PowerPoint プレゼンテーション

Transcription

1 2015/3/24 ISO/IEC27001:2013 の改訂のポイントと分野別 ISMS 規格 ISO/IEC27017 の意義と解説 ISO/IEC 27017: International Standard (IS) Code of practice for information security controls based on ISO/IEC for cloud services 工学院大学情報学部 ISO/IEC JTC1/SC27/WG1 国内主査 ISO/IEC Project Editor クラウド セキュリティコントロール専門委員会委員長やまさきさとる 山﨑 哲 Copyright SC27/WG1 Japan,

2 国際標準の組織 ( セキュリティは ISO/IEC SC27 in JTC1) 国際標準化機構 International Organization for Standardization 国際電気標準会議 International Electrotechnical Commission TC68 JTC1 Finance SC7 SC17 SC27 SC37 Software IC card Security Biometrics Copyright SC27/WG1 Japan,

3 WG formation in SC27 WG1:ISO/IEC ISMS family of standards WG2: Security technology, mechanism WG3: Security evaluation criteria WG4: Network security Application security BCP services, others WG5: Privacy Identity management Biometrics Copyright SC27/WG1 Japan,

4 ご説明内容 全体 Part 1. ISO/IEC27001:2013 の改訂のポイント (Slide 5 ~ Slide 59) Part 2. 分野別 ISMS 規格 ISO/IEC27017 の意義と解説 (Slide 60 ~ Slide 106) Copyright SC27/WG1 Japan,

5 ご説明内容 Part1 (ISO/IEC27001:2013) 1. 情報セキュリティマネジメントシステムの意義と国際標準化の経緯 a. 情報セキュリティマネジメントシステム (ISMS) の意義 b. ISMS 要求事項規格 ISO/IEC27001 とその関連規格の動向 c. ISO/IEC 27001, の審議経過 2. ISO/IEC27001 の改訂の趣旨と主要な改訂点 a. マネジメントシステム規格の共通化の適用 b. 情報セキュリティ目的の導入による ISO31000:2009 リスクマネジメント - 原則及び指針 に基づく情報セキュリティリスクアセスメント及びリスク対応 c. 分野別 ISMS への拡張 d. パフォーマンス及び有効性の評価 3. 改訂後の ISO/IEC27001 におけるトップマネジメントの役割 Copyright SC27/WG1 Japan,

6 a. 情報セキュリティマネジメントシステム (ISMS) の意義 (1) マネジメントシステムとは何か 方針 目的及びその目的を達成するためのプロセスを確立するための 相互に関連する又は相互に作用する 組織の一連の要素 (2) ISMS とは何か 情報セキュリティ分野におけるマネジメントシステムが 情報セキュリティマネジメントシステム (ISMS) である 従って ISMS とは 情報セキュリティの確立 実施 維持 継続的な改善によって その組織の目的を達成するプロセスを確立するための 相互に関連又は相互に作用する一連の要素 ( 組織の構造 役割及び責任 計画 運用など ) のことである Copyright SC27/WG1 Japan,

7 a. 情報セキュリティマネジメントシステム (ISMS) の意義 - 要素 1: 情報セキュリティ目的 目標の設定 - ISMS による情報セキュリティ対策 ( 経営陣の方針から管理策への展開 ) これまでの情報セキュリティ対策 情報セキュリティ方針 情報セキュリティ目的 目標 経営陣 管理者 従業員 情報セキュリティリスクアセスメントとリスク対応 管理策の決定 実施 情報セキュリティリスクアセスメントとリスク対応 管理策の決定 実施 管理者 従業員 Copyright SC27/WG1 Japan,

8 a. 情報セキュリティマネジメントシステム (ISMS) の意義 - 要素 2: トップマネジメント (CISO) の設置 - 情報セキュリティを統括するトップマネジメント (CISO) の設置 トップマネジメント : 最高位 (highest level) で組織 (Organization) を指揮 (Direct) し 管理 (Control) する個人又は人々の集まり ( 事例 ) 社長 情報セキュリティ スタッフ組織 CISO セキュリティ委員会 法務 IT プライバシー 部門 部門 部門 グループ会社 グループ会社 セキュリティ委員 セキュリティ委員 セキュリティ委員 セキュリティ委員 セキュリティ委員 Copyright SC27/WG1 Japan,

9 b. ISMS 要求事項規格 ISO/IEC27001 とその関連規格の動向 ISO/IEC ISMS 要求事項 (Requirements) ISO/IEC の適用範囲 (Scope) の記述 ( 抜粋 ): この規格は, 組織の状況の下で,ISMS を確立し, 実施し, 維持し, 継続的に改善するための要求事項について規定する この規格は, 組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する JIS 規格 (JISQ27001) は ISO/IEC と 一致している (IDT) 注記この規格の対応国際規格及びその対応の程度を表す記号を, 次に示す ISO/IEC 27001:2013,Information technology - Security techniques - Information security management systems-requirements(idt) なお, 対応の程度を表す記号 IDT は,ISO/IEC Guide 21-1 に基づき, 一致している ことを示す Copyright SC27/WG1 Japan,

10 b. ISMS 要求事項規格 ISO/IEC27001 とその関連規格の動向 ISMS ファミリー規格の関係 2014 年 10 月 用語 発行 Overview and Vocabulary : 発行済み 要求事項 ガイドライン 発行 SP Code of Practice ISMS Requirements CD Implementation Guidance Audit & certification bodies CD1 DIS Management Measurement Risk Management WD Sector-specific application of Requirements WD Auditing Guidelines CD Guidance for auditors WD1 分野別 ガイドライン DIS Inter-sector comm Telecom ISMS CD & DIS security governance Financeinsurance ISO/IEC27000 ISMS ファミリー規格は ISO/IEC27001(ISMS 要求事項 ) を支援する規格群である Copyright SC27/WG1 Japan, ISM Economics Cloud computing DIS 10

11 c. ISO/IEC 27001, の審議経過 SC27meetingの審議の概要 年 2 回の開催 WG1~WG5 of SC ヵ国 150+ 人程度の参加 会議ではEditing meeting 各国より提出されたコメントによる編集会議 会議後は 編集会議の結果のまとめ (Resolutions) と新しいTextが配布 2008 年に改訂活動を開始 2012 年 5 月 10 月 2013 年 4 月 10 月 Stockholm, Sweden 27001CD CD1 Rome, Italy 27001,27002 DIS Sophia Antipolis, France 27001,27002 FDIS Incheon, Korea 27001, 月 1 日発行 Copyright SC27/WG1 Japan, 年 3 月 JIS 規格発行

12 ご説明内容 Part1 (ISO/IEC27001:2013) 1. 情報セキュリティマネジメントシステムの意義と国際標準化の経緯 a. 情報セキュリティマネジメントシステム (ISMS) の意義 b. ISMS 要求事項規格 ISO/IEC27001 とその関連規格の動向 c. ISO/IEC 27001, の審議経過 2. ISO/IEC27001 の改訂の趣旨と主要な改訂点 a. マネジメントシステム規格の共通化の適用 b. 情報セキュリティ目的の導入による ISO31000:2009 リスクマネジメント - 原則及び指針 に基づく情報セキュリティリスクアセスメント及びリスク対応 c. 分野別 ISMS への拡張 d. パフォーマンス及び有効性の評価 3. 改訂後の ISO/IEC27001 におけるトップマネジメントの役割 Copyright SC27/WG1 Japan,

13 a. マネジメントシステム規格の共通化の適用 - MSS 共通化の目的 - 1 ISO のマネジメントシステム規格 ( 以降 MSS と言う ) 品質 : ISO 9001:2008 環境 : ISO 14001:2004 情報セキュリティ : ISO/IEC 27001:2005 ITサービス : ISO/IEC 事業継続 : ISO 22301:2012 等 2 共通化の目的 組織が複数のマネジメントシステムを導入することを考慮して マネジメントシステム間の整合性向上を図り 組織の負担を軽減する ( 注 ) それぞれのマネジメントシステム規格は 今後も独立して存在する Copyright SC27/WG1 Japan,

14 a. マネジメントシステム規格の共通化の適用 - MSS 共通化の方法 - 3 共通化の方法 新たに開発あるいは改訂するマネジメントシステム規格に対して 上位構造 共通テキストと共通用語定義の使用を義務付け このための上位構造 共通テキストと共通用語定義を下記文書で規定している ISO/IEC Directives, Part 1, Consolidated ISO Supplement Procedures specific to ISO, Third edition, 2012 Annex SL (Normative) Proposals for management system standards Appendix 2 (normative) High level structure, identical core text and common terms and core definitions for use in Management Systems Standards 27001:2013 でこの上位構造 共通テキストと共通用語定義を適用している Copyright SC27/WG1 Japan,

15 - 上位構造の適用 - 上位構造は 全てのMSS 規格に共通の目次であり このレベルでは ISMSの色が見えない ISO/IEC 27001: 序文 1 適用範囲 2 引用規格 3 用語及び定義 4 情報セキュリティマネジメントシステム 5 経営陣の責任 6 ISMS 内部監査 7 ISMS のマネジメントレビュー 8 ISMS の改善 a. マネジメントシステム規格の共通化の適用 附属書 A( 規定 ) 管理目的及び管理策 ISO/IEC 27001:2013( 改訂版 ) 0 序文 1 適用範囲 2 引用規格 3 用語及び定義 4 組織の状況 5 リーダーシップ 6 計画 7 支援 8 運用 9 パフォーマンス評価 10 改善 MS の骨格のプロセス 附属書 A ( 規定 ) 管理目的及び管理策 Copyright SC27/WG1 Japan,

16 a. マネジメントシステム規格の共通化の適用 - 共通テキストの適用 - 共通テキストに対して XXXを 情報セキュリティ に置き換え 情報セキュリティ固有の内容のテキスト を変更 追加する 4. 組織の状況 4.1 組織及びその状況の理解 4.2 利害関係者のリーズ及び期待の理解 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 組織は,ISMS の適用範囲を定めるために, その境界及び適用可能性を決定しなければならない この適用範囲を決定するとき, 組織は, 次の事項を考慮しなければならない a) 4.1 に規定する外部及び内部の課題 b) 4.2 に規定する要求事項 XXX を情報セキュリティに置き換え c) 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係 ISMS の適用範囲は, 文書化した情報として利用可能な状態にしておかなければならない 共通テキストに追加したテキスト Copyright SC27/WG1 Japan,

17 a. マネジメントシステム規格の共通化の適用 - 共通用語の設定 - 共通用語定義と ISO/IEC27000 family of standards の用語との関係 Annex SL 共通用語及び定義 リスクマネジメント関連の用語 ISO Guide73, ISO31000 ISO/IEC27000 概要及び用語 用語及び定義 ファミリー規格 各規格で使用される共通用語及び定義 Copyright SC27/WG1 Japan,

18 a. マネジメントシステム規格の共通化の適用 - 共通用語の設定 - 共通用語定義の設定と各マネジメントシステムとの関係 ISO のマネジメントシステム規格全体 ( 例えば ISMS, QMS, EMS) で共通に使用する用語と定義を設定 計画に関連する用語 organization risk objective policy top management 運用に関連する用語 process outsource パフォーマンス評価に関連する用語 measurement audit 改善に関連する用語 corrective action Terms related to plan risk organization policy top management Concept diagram Copyright SC27/WG1 Japan,

19 a. マネジメントシステム規格の共通化の適用 - 引用規格 (Normative references) - 1 次に掲げる規格は, この規格に引用されることによって, この規格の規定の一部を構成する この引用規格は, その最新版 ( 追補を含む ) を適用する ISO/IEC 27000,Information technology-security techniques- Information security management systems- Overview and vocabulary 解説 引用規格は ここで指定された規格のテキストを重複して記述することなく 規格の一部を構成することができる 従って の要求事項に対して 引用規格の本文のテキストも要求事項となる 一方 注記 (Note) は 要求事項を説明したり注釈などの情報を提供するもので これ自身要求事項ではないが 要求事項の理解を助けるものである Copyright SC27/WG1 Japan,

20 ご説明内容 Part1 (ISO/IEC27001:2013) 1. 情報セキュリティマネジメントシステムの意義と国際標準化の経緯 a. 情報セキュリティマネジメントシステム (ISMS) の意義 b. ISMS 要求事項規格 ISO/IEC27001 とその関連規格の動向 c. ISO/IEC 27001, の審議経過 2. ISO/IEC27001 の改訂の趣旨と主要な改訂点 a. マネジメントシステム規格の共通化の適用 b. 情報セキュリティ目的の導入による ISO31000:2009 リスクマネジメント - 原則及び指針 に基づく情報セキュリティリスクアセスメント及びリスク対応 c. 分野別 ISMS への拡張 d. パフォーマンス及び有効性の評価 3. 改訂後の ISO/IEC27001 におけるトップマネジメントの役割 Copyright SC27/WG1 Japan,

21 (1) ISO/IEC 27001:2013 要求事項の特徴 - ISO/IEC27001: 2013 年版と 2005 年版の比較 - ISO/IEC27001:2013 年版 重要 ISO/IEC27001:2005 年版 リスクの定義 = 目的に対する不確かさの影響 ISMS の適用範囲 ISMS 基本方針 組織の状況の理解 ( 課題, 範囲, 方針, 目的 ) リスク特定 リスクアセスメント 資産脅威及びぜい弱性 CIA の喪失が及ぼす影響 リスク分析 リスク特定 リスクアセスメント リスク源事象及びそれらの原因起こりうる結果 リスク分析 情報の機密性 完全性 : 及び可用性の喪失に伴うリスクの特定 リスク評価 リスク評価 リスク対応 (4 つの選択肢 ) リスク対応 (7 つの選択肢 ) ( なし ) 情報セキュリティ目的及び計画策定 Copyright SC27/WG1 Japan,

22 (1) ISO/IEC 27001:2013 要求事項の特徴 - ISO/IEC27001: 2013 年版と 2005 年版の比較 - ISO/IEC27001:2005 年版 ISO/IEC27001:2013 年版 なし リスクの定義 = 目的に対する不確かさの影響 リスク値 = 資産 X 脅威 X ぜい弱性 1 資産 :CIA レベル 2 脅威 : 脅威レベル 3 ぜい弱性 : ぜい弱性レベル リスク特定 = 資産 脅威 ぜい弱性 リスク値 = 結果 X 起こりやすさ 1 結果 : 目的に影響を与える事象の結末 2 起こりやすさ : 何かが起こる可能性 リスク特定 = リスク源 事象 その原因 1 資産を特定する 2 資産に対する脅威を特定する 3 脅威がつけ込むかもしれないぜい弱性を特定する 1 リスク源 : リスクを生じさせる力を潜在的に持っている要素 2 事象 : 周辺状況の出現又は変化 3 その原因 : 事象の原因 Copyright SC27/WG1 Japan,

23 (1) ISO/IEC 27001:2013 要求事項の特徴 - 組織の状況の理解と機会の導入 - 組織の状況の理解 ISO/IEC27001:2013 のまず 4 章において ISMS の意図した成果の達成 ( 情報セキュリティ目的につながる ) に必要な能力に影響を与える課題に関して 外部環境 及び内部環境について理解する 1 2 外部環境とは 社会 政治 金融等の組織外部の環境 内部環境とは 組織体制 役割 情報システム等の組織内部の環境 機会 の概念の導入 ISO/IEC27001:2013 では 例えば ネットビジネスに乗り出すことにより ネット取引による売り上げの拡大 のような 機会 ( 情報セキュリティ目的につながる ) が増加するが 同時に 情報セキュリティリスクが生じる 1 2 機会を増加させるためには リスクが生じる リスクと機会は 因果関係と考える Copyright SC27/WG1 Japan,

24 (2) 情報セキュリティマネジメントシステムへの ISO の適用 新しい時代に対応した ISO に基づくリスクアセスメント及びリスク対応 ISMS における新しい リスクの定義 に基づくリスクアセスメント及びリスク対応 : リスクの定義の変更 : 目的に対する不確かさの影響 リスクの特定の変更 : リスク源 事象及びその原因 リスク値の変更 : 結果と起こりやすさの組み合わせ 情報セキュリティマネジメントシステム 4 組織の状況 5 リーダーシップ 情報セキュリティ方針と目的の設定 外部 内部の課題の洗い出し 情報セキュリティ目的の設定 6 計画 7 支援 8 運用 ISMS プロセスへの組み入れ 情報セキュリティリスクアセスメント 情報セキュリティリスク対応 9 パフォーマンス評価 10 改善 Copyright SC27/WG1 Japan,

25 (3) 事業方針 情報セキュリティ方針を実現するための情報セキュリティ目的 目標の設定 企業活動に貢献するための情報セキュリティ目的の確立 ( 事例 ) クラウドサービス事業者の事例 クラウドサービス事業者 ( 営業部門 ) の事例 情報セキュリティ目的 ( 組織の最高位 ) お客様に影響するインシデントを減らしクラウドサービス事業の信頼性を確保する ( インシデント = 前年比 50%) 情報セキュリティ目的 ( 営業部門 ) お客様情報を含む営業社員のパソコンの紛失インシデントの減少 ( 前年比 50%) 1. 実施事項 2. 必要な資源 3. 責任者 4. 達成期限 5. 結果の評価方法 情報セキュリティ目的 ( データセンター ) システム要因によるクラウドサービス事業顧客に影響するインシデントの減少 ( 前年比 50%) 1. 実施事項 2. 必要な資源 3. 責任者 4. 達成期限 5. 結果の評価方法 情報セキュリティ目的 ( クラウドサービス ) お客様サービス提供前に必ず SLA を締結 ( サービス毎に 100%) 1. 実施事項 2. 必要な資源 3. 責任者 4. 達成期限 5. 結果の評価方法 Copyright SC27/WG1 Japan,

26 (3) 事業方針 情報セキュリティ方針を実現するための情報セキュリティ目的 目標の設定 経営陣による事業方針 ( 社長方針 ) 経営陣による情報セキュリティ方針 ( 情報セキュリティに関する CISO 方針 ) ( 事例 ) 物理環境セキュリティ 顧客機密情報保護 PC セキュリティ インシデント管理 顧客個人情報保護 委託先 再委託先管理 お客様苦情管理 技術 製品情報保護 1 保護すべき情報 退職時の情報資産保護 2 仕組み 3 情報セキュリティ実施結果 ( 例えば PC 紛失 ) ( 情報セキュリティ目的 目標 ) 数個から十数個を設定する Copyright SC27/WG1 Japan,

27 (3) 事業方針 情報セキュリティ方針を実現するための情報セキュリティ目的 目標の設定 リスクの定義及び目的の設定に関する要求事項 1 リスクの定義 :(ISO/IEC27000) 目的に対する不確かさの影響 2 目的の設定に関する要求事項 :(ISO/IEC27001) 5 リーダシップ 5.1 リーダーシップ及びコミットメントトップマネジメントは, ISMS に関するリーダーシップ及びコミットメントを実証 a. 情報セキュリティ方針及び情報セキュリティ目的を確立し, それらが組織の戦略的な方向性と両立することを確実にする b. 5.2 方針トップマネジメントは, 情報セキュリティ方針を確立 a) 組織の目的に対して適切である b) 情報セキュリティ目的 (6.2 参照 ) を含むか, 又は情報セキュリティ目的の設定のための枠組みを示す 6.2 情報セキュリティ目的及びそれを達成するための計画策定組織は, 関連する部門及び階層において, 情報セキュリティ目的を確立しなければならない 情報セキュリティ目的は, 次の事項を満たさなければならない Copyright SC27/WG1 Japan,

28 (3) 事業方針 情報セキュリティ方針を実現するための情報セキュリティ目的 目標の設定 企業活動に貢献するための情報セキュリティ目的 (Information security objectives) の設定と実施 (6.2 情報セキュリティ目的及びそれを達成するための計画策定 ) 1 組織の情報セキュリティ目的の構造 : 組織で 情報セキュリティ目的の設定のための枠組を確立 トップマネジメントが設定する組織の最高位の情報セキュリティ目的 最高位の情報セキュリティ目的から関連する部門及び階層までの情報セキュリティ目的を展開 2 情報セキュリティ目的の要件 : 情報セキュリティ方針と整合している 測定可能である 情報セキュリティ目的を定めて 測定可能な目標を設定して 進めていくのが 有効な進め方である 適用される情報セキュリティ要求事項, 並びにリスクアセスメント及びリスク対応の結果を考慮に入れる 3 情報セキュリティ目的を達成するための計画 : 実施事項 必要な資源 責任者 達成期限 結果の評価方法 Copyright SC27/WG1 Japan,

29 (4) ISO/IEC によるリスクアセスメントプロセス - リスク特定 リスク分析 リスク評価 - コミュニケーション及び協議 : 7 4. 組織の状況の確定 : 4.1,4.2,4.3,6.1.1,6.2 リスクアセスメント :6.1.2 リスク特定 :c) リスク分析 :d) リスク評価 :e) リスク対応 :6.1.3,6.2 モニタリング及びレビュー : 9 ( 注 ) リスクマネジメントプロセス図 (ISO/IEC31000 から引用 ) Copyright SC27/WG1 Japan,

30 (4) ISO/IEC によるリスクアセスメントプロセス - クラウドサービス事業者 ( 営業部門 ) の事例 - リスクの定義 = 目的に対する不確かさの影響 クラウドサービス事業者 ( 営業部門 ) の事例 目的に影響を与えるリスク因子 リスク源 社員の教育不足 (security awareness) パソコンの取扱い手順の不足 情報セキュリティ目的 お客様に影響するインシデントを減らしクラウドサービス事業の信頼性を確保する ( 営業社員のパソコンの紛失インシデントの減少 : 前年比 50%) 情報の CIA の喪失 事象と原因 CIA レベル パソコンの紛失 と 例えば社員の飲酒 ある一連の周辺状況の出現又は変化 起こりやすさ (likelihood) 何かが起こる可能性 結果 (Consequence) 目的に影響を与える事象の結末 (Cの場合) さらに事象として PC Loginパスワードが弱く侵入した場合 お客様から預かったお客様情報が漏えいし お客様の信頼を失墜 場合により損害賠償 (Aの場合) お客様から預かったお客様情報を紛失し お客様の事業を継続できず 場合により損害賠償 Copyright SC27/WG1 Japan,

31 (4) ISO/IEC によるリスクアセスメントプロセス - パソコン紛失の事例 - L1-1 ( 起こりやすさ ) E1-1 飲酒による PC の紛失 RS1-1 教育不足 L2-1 ( 起こりやすさ ) E2-1 Login を通過して PC へ侵入 RS2-1 脆弱 PSWD L3-1 ( 起こりやすさ ) E3-1 情報を取得して漏洩 RS3-1 非暗号 L1-1XL2-1XL3-1 ( 起こりやすさ ) X C1 ( 結果 ) (C の場合 ) さらに事象として PC Login パスワードが弱く侵入した場合 お客様から預かったお客様情報が漏えいし お客様の信頼を失墜 場合により損害賠償 L1-2 ( 起こりやすさ ) E1-2 盗難による PC の紛失 RS1-1 物理環境 L2-2 ( 起こりやすさ ) E2-2 Login を通過して PC へ侵入 RS2-1 脆弱 PSWD 同じ起こりやすさを使用 L3-2 ( 起こりやすさ ) E3-2 情報を削除して紛失 RS3-1 バックアップ L1-2XL2-2XL3-2 ( 起こりやすさ ) X C2 ( 結果 ) (A の場合 ) お客様から預かったお客様情報を紛失し お客様の事業を継続できず 場合により損害賠償 Copyright SC27/WG1 Japan,

32 (4) ISO/IEC によるリスクアセスメントプロセス - ISO/IEC ISMS 要求事項 情報セキュリティリスクアセスメント の要求事項 ISMS の適用範囲 目的に関連する情報 c) 次によって情報セキュリティリスクを特定する 1) ISMS の適用範囲内における情報の機密性, 完全性及び可用性の喪失に伴うリスクを特定するために, 情報セキュリティリスクアセスメントのプロセスを適用する 2) これらのリスク所有者を特定する d) 次によって情報セキュリティリスクを分析する 1) c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う 2) c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う 3) リスクのレベルを決定する e) 次によって情報セキュリティリスクを評価する 1) 分析したリスク分析の結果と a) で確立したリスク基準とを比較する 2) リスク対応のために, 分析したリスクの優先順位付けを行う Copyright SC27/WG1 Japan,

33 (4) ISO/IEC によるリスクアセスメントプロセス - ISO/IEC 用語の定義 - リスクアセスメントに関連する用語の定義 1 リスクの定義 :(ISO/IEC27000) 目的に対する不確かさの影響 2 リスクの特定の定義 :(ISO/IEC27000) リスク (2.68) を発見, 認識及び記述するプロセス 注記 1 リスク特定には, リスク源, 事象, それらの原因及び起こり得る結果の特定が含まれる リスク源 : それ自体又はほかとの組み合わせによって リスクを生じさせる力を本来潜在的に持っている要素 事象 : ある一連の周辺状況の出現又は変化 3 リスクレベルの定義 :(ISO/IEC27000) 結果 (2.14) とその起こりやすさ (2.45) の組合せとして表現される, リスク (2.68) の大きさ 結果 : 目的 (2.56) に影響を与える事象 (2.25) の結末 (outcome) 起こりやすさ : 何かが起こる可能性 Copyright SC27/WG1 Japan,

34 事例 (1): リスクアセスメントの対象リスク基準 : 1 情報資産の分類 部門毎に管理策の内容やレベルが違う A 部門 お客様機密保持契約対象 管理策 1 B 部門 お客様機密保持契約対象 管理策 2 C 部門 お客様機密保持契約対象 管理策 3 D 部門 お客様機密保持契約対象 管理策 4 リスク基準 ( 事例 ) A 部門 B 部門 C 部門 D 部門 1. 会社内情報 会社内機密情報厳格な管理を要する情報 会社内機密情報 会社内機密情報以外 2. お客様機密情報 機密保持契約対象 機密保持契約対象でないが機密にする 上記以外 3. 社員個人情報 社員センシティブ情報 社員関連情報 社員コンタクト情報 4. お客様個人情報 個人顧客情報 法人担当者センシティブ情報 法人担当者関連情報 法人担当者コンタクト情報 目的に依ってリスクアセスメント対象が違う 詳細リスク分析には 登録された個々の情報資産が適用される Copyright SC27/WG1 Japan,

35 事例 (2): リスクアセスメントの対象リスク基準 : 2 関連するその他の資産の分類 A 部門 B 部門 C 部門 D 部門部門毎に管理策の内容やレベルが違うリスク基準 ( 事例 ) A 部門 携行中の USB 上に NDA 対象が保管 管理策 1 B 部門 携行中の USB 上に NDA 対象が保管 管理策 2 C 部門 携行中の USB 上に NDA 対象が保管 管理策 3 D 部門 携行中の USB 上に NDA 対象が保管 管理策 4 1. ネットワークシステム 有線 LAN 無線 LAN クラウドネットワーク等 2. インフラ 共用 DB Web クラウドサービス等 3. 業務アプリケーション 人事 経理等アプリケーション等 4. ソフトウェア パッケージ購入 開発 Free software 等 5. サーバ ファイルサーバ 業務サーバ 部門サーバ等 6.PC 等ワークステーション 会社所有 部門所有 委託先等 7. ポータブル記憶媒体 部門所有 紙等 8. その他の機器 印刷装置等 9. 機器 / システムをサポートする Utility UPS 発電機 冷却装置等 目的に依ってリスクアセスメント対象が違う Copyright SC27/WG1 Japan,

36 事例 (3): リスクアセスメントの対象リスク基準 : 保管形態の設定 保管形態の設定の要領 2 関連するその他の資産 として定義した資産から選択して 1の情報資産がどのような資産に保管されるか 取り扱われるかを指定する 情報資産がどこに保管されるか どこで取り扱われるかを定義するものである 一つの情報資産に対して 複数の保管形態が考えられるときは 複数記述する 例えば 普段センターの共用 DB に保管しているが PC に保管して携行する場合は 下記の通り 複数通り記述する 情報資産 : NDA 対象お客様受領資料 保管形態 : 共用 DB 保管場所 : 社内 情報資産 : NDA 対象お客様受領資料 保管形態 :PC 保管場所 : 携行 目的に依ってリスクアセスメント対象が違う 同じ情報資産で 保管形態 保管場所が違う場合は 複数通り記述 Copyright SC27/WG1 Japan,

37 事例 (4): リスクアセスメントの対象リスク基準 : 保管場所の設定 保管場所の設定要領 情報資産を保管した資産や取り扱われる資産を物理的に保管する場所を定義する 基本的に 社内 社外 移動中等 わかりやすい定義が良い リスク基準 社内 お客様 プロジェクトルーム 委託先 再委託先 リスク基準 ( 事例 ) 目的に依ってリスクアセスメント対象が違う 再々委託先以降 ( 再々委託先及びそれ以降全て ) 携行 Copyright SC27/WG1 Japan,

38 事例 (5): リスクアセスメントプロセス - リスク特定とリスク分析 - 情報セキュリティリスクの特定 アセス目的 目標事象対象顧客情 / 報営業 PC PC 紛失 /PC/ 携行セキュリ顧客情報ウィルスティ /PC/Net 原因 リスク源 研修 規則不足 更新不足 リスクレベル計算のためのデータ分析 ( 事件 事故 / セキュリティ内部監査 / 有効性測定等の分析結果から ) アセス対象 顧客情 / 報 /PC/ 携行顧客情報 /PC/Net 事象 PC 紛失 ウィルス 原因 飲酒 危険 Web 飲酒危険 Web リスク源 研修 規則不足 更新不足 結果 起こりやすさ 目的 目標 情報セキュリティリスクの分析 アセス対象 事象原因リスク源結果 営業 PC PC/ 携行 PC 紛失飲酒研修 規則不足 4 セキュリティ PC/Net ウィルス危険 Web 更新不足 4 起こりやすさ 3 2 Copyright SC27/WG1 Japan,

39 事例 (5): リスクアセスメントプロセス - リスク分析及び評価 : リスク値計算例 - リスク値の算出 リスク値 = 結果 + 起こりやすさ リスクを許容できない範囲 ( 例 ) 太枠内がリスクレベルである リスク受容レベルを 5 未満とする 従って 5 以上はリスク対応を検討する 結果 ( 影響度 ) 起こりやすさ ( 発生可能性 ) まれに発生する たまに起きる ときどき起きる 繰り返し起きる 影響極小 影響小 影響中 影響大 Copyright SC27/WG1 Japan,

40 (5) ISO/IEC によるリスク対応のプロセス - 7 つのリスク対応の選択肢 - 7 つのリスク対応の選択肢 : 1 2 リスクを発生させる活動を開始しない または継続しないと決定することによって そのリスクを回避 (avoid) すること ; リスクを取る (take) または増加 (increase) させることにより 機会を追求すること ; 3 リスク源 (risk source) を取り除くこと ; 4 起こりやすさ (likelihood) を変えること ; 5 結果 (consequence) を変えること ; 6 7 一つまたは複数の他者とそのリスクを共有 (share) すること ; および 充分な情報を得たうえでの決定により そのリスクを保有 (retain) すること Copyright SC27/WG1 Japan,

41 ご説明内容 Part1 (ISO/IEC27001:2013) 1. 情報セキュリティマネジメントシステムの意義と国際標準化の経緯 a. 情報セキュリティマネジメントシステム (ISMS) の意義 b. ISMS 要求事項規格 ISO/IEC27001 とその関連規格の動向 c. ISO/IEC 27001, の審議経過 2. ISO/IEC27001 の改訂の趣旨と主要な改訂点 a. マネジメントシステム規格の共通化の適用 b. 情報セキュリティ目的の導入による ISO31000:2009 リスクマネジメント - 原則及び指針 に基づく情報セキュリティリスクアセスメント及びリスク対応 c. 分野別 ISMS への拡張 d. パフォーマンス及び有効性の評価 3. 改訂後の ISO/IEC27001 におけるトップマネジメントの役割 Copyright SC27/WG1 Japan,

42 グーグルの法人向けサービス セキュリティ規格 ISO27001 を取得 ( 日経 2012/5/30) グーグルの法人向けサービス セキュリティ規格 ISO を取得対象は Google Apps for Business 2012/5/30 6:30 情報元日本経済新聞電子版 米グーグルは 2012 年 5 月 29 日 同社の法人向け Web サービス Google Apps for Business が 情報セキュリティの国際規格 ISO の認定を取得したことを発表した ISO は 情報セキュリティマネジメントシステム (ISMS) の国際規格 ISMS とは 情報を適切に管理するための体制のこと 認証機関による審査を受けて 適切な情報管理体制を構築し運用していると認定されれば ISO 認定を取得できる 今回取得した ISO 認定は Google Apps for Business を対象としたもの 同サービスを提供するデータセンターやオフィス インフラ アプリケーションなどにおいて 適切な情報管理が行われていると認められた 但し クラウド事業分野固有の ISMS ではない 一般的 ISMS では不十分です これまでの ISMS プラス ISO/IEC27017( 事例 ) が必要 認定を取得したのは 2012 年 5 月初旬 その後 グーグル社内で発表内容を調整し 今回の公表に至ったという 同サービスが ISO 認定を取得したことで ユーザーは 今まで以上に安心して利用できるようになる また 契約の条件として サービス提供者に ISO 認定を求める法人でも Google Apps for Business を問題なく利用できるようになる ( 米グーグルエンタープライズセキュリティ担当統括責任者のエラン ファイゲンバウム氏 ) Copyright SC27/WG1 Japan,

43 (1) 分野別 ISMS における Sector specific standard ISO/IEC ファミリー規格で Sector specific standards( 分野別指針 ) が増加している ISO/IEC 27010: 組織間コミュニティ ( 業界団体等 ) 向け ISO/IEC 27011: 通信事業者向け ISO/IEC 27015: 金融サービス向け ISO/IEC 27017: クラウドコンピューティング向け ISO/IEC 27018: クラウドコンピューティングにおける PII 情報の管理 ISO/IEC 27019: エネルギー業界におけるプロセスコントロール Sector specific standard と ISO/IEC の関係 ISO/IEC を前提として 分野固有の管理策 実施の手引 又は関連情報を追加することにより ISO/IEC を当該分野向けに拡張している Copyright SC27/WG1 Japan,

44 (2) Sector specific standard による分野別 ISMS 認証 この新規プロジェクトにより Sector specific control set standard を用いた ISMS 認証の制度が整備されると 次のような分野対応の ISMS 認証が成立することになる ISMS 認証 (General) : ISO/IEC ISMS 認証 (for CSC) : ISO/IEC (CSC) ISMS 認証 (for CSP) : ISO/IEC (CSP) ISMS 認証 (for Telecom): ISO/IEC ISMS 認証 (for Telecom+CSP): ISO/IEC (CSP) Copyright SC27/WG1 Japan,

45 (3) 分野別 ISMS を確立する国際規格の事例 - ISO/IEC ( クラウド事業者 クラウド利用者 ) - ISMS 要求事項 ISO/IEC ISMS Requirements (Main Body) Annex A ( based on 27002) 分野別管理策 (Sector specific controls) Cloud Security Controls Other sector specific controls (27011 etc.) Cloud Security Control setは 情報セキュリティリスクアセスメント 情報セキュリティリスク対応の結果 Annex Aとともに 必要な管理策を決定するために参照される 27017は 同時に他の分野別管理策 ( 例えば 27011) とともに 組み合わせて 使用することができる Copyright SC27/WG1 Japan,

46 (4) 分野別 ISMS を確立するための国際規格群 - ISO/IEC 27001, 27006, 及び分野別管理策セットの関係 - ISMS 要求事項 ISO/IEC (extended by 27009) Determine required controls Compare with Annex A and (sector-specific control sets) Produce SoA 認証組織に対する要求事項 ISO/IEC Certification documents (+SoA Version, Sectorspecific control ID) 分野別管理策セット 分野別管理策セット 分野別標準に対する要求事項 Cloud Security Controls Telecom Org. Controls Information security Controls ISO/IEC Rule for Sectorspecific standards Requirements Control sets Copyright SC27/WG1 Japan,

47 (5) 分野別 ISMS 確立のための ISO/IEC27001 の整備 1 ISO/IEC27001:2005 からの拡張 管理策の選択について ISO/IEC 27001:2005 の場合 (4.2.1 g): このプロセスの一部として Annex A の中から 特定した要求事項を満たすために適切なように 管理目的及び管理策を選択しなければならない Copyright SC27/WG1 Japan,

48 (5) 分野別 ISMS 確立のための ISO/IEC27001 の整備 2 Annex A 以外の管理策使用の許容 管理策の選択について ISO/IEC 27001:2013 の場合 (6.1.3 b), c), d) ): 組織は, 次の事項を行うために, 情報セキュリティリスク対応のプロセスを定め, 適用しなければならない a) b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する 注記組織は, 必要な管理策を設計するか, 又は任意の情報源の中から管理策を特定することができる c) b) で決定した管理策を附属書 A に示す管理策と比較し, 必要な管理策が見落とされていないことを検証する d) 次を含む適用宣言書を作成する - 必要な管理策 [6.1.3 の b) 及び c) 参照 ] 及びそれらの管理策を含めた理由 - それらの管理策を実施しているか否か - 附属書 A に規定する管理策を除外した理由 リスク対応選択肢を実施するために必要な全ての管理策を決定 Annex A 以外の管理策群の使用も想定している ただし Annex A との対応付けを要求している 必要な管理策を含んでいる SoA の作成 (produce) を要求している Copyright SC27/WG1 Japan,

49 ご説明内容 Part1 (ISO/IEC27001:2013) 1. 情報セキュリティマネジメントシステムの意義と国際標準化の経緯 a. 情報セキュリティマネジメントシステム (ISMS) の意義 b. ISMS 要求事項規格 ISO/IEC27001 とその関連規格の動向 c. ISO/IEC 27001, の審議経過 2. ISO/IEC27001 の改訂の趣旨と主要な改訂点 a. マネジメントシステム規格の共通化の適用 b. 情報セキュリティ目的の導入による ISO31000:2009 リスクマネジメント - 原則及び指針 に基づく情報セキュリティリスクアセスメント及びリスク対応 c. 分野別 ISMS への拡張 d. パフォーマンス及び有効性の評価 3. 改訂後の ISO/IEC27001 におけるトップマネジメントの役割 Copyright SC27/WG1 Japan,

50 9. パフォーマンス評価 (Performance evaluation) 9.1 監視 測定 分析及び評価 :(9.1 c), d) は新規 それ以外は改訂 ) 9.1 では 情報セキュリティパフォーマンス及び ISMS の有効性を評価することが要求されており そのために監視 測定 分析及び評価することが要求されている パフォーマンスは ISO/IEC27000 では 測定可能な結果 と定義され その注記に 活動, プロセス, 製品 ( サービスを含む ), システム, 又は組織の運営管理 と記述されている また 有効性は 計画した活動を実行し, 計画した結果を達成した程度 と定義されており 従って ISMS の有効性評価のためには 評価可能な目的 目標を策定することが必要である 9.2 内部監査 :( 改訂 ) 旧版から具体的な要求事項は省略されたが 内容的に大きな変更はない 9.3 マネジメントレビュー :( 9.3 c) の 4)) は新規 それ以外は改訂 ) インプット アウトプットの具体的な要求項目が削除されたが 年間の ISMS の活動計画に合わせ 事前にどのような内容をインプットし何をレビューし 何をアウトプットするかを定めることが要求されている 解説 2013 年版では 選択した管理策又は一群の管理策 と それらの測定をどのように利用するかを規定する は削除されている 評価は 情報セキュリティパフォーマンス及び ISMS の有効性の評価が要求されており そのための測定は その一つのステップとして定義されている Copyright SC27/WG1 Japan,

51 9. パフォーマンス評価 (Performance evaluation) 箇条 9. パフォーマンスを評価する 1) 情報セキュリティパフォーマンス 不適合及び是正処置 監視及び測定結果 監査結果 情報セキュリティ目的の達成 2) ISMS の有効性 情報セキュリティ目的の達成するために計画し実施した管理策の実施状況と 情報セキュリティ目的の達成状況との比較 監視 測定 分析 評価 Copyright SC27/WG1 Japan,

52 (1) ISMS の有効性評価の定義有効性の定義 ISMS における有効性の評価 ISO/IEC27000:2014 有効性の定義計画した活動を実行し, 計画した結果を達成した程度 対策前リスクレベル 2 有効性の測定 = 計画した結果 ( 目的 ) の達成度 Planned results are achieved (Objectives) Before 対応策の実施 1 有効性の測定 = 計画した活動の実施度 Planned activities are realized 対策後リスクレベル After Copyright SC27/WG1 Japan,

53 (2) 事例 : 目的 目標 PC セキュリティの強化 の有効性 経営陣 目的 目標 PC セキュリティ を実践した事例 目的 (Objectives) の設定 PC セキュリティ (PC のセキュリティ設定の遵守 ): 目的 : 不正な PC への物理的 ネットワーク上の侵入から防ぐ そのために PC のセキュリティ設定が 会社全体の共通のルールに基づいた設定値になっていること 及びそれを維持すること リスクアセスメント及びリスク対応により管理目的 管理策へ展開される その結果 管理値が決まる ( 監視及び改善アクションの例 ) 測定項目 (Measure): 99% 以下になると 違反者に個別に設 接続 PCのセキュリティ設定遵守率定改善を要求するメールを出す 分子 / 分母 = 設定遵守台数 / 接続全 PC 台数目標値 (Target): 要因を特定し 要因に関連する対 目標値 100% 策をアドバイス ( 例えば Screen 管理値 (Indicator): saver) Green zone 100%~ 96% 以下になると 非常事態宣言 部 Yellow zone 99%~ 門長宛 違反者のName listを添付し Red zone 96%~ 0% て改善要求のメールを出す 実装 (Imple) するべきISMS 管理目的 管理策 : 要因を特定し具体的対策を指定し A6.2/A A て メールを出す A9.3/A 改善されない場合は 毎週出す A11.2/A A A A A A12.2/A A18.2/A 事例 ( 注 ) ISO/IEC 27001:2013 の改訂に伴い ISO/IEC の改訂が進められている Copyright SC27/WG1 Japan,

54 (3) 監視 測定 分析 評価の手順情報セキュリティパフォーマンスと ISMS 有効性の評価の体制 経営陣から従業員まで含めた 監視 測定 分析 評価 を可能とする体制を構築することにより セキュリティの見える化を指向した的確にセキュリティの改善アクションが取れる運用管理を実施することが要求されている 目的の達成 / 管理値による改善指示 管理策 ( 対応策 ) のインプリと運用 改善指示 部門 セキュリティ委員 社長 経営会議 CISO セキュリティ委員会 部門 セキュリティ委員 報告 改善指示 部門 セキュリティ委員 報告改善アクション案の提示 報告 Web 公表 セキュリティスタッフ組織 事例 監視 測定 収集 計算 分析 評価 報告 改善アクションの指示 改善アクションの実施 実施しないとペナルティ Copyright SC27/WG1 Japan,

55 ご説明内容 Part1 (ISO/IEC27001:2013) 1. 情報セキュリティマネジメントシステムの意義と国際標準化の経緯 a. 情報セキュリティマネジメントシステム (ISMS) の意義 b. ISMS 要求事項規格 ISO/IEC27001 とその関連規格の動向 c. ISO/IEC 27001, の審議経過 2. ISO/IEC27001 の改訂の趣旨と主要な改訂点 a. マネジメントシステム規格の共通化の適用 b. 情報セキュリティ目的の導入による ISO31000:2009 リスクマネジメント - 原則及び指針 に基づく情報セキュリティリスクアセスメント及びリスク対応 c. 分野別 ISMS への拡張 d. パフォーマンス及び有効性の評価 3. 改訂後の ISO/IEC27001 におけるトップマネジメントの役割 Copyright SC27/WG1 Japan,

56 (1) 情報セキュリティ目的 目標の設定の意義 経営陣と管理者 従業員とのパイプ役となる情報セキュリティ目的 目標を設定する 経営陣 経営陣のコミットメント 経営陣の方針から管理策への展開 情報セキュリティ方針 情報セキュリティ目的 目標 経営戦略に基づく情報セキュリティの基本方針 直接的な結びつきが弱い 管理者 従業員 リスクアセスメント及びリスク対応 管理策 経営陣と管理者 従業員が 情報セキュリティ目的 目標を共有することでコミュニケーションギャップをなくす Copyright SC27/WG1 Japan,

57 (2) 内部組織の要素 - 情報セキュリティの取り組み体制 - 情報セキュリティを統括するトップマネジメント (CISO) の設置 関連する物理セキュリティ IT セキュリティ プライバシーを統括 セキュリティ委員会は各部門及び各グループ会社から代表者 ( 委員 ) を選出 ( 事例 ) 社長 情報セキュリティ スタッフ組織 CISO セキュリティ委員会 法務 IT プライバシー 部門 部門 部門 グループ会社 グループ会社 セキュリティ委員 セキュリティ委員 セキュリティ委員 セキュリティ委員 セキュリティ委員 Copyright SC27/WG1 Japan,

58 グループ企業としての規定体系を明確にする必要があります 例えば グループ企業共通に遵守すべき規程類とグループ企業特有の規程類を 全体で整合性を取って実施します グループ企業全体で共通に遵守すべき規程類 グループ全体で統一した管理体系 明確な責任分担と内部統制 IT セキュリティ管理体系 ( 事例 ) (2) 内部組織の要素 - グループ企業としての規定体系 - 社長方針 グループ共通の基本方針 グループ共通の標準 グループ共通のプロシージャ グループ全体のコンプライアンス行動指針 ( 例えば ) グループにおける一企業は グループ企業全体で共通に遵守すべき規程類と整合性を取って グループ企業特有の規程を追加 お客様情報の保護 先進的なワークスタイル ISMS フレームワークに基づくマネジメント Copyright SC27/WG1 Japan,

59 (2) 内部組織の要素 - 情報セキュリティガバナンス組織と CISO - 株主 取引先 顧客 従業員 社会等 CEO 方針 経営陣 CIO 方針 CFO 方針 CLO 方針 CISO CISO 方針 情報セキュリティ目的 目標設定 目的 目標達成度 実施度 管理者従業員 管理目的 管理策の展開 監視 & レビュー 情報セキュリティ対策 企業 組織 Copyright SC27/WG1 Japan,

60 ご説明内容 Part2 (ISO/IEC DIS27017) 1. クラウドセキュリティの国際標準化の経緯 a. SC27 meeting と国際標準化の経緯 b. 日本からの国際標準化の提案 c. クラウド関係の国際標準化のための役割の合意 d. クラウド関係国際標準の開発スケジュールと国際協力体制 2. 安全なクラウドサービスのために ISO/IEC27017 の果たす役割 a. ISO/IEC27017 の適用範囲 (Scope) b. ISO/IEC27017 と ISMS 認証との関係 c. ISO/IEC27017 と ISO/IEC27002 との関係 d. ISO/IEC27017 の構造 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 f. ISO/IEC27017 の ISO/IEC27001:2013 に基づくリスクマネジメントのプロセス ( 参照 :Part 1: ISO/IEC 27001:2013) 3. ISO/IEC27017 の追加のセキュリティ管理策と実施の手引き ( 事例 ) Copyright SC27/WG1 Japan,

61 a. SC27 meeting と国際標準化の経緯 SC27meeting の審議の概要 年 2 回の開催 WG1~WG5 of SC ヵ国 150+ 人程度の参加 会議では Editing meeting 各国より提出されたコメントによる編集会議 会議後は 編集会議の結果のまとめ (Resolutions) と新しい Text が配布 2011 年 10 月に NP を承認 規格制定作業を開始 2013 年 4 月 10 月 2014 年 4 月 10 月 Sophia Antipolis, France 27017WD5 Incheon, Korea, Korea 27017CD1 Hong Kong, China 27017CD2 Mexico City, Mexico 27017DIS Copyright SC27/WG1 Japan,

62 b. 日本からの国際標準化の提案クラウド事業者のセキュリティ対策情報が不足 クラウドの課題 : クラウド事業者のセキュリティ対策に関する情報に関して クラウド利用者へのフィードバックが 充分でない クラウド利用者 クラウド事業者 クラウド事業者 ( 米国 ) セキュリティ対策に関するフィードバックが不足 ( 特に海外の場合 ) クラウド事業者 ( 中国 ) Copyright SC27/WG1 Japan,

63 b. 日本からの国際標準化の提案基準に基づく共通の理解を得る仕組みの提案 クラウドの課題を解決するためには 基準 (Criteria) に基づいて クラウドの利用者と事業者の間で ( 国際環境において ) 共通の理解を実現するための仕組みの確立が必要である クラウド利用者 クラウド事業者のセキュリティ対策は 何で どの程度のものか? クラウド事業者 クラウド事業者 利用者からどのようなことが要求されているか? 利用している他の事業者のセキュリティ対策はどの程度のものか? セキュリティ対策に関する共通の理解を実現する 基準 (criteria) に基づく仕組み ISMS Copyright SC27/WG1 Japan,

64 C. クラウド関係の国際標準化のための役割の合意 SC27/WG4 SC27/WG1 SC27/WG5 ISO/IEC (Cloud for Supplier management) ISO/IEC27017 (Security control) ISO/IEC27018 (PII protection control) ISO/IEC27036 (Part1 Part3) Based on ISO/IEC27002 Based on ISO/IEC29100 SC38 (17788, 17789) (Terminology, Architecture) Copyright SC27/WG1 Japan,

65 d. クラウド関係国際標準の開発スケジュールと国際協力体制 - ISO/IEC27017 プロジェクト開発スケジュール - The following ISO/IEC schedule was endorsed by JTC1 (SC27N13407). NP approved WD1 WD2 WD3 WD4 WD5 CD1 CD2 DIS FDIS (editing session started) (Nairobi) (Stockholm) (Rome) (Sophia Antipolice) (Incheon) (Hong Kong) (Mexico City) (Kuching) IS ( 発行 ) Copyright SC27/WG1 Japan,

66 d. クラウド関係国際標準の開発スケジュールと国際協力体制 - ISO/IEC27017 プロジェクトの国際協力体制 - 主要国 日本米国英国 オーストラリア 中国 フランス ドイツ 韓国 シンガポール 主要組織 ITU-T SC38 CSA ISACA TREsPASS クラウドセキュリティの国際標準化は 多くの国と 主要な関係組織の協力により実施されています Copyright SC27/WG1 Japan,

67 ご説明内容 1. クラウドセキュリティの国際標準化の経緯 a. SC27 meeting と国際標準化の経緯 b. 日本からの国際標準化の提案 c. クラウド関係の国際標準化のための役割の合意 d. クラウド関係国際標準の開発スケジュールと国際協力体制 2. 安全なクラウドサービスのために ISO/IEC27017 の果たす役割 a. ISO/IEC27017 の適用範囲 (Scope) b. ISO/IEC27017 と ISMS 認証との関係 c. ISO/IEC27017 と ISO/IEC27002 との関係 d. ISO/IEC27017 の構造 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 f. ISO/IEC27017 の ISO/IEC27001:2013 に基づくリスクマネジメントのプロセス ( 参照 :Part 1: ISO/IEC 27001:2013) 3. ISO/IEC27017 の追加のセキュリティ管理策と実施の手引き ( 事例 ) Copyright SC27/WG1 Japan,

68 a. ISO/IEC27017 の適用範囲 (Scope) - ISO/IEC17789:Reference architecture から - Cloud Service Customer Cloud Service User Cloud Service Provider Scope 内 Cloud Service Developer Cloud Service Partner Cloud Auditor Cloud Service Broker Scope 外 Copyright SC27/WG1 Japan,

69 b. ISO/IEC27017 と ISMS 認証との関係 - ISO/IEC27001 と分野別標準及び分野別管理策 - ISMS 要求事項 ISO/IEC ISMS Requirements (Main Body) Annex A ( based on 27002) 分野別管理策 (Sector specific controls) Cloud Security Controls Other sector specific controls (27011 etc.) Cloud Security Control setは 情報セキュリティリスクアセスメント 情報セキュリティリスク対応の結果 Annex Aとともに 必要な管理策を決定するために参照される 27017は 同時に他の分野別管理策 ( 例えば 27011) とともに 組み合わせて 使用することができる Copyright SC27/WG1 Japan,

70 b. ISO/IEC27017 と ISMS 認証との関係 - ISMS ユーザにとっての分野別 ISMS 認証の意義 - クラウド利用者 クラウド事業者のセキュリティ対策は 何で どの程度のものかを知ることができる クラウド事業者 -A 普通のISMS 認証で普通のは クラウド固有の ISMS 認証セキュリティ対策は カバーされていない クラウド事業者 -B クラウド事業者分野の ISMS 認証 クラウド利用者とクラウド事業者の間のコミュニケーションの手段 = ISMS クラウド利用者に対して クラウド固有のセキュリティ対策を どの程度提供すればよいか 知ることができる Copyright SC27/WG1 Japan,

71 b. ISO/IEC27017 と ISMS 認証との関係 - ISO/IEC27001 と ISO/IEC27009, の関係 - ISMS 要求事項 ISO/IEC (extended by 27009) Determine required controls Compare with Annex A and (sector-specific control sets) Produce SoA 認証組織に対する要求事項 ISO/IEC Certification documents (+SoA Version, Sectorspecific control ID) 分野別管理策セット 分野別管理策セット 分野別標準に対する要求事項 Cloud Security Controls Telecom Org. Controls Information security Controls ISO/IEC Rule for Sectorspecific standards Requirements Control sets Copyright SC27/WG1 Japan,

72 b. ISO/IEC27017 と ISMS 認証との関係 - 分野別 ISMS 認証を定義する ISO/IEC ISO/IEC は 分野別標準の要求事項を定義したものです ISO/IEC タイトル : Sector-specific application of ISO/IEC Requirements 分野別 ISMS 認証を達成するためには ISO/IEC 及び分野別標準を合わせて適用 : ISMS 認証 (General) : ISO/IEC ISMS 認証 (for CSC) : ISO/IEC (CSC) ISMS 認証 (for CSP) : ISO/IEC (CSP) ISMS 認証 (for Telecom): ISO/IEC ISMS 認証 (for Telecom+CSP): ISO/IEC (CSP) Copyright SC27/WG1 Japan,

73 c. ISO/IEC27017 と ISO/IEC27002 の関係 (1) タイトル ISO/IEC Code of practice for information security controls ISO/IEC Code of practice for information security controls based on ISO/IEC for cloud services Copyright SC27/WG1 Japan,

74 (2) 箇条 (Clauses) の関係 及び27017の箇条 (Clauses) は 同じ 5 Information security polices ( 管理策事例 ) 6 Organization of information security 7 Human resource security 8 Asset management 9 Access control 10 Cryptography 11 Physical and environmental security 12 Operations security ( 管理策事例 ) 13 Communications security 14 System acquisition, development and maintenance 15 Supplier relationships 16 Information security incident management 17 Information security aspects of business continuity management 18 Compliance ( 管理策事例 ) Annex A (27017) Cloud Service Extended Control Set( 管理策事例 1 CLD9.5.1) Copyright SC27/WG1 Japan,

75 (3) specific to cloud services ISO/IEC27017 Code of practice for information security controls based on ISO/IEC for cloud services ISO/IEC27002 ISO/IEC27017 ( 本文 ) ( 本文 ) (Annex A) Objective Objective New Objective Control Implementation guidance Other information Control + specific Implementation guidance + Other information Control の下に追加 ( Implementation guidance 及び other information ) New Control + specific Implementation guidance + Other information 全て新しく追加 (Objectives Controls, imple.guida, other) Copyright SC27/WG1 Japan,

76 d. ISO/IEC27017 の構造 ISO/IEC の構造は Control( 管理策 ) 毎に Implementation guidance( 導入の手引き ) を テーブル形式で記述する a. 各 Control( 管理策 ) の様式 Each subclause Control X.X.X and the associated implementation guidance and other information specified in ISO/IEC apply. The following sector-specific implementation guidance also applies. Subclause header Implementation guidance for cloud services Other information for cloud services. b. Implementation guidance はテーブル形式 Type1 Cloud service customer Cloud service provider Type2 Implementation guidance Cloud service customer Implementation guidance Cloud service provider Implementation guidance c. Annex A の番号の付け方 defines as rules, A unique identifies shall be used, and as example uses TEL., and therefore CLD. X.X.X is used Copyright SC27/WG1 Japan,

77 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 - Normative references - 2. 引用規格 次に掲げる規格は, この規格に引用されることによって, この規格の規定の一部を構成する この引用規格は, その最新版 ( 追補を含む ) を適用する ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary Y.3500 ISO/IEC 17788, Information technology - Cloud computing - Overview and vocabulary Y.3502 ISO/IEC 17789, Information technology - Cloud computing - Reference architecture ISO/IEC 27002:2013, Information technology - Security techniques - Code of practice for information security controls Copyright SC27/WG1 Japan,

78 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 (SC38:ISO/IEC17788) Terms and definitions specific to cloud computing (ISO/IEC17788) Cloud Computing cloud computing: ( Intentionally blank ) Cloud Service cloud service: ( Intentionally blank ) Copyright SC27/WG1 Japan,

79 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 (SC38:ISO/IEC17788) Cloud Service Categories IaaS PaaS SaaS NaaS Infrastructure Capabilities Type Platform Capabilities Type Application Capabilities Type Copyright SC27/WG1 Japan,

80 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 (SC38:ISO/IEC17788) Terms and definitions specific to cloud computing (ISO/IEC17788) Cloud Capabilities Type cloud capabilities type: ( Intentionally blank ) Cloud Service Category cloud service category: ( Intentionally blank ) Copyright SC27/WG1 Japan,

81 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 (SC38:ISO/IEC17788) Cloud Service Customer Cloud Service Provider Cloud Service User Cloud Service Partner ( 但し では適用しない ) Copyright SC27/WG1 Japan,

82 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 (SC38:ISO/IEC17788) Terms and definitions specific to cloud computing (ISO/IEC17788) Cloud Service Customer cloud service customer: ( Intentionally blank ) Cloud Service Provider cloud service provider: ( Intentionally blank ) Cloud Service Partner cloud service partner: ( Intentionally blank ) Cloud Service User cloud service user: ( Intentionally blank ) Copyright SC27/WG1 Japan,

83 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 (SC38:ISO/IEC17788) Terms and definitions specific to cloud computing (ISO/IEC17788) Cloud service customer data Cloud service customer data: ( Intentionally blank ) Copyright SC27/WG1 Japan,

84 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 (SC38:ISO/IEC17788) Terms and definitions specific to cloud computing (ISO/IEC17788) Cloud service customer derived data Cloud service customer derived data ( Intentionally blank ) Copyright SC27/WG1 Japan,

85 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 (SC38:ISO/IEC17789) Terms and definitions specific to cloud computing (ISO/IEC17789) cloud service administrator ( Intentionally blank ) cloud service business manager ( Intentionally blank ) cloud service integrator ( Intentionally blank ) peer cloud service provider ( Intentionally blank ) Copyright SC27/WG1 Japan,

86 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 (SC38:ISO/IEC17789) Terms and definitions specific to cloud computing (ISO/IEC17023, ISO/IEC 27040) virtual machine (ISO/IEC 17023) ( Intentionally blank ) data breach (ISO/IEC 27040) ( Intentionally blank ) secure multi-tenancy (ISO/IEC 27040) ( Intentionally blank ) Copyright SC27/WG1 Japan,

87 ご説明内容 1. クラウドセキュリティの国際標準化の経緯 a. SC27 meeting と国際標準化の経緯 b. 日本からの国際標準化の提案 c. クラウド関係の国際標準化のための役割の合意 d. クラウド関係国際標準の開発スケジュールと国際協力体制 2. 安全なクラウドサービスのために ISO/IEC27017 の果たす役割 a. ISO/IEC27017 の適用範囲 (Scope) b. ISO/IEC27017 と ISMS 認証との関係 c. ISO/IEC27017 と ISO/IEC27002 との関係 d. ISO/IEC27017 の構造 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 f. ISO/IEC27017 の ISO/IEC27001:2013 に基づくリスクマネジメントのプロセス ( 参照 :Part 1: ISO/IEC 27001:2013) 3. ISO/IEC27017 の追加のセキュリティ管理策と実施の手引き ( 事例 ) Copyright SC27/WG1 Japan,

88 f. ISO/IEC27017 の ISO/IEC27001:2013 に基づくリスクマネジメントのプロセス コミュニケーション及び協議 : 7 4. 組織の状況の確定 : 4.1,4.2,4.3,6.1.1,6.2 リスクアセスメント :6.1.2 リスク特定 :c) リスク分析 :d) リスク評価 :e) リスク対応 :6.1.3,6.2 モニタリング及びレビュー : 9 ( 注 ) リスクマネジメントプロセス図 (ISO/IEC31000 から引用 ) ISO/IEC27017 のリスクマネジメントプロセス ISO/IEC27001:2013 に基づく ( 詳細は参照 : Part1 の 2) Copyright SC27/WG1 Japan,

89 ご説明内容 1. クラウドセキュリティの国際標準化の経緯 a. SC27 meeting と国際標準化の経緯 b. 日本からの国際標準化の提案 c. クラウド関係の国際標準化のための役割の合意 d. クラウド関係国際標準の開発スケジュールと国際協力体制 2. 安全なクラウドサービスのために ISO/IEC27017 の果たす役割 a. ISO/IEC27017 の適用範囲 (Scope) b. ISO/IEC27017 と ISMS 認証との関係 c. ISO/IEC27017 と ISO/IEC27002 との関係 d. ISO/IEC27017 の構造 e. ISO/IEC27017 で使用するクラウドコンピューティングの用語 f. ISO/IEC27017 の ISO/IEC27001:2013 に基づくリスクマネジメントのプロセス ( 参照 :Part 1: ISO/IEC 27001:2013) 3. ISO/IEC27017 の追加のセキュリティ管理策と実施の手引き ( 事例 ) Copyright SC27/WG1 Japan,

90 事例 (1) リスクアセスメントの対象事例 : リスクアセスメントの対象 ( クラウドコンピューティング ) クラウドコンピューティング環境で 一般的に懸念されるリスクが潜む環境は以下の場合が考えられ リスクアセスメント対象 を説明する記述として 以下の環境を考慮する 1. コンピューティング資源の一部を共有し その上に個々の利用者が管理するシステムが構築されるなど 事業者と利用者関係が緊密かつ複雑である ( 管理策事例 1) 2. クラウドコンピューティングサービスは その提供の仕組みの詳細を利用者が知ることがなくても手軽に利用できる半面 利用者にブラックボックスとなっている 3. オンプレミスとクラウドコンピューティングサービス あるクラウドコンピューティングサービスと他のクラウドコンピューティングサービスの併用など 多様な利用があり それらの間の整合性が取りにくい ( 管理策事例 2) 4. 膨大な利用者が一つの資源を共有している 5. 仮想化技術を幅広く取り入れており その結果として 一瞬にして環境が変わる ( 数千台のサーバが一瞬に消えるなど ) 6. 論理環境と物理環境が多様に入り組んだ複雑で巨大なコンピュータシステムである 7. 資源がグローバルに分散配置されている ( 管理策事例 3) 8. クラウドコンピューティングサービス上に他のクラウドコンピューティングサービスが行われるなど クラウドを組み合わせたサービスが存在する Copyright SC27/WG1 Japan,

91 事例 (2) リスク源の事例参照 : リスク源の事例 ( クラウドコンピューティング ) クラウドサービス利用者クラウドサービス事業者リスク源 Loss of governance Responsibility ambiguity Responsibility ambiguity Inconsistency and conflict of Isolation failure protection mechanisms Vendor lock-in( 管理策事例 Isolation failure( 管理策事 2) 例 1) Compliance and legal risks Unauthorized access to the Handling of security incidents provider's systems. Management interface Jurisdictional conflict( 管理 vulnerability 策事例 3) Data protection Insider Threats Malicious behaviour of Supply Chain vulnerability insiders Business failure of the provider Service unavailability Migration and integration failures Evolutionary risks Cross-border issues Insecure or incomplete data deletion Copyright SC27/WG1 Japan,

92 事例 (3) ISO/IEC27017 の管理策事例 管理策 No. 管理策内容 管理策事例 ポリシー 実施の手引き CSC CSP 管理策事例 1 CLD9.5.1 仮想環境の保護管理策事例 バックアップ 管理策事例 法的要求事項 法域 Copyright SC27/WG1 Japan,

93 事例 1: リスクの特定の手順参照 : 事例 1.( クラウドコンピューティング ) 事例 1( 事象及びその原因 : Login を通過して CSP への侵入 リスク源 : CSP の multi-tenant の分離のぜい弱性 結果 :CSC1 のデータ紛失 ) 考え方 ( 事例 ) リスクアセスメント対象 事象及びその原因 リスク源 結果 ( 注 ) 事例 : コンピューティング資源の一部共有 リスクの特定は 各組織の情報セキュリティ目的の下で実施される 事例 :CSC2 から CSP への侵入 及び CSC2 から悪意の運用管理により CSC1 へのデータアクセス 紛失 CSC 1 CSP データ紛失が発生 (CSC1のアクセス制御の変更なし ) CSC 2 CSC2からCSPへ侵入 事例 :CSP 事例 :CSC1のデ multi-tenantの分ータにアクセスさ離のぜい弱性 ( れデータが削除 不完全さ ) その結果 信頼性喪失 CSP の multi-tenant の分離のぜい弱性 CSP への侵入 (Direct Threat: multi-tenant のクラウドへ侵入 その後 CSC1 のデータにアクセス 削除 ) Copyright SC27/WG1 Japan,

94 事例 2: リスクの特定の手順参照 : 事例 2.( クラウドコンピューティング ) 事例 2( 事象及びその原因 :CSC データ破壊によるシステム停止, リスク源 :CSP ロックイン (lock-in) 結果 : システム停止後 再開できない ) 考え方 ( 事例 ) リスクアセスメント対象 事象及びその原因 リスク源 結果 ( 注 ) 事例 : 異なるサービス間の整合性 リスクの特定は 各組織の情報セキュリティ目的の下で実施される CSC 事例 : データ破壊 (CSC) 及びシステム停止 (CSC ) データ破壊がシステム停止に直結 CSP 1 クラウドの範囲 データ破壊が発生当該クラウドの使用を中止して別システム ( 例えば別クラウド 又は自社システム ) に移行 取っていたバックアップデータを使用しようとしたが lock-inのため 使用できない ( システム停止による運用の継続ができない ) 事例 :CSP ( 開発 ) の lock-in CSP 2 CSP ( 開発 ) 取得していたバックアップが使用できず システ停止後 再開始できない 直接クラウドに属さないがクラウドのソフトを開発した CSPがlock-inの場合 Copyright SC27/WG1 Japan,

95 事例 3: リスクの特定の手順参照 : 事例 3.( クラウドコンピューティング ) 事例 3( 事象及びその原因 : CSP の国で事件により CSP に保管していた情報が CSC の情報が漏えい リスク源 : 法域の不一致 ( jurisdictional conflict) 結果 :CSC1 の個人情報漏えい ) 考え方 ( 事例 ) リスクアセスメント対象 事象及びその原因 リスク源 結果 ( 注 ) 事例 : 資源のグローバルな分散配置 リスクの特定は 各組織の情報セキュリティ目的の下で実施される 事例 :CSP で事件発生 (CSP) この原因は セキュリティに関係なし CSC 1 CSC の法域で CSP を使用 CSC の利用者は CSC の法律が適用されると考える (CSC の個人情報漏えいが発生 ) 事例 :CSP jurisdictional conflict CSP CSP の法域 ( 例えば米国 ) 事例 :CSC1 の個人情報漏えい CSPの法域で事件 ( セキュリティと関係ない ) が発生 法律によりデータ閲覧 その結果 CSCの個人情報漏えい (CSCとCSP の法域のConflictが発生 ) Copyright SC27/WG1 Japan,

96 事例 (3) ISO/IEC27017 の追加の管理策事例 管理策番号管理策の内容リスク源 CLD CLD CLD CLD CLD Shared responsibility Removal of assets Segregation in virtual computing environments Virtual machine hardening Critical operations Compliance and legal risks Malicious behavior of insiders Responsibility of ambiguity Data protection Isolation failure Inconsistency and conflict of protection mechanism Isolation failure Evolutionary risks Insecure or incomplete data deletion CLD Monitoring cloud services Data protection CLD Consistent virtual and physical networks Inconsistency and conflict of protection mechanism Copyright SC27/WG1 Japan,

97 おわりに ご清聴有難うございました 工学院大学情報学部 ISO/IEC JTC1/SC27/WG1 国内主査 ISO/IEC Project Editor クラウド セキュリティコントロール専門委員会委員長 山﨑 哲 Copyright SC27/WG1 Japan,