目 次 第 I 部 序 編 目 的 ISO/IEC 27002:2013 及 び 他 のガイドライン 等 との 関 係 供 給 者 関 係 のモデル クラウドサービス 提 供 における 利 用 者 接 点 の 実 務 の5つのポイント.

Transcription

1 クラウドサービス 提 供 における 情 報 セキュリティ 対 策 ガイドライン ~ 利 用 者 との 接 点 と 事 業 者 間 連 携 における 実 務 のポイント~ ( 案 ) 平 成 26 年 月 総 務 省

2 目 次 第 I 部 序 編 目 的 ISO/IEC 27002:2013 及 び 他 のガイドライン 等 との 関 係 供 給 者 関 係 のモデル クラウドサービス 提 供 における 利 用 者 接 点 の 実 務 の5つのポイント 第 Ⅱ 部 の 構 成 とクラウド 事 業 者 への 適 用 方 法 用 語 及 び 定 義 第 II 部 管 理 策 の 実 装 技 術 と 利 用 者 接 点 における 実 務 情 報 セキュリティのための 組 織 内 部 組 織 情 報 セキュリティの 役 割 及 び 責 任 職 務 の 分 離 モバイル 機 器 及 びテレワーキング モバイル 機 器 の 方 針 クラウド 利 用 者 と 供 給 者 間 における 情 報 提 供 クラウドサービスの 情 報 セキュリティマネジメントに 係 る 提 供 条 件 の 明 確 化 利 用 者 接 点 とサプライチェーンにおける 情 報 提 供 共 有 資 産 の 管 理 資 産 に 対 する 責 任 資 産 目 録 資 産 の 管 理 責 任 クラウド 利 用 者 から 預 託 された 情 報 の 返 却 情 報 分 類 情 報 の 分 類 資 産 の 取 扱 い アクセス 制 御 アクセス 制 御 に 対 する 業 務 上 の 要 求 事 項 アクセス 制 御 方 針 ネットワーク 及 びネットワークサービスへのアクセス 利 用 アクセスの 管 理 特 権 的 アクセス 権 の 管 理 利 用 者 の 秘 密 認 証 情 報 の 管 理 システム 及 びアプリケーションのアクセス 制 御 情 報 へのアクセス 制 限 特 権 的 なユーティリティプログラムの 使 用 仮 想 化 されたクラウドサービスのアクセス 制 御 仮 想 化 資 源 の 分 離 の 確 実 な 実 施 暗 号 暗 号 による 管 理 策 暗 号 による 管 理 策 の 利 用 方 針 i

3 鍵 管 理 運 用 のセキュリティ 運 用 の 手 順 及 び 責 任 操 作 手 順 書 変 更 管 理 容 量 能 力 の 管 理 マルウェアからの 保 護 マルウェアに 対 する 管 理 策 バックアップ 情 報 のバックアップ ログ 取 得 及 び 監 視 イベントログ 取 得 ログ 情 報 の 保 護 実 務 管 理 者 及 び 運 用 担 当 者 の 作 業 ログ 運 用 ソフトウェアの 管 理 運 用 システムに 関 わるソフトウェアの 導 入 技 術 的 ぜい 弱 性 管 理 技 術 的 ぜい 弱 性 の 管 理 情 報 システムの 監 査 に 対 する 考 慮 事 項 情 報 システムの 監 査 に 対 する 管 理 策 通 信 のセキュリティ ネットワークセキュリティ 管 理 仮 想 ネットワークにおいて 重 視 すべき 脆 弱 性 情 報 の 転 送 情 報 転 送 に 関 する 合 意 秘 密 保 持 契 約 又 は 守 秘 義 務 契 約 供 給 者 関 係 供 給 者 関 係 における 情 報 セキュリティ 供 給 者 関 係 のための 情 報 セキュリティの 方 針 ICT サプライチェーン 供 給 者 のサービス 提 供 の 管 理 供 給 者 のサービス 提 供 の 監 視 及 びレビュー 供 給 者 のサービス 提 供 の 変 更 に 対 する 管 理 情 報 セキュリティインシデント 管 理 情 報 セキュリティインシデントの 管 理 及 びその 改 善 情 報 セキュリティ 事 象 の 報 告 情 報 セキュリティ 事 象 の 評 価 及 び 決 定 証 拠 の 収 集 事 業 継 続 マネジメントにおける 情 報 セキュリティの 側 面 冗 長 性 情 報 処 理 施 設 の 可 用 性 順 守 法 的 及 び 契 約 上 の 要 求 事 項 の 順 守 適 用 法 令 及 び 契 約 上 の 要 求 事 項 の 特 定 ii

4 知 的 財 産 権 記 録 の 保 護 プライバシー 及 び 個 人 を 特 定 できる 情 報 (PII)の 保 護 暗 号 化 機 能 に 対 する 規 制 情 報 セキュリティのレビュー 情 報 セキュリティの 独 立 したレビュー 情 報 セキュリティのための 方 針 群 及 び 標 準 の 順 守 技 術 的 順 守 のレビュー iii

5 第 I 部 序 編 1. 目 的 社 会 経 済 活 動 の ICT への 依 存 が 高 まる 中 で 情 報 システムの 構 築 の 迅 速 化 及 び 柔 軟 化 並 びに 管 理 運 用 費 用 の 低 廉 化 を 実 現 する 有 効 な 手 段 として クラウドサービスの 利 用 が 拡 大 している 近 年 では 行 政 金 融 等 の 機 微 な 情 報 を 取 り 扱 う 分 野 においてもクラウドサービスの 利 用 が 進 展 しており クラウドサービスは 今 日 の 社 会 経 済 活 動 を 支 え る 重 要 な ICT 基 盤 となっている 他 方 クラウドサービスについては 情 報 漏 えい 等 の 情 報 セキュリティマネジメント 上 の 課 題 及 びデータの 保 管 場 所 処 理 方 法 が 不 明 確 であることの 危 険 性 が 指 摘 されているところである クラウドサービスの 導 入 が 本 格 化 するにつれて クラウドサービスのサービスメニューもアプリケーション 領 域 (ASP Sa as)から 実 行 環 境 インフラ 領 域 (PaaS IaaS 等 )に 拡 大 し クラウドサービスの 提 供 形 態 も 分 業 が 進 んできた 元 々は 単 独 のクラウド 事 業 者 がサービスを 提 供 する 形 態 が 多 かったが 現 在 はインフラや 実 行 環 境 ごとサービス 提 供 す る 基 幹 事 業 者 ( 以 後 基 幹 事 業 者 という )と そのインフラを 借 り 受 けてアプリケーションサービスを 中 心 にサービス を 提 供 する 事 業 者 に 分 かれて 協 業 が 進 んでいるほか アプリケーションサービスを 提 供 する 事 業 者 同 士 が 連 携 してサー ビスを 提 供 する 事 例 も 急 増 している このように ICT サプライチェーンを 編 成 してクラウドサービスを 提 供 する 形 態 が 現 在 の 主 流 であると 言 える このサービス 提 供 形 態 の 複 雑 化 は 上 述 した 情 報 セキュリティマネジメント 上 の 課 題 やデータ の 保 管 場 所 処 理 方 法 が 不 明 確 であることの 危 険 性 を さらに 増 長 させる 恐 れがあると 言 われている このようなクラウドサービスを 取 り 巻 く 環 境 の 変 化 に 対 応 するためには クラウドサービスを 安 全 安 心 に 利 用 するため の 十 全 な 情 報 セキュリティマネジメントが 不 可 欠 である クラウドサービスであっても ICT システムを 用 いてサービスを 提 供 する 以 上 ICT システムに 係 る 通 常 の 情 報 セキュリティマネジメントを 実 施 することは 基 本 である 現 在 ICT システ ムに 基 づく 組 織 における 情 報 セキュリティマネジメントの 基 盤 を 与 えているのは ITU-T や ISO/IEC などの 国 際 標 準 化 機 関 が 定 める 国 際 規 格 であり ISO/IEC 27001( 情 報 技 術 -セキュリティ 技 術 - 情 報 セキュリティマネジメントシ ステム- 要 求 事 項 ) 及 び ISO/IEC 27002( 情 報 技 術 -セキュリティ 技 術 - 情 報 セキュリティ 管 理 策 の 実 践 の ための 規 範 )に 基 づいて 情 報 セキュリティマネジメントを 実 施 することが 可 能 となっている それらの 規 格 上 で クラウド サービスの 利 用 提 供 及 び 監 査 に 特 化 した 情 報 セキュリティマネジメントに 係 るガイドライン 等 が 国 内 外 の 機 関 団 体 によって 策 定 公 表 検 討 が 進 められている これらガイドライン 等 ( 例 :ISO/IEC 27017)に 従 って 対 策 することで クラウドサービスの 情 報 セキュリティマネジメントを 構 築 することは 可 能 であると 言 えよう 一 方 で クラウドサービスは クラウド 利 用 者 とクラウド 事 業 者 が 利 用 規 約 や SLA の 合 意 に 基 づいて 役 割 と 責 任 を 分 担 するという 側 面 がある ICT サプライチェーンを 編 成 する 場 合 は さらに 供 給 者 であるクラウド 事 業 者 間 でも 役 割 と 責 任 の 分 担 が 発 生 する また クラウド 事 業 者 が 多 数 のクラウド 利 用 者 を 同 時 に 相 手 にすること( 以 後 マスサービ ス 提 供 という )により クラウド 事 業 者 の 利 用 者 個 別 対 応 の 限 界 も 顕 在 化 する この 役 割 と 責 任 の 分 担 やマスサー ビス 提 供 に 伴 って 発 生 する 全 体 としての 統 制 の 欠 如 コミュニケーション 不 足 コンプライアンスの 欠 如 テナント 分 離 の 失 敗 及 びその 結 果 として 生 じる 利 害 対 立 債 務 不 履 行 認 識 の 食 い 違 い 信 頼 の 損 失 等 に 焦 点 を 当 て これを 解 消 緩 和 するための 対 策 実 務 ( 以 後 利 用 者 接 点 の 実 務 という )に 係 る 指 針 を 示 したガイドラインは 未 だ 作 成 さ れておらず 上 述 したガイドラインにおいても 本 対 策 実 務 のレベルまでの 言 及 はない 本 ガイドラインは この 役 割 を 果 た す 指 針 として 新 たに 作 成 されたものである 1 1 本 ガイドラインでは 利 用 者 接 点 の 実 務 の 中 でも 特 にコミュニケーション 不 足 を 解 消 するためのクラウド 利 用 者 への 情 1

6 本 ガイドラインは ISO/IEC に 基 づく 情 報 セキュリティマネジメントを 行 うための 知 識 を 有 しているクラウド 事 業 者 を 読 み 手 として 想 定 している そして この 読 み 手 が クラウド 利 用 者 及 び ICT サプライチェーンを 構 成 する 他 の 供 給 者 との 間 で 十 分 な 信 頼 と 協 力 関 係 を 築 き 上 げ 安 全 安 心 なクラウドサービスを 提 供 することができるよう 実 践 す るべき 利 用 者 接 点 の 実 務 を 理 解 するために 読 んでいただきたい 本 ガイドラインは ICT サプライチェーンの 供 給 者 の 中 でも 特 に インフラを 借 り 受 けてアプリケーションサービスを 中 心 にサービスを 提 供 するクラウド 事 業 者 が 読 むのに 適 している これらのクラウド 事 業 者 は インフラや 実 行 環 境 に 求 め られる 情 報 セキュリティ 対 策 を 基 幹 事 業 者 に 任 せることができる このため クラウドサービスを 提 供 するにあたっての 主 た る 関 心 事 である 利 用 者 接 点 の 実 務 に 集 中 することができるからである 一 方 で 基 幹 事 業 者 においても ICT サプライチェーンの 供 給 者 の 一 員 として 利 用 者 接 点 の 実 務 を 知 ることは 必 要 であり 本 ガイドラインが 役 立 つ しかし 本 ガイドラインからは インフラに 求 められる 情 報 セキュリティ 対 策 技 術 の 実 装 についての 指 針 は 得 られないため 別 途 特 定 非 営 利 活 動 法 人 日 本 セキュリティ 監 査 協 会 :クラウド 情 報 セキュリ ティ 管 理 基 準 等 を 参 照 していただきたい 2. ISO/IEC 27002:2013 及 び 他 のガイドライン 等 との 関 係 既 に 述 べたように 本 ガイドラインは ISO/IEC に 基 づく 情 報 セキュリティマネジメントを 行 うための 知 識 を 有 しているクラウド 事 業 者 を 読 み 手 として 想 定 している これを 前 提 として 読 者 の 理 解 を 助 けるため 本 ガイドラインの 第 Ⅱ 部 の 指 針 は 目 次 構 成 を 概 ね ISO/IEC 27002:2013 に 合 わせてあり 他 の 文 献 等 を 参 考 として 一 部 の 項 目 の みを 新 たに 追 記 している また 管 理 のための 目 的 と 管 理 策 の 記 述 についても 新 たに 追 記 した 部 分 を 除 けば ISO/I EC 27002:2013 より 引 用 している これにより 読 者 はクラウドサービスを 提 供 する ICT システムに 対 する 通 常 の 情 報 セキュリティマネジメントの 実 践 のための 規 範 と 利 用 者 接 点 の 実 務 の 指 針 を 簡 単 に 対 応 づけて 確 認 することができ るため 理 解 しやすく 実 践 もしやすいものとなっている 一 方 で 本 ガイドラインは クラウド 事 業 者 がクラウドサービスを 提 供 する 場 合 に 特 に 重 視 すべき クラウド 利 用 者 との 接 点 において 対 応 すべき 実 務 を 深 掘 りし 新 規 で 記 述 している このため クラウドサービスの 提 供 において 特 に 重 視 す べき 事 項 を 含 まない 管 理 策 は 一 般 的 な 情 報 セキュリティマネジメントで 十 分 であるとして 本 ガイドラインには 含 まれて いない この 管 理 策 の 抜 粋 は 下 記 の 7 基 準 に 基 づいて 実 施 している 1) 国 内 外 の 関 連 団 体 が それぞれの 基 準 やガイドラインにおいて クラウド 利 用 者 への 情 報 提 供 等 の クラウドサ ービスを 提 供 する 際 に 特 に 重 視 すべき 利 用 者 接 点 の 実 務 を 記 述 している 場 合 2) 仮 想 化 技 術 の 適 用 と 関 連 が 深 い 管 理 策 3) 監 査 認 証 の 取 得 証 拠 収 集 捜 査 による 媒 体 押 収 等 に 直 面 した 場 合 に 求 められるテナント 分 離 の 実 務 との 関 連 が 深 い 管 理 策 4) モバイル 端 末 を 用 いたクラウドサービスの 利 用 に 係 る 管 理 策 5) 運 用 管 理 におけるポイントに 係 る 管 理 策 ( 例 : 容 量 能 力 の 管 理 バックアップ ログ 管 理 暗 号 化 等 ) 報 公 開 開 示 の 実 務 について 特 に 重 点 を 置 いて 記 述 している 2

7 6) ICT サプライチェーンと 供 給 者 関 係 に 係 る 実 務 についての 管 理 策 7) 複 数 国 を 跨 いでクラウドサービスを 提 供 するにあたり コンプライアンス 上 課 題 となる 管 理 策 現 在 経 済 産 業 省 において 策 定 済 みの クラウド 利 用 における 情 報 セキュリティマネジメントガイドライン(2011 年 ) に 基 づき ISO/IEC JTC1 では ISO/IEC27002 に 基 づくクラウドコンピューティングサービスのための 情 報 セキュリテ ィ 管 理 策 の 実 践 規 範 を 策 定 中 であり 2015 年 の 完 成 に 向 けて 国 際 標 準 化 の 検 討 を 進 めているところである ISO /IEC JTC1 で 策 定 中 の 上 記 実 践 規 範 は クラウドサービスのためのハイレベルな 管 理 策 をガイドしているが 本 書 のガ イドラインでは 利 用 者 接 点 の 実 務 に 対 象 を 絞 り 込 んで 詳 しい 記 述 を 行 っているため ISO/IEC JTC1 における 実 践 規 範 の 内 容 と 大 きな 重 複 はなく 基 本 的 にはクラウド 利 用 者 と 供 給 者 間 の 接 点 において その 対 策 のための 実 務 内 容 を 詳 述 するものとなる これらの 実 務 内 容 については クラウド 事 業 者 からクラウド 利 用 者 への 情 報 提 供 に 係 る 望 ま しい 実 践 などとして 抽 出 整 理 することで クラウド 利 用 者 から 見 ても クラウド 事 業 者 を 選 択 する 上 での 具 体 的 な 判 断 材 料 にできるものと 期 待 できる 上 記 のような 既 存 / 策 定 中 のガイドラインと 本 書 のガイドラインとの 位 置 づけについては 図 表 1のような 関 係 に 整 理 される 図 表 1 クラウドセキュリティに 関 する 既 存 / 策 定 中 のガイドラインと 本 書 のガイドラインの 位 置 づけ 3

8 3. 供 給 者 関 係 のモデル 本 ガイドラインでは クラウド 利 用 者 とクラウド 事 業 者 の 間 の 役 割 と 責 任 の 分 担 及 び ICT サプライチェーンの 供 給 者 間 の 役 割 と 責 任 の 分 担 に 伴 って 発 生 する 様 々な 問 題 に 焦 点 を 当 てている このため 本 ガイドラインの 内 容 を 正 しく 理 解 するためには クラウド 利 用 者 と ICT サプライチェーンの 供 給 者 がどのような 関 係 にあるのかの 類 型 ( 以 後 供 給 者 関 係 のモデル という )を 理 解 している 必 要 がある 本 ガイドラインでは 供 給 者 関 係 のモデルを エンドユーザ( 組 織 )と 複 数 のクラウド 事 業 者 がどのような 契 約 形 態 を 取 るかによって 垂 直 連 携 型 と 水 平 連 携 型 の 2 つのモデル に 分 類 する 垂 直 連 携 型 とは エンドユーザ( 組 織 )にクラウドサービスを 提 供 するクラウド 事 業 者 が アグリゲーションサービス 事 業 者 である 場 合 である この 場 合 アグリゲーションサービス 事 業 者 が ICT サプライチェーンの 全 ての 供 給 者 を 代 表 してエンドユーザ( 組 織 )と 契 約 を 締 結 し ワンストップサービスを 提 供 する クラウド 利 用 者 は ICT サプライチェーンの 存 在 を 気 にかける 必 要 はない このため クラウド 利 用 者 とクラウド 事 業 者 の 接 点 における 実 務 は 単 純 になるが ICT サプライチェーン 間 ではアグリゲーションサービス 事 業 者 が 他 の 供 給 者 全 体 を 統 制 する 必 要 が 生 じる 水 平 連 携 型 とは エンドユーザ( 組 織 )が ICT サプライチェーンの 供 給 者 と 個 別 に 契 約 を 結 ぶ 形 態 を 取 る 場 合 である クラウド 利 用 者 が 複 数 の 供 給 者 と 別 々に 契 約 を 結 ぶため クラウド 事 業 者 間 で 実 務 対 応 に 違 いが 出 て 供 給 者 間 での 綿 密 な 調 整 が 必 要 になるなど クラウド 事 業 者 とクラウド 利 用 者 の 接 点 における 実 務 対 応 は 複 雑 になる クラウド 事 業 者 は ICT サプライチェーンを 構 築 し 提 供 しているクラウドサービスが 垂 直 連 携 型 なのか 水 平 連 携 型 なのかを 良 く 理 解 した 上 で 各 モデルの 特 徴 に 従 って 利 用 者 接 点 の 実 務 を 実 施 することが 求 められる 垂 直 連 携 型 で は アプリケーションサービス 提 供 側 がアグリゲーションサービス 事 業 者 となって 基 幹 事 業 者 からインフラ 又 は 実 行 環 境 を 借 り 受 ける サービス 品 質 の 良 いインフラを 提 供 し 続 けるのは 基 幹 事 業 者 の 役 割 であり エンドユーザ( 組 織 )との 間 の 接 点 の 実 務 を 処 理 するのはアプリケーションサービス 提 供 側 の 役 割 となる 水 平 連 携 型 では ICT サプライチェーン を 構 成 する 供 給 者 は エンドユーザ( 組 織 )との 契 約 関 係 においても エンドユーザ( 組 織 )との 接 点 の 実 務 を 処 理 する 責 任 についても 対 等 である 一 方 ICT サプライチェーン 全 体 での 統 制 を 取 る 役 割 の 供 給 者 がいないことから クラ ウドサービスの 品 質 は 最 低 のサービスレベルを 提 供 する 供 給 者 によって 決 まってしまう ICT サプライチェーンにおいて クラウド 利 用 者 と 複 数 のクラウド 事 業 者 が 連 携 して ID 連 携 データ 連 携 等 を 行 う 場 合 がある この 場 合 には 関 係 する 全 てのステークホルダー 組 織 が 構 成 する 供 給 者 連 携 に 対 して クラウド 情 報 セキュリ ティマネジメントの 実 務 を 行 う 必 要 がある 例 えば ID 連 携 やデータ 連 携 における 責 任 の 切 り 分 けと 役 割 の 分 担 の 設 定 や 技 術 面 での 協 力 関 係 の 構 築 等 は 全 てのステークホルダー 組 織 の 間 で 定 めていく 必 要 がある このように クラウ ド 利 用 者 との 接 点 における 実 務 を 実 践 するに 当 たり ICT サプライチェーンにおける 供 給 者 連 携 についても 考 慮 する 必 要 がある 供 給 者 関 係 のモデルについて 図 表 2 に 示 す 4

9 図 表 2 供 給 者 関 係 のモデル 利 用 者 接 点 供 給 者 連 携 (ID 連 携 データ 連 携 等 ) 垂 直 連 携 型 エンドユーザ( 組 織 ) エンドユーザ( 組 織 ) 水 平 連 携 型 クラウド 事 業 者 (アプリケーション) クラウド 事 業 者 (インフラ 提 供 ) クラウド 事 業 者 (アプリケーション) クラウド 事 業 者 (アプリケーション) エンドユーザ( 組 織 ) クラウド 事 業 者 (アプリケーション) クラウド 事 業 者 (アプリケーション) 4. クラウドサービス 提 供 における 利 用 者 接 点 の 実 務 の5つのポイント クラウド 事 業 者 が クラウド 利 用 者 との 接 点 において 対 応 すべき 実 務 は クラウド 利 用 者 による 統 制 を 確 保 するため の 実 務 技 術 的 実 装 の 選 択 クラウドサービス 運 用 にあたってのコンプライアンスの 確 保 クラウド 利 用 者 とのコミュニ ケーションにおける 実 務 認 証 取 得 インシデント 対 応 監 査 等 にあたっての 利 用 者 ごとの 資 産 証 跡 の 特 定 から 構 成 される その 構 造 について 図 表 3 に 示 す 本 ガイドラインでは 特 に クラウド 利 用 者 とのコミュニケーションにおける 実 務 に 重 点 を 置 いて 実 務 の 指 針 を 作 成 している 図 表 3 クラウドサービス 提 供 における 利 用 者 接 点 の 実 務 の5つのポイント 1.クラウド 利 用 者 による 統 制 を 確 保 するための 実 務 クラウド 利 用 者 業 法 の 順 守 ( 保 存 義 務 のあるデータ 等 ) 知 財 営 業 秘 密 等 の 保 護 国 境 をまたぐ 場 合 のリスク 対 応 利 用 規 約 SLA 等 の 提 示 取 り 決 め 合 意 責 任 範 囲 に 基 づくクラ ウド 利 用 者 による 統 制 確 保 の 仕 組 み サービスサポート インシデント 発 生 時 の 円 滑 な 利 用 者 - 事 業 者 間 コミュニケーション 情 報 開 示 認 定 制 度 安 全 に 関 する 自 主 的 な 情 報 開 示 外 部 監 査 定 期 報 告 等 サービスの 安 全 保 証 ( 言 明 の 公 開 ) 2. 技 術 的 実 装 の 選 択 クラウド 事 業 者 情 報 セキュリティ 対 策 内 部 監 査 提 供 するクラウドサービスの 安 全 確 保 利 用 者 にサービス 提 供 するにあたり 特 に 考 慮 すべき 実 務 技 術 実 装 仮 想 化 技 術 を 用 いたサービス 提 供 クラウド 特 有 のキャパシティ 管 理 / バックアップ テナント 分 離 の 実 務 との 関 連 が 深 い 管 理 策 ( 監 査 認 証 の 取 得 インシ デント 時 の 証 拠 収 集 捜 査 による 媒 体 押 収 等 の 局 面 を 想 定 ) 司 法 官 憲 等 の 捜 査 対 応 リスク 管 理 責 任 と 説 明 責 任 を 果 たす 3.クラウドサービス 運 用 にあたってのコン プライアンスの 確 保 4.クラウド 利 用 者 との コミュニケーションにおける 実 務 安 心 を 得 る! 安 全 を 守 る! 5. 認 証 取 得 インシデン ト 対 応 監 査 等 にあたって の 利 用 者 ごとの 資 産 証 跡 の 特 定 5

10 (1) クラウド 利 用 者 による 統 制 を 確 保 するための 実 務 クラウド 利 用 者 による 統 制 を 確 保 するための 実 務 とは クラウド 利 用 者 がクラウド 事 業 者 を 自 らの 方 針 に 従 っ て 統 制 できるように 必 要 な 取 り 決 め 合 意 責 任 の 分 担 の 設 定 等 を 行 うことである ICT サプライチェーンの 供 給 者 間 においては アグリゲーションサービス 事 業 者 が ICT サプライチェーン 全 体 を 統 制 する 実 務 と 供 給 者 間 で 責 任 と 役 割 の 分 担 を 設 定 する 実 務 がある それぞれの 実 務 についての 本 ガイドラインにおける 記 述 の 概 要 を 図 表 4 に 示 す 図 表 4 クラウド 利 用 者 による 統 制 を 確 保 するための 実 務 の 概 要 分 類 クラウド 利 用 者 -クラウド 事 業 者 間 の 実 務 実 務 の 概 要 クラウド 利 用 者 とクラウド 事 業 者 の 責 任 の 分 担 の 設 定 クラウド 利 用 者 のポリシーに 沿 うクラウドサービス 選 択 を 促 進 するための 支 援 クラウド 利 用 者 の 運 用 措 置 ( 監 査 預 託 情 報 のバックアップ 等 )の 支 援 と 役 割 分 担 の 明 確 化 等 アグリゲーションサービス 事 業 者 - 他 の 供 給 者 間 の 実 務 ( 垂 直 連 携 型 の 場 合 ) 供 給 者 間 の 実 務 ( 水 平 連 携 型 の 場 合 ) ICT サプライチェーン 全 体 としてのサービスレベル 確 保 ICT サプライチェーン 全 体 としての 管 理 要 求 の 統 制 等 供 給 者 間 の 責 任 と 役 割 の 分 担 の 設 定 他 の 供 給 者 が 提 供 するサービスに 及 ぼす 影 響 や 他 の 供 給 者 が 提 供 するサービス から 受 ける 影 響 を 緩 和 するための 措 置 等 (2) 技 術 的 実 装 の 選 択 技 術 的 実 装 の 選 択 とは クラウドサービスの 情 報 セキュリティマネジメントを 実 践 するにあたり 技 術 の 適 切 な 実 装 方 法 を 選 択 し その 選 択 によってクラウド 利 用 者 の 運 用 管 理 の 実 務 に 変 更 の 必 要 性 が 生 じた 場 合 は 必 要 な 技 術 情 報 をクラウド 利 用 者 に 提 供 することである (3) クラウドサービス 運 用 にあたってのコンプライアンスの 確 保 クラウドサービス 運 用 にあたってのコンプライアンスの 確 保 とは クラウドサービスを 運 用 することによって 生 じうる クラウド 利 用 者 側 及 びクラウド 事 業 者 側 のコンプライアンス 違 反 の 予 防 である 特 に クラウド 利 用 者 から 預 託 されたデータを 裁 判 管 轄 権 を 跨 いで 保 存 した 場 合 のコンプライアンス 確 保 への 対 処 が 重 要 になる 本 ガイドライ ンでは 以 下 に 列 挙 する 実 務 について 指 針 を 示 している クラウド 利 用 者 が 業 法 による 要 求 事 項 等 を 確 保 できるようにするための 支 援 (サービス 機 能 の 提 供 等 ) 国 際 的 に 展 開 されたクラウドサービスにおいて 海 外 における 適 用 法 の 違 いによってクラウド 利 用 者 及 び 預 託 された 情 報 に 生 じるリスクを 緩 和 するための クラウド 利 用 者 側 及 びクラウド 事 業 者 側 の 措 置 に 係 る 6

11 実 務 司 法 官 憲 等 の 捜 査 等 により 海 外 にある 資 産 サービスに 起 因 するクラウドサービス 全 体 の 停 止 等 を 予 防 するための 実 務 等 (4) クラウド 利 用 者 とのコミュニケーションにおける 実 務 クラウド 利 用 者 とのコミュニケーションにおける 実 務 とは クラウドサービス 提 供 の 各 段 階 において クラウド 事 業 者 からクラウド 利 用 者 に 対 して 行 う 情 報 の 公 開 開 示 である 具 体 的 には クラウドサービスの 新 規 顧 客 / 乗 り 換 えを 獲 得 する 段 階 と クラウドサービスを 提 供 する 段 階 で クラウド 利 用 者 に 対 して 提 供 する 情 報 の 内 容 や 提 供 手 段 は 異 なる 図 表 5 にその 概 要 を 示 す 図 表 5 クラウドサービス 提 供 の 各 段 階 と 公 開 開 示 する 情 報 の 関 係 クラウドサービスの 新 規 利 用 / 乗 り 換 えの 獲 得 凡 例 : 一 般 公 開 Web 公 開 サービス 比 較 サイトの ベンチマーク 情 報 Web 公 開 一 般 公 開 しているサービスレベルの 保 証 値 や 努 力 目 標 Web 公 開 Webで 一 般 公 開 Web 公 開 取 得 した 認 証 受 賞 言 明 公 開 監 査 済 み 言 明 の 一 般 公 開 利 用 者 限 定 の 情 報 提 供 利 用 者 限 定 Web 公 開 言 明 公 開 法 令 順 守 定 期 点 検 の 実 施 と その 結 果 要 員 教 育 の 状 況 保 守 体 制 の 構 築 運 用 管 理 変 更 管 理 作 業 の 実 施 状 況 等 個 別 開 示 内 部 統 制 監 査 報 告 書 (ISAE3402/SSAE16) クラウド 利 用 者 がWebにログインして 参 照 管 理 ツール 管 理 ツールの 画 面 で 照 会 メール 等 メール FAXで 通 知 クラウド 利 用 者 の 要 請 に 基 づく 個 別 開 示 個 別 開 示 クラウド 利 用 者 が 個 別 に 要 請 し 必 要 に 応 じて NDAを 締 結 し 個 別 に 情 報 を 開 示 ( 有 償 の 場 合 あり) 管 理 ツール 管 理 ツール 利 用 者 限 定 Web 公 開 クラウド 利 用 者 のサービス 利 用 状 況 クラウド 利 用 者 からの 受 託 情 報 の 取 扱 い 状 況 日 常 の 連 絡 ( 都 度 ) クラウドサービスの 提 供 段 階 メール 等 緊 急 時 の 連 絡 報 告 利 用 者 限 定 Web 公 開 現 在 の 稼 働 状 況 利 用 者 限 定 Web 公 開 利 用 者 限 定 Web 公 開 メール 等 サービス 達 成 状 況 and/or 障 害 発 生 履 歴 利 用 者 からの 問 合 せ 件 数 や 内 容 SLA 規 約 違 反 の 発 生 の 連 絡 利 用 者 限 定 Web 公 開 個 別 開 示 操 作 マニュアル FAQ クラウド 利 用 者 の 要 請 に 基 づく 個 別 開 示 個 別 開 示 サービス オーガニゼーション コントロール 報 告 書 (SOC2) 内 部 統 制 監 査 報 告 書 (ISAE3402/SSAE16) クラウドサービスの 新 規 顧 客 / 乗 り 換 えを 獲 得 する 段 階 では クラウドサービスが 保 証 または 努 力 目 標 とする 7

12 サービスレベルの 公 開 取 得 した 認 証 受 賞 の 公 開 実 施 している 監 査 の 言 明 の 公 開 2 を 行 う クラウドサービ スが 保 証 または 努 力 目 標 とするサービスレベルの 具 体 的 な 指 標 としては 例 えば 故 障 回 復 時 刻 故 障 通 知 時 刻 サービス 提 供 時 間 ヘルプデスク 提 供 時 間 サービス 稼 働 率 平 均 応 答 時 間 情 報 セキュリティ 対 策 設 備 の 措 置 ログ 記 録 サービス 継 続 のための 措 置 バックアップ 暗 号 化 に 対 応 できるサービスの 範 囲 などが 設 定 される また SLA 文 書 の 内 容 を 公 開 している 例 も 見 られる クラウドサービスの 提 供 段 階 では クラウド 利 用 者 に 対 する 情 報 提 供 を 行 う 提 供 する 情 報 としては クラウ ド 利 用 者 のサービス 利 用 状 況 クラウド 利 用 者 が 預 託 された 情 報 の 取 扱 い 状 況 日 常 の 連 絡 緊 急 時 の 連 絡 報 告 現 在 の 稼 働 状 況 サービス 達 成 状 況 ( 障 害 発 生 履 歴 の 情 報 公 開 を 含 む) クラウド 利 用 者 から の 問 合 せ 件 数 や 内 容 SLA 規 約 違 反 の 発 生 の 連 絡 操 作 マニュアル FAQ サービス オーガニゼーション コ ントロール 報 告 書 (SOC2) その 他 クラウド 利 用 者 個 別 に 提 供 する 詳 しい 情 報 がある クラウド 利 用 者 のサービス 利 用 状 況 としては 利 用 者 のログイン 実 績 利 用 時 間 利 用 ログなどが 情 報 開 示 されている 日 常 の 連 絡 としては 計 画 的 サービス 停 止 / 定 期 保 守 の 案 内 バージョンアップの 案 内 マニュアル 類 の 最 新 版 公 開 の 案 内 利 用 規 約 /SLA の 改 訂 技 術 的 ぜい 弱 性 情 報 情 報 漏 洩 に 繋 がる 脅 威 情 報 (フィッシング マルウェア 等 ) サービス 提 供 に 係 る 関 係 国 の 適 用 法 に 関 連 したリスク 情 報 等 が 提 供 されてい る 緊 急 時 の 連 絡 報 告 としては 障 害 発 生 / 復 旧 時 刻 の 通 知 障 害 経 過 の 通 知 障 害 内 容 原 因 対 処 再 発 防 止 策 等 に 係 る 事 後 報 告 等 の 情 報 が 提 供 される サービス 達 成 状 況 については 稼 働 率 平 均 応 答 時 間 サポートサービス 応 答 率 などの 月 次 実 績 等 を 情 報 提 供 していることが 多 いが これらの 指 標 の 値 を 提 供 する 代 わりに 障 害 発 生 履 歴 を 詳 しく 提 供 しているクラウド 事 業 者 も 多 い その 他 クラウド 利 用 者 個 別 に 提 供 する 詳 しい 情 報 としては 例 えばクラウド 利 用 者 が 希 望 する 種 別 のインシデント 情 報 ( 月 次 等 で 定 期 報 告 ) 第 三 者 機 関 による 監 査 レポート ぜい 弱 性 検 査 レポート クラウド 事 業 者 が 行 うバックアップの 仕 様 ( 範 囲 ス ケジュール 方 法 データフォーマット 保 存 期 間 バックアップデータの 完 全 性 確 認 やリストアの 手 順 等 ) イベ ントログ 記 録 の 仕 様 (ログ 記 録 のタイプとタイプ 別 の 保 存 期 間 クラウド 利 用 者 がログを 検 査 する 権 利 と 検 査 手 順 等 ) ID 管 理 の 権 限 設 定 の 細 かさ ID 連 携 の 有 無 供 給 者 関 係 の 中 で 誰 がどこでデータを 保 管 し 何 を 記 録 しているか 契 約 終 了 後 の 受 託 情 報 の 抹 消 方 法 SLA の 内 容 等 の 情 報 提 供 が 行 われている なお クラウド 利 用 者 個 別 の 情 報 開 示 を 行 うにあたっては 以 下 の 5 点 にも 留 意 すべきである クラウド 事 業 者 は 以 下 の2つのトレードオフを 判 断 すべき - クラウド 利 用 者 にとっての 知 るメリットと 同 様 の 情 報 が 他 のクラウド 利 用 者 にも 共 有 されることによるデメ リットの 間 のトレードオフ - クラウド 利 用 者 にとっての 知 るメリットと クラウド 事 業 者 にとっての 情 報 開 示 するデメリットの 間 のトレード オフ クラウド 利 用 者 が 細 かい 情 報 を 要 求 し 自 ら 詳 しく 判 断 管 理 しようとする 場 合 は クラウド 利 用 者 にオン プレミスを 勧 めるべき 有 償 の 場 合 がある 2 NDA を 締 結 した 上 で 監 査 報 告 書 を 個 別 開 示 する 場 合 もある 8

13 通 常 は NDA を 締 結 の 上 で 情 報 開 示 する 監 査 済 みの 言 明 公 開 により 対 策 の 実 施 状 況 を クラウド 利 用 者 に 対 し 保 証 することも 検 討 すべき 一 方 上 述 した 情 報 をクラウド 利 用 者 に 提 供 する 手 段 としては 管 理 ツールによる 情 報 照 会 機 能 の 提 供 利 用 者 限 定 Web 公 開 メール 等 による 通 知 クラウド 利 用 者 の 要 請 に 基 づく 個 別 開 示 が 行 われている 提 供 する 情 報 と 用 いる 手 段 の 関 係 については 図 表 5 を 確 認 していただきたい (5) 認 証 取 得 インシデント 対 応 監 査 等 にあたっての 利 用 者 ごとの 資 産 証 跡 の 特 定 認 証 取 得 インシデント 対 応 監 査 等 にあたっての 利 用 者 ごとの 資 産 証 跡 の 特 定 とは クラウド 利 用 者 や クラウド 事 業 者 による 認 証 取 得 監 査 並 びにインシデント 対 応 等 にあたり クラウド 事 業 者 が 特 に 要 求 された 場 合 に クラウド 利 用 者 ごとの 資 産 ( 預 託 された 情 報 ) 証 跡 を 特 定 分 離 することである マルチテナントサ ービスを 提 供 する 場 合 のテナント 分 離 の 要 求 であると 言 える 5. 第 Ⅱ 部 の 構 成 とクラウド 事 業 者 への 適 用 方 法 第 Ⅱ 部 は ISO/IEC 27002:2013 の 目 次 構 成 に 基 づき 情 報 セキュリティマネジメントに 係 る 10 領 域 25 目 的 に 重 点 化 して クラウドサービスとしての 情 報 セキュリティマネジメントに 係 る 利 用 者 接 点 の 実 務 の 具 体 的 な 内 容 を 記 述 している 第 Ⅱ 部 の 構 成 を 図 表 6 に 示 す 本 ガイドラインを 読 むに 当 たり その 内 容 を 理 解 するためには ISO/IEC に 基 づく 情 報 セキュリティマネジメントを 行 うための 知 識 を 有 していることが 望 ましい 図 表 6 第 Ⅱ 部 の 構 成 領 域 目 的 6. 情 報 セキュリティのための 組 織 6.1 内 部 組 織 6.2 モバイル 機 器 及 びテレワーキング 6.3 クラウドサービスの 利 用 者 とクラウド 事 業 者 の 関 係 8. 資 産 の 管 理 8.1 資 産 に 対 する 責 任 8.2 情 報 分 類 9. アクセス 制 御 9.1 アクセス 制 御 に 対 する 業 務 上 の 要 求 事 項 9.2 利 用 アクセスの 管 理 9.4 システム 及 びアプリケーションのアクセス 制 御 9.5 共 有 された 仮 想 化 環 境 下 での 利 用 者 データへのアクセス 制 御 10. 暗 号 10.1 暗 号 による 管 理 策 12. 運 用 のセキュリティ 12.1 運 用 の 手 順 及 び 責 任 12.2 マルウェアからの 保 護 12.3 バックアップ 12.4 ログ 取 得 及 び 監 視 12.5 運 用 ソフトウェアの 管 理 12.6 技 術 的 ぜい 弱 性 管 理 9

14 12.7 情 報 システムの 監 査 に 対 する 考 慮 事 項 13. 通 信 のセキュリティ 13.1 ネットワークセキュリティ 管 理 13.2 情 報 の 転 送 15. 供 給 者 関 係 15.1 供 給 者 関 係 における 情 報 セキュリティ 15.2 供 給 者 のサービス 提 供 の 管 理 16. 情 報 セキュリティインシデント 管 理 16.1 情 報 セキュリティインシデントの 管 理 及 びその 改 善 17. 事 業 継 続 マネジメントにおける 情 報 セキュリティの 側 面 17.2 冗 長 性 18. 順 守 18.1 法 的 及 び 契 約 上 の 要 求 事 項 の 順 守 18.2 情 報 セキュリティのレビュー クラウド 事 業 者 が 情 報 セキュリティマネジメントを 実 践 する 際 には 次 の 考 え 方 で 実 施 する( 図 表 7 参 照 ) 1 情 報 システムとしての 情 報 セキュリティマネジメントの 実 践 ( 例 :ISO/IEC に 基 づく 実 施 ) 2 クラウドサービスとしての 情 報 セキュリティマネジメントに 係 る 利 用 者 接 点 の 実 務 の 実 践 ( 本 ガイドラインによる) 3 クラウドサービスとしての 情 報 セキュリティマネジメントの 技 術 的 実 装 並 びに 監 査 の 実 践 ( 日 本 情 報 セキュリティ 監 査 協 会 :クラウド 情 報 セキュリティ 管 理 基 準 等 による) ICT サプライチェーンを 構 築 し インフラを 借 り 受 けてアプリケーションサービスを 中 心 に 提 供 するクラウド 事 業 者 は1 2を 実 施 することが 求 められ さらに3にある 監 査 に 取 り 組 むことでサービスの 信 頼 を 高 めることができる 一 方 ICT サ プライチェーンの 中 で インフラを 供 給 できる 基 幹 クラウド 事 業 者 は 123の 全 てを 実 施 することが 望 ましい 図 表 7 本 ガイドラインの 使 い 方 前 提 条 件 使 い 方 共 通 して 実 施 ICTサプライチェーンを 構 築 し インフラを 借 り 受 けてアプリケーションサー ビスを 中 心 にサービスを 提 供 するクラウド 事 業 者 に 特 化 した 対 応 本 ガイドラインを 読 み 利 用 者 接 点 の 実 務 を 学 ぶことで クラウド 利 用 者 と の 間 及 びICTサプライチェーンの 他 の 供 給 者 との 間 での 良 好 な 責 任 と 役 割 の 分 担 を 確 立 ISO/IEC 27002に 基 づく 情 報 セキュリ ティマネジメントを 行 うための 知 識 を 有 するもの ICTシステムに 対 す る 通 常 の 情 報 セキュ リティマネジメントの 実 践 ( 例 )ISO/IEC に 基 づく 実 施 等 ICTサプライチェーンの 中 で インフラを 供 給 できる 基 幹 クラウド 事 業 者 に 特 化 した 対 応 本 ガイドラインを 読 み 利 用 者 接 点 の 実 務 を 学 ぶことで クラウド 利 用 者 と の 間 及 びICTサプライチェーンの 他 の 供 給 者 との 間 での 良 好 な 責 任 と 役 割 の 分 担 を 確 立 + インフラに 求 められる 高 度 な 情 報 セキュリティ 対 策 技 術 の 実 装 についての 指 針 を 適 用 するため 日 本 情 報 セキュリティ 監 査 協 会 の クラウド 情 報 セキュリ ティ 管 理 基 準 等 を 参 照 10

15 本 ガイドラインを 基 に クラウドサービスとしての 情 報 セキュリティマネジメントに 係 る 利 用 者 接 点 の 実 務 を 実 践 する 場 合 は 以 下 の 手 順 に 従 って 利 用 されたい 1 第 Ⅰ 編 を 読 み 本 ガイドラインの 背 景 にある 概 念 ( 供 給 者 のモデル クラウドサービス 提 供 における 主 要 な 課 題 クラウドサービス 提 供 における 利 用 者 接 点 の 実 務 のポイント)と 用 語 の 定 義 を 理 解 する 2 第 Ⅰ 編 を 読 み 本 ガイドラインの 構 成 他 の 標 準 基 準 との 関 係 本 ガイドラインの 利 用 方 法 を 確 認 する 3 第 Ⅱ 編 を 読 み 管 理 策 ごとに クラウド 利 用 者 との 接 点 における 具 体 的 実 務 の 内 容 を 確 認 し 実 践 する なお 本 ガイドラインの 第 Ⅱ 編 において 大 半 の 指 針 は 主 語 がクラウド 事 業 者 になっている このため クラウド 事 業 者 は という 主 語 を 省 略 して 表 記 している 読 者 は 文 章 に 主 語 がない 場 合 は クラウド 事 業 者 が 主 語 であるとして 読 んでいただきたい 6. 用 語 及 び 定 義 本 ガイドラインで 使 用 する 用 語 の 定 義 は 基 本 的 に ISO/IEC に 従 う 本 ガイドラインに 特 化 して 用 いる 用 語 または 用 語 の 定 義 について 以 下 に 示 す i. クラウドコンピューティング 利 用 者 による 共 有 が 可 能 であり 利 用 者 の 要 求 に 応 じたセルフサービス 提 供 と 管 理 の 機 能 を 併 せ 持 つ 拡 張 性 と 弾 力 性 に 富 んだ 物 理 又 は 仮 想 資 源 のプールに ネットワークを 通 じてアクセスすることを 可 能 にする 情 報 処 理 形 態 ii. クラウドサービス クラウドコンピューティングを 提 供 するサービス iii. クラウド 利 用 者 クラウドサービスを 利 用 する 組 織 エンドユーザ( 組 織 )と クラウドサービスを 提 供 するため 別 の 組 織 が 提 供 するク ラウドサービスを 利 用 する 組 織 に 分 かれる iv. エンドユーザ クラウドサービスの 提 供 は 行 わず クラウドサービスの 利 用 のみを 行 う 者 個 人 を 示 す 場 合 は エンドユーザ( 個 人 ) 組 織 を 示 す 場 合 はエンドユーザ( 組 織 )と 表 記 することがある 本 ガイドラインでは エンドユーザ( 組 織 )の 中 に 個 人 事 業 主 を 含 めている v. 特 権 ユーザ 特 権 的 な 管 理 ツールの 使 用 を 許 可 された 個 人 クラウド 事 業 者 とクラウド 利 用 者 のどちらに 所 属 するかは 問 わない vi. クラウド 事 業 者 クラウドサービスを 提 供 する 組 織 クラウドサービスを 提 供 するため 別 の 組 織 が 提 供 するクラウドサービスを 利 用 するこ 11

16 ともありうる vii. アグリゲーションサービス 複 数 のクラウド 事 業 者 が 提 供 するクラウドサービスを 集 積 し 1つのクラウドサービスとして 利 用 できるようにしたサービ ス 形 態 viii. アグリゲーションサービス 事 業 者 う アグリゲーションサービスを 提 供 するクラウド 事 業 者 クラウド 利 用 者 との 契 約 は アグリゲーションサービス 事 業 者 が 行 ix. ICT サプライチェーン 複 数 のクラウド 事 業 者 が 連 携 してクラウドサービスを 提 供 する 際 に 構 築 される 各 事 業 者 の 情 報 処 理 施 設 がネット ワークで 連 結 された 形 態 x. 供 給 者 ICT サプライチェーンの 一 部 を 構 成 するクラウド 事 業 者 xi. 利 用 者 接 点 クラウド 利 用 者 とクラウド 事 業 者 の 間 に 存 在 する 資 産 サービス 等 に 係 る 責 任 役 割 等 の 分 担 の 境 界 情 報 提 供 のインターフェイス 等 xii. 供 給 者 連 携 ICT サプライチェーンを 構 成 する 全 ての 又 は3 者 以 上 の 供 給 者 によるデータ サービス 等 の 連 携 xiii. 個 別 契 約 連 携 クラウドサービス ICT サプライチェーンでクラウドサービスを 提 供 する 際 に アグリゲーションサービスを 編 成 せず 各 供 給 者 が 個 別 にクラ ウド 利 用 者 と 契 約 を 締 結 するサービス 形 態 xiv. 個 別 契 約 連 携 クラウド 事 業 者 個 別 契 約 連 携 クラウドサービスを 提 供 する 供 給 者 xv. ASP SaaS(Software as a Service) アプリケーションをサービスとして 提 供 するクラウドサービス xvi. PaaS(Platform as a Service) オペレーティングシステムや 実 行 環 境 をサービスとして 提 供 するクラウドサービス xvii. IaaS(Infrastructure as a Service) CPU メモリ ストレージ ネットワークなどのハードウェア 資 産 をサービスとして 提 供 するクラウドサービス xviii. 脅 威 12

17 組 織 に 損 害 や 影 響 を 与 えるリスクを 引 き 起 こす 要 因 xix. ぜい 弱 性 脅 威 によって 悪 用 される 可 能 性 がある 欠 陥 や 仕 様 上 の 問 題 xx. リスク 目 的 に 対 して 不 確 かさが 与 える 影 響 xxi. 管 理 策 リスクを 管 理 する 手 段 ( 方 針 手 順 指 針 実 践 又 は 組 織 構 造 を 含 む )であり 実 務 管 理 的 技 術 的 経 営 的 又 は 法 的 な 性 質 をもつことがあるもの(JIS Q 27002:2006) xxii. SLA(Service Level Agreement) 書 面 にしたサービス 提 供 者 と 顧 客 との 合 意 であって サービス 及 び 合 意 したサービスレベルを 記 述 したもの(JIS Q :2007) xxiii. 情 報 公 開 一 般 に 向 けた 又 は 範 囲 を 限 定 した 情 報 の 公 表 周 知 xxiv. 情 報 開 示 電 子 メール 電 子 ファイル FAX 紙 文 書 等 の 手 段 による 受 領 者 に 対 する 情 報 の 引 き 渡 し xxv. 情 報 提 供 情 報 公 開 又 は 情 報 開 示 の 実 施 13

18 第 II 部 管 理 策 の 実 装 技 術 と 利 用 者 接 点 における 実 務 6. 情 報 セキュリティのための 組 織 6.1 内 部 組 織 目 的 組 織 内 で 情 報 セキュリティの 実 施 及 び 運 用 に 着 手 し これを 統 制 するための 管 理 上 の 枠 組 みを 確 立 するため クラウド 利 用 者 とクラウド 事 業 者 の 間 並 びに 供 給 者 間 において ガバナンスの 実 態 が 異 なる 組 織 が 利 用 者 接 点 を 形 成 することから その 両 側 の 組 織 の 間 で 情 報 セキュリティマネジメントの 統 制 が 不 十 分 になりやすく これに 対 する 管 理 策 が 必 要 である 情 報 セキュリティの 役 割 及 び 責 任 全 ての 情 報 セキュリティの 責 任 を 定 め 割 当 ることが 望 ましい クラウド 利 用 者 とクラウド 事 業 者 の 間 並 びに 供 給 者 間 において ガバナンスの 実 態 が 異 なる 組 織 間 で 管 理 責 任 等 の 範 囲 を 設 定 することから その 範 囲 の 設 定 に 当 たっての 合 意 内 容 やその 内 容 に 関 する 解 釈 が 不 明 確 になりやすいた め 資 産 と 情 報 セキュリティプロセスの 識 別 を 慎 重 に 行 い 明 確 な 責 任 の 範 囲 の 割 当 を 行 うことが 求 められる 個 々の 情 報 資 産 の 保 護 と 特 定 の 情 報 セキュリティプロセスの 実 施 に 対 する 責 任 を 明 確 に 規 定 し その 責 任 を 個 人 に 割 当 責 任 の 規 定 と 割 当 について 定 めたことを 文 書 化 することが 求 められる(ISO/IEC27002: 実 施 の 手 引 a)b)c) 参 照 ) さらに クラウドサービスの 提 供 にあたっては 実 務 上 以 下 を 実 施 することが 望 ましい (a) クラウド 利 用 者 とクラウド 事 業 者 の 間 で それぞれの 管 理 責 任 の 範 囲 に 関 わる 点 に 特 に 注 意 を 払 い 個 々の 情 報 資 産 の 保 護 と 特 定 の 情 報 セキュリティプロセスの 実 施 に 対 する 責 任 を 分 担 し 文 書 化 すること PaaS の 場 合 提 供 されるサービスによって クラウド 利 用 者 が 自 ら 管 理 できる 情 報 資 産 や 情 報 セキュリティプロセスの 範 囲 にかなり 幅 があるため クラウド 利 用 者 との 管 理 責 任 の 分 担 や 免 責 の 範 囲 が 不 明 確 になりやすく 特 に 慎 重 に 責 任 の 範 囲 を 定 めること (b) クラウドサービスの 提 供 に 係 る 供 給 者 間 の 委 託 先 管 理 の 責 任 を 明 確 に 規 定 し 従 業 員 に 割 当 文 書 化 する こと (c) (a)(b)の 実 施 にあたり 必 要 となるクラウド 利 用 者 とクラウド 事 業 者 の 間 並 びに 供 給 者 間 における 情 報 セキュ リティマネジメントの 側 面 の 調 整 及 び 管 理 に 関 する 事 項 を エンドユーザ( 組 織 )との 契 約 形 態 統 制 順 守 14

19 情 報 提 供 の 範 囲 技 術 協 力 の 範 囲 緊 急 時 対 応 の 役 割 分 担 等 に 係 る 要 求 の 観 点 から 特 定 し 文 書 化 す ること (d) クラウド 利 用 者 と 締 結 する SLA を 保 証 するため ICT サプライチェーン 全 体 で 分 担 する 責 任 についての 調 整 及 び 管 理 に 関 する 事 項 について 定 め 文 書 化 すること (e) クラウド 利 用 者 に 対 する 説 明 責 任 の 主 体 と 詳 細 を 明 確 に 定 めること 説 明 責 任 の 遂 行 にあたっては Web 等 を 用 いた 情 報 公 開 によるクラウド 利 用 者 への 周 知 とクラウド 利 用 者 個 別 の 情 報 開 示 の 範 囲 を 明 確 にし クラウ ド 事 業 者 として 個 別 対 応 が 可 能 な 範 囲 について 統 制 の 観 点 からクラウド 利 用 者 に 通 知 すること 職 務 の 分 離 相 反 する 職 務 及 び 責 任 範 囲 は 組 織 の 資 産 に 対 する 認 可 されていない 若 しくは 意 図 しない 変 更 又 は 不 正 使 用 の 危 険 性 を 低 減 するために 分 離 することが 望 ましい システム 設 計 構 築 やサービス 運 用 設 定 における 人 為 的 ミスが 多 数 のクラウド 利 用 者 に 影 響 を 及 ぼし クラウド 事 業 者 の 信 用 低 下 に 繋 がる 恐 れがあることから 人 為 的 ミスを 発 見 して 取 り 除 くための 確 認 を 徹 底 することが 求 められ る 多 数 のクラウド 利 用 者 に 影 響 を 及 ぼす 事 象 (クラウド 事 業 者 での 内 部 不 正 システム 誤 動 作 誤 運 用 管 理 用 イ ンターフェイスの 悪 用 DDoS/DoS 攻 撃 等 )の 発 生 に 繋 がるぜい 弱 性 として システム 設 計 構 築 やサービス 運 用 設 定 における 人 為 的 ミスを 排 除 するため クラウドサービスの 提 供 にあたっては 実 務 上 以 下 に 特 に 注 意 を 払 うことが 望 ましい (a) サービス 運 用 設 定 の 実 務 を 行 う 者 と 認 可 を 行 う 者 の 役 割 と 責 任 を 明 確 に 分 離 すること (b) システム 設 計 構 築 を 行 う 者 と 認 可 を 行 う 者 の 役 割 と 責 任 を 明 確 に 分 離 すること (c) ASP SaaS の 場 合 は 開 発 保 守 の 実 務 を 行 う 者 と 運 用 を 行 う 者 の 役 割 と 責 任 を 明 確 に 分 離 すること 6.2 モバイル 機 器 及 びテレワーキング 目 的 モバイル 機 器 の 利 用 及 びテレワーキングに 関 するセキュリティを 確 実 にするため モバイル 機 器 から 業 務 用 クラウドサービスを 利 用 する 際 の 課 題 は モバイル 機 器 からの 情 報 漏 洩 クラウド 事 業 者 に よるモバイル 機 器 から 取 得 されたビジネス 価 値 の 高 い 情 報 の 不 正 利 用 等 である これらに 対 する 管 理 策 が 求 められて いる 15

20 6.2.1 モバイル 機 器 の 方 針 モバイル 機 器 を 用 いることによって 生 じるリスクを 管 理 するために 方 針 及 びその 方 針 を 支 援 する セキュリティ 対 策 を 採 用 することが 望 ましい クラウドサービスを 利 用 するエンドユーザ( 組 織 )の 従 業 員 等 がモバイル 機 器 を 業 務 で 利 用 する 際 には モバイル 機 器 にキャッシュされる 秘 密 認 証 情 報 や 業 務 データが 漏 洩 するリスクが 高 く これを 防 止 する 対 策 が 求 められる 特 に BY OD などにより 対 応 が 不 十 分 なモバイル 機 器 が 利 用 されることで エンドユーザ( 組 織 )における 情 報 セキュリティマネ ジメントに 関 する 統 制 が 取 れず その 結 果 エンドユーザ( 組 織 )で 講 じている 管 理 策 の 全 てが 徹 底 されず 不 正 プロ グラムが 入 ったり 情 報 が 漏 えいする 恐 れがあるため 十 分 な 対 策 が 求 められる モバイル 機 器 には スマートフォン/タブレット 携 帯 電 話 ノート PC 等 のデバイスがある これらのデバイスごとに 取 る べき 対 策 の 内 容 や 対 策 の 取 りやすさも 異 なっている しかし 共 通 しているのは クラウドサービスが それぞれのデバイ スに 適 合 した 認 証 方 法 を 提 供 することにより アクセス 制 御 を 確 実 にすることが 求 められるということである 他 方 モバイル 機 器 からの 業 務 用 ASP SaaS 利 用 においては 今 後 クライアントアプリケーションを 開 発 してクラウ ド 利 用 者 に 配 布 し モバイル 機 器 にインストールして 利 用 する 形 態 が 増 えていく このクライアントアプリケーションの 不 具 合 により モバイル 機 器 から 個 人 情 報 や 業 務 データが 意 図 せず 漏 洩 する 事 象 が 発 生 しうることから クライアントアプリケ ーションの 試 験 には 特 に 注 意 が 必 要 となる モバイル 機 器 の 位 置 情 報 のように ビジネス 等 で 価 値 の 高 い 情 報 を クラ イアントアプリケーションを 用 いて 収 集 することも 可 能 になるため クラウド 利 用 者 から 収 集 する 情 報 の 内 容 や 利 用 方 法 を アプリケーション 設 計 時 から 明 確 にしておくことが 求 められる また モバイル 機 器 からの 業 務 用 ASP SaaS 利 用 において モバイル 機 器 のブラウザ 等 を 用 いてクラウドサービスを 利 用 する 場 合 HTML5 等 の 先 進 的 な Web 技 術 を 用 いるケースが 増 えており これらに 特 有 の 脆 弱 性 を 持 ち 込 む 可 能 性 が 高 まるため Web サービスの 開 発 段 階 から 留 意 する 必 要 がある モバイル 機 器 を 業 務 用 ASP SaaS で 用 いる 場 合 業 務 情 報 が 危 険 にさらされないことを 確 実 にするために 物 理 的 な 保 護 ソフトウェアのインストール 制 限 OS 等 のセキュリティホールへの 対 応 情 報 サービスへの 接 続 制 限 モバイ ル 機 器 の 事 前 登 録 アクセス 制 御 暗 号 化 モバイル 機 器 上 のデータのバックアップ マルウェアからの 保 護 遠 隔 操 作 による 機 器 の 無 効 化 データの 消 去 又 はロック 等 の 情 報 セキュリティ 対 策 を 実 施 することが 求 められる(ISO/IEC270 02: 実 施 の 手 引 参 照 ) 特 に 業 務 用 ASP SaaS がモバイル 機 器 に 適 合 した 認 証 方 法 を 用 いたアク セス 制 御 を 確 実 にすることが 重 要 である モバイル 機 器 の 中 では 特 に 近 年 急 速 に 普 及 しているスマートフォン/タブレットに 対 する 対 策 が 難 しくなっている そ こで 以 下 では 業 務 用 ASP SaaS においてスマートフォン/タブレットの 利 用 が 可 能 なサービスを 提 供 することに 焦 点 を 絞 り 実 務 上 実 施 することが 望 ましい 事 項 について 示 す 詳 しくは 一 般 社 団 法 人 日 本 スマートフォンセキュリティ 協 会 の スマートフォンの 業 務 クラウド 利 用 における 端 末 からの 業 務 データの 情 報 漏 洩 を 防 ぐことを 目 的 とした 企 業 のシス 16

21 テム 管 理 者 のための 開 発 運 用 管 理 ガイド スマートフォンの 情 報 漏 洩 を 考 える を 参 照 されたい (a) クラウド 利 用 者 に 対 し 不 正 改 造 されたり マルウェアに 感 染 したモバイル 機 器 をクラウドサービスに 接 続 させな いように 要 求 すること (b) クラウド 利 用 者 への 運 用 上 の 要 求 事 項 も 含 めて モバイル 機 器 上 で スクリーンショット スクリーンキャスト 録 画 クリップボード 履 歴 保 存 キーロガー 等 を 実 行 させないための 対 策 を 講 じること (c) クラウド 利 用 者 に 配 布 する モバイル 機 器 用 のクライアントアプリケーションには キャッシュ 保 存 機 能 を 持 たせな いか 又 は 十 分 な 強 度 の 鍵 長 とロジックでキャッシュデータを 暗 号 化 する 機 能 を 持 たせること (d) モバイル 機 器 において クラウド 利 用 者 に 一 定 強 度 以 上 のパスワード 設 定 を 義 務 付 けること また 業 務 用 ク ラウドサービスへの 接 続 時 に 一 定 強 度 以 上 のパスワードが 設 定 されているかの 有 無 をチェックすること (e) モバイル 機 器 と 業 務 用 クラウドサービスの 間 の 通 信 は 十 分 な 強 度 の 暗 号 を 用 いて 暗 号 化 すること (f) クラウド 利 用 者 への 運 用 上 の 要 求 事 項 も 含 めて モバイル 機 器 の 業 務 データを 他 のシステムと 同 期 させないた めの 対 策 を 講 じること 一 方 モバイル 機 器 からの 業 務 用 ASP SaaS 利 用 において HTML5 等 の 先 進 的 な Web 技 術 を 用 いる 場 合 に は これらに 特 有 の 脆 弱 性 を 持 ち 込 まないための 管 理 策 を Web サービスの 開 発 段 階 から 実 施 することが 望 ましい 具 体 的 な 管 理 策 については JPCERT/CC HTML5 を 利 用 した Web アプリケーションのセキュリティ 問 題 に 関 する 調 査 報 告 書 を 参 照 されたい 6.3 クラウド 利 用 者 と 供 給 者 間 における 情 報 提 供 目 的 クラウド 利 用 者 の 情 報 セキュリティマネジメント 方 針 に 適 合 したクラウドサービスの 選 択 を 確 実 にする ため クラウドサービスは その 特 性 から クラウド 利 用 者 による 個 別 の 情 報 セキュリティ 要 求 に 応 えられる 範 囲 が 限 定 され る このため クラウドサービス 提 供 にあたり どこまでがクラウド 利 用 者 の 責 任 範 囲 であり クラウド 利 用 者 がクラウドサー ビスの 情 報 セキュリティマネジメントをどこまで 統 制 することができ どこまでのサービスレベルが 得 られ どこまでの 範 囲 で 個 別 対 応 が 可 能 かについて クラウド 利 用 者 の 理 解 を 深 めることにより クラウド 利 用 者 のニーズに 適 合 したクラウドサー ビスを 選 択 できる 環 境 を 構 築 していくことが 求 められる クラウドサービスの 情 報 セキュリティマネジメントに 係 る 提 供 条 件 の 明 確 化 17

22 クラウドサービスの 情 報 セキュリティマネジメントに 係 る 責 任 範 囲 サービスレベル クラウド 利 用 者 個 別 に 対 応 可 能 な 範 囲 等 の 提 供 条 件 を 明 確 に 定 め 文 書 化 することが 望 ましい クラウド 利 用 者 に クラウドサービスの 情 報 セキュリティマネジメントに 係 るクラウド 利 用 者 とクラウド 事 業 者 の 責 任 範 囲 サービスレベル クラウド 利 用 者 個 別 に 対 応 可 能 な 範 囲 等 の 提 供 条 件 を 正 しく 理 解 していただくために 予 め 文 書 化 しておくことが 求 められる さらに この 文 書 に 係 る 情 報 提 供 により 提 供 条 件 を 理 解 しているクラウド 利 用 者 の 範 囲 を 広 げることで 自 らのニーズに 適 合 するクラウドサービスを 選 択 するクラウド 利 用 者 を 増 やしていくことが 望 ましい この 文 書 化 や 情 報 提 供 に 係 る 要 求 等 は エンドユーザ( 組 織 )と 供 給 者 の 間 のみならず アグリゲーションサービス 事 業 者 が 他 の 供 給 者 のクラウドサービスを 選 択 する 場 合 にも 適 用 される 6.1.1(a)(b)(c)(d)(e) 参 照 さらに クラウドサービスの 提 供 にあたっては 実 務 上 以 下 を 実 施 することが 望 ましい なお 以 下 の 実 務 ポイントは エンドユーザ( 組 織 )と 供 給 者 の 間 のみならず アグリゲーションサービス 事 業 者 が 他 の 供 給 者 のクラウドサービスを 選 択 する 場 合 にも 適 用 され る (a) 文 書 化 されたクラウド 事 業 者 自 身 の 責 任 範 囲 を 利 用 者 接 点 とサプライチェーンにおける 実 務 のポイン ト (b)(f)(i)から 手 法 を 選 択 して SLA 等 によりクラウド 利 用 者 に 明 確 に 示 すこと (b) クラウド 利 用 者 が 自 組 織 が 求 める 統 制 を 満 たすにあたり クラウド 事 業 者 が 提 供 できる 機 能 サービスを (b)(f)(i)から 手 法 を 選 択 して SLA 等 によりクラウ ド 利 用 者 に 明 確 に 示 すこと (c) (b)を 実 施 するにあたり クラウド 利 用 者 個 別 に 対 応 可 能 な 範 囲 を 予 め 明 文 化 しておき この 文 書 に 基 づいて クラウド 利 用 者 に 個 別 対 応 範 囲 がかなり 限 定 されることを 理 解 していただくための 措 置 を 講 じること クラウドサービスの 提 供 にあたり 複 数 の 供 給 者 によって 提 供 サービス 間 に 依 存 関 係 がある ICT サプライチェーンが 構 築 されている 場 合 がある この 場 合 クラウド 利 用 者 から 見 た 契 約 形 態 は2 種 類 存 在 している 1つはクラウド 利 用 者 が 複 数 の 供 給 者 と 個 別 に 利 用 契 約 を 締 結 する 形 態 であり もう1つはアグリゲーションサービス 事 業 者 がクラウド 利 用 者 との 利 用 契 約 を 一 本 化 する 形 態 である クラウド 利 用 者 が 複 数 の 供 給 者 と 個 別 に 利 用 契 約 を 締 結 しなければなら ない 場 合 は クラウド 利 用 者 がそれぞれの 供 給 者 と 情 報 セキュリティマネジメントに 係 るサービス 提 供 条 件 を 個 別 に 合 意 する 必 要 がある このため 情 報 セキュリティマネジメントに 係 る 責 任 範 囲 の 構 造 が 複 雑 化 し その 分 担 が 不 明 確 に なりやすいため 供 給 者 としても 特 別 な 注 意 を 払 う 必 要 がある 利 用 者 接 点 とサプライチェーンにおける 情 報 提 供 共 有 18

23 目 的 や 場 面 に 応 じて クラウド 利 用 者 が 必 要 とする 情 報 を 提 供 できる 仕 組 みを 構 築 することが 望 ましい インシデント 発 生 時 には ICT サプライチェーンで 情 報 を 共 有 し クラウド 利 用 者 が 必 要 とする 情 報 を 早 く 提 供 することが 望 ましい クラウド 事 業 者 からクラウド 利 用 者 への 情 報 提 供 の 目 的 は クラウドサービス 提 供 の 段 階 によって 異 なる ここで 情 報 とは 情 報 セキュリティマネジメントに 影 響 を 及 ぼす 情 報 のことを 指 す 1つめの 目 的 はクラウドサービスの 新 規 利 用 / 乗 り 換 え 利 用 を 目 論 むクラウド 利 用 者 への 情 報 提 供 であり もう1つの 目 的 はクラウドサービスを 提 供 している 段 階 で のクラウド 利 用 者 への 情 報 提 供 である 新 規 利 用 者 への 情 報 提 供 においては クラウド 利 用 者 が 自 組 織 の 統 制 要 求 を 満 たすことができないクラウドサービ スを 選 択 してしまうと 係 争 の 原 因 となるばかりでなく 利 用 者 個 別 の 要 求 を 増 加 させる 要 因 にもなる このため クラウ ド 利 用 者 の 選 択 に 必 要 な 情 報 を 提 供 し 自 組 織 の 統 制 を 満 たすことができるクラウドサービスを 選 択 することを 促 すこ とが 求 められる 一 方 クラウドサービス 提 供 段 階 では ガバナンスの 実 態 が 異 なる 組 織 であるクラウド 利 用 者 とクラウド 事 業 者 の 信 頼 関 係 を 損 なわないように 情 報 セキュリティマネジメントの 統 制 に 係 る 協 力 的 な 情 報 提 供 を 確 立 することが 求 められ る 情 報 セキュリティインシデント 発 生 時 には 長 時 間 サービスが 停 止 したり クラウド 利 用 者 が 納 得 する 状 況 報 告 が 適 時 にできないことにより クラウド 利 用 者 からの 信 用 を 失 ってしまう 恐 れがある このため ICT サプライチェーン 全 体 でクラ ウド 利 用 者 に 提 供 する 情 報 を 共 有 し クラウド 利 用 者 に 早 く 正 確 な 情 報 を 提 供 することが 求 められる クラウドサービスの 新 規 利 用 / 乗 り 換 え 利 用 を 目 論 むクラウド 利 用 者 への 情 報 提 供 にあたっては 自 組 織 のガバナン ス 規 定 を 順 守 するために クラウド 利 用 者 が 必 要 な 統 制 機 能 及 び 能 力 を 有 しているクラウドサービス 及 びこれを 提 供 するクラウド 事 業 者 を 選 定 できることが 求 められる この 目 的 で 提 供 される 情 報 を 以 下 に 例 示 する クラウドサービスが 保 証 または 努 力 目 標 とするサービスレベル 取 得 した 認 証 受 賞 実 施 している 監 査 の 言 明 または 監 査 報 告 書 また これらの 情 報 をクラウド 利 用 者 に 提 供 する 手 段 を 以 下 に 例 示 する Web による 一 般 公 開 利 用 者 個 別 の 要 請 に 基 づく 情 報 開 示 上 述 した 提 供 手 段 によりクラウド 利 用 者 に 情 報 提 供 を 行 うにあたっては 実 務 上 以 下 を 実 施 することが 望 ましい 19

24 (a) クラウドサービスの 比 較 Web サイト( 例 :クラウドサービス 情 報 開 示 認 定 サイト p/cloud-nintei/)を 活 用 し そのベンチマーク 指 標 に 基 づいて クラウドサービスに 係 る 情 報 を 一 般 公 開 する ことを 検 討 すること (b) Web 等 による 一 般 向 けの 情 報 公 開 システムを 構 築 し 提 供 しているクラウドサービスのサービスレベルの 保 証 値 又 は 努 力 目 標 を 情 報 公 開 すること また 取 得 した 認 証 ( 情 報 セキュリティ 対 策 実 施 に 関 するもの 内 部 統 制 監 査 に 関 するもの 等 )や 受 賞 を 一 覧 できる 形 式 で 情 報 公 開 すること 20

25 (c) 監 査 済 みの 情 報 セキュリティ 対 策 の 設 計 実 装 運 用 に 係 る 言 明 がある 場 合 は (b)の 一 般 向 け 情 報 公 開 システムを 用 いて 情 報 公 開 すること 3 4 クラウドサービス 提 供 段 階 では クラウド 利 用 者 に 限 定 し 必 要 とする 情 報 を 提 供 する この 目 的 で 提 供 される 情 報 を 以 下 に 例 示 する クラウド 利 用 者 のサービス 利 用 状 況 クラウド 利 用 者 が 預 託 された 情 報 の 取 扱 い 状 況 日 常 の 連 絡 緊 急 時 の 連 絡 報 告 現 在 の 稼 働 状 況 サービス 達 成 状 況 ( 障 害 発 生 履 歴 の 情 報 公 開 を 含 む) クラウド 利 用 者 からの 問 合 せ 件 数 や 内 容 SLA 規 約 違 反 の 発 生 の 連 絡 操 作 マニュアル FAQ サービス オーガニゼーション コントロール 報 告 書 (SOC2) クラウド 利 用 者 の 要 請 に 基 づく 個 別 開 示 情 報 また これらの 情 報 をクラウド 利 用 者 に 提 供 するための クラウド 利 用 者 に 限 定 した 手 段 を 以 下 に 例 示 する 管 理 ツールを 利 用 した 情 報 照 会 機 能 利 用 者 限 定 Web による 情 報 公 開 (ログイン 認 証 付 きの Web サイト) 電 子 メール FAX 利 用 者 個 別 の 要 請 に 基 づく 情 報 開 示 上 述 した 提 供 手 段 によりクラウド 利 用 者 に 情 報 提 供 を 行 うにあたっては 実 務 上 以 下 を 実 施 することが 望 ましい 3 特 定 非 営 利 活 動 法 人 日 本 セキュリティ 監 査 協 会 (JASA)では クラウドセキュリティ 推 進 協 議 会 (JCISPA)にお いて クラウド 情 報 セキュリティ 監 査 制 度 の 検 討 を 進 めており その 中 で 言 明 要 件 の 検 討 も 実 施 しているので 参 考 にされ たい 4 クラウド 利 用 者 の 内 部 統 制 確 保 を 保 証 するため 内 部 統 制 監 査 報 告 書 の 情 報 開 示 を 求 められることも 多 い この 場 合 は NDA を 締 結 した 上 で 情 報 開 示 することも 選 択 肢 となる 但 し 内 部 統 制 監 査 報 告 書 は 情 報 セキュリティマネジメン トの 全 般 をカバーするものではないことを クラウド 利 用 者 にも 理 解 していただくことが 望 ましい 21

26 (d) クラウドサービスの 情 報 セキュリティに 関 する 窓 口 (ヘルプデスク 等 )を 分 かりやすく 公 開 すること (e) クラウド 利 用 者 からの 個 別 要 求 に 基 づき NDA を 締 結 して 個 別 の 情 報 開 示 を 行 うにあたり その 窓 口 をでき る 限 りワンストップ 化 すること また 個 別 の 情 報 開 示 におけるクラウド 利 用 者 のコンタクト 窓 口 を 特 定 し 管 理 すること (f) ログイン 認 証 付 き Web サイトでは 日 常 の 都 度 の 連 絡 ( 計 画 的 サービス 停 止 / 定 期 保 守 バージョンアップ マニュアル 類 の 最 新 版 公 開 の 案 内 など) サービス 達 成 状 況 (サービス 稼 働 率 平 均 応 答 時 間 サポートサ ービス 応 答 率 等 ) 又 は 障 害 発 生 履 歴 現 在 の 稼 働 状 況 利 用 者 からの 問 合 せ 件 数 / 内 容 などの 情 報 公 開 を 検 討 すること (g) 管 理 ツールでは クラウド 利 用 者 のサービス 利 用 状 況 (ログイン 実 績 利 用 時 間 利 用 ログ 提 供 等 ) クラウ ド 利 用 者 から 預 託 された 情 報 の 保 守 取 扱 い 実 績 などの 情 報 照 会 機 能 を 検 討 すること (h) 電 子 メール FAX では 緊 急 時 の 連 絡 報 告 (クラウドサービス 内 で 発 生 した 情 報 セキュリティインシデントにつ いての 情 報 : 障 害 発 生 / 復 旧 時 刻 障 害 経 過 の 通 知 障 害 内 容 原 因 対 処 等 に 係 る 事 後 報 告 等 )の 情 報 提 供 を 検 討 すること (i) クラウド 利 用 者 からの 個 別 要 求 に 基 づき NDA を 締 結 して 個 別 の 情 報 開 示 ( 例 :クラウド 利 用 者 が 希 望 する 種 別 のインシデント 履 歴 第 三 者 機 関 による 監 査 ぜい 弱 性 検 査 レポート クラウド 利 用 者 から 預 託 され たデータ 利 用 ログ 記 録 等 の 保 存 場 所 等 )を 行 う 場 合 は クラウド 利 用 者 にとっての 知 るメリットとクラウド 事 業 者 にとっての 情 報 開 示 のデメリット( 業 務 負 荷 の 増 大 も 含 む)のトレードオフを 検 討 すること 代 替 案 として 監 査 済 みの 言 明 公 開 や NDA を 締 結 した 上 での 監 査 報 告 書 (サービス オーガニゼーション コントロール 報 告 書 (SOC2) 内 部 統 制 監 査 報 告 書 (ISAE3402/SSAE16) 5 等 )の 情 報 開 示 により 対 策 の 実 施 状 況 をクラウド 利 用 者 に 対 し 保 証 することも 検 討 すること 緊 急 時 の 連 絡 報 告 の 情 報 提 供 については さらに 実 務 上 以 下 を 実 施 することが 望 ましい (j) クラウド 利 用 者 に 影 響 を 及 ぼす 情 報 セキュリティインシデントの 発 生 後 その 情 報 を 適 切 に 設 定 された 時 間 以 内 に (h)の 手 法 により クラウド 利 用 者 に 通 知 すること その 後 も 適 切 な 時 間 間 隔 で 情 報 の 通 知 を 続 け ク ラウド 利 用 者 が 受 領 した 情 報 を 追 跡 できるようにすること (k) クラウド 利 用 者 に 一 斉 周 知 する 情 報 は (d) に 従 って 提 供 すること (l) クラウド 利 用 者 によって 発 見 された 情 報 セキュリティインシデントの 情 報 の 受 付 窓 口 を 設 置 し 利 用 者 に 分 かり やすく 示 すこと (m) より 正 確 な 情 報 を 相 互 に 交 換 するために 情 報 セキュリティインシデントの 情 報 を ICT サプライチェーンで 共 有 す るための 合 意 を 形 成 して 文 書 化 すること (n) (m)の 合 意 に 基 づき ICT サプライチェーンを 構 成 する 供 給 者 は 情 報 セキュリティインシデントの 際 のコンタクト 窓 口 を 設 置 すること 5 内 部 統 制 監 査 報 告 書 は 情 報 セキュリティマネジメントの 全 般 をカバーするものではないことを クラウド 利 用 者 にも 理 解 していただくことが 望 ましい 22

27 (o) 個 別 契 約 連 携 クラウドサービスを 提 供 する 場 合 は クラウド 利 用 者 の 便 益 を 考 慮 し 供 給 者 間 の 情 報 共 有 を 積 極 的 に 行 うこと 個 別 契 約 連 携 クラウドサービスを 提 供 する 場 合 は クラウド 利 用 者 に 対 する 情 報 提 供 は 各 供 給 者 が 個 別 に 行 う ことになるため 各 々が 提 供 する 情 報 に 不 整 合 や 質 や 早 さの 違 いが 生 じ 結 果 としてクラウド 利 用 者 の 不 信 を 招 く 恐 れ がある このため ICT サプライチェーンを 構 成 する 供 給 者 間 の 情 報 提 供 に 係 る 役 割 分 担 ( 例 : 情 報 提 供 窓 口 の 一 本 化 等 )を 定 め クラウド 利 用 者 と 合 意 することが 望 ましい 8. 資 産 の 管 理 8.1 資 産 に 対 する 責 任 目 的 組 織 の 資 産 を 特 定 し 適 切 な 保 護 の 責 任 を 定 めるため クラウド 利 用 者 による 重 要 度 が 高 い 預 託 情 報 に 対 する 格 別 の 保 護 要 求 と クラウド 事 業 者 及 びそのサービスに 係 る 情 報 セキュリティマネジメント 並 びにそのガバナンスの 実 態 とが 整 合 せず 預 託 情 報 の 保 護 に 支 障 をきたすことを 防 ぐ 必 要 がある 資 産 目 録 情 報 及 び 情 報 処 理 施 設 に 関 連 する 資 産 を 特 定 することが 望 ましい また これらの 資 産 の 目 録 を 作 成 し 維 持 することが 望 ましい クラウドサービスがクラウド 利 用 者 の 持 つ 重 要 な 情 報 に 対 する 保 護 要 求 方 針 を 満 足 できないにも 関 わらず クラウド 利 用 者 がこの 重 要 情 報 をクラウドサービスに 預 託 してしまうと この 預 託 情 報 の 保 護 が 困 難 になる 恐 れがある そこで クラウド 利 用 者 自 身 が その 重 要 度 判 断 とその 保 護 要 求 方 針 に 従 って クラウドサービス 上 で 取 り 扱 うことができるクラ ウド 利 用 者 の 情 報 を 選 別 して 預 託 できるように その 判 断 に 必 要 な 情 報 を 提 供 することが 求 められる クラウド 利 用 者 は 情 報 のライフサイクル( 作 成 処 理 保 管 送 信 削 除 及 び 破 棄 を 含 む)に 関 連 したクラウド 利 用 者 の 情 報 を 特 定 し その 重 要 度 と 業 務 上 の 価 値 を 自 ら 判 定 し 資 産 目 録 として 記 録 維 持 ( 正 確 かつ 最 新 に 保 つ)する(ISO/IEC 27002: 実 施 の 手 引 参 照 ) クラウド 利 用 者 のこの 作 業 を 支 援 するため クラウド 利 用 者 から 預 託 された 情 報 について 実 務 上 以 下 を 実 施 することが 望 ましい 23

28 (a) クラウド 利 用 者 から 預 託 された 情 報 と クラウドサービスを 運 用 するための 内 部 情 報 を 別 の 資 産 として 分 類 す ること (b) 仮 想 化 資 源 を 用 いてクラウドサービスを 提 供 している 場 合 は 仮 想 化 資 源 をラベル 付 けすること (c) (a)(b) 等 に 係 るクラウドサービスの 特 性 に 基 づき 管 理 水 準 が 異 なる 預 託 情 報 をクラウド 利 用 者 が 分 類 する ために 必 要 な 情 報 を 6.3.2(i)の 手 法 に 基 づき クラ ウド 利 用 者 に 提 供 すること 資 産 の 管 理 責 任 目 録 の 中 で 維 持 される 資 産 は 管 理 されることが 望 ましい クラウド 利 用 者 が 作 成 し 管 理 する 目 録 の 中 の 各 々の 預 託 情 報 が 求 める 管 理 水 準 を 確 実 にするため これらの 資 産 が 保 存 されるクラウド 事 業 者 の 情 報 処 理 施 設 等 ( 仮 想 化 資 源 を 含 む)の 管 理 ポリシーに 基 づいて クラウド 利 用 者 の 要 求 に 沿 う 管 理 水 準 を 提 供 できるサービスを 選 択 することが 求 められる クラウド 利 用 者 が 作 成 し 管 理 する 目 録 の 中 の 各 々の 預 託 情 報 が 保 存 されるクラウド 事 業 者 の 情 報 処 理 施 設 等 ( 仮 想 化 資 源 を 含 む)のそれぞれについて 個 別 に 管 理 ポリシーと 管 理 水 準 に 関 する 情 報 を 利 用 者 接 点 とサプライチェーンにおける 実 務 のポイント (i)の 手 法 に 基 づいてクラウド 利 用 者 に 提 供 し クラウド 利 用 者 が 適 切 なサー ビスを 選 択 できるように 支 援 することが 望 ましい クラウド 利 用 者 から 預 託 された 情 報 の 返 却 クラウド 利 用 者 がクラウドサービスの 利 用 を 終 了 するにあたり 預 託 された 情 報 を クラウド 利 用 者 が 取 扱 うことができる 形 でクラウド 利 用 者 に 返 却 し クラウドサービスの 提 供 に 供 する 情 報 処 理 施 設 等 から 二 度 と 取 り 出 せないようにすることが 望 ましい クラウド 利 用 者 がクラウドサービスの 利 用 を 終 了 するにあたり 他 のクラウドサービスへの 乗 換 を 行 うことが 想 定 される クラウド 利 用 者 によるクラウドサービス 選 定 の 自 由 を 守 るため 預 託 された 情 報 を 他 のクラウドサービスに 引 継 ぐことを 確 実 にすることが 求 められる また クラウドサービス 利 用 終 了 後 に クラウド 事 業 者 から 預 託 情 報 が 流 出 しないようにすることが 求 められる 24

29 クラウド 利 用 者 がクラウドサービスの 利 用 を 終 了 するにあたり 預 託 されていた 情 報 をクラウド 利 用 者 が 取 扱 うことがで きる 書 式 で 返 却 することに 加 え 有 料 であるかどうかも 含 めてその 対 応 方 針 をクラウド 利 用 者 に 情 報 提 供 し クラウド 利 用 者 が 自 らのポリシーに 沿 う 返 却 方 法 を 提 供 できるクラウド 事 業 者 及 びサービスを 選 定 できるようにすることが 求 められ る また クラウドサービスの 利 用 終 了 後 に クラウドサービスに 供 する 情 報 処 理 施 設 等 から 預 託 された 情 報 が 漏 洩 しな いように 情 報 を 二 度 と 取 り 出 せないようにすることが 求 められる さらに これらの 実 施 方 針 がクラウド 利 用 者 に 周 知 されることが 求 められる 上 記 を 実 現 するため 実 務 上 以 下 を 実 施 することが 望 ましい (a) 個 々のクラウド 利 用 者 の 預 託 情 報 を 特 定 して 抽 出 するための 措 置 を 講 じること (b) (e)の 事 前 合 意 に 基 づき 預 託 された 情 報 を クラウド 利 用 者 またはその 指 示 によって 他 のクラウド 事 業 者 が 取 扱 うことができる 形 式 で クラウド 利 用 者 に 返 却 すること (c) (b)の 対 応 が 有 料 である 場 合 は その 旨 をクラウド 利 用 者 に 周 知 すること (d) クラウドサービスの 利 用 終 了 後 に 預 託 された 情 報 を 二 度 と 取 り 出 せないように 消 去 または 破 壊 すること (e) (b)(d)を 実 現 する 方 法 について クラウド 事 業 者 /クラウドサービスを 選 定 するにあたり 参 考 にできるような 形 で クラウド 利 用 者 ( 潜 在 利 用 者 を 含 む)に 情 報 提 供 すること (f) (e)について 詳 細 な 情 報 の 開 示 を 求 められた 場 合 には 利 用 者 接 点 とサプライチェーンにおける 実 務 の ポイント (i)の 手 法 に 従 って 情 報 開 示 することを 検 討 すること 8.2 情 報 分 類 目 的 組 織 に 対 する 情 報 の 重 要 性 に 応 じて 情 報 の 適 切 なレベルでの 保 護 を 確 実 にするため クラウドサービスの 提 供 にあたっては 多 数 のクラウド 利 用 者 が 存 在 することに 伴 い クラウド 利 用 者 の 預 託 情 報 が 他 のクラウド 利 用 者 の 預 託 情 報 と 明 確 に 分 離 できる 形 で 管 理 されていない 恐 れがある さらに 複 数 のクラウドサービ スを 提 供 する 場 合 には クラウド 利 用 者 の 預 託 情 報 が サービスごとに 分 類 されていない 恐 れがある その 結 果 として クラウド 利 用 者 から 預 託 された 情 報 に 対 し クラウドサービスごとに 適 切 な 情 報 セキュリティポリシーや 管 理 水 準 が 適 用 されなかったり 預 託 情 報 がクラウド 利 用 者 ごとに 保 護 されなかったりといった 事 態 を 生 じうる 従 って クラウド 利 用 者 か ら 寄 託 を 受 ける 情 報 及 び 提 供 するそれぞれのクラウドサービスにおいて 供 する 情 報 資 産 等 について クラウド 利 用 者 ごと 及 びクラウドサービスごとに 適 切 に 管 理 ができるように 必 要 となる 情 報 の 分 類 を 行 うことが 求 められる 25

30 8.2.1 情 報 の 分 類 情 報 は 法 的 要 求 事 項 価 値 重 要 性 及 び 認 可 されていない 開 示 又 は 変 更 に 対 して 取 扱 いに 慎 重 を 要 する 度 合 いの 観 点 から 分 類 することが 望 ましい クラウドサービスにおいては 一 つの 資 源 を 用 いて 同 時 に 複 数 のサービスを 提 供 することがある その 場 合 クラウド 利 用 者 が 預 託 する 情 報 は それぞれのサービスで 重 要 度 が 異 なることがあるにもかかわらず 同 一 の 管 理 が 行 われること になる その 結 果 として 預 託 情 報 の 重 要 度 に 応 じた 管 理 ができないために クラウド 利 用 者 の 重 要 な 預 託 情 報 が 脅 威 にさらされる 恐 れがある これを 避 ける 観 点 から クラウド 利 用 者 から 預 託 を 受 けた 情 報 をクラウドサービスごとに 区 分 し その 重 要 度 に 応 じた 管 理 を 行 うことが 求 められる クラウド 利 用 者 から 預 託 された 情 報 を 提 供 するクラウドサービスごとに 分 類 し その 分 類 に 応 じた 情 報 セキュリティマ ネジメントを 実 施 するとともに クラウド 利 用 者 からの 求 めがあった 場 合 に その 分 類 ごとの 情 報 セキュリティマネジメント の 実 施 状 況 を 情 報 開 示 しうる 状 況 にしておくため 実 務 上 以 下 を 実 施 することが 望 ましい (a) 複 数 のクラウドサービスを 提 供 している 場 合 には 提 供 するサービスに 応 じてクラウド 利 用 者 からの 預 託 情 報 の 分 類 を 行 うこと (b) (a)の 各 分 類 に 対 し 対 応 しているクラウドサービスの 種 類 に 応 じて 預 託 情 報 の 価 値 重 要 性 等 を 定 義 する こと (c) 各 々のクラウドサービスの 提 供 において クラウド 利 用 者 からの 預 託 情 報 を (b)の 定 義 を 踏 まえて 管 理 するこ と (d) クラウドサービスの 提 供 にあたり 仮 想 化 された 資 源 を 利 用 している 場 合 は クラウド 利 用 者 からの 預 託 情 報 を 明 確 に 分 類 できる 措 置 を 施 すこと 資 産 の 取 扱 い 資 産 の 取 扱 いに 関 する 手 順 は 組 織 が 採 用 した 情 報 分 類 体 系 に 従 って 策 定 し 実 施 すること が 望 ましい クラウドサービスにおいては 複 数 のクラウド 利 用 者 から 預 託 を 受 けた 情 報 を 同 一 の 資 源 において 取 り 扱 うことにな る 預 託 されたクラウド 利 用 者 の 情 報 が 他 のクラウド 利 用 者 のものと 明 確 に 分 離 できる 形 で 管 理 されていない 場 合 に は 預 託 された 情 報 の 返 却 等 が 生 じた 場 合 に 他 のクラウド 利 用 者 から 預 託 を 受 けた 情 報 を 混 同 して 返 却 してしまう 等 情 報 漏 えいを 生 じる 恐 れがある 26

31 複 数 のクラウド 利 用 者 から 預 託 を 受 けた 情 報 を 誤 って 情 報 漏 えいしないよう それぞれのクラウド 利 用 者 から 預 託 を 受 けた 情 報 を 明 確 に 分 離 して 管 理 できる 措 置 を 講 じることが 望 ましい 具 体 的 には 実 務 上 以 下 を 実 施 することが 望 ましい (a) クラウド 利 用 者 から 預 託 を 受 けた 情 報 については それぞれを 容 易 に 分 離 できるような 措 置 を 講 じること (b) 仮 想 化 された 資 源 を 用 いて 預 託 を 受 けた 情 報 を 管 理 する 場 合 には 各 クラウド 利 用 者 から 預 託 された 情 報 を 特 定 できるような 措 置 を 講 じること 9. アクセス 制 御 9.1 アクセス 制 御 に 対 する 業 務 上 の 要 求 事 項 目 的 情 報 及 び 情 報 処 理 施 設 へのアクセスを 制 限 するため クラウドサービスは インターネットを 経 由 してサービス 提 供 されることから クラウド 事 業 者 クラウド 利 用 者 以 外 の 第 三 者 による 不 正 なアクセスや 攻 撃 の 脅 威 にさらされる 加 えて クラウドサービスでは 複 数 の 供 給 者 によるサービス 連 携 がなされうること サービスに 供 する 資 源 を 複 数 のク ラウド 利 用 者 が 利 用 することなどから アクセス 制 御 に 係 る 脆 弱 性 などにより クラウド 事 業 者 やクラウド 利 用 者 による 不 正 アクセス 等 も 生 じうる また 不 完 全 なアクセス 制 御 などに 伴 う サービス 提 供 の 不 完 全 性 などの 課 題 も 生 じる このようなアクセス 制 御 の 脆 弱 性 や 不 完 全 性 により クラウド 事 業 者 及 びそのサービスの 信 用 に 大 きな 悪 影 響 を 及 ぼす 恐 れがある しかし クラウド 事 業 者 は その 高 いリスクを 認 識 していないことも 多 い このリスクに 対 処 するため アク セス 制 御 サービスの 提 供 機 構 の 冗 長 化 ソフトウェアの 高 信 頼 化 と 試 験 の 徹 底 操 作 ミスの 防 止 運 用 手 順 書 の 質 の 向 上 など 幅 広 い 対 策 を 考 慮 することが 求 められる アクセス 制 御 方 針 アクセス 制 御 方 針 は 業 務 及 び 情 報 セキュリティの 要 求 事 項 に 基 づいて 確 立 し 文 書 化 し レ ビューすることが 望 ましい クラウドサービスにおいては 他 の 供 給 者 によるクラウド 利 用 者 のアクセス 制 御 に 依 拠 してサービスを 提 供 し あるいは 自 身 の 行 うアクセス 制 御 に 基 づいて 他 の 供 給 者 がサービス 提 供 を 行 うことがある その 際 に 供 給 者 間 においてアクセ ス 制 御 に 関 する 業 務 方 針 が 共 有 されていないことにより それぞれの 供 給 者 において 本 来 依 拠 すべきアクセス 制 御 の 27

32 方 針 が 順 守 できない 恐 れがある これに 伴 い 他 の 供 給 者 による 認 可 されていないアクセスの 可 能 性 や 供 給 者 内 従 業 員 の 特 権 の 悪 用 などの 不 正 及 び 特 権 の 勝 手 な 拡 大 によるアクセス 制 御 / 認 証 / 権 限 付 与 等 への 影 響 を 排 除 でき ない 等 の 影 響 が 生 じる クラウドサービス 提 供 にかかるクラウド 利 用 者 のアクセス 制 御 について 複 数 の 供 給 者 間 で 依 存 関 係 がある 場 合 には それぞれの 供 給 者 におけるアクセス 制 御 の 方 針 の 間 に 齟 齬 が 生 じて アクセス 制 御 に 支 障 を 来 す 恐 れがある その 可 能 性 を 低 減 するため 導 入 しているアクセス 制 御 に 係 る 方 針 を 供 給 者 間 で 文 書 化 し 合 意 することが 求 められる また 供 給 者 間 でのアクセス 制 御 に 関 する 役 割 と 責 任 の 分 担 を 定 め 技 術 的 対 応 のために 必 要 な 取 決 めを 行 うことが 望 ま しい 具 体 的 には クラウドサービスの 提 供 にあたり 実 務 上 以 下 を 実 施 することが 望 ましい (a) アクセス 制 御 サービスを 提 供 している 情 報 処 理 施 設 等 の 冗 長 化 を 行 うこと (b) ソフトウェア 更 新 時 の 切 替 試 験 を 徹 底 して 行 うこと (c) 運 用 上 の 設 定 を 行 う 者 とそれを 認 可 する 者 を 分 離 すること (d) 運 用 手 順 書 のレビューを 徹 底 し その 品 質 を 向 上 させること (e) クラウド 利 用 者 が 提 供 されるクラウドサービスにおいて 実 施 可 能 なアクセス 制 御 機 能 を 判 断 し 選 択 できるよ うにするため クラウド 利 用 者 から 個 別 に 要 請 を 受 けた 場 合 は 利 用 者 接 点 とサプライチェーンにおける 実 務 のポイント (i)に 従 い アクセス 制 御 方 針 について 以 下 の 情 報 の 提 供 を 検 討 すること クラウド 利 用 者 に 付 与 するアクセス 制 御 権 限 及 び 内 部 統 制 が 機 能 した 権 限 付 与 プロセス 導 入 している ID 管 理 のフレームワーク(シングル サイン オン 等 の ID 連 携 を 組 み 込 む 能 力 があるか 等 ) 認 証 の 強 度 ( 認 証 対 象 とする 要 素 及 び 数 各 要 素 における 技 術 的 運 用 的 な 措 置 による 堅 牢 性 等 ) シングル サイン オン 等 の ID 連 携 への 対 応 状 況 (f) シングル サイン オンや ID 連 携 を 実 施 する 場 合 は ICT サプライチェーンにおける 管 理 責 任 の 範 囲 の 設 定 役 割 と 責 任 の 分 担 技 術 的 対 応 のための 取 り 決 め( 仕 様 書 運 用 規 約 手 順 等 )について 明 確 に 定 め 文 書 化 すること なお 個 別 契 約 連 携 クラウドサービスの 形 態 でサービス 提 供 している 場 合 は クラウド 利 用 者 との 管 理 責 任 の 範 囲 の 合 意 が 通 常 のクラウド 利 用 者 対 クラウド 事 業 者 の 場 合 よりも 複 雑 なので 責 任 の 所 在 が 不 明 確 になる 課 題 が 生 じうるため 特 に 注 意 を 要 する (g) クラウド 利 用 者 から 個 別 に 要 請 を 受 けた 場 合 は シングル サイン オンや ID 連 携 の 実 現 と 運 用 に 係 る 技 術 情 報 等 を 6.3.2(i)に 従 って 提 供 することを 検 討 するこ と ネットワーク 及 びネットワークサービスへのアクセス 28

33 利 用 することを 特 別 に 認 可 したネットワーク 及 びネットワークサービスへのアクセスだけを 利 用 者 に 提 供 することが 望 ましい クラウドサービスでは クラウド 利 用 者 が クラウド 事 業 者 の 情 報 セキュリティの 管 理 外 からアクセスすることが 一 般 的 で ある このため アクセス 制 御 の 対 象 となるクラウドサービスに 供 するネットワーク ネットワークサービス 等 が 適 切 にコントロ ールされていない 場 合 には 第 三 者 による 不 正 アクセスをもたらす 恐 れがある またクラウド 利 用 者 が 許 可 されていない 情 報 資 産 等 へのアクセスを 行 うことにより クラウドサービス 上 のクラウド 利 用 者 情 報 の 盗 聴 改 ざん システムの 破 壊 のほか 利 用 が 許 諾 されていないサービスへのアクセス 等 の 不 適 切 な 利 用 などの 事 態 を 招 く 恐 れがある さらに 外 部 ネットワークサービスの 選 択 によってクラウドサービスが 直 面 しうる 脅 威 と 責 任 の 所 在 について クラウド 利 用 者 に 正 しく 理 解 していただくための 情 報 提 供 を 行 うことが 求 められる クラウド 事 業 者 がネットワーク 及 びネットワークサービスのアクセス 制 御 を 適 正 に 実 施 しないことにより 上 述 のように2 つの 問 題 が 生 じる 1つめの 問 題 は 第 三 者 による 不 正 アクセスが 生 じ クラウド 利 用 者 のデータの 盗 聴 情 報 漏 えい システムの 改 ざん 破 壊 等 が 生 じうることである 2つめの 問 題 は クラウド 利 用 者 に 対 するアクセス 制 御 が 適 切 に 行 わ れないことにより 他 のクラウド 利 用 者 のデータ 等 に 対 する 不 正 なアクセス システム 等 の 改 ざん 破 壊 等 また 許 可 さ れていないサービスへのアクセス 等 が 生 じうることである さらに クラウド 利 用 者 が 本 来 利 用 できるサービスを 適 切 に 利 用 できないことなども 想 定 される これらの 問 題 に 対 処 するため クラウドサービスに 供 するネットワーク 及 びネットワークサービスに 対 して 第 三 者 による 不 正 アクセスを 防 止 するとともに クラウド 利 用 者 の 適 正 な 利 用 を 確 保 するためのアクセス 制 御 に 係 る 措 置 を 講 じること が 求 められる 具 体 的 には 実 務 上 以 下 を 実 施 することが 望 ましい (a) クラウドサービスの 提 供 に 供 するネットワーク 及 びネットワークサービスについては クラウド 利 用 者 を 認 証 した 後 のみ 内 部 的 なネットワーク 等 にアクセスできる 等 の 適 正 なアクセス 制 御 の 措 置 を 講 じること (b) クラウドサービスを 利 用 できる 対 象 者 を 限 定 している 場 合 ( 例 : 国 内 からクラウドサービスを 利 用 するクラウド 利 用 者 に 限 定 )は アクセス 元 サーバに 対 する 認 証 を 行 う 又 は 許 可 されたクラウド 利 用 者 以 外 からのアクセ スを 制 限 する 等 第 三 者 からの 不 要 なアクセスを 排 除 する 措 置 を 講 じること (c) クラウドサービスの 提 供 に 供 するネットワーク 及 びネットワークサービスで 利 用 するネットワーク 機 器 等 における 脆 弱 性 について 定 期 的 に 確 認 するほか 脆 弱 性 が 露 見 した 場 合 には 速 やかに 対 応 できる 措 置 を 講 じること (d) 他 の 供 給 者 と 連 携 してクラウドサービスを 提 供 するために 用 いるネットワーク 及 びネットワークサービスについて 連 携 する 供 給 者 間 で 必 要 なアクセス 制 御 措 置 について 確 認 し これを 実 施 すること (e) クラウド 利 用 者 による 不 正 なネットワーク 及 びネットワークサービスの 利 用 がないことを アクセス 制 御 の 設 定 を 確 認 すること あるいはクラウド 利 用 者 の 内 部 的 なネットワーク 等 のアクセス 状 況 を 監 視 すること 等 を 定 期 的 に 行 うことにより 確 認 すること 29

34 9.2 利 用 アクセスの 管 理 目 的 システム 及 びサービスへの 認 可 された 利 用 者 のアクセスを 確 実 にし 認 可 されていないアクセスを 防 止 するため クラウドサービスではクラウド 事 業 者 クラウド 利 用 者 第 三 者 等 による 認 可 されていないアクセスによって システム 及 びサービスが 侵 害 され クラウドサービスに 供 する 情 報 資 産 の 機 密 性 と 完 全 性 を 危 険 に 曝 す 事 態 を 招 く 恐 れがある このような 事 態 を 避 けるため 秘 密 認 証 情 報 の 割 当 を 正 式 なプロセスによって 管 理 運 用 することが 求 められる 特 権 的 アクセス 権 の 管 理 特 権 的 アクセス 権 の 割 当 て 及 び 利 用 は 制 限 し 管 理 することが 望 ましい 他 の 供 給 者 のクラウドサービスを 利 用 してクラウドサービスの 提 供 を 行 う 供 給 者 に 所 属 する 特 権 ユーザは 特 権 的 ア クセス 権 を 付 与 されて 他 の 供 給 者 が 提 供 している 特 権 的 なユーティリティプログラムを 使 用 することができる 場 合 がある この 特 権 的 アクセス 権 が 第 三 者 に 詐 称 されると 他 の 供 給 者 が 提 供 している 特 権 的 ユーティリティプログラムが 悪 用 さ れ で 述 べるように 第 三 者 が 他 の 供 給 者 が 提 供 するクラウドサービスに 不 正 アクセスするための 踏 み 台 とされる 恐 れがある この 課 題 を 解 決 するため 特 権 的 アクセス 権 の 保 護 には 一 般 のエンドユーザ( 個 人 )とは 異 なる 格 別 の 対 策 が 求 められる 特 権 的 アクセス 権 を 保 護 するため 特 権 的 アクセス 権 を 有 する 特 権 ユーザに 対 し 多 要 素 認 証 技 術 を 適 用 した 認 証 を 行 う 等 の 強 力 な 認 証 機 能 を 提 供 することが 望 ましい これと 同 時 に 利 用 者 接 点 とサプライチェーンにおけ る 実 務 のポイント (a)(b)(c)(d)(e)を 確 実 に 実 施 し 特 権 的 なユーティリティプログラムの 監 視 と 保 護 を 強 化 すること が 望 ましい 利 用 者 の 秘 密 認 証 情 報 の 管 理 30

35 秘 密 認 証 情 報 の 割 当 ては 正 式 な 管 理 プロセスによって 管 理 することが 望 ましい クラウドサービスは 一 般 に 規 模 の 大 きな 共 有 サービスとなるため ぜい 弱 な 秘 密 認 証 情 報 の 割 当 てによってアクセス 制 御 が 破 られた 場 合 の 影 響 が 大 きくなる 恐 れがある 特 に 特 権 的 なユーティリティプログラムの 秘 密 認 証 情 報 が 漏 え いした 場 合 の 影 響 は 深 刻 である このため 秘 密 認 証 情 報 の 割 当 てに 係 る 管 理 を 厳 しくし アクセス 制 御 を 確 実 にす ることが 求 められる クラウド 利 用 者 のユーザ( 個 人 )が クラウドサービスが 要 求 する 強 度 の 秘 密 認 証 情 報 の 割 当 てを 実 行 できる 仕 組 みを 確 実 に 提 供 することが 求 められる また 秘 密 認 証 情 報 に 関 する 管 理 情 報 をクラウド 利 用 者 に 提 供 することによって クラウド 利 用 者 がクラウドサービス の 提 供 機 能 の 利 用 判 断 をしやすくするため 上 記 を 実 現 するための 手 順 や 秘 密 認 証 情 報 の 割 当 て 手 順 に 係 る 情 報 を (b)(f)(i)から 手 法 を 選 択 してクラウド 利 用 者 に 情 報 提 供 することが 望 ましい シングル サイン オンや ID 連 携 を 行 う 場 合 は 秘 密 認 証 情 報 を 複 数 の 供 給 者 間 で 共 有 することから 当 該 情 報 の 管 理 元 からの 情 報 漏 えいは 複 数 の 供 給 者 に 幅 広 く 影 響 を 及 ぼす このため 秘 密 認 証 情 報 の 管 理 元 は 当 該 情 報 の 情 報 セキュリティに 格 別 の 注 意 を 払 うことが 求 められる なお クラウド 事 業 者 が 導 入 すべき 正 式 な 管 理 手 続 として 参 考 となるものに Paymant Card Industry(PCI) データセキュリティ 基 準 の 要 件 8 などがある 9.4 システム 及 びアプリケーションのアクセス 制 御 目 的 システム 及 びアプリケーションへの 認 可 されていないアクセスを 防 止 するため クラウドサービスは オープンなネットワーク 及 びネットワークサービスを 用 いてサービスが 提 供 されることも 多 く クラウド 事 業 者 クラウド 利 用 者 以 外 の 第 三 者 による 不 正 なアクセスや 攻 撃 が 生 じやすい 従 って システム 及 びアプリケーショ ンに 対 するアクセス 制 御 のための 措 置 を 十 分 講 じていないと クラウドサービスに 供 するシステム アプリケーション データ 等 の 情 報 資 産 に 対 する 改 ざん 破 壊 情 報 漏 えい 等 が 生 じる 恐 れがある 加 えて クラウドサービスでは 複 数 の 供 給 者 によるサービス 連 携 が 行 われる 場 合 があること サービスに 供 する 資 源 を 複 数 のクラウド 利 用 者 が 利 用 することなどから アクセス 制 御 に 係 る 脆 弱 性 などにより クラウド 事 業 者 やクラウド 利 用 者 による 不 正 アクセス 等 の 事 態 も 生 じうる また 不 完 全 なアクセス 制 御 などに 伴 う サービス 提 供 の 不 完 全 性 などを 生 31