高取敏夫氏一般財団法人日本情報経済社会推進協会(JIPDEC) 参事

Information Security Management System
ISMSをベースにした
クラウドセキュリティ
－ISO/IEC 27017の最新動向－
一般財団法人日本情報経済社会推進協会
参事高取敏夫
2015年11月18日
http://www.isms.jipdec.or.jp/
Copyright JIPDEC ISMS, 2015
1
Information Security Management System
JIPDEC組織体制




JIPDEC（一般財団法人日本情報経済社会推進協会）
設立：昭和42年12月20日
事業規模：25億1,610万円（平成27年度予算）
職員数：108名（平成27年4月現在）
JIPDEC
広報室
電子情報利活用研究部
総務部
プライバシーマーク推進センター
総務課
経理課
事務局
安信簡情報環境推進部
情報通信管理課
Copyright JIPDEC ISMS, 2015
情報マネジメント推進センター
2
審査業務室
電子署名・認証センター
Information Security Management System
情報マネジメント推進センターの
主な業務内容
情報技術に関連するマネジメントシステムの認定機関として
の業務及び各制度に関連する普及業務




ISMS/ITSMS/BCMS/CSMS認定システム実施に伴う諸業務
ISMS/ITSMS/BCMS/CSMS認定審査の実施
ISMS/ITSMS/BCMS/CSMS関連の委員会事務局業務
IT資産管理（ITAM）に関する調査研究業務
 国際認定機関やフォーラム（ IAF､PAC等）との相互連携の推進
 ISO/IECなど（国際規格､ガイド策定等）への積極的貢献
 クラウドセキュリティに関する調査研究
Copyright JIPDEC ISMS, 2015
3
Information Security Management System
アジェンダ
ISMSの概要
ISMSの国際動向
ISO/IEC 27001:2013要求事項の概要
ISO/IEC FDIS 27017の最新動向
クラウドセキュリティ認証の概要
Copyright JIPDEC ISMS, 2015
4
Information Security Management System
ISMSの概要




ISMS適合性評価制度12年の歩み(1/3～3/3）
ISMS適合性評価制度における適合基準
ISMS適合性評価制度の仕組み
ISMSに関するガイド等
Copyright JIPDEC ISMS, 2015
5
Information Security Management System
ISMS適合性評価制度12年の歩み(1/3)
2000
2001
制
度
普
及
第
一
期
・安対制度の廃止 2001.3
・ISMS適合性評価制度パイロット事業の実施 2001.7
2002
・ISMS適合性評価制度の開始 2002.4
2003
・OECDの情報セキュリティガイドラインの見直し 2003.4
2004
2005
Copyright JIPDEC ISMS, 2015
・中央省庁ホームページ連続改ざん事件 2000.1
・「情報セキュリティ管理の国際的なスタンダードの導入及び安対制度の
改革」を公表 2000.7
・ISO/IEC 17799が制定 2000.12
・ファイル交換ソフトWinnyによる情報流出事件 2004～
・個人情報保護法施行 2005.4
・ISO/IEC 17799からISO/IEC 27002へ規格番号の変更 2005.6
・ISO/IEC 27001（ISMS認証基準）の発行 2005.10
6
Information Security Management System
ISMS適合性評価制度12年の歩み(2/3)
制
度
普
及
第
二
期
2006
・PAC(PACIFIC ACCREDITATION COOPERATION)加盟 2006.4
・ISMS認証基準（Ver.2.0）からJIS Q 27001への移行開始 2006.5
2007
・審査員評価登録業務及び審査員研修機関の認定業務の移管 2007.3
・IAF(INTERNATIONAL ACCREDITATION FORUM)加盟 2007.10
2008
・医療機関向けISMSユーザーズガイドの発行 2008.5 （初版は2004.11発行）
・ISMSの相互承認（MLA）の検討開始 2008.6
・ISMS認証取得組織が3,000を超える 2008.7
2009
・クレジット産業向けPCIDSS/ISMSユーザーズガイドの発行 2009.3
（初版は2006.3発行）
2010
・ISMS審査員評価登録センターの認定 2009～2010
2011
2012
Copyright JIPDEC ISMS, 2015
・ISMS認証取得組織が4,000を超える 2011.3
・標的型サーバ攻撃事件 2011～
・制御システムのセキュリティマネジメント（CSMS）の制度化 2011～
・セキュリティガバナンス協議会のスタート 2012.5
・ASEAN情報セキュリティ政策会議 2012.10
7
Information Security Management System
ISMS適合性評価制度12年の歩み(3/3)
制
度
普
及
2013
・ISO/IEC 27001：2013の発行 2013.10
・ISO/IEC 27002：2013の発行 2013.10
・ISO/IEC 27001：2013への移行開始 2013.10
2014
・JIS Q 27001/ 27002/ 27000：2014の発行 2014.3
・サイバーセキュリティ基本法制定 2014.11
2015
・認証取得事業者数 4,700件
・認証機関数 26機関
・サイバーセキュリティ戦略 2015.9
・ISO/IEC 27001：2013への移行完了 2015.10
・ISO/IEC FDIS 27017：2015の発行 2015.10
・クラウドセキュリティ認証の公表予定 2015.11
第
三
期
2016
2017
2018
Copyright JIPDEC ISMS, 2015
8
Information Security Management System
ISMS適合性評価制度における適合基準
ISO/IEC 17011：2004（JIS Q 17011）
適合基準
認定機関
認定（Accreditation)
（適合性評価－適合性評価機関の認定を
行う機関に対する一般要求事項：
Conformity assessment - General
requirements for accreditation bodies
accrediting conformity assessment bodies）
ISO/IEC 27006：2015（JIS Q 27006）
認証機関
適合基準
認証（Certification）
（情報技術－セキュリティ技術－ISMSの審
査及び認証を行う機関に対する要求事項：
Information technology - Security
techniques - Requirements for bodies
providing audit and certification of
information security management systems）
ISO/IEC 27001：2013 (JIS Q 27001)
評価希望組織
Copyright JIPDEC ISMS, 2015
適合基準
9
（情報技術－セキュリティ技術－情報セキュ
リティマネジメントシステム－要求事項：
Information technology-Security
techniques-Information security
management systems- Requirements）
Information Security Management System
ISMS適合性評価制度の仕組み
認証機関
申請
申請
審査（認定）
審査（認定）
審査（認証）
評価
（認証）
JIS Q 17024
（ISO/IEC 17024）
JIS Q 27006
（ISO/IEC 27006）
申請
要員認証機関
認定機関
認定機関
JIPDEC
JIPDEC
情報マネジメント推進センター
情報マネジメント推進センター
JIS Q 27001
（ISO/IEC 27001）
JIS Q 17011
（ISO/IEC 17011）
意見・苦情
評価希望組織
承認
申請
申請
審査員希望者
証明書
発行
受講
審査員研修機関
※ ISO/IEC 17024（JIS Q 17024）：適合性評価－要員の認証を実施する機関に対する一般要求事項
（ Conformity assessment -- General requirements for bodies operating certification of persons）
Copyright JIPDEC ISMS, 2015
10
Information Security Management System
ISMSに関するガイド等
名
称
地方公共団体と情報セキュリティ
～ISMSへの第一歩～
発行・
改訂日
2013.
3.29
内
容
地方公共団体がISMSに取り組む際に直面するかもしれない特有の問題を洗い出し、それに対処する
ためのアドバイスやノウハウをわかりやすく記載したハンドブックです。
座談会 10年目のISMS
2013.2
ISMS制度創設から10年間の軌跡を座談会形式でまとめたものです。
ISMS適合性評価制度の概要
2014.4
ISMS適合性評価制度の概要を紹介したものです。（パンフレット）
ISMSユーザーズガイド
-JIS Q 27001:2014
(ISO/IEC 27001:2013)対応-
2014.
4.14
ISMS認証基準(JIS Q 27001:2014)の要求事項について一定の範囲でその意味するところを説明して
いるガイドです。主な読者は、ISMS認証取得を検討もしくは着手している組織において、実際にISMS
の構築に携わっている方及び責任者を想定しています。
参考文献の維持管理を向上させるために別ファイルにしています（更新：2012年3月15日）。
ISMSユーザーズガイド
-JIS Q 27001:2014
(ISO/IEC 27001:2013)対応リスクマネジメント編
2015.
3.31
ISMSユーザーズガイドを補足し、リスクマネジメント、とりわけリスクアセスメント及びその結果に基づく
リスク対応についての理解を深めるために必要な事項について、例を挙げて解説しています。事例を
付録として追加しました。
クレジット産業向け
“PCIDSS”/ISMSユーザーズガイド
2009.
3.31
ISMSユーザーズガイドのクレジット産業向け版で、クレジット産業におけるISMS構築を主眼として、関連
する規範とISMS認証基準とのマッピングを示し、 ISMSを構築することがこれらの規範を順守する上で
非常に有効な手段であることを示したガイドです。
クレジット加盟店向け
“情報セキュリティのためのガイド”
(PCI DSS/ISMS準拠のためのガイド)
2011.
1.26
クレジット加盟店の情報セキュリティのため、PCI DSS／ISMS準拠に関して説明しているガイドです。
法規適合性に関する
ISMSユーザーズガイド
2009.4
企業がリスクマネジメントを実施する上で、法的リスクを考慮することは重要であり、とりわけ個人情報
保護法等の法規順守については重要な課題となっています。個人情報保護に対応する手段として
ISMSの枠組みは極めて有効であり、ISMSの枠組みが法的及び規制要求事項に適合させる仕組みで
あることを理解して頂くことを目的としたガイドです。
外部委託における
ISMS適合性評価制度の活用方法
2015.11
予定
組織又は企業において情報処理業務の一部又は全てを外部委託する場合に、情報セキュリティ責任
者及び担当者が委託先の選定にISMS適合性評価制度を活用するためのガイドです。
Copyright JIPDEC ISMS, 2015
11
Information Security Management System
ISMSの国際動向









ISMS認証取得組織数の年度別推移
国・地域別認証登録数の推移
国・地域別認証登録数
ISO/IEC JTC1/SC27 WGの構成
国際規格の改訂作業の経緯
ISO/IEC 27000シリーズ規格番号
ISO/IEC 27000:2014
ISO/IEC 27001:2013
ISO/IEC 27002:2013
Copyright JIPDEC ISMS, 2015
12
Information Security Management System
ISMS認証取得組織の年度別推移
5000
4620
4493
4500
4243
4030
4000
3783
3465
3500
3176
3000
2646
登録
2500
2168
累計
2000
1583
1500
852
1000
500
144144
731
429
423
279
585
478
530
289
318
247
213
250
127
0
2002
2003
年度
2004
2002
2005
2003
2006
2004
2007
2005
2008
2006
2009
2007
2010
2008
2011
2009
2012
2010
2013
2011
2014
年度
2012
2013
2014
認証取得組織数
144
279
429
731
585
478
530
289
318
247
213
250
127
認証取得組織数累計
144
423
852
1583
2168
2646
3176
3465
3783
4030
4243
4493
4620
認定された認証機関数
累計
6
9
18
19
23
23
24
25
26
26
26
26
26
Copyright JIPDEC ISMS, 2015
13
Information Security Management System
国・地域別認証登録数の推移
(ISO-surveyより)
順位
国/地域
2011
2012
1
日本
6,914
7,199
2
インド
1,427
3
英国
4
中国
5
2013
順位
国/地域
7,084
17
1,611
1,931
18
イスラエル
マレーシア
1,464
1,701
1,923
19
トルコ
1,219
1,490
1,710
20
スロバキア
イタリア
425
495
901
21
オーストラリア
6
台湾
791
855
861
22
タイ
7
ルーマニア
575
866
840
23
香港
8
スペイン
642
805
799
24
UAE
9
ドイツ
424
488
581
25
スイス
10
米国
315
415
566
26
フランス
11
チェコ
301
264
397
27
シンガポール
12
オランダ
125
190
316
28
ブラジル
13
ポーランド
233
279
307
29
14
ハンガリー
178
199
280
30
コロンビア
メキシコ
15
ブルガリア
132
208
278
その他
16
韓国
191
230
252
計
Copyright JIPDEC ISMS, 2015
14
2011
2012
2013
110
130
185
72
100
181
100
132
181
111
127
159
94
113
138
76
96
125
99
110
124
73
96
123
66
65
111
46
66
94
68
65
84
50
53
82
27
58
82
70
75
80
937
1,039
1,518
17,355
19,620
22,293
国・地域別認証登録数
その他, 5,097 , (23%)
日本, 7,084 , (32%)
米国, 566 , (3%)
ドイツ, 581 , (3%)
スペイン, 799 , (4%)
ルーマニア, 840 , (4%)
インド, 1,931 , (9%)
台湾, 861 , (4%)
イタリア, 901 , (4%)
Copyright JIPDEC ISMS, 2015
中国, 1,710 , (8%)
15
英国, 1,923 , (9%)
Information Security Management System
ISO/IEC JTC1/SC27 WGの構成
Copyright JIPDEC ISMS, 2015
16
Information Security Management System
国際規格の改訂作業の経緯
IS発行
[第3版]
2014/1/15
Copyright JIPDEC ISMS, 2015
17
Information Security Management System
ISO/IEC 27000シリーズ規格番号
Copyright JIPDEC ISMS, 2015
18
18
ISO/IEC 27000：2014
Information technology – Security techniques – Information security
management systems – Overview and vocabulary
2014年1月発行［第3版］
ISMSファミリー規格の概要、ISMSファミリー規格において使用される用語等
について規定した規格
※国内規格としては、2014年3月にJIS Q 27000：2014として制定された。
情報技術-セキュリティ技術-情報マネジメントシステム-用語
ISO/IEC 27000:2014の箇条2の用語及び定義の技術的内容を変更すること
なく作成した国内規格（ISMSの概要などを示したISO/IEC 27000：2014の箇
条3以降は含まれていない）。
Copyright JIPDEC ISMS, 2015
19
ISO/IEC 27001：2013
Information technology – Security techniques – Information security
management systems – Requirements
2013年10月発行［第2版］
組織の事業リスク全般を考慮して、文書化したISMSを確立、実施、
維持及び継続的に改善するための要求事項を規定した規格
※ 国内規格としては、2006年5月にJIS Q 27001:2006として制定され
ており、ISO/IEC 27001:2013発行に伴い、JIS Q 27001:2014が2014
年3月に発行された。
情報技術－セキュリティ技術－情報セキュリティマネジメントシステム
－要求事項
Copyright JIPDEC ISMS, 2015
20
ISO/IEC 27002：2013
Information technology – Security techniques – Code of practice for
information security controls
2013年10月発行［第2版］
情報セキュリティマネジメントの確立、実施、維持及び改善に関する
ベストプラクティスをまとめた規格。ISO/IEC 27001の「附属書A 管理
目的及び管理策」と整合がとられている。
*当初、ISO/IEC 17799として発行されたが、2007年7月に規格番号
がISO/IEC 27002と改番された。
※ 国内規格としては、2006年5月にJIS Q 27002:2006として制定され
ており、ISO/IEC 27002:2013発行に伴い、JIS Q 27002:2014が2014
年3月に発行された。
情報技術－セキュリティ技術－情報セキュリティ管理策の実践のた
めの規範
Copyright JIPDEC ISMS, 2015
21
Information Security Management System
ISO/IEC 27001:2013要求事項の
概要






ISO/IEC 27001：2013要求事項の内容
（1/3）～（3/3）
ISO/IEC 27001：2013の各箇条の関係
附属書Aの管理目的及び管理策の概要
附属書Aの管理目的及び管理策の使用方法
附属書AとISO/IEC 27002との関係
ISO/IEC 27001:2013附属書A（規定）
Copyright JIPDEC ISMS, 2015
22
ISO/IEC 27001：2013要求事項の内容(1/3)
箇条
概略
４組織の状況
4.1 組織及びその状況の理解
組織をとりまく内外の状況や利害関係者のニーズ及び期
待を理解、決定し、それらを考慮に入れたうえでISMSの適
用範囲を定めることが求められている。
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
５リーダーシップ
ISMSを推進し、関係者の意識向上を図るためには、トップ
マネジメントの強力なリーダーシップが不可欠である。ここ
では、トップマネジメントの果たすべき役割について規定し
ている。
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
６計画
6.1 リスク及び機会に対処する活動
ISMSにおけるリスク及び機会を決定し、情報セキュリティリ
スクアセスメント、情報セキュリティリスク対応のプロセスを
定めて適用することが求められている。また、管理策を除
外した場合には、その理由を適用宣言書に記載することが
求められている。
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画策定
Copyright JIPDEC ISMS, 2015
23
ISO/IEC 27001：2013要求事項の内容(2/3)
箇条
概略
７支援
7.1 資源
7.2 力量
7.5で要求される文書類を文書化し、管理し、維持しながら、
人々の力量、並びに利害関係者との反復的かつ必要に応
じたコミュニケーションを確立することを通じた、ISMSの運
用の支援について規定している。
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報
８運用
情報セキュリティの要求事項を実現するために必要なプロ
セス群の、策定、導入・実施、及び管理について、並びに
情報セキュリティリスクアセスメント、情報セキュリティリスク
対応の実施について規定している。
8.1 運用の計画及び管理
8.2 情報セキュリティリスクアセスメント
8.3 情報セキュリティリスク対応
Copyright JIPDEC ISMS, 2015
24
ISO/IEC 27001：2013要求事項の内容(3/3)
箇条
概略
９パフォーマンス評価
9.1 監視、測定、分析及び評価
情報セキュリティパフォーマンスの評価（監視、測定、分析
及び評価）、内部監査及びマネジメントレビューについて規
定している。
9.2 内部監査
9.3 マネジメントレビュー
１０改善
不適合が発生した場合の処置、及び処置の文書化と、
ISMSの適切性、妥当性及び有効性の継続的改善につい
て規定している。
10.1 不適合及び是正処置
10.2 継続的改善
Copyright JIPDEC ISMS, 2015
25
Information Security Management System
ISO/IEC 27001:2013の各箇条の関係
5. リーダーシップ
5.1 リーダーシップ及びコミットメント
4. 組織の状況
6. 計画
4.1 組織及び
その状況の理解
6.1 リスク及び機会に対処
する活動
・組織をとりまく内外の課題
4.2 利害関係者のニーズ
及び期待の理解
・ISMSに関連する
利害関係者の要求事項
5.2 方針
5.3 組織の役割、責任及び権限
8. 運用
9. パフォーマンス評価
8.1 運用の計画及び管理
・6.1、6.2 を実施
9.1 監視、測定、分析及び
評価
情報セキュリティパフォーマン
ス及びISMSの有効性を評価
8.2 情報セキュリティ
リスクアセスメント
・6.1.2 を実施
6.1.1 一般
・リスク及び機会の決定
6.1.2 情報セキュリティ
リスクアセスメント
8.3 情報セキュリティ
リスク対応
・6.1.3 を実施
6.1.3 情報セキュリティ
リスク対応
6.2 情報セキュリティ目的
及びそれを達成するため
の計画策定
4.3 適用範囲の決定
9.2 内部監査
有効に実施され、継続的に維
持されているかを評価
9.3 マネジメント・レビュー
継続的改善の機会、及び
ISMSの変更の必要性を決定
10. 改善
・適用範囲の境界及び
適用可能性
10.1 不適合及び是正処置
10.2 継続的改善
7. 支援
7.1 資源
Copyright JIPDEC ISMS, 2015
7.2 力量
7.3 認識
26
7.4 コミュニケーション
7.5 文書化した情報
附属書Aの管理目的及び管理策の概要

附属書Aでは，組織がISMSを導入する場合に参照する35の
管理目的及び114の管理策を一覧で示している。

管理目的とは、「管理策を実施した結果として，達成されるこ
とになる事項を説明した記述」である。

管理策とは、「リスクを修正する対策」である。情報セキュリ
ティにおいてリスクは減らすべきものであることから、管理策
とは、「リスクを低減する対策」ということもできる。
Copyright JIPDEC ISMS, 2015
27
附属書Aの管理目的
及び管理策の使用方法

附属書Aの使用方法に関する記述が、ISO/IEC 27001の
「6.1.3 情報セキュリティリスク対応」にある。

組織にとって必要な管理策を設計し、又は任意の情報源の
中から管理策を特定することが想定されている。

これらの管理策は、必ずしも附属書Aから選定する必要はな
いが、附属書Aに示す管理策と比較し、必要な管理策が見落
とされていないことを検証することが求められている。
Copyright JIPDEC ISMS, 2015
28
附属書AとISO/IEC 27002との関係

ISO/IEC 27001附属書AにISO/IEC 27002の管理目的及び管
理策をそのまま規定している。

ISO/IEC 27001附属書Aの元となったISO/IEC 27002は指針
（ガイドライン）であり，管理策は，「～することが望ましい。」
（原文ではshouldを用いている。）という定型の表現をとる。こ
れに対しISO/IEC 27001附属書Aの管理策は、要求事項として
「～しなければならない。」（原文ではshallを用いている。）とい
う表現となる。

ISO/IEC 27002では、「実施の手引」及び「関連情報」という見
出しのもとに、管理策ごとにその説明が記載されており、追加
の情報を得ることができる。
Copyright JIPDEC ISMS, 2015
29
Information Security Management System
ISO/IEC 27001:2013
附属書A（規定）
ISO/IEC 27001:2013 附属書A
A.5 情報セキュリティのための方針群
A.6 情報セキュリティのための組織
A.7 人的資源のセキュリティ
A.8 資産の管理
A.9 アクセス制御
A.10 暗号
A.11 物理的及び環境的セキュリティ
A.12 運用のセキュリティ
A.13 通信のセキュリティ
A.14 システムの取得，開発及び保守
A.15 供給者関係
A.16 情報セキュリティインシデント管理
A.17 事業継続マネジメントにおける情報セキュリティの側面
A.18 順守
Copyright JIPDEC ISMS, 2015
30
Information Security Management System
A.5 情報セキュリティのための方針群
A.5.1 情報セキュリティのための経営陣の方向性
目的：情報セキュリティのための経営陣の方向性及び指示を、事業上の要
求事項並びに関連する法令及び規制に従って提示するため。
○A.5.1.1
情報セキュリティのための方針群
管理策：情報セキュリティのための方針群は、これを定義し、管理層が承認
し、発行し、従業員及び関連する外部関係者に通知しなければならない。
○A.5.1.2
情報セキュリティのための方針群のレビュー
管理策：情報セキュリティのための方針群は、あらかじめ定めた間隔で、又
は重大な変化が発生した場合に、それが引き続き適切、妥当かつ有効であ
ることを確実にするためにレビューしなければならない。
Copyright JIPDEC ISMS, 2015
31
Information Security Management System
A.6 情報セキュリティのための組織
A.6.1 内部組織
目的：組織内で情報セキュリティの実施及び運用に着手し、これを統制する
ための管理上の枠組みを確立するため。（A.6.1.1～A.6.1.5)
A.6.2 モバイル機器及びテレワーキング
目的：モバイル機器の利用及びテレワーキングに関するセキュリティを確実
にするため。（A.6.2.1～A.6.2.2)
Copyright JIPDEC ISMS, 2015
32
Information Security Management System
A.7 人的資源のセキュリティ
A.7.1 雇用前
目的：従業員及び契約相手がその責任を理解し、求められている役割にふ
さわしいことを確実にするため。（A.7.1.1～A.7.1.2)
A.7.2 雇用期間中
目的：従業員及び契約相手が、情報セキュリティの責任を認識し、かつ、そ
の責任を遂行することを確実にするため。（A.7.2.1～A.7.2.3)
A.7.3 雇用の終了及び変更
目的：雇用の終了又は変更のプロセスの一部として、組織の利益を保護す
るため。（A.7.3.1)
Copyright JIPDEC ISMS, 2015
33
Information Security Management System
A.8 資産の管理
A.8.1 資産に対する責任
目的：組織の資産を特定し、適切な保護の責任を定めるため。
（A.8.1.1～A.8.1.4)
A.8.2 情報分類
目的：組織に対する情報の重要性に応じて、情報の適切なレベルでの保護
を確実にするため。（A.8.2.1～A.8.2.3)
A.8.3 資産の取扱い
目的：媒体に保存された情報の認可されていない開示、変更、除去又は破
壊を防止するため。（A.8.3.1～A.8.3.3)
Copyright JIPDEC ISMS, 2015
34
Information Security Management System
A.9 アクセス制御
A.9.1 アクセス制御に対する業務上の要求事項
目的：情報及び情報処理施設へのアクセスを制限するため。（A.9.1.1～A.9.1.2)
A.9.2 利用者アクセスの管理
目的：システム及びサービスへの、認可された利用者のアクセスを確実にし、認
可されていないアクセスを防止するため。（A.9.2.1～A.9.2.6)
A.9.3 利用者の責任
目的：利用者に対して、自らの秘密認証情報を保護する責任をもたせるため。
（A.9.3.1)
A.9.4 システム及びアプリケーションのアクセス制御
目的：システム及びアプリケーションへの、認可されていないアクセスを防止す
るため。（A.9.4.1～A.9.4.5)
Copyright JIPDEC ISMS, 2015
35
Information Security Management System
A.10 暗号
A.10.1 暗号による管理策
目的：情報の機密性、真正性及び／又は完全性を保護するために、暗号の
適切かつ有効な利用を確実にするため。
A.10.1.1 暗号による管理策の利用方針
情報を保護するための暗号による管理策の利用に関する方針は、策定し、
実施されなければならない。
A.10.1.2 鍵管理
暗号鍵の利用、保護及び有効期間（lifetime）に関する方針を策定し、そのラ
イフサイクル全体にわたって実施しなければならない。
Copyright JIPDEC ISMS, 2015
36
Information Security Management System
A.11 物理的及び環境的セキュリティ
A.11.1 セキュリティを保つべき領域
目的：組織の情報及び情報処理施設に対する認可されていない物理的アク
セス、損傷及び妨害を防止するため。（A.11.1.1～A.11.1.6)
A.11.2 装置
目的：資産の損失、損傷、盗難又は劣化、及び組織の業務に対する妨害を
防止するため。（A.11.2.1～A.11.2.9)
Copyright JIPDEC ISMS, 2015
37
Information Security Management System
A.12 運用のセキュリティ(1/2)
A.12.1 運用の手順及び責任
目的：情報処理設備の正確かつセキュリティを保った運用を確実にするため。
（A.12.1.1～A.12.1.4)
A.12.2 マルウェアからの保護
目的：情報及び情報処理施設がマルウェアから保護されることを確実にするた
め。（A.12.2.1～A.12.2.4)
A.12.3 バックアップ
目的：データの消失から保護するため。（A.12.3.1)
Copyright JIPDEC ISMS, 2015
38
Information Security Management System
A12 運用のセキュリティ(2/2)
A.12.4 ログ取得及び監視
目的：イベントを記録し、証拠を作成するため。（A.12.4.1～A.12.4.4)
A.12.5 運用ソフトウェアの管理
目的：運用システムの完全性を確実にするため。（A.12.5.1)
A.12.6 技術性脆弱性管理
目的：技術的ぜい弱性の悪用を防止するため。（A.12.6.1～A.12.6.2)
A.12.7 情報システムの監査に対する考慮事項
目的：運用システムに対する監査活動の影響を最小限にするため。（A.12.7.1)
Copyright JIPDEC ISMS, 2015
39
Information Security Management System
A.13 通信のセキュリティ
A.13.1 ネットワークセキュリティ管理
目的：ネットワークにおける情報の保護、及びネットワークを支える情報処理
施設の保護を確実にするため。（A.13.1.1～A.13.1.3)
A.13.2 情報の転送
目的：組織の内部及び外部に転送した情報のセキュリティを維持するため。
（A.13.2.1～A.13.2.4)
Copyright JIPDEC ISMS, 2015
40
Information Security Management System
A.14 システムの取得、開発及び保守
A.14.1 情報システムのセキュリティ要求事項
目的ライフサイクル全体にわたって、情報セキュリティが情報システムに欠
くことのできない部分であることを確実にするため。これには、公衆ネットワー
クを介してサービスを提供する情報システムのための要求事項も含む。
（A.14.1.1～A.14.1.3)
A.14.2 開発及びサポートプロセスにおけるセキュリティ
目的情報システムの開発サイクルの中で情報セキュリティを設計し、実施
することを確実にするため。（A.14.2.1～A.14.2.8)
A.14.3 試験データ
目的
試験に用いるデータの保護を確実にするため。（A.14.3.1)
Copyright JIPDEC ISMS, 2015
41
Information Security Management System
A.15 供給者関係
A.15.1 供給者関係における情報セキュリティ
目的：供給者がアクセスできる組織の資産の保護を確実にするため。
（A.15.1.1～A.15.1.3)
A.15.2 供給者のサービス提供の管理
目的：供給者との合意に沿って、情報セキュリティ及びサービス提供につい
て合意したレベルを維持するため。（A.15.2.1～A.15.2.2)
注：外部委託、サプライチェーン等、外部の製品及びサービスの調達・利用に関する管理策を、
A.15供給者関係にまとめている。
Copyright JIPDEC ISMS, 2015
42
Information Security Management System
A.16 情報セキュリティインシデント管理
A.16.1 情報セキュリティインシデントの管理及びその改善
目的：セキュリティ事象及びセキュリティ弱点に関する伝達を含む、情報セキ
ュリティインシデントの管理のための、一貫性のある効果的な取組みを確実
にするため。
「A.16.1.1
「A.16.1.2
「A.16.1.3
「A.16.1.4
「A.16.1.5
「A.16.1.6
「A.16.1.7
Copyright JIPDEC ISMS, 2015
責任及び手順」
情報セキュリティ事象の報告」
情報セキュリティ弱点の報告」
情報セキュリティ事象の評価及び決定」※
情報セキュリティインシデントへの対応」※
情報セキュリティインシデントからの学習」
証拠の収集」
43
Information Security Management System
A.17 事業継続マネジメントにおける
情報セキュリティの側面
A.17.1 情報セキュリティ継続
目的：情報セキュリティ継続を組織の事業継続マネジメントシステムに組み
込むことが望ましい。（A.17.1.1～A.17.1.3)
A.17.2 冗長性
目的：情報処理施設の可用性を確実にするため。（A.17.2.1)
Copyright JIPDEC ISMS, 2015
44
Information Security Management System
A.18 順守
A.18.1 法的及び契約上の要求事項の順守
目的：情報セキュリティに関連する法的、規制又は契約上の義務に対する違
反、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため。
（A.18.1.1～A.18.1.5)
A.18.2 情報セキュリティのレビュー
目的：組織の方針及び手順に従って情報セキュリティが実施され、運用され
ることを確実にするため。（A.18.2.1～A.18.2.3)
Copyright JIPDEC ISMS, 2015
45
Information Security Management System
ISO/IEC FDIS 27017の最新動向



ISO/IEC FDIS 27017の概要
ISO/IEC FDIS 27017の構成
附属書A クラウドサービス追加管理策
（1/6～6/6）
Copyright JIPDEC ISMS, 2015
46
ISO/IEC FDIS 27017の概要
Information technology – Security techniques – Code of practice for
information security controls based on ISO/IEC 27002 for cloud services.
ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の
実践の規範を提供する規格。クラウドサービス事業者及び利用者のための
管理策及び実施の手引きについて規定する。
・投票期間：2015/7/31～2015/10/01
・投票結果：承認
P- Members ：賛成 100%（要求>=66.66％)
Member bodies：反対 0％（要求<=25％)
Copyright JIPDEC ISMS, 2015
47
ISO/IEC FDIS 27017の構成
０．序文
１．適用範囲
２．引用規格
３．用語及び略語
４．クラウド分野固有の概念
５．情報セキュリティのための方針群
６．情報セキュリティのための組織
７．人的資源のセキュリティ
８．資産の管理
９．アクセス制御
１０．暗号
Copyright JIPDEC ISMS, 2015
１１．物理的及び環境的セキュリティ
１２．運用のセキュリティ
１３．通信のセキュリティ
１４．システムの取得・開発及び保守
１５．供給者関係
１６．情報セキュリティインシデント管理
１７．事業継続マネジメントにおける
情報セキュリティの側面
１８．順守
附属書A
クラウドサービス追加の管理策（規定）
附属書B
クラウドコンピューティングに関する
情報セキュリティリスクに関する
参照情報（参考）
参考文献
48
Information Security Management System
附属書A クラウドサービス追加管理策
（1/6）
CLD 6.3/6.3.1
項番
A.6.2
ISO/IEC 27001
管理策
A. 6 . 2 モバイル機器及びテレ
ワーキング
項番
6.2
ISO/IEC FDIS 27017
管理策
6 . 2 モバイル機器及びテレワー
キング
項番
11.7
クラウドサービス利用のための
情報セキュリティマネジメント
ガイドライン
管理策
1 1 . 7 モバイルコンピューティング及
びテレワーキング
A.6.2.1
A. 6 . 2 . 1 モバイル機器の方針
6.2.1
6 . 2 . 1 モバイル機器の方針
11.7.1
1 1 . 7 . 1 モバイルのコンピューティ
ング及び通信
A.6.2.2
A. 6 . 2 . 2 テレワーキング
6.2.2
6 . 2 . 2 テレワーキング
11.7.2
1 1 . 7 . 2 テレワーキング
CLD.6.3
CLD.
6.3.1
クラウド利用者とクラウド事業
者間の関係
クラウドコンピューティング環境
における役割分担及び責任
管理策
クラウドサービス利用において分
担された情報セキュリティの役割
の責任は、クラウド利用者とクラ
ウド事業者によって、特定した関
係者に割り当て、文書化し、告知
し、通知し実施されることが望ま
しい。
Copyright JIPDEC ISMS, 2015
49
Information Security Management System
附属書A クラウドサービス追加管理策
（2/6）
CLD 8.1/8.1.5
項番
A.8.1
ISO/IEC 27001
管理策
A. 8 . 1 資産に対する責任
項番
8.1
ISO/IEC FDIS 27017
管理策
8 . 1 資産に対する責任
項番
7.1
クラウドサービス利用のための
情報セキュリティマネジメント
ガイドライン
管理策
7 . 1 資産に対する責任
A.8.1.1
A. 8 . 1 . 1 資産目録
8.1.1
8 . 1 . 1 資産目録
7.1.1
7 . 1 . 1 資産目録
A.8.1.2
A. 8 . 1 . 2 資産の管理責任 a)
8.1.2
8 . 1 . 2 資産の管理責任
7.1.2
7 . 1 . 2 資産の管理責任者
A.8.1.3
A. 8 . 1 . 3 資産利用の許容範囲
8.1.3
8 . 1 . 3 資産利用の許容範囲
7.1.3
7 . 1 . 3 資産利用の許容範囲
A.8.1.4
A. 8 . 1 . 4 資産の返却
8.1.4
8 . 1 . 4 資産の返却
8.3.2
8 . 3 . 2 資産の返却
C LD. 8 . 1
資産に対する責任
資産に対する責任は、ISO/IEC
27002の8.1による。
CLD.
8.1.5
クラウド利用者資産の削除
管理策
クラウド事業者の構内にあるクラ
ウド利用者資産は、利用契約の
終了時に、適時に削除し、必要に
応じて返却することが望ましい。
注：a) 6.1.2及び6.1.3では、情報セキュリティのリスクを運用管理することについて、責任及び権限を持つ人又は主体をリスク所有者としている。
情報セキュリティにおいて多くの場合、資産の管理責任を負う者は、リスク所有者でもある。
Copyright JIPDEC ISMS, 2015
50
Information Security Management System
附属書A クラウドサービス追加管理策
（3/6）
CLD 9.5
/9.5.1
/9.5.2
項番
A.9.4
A.9.4.1
A.9.4.2
ISO/ IEC 2 7 0 0 1
管理策
A. 9 . 4 システム及びアプリケー
ションのアクセス制御
A. 9 . 4 . 1 情報へのアクセス制
限
A. 9 . 4 . 2 セキュリティに配慮し
たログオン手順
項番
ISO/ IEC FDIS 2 7 0 1 7
管理策
9 . 4 システム及びアプリケーショ
ンのアクセス制御
9.4
9.4.1
9.4.2
9 . 4 . 1 情報へのアクセス制限
9 . 4 . 2 セキュリティに配慮した
ログオン手順
クラウドサービス利用のための
情報セキュリティマネジメント
ガイドライン
管理策
11.5
1 1 . 5 オペレーティングシステムのア
クセス制御
11.6
1 1 . 6 業務用ソフトウェア及び情報の
アクセス制御
11.6.1
1 1 . 6 . 1 情報へのアクセス制限
11.6.2
1 1 . 6 . 2 取扱いに慎重を要するシ
ステムの隔離
11.5.1
1 1 . 5 . 1 セキュリティに配慮したロ
グオン手順
11.5.6
1 1 . 5 . 6 接続時間の制限
A.9.4.3
A. 9 . 4 . 3 パスワード管理シス
テム
9.4.3
9 . 4 . 3 パスワード管理システ
ム
11.5.3
1 1 . 5 . 3 パスワード管理システム
A.9.4.4
A. 9 . 4 . 4 特権的なユーティリ
ティプログラムの使用
9.4.4
9 . 4 . 4 特権的なユーティリティ
プログラムの使用
11.5.4
1 1 . 5 . 4 システムユーティリティの
使用
A.9.4.5
A. 9 . 4 . 5 プログラムソースコー
ドへのアクセス制御
9.4.5
9 . 4 . 5 プログラムソースコード
へのアクセス制御
12.4.3
1 2 . 4 . 3 プログラムソースコードへ
のアクセス制御
CLD.9 .5
分散仮想環境におけるクラウド
利用者データのアクセス制御
CLD.
9 .5 .1
バーチャルコンピューティング
環境における分離
管理策
クラウドサービス上のクラウド利用
者の仮想環境は、他のクラウド利
用者及び認可されていない要員
から保護することが望ましい。
CLD.
9 .5 .2
Copyright JIPDEC ISMS, 2015
項番
51
仮想化マシンの堅牢化
管理策
クラウドコンピューティング環境に
おける仮想化マシンは、ビジネス
ニーズを満たすために堅牢化する
ことが望ましい。
Information Security Management System
附属書A クラウドサービス追加管理策
（4/6）
CLD 12.1/12.1.5
項番
A.12.1
ISO/IEC 27001
管理策
A. 1 2 . 1 運用の手順及び責任
項番
12.1
ISO/IEC FDIS 27017
管理策
1 2 . 1 運用の手順及び責任
項番
10.1
クラウドサービス利用のための
情報セキュリティマネジメント
ガイドライン
管理策
1 0 . 1 運用の手順及び責任
A.12.1.1
A. 1 2 . 1 . 1 操作手順書
12.1.1
1 2 . 1 . 1 操作手順書
10.1.1
1 0 . 1 . 1 操作手順書
A.12.1.2
A. 1 2 . 1 . 2 変更管理
12.1.2
1 2 . 1 . 2 変更管理
10.1.2
1 0 . 1 . 2 変更管理
A.12.1.3
A. 1 2 . 1 . 3 容量・能力の管理
12.1.3
1 2 . 1 . 3 容量・能力の管理
10.3.1
1 0 . 3 . 1 容量・能力の管理
A.12.1.4
A. 1 2 . 1 . 4 開発環境，試験環
境及び運用環境の分離
12.1.4
1 2 . 1 . 4 開発環境，試験環境
及び運用環境の分離
10.1.4
1 0 . 1 . 4 開発施設，試験施設及び
運用施設の分離
CLD.12.1
運用の手順及び責任
運用の手順及び責任は、
ISO/IEC 27002の12.1による。
CLD.
12.1.5
Copyright JIPDEC ISMS, 2015
管理者の運用セキュリティ
管理策
クラウドコンピューティング環境に
おける運用管理者に対する手順
は、定義し、文書化し、監視する
ことが望ましい。
52
Information Security Management System
附属書A クラウドサービス追加管理策
CLD 12.4/12.4.5
（5/6）
項番
A.12.4
ISO/IEC 27001
管理策
A. 1 2 . 4 ログ取得及び監視
項番
12.4
ISO/IEC FDIS 27017
管理策
1 2 . 4 ログ取得及び監視
項番
10.1
クラウドサービス利用のための
情報セキュリティマネジメント
ガイドライン
管理策
1 0 . 1 0 監視
A.12.4.1
A. 1 2 . 4 . 1 イベントログ取得
12.4.1
1 2 . 4 . 1 イベントログ取得
10.10.1
1 0 . 1 0 . 1 監査ログ取得
A.12.4.2
A. 1 2 . 4 . 2 ログ情報の保護
12.4.2
1 2 . 4 . 2 ログ情報の保護
10.10.3
1 0 . 1 0 . 3 ログ情報の保護
A.12.4.3
A. 1 2 . 4 . 3 実務管理者及び運
用担当者の作業ログ
12.4.3
1 2 . 4 . 3 実務管理者及び運用
担当者の作業ログ
10.10.4
1 0 . 1 0 . 4 実務管理者及び運用担
当者の作業ログ
A.12.4.4
A. 1 2 . 4 . 4 クロックの同期
12.4.4
1 2 . 4 . 4 クロックの同期
10.10.6
1 0 . 1 0 . 6 クロックの同期
CLD.12.4
ログ取得及び監視
ログ取得及び監視については、
ISO/IEC 27002の12.4による。
CLD.
12.4.5
Copyright JIPDEC ISMS, 2015
クラウドサービスの監視
管理策
クラウド利用者は、利用するクラ
ウドサービスの運用の特定の側
面を監視する能力を持つことが望
ましい。
53
Information Security Management System
附属書A クラウドサービス追加管理策
（6/6）
CLD 13.1/13.1.4
ISO/ IEC 2 7 0 0 1
管理策
項番
A.13.1
A. 1 3 . 1 ネットワークセキュリティ
管理
項番
13.1
ISO/ IEC FDIS 2 7 0 1 7
管理策
1 3 . 1 ネットワークセキュリティ管
理
項番
10.6
クラウドサービス利用のための
情報セキュリティマネジメント
ガイドライン
管理策
1 0 . 6 ネットワークセキュリティ管理
A.13.1.1
A. 1 3 . 1 . 1 ネットワーク管理策
13.1.1
1 3 . 1 . 1 ネットワーク管理策
10.6.1
1 0 . 6 . 1 ネットワーク管理策
A.13.1.2
A. 1 3 . 1 . 2 ネットワークサービ
スのセキュリティ
13.1.2
1 3 . 1 . 2 ネットワークサービス
のセキュリティ
10.6.2
1 0 . 6 . 2 ネットワークサービスのセ
キュリティ
A.13.1.3
A. 1 3 . 1 . 3 ネットワークの分離
13.1.3
1 3 . 1 . 3 ネットワークの分離
11.4.5
1 1 . 4 . 5 ネットワークの領域分割
CLD.1 3 .1
ネットワークセキュリティ管理
ネットワークセキュリティ管理につ
いては、ISO/IEC 27002の13.1に
よる。
CLD.
1 3 .1 .4
仮想及び物理ネットワークのセ
キュリティマネジメントの整合
管理策
仮想ネットワーク構成に際して
は、仮想と物理ネットワークとの
構成の整合は、クラウド事業者の
ネットワークセキュリティ方針に基
づき検証することが望ましい。
Copyright JIPDEC ISMS, 2015
54
Information Security Management System
クラウドセキュリティ認証の概要






クラウドセキュリティ認証の背景
クラウドセキュリティ認証の対象者
クラウドセキュリティ認証（制度の枠組み）
クラウドセキュリティ認証（アドオン認証）
ISO/IEC 27001認証とISO/IEC 27017認証の
適用範囲（案）
制度運用までのスケジュール（案）
Copyright JIPDEC ISMS, 2015
55
Information Security Management System
クラウドセキュリティ認証の背景
クラウドサービスの本格的な普及に伴い、クラウドサービスに求められ
るセキュリティ要求事項を明確化することの重要性を認識。
クラウドサービス向けの国際規格ISO/IEC 27017（Code of practice for
information security controls based on ISO/IEC 27002 for cloud
services）の策定が進められ、発行される見込み。
このような状況を踏まえ、ISO/IEC 27001に基づき、クラウドサービスの
信頼性を保証するクラウドセキュリティ認証を開始する予定。
クラウドセキュリティ認証の詳細については、Ｗｅｂ公開する予定。
Copyright JIPDEC ISMS, 2015
56
Information Security Management System
クラウドセキュリティ認証の対象者
クラウドセキュリティ認証は、ISO/IEC 27017に従い、クラウドサービス事業
者、クラウドサービス利用者の両方を対象とする。なお、本認証は、ISMS
（ISO/IEC 27001）認証を前提とする。
※ クラウドサービス事業者：
クラウドサービスを利用可能にする組織（クラウドサービスを提供す
る組織）。ただし、クラウド事業者も、提供するサービスの様態によっては、ク
ラウドサービス利用者となる場合がある。
※ クラウドサービス利用者：
クラウドサービスを利用する目的のための取引関係がある組織
（クラウドサービスを利用する組織）
（用語及び定義は、ISO/IEC 27017及び「クラウドサービス利用のための情報セキュリティマネジメントガイド
ライン（経済産業省）に基づく。）
Copyright JIPDEC ISMS, 2015
57
Information Security Management System
クラウドセキュリティ認証（制度の枠組み）
クラウドセキュリティ認証（略称：CLS認証)の枠組みは以下の方針とする。
ISMS（ISO/IEC 27001）認証を前提として、クラウドサービスの情報セキュリ
ティ管理を満たしている組織を認証する仕組みとする。（アドオン認証）
※ここでは、ISOの枠組みの中で、ISMS（ISO/IEC 27001）認証を前提とし
て、特定の分野固有の規格に準拠していることをアドオン認証という。
（アドオン認証のイメージは、別図を参照）
Copyright JIPDEC ISMS, 2015
58
Information Security Management System
クラウドセキュリティ認証（アドオン認証）
制度の枠組み
Copyright JIPDEC ISMS, 2015
アドオン認証のイメージ
59
Information Security Management System
ISO/IEC 27001認証と
ISO/IEC 27017認証の適用範囲(案）
ISO/IEC
27001
適用範囲
ISO/IEC 27001
A
①
ISO/IEC
27017
適用範囲A
ISO/IEC
27001認証
クラウドサービスに
基づく
リスクアセスメント
ISO/IEC
27001
認証
適用範囲B
ISO/IEC
27017
＋
認証
B
ISO/IEC
27017
ISO/IEC
27002
適用範囲
②
ISO/IEC 27001
A
ISO/IEC 27017
B
Copyright JIPDEC ISMS, 2015
60
認証登録書
Information Security Management System
制度運用までのスケジュール(案）
2014年
ISO・
JIS
ISO/IEC
27017
2nd
CD
2015年
2016年
FDIS
DIS
(投票：1/20-4/20)
(投票：7/31-10/1)
ＩＳＯ発行
ＩＳＯの対訳版発行
ISO/IEC 27017のJIS化作業
概
要
・
要
件
JIS
ＪＩＳ発行時期未定
概要・要件案の検討・作成
ガ
イ
ド
組織向けガイドの作成
（リスクマネジメント編の拡張）
研
修
研修資料案の
検討・作成
認
定
基
準
認定基準類案の
検討・作成
制
度
設
立
2017年
3月～
関連団体との調整等
説明会実施
（ISO公開後）
方針の公開(11月予定）
クラウドセキュリティ
制度開始
Information Security Management System
ご清聴ありがとうございました。
【問い合わせ先】
一般財団法人日本情報経済社会推進協会
情報マネジメント推進センター
TEL: 03-5860-7570
FAX: 03-5573-0564
Web: http://www.isms.jipdec.or.jp/
Copyright JIPDEC ISMS, 2015
62

Download Report