1
ICT サプライチェーンとステークホルダーの定義 ...................................................................................... 1
1.2
想定読者 ........................................................................................................................................ 1
1.3
用語の定義 ..................................................................................................................................... 1
2.
利用者との接点と事業者間連携における実務の実施状況の確認・評価について ................................ 3
2.1
確認・評価リストを用いたガイドライン適用状況の確認 .......................................................................... 3
2.2
クラウド利用者による統制を確保するための実務に係る確認・評価リスト................................................. 6
2.3
クラウド利用者への情報提供のための実務に係る確認・評価リスト ....................................................... 12
2.4
クラウド利用者とクラウド事業者によるコンプライアンス確保のための実務に係る確認・評価リスト ............... 14
2.5
情報セキュリティマネジメントの技術的実装に向けた実務に係る確認・評価リスト.................................... 16
2.6
認証取得、監査、証拠収集の際のテナント分離のための実務に係る確認・評価リスト ........................... 19
ANNEX A ガイドラインの管理策と本資の記述箇所の対応について ...................................................... 20
1.
ガイドラインの管理策と本資第2章の記述箇所の対応一覧表 ....................................................... 20
i
1.
背景と趣旨
1.1
ICT サプライチェーンとステークホルダーの定義
本資では、クラウド利用者(クラウドサービスの提供を受ける組織)、クラウド事業者(クラウドサービスを提供する
組織)、供給者(クラウド事業者が構築する ICT サプライチェーンの一部を成し、クラウド事業者とデータ、サービス等
で連携する組織)を図表1に従って定義する。
図表 1 クラウド利用者、クラウド事業者、供給者の関係と ICT サプライチェーン
クラウド利用者
読者の目線
クラウドサービス提供
クラウド事業者
供給者
クラウドサービス提供
供給者
他の供給者とのデータ連携等
複数の供給者からのクラウドサービス提供
他の供給者の
クラウドサービス活用
ICTサプライチェーン
1.2
想定読者
本資の主たる想定読者は、ICT サプライチェーンを構築し、インフラを借り受けてアプリケーションサービスを中心にサ
ービス提供するクラウド事業者である。インフラ提供サービスをクラウド利用者に提供する基幹事業者においても、本資
を参考にすることができる。
さらに、安心で信頼できるクラウドサービスを選択したいと積極的に取り組んでいるクラウド利用者にとっても、本資の
内容は参考になるはずである。
1.3
i.
用語の定義
クラウド事業者のセキュリティ管理に係る内部統制保証報告書
受託業務(クラウドサービス)を提供するクラウド事業者の、セキュリティ・可用性・処理のインテグリティ・機密保持
に係る内部統制を、クラウド利用者に対して保証する目的で、監査人等が作成する報告書のこと。クラウド利用者は、
クラウド事業者からこの報告書の提供を受けることで、クラウド事業者を管理監督する責任を代替できる。
「クラウド事業者のセキュリティ管理に係る内部統制保証報告書」としては、我が国では、日本公認会計士協会が
実務指針を公開した IT 委員会実務指針第 7 号「受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持
に係る内部統制の保証報告書」(以下、「IT 実 7 号」という。)がある。海外では、米国で実務指針が策定された、
1
サービス・オーガニゼーション・コントロール報告書(以下、「SOC2」という。)等がある。
ii.
クラウド事業者の内部統制保証報告書
財務報告に関連する受託業務(クラウドサービス)を提供するクラウド事業者の内部統制を、クラウド利用者に対
して保証する目的で、監査人等が作成する報告書のこと。クラウド利用者は、クラウド事業者からこの報告書の提供
を受けることで、クラウド事業者を管理監督する責任を代替できる。「クラウド事業者の内部統制保証報告書」の利
用は、クラウド事業者の経営者、クラウド利用者及びその監査人に限定されている。
「クラウド事業者の内部統制保証報告書」としては、我が国では、日本公認会計士協会が実務指針を公開した
監査・保証実務委員会実務指針第 86 号「受託業務に係る内部統制の保証報告書」(本ガイドラインでは、「監
保実 86 号」という。)がある。海外では、米国公認会計士協会(AICPA)が実施基準(米国保証業務基準書
第 16 号)を策定した「ISAE3402/SSAE16 報告書」等がある。
その他の用語の定義は、総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン ~利用者との接
点と事業者間連携における実務のポイント~」(以後、「ガイドライン」という。)の「第Ⅰ部 6.用語及び定義」に
準ずる。
2
2.
利用者との接点と事業者間連携における実務の実施状況の確認・評価について
ここでは、利用者との接点と事業者間連携における実務の実施状況を確認・評価するための方法について示す。
2.1
確認・評価リストを用いたガイドライン適用状況の確認
(1) 確認・評価リスト作成の狙い
【確認・評価リスト作成の狙い】
 クラウド事業者に対する狙い
 ガイドライン第Ⅱ部に示した実務を、利用者との接点で実施する実務と事業者連携に関して実施する実務に区分けし、そ
れぞれについて現在の実施状況を確認・評価するため
 このフレームワークを用いて確認した現状についての情報を、クラウド利用者や供給者への情報提供に役立てるため
 クラウド利用者に対する狙い
 このフレームワークを参考にし、クラウド事業者に情報提供を要請し、自らの情報セキュリティマネジメントポリシーや預託情報
の管理水準に即したクラウドサービスの選択に役立てるため
 複数のクラウド事業者から同じフレームワークに基づいて確認・評価された情報を収集し、ベンチマーキングを行って、最もニー
ズに合うクラウドサービスを選択するため
【インフラを基幹事業者から借り受けてアプリケーションサービスを提供する
クラウド事業者の使い方】
供給者の統制の実施状況の
確認に適用
クラウド利用者との接点
における実務の実施状
況の確認に適用
【基幹事業者の使い方】
クラウド利用者との接点
における実務の実施状
況の確認に適用
クラウド利用者による統
制を確保するための実務
利用者との接点
事業者間連携
クラウド利用者による統
制を確保するための実務
利用者との接点
クラウド利用者とのコミュ
ニケーションにおける実務
利用者との接点
事業者間連携
クラウド利用者とのコミュ
ニケーションにおける実務
利用者との接点
クラウドサービス運用にあ
たってのコンプライアンスの
確保
利用者との接点
事業者間連携
クラウドサービス運用にあ
たってのコンプライアンスの
確保
利用者との接点
技術的実装の選択
利用者との接点
事業者間連携
大規模障害防止
に係る実務の実施
状況の確認に適用
技術的実装の選択
利用者との接点
事業者間連携
認証取得、インシデント
対応、監査等にあたって
の利用者ごとの資産・証
跡の特定
利用者との接点
認証取得、インシデント
対応、監査等にあたって
の利用者ごとの資産・証
跡の特定
利用者との接点
(2) 確認・評価リストの使い方
i. インフラを基幹事業者から借り受けてアプリケーションサービスを提供するクラウド事業者
確認・評価リストの利用者との接点の部分を活用して、利用者との接点における実務の実施状況を確
認・評価する。また、確認・評価リストの事業者連携の部分を活用して、供給者の統制に係る実務の実施
状況を確認する。
3
ii. インフラサービスを提供する基幹事業者
確認・評価リストの利用者との接点の部分を活用して、利用者との接点における実務の実施状況を確
認・評価する。また、自らが供給者となることを前提として、確認・評価リストの 2.5(b)に基づき、大規模障
害防止に係る実務の実施状況を確認・評価する。
(3) 確認・評価する対象 ~「利用者との接点と事業者間連携における実務」の実施のポイントとは~
「利用者との接点と事業者間連携における実務」の実施のポイントとは、チェックリストの形式となっている確
認・評価リストにおいて、実施を確認・評価する項目である。それぞれの実施ポイントの実施状況を確認するた
めに、複数の確認・評価項目が設定される(図表 2 参照)。
図表 2 実施のポイントの実施状況を確認するための、確認・評価項目の設定例
【実施のポイント】
【確認・評価項目】
クラウド利用者が用いるモバイル機器の不正利用禁止、パスワー ド管理等
1.クラウド利用者の責任範囲で実施す
べき管理策の明確化
2.サービス利用制限等のクラウド事業
者側に求められる対応
クラウド事業者側で、クラウド利用者による資源の大量利用を制限
クラウド利用者の情報処理施設のマルウェア感染に伴う、クラウド事業者側の対応
クラウド利用者がIaaS/PaaSにインストールするソフトウェアに対する、クラウ ド事業者が行う制限措置
クラウド利用者の情報処理施設の脆弱性・パスワード管理不足に起因した預託情報の損傷等の責任の明示
(4) 確認・評価項目と確認・評価の仕方
各確認・評価項目には、ベースラインと目指すべき水準を設定する。但し、定量的なレベルを評価できる評
価指標の場合は、組織の実態によって目指すべき水準が大きく異なっているため、ベースラインと目指すべき水
準は示さない。本ガイドを利用する各組織の実態に即して値を補っていただきたい。
ベースラインでは、現時点でも実現しておくべき管理水準を示している。これに対し、目指すべき水準では、現
時点では実現困難であっても、今後に向けて実現を目指すべき管理水準を示している(図表 3 参照)。
4
図表 3 確認・評価項目と確認・評価の仕方
確認項目の場合
※定性的にどのレベルまで実施されているかを確認する項目
【確認・評価項目】
【目指すべき水準】
【ベースライン】
クラウド利用者の情報処理
施設のマルウェア感染に伴う、
クラウド事業者側の対応
 クラウド利用者への事実の通知
 クラウド事業者側の情報処理
施設のマルウェア検出措置
クラウド利用者のサービス利
用の一時停止
現時点で実現すべき管理
水準
評価指標の場合
【確認・評価項目】
暗号化に用いる鍵の長さ
現時点では困難でも、実
現を目指すべき管理水準
【関連する管理策】
12.2.1 (c)(g)
根拠となるガイドラインの
管理策
※サービスレベルを定量的に評価する指標
【目指すべき水準】
【ベースライン】
-
-
組織により実態が異なるた
め示していない
組織により実態が異なるた
め示していない
【関連する管理策】
10.1.2 (a)
根拠となるガイドラインの
管理策
クラウド事業者が、ベースラインを確保しつつ、目指すべき水準を達成するための方策を検討することを期待
する。
5
2.2
クラウド利用者による統制を確保するための実務に係る確認・評価リスト
(a) 利用者との接点
項番
実施のポイント
確認・評価項目
ベースライン
目指すべき水準
1.クラウド利用者の責任範囲/役割、挙動監視、証跡記録、緊急時の利用制限、クラウド利用者の支援等
1-1
クラウド利用者の責任範 クラウド事業者の責任範囲と役 SLA で明示
クラウド利用者によ
囲と役割の明確化
割を SLA で明示することで、クラ
る、自らの責任範囲
ウド利用者側の責任範囲と役割
と役割の正確な理
の意識を喚起
解
1-2
クラウド利用者の責任範 クラウド利用者が用いるモバイル クラウド利用者による、 ク ラ ウ ド 利 用 者 に よ
囲で実施すべき管理策 機器の不正利用禁止、パスワー 改造端末利用の禁止 る、スクリーンショット
の明確化
ド管理等(クラウド事業者からク マルウェアに感染したモ 禁止等の不正に預
ラウド利用者に要請し、同意を バイル機器によるクラウ 託情報をローカル保
ドサービス利用の禁止
存させないための措
サービス利用制限等のク 得ることが求められる)
十分な強度のパスワー 置
ラウド事業者側に求めら
ド設定
れる対応
クラウド利用者によ
る、モバイル機器の
業務データを他のシ
ステムと同期させない
対策
クラウド事業者側で、クラウド利 利 用 で き る 資 源 の 上 -
用者による資源の大量利用を制 限設定とそれを実現す
限
るための措置
クラウド利用者の情報処理施設 クラウド利用者への事 クラウド利 用者 のサ
のマルウェア感染に伴う、クラウド 実の通知
ービス利用の一時停
事業者側の対応
クラウド事業者側の情 止
報処理施設のマルウェ
ア検出措置
クラウド利用者が IaaS/PaaS に マルウェアに感染したソ クラウドサービス上に
インストールするソフトウェアに対 フトウェアのインストール インストールできるソ
する、クラウド事業者が行う制限 禁止
フトウェアの範囲の制
措置
限
クラウド利用者の情報処理施設 クラウド利用者による、 -
の脆弱性・パスワード管理不足 クラウド事業者の免責
に起因した預託情報の損傷等の への同意
責任の明示
1-3
クラウド事業者による、ク クラウド事業者による、クラウド利 不正利用の監視
-
ラウド利用者 の挙動監 用者の不正なネットワーク/ネット
視、証跡記録、レビュー
ワークサービス利用の監視
クラウド事業者による、クラウド利 クラウド利用者の特権 -
用者の特権ユーザによる特権利 利用ログの特権ユーザ
用の監視
単位での取得・記録と
レビュー
クラウド事業者による、クラウド利 ➔
インストール/変更の
用者がインストール・変更するソフ
ログ記録
トウェアのインストール/変更履歴
の記録
クラウド利用者とクラウド事業者 クラウド事業者の特権 クラウド利用者とクラ
の適切な運用責任の分担の検 利用ログを特権ユーザ ウ ド 事 業 者 の 特 権
証
単位で取得・記録
利用ログの突合によ
る検証
1-4
クラウド事業者による、緊 クラウド事業者による、クラウド利 制限事項の定義
証拠として利用でき
急時のクラウド利用者の 用者が証拠として利用できる情
る 情 報 へ の アク セ ス
証拠へのアクセス制限
報へのアクセス制限
許諾手順の確立
6
関連する管理
策
6.1.1(a)
6.2.1(a)(b)
(d)
12.1.3(c)
12.2.1(c)
(g)
12.5.1(a)
(d)
9.4.1(f)(h)
9.1.2(e)
9.4.4(c)(d)
(e)
12.5.1(e)
12.4.3(a)
16.1.7(c)
1-5
クラウド利用者が行う監
査・レビューに係るクラウド
事業者側の対応を簡素
化する措置
クラウド事業者による、外部監査
済み言明書の公開
クラウド事業者による、言明に対
する外部監査報告書(その他
関連する監査報告書)の情報
開示
クラウド事業者による、「セキュリテ
ィ管理に係る内部統制保証報
告書」の情報開示
クラウド事業者による、取得した
認証の公開
➔
監査済み言明書の
公開
監査報告書の情報
開示
12.7.1(b)
監査報告書の情報
開示
12.7.1(b)
取得した認証の一覧
公開
-
12.7.1(b)
分類基準の定期的レビューと継
続的改善
説明責任の主体の明示
説明責任の範囲の明示
クラウド利用者からの要請に個別
に応えられる範囲の明示
形態、規模、費用の
監視によるレビュー
➔
➔
➔
継続的改善の仕組
み構築
主体の明示
範囲の明示
範囲の明示
➔
12.7.1(b)
【その他推奨される実施内容】
 「クラウド利用者が、自組織が求める統制を満たすために行う管理」を支援できる機能・サービスの SLA 等による明示:6.3.1(b)(c)
 残務諸表関連に限定されるが、クラウド事業者による、日本公認会計士協会の監査・保証実務委員会実施指針第 86 号、又は米国
公認会計士協会(AICPA)の米国保証業務基準書第 16 号に基づく監査の実施は、1-5 の補完として有効な場合がある:12.7.
1 本文
2.クラウド事業者の責任範囲/役割、サービスレベル保証、緊急時における情報集約と継続的な対応改善
2-1
情報セキュリティマネジメ SLA による明示
SLA への記載
SLA の公開
6.1.1(a)
ントに係る責任範囲と役
割の明示
2-2
ICT サプライチェーン全体 責任を適切に分担できる供給者 供給者の SLA 規定に 明 文 化 さ れ た 選 定 6.1.1(d)
のサービスレベル保証に の選定
基づく選定
基準に基づく選定
係る責任範囲
責任範囲の定義と文書化*
責任範囲の定義と明 SLA への記載
6.1.1(d)
文化
2-3
クラウド事業者と供給者 SLA による明示
責任が分散している旨 クラウド事 業者 と供 15.1.1(b)
の責任範囲と役割分担
の明示
給者の責任範囲と
の明示
役割分担を明示
2-4
情報セキュリティ事象の 受付窓口設定による情報集約
受付窓口設置・周知
クラウド利 用者 と供 16.1.2(b)
情報の集約
利用者からの情報受 給者の両方からの情 (c)
付
報集約
2-5
緊急対応を起動する条 情報セキュリティインシデントの分 分類基準の設定
SLA での明示
16.1.4(a)
件の設定と継続的改善
類基準設定
(b)
2-6
説明責任遂行の方針の
明示
16.1.4(c)
6.1.1(e)
6.1.1(e)
6.1.1(e)
【その他推奨される実施内容】
 クラウド利用者から委託されない限り、預託情報の内容は一切非利用・非開示であることを、管理ポリシーに明示:8.1.2 本文
*供給者との間で、データ連携等を個別の仕組みを新たに構築して実現する場合は、供給者との間で分担する責任と役割の調整及び管理に係る事項につ
いても明文化しておくことが望ましい。
3.公正な取引の確立(クラウドサービス選択に供する情報提供、監査・レビューの充実、クラウドサービス利用終了時の対応)
3-1
預託情報の管理水準や 預託情報の管理水準の分類に クラウドサービスごとの 各クラウドサービスに 8.2.1(a)(b)
具体的な運用方法等に ついての情報の公開
分類
おけるデータ保存国
係る情報提供
ごとの分類
データ、伝送路、バックアップに係 クラウド利用者に限定 公開
10.1.1(b)
る暗号化の適用範囲の公開
した公開
(c)
技術的ぜい弱性管理の実施方 クラウド利用者に限定 公開
12.6.1(b)
針の公開
した公開
3-2
監査結果に係る情報提 外部監査済み言明書の公開
➔
言明書の公開
12.7.1(b)
供
外部監査報告書の情報開示
➔
報告書の情報開示
12.7.1(b)
7
3-3
3-4
3-5
3-6
3-7
3-8
オンプレミスからの移行時
の情報セキュリティマネジ
メントに係る助言
「情報セキュリティインシデ
ント時の提供する情報の
内容及びタイミング」に係
る情報提供
クラウド利用者自身によ
る預託情報を保存する
国の選択
助言への取組方針の公開
利用者個別の対応
(方針は非公開)
サービスの一環として
助言範囲を公開
13.1.4(c)
クラウド利用者への情報提供
提供する情報の内容
を公開
情報提供するタイミ
ング(5 分おき等)
に係る方針の公開
16.1.4(d)
選択の可否
選択手段の提供
16.1.7(e)
レビュー・監査の充実
クラウドサービス利用に供するネッ
トワーク/ネットワークサービスの不
正利用のレビュー
特権の不正利用のレビュー
インシデント分類基準の妥当性
レビュー
供給者のレビュー・監査結果の
入手
結果の反映
定期的レビューの実施
クラウド利用者の選
択に資する、各国の
法制度等の我が国
との違いの情報提供
監査実施
定期的レビューの実施
手法を策定
監査実施
レビューの実施
12.4.3(d)
16.1.4(c)
供給者への都度の問
合せの実施
➔
レ ビュ ー・ 監査 結 果
の入手
反映の実施
18.2.1(a)
預託情報の返却
返却時のデータ書式は
用意済
実現方法の情報提供
サービス提供(有料
含む)
文書等による保証
8.1.5(b)(c)
13.2.2(e)
8.1.5(d)(e)
ク ラ ウ ド 事 業 者 の レ ビュ
ー・監査に対する、供給
者のレビュー・監査結果
の反映
クラウド利用者のサービス
乗り換えの可否
預託情報の完全な消去・破壊
【その他推奨される実施内容】
 最適な資源配置の実現状況と運用設定の定期的なレビューの実施:12.1.3(e)
 監査の定期的実施、管理策の十分性の確認を効率的・効果的に実施するための監査対象の明確化:12.7.1(a)
※クラウド事業者の企業規模によらず、外部監査を受けやすくする環境作りが期待される。
4.広域災害時の運用方針
4-1
サービス継続優先 or 預 方針の策定
策定済み
公開済み
託情報保護優先の方針
9.1.2(e)
18.2.1(a)
17.2.1(f)
(b) 事業者間連携
項番
実施のポイント
確認・評価項目
ベースライン
目指すべき水準
1.共通ポリシー適用・責任範囲分担等に係る、クラウド事業者の方針に基づく、適切な供給者の選定
1-1
情報セキュリティマネジメ 供給者との、情報セキュリティマネ 供給者が提供する利 アクセス制御、ログ取
ントに係る共通ポリシー/ ジメントに係る責任範囲の分担 用規約、SLA への同 得・記録、インシデント
要求事項の適用、並び への同意*
意
時の連絡、技術情報
に責任範囲の適正な分
提供等に係る詳細事
担を実現するため、クラウ
項への同意
ド事業者が明確な方針 共通して適用する情報セキュリテ 供給者が提供する利 ICT サプライチェーン全
を定め、これに同意でき ィポリシーの適用範囲と内容の同 用規約、SLA への同 体での一貫性の実現
る供給者を選定
意*
意
クラウドサービス全体でサービスを 要求事項の特定
供給者との間の SLA
継続するために必要な情報セキ
等で必要な要求事項
ュリティ要求事項に関する同意*
等について同意
1-2
供給者との接続において 供給者との間のサービス接続にお 証 跡 の 取 得 ・ 記 録 の 証 跡 の 取 得 と 記 録 を
生じる証跡の記録・管理 いて生じる証跡の取得と記録を 管 理 に 係 る 共 通 方 確実にするため、供給
針 、 並 び に 責 任 の 範 者の責任範囲 で行う
に 係 る 共 通 方 針 の 適 確実にすること*
囲について、供給者の べきことの実施状況の
用、並びに責任範囲の
レビュー
SLA に記載して同意
適正な配分を実現する
ため、クラウド事業者が
明確な方針を定め、これ
8
関連する管
理策
15.1.1(b)
(d)
15.1.1(a)
15.1.3(a)
15.1.1(d)
に同意できる供給者を
選定
*供給者とのデータ連携等を個別の仕組みを新たに構築して対応する範囲に限っては、共通ポリシー適用や分担する責任範囲等について、当該供給者との
間で調整し、明確化して合意することが求められる。
2.サービスレベル保証、アクセス制御、ログ記録、情報転送、緊急時の連絡等の要求を満たす供給者選定
2-1
供給者の責任範囲にお クラウドサービス全体でのサービス ➔
供給者に対する要求
ける、サービスレベルの必 レベルを保証するために、必要な
事項の特定
要水準維持
責任範囲を分担できる供給者を
SLA 等の責任範囲規
適切に選定*
定と照合し、要求事項
を満足できる供給者を
選定
2-2
供給者と接続するネット アクセス制御に係る協力により必 供給者と の間 で必要 記録された ログによる
ワーク/ネットワークサービ 要な保護を実現
な措置を確認
必要な措置の実施状
スに係るアクセス制御の
SLA 等の規定と照合 況の定期的レビュー
協力した実施
し、必要な措置を実施
できる供給者を選定
2-3
供給者の責任範囲にお 供給者との間での、特権利用に 共 通 し て 適 用 す る 方 取得したログに基づくレ
ける、クラウド事業者が よる管理用プログラムの利用状 針の策定
ビュー
求める特権利用ログ取 況に係るログ取得方針の共通化 SLA 等の規定と照合
得方針の適用
し、共通方針の要求を
*
満足できる供給者を
選定
供給者との間での、管理用プロ 共 通 し て 適 用 す る 方 取得したログに基づくレ
グラム等の構成管理状況に係る 針の策定
ビュー
ログ取得の方針の共通化*
SLA 等の規定と照合
し、共通方針の要求を
満足できる供給者を
選定
2-4
供給者との間の情報転 ICT サプライチェーン全体で、供 供給者に課するデータ 供給者のサービスが停
送の暗号化と、供給者 給者との間の安全なデータ転送 転 送 に 係 る 方針 、 技 止した場合の、ICT サ
の責任範囲における、ク を確保するために、必要な範囲 術規格、仕様等の適 プライチェーンにおける
ラウド事業者が求める範 の技術規格・仕様等を適用でき 用範囲の要求を特定
データ転送の安全確
囲の技術規格・仕様等 る供給者を適切に選定*
SLA 等の規定と照合 保
の適用
し、必要な要求を満足
できる供給者を選定
供給者との間の通信路暗号化
暗号化措置の実施
-
2-5
ICT サプライチェーンにお クラウド事業者-供給者、供給 ICT サプライチェーンを クラウド事業者、供給
ける情報セキュリティ事象 者-供給者の間で情報セキュリ 構成するクラウド事業 者における連絡担当と
の連絡伝播経路の設定 ティ事象の連絡が常に伝播され 者及び供給者(複数 障害対応担当の分離
と、常に機能するように ること
の場合あり)間での、 ICT サプライチェーン全
保つ措置
緊急時の連絡先・連 体での定期的な緊急
絡方法の共有
連絡訓練の実施
2-6
供給者による情報セキュ 供給者による情報セキュリティマ 供給者 が 提供す るサ 供給者のレビュー結果
リティマネジメントの実施 ネジメントの実施状況のレビュー
ービスレベルの監視
の定期的入手
状況、技術標準等の順
供給者に対する個別 監視情報と入手情報
守状況のレビュー
の状況確認
に基づく定期的レビュ
ー
技術標準等の順守状況のレビュ 機密保持契約等の締 入手した情報に基づく
ー
結
定期的レビュー
供給者からの必要な
技術情報の入手
2-7
供給者のサービスと連携 供給者において脆弱性が生じた 供給者のサービスと連 供給者と の間 の連携
する事項(データ、インタ 場合における、クラウドサービスが 携する事項(データ、 接続点で起こ る情報
ーフェイス等)に係る技 被る影響を最小化するための予 インターフェイス等)に セキュリティインシデント
術的ぜい弱性の監視・レ 防措置
係る技術的ぜい弱性 を想定した予 防措置
ビュー
の監視・レビュー
の実施
9
6.1.1(d)
9.1.2(d)
12.4.3(c)
12.4.3(c)
13.2.2(a)
13.2.2(c)
16.1.2(d)
15.2.1(a)
18.2.3(a)
15.2.1(b)
2-8
供給者の責任範囲にお
ける、クラウド事業者が
求めるイベントログ取得
方針の適用
供給者との間での、イベントログ
取得方針(監視対象イベント、
ログ取得の範囲・内容・粒度
等)の共通化*
共通して適用する方
針の策定
SLA 等の規定と照合
し、共通方針の要求を
満足できる供給者を
選定
取得したログに基づくレ
ビュー
12.4.1(a)
(b)
ICT サプライチェーン全
体としてサービスレベル
を保証する責任を一
括して担うこと
-
6.1.1(d)
ICT サプライチェーンに
おけるマルウェア感染の
影響範囲を確認する
措置
「速やかなマルウェア駆
除」「外部ネットワークと
預託情報を分離する
措置」を ICT サプライチ
ェーン全体で統制
クラウド利用者に影響
が及ばない措置(駆
除・隔離等)を ICT サ
プライチェーン全体を統
制して実施
サービス再開の適切な
判断
供給者 が 提供す るサ
ービスの変更が ICT サ
プライチェーンに及ぼす
影響の範囲を事前に
把握
影 響 が 見 込まれ る 供
給者に対す る必 要な
情報提供
供給者が取得できるロ
グの範囲、内容、粒度
の状況把握
ログ情報を十分に取得
できない供給者との個
別調整
供給者のログ保護ポリ
シーの確認
ログの保護が脆弱な供
給者との個別調整
-
12.2.1(e)
-
12.2.1(e)
-
15.2.2(a)
ICT サプライチェーン全
体で一貫して適用する
ログ取得ポリシー策定
策定したポリシーの全
供給者による適用
12.4.1(c)
(d)
12.4.3
(e)(f)
ICT サプライチェーン全
体で一貫して適用する
ログ保護ポリシー策定
策定したポリシーの全
供給者による適用
ICT サプライチェーン全
体で定期的レビューを
実施する範囲の策定
定期的レビュー
12.4.2(c)
*供給者とのデータ連携等を個別の仕組みを新たに構築して対応する範囲に限っては、適用する方針・規格・仕様・要求事項や分担する責任範囲等につ
いて、当該供給者との間で調整し、明確化して合意することが求められる。
3.アグリゲーションサービス提供に求められる措置
3-1
ICT サプライチェーン全体 ICT サプライチェーン全体でのサ
の管理統制(サービスレ ービスレベル保証
ベル監視)
3-2
ICT サプライチェーン全体
としてのマルウェア感染対
応の統制
速やかなマルウェア駆除と、外部
ネットワークと預託情報を分離す
る措置を、ICT サプライチェーン全
体で、マルウェア感染の影響範囲
が確認できるまで実施
マルウェア感染の影響範囲確認
後の安全なサービス再開
3-3
供給者が行うサービス変
更の影響範囲への必要
な情報提供
供給者が行うサービス変更によっ
て、クラウドサービス全体が被る影
響の最小化
3-4
ICT サプライチェーン全体
での供給者のログ取得・
保護の統制。このログを
用いた、供給者の情報
セキュリティマネジメントの
適切性、標準類順守状
況の定期的レビュー・監
査。
ICT サプライチェーン全体での一
貫したログ取得(イベントログ、
特権利用ログ)ポリシーの適用
ICT サプライチェーン全体での一
貫したログ(イベントログ、特権
利用ログ)保護ポリシーの適用
供給者による適切な情報セキュ
リティマネジメント、標準類等の順
守の確実な実施
10
供給者のレビュー結果
の入手
問題がある供給者との
調整
18.2.2(a)
ICT サプライチェーン全体での一
貫したレビュー・監査方針の適用
4.個別契約連携クラウド事業者間の責任範囲と役割の分担
4-1
個 別 契 約 連 携 ク ラ ウ ド 個別契約連携クラウド事業者間
事業者間での責任範囲 での責任範囲の分担
の分担、情報共有の強
化、情報提供の役割分 個別契約連携クラウド事業者間
担
での情報共有の強化、情報提
供の役割分担
個別契約連携クラウド事業者間
での利用者窓口の一本化
11
供給者の独立したレビ
ュー・監査方針の把握
一貫した方針が適用
できる範囲の特定
問題点の個別調整
一貫した方針の適用
18.2.1(b)
➔
個別契約連携事業者
間での責任範囲の分
担の調整実施
情報共有の強化
情報提供窓口の一本
化
クラウド利用者に対す
る窓口の一本化
6.3.1 本文
➔
➔
6.3.2(o)
本文
16.1.2 本
文
2.3
クラウド利用者への情報提供のための実務に係る確認・評価リスト
(a) 利用者との接点
項番
提供する情報
確認・評価項目
1.サービス選択段階での情報提供
1-1
クラウドサービスのベンチ クラウドサービスのベ
マークサイト及びベンチマ ンチマーク Web サイ
ーク情報
トで、そのサイトが定
める手法でベンチマ
ーク情報を提供
1-2
サービスレベルの保証目 情報の Web 公開
標、努力目標等
1-3
ベースライン
目指すべき水準
関連する管理
策
➔
クラウドサービス情報
開示認定制度等の
活用
6.3.2(a)
サービス/ヘルプデスク提供時間
日常のサービスレベル(サービス稼
働率、平均応答時間等)
緊急時のサービスサポート(故障
回復時刻、故障通知時刻)
その他、情報セキュリティマネジメン
トに係る措置の概況等
情報セキュリティマネジメントに係る
認証
➔
SLA の公表
クラウド事業者の情
報セキュリティマネジ
メントに係る責任範
囲(SLA に記載)
6.3.1(a)
6.3.2(b)
第Ⅰ部4.
全 て の取 得し た認 証 の 情報の Web 公開
財 務 諸表 に係 る 内 6.3.2(b)
一覧
全てを一覧で提供
部統制の認証
1-4
外部監査済みの「情報 言明書の Web 公開
言明書の公開
6.3.2(c)
セキュリティ対策の設計・ 報告書の NDA 締結
報告書の情報開示
実装・ 運用に係る言明 による情報開示
書」の公開、言明に対す
る外部監査報告書(そ
の他関連する監査報告
書)の情報開示、「クラ
ウド事業者のセキュリティ
管理に係る内部統制保
証報告書」の情報開示
【その他推奨される実施内容】
 クラウド利用者の行う管理統制を支援するために、クラウド事業者が提供する機能・サービスの情報(SLA に記載):6.3.1(b)
 秘密認証情報の割当て手順とその実現方式(Web 公開):9.2.4(本文)
 暗号化に対応しているクラウドサービス、暗号化されていないクラウドサービスにおける暗号化を代替する機能(Web 公開):10.1.1
(a)
 クラウド利用者に対するアクセス制御方針に係る情報[情報アクセス制御手法、アクセス可能な範囲・粒度、権限管理者、権限付与・
変更手順](Web 公開):9.4.1 本文
2.サービス提供中の情報提供
2-1
クラウド利用者個別の利 管理ツールでの情報 ログイン実績、利用時間、利用ロ 預託情報の保守取 6.3.2(g)
用状況等の情報
提供
グ提供等
扱い実績
第Ⅰ部4.
2-2
クラウド利用者への日常 日 常 の 連 絡 ( 都 計画的サービス停止/定期保守、 サービス提供国の適 6.3.2(f)
の連絡、現在の稼働状 度)の利用者限定 バージョンアップ案内、マニュアル最 用法の違いによるリ 第Ⅰ部4.
況
12.6.1(c)
Web での情報公開 新版の公開案内、利用規約/SL スク情報の公開
A の改訂等の公開
現在の稼働状況の 現在の稼働状況の公開
-
6.3.2(f)
利用者限定 Web で
の情報公開
2-3
クラウド利用者の責任に 利用者限定 Web で パスワード管理手順の公開
技術的ぜい弱性情 9.2.4 本文
おいて行う操作、情報セ の情報公開
報、脅威情報(フィ 9.4.1(e)(g)
キュリティマネジメントを支
ッシング、マルウェア
援できる情報
等)に関する注意
喚起
2-4
クラウド利用者からの情 利用者限定 Web で 情報セキュリティ事象の利用者に 情報セキュリティ事象 16.1.2(b)
報セキュリティ事象の報 の情報公開
対する連絡窓口の公開
の報告手順の公開・ (c)
告手順と連絡窓口
周知
12
2-5
提供しているクラウドサー
ビスのサービスレベル実績
利用者限定 Web で
の情報公開
2-6
緊急時の連絡・報告、
事後報告
メール等での報告
利用者限定 Web で
の公開
メール等での報告
サービス稼働率、平均応答時間
等の月次実績の公開
又は、障害発生履歴の公開
情報セキュリティインシデントの事実
関 係 : 障 害 発 生 時 刻・ 障 害経
過、復旧/回復措置、復旧見込、
影響範囲の報告
情報セキュリティインシデントの障害
内容、原因、対処等に係る事後
報告
マルウェア感染によるサービス停止
の事実、被害状況、サービス復旧
見込等
-
6.3.2(f)
左記の報 告を一定
時間間隔で実施
6.3.2(h)(j)
16.1.4(d)
-
6.3.2(h)
左記の報 告を一定
時間間隔で実施
12.2.1(d)
ベースライン
目指すべき水準
関連する管理
策
供給者からの情報セキュリティ事象
の速やかな報告手順と連絡先を、
供給者に対し周知
-
16.1.2(b)
【その他推奨される提供情報】
 サービス全体の資源の逼迫情報(管理ツール):12.1.3(d)
 クラウド利用者に対するアクセス制御方針に係る情報[情報アクセス制御手法、アクセス可能な範囲・粒度、権限管理者、権限付与・
変更手順](利用者限定 Web 公開):9.4.1 本文
 暗号化されているクラウドサービスと、暗号化されていないクラウドサービスにおける暗号化を代替する機能(利用者限定 Web 公開):
10.1.1(a)
 情報セキュリティインシデント時に、クラウド利用者が証拠として利用できる情報へのアクセス許諾手順、料金(利用者限定 Web 公
開):16.1.7(d)
 クラウド利用者の要請に基づく個別の情報開示
- 第三者機関による監査レポート・脆弱性検査レポート(個別の情報開示):6.3.2(i)
- 預託情報が保存される情報処理施設等(仮想化資源を含む)の各々の管理ポリシー・管理水準(個別の情報開示):8.1.2
本文
 暗号化の適用範囲、暗号化の強度[鍵タイプ、暗号アルゴリズム、鍵の長さ](利用者限定 Web 公開、個別の情報開示):10.1.1
(b)(d)
 鍵管理徹底の実態(個別の情報開示):10.1.2(a)
 クラウド利用者の要請に基づく監査報告書の個別開示
- クラウド事業者のセキュリティ管理に係る内部統制保証報告書:6.3.2(i)
- 財務諸表に特化しているクラウド事業者の内部統制保証報告書:6.3.2(i)
3.サービス利用終了時に係る情報提供
3-1
預託情報の返却方法と 情報の提供
預託情報を返却する方法(データ 左 記 に 係 る 詳 細 な 8.1.5(e)(f)
預託情報を二度と取り
形式等)の公開
情報開示(クラウド
出せなくする方法につい
預託情報の二度と取り出せないよ 利用者の要請に基
ての情報
うに消去又は破壊する方法の公開 づ く 個 別 の 情 報 開
示)
(b) 事業者間連携
項番
供給者に提供する情報 確認・評価項目
/提供手段
1.情報セキュリティ事象の連絡受付
1-1
供給者からの情報セキュ 供給者への周知
リティ事象の速やかな報
告手順と連絡先
13
2.4
クラウド利用者とクラウド事業者によるコンプライアンス確保のための実務に係る確認・評
価リスト
(a) 利用者との接点
項番
実施のポイント
確認・評価項目
ベースライン
目指すべき水準
関連する管理
策
1.クラウド利用者が行う監査、レビューへの協力
1-1
クラウド事業者による、クラ
ウド利用者が義務化等さ
2.2 クラウド利用者による統制を確保するための実務に係る確認・評価リスト
れている監査、レビューへの
(a) 利用者との接点 1-5 に同じ
協力を簡素化するための
措置
2.クラウドサービスの継続に必要な内部情報の分離と利用者ごとの預託情報の保護
2-1
クラウドサービス提供に不 クラウドサービス提供に供する 分離の実施
-
8.1.1(a)
可 欠 な 内 部 情 報 の 預 託 資源において、サービス提供に
情報との分離
不可欠な設定等の情報を預
託情報と分離
クラウド事業者が取得するバッ 分離の実施
-
12.3.1(a)
クアップにおいて、サービス提供
に不可欠な設定等の情報を
預託情報と分離
2-2
クラウドサービス提供に供す クラウドサービス提供に供する 預託情報をクラウド利 預託情報をクラウド 8.2.1(d)
る資源やクラウド事業者が 資源における、クラウド利用者 用者ごとに分類できる 利 用 者 ご と に 分 離 8.2.3(a)(b)
取得するバックアップにおい ごとの預託情報の分離
措置
し、アクセス制御を確
て、預託情報をクラウド利
保
用者ごとに分類、特定、検 クラウド事業者が取得するバッ ➔
特定又は検索できる 12.3.1(b)
索できる措置
クアップにおいて、個々のクラウ
機能の確保
ド利用者の預託データを特定・
検索できる機能の実現
海外の資源・バックアップにおけ 他国において、預託情 -
18.1.3(b)
る、預託情報を容易に分離で 報を容易に分離できる
きる等の措置
等の措置を実施できる
供給者を選定
2-3
証拠の収集・保全時に無 媒体・資源からの証拠の収集・ ➔
無関係なクラウド利 16.1.7(a)
関係なクラウド利用者の預 保存・保全中に、無関係なクラ
用者の預 託情報を
託情報を破損しない措置
ウド利用者の預託情報を破損
破損しないデジタルフ
しないデジタルフォレンジック技
ォレンジック技術の適
術の適用
用
3.国による法制度や規制の違いへの対応
3-1
クラウド利用者が自らデー
タを格納する国を選択でき
2.2 クラウド利用者による統制を確保するための実務に係る確認・評価リスト
る機能の提供(選択に資
(a) 利用者との接点 3-5 に同じ
する情報の提供を含む)
3-2
クラウド利用者が行う預託 クラウド利用者が行う預託する 一部の国での明示
資 源 ・ サ ー ビ ス が 位 18.1.1(c)
する情 報の 範囲 とそ の情 情報の範囲とその情報の保存 個人情報への対応
置するすべての国で 18.1.2(c)
報 の 保 存 国 に 係 る 判 断 国に係る判断を、支援可能な
の明示
18.1.4(c)
を、支援可能な範囲を明 範囲の明示
知的財産情報への
示し、支援を実施
対応
明示した範囲内での支援の実 一部の国における支援 資 源 ・ サ ー ビ ス が 位 18.1.1(c)
施
置するすべての国に 18.1.2(c)
おける支援
18.1.4(c)
14
(b) 事業者間連携
項番
実施のポイント
確認・評価項目
1.海外の供給者との秘密保持契約・守秘義務契約の締結
1-1
他国の供給者による、実 裁判管轄や適用法に関する規
効性のある守秘義務契 定、損害賠償の約定、担保措
約等の順守の確保
置等の措置が講じられていること
の事前確認
上記を前提とした、秘密保持契
約又は守秘義務契約の締結
2.国による法制度や規制の違いへの対応
2-1
海外の供給者が資源や 知的財産の保護範囲の違いに
サービスを置く各国におけ よるリスクの事前把握
る適用法の違いの事前 個人情報を保護するために必要
把握
となる取扱いの相違によるリスク
の事前把握
各国の暗号利用に係る法制度
上の必要性・制約に係る相違の
事前把握
刑事法、民事法に係るその他の
法制度で、必要なものを特定
し、事前把握を実施
2-2
適用法の違いにより海外 クラウドサービスの提供にあたり、
の供給者との間で発生 適用法の違いにより海外の供給
するリスクの管理
者との間で発生するリスク(差押
えや証拠提出命令によるサービ
ス停止や預託情報の漏洩等)
の管理
3.クラウドサービス全体を停止させないための措置
3-1
他国の供給者に対する 他国の供給者を対象とした捜査
司法権の行使に直面し に伴う資源の差押えに直面して
てもクラウドサービスの提 もクラウドサービスの提供を継続
供を継続できる措置
できる措置
他国の供給者のサービス・資源
を利用するクラウド利用者を対象
とした証拠提出命令に直面して
もクラウドサービスの提供を継続
できる措置
15
ベースライン
目指すべき水準
関連する管理
策
事前確認の実施
-
13.2.4(a)
秘密保持契約又は守
秘義務契約の締結
-
13.2.4(a)
海外の供給者からの
情報収集
海外の供給者からの
情報収集
弁護士事務所等の
見解の把握
弁護士事務所等の
見解の把握
18.1.2(a)
海外の供給者からの
情報収集
弁護士事務所等の
見解の把握
18.1.5(a)
海外の供給者からの
情報収集
弁護士事務所等の
見解の把握
18.1.1(a)
リス ク評価 に基 づく官
吏策の適用
定期的レビュー、監
査の実施
18.1.1(b)
18.1.2(b)
18.1.3(a)
18.1.4(a)
18.1.5(a)
➔
預託情報の複数国
間でのバックアップ
18.1.3(a)
18.1.4(a)
クラウドサービス提供に供する資源やクラウド事業者が作成するバ
ックアップにおいて、預託情報をクラウド利用者ごとに分類、特定、
検索できる措置の適用 ➔
2.4 クラウド利用者とクラウド事業者によるコンプライアンス確保の
ための実務に係る確認・評価リスト (a)利用者との接点 2-1 に
同じ
2.5
情報セキュリティマネジメントの技術的実装に向けた実務に係る確認・評価リスト
(a) 利用者との接点
※確認項目の場合はベースラインと目指すべき水準を設定。評価項目(定量指標)の場合は設定なし。
項番
実施のポイント
確認・評価項目
ベースライン
目指すべき水準
1.クラウド利用者のモバイル機器に関するもの、クラウド利用者がインストールしたソフトウェアに関するもの
1-1
クラウド利用者のモバイル クラウドサービス接続のために、ク キャッシュ 保存機能を 十分な強度の鍵長
機器からの情報漏洩を ラウド利用者のスマートフォン用に 持たせないこと
とロジックでキャッシュ
防止する技術の適用
配するクライアントアプリケーション
データを暗号化する
に対し、ローカルキャッシュを保護
機能の実装
する技術を適用
ローカルキャッシュの暗号化に用 -
-
いる暗号鍵の長さ
ローカルキャッシュの暗号化に用 -
-
いるアルゴリズム
HTML5 を用いた Web サービス JPCERT/CC「HTML5 を利用した Web アプリ
の技術的ぜい弱性対策の確保
ケーションのセキュリティ問題に関する調査報告
書」に基づく管理策の選択と適用
1-2
クラウド利用者のソフトウ クラウド利用者のソフトウェアのア ➔
技術の適用
ェアのアップロード/変更の ップロード/変更のログ取得・保
履歴をトラッキングできる 存・保護を行う技術の適用
措置
【その他推奨される実施内容】
 クラウドサービスに供するシステムで使用される資源の容量・能力の常時監視:12.1.3(e)
2.運用の管理水準を確保するためのもの
2-1
特 権 ユ ー ザ に 対 す る 強 特権ユーザに対して適用する強
力な認証機能の提供
力な認証方式(多要素認証技
術、ログ取得・監視等)
2-2
クラウド利用者のモバイル 暗号化アルゴリズム
機器との間の通信の暗
暗号鍵の長さ
号化
2-3
クラウド利用者側の情報 クラウド利用者を踏み台としたマ
処理施設等のマルウェア ルウェア攻撃の兆候を検出する
感染疑いへの対応措置
技術の適用
2-4
仮想ネットワークの分かり 物理ネットワーク構成との対応関
やすい構成
係が明確な構成の設計
仮想スイッチの運用管理方法
2-5
変更管理の徹底
クラウドサービスに供するシステム
(管理アプリケーションを含む)
の変更の監視
プログラム変更に対するチェック体
制構築
仮想化デバイスの変更管理徹底
2-6
クラウド利用者・特権ユ クラウド利用者・特権ユーザに対
ーザによる、ログ情報の する、ログ情報へのアクセス制御
記録の削除・改ざん、及
びログ取得設定変更等 ログ情報に対する資源分離
の防止
【その他推奨される実施内容】
 テナント分離を実現する技術の適用:8.2.3(a)(b)
16
関連する管理
策
6.2.1(c)
6.2.1(c)
6.2.1(c)
6.2.1 本文
12.5.1(e)
-
-
9.2.3 本文
12.4.3(b)
-
-
6.2.1(e)
-
-
6.2.1(e)
技術の適用
-
12.2.1(c)
設計の実施
-
13.1.4(a)
-
変更ログの記録作成と
定期的レビュー
-
監査の実施
変更手順の明文化と
適用
導入・変更・削除の手
順の文書化と適用
アクセス制御の実施
アクセスログの記録作
成と定期的レビュー
資源分離
変更者と確認者の
分離
実務運用者と実施
判断者の分離
-
13.1.4(a)
12.1.2(b)
(c)
12.4.3(b)
12.1.2(f)
-
12.1.2(d)
12.4.2(a)
12.4.2(a)
3.大規模障害の予防に関するもの
3-1
ア ク セ ス 制 御 機 能 の 冗 アクセス制御サービスに供する情
長化
報処理施設の冗長化
アクセス制御に係るプログラムの
切替試験の徹底
3-2
変 更 時の 切 り戻 しを 可 構成管理の方法
能にする措置
変更前のバックアップ作成、バック
アップからのリストアの確実な実施
4.緊急時対応に関するもの
4-1
情報セキュリティインシデ
ント発生の判断基準の
レビューと改善
4-2
預託情報の破損や漏洩
を生じさせないデジタルフ
ォレンジック技術の適用
情報セキュリティインシデントの形
態、規模、費用を定量化して監
視できる措置
複数のクラウド利用者で共有さ
れた媒体・資源からの証拠収
集・保存・保全にあたり、無関係
な利用者の預託情報を破損した
り漏洩させたりしないデジタルフォ
レンジック技術の適用
冗長化の実施
-
9.1.1(a)
徹底した切替試験
-
9.1.1(a)
-
バックアップの作成
リストアが確実に行わ
れることの確認
-
-
12.1.2(g)
12.1.2(g)
➔
監視の仕組みの構
築
16.1.4(c)
➔
技術の適用
16.1.7(a)
(b)
(b) 事業者間連携
※確認項目の場合はベースラインと目指すべき水準を設定。評価項目(定量指標)の場合は設定なし。
項番
実施のポイント
確認・評価項目
1.運用の管理水準を確保するためのもの
1-1
供給者との間をつなぐネ 供給者との間をつなぐネットワーク
ットワーク/ネットワークサ /ネットワークサービスにおける、ア
ービスのアクセス制御
クセス制御の実施
2.大規模障害の予防に関するもの
2-1
仮想化ソフトウェアの技 ベンダーが配布するパッチを当て
術的ぜい弱性管理の徹 る作業の着手までの時間
底
(ベンダーリリースから着手までの
時間)
2-2
2-3
物理的資源の動的枯渇
の防止
単一障害点の冗長化、
管理単位の分割
クラウドサービスに供する資源の
容量・能力不足を予防する技術
の適用
不正な資源利用、過大な資源
利用を防止する技術の適用
論理資源の総和が物理資源を
超過するような資源割当を安全
に実施する技術の適用
基幹サービス機能の十分な冗長
化、障害時の円滑な切替の確
保
仮想化機能の十分な冗長化、
障害時の円滑な切替の確保
クラウドサービスの管理/オーケス
トレーションの機能の十分な冗長
化、障害時の円滑な切替の確
保
17
ベースライン
目指すべき水準
関連する管理
策
供給者と協力したアク
セス制御の実施
-
9.1.2(d)
-
-
9.5.1(a)
技術の適用
-
12.1.3(a)
技術の適用
-
➔
技術の適用
12.1.3(b)
(c)
12.1.3(f)
ID 管理サービス、課
金サービス等に係る管
理策の確実な実施
定期的レビュー
管理策の確実な実施
定期的レビュー
管理策の確実な実施
定期的レビュー
監査
17.2.1(a)
監査
17.2.1(b)
監査
17.2.1(b)
2-4
単一障害点の冗長化を
補完する対策の実施
情報処理施設からの単一障害
点の排除
ネットワークからの単一障害点の
排除
障害の連鎖を食い止める防護機
構の組込み
データセンターの地理的分散の
実現状況(箇所数、仮想化の
状況等)
18
定期的レビュー
監査
17.2.1(c)
定期的レビュー
監査
17.2.1(c)
➔
組込みの実施
17.2.1(d)
-
-
17.2.1(e)
2.6
認証取得、監査、証拠収集の際のテナント分離のための実務に係る確認・評価リスト
(a) 利用者との接点
項番
実施のポイント
確認・評価項目
ベースライン
目指すべき水準
関連する管理
策
1. クラウド利用者からの要請への対応
1-1
クラウド利用者からの預 クラウドサービス提供に供する資源 ➔
情報の開示
6.3.2(i)
託情報のテナント分離に やクラウド事業者が作成するバック
8.2.3(a)(b)
係る確認への対応
アップにおいて、預託情報をクラウド
12.3.1(b)
利用者ごとに分類、特定、検索で
きる措置の実現方法の情報開示
上記の実現方法の適切性に係る ➔
情報の開示
6.3.2(i)
定期的レビュー結果の情報開示
テナント分離の確保を対象とした監 ➔
言明書の情報公開
6.3.2(c)(i)
査に係る言明書の情報公開、言
報告書の情報開示
明に対する監査報告書(その他
関連する監査報告書)の情報開
示、又はクラウド事業者のセキュリ
ティ管理に係る内部統制保証報
告書の情報開示
2.クラウド事業者の認証取得、監査への対応
2-1
預 託 情 報 の テ ナ ン ト 分 2.4 クラウド利用者とクラウド事業者によるコンプライアンス確保のための実務に係る確認・評価リスト
離
(a)利用者との接点 2-2 に同じ
3. 緊急時の証拠収集
3-1
証 拠 収 集 時 の テ ナ ン ト 2.4 クラウド利用者とクラウド事業者によるコンプライアンス確保のための実務に係る確認・評価リスト
分離
(a)利用者との接点 2-3 に同じ
19
Annex A ガイドラインの管理策と本資の記述箇所の対応について
1.
ガイドラインの管理策と本資第2章の記述箇所の対応一覧表
大分類
第Ⅰ部
目的の分類
管理策
項番
4.
6. 情報セキュリ
ティのための組織
6.1 内部組織
6.1.1 情報セキュリティの役割及び責任
(a)
(b)
(c)
(d)
6.2 モバイル機器及びテレワーキ
ング
6.2.1 モバイル機器の方針
6.3 クラウド利用者とクラウド事
業者の公平な取引を確保するた
めの措置
6.3.1 クラウドサービスの情報セキュリティ
マネジメントに係る提供条件の明確化
(e)
(a)
(b)
(c)
(a)
(b)
(c)
(d)
(e)
(f)
本文
(a)
(b)
6.3.2 利用者接点とサプライチェーンに
おける情報提供・共有
(c)
本文
(a)
(b)
6.1.2 職務の分離
(c)
(d)
(e)
(f)
(g)
(h)
(i)
8. 資産の管理
8.1 資産に対する責任
8.1.1 資産目録
(j)
(k)
(l)
(m)
(n)
(o)
本文
(a)
(b)
20
第 2 章の記述
2.3(a) 1-2
2.3(a) 2-1
2.3(a) 2-2
2.2(a) 1-1
2.2(a) 2-1
-
ー
2.2(a) 2-2
2.2(b) 2-1
2.2(b) 3-1
2.2(a) 2-6
-
-
-
2.2(a) 1-2
2.2(a) 1-2
2.5(a) 1-1
2.2(a) 1-2
2.5(a) 2-2
-
2.5(a) 1-1
2.3(a) 1-2
2.2(a) 1.その他
2.3(a) 1.その他
2.2(a) 1.その他
2.2(b) 4-1
2.3(a) 1-1
2.3(a) 1-2
2.3(a) 1-3
2.3(a) 1-4
2.6(a) 1-1
-
-
2.3(a) 2-2
2.3(a) 2-5
2.3(a) 2-1
2.3(a) 2-6
2.3(a) 2.その他
2.6(a) 1-1
2.3(a) 2-6
-
-
-
-
2.2(b) 4-1
2.2(b) 4-1
2.4(a) 2-1
2.4(b) 3-1
-
8.1.2 資産の管理責任
8.1.5 クラウド利用者から預託された情
報の返却
8.2 情報分類
8.2.1 情報の分類
8.2.3 情報の取扱い
(c)
本文
-
2.2(a) 2.その他
2.3(a) 2.その他
(a)
(b)
(c)
(d)
(e)
-
2.2(a)
2.2(a)
2.2(a)
2.2(a)
2.3(a)
2.3(a)
2.2(a)
2.2(a)
-
2.4(a)
2.6(a)
2.4(a)
2.5(a)
2.6(a)
2.6(a)
2.4(a)
2.5(a)
2.6(a)
2.6(a)
2.5(a)
-
-
-
2.2(a)
-
-
-
-
-
2.2(b)
2.5(b)
2.2(a)
2.5(a)
2.3(a)
2.3(a)
-
-
-
-
2.3(a)
2.2(a)
2.3(a)
2.2(a)
2.3(a)
2.3(a)
-
-
2.2(a)
2.2(a)
2.2(a)
(f)
(a)
(b)
(c)
(d)
(a)
(b)
9. アクセス制御
9.1 アクセス制御に対する業務
上の要求事項
9.1.1 アクセス制御方針
9.1.2 ネットワーク及びネットワークサービ
スへのアクセス
9.2 利用アクセスの管理
9.2.3 特権的アクセス権の管理
9.2.4 利用者の秘密認証情報の管理
9.4 システム及びアプリケーション
のアクセス制御
9.4.1 情報へのアクセス制限
9.4.4 特権的なユーティリティプログラム
の使用
21
(a)
(b)
(c)
(d)
(e)
(f)
(g)
(a)
(b)
(c)
(d)
(e)
本文
本文
(a)
(b)
(c)
(d)
(e)
(f)
(g)
(h)
本文
(a)
(b)
(c)
(d)
(e)
3-8
3-8
3-8
3-8
3-1
3-1
3-1
3-1
2-2
2-1
2-2
2.その他
1-1
2-1
2-2
2.その他
1-1
2-1
3-1
1-3
2-2
1-1
3-6
2-1
1.その他
2-3
2-3
1-2
2-3
1-2
1.その他
2.その他
1-3
1-3
1-3
10. 暗号
9.5 仮想化されたクラウドサービ
スのアクセス制御
9.5.1 仮想化資源の分離の確実な実
施
10.1 暗号による管理策
10.1.1 暗号による管理策の利用方針
(a)
(b)
(c)
(a)
(b)
10.1.2 鍵管理
12. 運用のセキ
ュリティ
12.1 運用の手順及び責任
12.1.1 操作手順書
12.1.2 変更管理
12.1.3 容量・能力の管理
(c)
(d)
(a)
(b)
本文
(a)
(b)
(c)
(d)
(e)
(f)
(g)
(a)
(b)
(c)
(d)
(e)
12.2 マルウェアからの保護
12.3 バックアップ
12.2.1 マルウェアに対する管理策
12.3.1 情報のバックアップ
(f)
(g)
(a)
(b)
(c)
(d)
(e)
(f)
(g)
(a)
(b)
12.4 ログ取得及び監視
12.4.1 イベントログ取得
12.4.2 ログ情報の保護
12.4.3 実務管理者及び運用担当者
の作業ログ
(c)
(a)
(b)
(c)
(d)
(a)
(b)
(c)
(a)
(b)
(c)
(d)
22
2.5(b)
-
-
2.3(a)
2.3(a)
2.2(a)
2.3(a)
2.2(a)
2.3(a)
2.3(a)
-
-
-
2.5(a)
2.5(a)
2.5(a)
-
2.5(a)
2.5(a)
2.5(b)
2.5(b)
2.2(a)
2.5(b)
2.3(a)
2.2(a)
2.5(a)
2.5(b)
-
-
-
2.2(a)
2.5(a)
2.3(a)
2.2(b)
-
2.2(a)
2.4(a)
2.4(b)
2.4(a)
2.6(a)
2.6(a)
-
2.2(b)
2.2(b)
2.2(b)
2.2(b)
2.5(a)
-
2.2(b)
2.2(a)
2.5(a)
2.5(a)
2.2(b)
2.2(a)
2-1
1.その他
2.その他
3-1
2.その他
3-1
2.その他
2.その他
2-5
2-5
2-5
2-5
3-2
2-2
2-2
1-2
2-2
2.その他
3.その他
1.その他
2-2
1-2
2-3
2-6
3-2
1-2
2-1
3-1
2-2
1-1
2-1
2-8
2-8
3-4
3-4
2-6
3-4
1-3
2-1
2-5
2-3
3-6
12.5 運用ソフトウェアの管理
13. 通信のセキ
ュリティ
15. 供給者関
係
12.5.1 運用システムに関わるソフトウェ
アの導入
12.6 技術的ぜい弱性管理
12.6.1 技術的ぜい弱性の管理
12.7 情報システムの監査に対
する考慮事項
12.7.1 情報システムの監査に対する考
慮事項
13.1 ネットワークセキュリティ管
理
13.1.4 仮想ネットワークにおいて重視す
べき脆弱性
13.2 情報の転送
13.2.2 情報転送に関する合意
15.1 供給者関係における情報
セキュリティ
13.2.4 秘密保持契約又は守秘義務
契約
15.1.1 供給者関係のための情報セキ
ュリティの方針
(e)
(f)
(a)
(b)
(c)
(d)
(e)
(a)
(b)
(c)
(d)
(a)
(b)
本文
(a)
(b)
(c)
(a)
(b)
(c)
(d)
(e)
(a)
(a)
(b)
(c)
(d)
15.1.3 ICT サプライチェーン
15.2 供給者のサービス提供の
管理
16. 情報セキュ
リティインシデント
管理
16.1 情報セキュリティインシデン
トの管理及びその改善
15.2.1 供給者のサービス提供の監視
及びレビュー
15.2.2 供給者のサービス提供の変更
に対する管理
16.1.2 情報セキュリティ事象の報告
(a)
(b)
(a)
(b)
(c)
(a)
(b)
(a)
(b)
(c)
16.1.4 情報セキュリティ事象の評価及
び決定
(d)
本文
(a)
(b)
(c)
(d)
23
2.2(b)
2.2(b)
2.2(a)
-
-
2.2(a)
2.2(a)
2.5(a)
-
2.2(a)
2.3(a)
-
2.2(a)
2.2(a)
2.2(a)
2.4(a)
2.2(a)
2.5(a)
-
2.2(a)
2.2(b)
-
2.2(b)
-
2.2(a)
2.4(b)
3-4
3-4
1-2
2.2(b)
2.2(a)
2.2(b)
-
2.2(b)
2.2(b)
2.2(b)
-
2.2(b)
2.2(b)
-
2.2(b)
-
-
2.2(a)
2.3(a)
2.3(b)
2.2(a)
2.3(a)
2.2(b)
2.2(b)
2.2(a)
2.2(a)
2.2(a)
2.2(a)
2.5(a)
2.2(a)
2.3(a)
1-1
2-3
1-1
1-2
1-3
1-2
3-1
2-2
3.その他
1-5
3-2
1-1
1.その他
2-4
3-3
2-4
2-4
3-8
1-1
1-1
1-2
1-1
2-6
2-7
3-3
2-4
2-4
1-1
2-4
2-4
2-5
4-1
2-5
2-5
2-5
3-6
4-1
3-4
2-6
16.1.7 証拠の収集
(a)
(a)
(b)
(a)
2.4(a)
2.5(a)
2.6(a)
2.5(a)
2.2(a)
2.3(a)
2.2(a)
2.4(a)
2.5(b)
2.5(b)
2.5(b)
2.5(b)
2.5(b)
2.2(a)
2.4(b)
2.4(b)
2.4(a)
2.4(b)
2.4(b)
2.4(a)
2.4(b)
2.4(b)
2.4(a)
2.4(b)
2.4(b)
2.4(a)
2.4(b)
2.4(b)
2.2(a)
2.2(b)
2.2(b)
(a)
2.2(b) 2-6
(b)
(c)
(d)
(e)
17. 事業継続マ
ネジ メント にお け
る情報セキュリテ
ィの側面
17.2 冗長性
17.2.1 情報処理施設の可用性
18. 順守
18.1 法的及び契約上の要求
事項の順守
18.1.1 適用法令及び契約上の要求
事項の順守
18.1.2 知的財産権
18.1.3 記録の保護
18.1.4 プライバシー及び個人を特定で
きる情報(PII)の保護
18.1.5 暗号化機能に対する規制
18.2 情報セキュリティのレビュー
18.2.1 情報セキュリティの独立したレビ
ュー
18.2.2 情報セキュリティのための方針
群及び標準の順守
18.2.3 技術的順守のレビュー
24
(a)
(b)
(c)
(d)
(e)
(f)
(a)
(b)
(c)
(a)
(b)
(c)
(a)
(b)
(a)
(b)
(a)
2-3
4-2
3-1
4-2
1-4
2.その他
3-5
3-1
2-3
2-3
2-3
2-4
2-4
4-1
2-1
2-2
3-2
2-1
2-2
3-2
2-2
3-1
2-2
2-1
2-2
3-2
2-1
2-2
3-7
3-4
3-4