PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

かずきたみや
4 years ago
Views:

主なサービス : 規格策定サービス規格関連ツールの提供マネジメントシステム審査認証医療機器など製品の試験認証

2 BSI( 英国規格協会 ) の概要 1901 年設立 ( 世界最古の国家規格協会 ) Royal Charter( 英国王室憲章授与 ) ISO 及びCENの設立メンバー拠点 :28カ国 65 都市 1999 年に日本法人設立主なサービス : 規格策定サービス規格関連ツールの提供マネジメントシステム審査認証医療機器など製品の試験認証トレーニングサービス英国王室憲章 ( ロイヤルチャーター ) Copyright 2017 BSI. All rights reserved 2

3 BSI( 英国規格協会 ) の規格策定の実績 PAS ( 公開仕様書 ) Copyright 2017 BSI. All rights reserved 3 BS ( 英国国家規格 ) ISO ( 国際規格 ) BS 5750 ISO 9001 品質 BS 7750 ISO 環境 BS 7799 ISO/IEC 情報セキュリティ BS ISO/IEC IT サービス BS 8800 OHSAS (ISO 45001) 労働安全衛生 PAS 56 BS ISO 事業継続 PAS 77 BS ISO/IEC ICT 事業継続 PAS 220 ISO/TS 食品安全 PAS 2050 ISO カーボンフットプリント PAS 55 ISO 資産管理

CSA Cloud Control Matrix (CCM) をどのように活用すべきか?

4 クラウドセキュリティ構築に際して直面する問題クラウドセキュリティを維持向上する仕組みを構築したいがどうすればよいかわからない ISO/IEC 27001は役に立つのか? ISO/IEC 27017とは何か? CSA Cloud Control Matrix (CCM) をどのように活用すべきか? 利用者の期待に応えることはできるのか? Copyright 2017 BSI. All rights reserved 4

5 日本で利用可能なクラウドセキュリティ関連の ISO 規格及び認証制度規格番号規格タイトル認証制度 ISO/IEC 27017:2015 ISO/IEC 27018:2014 ISO/IEC に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors JIPDEC ISMS クラウドセキュリティ認証 ISO/IEC 認証が必須非認定認証 (BSI 及びその他認証機関 ) ISO/IEC 認証が必須認証対象のサービスモデル CSC/CSP CSP (PII processors in public clouds) CCM Version Cloud Controls Matrix CSA STAR 認証 ISO/IEC 認証が必須 CSP Copyright 2017 BSI. All rights reserved 5

クラウドセキュリティ / セキュリティに関する認証と特徴具体的な実践クラウド特化汎用性 ISO/IEC 27018: 2014 STAR CCM 3 ISO/IEC 27017:2015 ISO/IEC 27001:2013 (ISO/IEC 27002:2013) Cloud Controls Matrix

の管理策と 7 の拡張管理策 (CSC 及び CSP が利用 ) 認定された認証機関による適合性審査パブリッククラウドの PII 保護における情報セキュリティリスクの管理ガイドライン ISO/IEC 27001 の管理策に対応した 16 の管理策と ISO/IEC 29100 のプライバシー原則に対応した 25

6 クラウドセキュリティ / セキュリティに関する認証と特徴具体的な実践クラウド特化汎用性 ISO/IEC 27018: 2014 STAR CCM 3 ISO/IEC 27017:2015 ISO/IEC 27001:2013 (ISO/IEC 27002:2013) Cloud Controls Matrix (CCM) CSA ガイダンスの 16 のドメインに則したクラウドサービスにおける 133 の情報セキュリティ仕様 (CSP が利用 ) CSA に認可された認証機関による STAR 成熟度審査クラウドサービスにおける情報セキュリティリスクの管理ガイドライン ISO/IEC の管理策に対応した 37 の管理策と 7 の拡張管理策 (CSC 及び CSP が利用 ) 認定された認証機関による適合性審査パブリッククラウドの PII 保護における情報セキュリティリスクの管理ガイドライン ISO/IEC の管理策に対応した 16 の管理策と ISO/IEC のプライバシー原則に対応した 25 の拡張管理策 ( パブリッククラウドで PII を処理する CSP が利用 ) 認証機関の非認定による適合性審査 Copyright 2017 BSI. All rights reserved 6 情報セキュリティマネジメントシステム 35の管理目的及び114 管理策 ( 汎用的 ) 認定された認証機関による適合性審査 6

7 クラウドコンピューティングのリスク領域 AIS( アプリケーションとインターフェースセキュリティ ) EKM( 暗号化と鍵管理 ) IVS( インフラと仮想化のセキュリティ ) IPY( 相互運用性と移植容易性 ) MOS( モバイルセキュリティ ) TVM( 脅威と脆弱性の管理 ) A.9( アクセス制御 ) A.10( 暗号 ) A.11( 物理的及び環境的セキュリティ ) A.13( 通信のセキュリティ ) SS 584:2015+C1:2016 SINGAPORE STANDARD Specification for multi-tiered cloud computing security から引用供給者 STA( サプライチェーンの管理透明性説明責任 ) A.15( 供給者関係 ) Cloud Services Administr ation DSI( データセキュリティと情報ライフサイクル管理 ) A.8( 資産の管理 ) A.9( アクセス制御 ) Cloud Infrastructure Security Tenancy and Customer Isolation CLD.9.5.1( 仮想コンピューティング環境における分離 ) CLD.9.5.2( 仮想マシンの要塞化 ) Cloud Operations Management Cloud Governance Cloud User Access IAM( アイデンティティとアクセス管理 ) MOS( モバイルセキュリティ ) A.9( アクセス制御 ) 顧客 Copyright 2017 BSI. All rights reserved 7 A.5( 情報セキュリティポリシー ) A.6( 情報セキュリティのための組織 ) AAC( 監査保証とコンプライアンス ) BCR( 事業継続管理と運用レジリエンス ) A.7( 人的資源のセキュリティ ) GRM( ガバナンスとリスク管理 ) CCC( 変更管理と構成管理 ) A.12( 運用のセキュリティ ) A.16( 情報セキュリティインシデント管理 ) HRS( 人事 ) DCS( データセンタセキュリティ ) A.14( システムの取得開発及び A.18( 順守 ) MOS( モバイルセキュリティ ) MOS( モバイルセキュリティ ) 保守 ) A.17( 事業継続マネジメントにお SEF( セキュリティインシデント管理 Eディスカバリクラウドフォレンける情報セキュリティの原則 ) ジックス )

8 CCM v3 を使った管理策の実装 : 利用者アクセスの管理 ISO/IEC 27017: 利用者アクセスの管理では CSP に次の実施の手引を提供クラウドサービスプロバイダはクラウドサービスカスタマのクラウドサービスユーザのアクセス権を管理する機能及びそれを利用するための仕様を提供することが望ましい関連情報 : クラウドサービスプロバイダは第三者のアイデンティティ管理技術及びアクセス管理技術を提供するクラウドサービス及び関連する管理インターフェースで利用できるように支援することが望ましいこれらの技術はシングルサインオンとして提供することによってクラウドサービスカスタマの複数のシステム及びクラウドサービスにまたがる統合及び利用者のアイデンティティ管理を容易にし得るものであり複数のクラウドサービスの利用も容易にし得る業界としての標準は存在すると考えられるが当該組織がどのような仕様を策定するかは組織が特定したリスクに依存することになる Copyright 2017 BSI. All rights reserved 8

9 CCM v3 を使った管理策の実装 : 利用者アクセスの管理 CCM v3 の IAM のコントロールドメインでは利用者アクセスの管理に関して次の仕様を提供 : IAM-02 資格証明のライフサイクル / プロビジョニング管理データや組織が所有または管理する実 / 仮想アプリケーションインタフェース IT 基盤のネットワーク及びシステムコンポーネントにアクセスするすべての社内及び顧客 ( テナント ) ユーザの適切な身元確認権限付与アクセス管理を確実に行うためにユーザアクセスのポリシー及び手順を確立しこれらを補強するための業務プロセス及び技術的対策を実装しなければならないこれらのポリシー手順プロセス及び手段には以下の事項を含めなければならない職務機能 ( 社内従業員及び臨時従業員の変更顧客管理によるアクセス仕入れ先との取引関係その他の第三者との取引関係など ) に基づき最小権限付与原則に沿って定められたユーザアカウントの権限付与及び解除を行うための手順ならびにその基準となる役割ならびに職責ビジネスケースを考慮したより高度の保証及び多要素認証用秘密情報の配備 ( たとえば管理インタフェース鍵生成の機能リモートアクセスなどを利用する場合職務権限分離の確実な実施緊急アクセスを行う場合大規模なリソースを必要とするプロビジニングや地理的に分散した配備を行うような場合重要なシステムへの人員の冗長配置の場合など ) マルチテナントアーキテクチャにおけるそれぞれのサードパーティー ( プロバイダや他のテナントなど ) ごとのデータ及びセッションに対するアクセスの隔離に関する事項 ID の信用性確認サービス間連携アプリケーション (API) と情報処理の相互運用性 ( たとえば SSO と認証フェデレーションなどについてのもの ) に関する事項インスタンス化から破棄に至るまでのアカウント認証用情報のライフサイクル管理に関する事項アカウントの認証用情報及び ID 記憶の最小化または再利用 ( 可能な場合 ) に関する事項データ及びセッションへのアクセスのための認証許可アカウンティング (AAA) ルールに関する事項 ( たとえば暗号化強力かつマルチファクターの期限付き非共有の認証シークレットを使用するといった規則 ) データおよびセッションへのアクセスのための認証認可および課金 (AAA) ルールに対する顧客 ( テナント ) のコントロールに対する権限とサポート機能適用される法律法令または規制への準拠要件への準拠網羅すべきことがベスト Copyright 2017 BSI. All rights reserved 9 プラクティスとして提供される

10 コントロールドメインに対する成熟度の基準 Score 1 to 3 4 to 6 7 to 9 10 to to 15 正式な取り組み無しリアクティブプロアクティブ改善中確信証拠 / 定義 1. コントロールエリアを管理するためのシステムが設置されている証拠があります 4. コントロールエリアの主要な運用をカバーするために実装されているシステムの証拠があります必要に応じてそのシステムは文書化されています 7. コントロールエリアにおけるすべての日常的な運用をカバーする堅牢なシステムを実装しているという証拠があります 10. コントロールエリアを管理するためのシステムが日常的な活動と同様に緊急時の事象を管理することができるという証拠があります 13. コントロールエリアでの経験に基づいてコントロールエリアのオーナーは積極的にベストプラクティスを共有し組織の他のエリアへの展開をサポートします管理 2. 文書化されたシステムあるいは許可された作業方法のいずれかが存在するという証拠があります 5. コントロールエリア全体の責任を理解しているコントロールエリアのオーナーが明確に特定されています 8. コントロールエリアが積極的に監視され測定され行動が証拠に基づいて評価されているという証拠があります 11. コントロールエリアのリスクをどのように管理するかまた運用をどのように改善するかを決定するために様々な情報源からの情報が検討されています 14. コントロールエリアのオーナーは業界や組織全体からのベストプラクティスを積極的にレビューしコントロールエリアに適していることを示すことができます追従 / 効果的 3. 幅広く認識されている受け入れ可能な作業方法の証拠があります 6. システムが理解され日常的に維持されているという証拠があります 9. コントロールエリアの運用を行う重要な人がコントロールエリアの日常的な運用を管理するために適切なトレーニングを受けていてスキルを持っているという証拠があります 12. コントロールエリアの運用を改善する時さまざまな利害関係者からの情報監視システムの測定が考慮されているという証拠があります 15. コントロールエリアの変更は組織の戦略的な目標に対して評価されますさらにコントロールドメインでの実施の程度が成熟度として評価される Copyright 2017 BSI. All rights reserved 出典 : CSA STAR 認証ガイダンスドキュメント Cloud Controls Matrixによる監査より抜粋 10

CCM (Cloud Control Matrix) の役割と使い方

CCM (Cloud Control Matrix) の役割と使い方 CCM (Cloud Control Matrix) 役割と使い方一般社団法人日本クラウドセキュリティアライアンス CCM ワーキンググループこのセッションの内容 CCM(Cloud Control Matrix) とは何かを理解する CCM の位置づけと既存の規格標準との関係 CCM と CSA Cloud Security Guidance の関係 CCM の構造を理解するコントロールドメインの構成