Information Security Management System ISMSをベースにした クラウドセキュリティ -ISO/IEC 27017の最新動向- 一般財団法人 日本情報経済社会推進協会 参事 高取 敏夫 2015年11月18日 http://www.isms.jipdec.or.jp/ Copyright JIPDEC ISMS, 2015 1 Information Security Management System JIPDEC組織体制 JIPDEC(一般財団法人日本情報経済社会推進協会) 設 立:昭和42年12月20日 事業規模:25億1,610万円(平成27年度予算) 職 員 数:108名(平成27年4月現在) JIPDEC 広報室 電子情報利活用研究部 総務部 プライバシーマーク推進センター 総務課 経理課 事務局 安信簡情報環境推進部 情報通信管理課 Copyright JIPDEC ISMS, 2015 情報マネジメント推進センター 2 審査業務室 電子署名・認証センター Information Security Management System 情報マネジメント推進センターの 主な業務内容 情報技術に関連するマネジメントシステムの認定機関として の業務及び各制度に関連する普及業務 ISMS/ITSMS/BCMS/CSMS認定システム実施に伴う諸業務 ISMS/ITSMS/BCMS/CSMS認定審査の実施 ISMS/ITSMS/BCMS/CSMS関連の委員会事務局業務 IT資産管理(ITAM)に関する調査研究業務 国際認定機関やフォーラム( IAF、PAC等)との相互連携の推進 ISO/IECなど(国際規格、ガイド策定等)への積極的貢献 クラウドセキュリティに関する調査研究 Copyright JIPDEC ISMS, 2015 3 Information Security Management System アジェンダ ISMSの概要 ISMSの国際動向 ISO/IEC 27001:2013要求事項の概要 ISO/IEC FDIS 27017の最新動向 クラウドセキュリティ認証の概要 Copyright JIPDEC ISMS, 2015 4 Information Security Management System ISMSの概要 ISMS適合性評価制度12年の歩み(1/3~3/3) ISMS適合性評価制度における適合基準 ISMS適合性評価制度の仕組み ISMSに関するガイド等 Copyright JIPDEC ISMS, 2015 5 Information Security Management System ISMS適合性評価制度12年の歩み(1/3) 2000 2001 制 度 普 及 第 一 期 ・安対制度の廃止 2001.3 ・ISMS適合性評価制度パイロット事業の実施 2001.7 2002 ・ISMS適合性評価制度の開始 2002.4 2003 ・OECDの情報セキュリティガイドラインの見直し 2003.4 2004 2005 Copyright JIPDEC ISMS, 2015 ・中央省庁ホームページ連続改ざん事件 2000.1 ・「情報セキュリティ管理の国際的なスタンダードの導入及び安対制度の 改革」を公表 2000.7 ・ISO/IEC 17799が制定 2000.12 ・ファイル交換ソフトWinnyによる情報流出事件 2004~ ・個人情報保護法施行 2005.4 ・ISO/IEC 17799からISO/IEC 27002へ規格番号の変更 2005.6 ・ISO/IEC 27001(ISMS認証基準)の発行 2005.10 6 Information Security Management System ISMS適合性評価制度12年の歩み(2/3) 制 度 普 及 第 二 期 2006 ・PAC(PACIFIC ACCREDITATION COOPERATION)加盟 2006.4 ・ISMS認証基準(Ver.2.0)からJIS Q 27001への移行開始 2006.5 2007 ・審査員評価登録業務及び審査員研修機関の認定業務の移管 2007.3 ・IAF(INTERNATIONAL ACCREDITATION FORUM)加盟 2007.10 2008 ・医療機関向けISMSユーザーズガイドの発行 2008.5 (初版は2004.11発行) ・ISMSの相互承認(MLA)の検討開始 2008.6 ・ISMS認証取得組織が3,000を超える 2008.7 2009 ・クレジット産業向けPCIDSS/ISMSユーザーズガイドの発行 2009.3 (初版は2006.3発行) 2010 ・ISMS審査員評価登録センターの認定 2009~2010 2011 2012 Copyright JIPDEC ISMS, 2015 ・ISMS認証取得組織が4,000を超える 2011.3 ・標的型サーバ攻撃事件 2011~ ・制御システムのセキュリティマネジメント(CSMS)の制度化 2011~ ・セキュリティガバナンス協議会のスタート 2012.5 ・ASEAN情報セキュリティ政策会議 2012.10 7 Information Security Management System ISMS適合性評価制度12年の歩み(3/3) 制 度 普 及 2013 ・ISO/IEC 27001:2013の発行 2013.10 ・ISO/IEC 27002:2013の発行 2013.10 ・ISO/IEC 27001:2013への移行開始 2013.10 2014 ・JIS Q 27001/ 27002/ 27000:2014の発行 2014.3 ・サイバーセキュリティ基本法制定 2014.11 2015 ・認証取得事業者数 4,700件 ・認証機関数 26機関 ・サイバーセキュリティ戦略 2015.9 ・ISO/IEC 27001:2013への移行完了 2015.10 ・ISO/IEC FDIS 27017:2015の発行 2015.10 ・クラウドセキュリティ認証の公表予定 2015.11 第 三 期 2016 2017 2018 Copyright JIPDEC ISMS, 2015 8 Information Security Management System ISMS適合性評価制度における適合基準 ISO/IEC 17011:2004(JIS Q 17011) 適合基準 認定機関 認定(Accreditation) (適合性評価-適合性評価機関の認定を 行う機関に対する一般要求事項: Conformity assessment - General requirements for accreditation bodies accrediting conformity assessment bodies) ISO/IEC 27006:2015(JIS Q 27006) 認証機関 適合基準 認証(Certification) (情報技術-セキュリティ技術-ISMSの審 査及び認証を行う機関に対する要求事項: Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems) ISO/IEC 27001:2013 (JIS Q 27001) 評価希望組織 Copyright JIPDEC ISMS, 2015 適合基準 9 (情報技術-セキュリティ技術-情報セキュ リティマネジメントシステム-要求事項: Information technology-Security techniques-Information security management systems- Requirements) Information Security Management System ISMS適合性評価制度の仕組み 認証機関 申請 申請 審査(認定) 審査(認定) 審査(認証) 評価 (認証) JIS Q 17024 (ISO/IEC 17024) JIS Q 27006 (ISO/IEC 27006) 申請 要員認証機関 認定機関 認定機関 JIPDEC JIPDEC 情報マネジメント推進センター 情報マネジメント推進センター JIS Q 27001 (ISO/IEC 27001) JIS Q 17011 (ISO/IEC 17011) 意見・苦情 評価希望組織 承認 申請 申請 審査員希望者 証明書 発行 受講 審査員研修機関 ※ ISO/IEC 17024(JIS Q 17024):適合性評価-要員の認証を実施する機関に対する一般要求事項 ( Conformity assessment -- General requirements for bodies operating certification of persons) Copyright JIPDEC ISMS, 2015 10 Information Security Management System ISMSに関するガイド等 名 称 地方公共団体と情報セキュリティ ~ISMSへの第一歩~ 発行・ 改訂日 2013. 3.29 内 容 地方公共団体がISMSに取り組む際に直面するかもしれない特有の問題を洗い出し、それに対処する ためのアドバイスやノウハウをわかりやすく記載したハンドブックです。 座談会 10年目のISMS 2013.2 ISMS制度創設から10年間の軌跡を座談会形式でまとめたものです。 ISMS適合性評価制度の概要 2014.4 ISMS適合性評価制度の概要を紹介したものです。(パンフレット) ISMSユーザーズガイド -JIS Q 27001:2014 (ISO/IEC 27001:2013)対応- 2014. 4.14 ISMS認証基準(JIS Q 27001:2014)の要求事項について一定の範囲でその意味するところを説明して いるガイドです。 主な読者は、ISMS認証取得を検討もしくは着手している組織において、実際にISMS の構築に携わっている方及び責任者を想定しています。 参考文献の維持管理を向上させるために別ファイルにしています(更新:2012年3月15日)。 ISMSユーザーズガイド -JIS Q 27001:2014 (ISO/IEC 27001:2013)対応リスクマネジメント編 2015. 3.31 ISMSユーザーズガイドを補足し、リスクマネジメント、とりわけリスクアセスメント及びその結果に基づく リスク対応についての理解を深めるために必要な事項について、例を挙げて解説しています。事例を 付録として追加しました。 クレジット産業向け “PCIDSS”/ISMSユーザーズガイド 2009. 3.31 ISMSユーザーズガイドのクレジット産業向け版で、クレジット産業におけるISMS構築を主眼として、関連 する規範とISMS認証基準とのマッピングを示し、 ISMSを構築することがこれらの規範を順守する上で 非常に有効な手段であることを示したガイドです。 クレジット加盟店向け “情報セキュリティのためのガイド” (PCI DSS/ISMS準拠のためのガイド) 2011. 1.26 クレジット加盟店の情報セキュリティのため、PCI DSS/ISMS準拠に関して説明しているガイドです。 法規適合性に関する ISMSユーザーズガイド 2009.4 企業がリスクマネジメントを実施する上で、法的リスクを考慮することは重要であり、とりわけ個人情報 保護法等の法規順守については重要な課題となっていま す。個人情報保護に対応する手段として ISMSの枠組みは極めて有効であり、ISMSの枠組みが法的 及び規制要求事項に適合させる仕組みで あることを理解して頂くことを目的としたガイドです。 外部委託における ISMS適合性評価制度の活用方法 2015.11 予定 組織又は企業において情報処理業務の一部又は全てを外部委託する場合に、情報セキュリティ責任 者及び担当者が委託先の選定にISMS適合性評価制度を活用するためのガイドです。 Copyright JIPDEC ISMS, 2015 11 Information Security Management System ISMSの国際動向 ISMS認証取得組織数の年度別推移 国・地域別認証登録数の推移 国・地域別認証登録数 ISO/IEC JTC1/SC27 WGの構成 国際規格の改訂作業の経緯 ISO/IEC 27000シリーズ規格番号 ISO/IEC 27000:2014 ISO/IEC 27001:2013 ISO/IEC 27002:2013 Copyright JIPDEC ISMS, 2015 12 Information Security Management System ISMS認証取得組織の年度別推移 5000 4620 4493 4500 4243 4030 4000 3783 3465 3500 3176 3000 2646 登録 2500 2168 累計 2000 1583 1500 852 1000 500 144144 731 429 423 279 585 478 530 289 318 247 213 250 127 0 2002 2003 年度 2004 2002 2005 2003 2006 2004 2007 2005 2008 2006 2009 2007 2010 2008 2011 2009 2012 2010 2013 2011 2014 年度 2012 2013 2014 認証取得組織数 144 279 429 731 585 478 530 289 318 247 213 250 127 認証取得組織数 累計 144 423 852 1583 2168 2646 3176 3465 3783 4030 4243 4493 4620 認定された認証機関数 累計 6 9 18 19 23 23 24 25 26 26 26 26 26 Copyright JIPDEC ISMS, 2015 13 Information Security Management System 国・地域別認証登録数の推移 (ISO-surveyより) 順位 国/地域 2011 2012 1 日本 6,914 7,199 2 インド 1,427 3 英国 4 中国 5 2013 順位 国/地域 7,084 17 1,611 1,931 18 イスラエル マレーシア 1,464 1,701 1,923 19 トルコ 1,219 1,490 1,710 20 スロバキア イタリア 425 495 901 21 オーストラリア 6 台湾 791 855 861 22 タイ 7 ルーマニア 575 866 840 23 香港 8 スペイン 642 805 799 24 UAE 9 ドイツ 424 488 581 25 スイス 10 米国 315 415 566 26 フランス 11 チェコ 301 264 397 27 シンガポール 12 オランダ 125 190 316 28 ブラジル 13 ポーランド 233 279 307 29 14 ハンガリー 178 199 280 30 コロンビア メキシコ 15 ブルガリア 132 208 278 その他 16 韓国 191 230 252 計 Copyright JIPDEC ISMS, 2015 14 2011 2012 2013 110 130 185 72 100 181 100 132 181 111 127 159 94 113 138 76 96 125 99 110 124 73 96 123 66 65 111 46 66 94 68 65 84 50 53 82 27 58 82 70 75 80 937 1,039 1,518 17,355 19,620 22,293 国・地域別認証登録数 その他, 5,097 , (23%) 日本, 7,084 , (32%) 米国, 566 , (3%) ドイツ, 581 , (3%) スペイン, 799 , (4%) ルーマニア, 840 , (4%) インド, 1,931 , (9%) 台湾, 861 , (4%) イタリア, 901 , (4%) Copyright JIPDEC ISMS, 2015 中国, 1,710 , (8%) 15 英国, 1,923 , (9%) Information Security Management System ISO/IEC JTC1/SC27 WGの構成 Copyright JIPDEC ISMS, 2015 16 Information Security Management System 国際規格の改訂作業の経緯 IS発行 [第3版] 2014/1/15 Copyright JIPDEC ISMS, 2015 17 Information Security Management System ISO/IEC 27000シリーズ規格番号 Copyright JIPDEC ISMS, 2015 18 18 ISO/IEC 27000:2014 Information technology – Security techniques – Information security management systems – Overview and vocabulary 2014年1月発行[第3版] ISMSファミリー規格の概要、ISMSファミリー規格において使用される用語等 について規定した規格 ※国内規格としては、2014年3月にJIS Q 27000:2014として制定された。 情報技術-セキュリティ技術-情報マネジメントシステム-用語 ISO/IEC 27000:2014の箇条2の用語及び定義の技術的内容を変更すること なく作成した国内規格(ISMSの概要などを示したISO/IEC 27000:2014の箇 条3以降は含まれていない)。 Copyright JIPDEC ISMS, 2015 19 ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements 2013年10月発行[第2版] 組織の事業リスク全般を考慮して、文書化したISMSを確立、実施、 維持及び継続的に改善するための要求事項を規定した規格 ※ 国内規格としては、2006年5月にJIS Q 27001:2006として制定され ており、ISO/IEC 27001:2013発行に伴い、JIS Q 27001:2014が2014 年3月に発行された。 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム -要求事項 Copyright JIPDEC ISMS, 2015 20 ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for information security controls 2013年10月発行[第2版] 情報セキュリティマネジメントの確立、実施、維持及び改善に関する ベストプラクティスをまとめた規格。ISO/IEC 27001の「附属書A 管理 目的及び管理策」と整合がとられている。 *当初、ISO/IEC 17799として発行されたが、2007年7月に規格番号 がISO/IEC 27002と改番された。 ※ 国内規格としては、2006年5月にJIS Q 27002:2006として制定され ており、ISO/IEC 27002:2013発行に伴い、JIS Q 27002:2014が2014 年3月に発行された。 情報技術-セキュリティ技術-情報セキュリティ管理策の実践のた めの規範 Copyright JIPDEC ISMS, 2015 21 Information Security Management System ISO/IEC 27001:2013要求事項の 概要 ISO/IEC 27001:2013要求事項の内容 (1/3)~(3/3) ISO/IEC 27001:2013の各箇条の関係 附属書Aの管理目的及び管理策の概要 附属書Aの管理目的及び管理策の使用方法 附属書AとISO/IEC 27002との関係 ISO/IEC 27001:2013附属書A(規定) Copyright JIPDEC ISMS, 2015 22 ISO/IEC 27001:2013要求事項の内容(1/3) 箇条 概略 4 組織の状況 4.1 組織及びその状況の理解 組織をとりまく内外の状況や利害関係者のニーズ及び期 待を理解、決定し、それらを考慮に入れたうえでISMSの適 用範囲を定めることが求められている。 4.2 利害関係者のニーズ及び期待の理解 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 4.4 情報セキュリティマネジメントシステム 5 リーダーシップ ISMSを推進し、関係者の意識向上を図るためには、トップ マネジメントの強力なリーダーシップが不可欠である。ここ では、トップマネジメントの果たすべき役割について規定し ている。 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割、責任及び権限 6 計画 6.1 リスク及び機会に対処する活動 ISMSにおけるリスク及び機会を決定し、情報セキュリティリ スクアセスメント、情報セキュリティリスク対応のプロセスを 定めて適用することが求められている。また、管理策を除 外した場合には、その理由を適用宣言書に記載することが 求められている。 6.1.1 一般 6.1.2 情報セキュリティリスクアセスメント 6.1.3 情報セキュリティリスク対応 6.2 情報セキュリティ目的及びそれを達成するための計画策定 Copyright JIPDEC ISMS, 2015 23 ISO/IEC 27001:2013要求事項の内容(2/3) 箇条 概略 7 支援 7.1 資源 7.2 力量 7.5で要求される文書類を文書化し、管理し、維持しながら、 人々の力量、並びに利害関係者との反復的かつ必要に応 じたコミュニケーションを確立することを通じた、ISMSの運 用の支援について規定している。 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報 8 運用 情報セキュリティの要求事項を実現するために必要なプロ セス群の、策定、導入・実施、及び管理について、並びに 情報セキュリティリスクアセスメント、情報セキュリティリスク 対応の実施について規定している。 8.1 運用の計画及び管理 8.2 情報セキュリティリスクアセスメント 8.3 情報セキュリティリスク対応 Copyright JIPDEC ISMS, 2015 24 ISO/IEC 27001:2013要求事項の内容(3/3) 箇条 概略 9 パフォーマンス評価 9.1 監視、測定、分析及び評価 情報セキュリティパフォーマンスの評価(監視、測定、分析 及び評価)、内部監査及びマネジメントレビューについて規 定している。 9.2 内部監査 9.3 マネジメントレビュー 10 改善 不適合が発生した場合の処置、及び処置の文書化と、 ISMSの適切性、妥当性及び有効性の継続的改善につい て規定している。 10.1 不適合及び是正処置 10.2 継続的改善 Copyright JIPDEC ISMS, 2015 25 Information Security Management System ISO/IEC 27001:2013の各箇条の関係 5. リーダーシップ 5.1 リーダーシップ及びコミットメント 4. 組織の状況 6. 計画 4.1 組織及び その状況の理解 6.1 リスク及び機会に対処 する活動 ・組織をとりまく内外の課題 4.2 利害関係者のニーズ 及び期待の理解 ・ISMSに関連する 利害関係者の要求事項 5.2 方針 5.3 組織の役割、責任及び権限 8. 運用 9. パフォーマンス評価 8.1 運用の計画及び管理 ・6.1、6.2 を実施 9.1 監視、測定、分析及び 評価 情報セキュリティパフォーマン ス及びISMSの有効性を評価 8.2 情報セキュリティ リスクアセスメント ・6.1.2 を実施 6.1.1 一般 ・リスク及び機会の決定 6.1.2 情報セキュリティ リスクアセスメント 8.3 情報セキュリティ リスク対応 ・6.1.3 を実施 6.1.3 情報セキュリティ リスク対応 6.2 情報セキュリティ目的 及びそれを達成するため の計画策定 4.3 適用範囲の決定 9.2 内部監査 有効に実施され、継続的に維 持されているかを評価 9.3 マネジメント・レビュー 継続的改善の機会、及び ISMSの変更の必要性を決定 10. 改善 ・適用範囲の境界及び 適用可能性 10.1 不適合及び是正処置 10.2 継続的改善 7. 支援 7.1 資源 Copyright JIPDEC ISMS, 2015 7.2 力量 7.3 認識 26 7.4 コミュニケーション 7.5 文書化した情報 附属書Aの管理目的及び管理策の概要 附属書Aでは,組織がISMSを導入する場合に参照する35の 管理目的及び114の管理策を一覧で示している。 管理目的とは、「管理策を実施した結果として,達成されるこ とになる事項を説明した記述」である。 管理策とは、「リスクを修正する対策」である。情報セキュリ ティにおいてリスクは減らすべきものであることから、管理策 とは、「リスクを低減する対策」ということもできる。 Copyright JIPDEC ISMS, 2015 27 附属書Aの管理目的 及び管理策の使用方法 附属書Aの使用方法に関する記述が、ISO/IEC 27001の 「6.1.3 情報セキュリティリスク対応」にある。 組織にとって必要な管理策を設計し、又は任意の情報源の 中から管理策を特定することが想定されている。 これらの管理策は、必ずしも附属書Aから選定する必要はな いが、附属書Aに示す管理策と比較し、必要な管理策が見落 とされていないことを検証することが求められている。 Copyright JIPDEC ISMS, 2015 28 附属書AとISO/IEC 27002との関係 ISO/IEC 27001附属書AにISO/IEC 27002の管理目的及び管 理策をそのまま規定している。 ISO/IEC 27001附属書Aの元となったISO/IEC 27002は指針 (ガイドライン)であり,管理策は,「~することが望ましい。」 (原文ではshouldを用いている。)という定型の表現をとる。こ れに対しISO/IEC 27001附属書Aの管理策は、要求事項として 「~しなければならない。」(原文ではshallを用いている。)とい う表現となる。 ISO/IEC 27002では、「実施の手引」及び「関連情報」という見 出しのもとに、管理策ごとにその説明が記載されており、追加 の情報を得ることができる。 Copyright JIPDEC ISMS, 2015 29 Information Security Management System ISO/IEC 27001:2013 附属書A(規定) ISO/IEC 27001:2013 附属書A A.5 情報セキュリティのための方針群 A.6 情報セキュリティのための組織 A.7 人的資源のセキュリティ A.8 資産の管理 A.9 アクセス制御 A.10 暗号 A.11 物理的及び環境的セキュリティ A.12 運用のセキュリティ A.13 通信のセキュリティ A.14 システムの取得,開発及び保守 A.15 供給者関係 A.16 情報セキュリティインシデント管理 A.17 事業継続マネジメントにおける情報セキュリティの側面 A.18 順守 Copyright JIPDEC ISMS, 2015 30 Information Security Management System A.5 情報セキュリティのための方針群 A.5.1 情報セキュリティのための経営陣の方向性 目的:情報セキュリティのための経営陣の方向性及び指示を、事業上の要 求事項並びに関連する法令及び規制に従って提示するため。 ○A.5.1.1 情報セキュリティのための方針群 管理策:情報セキュリティのための方針群は、これを定義し、管理層が承認 し、発行し、従業員及び関連する外部関係者に通知しなければならない。 ○A.5.1.2 情報セキュリティのための方針群のレビュー 管理策:情報セキュリティのための方針群は、あらかじめ定めた間隔で、又 は重大な変化が発生した場合に、それが引き続き適切、妥当かつ有効であ ることを確実にするためにレビューしなければならない。 Copyright JIPDEC ISMS, 2015 31 Information Security Management System A.6 情報セキュリティのための組織 A.6.1 内部組織 目的:組織内で情報セキュリティの実施及び運用に着手し、これを統制する ための管理上の枠組みを確立するため。(A.6.1.1~A.6.1.5) A.6.2 モバイル機器及びテレワーキング 目的:モバイル機器の利用及びテレワーキングに関するセキュリティを確実 にするため。(A.6.2.1~A.6.2.2) Copyright JIPDEC ISMS, 2015 32 Information Security Management System A.7 人的資源のセキュリティ A.7.1 雇用前 目的:従業員及び契約相手がその責任を理解し、求められている役割にふ さわしいことを確実にするため。(A.7.1.1~A.7.1.2) A.7.2 雇用期間中 目的:従業員及び契約相手が、情報セキュリティの責任を認識し、かつ、そ の責任を遂行することを確実にするため。(A.7.2.1~A.7.2.3) A.7.3 雇用の終了及び変更 目的:雇用の終了又は変更のプロセスの一部として、組織の利益を保護す るため。(A.7.3.1) Copyright JIPDEC ISMS, 2015 33 Information Security Management System A.8 資産の管理 A.8.1 資産に対する責任 目的:組織の資産を特定し、適切な保護の責任を定めるため。 (A.8.1.1~A.8.1.4) A.8.2 情報分類 目的:組織に対する情報の重要性に応じて、情報の適切なレベルでの保護 を確実にするため。(A.8.2.1~A.8.2.3) A.8.3 資産の取扱い 目的:媒体に保存された情報の認可されていない開示、変更、除去又は破 壊を防止するため。(A.8.3.1~A.8.3.3) Copyright JIPDEC ISMS, 2015 34 Information Security Management System A.9 アクセス制御 A.9.1 アクセス制御に対する業務上の要求事項 目的:情報及び情報処理施設へのアクセスを制限するため。(A.9.1.1~A.9.1.2) A.9.2 利用者アクセスの管理 目的:システム及びサービスへの、認可された利用者のアクセスを確実にし、認 可されていないアクセスを防止するため。(A.9.2.1~A.9.2.6) A.9.3 利用者の責任 目的:利用者に対して、自らの秘密認証情報を保護する責任をもたせるため。 (A.9.3.1) A.9.4 システム及びアプリケーションのアクセス制御 目的:システム及びアプリケーションへの、認可されていないアクセスを防止す るため。(A.9.4.1~A.9.4.5) Copyright JIPDEC ISMS, 2015 35 Information Security Management System A.10 暗号 A.10.1 暗号による管理策 目的:情報の機密性、真正性及び/又は完全性を保護するために、暗号の 適切かつ有効な利用を確実にするため。 A.10.1.1 暗号による管理策の利用方針 情報を保護するための暗号による管理策の利用に関する方針は、策定し、 実施されなければならない。 A.10.1.2 鍵管理 暗号鍵の利用、保護及び有効期間(lifetime)に関する方針を策定し、そのラ イフサイクル全体にわたって実施しなければならない。 Copyright JIPDEC ISMS, 2015 36 Information Security Management System A.11 物理的及び環境的セキュリティ A.11.1 セキュリティを保つべき領域 目的:組織の情報及び情報処理施設に対する認可されていない物理的アク セス、損傷及び妨害を防止するため。(A.11.1.1~A.11.1.6) A.11.2 装置 目的:資産の損失、損傷、盗難又は劣化、及び組織の業務に対する妨害を 防止するため。(A.11.2.1~A.11.2.9) Copyright JIPDEC ISMS, 2015 37 Information Security Management System A.12 運用のセキュリティ(1/2) A.12.1 運用の手順及び責任 目的:情報処理設備の正確かつセキュリティを保った運用を確実にするため。 (A.12.1.1~A.12.1.4) A.12.2 マルウェアからの保護 目的:情報及び情報処理施設がマルウェアから保護されることを確実にするた め。(A.12.2.1~A.12.2.4) A.12.3 バックアップ 目的:データの消失から保護するため。(A.12.3.1) Copyright JIPDEC ISMS, 2015 38 Information Security Management System A12 運用のセキュリティ(2/2) A.12.4 ログ取得及び監視 目的:イベントを記録し、証拠を作成するため。(A.12.4.1~A.12.4.4) A.12.5 運用ソフトウェアの管理 目的:運用システムの完全性を確実にするため。(A.12.5.1) A.12.6 技術性脆弱性管理 目的:技術的ぜい弱性の悪用を防止するため。(A.12.6.1~A.12.6.2) A.12.7 情報システムの監査に対する考慮事項 目的:運用システムに対する監査活動の影響を最小限にするため。(A.12.7.1) Copyright JIPDEC ISMS, 2015 39 Information Security Management System A.13 通信のセキュリティ A.13.1 ネットワークセキュリティ管理 目的:ネットワークにおける情報の保護、及びネットワークを支える情報処理 施設の保護を確実にするため。(A.13.1.1~A.13.1.3) A.13.2 情報の転送 目的:組織の内部及び外部に転送した情報のセキュリティを維持するため。 (A.13.2.1~A.13.2.4) Copyright JIPDEC ISMS, 2015 40 Information Security Management System A.14 システムの取得、開発及び保守 A.14.1 情報システムのセキュリティ要求事項 目的 ライフサイクル全体にわたって、情報セキュリティが情報システムに欠 くことのできない部分であることを確実にするため。これには、公衆ネットワー クを介してサービスを提供する情報システムのための要求事項も含む。 (A.14.1.1~A.14.1.3) A.14.2 開発及びサポートプロセスにおけるセキュリティ 目的 情報システムの開発サイクルの中で情報セキュリティを設計し、実施 することを確実にするため。(A.14.2.1~A.14.2.8) A.14.3 試験データ 目的 試験に用いるデータの保護を確実にするため。(A.14.3.1) Copyright JIPDEC ISMS, 2015 41 Information Security Management System A.15 供給者関係 A.15.1 供給者関係における情報セキュリティ 目的:供給者がアクセスできる組織の資産の保護を確実にするため。 (A.15.1.1~A.15.1.3) A.15.2 供給者のサービス提供の管理 目的:供給者との合意に沿って、情報セキュリティ及びサービス提供につい て合意したレベルを維持するため。(A.15.2.1~A.15.2.2) 注:外部委託、サプライチェーン等、外部の製品及びサービスの調達・利用に関する管理策を、 A.15供給者関係にまとめている。 Copyright JIPDEC ISMS, 2015 42 Information Security Management System A.16 情報セキュリティインシデント管理 A.16.1 情報セキュリティインシデントの管理及びその改善 目的:セキュリティ事象及びセキュリティ弱点に関する伝達を含む、情報セキ ュリティインシデントの管理のための、一貫性のある効果的な取組みを確実 にするため。 「A.16.1.1 「A.16.1.2 「A.16.1.3 「A.16.1.4 「A.16.1.5 「A.16.1.6 「A.16.1.7 Copyright JIPDEC ISMS, 2015 責任及び手順」 情報セキュリティ事象の報告」 情報セキュリティ弱点の報告」 情報セキュリティ事象の評価及び決定」※ 情報セキュリティインシデントへの対応」※ 情報セキュリティインシデントからの学習」 証拠の収集」 43 Information Security Management System A.17 事業継続マネジメントにおける 情報セキュリティの側面 A.17.1 情報セキュリティ継続 目的:情報セキュリティ継続を組織の事業継続マネジメントシステムに組み 込むことが望ましい。(A.17.1.1~A.17.1.3) A.17.2 冗長性 目的:情報処理施設の可用性を確実にするため。(A.17.2.1) Copyright JIPDEC ISMS, 2015 44 Information Security Management System A.18 順守 A.18.1 法的及び契約上の要求事項の順守 目的:情報セキュリティに関連する法的、規制又は契約上の義務に対する違 反、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため。 (A.18.1.1~A.18.1.5) A.18.2 情報セキュリティのレビュー 目的:組織の方針及び手順に従って情報セキュリティが実施され、運用され ることを確実にするため。(A.18.2.1~A.18.2.3) Copyright JIPDEC ISMS, 2015 45 Information Security Management System ISO/IEC FDIS 27017の最新動向 ISO/IEC FDIS 27017の概要 ISO/IEC FDIS 27017の構成 附属書A クラウドサービス追加管理策 (1/6~6/6) Copyright JIPDEC ISMS, 2015 46 ISO/IEC FDIS 27017の概要 Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services. ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の 実践の規範を提供する規格。クラウドサービス事業者及び利用者のための 管理策及び実施の手引きについて規定する。 ・投票期間:2015/7/31~2015/10/01 ・投票結果:承認 P- Members :賛成 100%(要求>=66.66%) Member bodies:反対 0%(要求<=25%) Copyright JIPDEC ISMS, 2015 47 ISO/IEC FDIS 27017の構成 0.序文 1. 適用範囲 2. 引用規格 3. 用語及び略語 4. クラウド分野固有の概念 5. 情報セキュリティのための方針群 6. 情報セキュリティのための組織 7. 人的資源のセキュリティ 8. 資産の管理 9. アクセス制御 10.暗号 Copyright JIPDEC ISMS, 2015 11.物理的及び環境的セキュリティ 12.運用のセキュリティ 13.通信のセキュリティ 14.システムの取得・開発及び保守 15.供給者関係 16.情報セキュリティインシデント管理 17.事業継続マネジメントにおける 情報セキュリティの側面 18.順守 附属書A クラウドサービス追加の管理策(規定) 附属書B クラウドコンピューティングに関する 情報セキュリティリスクに関する 参照情報(参考) 参考文献 48 Information Security Management System 附属書A クラウドサービス追加管理策 (1/6) CLD 6.3/6.3.1 項番 A.6.2 ISO/IEC 27001 管理策 A. 6 . 2 モバイル機器及びテ レ ワーキング 項番 6.2 ISO/IEC FDIS 27017 管理策 6 . 2 モバイル機器及びテ レワー キング 項番 11.7 クラウドサービス利用のための 情報セキュリティマネジメント ガイドライン 管理策 1 1 . 7 モバイルコンピュ ーテ ィング及 びテ レワーキング A.6.2.1 A. 6 . 2 . 1 モバイル機器の方針 6.2.1 6 . 2 . 1 モバイル機器の方針 11.7.1 1 1 . 7 . 1 モバイルのコンピュ ーテ ィ ング及び通信 A.6.2.2 A. 6 . 2 . 2 テ レワーキング 6.2.2 6 . 2 . 2 テ レワーキング 11.7.2 1 1 . 7 . 2 テ レワーキング CLD.6.3 CLD. 6.3.1 クラウド利用者とクラウド事業 者間の関係 クラウドコンピュ ーテ ィング環境 における役割分担及び責任 管理策 クラウドサービス利用において分 担された情報セキュリティの役割 の責任は、クラウド利用者とクラ ウド事業者によって、特定した関 係者に割り当て、文書化し、告知 し、通知し実施されることが望ま しい。 Copyright JIPDEC ISMS, 2015 49 Information Security Management System 附属書A クラウドサービス追加管理策 (2/6) CLD 8.1/8.1.5 項番 A.8.1 ISO/IEC 27001 管理策 A. 8 . 1 資産に対する責任 項番 8.1 ISO/IEC FDIS 27017 管理策 8 . 1 資産に対する責任 項番 7.1 クラウドサービス利用のための 情報セキュリティマネジメント ガイドライン 管理策 7 . 1 資産に対する責任 A.8.1.1 A. 8 . 1 . 1 資産目録 8.1.1 8 . 1 . 1 資産目録 7.1.1 7 . 1 . 1 資産目録 A.8.1.2 A. 8 . 1 . 2 資産の管理責任 a) 8.1.2 8 . 1 . 2 資産の管理責任 7.1.2 7 . 1 . 2 資産の管理責任者 A.8.1.3 A. 8 . 1 . 3 資産利用の許容範囲 8.1.3 8 . 1 . 3 資産利用の許容範囲 7.1.3 7 . 1 . 3 資産利用の許容範囲 A.8.1.4 A. 8 . 1 . 4 資産の返却 8.1.4 8 . 1 . 4 資産の返却 8.3.2 8 . 3 . 2 資産の返却 C LD. 8 . 1 資産に対する責任 資産に対する責任は、ISO/IEC 27002の8.1による。 CLD. 8.1.5 クラウド利用者資産の削除 管理策 クラウド事業者の構内にあるクラ ウド利用者資産は、利用契約の 終了時に、適時に削除し、必要に 応じて返却することが望ましい。 注:a) 6.1.2及び6.1.3では、情報セキュリティのリスクを運用管理することについて、責任及び権限を持つ人又は主体をリスク所有者としている。 情報セキュリティにおいて多くの場合、資産の管理責任を負う者は、リスク所有者でもある。 Copyright JIPDEC ISMS, 2015 50 Information Security Management System 附属書A クラウドサービス追加管理策 (3/6) CLD 9.5 /9.5.1 /9.5.2 項番 A.9.4 A.9.4.1 A.9.4.2 ISO/ IEC 2 7 0 0 1 管理策 A. 9 . 4 シ ス テ ム 及びア プリ ケー シ ョンのア クセス 制御 A. 9 . 4 . 1 情報へのア クセス 制 限 A. 9 . 4 . 2 セキュ リ テ ィに配慮し たログオン手順 項番 ISO/ IEC FDIS 2 7 0 1 7 管理策 9 . 4 シ ス テ ム 及びア プリ ケーシ ョ ンのア クセス 制御 9.4 9.4.1 9.4.2 9 . 4 . 1 情報へのア クセス 制限 9 . 4 . 2 セキュ リ テ ィに配慮した ログオン手順 クラウドサービス 利用のための 情報セキュリティマ ネジメント ガイドライン 管理策 11.5 1 1 . 5 オペレーテ ィングシ ス テ ム のア クセス 制御 11.6 1 1 . 6 業務用ソフトウェア 及び情報の ア クセス 制御 11.6.1 1 1 . 6 . 1 情報へのア クセス 制限 11.6.2 1 1 . 6 . 2 取扱いに慎重を要するシ ス テ ム の隔離 11.5.1 1 1 . 5 . 1 セキュ リ テ ィに配慮したロ グオン手順 11.5.6 1 1 . 5 . 6 接続時間の制限 A.9.4.3 A. 9 . 4 . 3 パス ワード管理シ ス テム 9.4.3 9 . 4 . 3 パス ワード管理シ ス テ ム 11.5.3 1 1 . 5 . 3 パス ワード管理シ ス テ ム A.9.4.4 A. 9 . 4 . 4 特権的な ユーテ ィリ テ ィプログラム の使用 9.4.4 9 . 4 . 4 特権的な ユーテ ィリ テ ィ プログラム の使用 11.5.4 1 1 . 5 . 4 シ ス テ ム ユーテ ィリ テ ィの 使用 A.9.4.5 A. 9 . 4 . 5 プログラム ソース コー ドへのア クセス 制御 9.4.5 9 . 4 . 5 プログラム ソース コード へのア クセス 制御 12.4.3 1 2 . 4 . 3 プログラム ソース コードへ のア クセス 制御 CLD.9 .5 分散仮想環境におけるクラウド 利用者データのア クセス 制御 CLD. 9 .5 .1 バーチャルコンピュ ーテ ィング 環境における分離 管理策 クラウドサービス上のクラウド利用 者の仮想環境は、他のクラウド利 用者及び認可されていない要員 から保護することが望ましい。 CLD. 9 .5 .2 Copyright JIPDEC ISMS, 2015 項番 51 仮想化マ シ ンの堅牢化 管理策 クラウドコンピューティング環境に おける仮想化マシンは、ビジネス ニーズを満たすために堅牢化する ことが望ましい。 Information Security Management System 附属書A クラウドサービス追加管理策 (4/6) CLD 12.1/12.1.5 項番 A.12.1 ISO/IEC 27001 管理策 A. 1 2 . 1 運用の手順及び責任 項番 12.1 ISO/IEC FDIS 27017 管理策 1 2 . 1 運用の手順及び責任 項番 10.1 クラウドサービス利用のための 情報セキュリティマネジメント ガイドライン 管理策 1 0 . 1 運用の手順及び責任 A.12.1.1 A. 1 2 . 1 . 1 操作手順書 12.1.1 1 2 . 1 . 1 操作手順書 10.1.1 1 0 . 1 . 1 操作手順書 A.12.1.2 A. 1 2 . 1 . 2 変更管理 12.1.2 1 2 . 1 . 2 変更管理 10.1.2 1 0 . 1 . 2 変更管理 A.12.1.3 A. 1 2 . 1 . 3 容量・ 能力の管理 12.1.3 1 2 . 1 . 3 容量・ 能力の管理 10.3.1 1 0 . 3 . 1 容量・ 能力の管理 A.12.1.4 A. 1 2 . 1 . 4 開発環境, 試験環 境及び運用環境の分離 12.1.4 1 2 . 1 . 4 開発環境, 試験環境 及び運用環境の分離 10.1.4 1 0 . 1 . 4 開発施設, 試験施設及び 運用施設の分離 CLD.12.1 運用の手順及び責任 運用の手順及び責任は、 ISO/IEC 27002の12.1による。 CLD. 12.1.5 Copyright JIPDEC ISMS, 2015 管理者の運用セキュ リテ ィ 管理策 クラウドコンピューティング環境に おける運用管理者に対する手順 は、定義し、文書化し、監視する ことが望ましい。 52 Information Security Management System 附属書A クラウドサービス追加管理策 CLD 12.4/12.4.5 (5/6) 項番 A.12.4 ISO/IEC 27001 管理策 A. 1 2 . 4 ログ取得及び監視 項番 12.4 ISO/IEC FDIS 27017 管理策 1 2 . 4 ログ取得及び監視 項番 10.1 クラウドサービス利用のための 情報セキュリティマネジメント ガイドライン 管理策 1 0 . 1 0 監視 A.12.4.1 A. 1 2 . 4 . 1 イベントログ取得 12.4.1 1 2 . 4 . 1 イベントログ取得 10.10.1 1 0 . 1 0 . 1 監査ログ取得 A.12.4.2 A. 1 2 . 4 . 2 ログ情報の保護 12.4.2 1 2 . 4 . 2 ログ情報の保護 10.10.3 1 0 . 1 0 . 3 ログ情報の保護 A.12.4.3 A. 1 2 . 4 . 3 実務管理者及び運 用担当者の作業ログ 12.4.3 1 2 . 4 . 3 実務管理者及び運用 担当者の作業ログ 10.10.4 1 0 . 1 0 . 4 実務管理者及び運用担 当者の作業ログ A.12.4.4 A. 1 2 . 4 . 4 クロッ クの同期 12.4.4 1 2 . 4 . 4 クロッ クの同期 10.10.6 1 0 . 1 0 . 6 クロッ クの同期 CLD.12.4 ログ取得及び監視 ログ取得及び監視については、 ISO/IEC 27002の12.4による。 CLD. 12.4.5 Copyright JIPDEC ISMS, 2015 クラウドサービスの監視 管理策 クラウド利用者は、利用するクラ ウドサービスの運用の特定の側 面を監視する能力を持つことが望 ましい。 53 Information Security Management System 附属書A クラウドサービス追加管理策 (6/6) CLD 13.1/13.1.4 ISO/ IEC 2 7 0 0 1 管理策 項番 A.13.1 A. 1 3 . 1 ネッ トワークセキュ リ テ ィ 管理 項番 13.1 ISO/ IEC FDIS 2 7 0 1 7 管理策 1 3 . 1 ネッ トワークセキュ リ テ ィ管 理 項番 10.6 クラウドサービス 利用のための 情報セキュリティマ ネジメント ガイドライン 管理策 1 0 . 6 ネッ トワークセキュ リ テ ィ管理 A.13.1.1 A. 1 3 . 1 . 1 ネッ トワーク管理策 13.1.1 1 3 . 1 . 1 ネッ トワーク管理策 10.6.1 1 0 . 6 . 1 ネッ トワーク管理策 A.13.1.2 A. 1 3 . 1 . 2 ネッ トワークサービ スのセキュ リ テ ィ 13.1.2 1 3 . 1 . 2 ネッ トワークサービス のセキュ リ テ ィ 10.6.2 1 0 . 6 . 2 ネッ トワークサービスのセ キュ リ テ ィ A.13.1.3 A. 1 3 . 1 . 3 ネッ トワークの分離 13.1.3 1 3 . 1 . 3 ネッ トワークの分離 11.4.5 1 1 . 4 . 5 ネッ トワークの領域分割 CLD.1 3 .1 ネッ トワークセキュ リ テ ィ管理 ネットワークセキュリティ管理につ いては、ISO/IEC 27002の13.1に よる。 CLD. 1 3 .1 .4 仮想及び物理ネッ トワークのセ キュ リ テ ィマネジ メントの整合 管理策 仮想ネットワーク構成に際して は、仮想と物理ネットワークとの 構成の整合は、クラウド事業者の ネットワークセキュリティ方針に基 づき検証することが望ましい。 Copyright JIPDEC ISMS, 2015 54 Information Security Management System クラウドセキュリティ認証の概要 クラウドセキュリティ認証の背景 クラウドセキュリティ認証の対象者 クラウドセキュリティ認証(制度の枠組み) クラウドセキュリティ認証(アドオン認証) ISO/IEC 27001認証とISO/IEC 27017認証の 適用範囲(案) 制度運用までのスケジュール(案) Copyright JIPDEC ISMS, 2015 55 Information Security Management System クラウドセキュリティ認証の背景 クラウドサービスの本格的な普及に伴い、クラウドサービスに求められ るセキュリティ要求事項を明確化することの重要性を認識。 クラウドサービス向けの国際規格ISO/IEC 27017(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)の策定が進められ、発行される見込み。 このような状況を踏まえ、ISO/IEC 27001に基づき、クラウドサービスの 信頼性を保証するクラウドセキュリティ認証を開始する予定。 クラウドセキュリティ認証の詳細については、Web公開する予定。 Copyright JIPDEC ISMS, 2015 56 Information Security Management System クラウドセキュリティ認証の対象者 クラウドセキュリティ認証は、ISO/IEC 27017に従い、クラウドサービス事業 者、クラウドサービス利用者の両方を対象とする。なお、本認証は、ISMS (ISO/IEC 27001)認証を前提とする。 ※ クラウドサービス事業者: クラウドサービスを利用可能にする組織 (クラウドサービスを提供す る組織)。ただし、クラウド事業者も、提供するサービスの様態によっては、ク ラウドサービス利用者となる場合がある。 ※ クラウドサービス利用者: クラウドサービスを利用する目的のための取引関係がある組織 (クラウドサービスを利用する組織) (用語及び定義は、ISO/IEC 27017及び「クラウドサービス利用のための情報セキュリティマネジメントガイド ライン(経済産業省)に基づく。) Copyright JIPDEC ISMS, 2015 57 Information Security Management System クラウドセキュリティ認証(制度の枠組み) クラウドセキュリティ認証(略称:CLS認証)の枠組みは以下の方針とする。 ISMS(ISO/IEC 27001)認証を前提として、クラウドサービスの情報セキュリ ティ管理を満たしている組織を認証する仕組みとする。(アドオン認証) ※ここでは、ISOの枠組みの中で、ISMS(ISO/IEC 27001)認証を前提とし て、 特定の分野固有の規格に準拠していることをアドオン認証という。 (アドオン認証のイメージは、別図を参照) Copyright JIPDEC ISMS, 2015 58 Information Security Management System クラウドセキュリティ認証(アドオン認証) 制度の枠組み Copyright JIPDEC ISMS, 2015 アドオン認証のイメージ 59 Information Security Management System ISO/IEC 27001認証と ISO/IEC 27017認証の適用範囲(案) ISO/IEC 27001 適用範囲 ISO/IEC 27001 A ① ISO/IEC 27017 適用範囲A ISO/IEC 27001認証 クラウドサービスに 基づく リスクアセスメント ISO/IEC 27001 認証 適用範囲B ISO/IEC 27017 + 認証 B ISO/IEC 27017 ISO/IEC 27002 適用範囲 ② ISO/IEC 27001 A ISO/IEC 27017 B Copyright JIPDEC ISMS, 2015 60 認証登録書 Information Security Management System 制度運用までのスケジュール(案) 2014年 ISO・ JIS ISO/IEC 27017 2nd CD 2015年 2016年 FDIS DIS (投票:1/20-4/20) (投票:7/31-10/1) ISO発行 ISOの対訳版発行 ISO/IEC 27017のJIS化作業 概 要 ・ 要 件 JIS JIS発行時期未定 概要・要件案の検討・作成 ガ イ ド 組織向けガイドの作成 (リスクマネジメント編の拡張) 研 修 研修資料案の 検討・作成 認 定 基 準 認定基準類案の 検討・作成 制 度 設 立 2017年 3月~ 関連団体との調整等 説明会実施 (ISO公開後) 方針の公開(11月予定) クラウドセキュリティ 制度開始 Information Security Management System ご清聴ありがとうございました。 【問い合わせ先】 一般財団法人 日本情報経済社会推進協会 情報マネジメント推進センター TEL: 03-5860-7570 FAX: 03-5573-0564 Web: http://www.isms.jipdec.or.jp/ Copyright JIPDEC ISMS, 2015 62
© Copyright 2025 ExpyDoc