クラウド時代におけるセキュリティ統制の在り方　-ISO/IEC 27001およびISO/IEC 27017のこころ（狙い）-

Size: px

Start display at page:

Download "クラウド時代におけるセキュリティ統制の在り方　-ISO/IEC 27001およびISO/IEC 27017のこころ（狙い）-"

あゆみみねむら
5 years ago
Views:

1 2015/9/17 クラウド時代におけるセキュリティ統制の在り方 - ISO/IEC および ISO/IEC のこころ ( 狙い ) - 工学院大学情報学部 ISO/IEC JTC1/SC27/WG1 国内主査 ISO/IEC Project Editor クラウドセキュリティコントロール専門委員会委員長やまさきさとる山﨑哲 Copyright SC27/WG1 Japan, 2015

2 国際標準の組織 ( セキュリティは ISO/IEC SC27 in JTC1) 国際標準化機構 International Organization for Standardization 国際電気標準会議 International Electrotechnical Commission TC68 JTC1 Finance SC7 SC17 SC27 SC38 Software IC card Security Cloud computing Copyright SC27/WG1 Japan,

3 WG formation in SC27 WG1:ISO/IEC ISMS family of standards WG2: Security technology, mechanism WG3: Security evaluation criteria WG4: Network security Application security BCP services, others WG5: Privacy Identity management Biometrics Copyright SC27/WG1 Japan,

4 ご説明内容全体 Part 1. ISMS 要求事項 :ISO/IEC27001 のこころ ( 狙い ) (Slide 5 ~ Slide 19) Part 2. クラウド ISMS 規格 :ISO/IEC27017 のこころ ( 狙い ) (Slide 20 ~ Slide 40 ) Copyright SC27/WG1 Japan,

5 ご説明内容 Part1 (ISO/IEC27001 のこころ ) 1. 情報セキュリティを推進する動力 (1) 情報セキュリティ目的の導入 (2) リスクアセスメントとリスク対応の実施 (3) 情報セキュリティの役割と責任の明確化 (4) 監視測定分析評価の実施 (5) 情報セキュリティガバナンス Copyright SC27/WG1 Japan,

6 車は動力がないと動きませんセキュリティの動力は何でしょうか車 = セキュリティの仕組み動力標準手続き動力ポリシーアクセスコントロール組織暗号動力物理環境運用動力 Copyright SC27/WG1 Japan,

7 ご説明内容 Part1 (ISO/IEC27001 のこころ ) 1. 情報セキュリティを推進する動力 (1) 情報セキュリティ目的の導入 (2) リスクアセスメントとリスク対応の実施 (3) 情報セキュリティの役割と責任の明確化 (4) 監視測定分析評価の実施 (5) 情報セキュリティガバナンス Copyright SC27/WG1 Japan,

8 (1) 情報セキュリティ目的の導入 - 情報セキュリティ目的目標はセキュリティ対策の原点です - ISMS による情報セキュリティ対策 ( 経営陣の方針から管理策への展開 ) これまでの情報セキュリティ対策情報セキュリティ方針情報セキュリティ目的目標経営陣管理者従業員情報セキュリティリスクアセスメントとリスク対応管理策の決定実施情報セキュリティリスクアセスメントとリスク対応管理策の決定実施管理者従業員 Copyright SC27/WG1 Japan,

9 (1) 情報セキュリティ目的の導入 - 情報セキュリティ目的の設定の事例 ( 組織構成上 ) - 企業活動に貢献するための情報セキュリティ目的の確立 ( 事例 ) クラウドサービス提供者の事例クラウドサービス提供者 ( 営業部門 ) の事例情報セキュリティ目的 ( 組織の最高位 ) お客様に影響するインシデントを減らしクラウドサービス事業の信頼性を確保する ( インシデント = 前年比 50%) 情報セキュリティ目的 ( 営業部門 ) お客様情報を含む営業社員のパソコンの紛失インシデントの減少 ( 前年比 50%) 1. 実施事項 2. 必要な資源 3. 責任者 4. 達成期限 5. 結果の評価方法情報セキュリティ目的 ( データセンター ) システム要因によるクラウドサービス事業顧客に影響するインシデントの減少 ( 前年比 50%) 1. 実施事項 2. 必要な資源 3. 責任者 4. 達成期限 5. 結果の評価方法情報セキュリティ目的 ( クラウドサービス ) お客様サービス提供前に必ず SLA を締結 ( サービス毎に 100%) 1. 実施事項 2. 必要な資源 3. 責任者 4. 達成期限 5. 結果の評価方法 Copyright SC27/WG1 Japan,

10 (1) 情報セキュリティ目的の導入 - 情報セキュリティ目的の設定の事例 ( 目的設定の展開 ) - 経営陣による事業方針 ( 社長方針 ) 経営陣による情報セキュリティ方針 ( 情報セキュリティに関する CISO 方針 ) ( 事例 ) 物理環境セキュリティ顧客機密情報保護 PC セキュリティインシデント管理顧客個人情報保護委託先再委託先管理お客様苦情管理技術製品情報保護 1 保護すべき情報退職時の情報資産保護 2 仕組み 3 情報セキュリティ実施結果 ( 例えば PC 紛失 ) ( 情報セキュリティ目的目標 ) 数個から十数個を設定する Copyright SC27/WG1 Japan,

11 (1) 情報セキュリティ目的の導入 - 経営陣と管理者従業員とのパイプ役となる情報セキュリティ目的目標の設定 - 経営陣経営陣のコミットメント経営陣の方針から管理策への展開情報セキュリティ方針情報セキュリティ目的目標経営戦略に基づく情報セキュリティの基本方針直接的な結びつきが弱い管理者従業員リスクアセスメント及びリスク対応による管理策の決定情報セキュリティリスクアセスメントとリスク対応管理策の決定実施経営陣と管理者従業員が情報セキュリティ目的目標を共有することでコミュニケーションギャップをなくす Copyright SC27/WG1 Japan,

12 (2) リスクアセスメントとリスク対応の実施 - リスク特定リスク分析リスク評価 - リスクの定義 = 目的に対する不確かさの影響コミュニケーション及び協議 : 7 4. 組織の状況の確定 : 4.1,4.2,4.3,6.1.1,6.2 リスクアセスメント :6.1.2 リスク特定 :c) リスク分析 :d) リスク評価 :e) リスク対応 :6.1.3,6.2 モニタリング及びレビュー : 9 ( 注 ) リスクマネジメントプロセス図 (ISO/IEC31000 から引用 ) Copyright SC27/WG1 Japan,

13 (2) リスクアセスメントとリスク対応の実施 - クラウドサービス提供者 ( 営業部門 ) の事例 - リスクの定義 = 目的に対する不確かさの影響クラウドサービス提供者 ( 営業部門 ) の事例目的に影響を与えるリスク因子リスク源社員の教育不足 (security awareness) パソコンの取扱い手順の対策内容の不足情報セキュリティ目的お客様に影響するインシデントを減らしクラウドサービス事業の信頼性を確保する ( 営業社員のパソコンの紛失インシデントの減少 : 前年比 50%) 情報の CIA の喪失事象と原因 CIA レベルパソコンの紛失と例えば社員の飲酒ある一連の周辺状況の出現又は変化起こりやすさ (likelihood) 何かが起こる可能性結果 (Consequence) 目的に影響を与える事象の結末 (Cの場合) さらに事象として PC Loginパスワードが弱く侵入した場合お客様から預かったお客様情報が漏えいしお客様の信頼を失墜場合により損害賠償 (Aの場合) お客様から預かったお客様情報を紛失しお客様の事業を継続できず場合により損害賠償 Copyright SC27/WG1 Japan,

14 (3) 情報セキュリティの役割と責任の明確化 - 情報セキュリティの取り組み体制情報セキュリティを統括するトップマネジメント (CISO) の設置関連する物理セキュリティ IT セキュリティプライバシーを統括セキュリティ委員会は各部門及び各グループ会社から代表者 ( 委員 ) を選出 ( 事例 ) 社長情報セキュリティスタッフ組織 CISO セキュリティ委員会法務 IT プライバシー部門部門部門グループ会社グループ会社セキュリティ委員セキュリティ委員セキュリティ委員セキュリティ委員セキュリティ委員 Copyright SC27/WG1 Japan,

15 (3) 情報セキュリティの役割と責任の明確化 - グループ企業としての規定体系 - グループ企業としての規定体系を明確にする必要があります例えばグループ企業共通に遵守すべき規程類とグループ企業特有の規程類を全体で整合性を取って実施しますグループ企業全体で共通に遵守すべき規程類グループ全体で統一した管理体系明確な責任分担と内部統制 IT セキュリティ管理体系 ( 事例 ) 社長方針グループ共通の基本方針グループ共通の標準グループ共通のプロシージャグループ全体のコンプライアンス行動指針 ( 例えば ) グループにおける一企業はグループ企業全体で共通に遵守すべき規程類と整合性を取ってグループ企業特有の規程を追加お客様情報の保護先進的なワークスタイル ISMS フレームワークに基づくマネジメント Copyright SC27/WG1 Japan,

16 (4) 監視測定分析評価の実施 - 情報セキュリティパフォーマンスと ISMS 有効性の評価の体制 - 経営陣から従業員まで含めた監視測定分析評価を可能とする体制を構築することによりセキュリティの見える化を指向した的確にセキュリティの改善アクションが取れる運用管理を実施することが要求されている目的の達成 / 管理値による改善指示管理策 ( 対応策 ) のインプリと運用改善指示部門セキュリティ委員社長経営会議 CISO セキュリティ委員会部門セキュリティ委員報告改善指示部門セキュリティ委員報告改善アクション案の提示報告 Web 公表セキュリティスタッフ組織事例監視測定収集計算分析評価報告改善アクションの指示改善アクションの実施実施しないとペナルティ Copyright SC27/WG1 Japan,

17 (4) 監視測定分析評価の実施 - 情報セキュリティパフォーマンスと ISMS 有効性の評価 - 監視測定分析により評価する項目 1) 情報セキュリティパフォーマンス不適合及び是正処置監視及び測定結果監査結果情報セキュリティ目的の達成 2) ISMS の有効性情報セキュリティ目的の達成するために計画し実施した管理策の実施状況と情報セキュリティ目的の達成状況との比較監視測定分析評価 Copyright SC27/WG1 Japan,

18 (4) 監視測定分析評価の実施 - 有効性の定義 ISMS における有効性の評価 - ISO/IEC27000:2014 有効性の定義計画した活動を実行し, 計画した結果を達成した程度対策前リスクレベル 2 有効性の測定 = 計画した結果 ( 目的 ) の達成度 Planned results are achieved (Objectives) Before 対応策の実施 1 有効性の測定 = 計画した活動の実施度 Planned activities are realized 対策後リスクレベル After Copyright SC27/WG1 Japan,

19 (5) 情報セキュリティガバナンス - 組織 (Organization) を指揮 (Direct) し統制 (Control) する CISO - 株主取引先顧客従業員社会等 CEO 方針経営陣 CIO 方針 CFO 方針 CLO 方針 CISO CISO 方針情報セキュリティ目的目標設定目的目標達成度実施度管理者従業員管理目的管理策の展開監視 & レビュー情報セキュリティ対策企業組織 Copyright SC27/WG1 Japan,

20 ご説明内容 Part2 (ISO/IEC27017 のこころ ) 1. クラウドサービスは CSC と CSP の間で対応して実施 (1) 日本からの国際標準化の提案 (2) クラウドサービス分野別 ISMS 認証 (3) クラウドサービスのアーキテクチャ (4) ISO/IEC の構成 2. クラウドサービス固有は実施の手引きに記述 (1) クラウドサービス固有とは (2) クラウドサービス固有の環境におけるリスク源 (3) ISO/IEC の適用事例 Copyright SC27/WG1 Japan,

(1) 日本からの国際標準化の提案 - 基準に基づく共通の理解を得る仕組みの提案

21 (1) 日本からの国際標準化の提案 - 基準に基づく共通の理解を得る仕組みの提案 - クラウド利用者の課題を解決するためには基準 (Criteria) に基づいてクラウドの利用者と提供者の間で ( 国際環境において ) 共通の理解を実現するための仕組みの確立が必要であるクラウド利用者クラウド提供者のセキュリティ対策は何でどの程度のものか? クラウド提供者クラウド提供者利用者からどのようなことが要求されているか? 利用している他の提供者のセキュリティ対策はどの程度のものか? セキュリティ対策に関する共通の理解を実現する基準 (criteria) に基づく仕組み ISMS Copyright SC27/WG1 Japan,

22 (2) クラウドサービス分野別 ISMS 認証クラウド利用者クラウドサービス分野の ISMS 認証クラウド提供者のセキュリティ対策は何でどの程度のものかに基づいて自組織の要求事項に適合したクラウドサービスを使用できるクラウド提供者 -A 普通のISMS 認証ではクラウドサービス普通の固有のセキュリティ ISMS 認証対策はカバーされていないクラウド提供者 -B クラウドサービス分野の ISMS 認証クラウド利用者とクラウド提供者の間のコミュニケーションの手段 = クラウドサービス分野の ISMS 認証クラウド利用者に対してクラウドサービス固有のセキュリティ対策をどの程度提供すればよいかに基づいてサービスを提供できる Copyright SC27/WG1 Japan,

23 (2) クラウドサービス分野別 ISMS 認証 - ISMS 要求事項とクラウドサービス分野の管理策 - ISMS 要求事項 ISO/IEC ISMS 要求事項 ( 本文 ) Annex A ( based on 27002) 分野別管理策 (Sector specific controls) クラウドサービス分野別管理策および実施の手引き (CSC+CSP) クラウドサービス固有の対策その他の分野別管理策および実施の手引き (27011 等 ) Cloud Security Control setは情報セキュリティリスクアセスメント情報セキュリティリスク対応の結果 Annex Aとともに必要な管理策を決定するために参照される 27017は同時に他の分野別管理策 ( 例えば 27011) とともに組み合わせて使用することができる Copyright SC27/WG1 Japan,

24 (2) クラウドサービス分野別 ISMS 認証この新規プロジェクトにより Sector specific control set standard を用いた ISMS 認証の制度が整備されると次のような分野対応の ISMS 認証が成立することになる ISMS 認証 (General) : ISO/IEC ISMS 認証 (for CSC) : ISO/IEC (CSC) ISMS 認証 (for CSP) : ISO/IEC (CSP) ISMS 認証 (for Telecom): ISO/IEC ISMS 認証 (for Telecom+CSP): ISO/IEC (CSP) Copyright SC27/WG1 Japan,

25 (3) クラウドサービスのアーキテクチャ - ISO/IEC17789:Reference architecture - クラウドサービス利用者 (CSC) Cloud Service User クラウドサービスの提供 & 利用クラウドサービス提供者 (CSP) 範囲内 Support of or auxiliary to クラウドサービスパートナ (CSN) Cloud Service Developer Cloud Auditor Cloud Service Broker 範囲外 Copyright SC27/WG1 Japan,

26 (1) タイトル ISO/IEC (4) ISO/IEC の構成 - ISO/IEC27017 と ISO/IEC27002 の関係 - Code of practice for information security controls ISO/IEC Code of practice for information security controls based on ISO/IEC for cloud services Copyright SC27/WG1 Japan,

27 箇条 (Clauses) の関係及び27017の箇条 (Clauses) は同じ 5 Information security polices 6 Organization of information security 7 Human resource security 8 Asset management 9 Access control 10 Cryptography 11 Physical and environmental security 12 Operations security ( 事例 ) 13 Communications security 14 System acquisition, development and maintenance 15 Supplier relationships 16 Information security incident management 17 Information security aspects of business continuity management 18 Compliance ( 事例 ) Annex A (27017) Cloud Service Extended Control Set( 事例 1 CLD9.5.1) Copyright SC27/WG1 Japan,

28 ISO/IEC の構造は Control( 管理策 ) 毎に Implementation guidance( 実施の手引き ) をテーブル形式で記述する a. 各 Control( 管理策 ) の様式 Each subclause Control X.X.X and the associated implementation guidance and other information specified in ISO/IEC apply. The following sector-specific implementation guidance also applies. Subclause header Implementation guidance for cloud services Other information for cloud services. b. Implementation guidance( 実施の手引き ) はテーブル形式 Type1 (4) ISO/IEC の構成 - ISO/IEC27017 の構造 - Cloud service customer Implementation guidance uses CLD. X.X.X Cloud service provider Implementation guidance CSC と CSP は対応して実施 Type2 Cloud service customer Cloud service provider CSCとCSPの実 Implementation guidance 施内容が同一 c. Annex A (Cloud Service Extended Control Set) Copyright SC27/WG1 Japan,

29 ご説明内容 Part2 (ISO/IEC27017 のこころ ) 1. クラウドサービスは CSC と CSP の間で対応して実施 (1) 日本からの国際標準化の提案 (2) クラウドサービス分野別 ISMS 認証 (3) クラウドサービスのアーキテクチャ (4) ISO/IEC の構成 2. クラウドサービス固有は実施の手引きに記述 (1) クラウドサービス固有とは (2) クラウドサービス固有の環境におけるリスク源 (3) ISO/IEC の適用事例 Copyright SC27/WG1 Japan,

30 (1) クラウドサービス固有 (specific) とは ISO/IEC 審議過程で管理策および実施の手引きがクラウドサービス固有 (Specific) と判断できる環境として以下の環境を考慮することとした同様の内容が他の NB からも提案された 1. コンピューティング資源の一部を共有しその上に個々の利用者が管理するシステムが構築されるなど提供者と利用者関係が緊密かつ複雑である ( 事例 2) 2. クラウドコンピューティングサービスはその提供の仕組みの詳細を利用者が知ることがなくても手軽に利用できる半面利用者にブラックボックスとなっている 3. オンプレミスとクラウドコンピューティングサービスあるいはクラウドコンピューティングサービスと他のクラウドコンピューティングサービスの併用など多様な利用がありそれらの間の整合性が取りにくい ( 事例 1) 4. 膨大な利用者が一つの資源を共有している 5. 仮想化技術を幅広く取り入れておりその結果として一瞬にして環境が変わる ( 数千台のサーバが一瞬に消えるなど ) 6. 論理環境と物理環境が多様に入り組んだ複雑で巨大なコンピュータシステムである 7. 資源がグローバルに分散配置されている 8. クラウドコンピューティングサービス上に他のクラウドコンピューティングサービスが行われるなどクラウドを組み合わせたサービスが存在する Copyright SC27/WG1 Japan,

31 (2) クラウドサービス固有 (specific) の環境におけるリスク源 ( 事例 :Annex B 参照 ) クラウド利用者リスク源 Loss of governance Responsibility ambiguity Isolation failure Vendor lock-in( 事例 1) Compliance and legal risks Handling of security incidents Management interface vulnerability Data protection Malicious behaviour of insiders Business failure of the provider Service unavailability Migration and integration failures Evolutionary risks Cross-border issues Insecure or incomplete data deletion クラウド提供者 Responsibility ambiguity Inconsistency and conflict of protection mechanisms Isolation failure( 事例 2) Unauthorized access to the provider's systems. Jurisdictional conflict Insider Threats Supply Chain vulnerability Copyright SC27/WG1 Japan,

32 (3) 事例 1: リスクの特定の手順事例 1( 事象及びその原因 :CSC データ破壊によるシステム停止, リスク源 : 開発業者ロックイン (lock-in) 結果 : システム停止後再開できない ) 考え方 ( 事例 ) リスクアセスメント対象事象及びその原因リスク源結果 ( 注 ) 事例 : 異なるサービス間の整合性リスクの特定は各組織の情報セキュリティ目的の下で実施される CSC 事例 : データ破壊 (CSC) 及びシステム停止 (CSC ) データ破壊がシステム停止に直結 CSP 1 クラウドの範囲データ破壊が発生当該クラウドの使用を中止して別システム ( 例えば別クラウド又は自社システム ) に移行取っていたバックアップデータを使用しようとしたが lock-inのため使用できない ( システム停止による運用の継続ができない ) 事例 : 開発業者の lockin CSP 2 開発業者取得していたバックアップが使用できずシステ停止後再開始できない直接クラウドに属さないソフト開発業者が lock-in の場合 Copyright SC27/WG1 Japan,

33 事例 2: リスクの特定の手順参照 : 事例 1.( クラウドコンピューティング ) 事例 2( 事象及びその原因 : Login を通過して CSP への侵入リスク源 : CSP の multi-tenant の分離のぜい弱性結果 :CSC1 のデータ紛失 ) 考え方 ( 事例 ) リスクアセスメント対象事象及びその原因リスク源結果 ( 注 ) 事例 : コンピューティング資源の一部共有リスクの特定は各組織の情報セキュリティ目的の下で実施される事例 :CSC2 から CSP への侵入及び CSC2 から悪意の運用管理により CSC1 へのデータアクセス紛失 CSC 1 CSP データ紛失が発生 (CSC1のアクセス制御の変更なし ) CSC 2 CSC2からCSPへ侵入事例 :CSP 事例 :CSC1のデ multi-tenantの分ータにアクセスさ離のぜい弱性 ( れデータが削除不完全さ ) その結果信頼性喪失 CSP の multi-tenant の分離のぜい弱性 CSP への侵入 (Direct Threat: multi-tenant のクラウドへ侵入その後 CSC1 のデータにアクセス削除 ) Copyright SC27/WG1 Japan,

34 補足 (1) ISO/IEC27017 の実施の手引き一覧表箇条 (Clause) CSC CSC/CSP CSP Subclause 計 Total Copyright SC27/WG1 Japan,

35 補足 (2)ISO/IEC27017 の追加管理策一覧表管理策番号 CSC CSP 管理策の内容リスク源 CLD Shared responsibility CLD Removal of assets CLD CLD Segregation in virtual computing environments Virtual machine hardening CLD Critical operations CLD CLD Monitoring cloud services Consistent virtual and physical networks Compliance and legal risks Malicious behavior of insiders Responsibility of ambiguity Data protection Isolation failure Inconsistency and conflict of protection mechanism Isolation failure Evolutionary risks Insecure or incomplete data deletion Data protection Inconsistency and conflict of protection mechanism Copyright SC27/WG1 Japan,

36 今後の発行に向けたプロセス ITU-T X.1631 ISO/IEC /12/2015 Approved going to FDIS (SC27) 06/16-07/13/2015 Approved (ITU-T) 07/31-10/01/2015 FDIS balloting (JTC1) 10 or 11/2015 ISO/IEC to be Published 04/2015- Working for JISQ27017 Copyright SC27/WG1 Japan,

37 おわりにご清聴有難うございました工学院大学情報学部 ISO/IEC JTC1/SC27/WG1 国内主査 ISO/IEC Project Editor クラウドセキュリティコントロール専門委員会委員長山﨑哲 Copyright SC27/WG1 Japan,

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション 2015/3/24 ISO/IEC27001:2013 の改訂のポイントと分野別 ISMS 規格 ISO/IEC27017 の意義と解説 ISO/IEC 27017: International Standard (IS) Code of practice for information security controls based on ISO/IEC 27002 for cloud services

クラウド時代におけるセキュリティ統制の在り方 -ISO/IEC 27001およびISO/IEC 27017のこころ（狙い）-

クラウド時代におけるセキュリティ統制の在り方　-ISO/IEC 27001およびISO/IEC 27017のこころ（狙い）-