PowerPoint Presentation

Size: px

Start display at page:

Download "PowerPoint Presentation"

かずきたかにし
5 years ago
Views:

1 CSA STAR 認証の方向性 John DiMaria; CSSBB, MHISP, HISP, AMBCI, CERP CSA Research Fellow Global Product Champion; ICT,BMS BSI Group Inc. 1

2 When a paradigm shifts, everything goes back to zero. ( パラダイムシフトが生じる際すべてがゼロに戻る ) ~Joel Barker~ Nothing you have done in the past matters any more. You can not count on past success. ( 過去の出来事で行ったことはもうない過去の成功は無価値である ) 2

3 マーケットトレンド 3

4 4

5 5

6 クラウドコンピューティング輸出市場 Top 20 (2016 年まで ) 1. Canada 2. Japan 3. United Kingdom 4. Brazil 5. South Korea 6. Germany 7. Switzerland 8. India 9. Mexico 10.Australia 11. China 12. France 13. Netherlands 14. Italy 15. Sweden 16. Singapore 17. Spain 18. South Africa 19. Chile 20. Malaysia U.S. Department of Commerce International Trade Administration Industry & Analysis (I&A) 6

7 7

8 CSA STAR とは何か? クラウドセキュリティフレームワーク CSA が開発を行った Cloud Control Matrix (CCM) がベース ISO/IEC マネジメントシステム上に構築 ( 成熟度モデル ) (CSA STAR 認証 ) 8

9 Cloud Controls クラウドセキュリティにとって重要な管理策とは何か? 9

クラウドコントロールマトリックスの構成 16 のコントロールドメインマネジメント能力 5 つの要因アプリケーションとインターフェースセキュリティ監査保証とコンプライアンス事業継続管理と運用レジリエンス変更管理と構成管理データセキュリティと情報ライフサイクル管理データセンタセキュリティ暗号化と鍵管理ガバナンスとリスク管理人事セキュリティアイデンティティとアクセス管理インフラと仮想化

10 クラウドコントロールマトリックスの構成 16 のコントロールドメインマネジメント能力 5 つの要因アプリケーションとインターフェースセキュリティ監査保証とコンプライアンス事業継続管理と運用レジリエンス変更管理と構成管理データセキュリティと情報ライフサイクル管理データセンタセキュリティ暗号化と鍵管理ガバナンスとリスク管理人事セキュリティアイデンティティとアクセス管理インフラと仮想化相互運用性と移植容易性モバイルセキュリティセキュリティインシデント管理 E ディスカバリクラウドフォレンジックスサプライチェーンの管理透明性説明責任脅威と脆弱性の管理コミュニケーション及びステークホルダー ( 利害関係者 ) とのエンゲージメント方針計画及び手順と体系立てられたアプローチスキル及び専門知識オーナーシップリーダーシップ及びマネジメント監視及び評価 10

11 CCM v3.0.1 マッピングには下記が含まれます - AICPA 2014 TSC - ISO/IEC PCI DSS v3.0 - NIST SP R3 App J - ENISA IAF - 95/46/EC - European Union Data Protection Directive - HIPAA / HITECH Act - COBIT Canada PIPEDA - COPPA - ODCA UM: PA R2.0 - ISO/IEC

12 CCM の審査管理策既存の適用宣言書へ適用可能な管理策を加える 12

13 Open Certification Framework ( 公開されている認証フレームワーク ) 3 レベルのフレームワーク 13

14 OPEN CERTIFICATION FRAMEWORK 継続的モニタリングに基づいた認証第三者評価セルフアセスメント CSA Open Certification Framework(OCF) はグローバルで信頼のおけるクラウドプロバイダを証明するための業界の取り組みです 14

15 セルフアセスメント 15

第三者評価 CSA STAR 認証はクラウドサービスプロバイダのセキュリティに対する独立した第三者による厳格な評価です技術に中立な形の認証は CSA クラウドコントロールマトリックスと共に ISO/IEC 27001:2013 マネジメントシステム規格の要件を利用します CSA C-STAR 評価は Great China

GB/Z 28828-2012 から選択された 29 の関連コントロールと共に利用します CSA STAR 実践認証は CSA と AICPA との共同作業によるもので米国公認会計士が AICPA の基準 (Trust Service Principles, AT 101) と CSA

16 第三者評価 CSA STAR 認証はクラウドサービスプロバイダのセキュリティに対する独立した第三者による厳格な評価です技術に中立な形の認証は CSA クラウドコントロールマトリックスと共に ISO/IEC 27001:2013 マネジメントシステム規格の要件を利用します CSA C-STAR 評価は Great China 市場向けのクラウドサービスプロバイダーのセキュリティに対する第三者による厳格な評価です CSA のベストプラクティスと中国の国家基準を調和させています C-STAR は GB/T マネジメントシステム規格の要求事項を CSA クラウドコントロールマトリックスとともに GB/T および GB/Z から選択された 29 の関連コントロールと共に利用します CSA STAR 実践認証は CSA と AICPA との共同作業によるもので米国公認会計士が AICPA の基準 (Trust Service Principles, AT 101) と CSA クラウドコントロールマトリックスを使用することで SOC2 業務が行えるようにガイドラインを提供します STAR 実践認証はクラウドプロバイダーに対する独立した第三者による厳格な評価を提供します翻訳出典 : 日本クラウドセキュリティアライアンス Security, Trust and Assurance Registry (STAR) の概要より抜粋 16

17 継続的モニタリングに基づいた認証現在開発中です CSA STAR 連続監視はクラウドプロバイダの現在のセキュリティ実践を自動化することができますプロバイダは CSA の様式と仕様に基づいてセキュリティ実践を公開し顧客とツールベンダはこの情報を検索してさまざまな目的に沿って提示できます翻訳出典 : 日本クラウドセキュリティアライアンス Security, Trust and Assurance Registry (STAR) の概要より抜粋 17

18 18

19 The CSA STAR への道のり 19

20 ISO/IEC 適用範囲 CSA STAR 適用範囲リスクアセスメント適用宣言書サイバー環境 STAR 管理策の選択及び実装追加法的要求事項会社方針契約要件リスクプロバイダの実際の役割追加管理策の策定 20

21 CSA STAR 認証審査プロセス予備調査初回認証審査第 1 段階初回認証審査第 2 段階サーベイランス審査 (1 年目 ) サーベイランス審査 (2 年目 ) 再認証審査 3 年間の認証周期継続的な成熟度評価 CSA STAR アドオンのための追加審査認証サイクルは ISO/IEC 認証サイクルと統合されます CSA STAR 認証の認証サイクルは ISO/IEC の認証周期と同期します CSA STAR アドオンのための追加審査認証サイクルは ISO/IEC 認証サイクルと統合されます 21

22 能力成熟度モデル If you aim at nothing you ll hit it every time ~Zig Ziglar~ 22

23 Organizational Resilience Your Target!! Addressing your customer needs 顧客ニーズへの対応 Governing your business 事業統治 Running your business 事業運営 Valuing your people 人員の評価 Managing & securing information 情報管理及び保護 Protecting infrastructure インフラストラクチャの保護 Enabling trust & reputation 信頼と評判の向上 Ensuring regulatory compliance 法令順守の確保 Safeguarding people 人員の保護 Protecting brand reputation ブランド評判の保護 Ensuring supply chain continuity サプライチェーンの継続性確保 Minimising security risk セキュリティリスクの最小化 Mitigating social risk 社会的リスクの軽減 23

24 包括的なアプローチ実証済のメリットをもたらすフォーカスする 3 エリア Operational Resilience Supply Chain Resilience Information Resilience 24

パフォーマンススコアの例正式な取り組みなしリアクティブプロアクティブ改善中確信ステークホルダーの特定は限定的あるいは存在していないコミュニケーションが限られているあるいは全くないステークホルダーが特定されコミュニケーションが有効であるという証拠

25 パフォーマンススコアの例正式な取り組みなしリアクティブプロアクティブ改善中確信ステークホルダーの特定は限定的あるいは存在していないコミュニケーションが限られているあるいは全くないステークホルダーが特定されコミュニケーションが有効であるという証拠ステークホルダーは体系的に特定され効果的なコミュニケーションと共に協議がされるステークホルダーは対策の改善に積極的に取り組み変更がどのように影響するかを理解している関係するステークホルダーはプロセス及び彼らがどのように戦略目標を達成するために開発すべきか監視し測定する 25

26 ケイパビリティライフサイクル - PDM 問題発見問題を顕在化する問題を認識する問題を除去する 26

27 成熟度評価とモニタリングサプライチェーンの管理透明性説明責任セキュリティインシデント管理 E ディスカバリクラウドフォレンジックスモバイルセキュリティ脅威と脆弱性の管理 Vulnerability Man SCM, Transparency & Account Sec Incident Man Mobile Sec アプリケーションとインターフェースセキュリティ App & Sec Audit, Assurance & Comp BCM & Op Resilience 監査保証とコンプライアンス Change Control & Config Man Data Sec & Info Lifecycle Man 事業継続管理と運用レジリエンス変更管理と構成管理データセキュリティと情報ライフサイクル管理相互運用性と移植容易性 Interoperability & Portability Datacentre Sec データセンタセキュリティインフラと仮想化 Infra & Virtualization Sec アイデンティティとアクセス管理 Identity Resiliency & Access Man HR 人事セキュリティ Encryp & Key Man Gov & Risk Man Gold Silver Bronze Score 暗号化と鍵管理ガバナンスとリスク管理 27

ISO/IEC 27001 CCM 一般的なマネジメントシステムクラウド固有の管理策 Well

28 ISO/IEC CCM 一般的なマネジメントシステムクラウド固有の管理策 Well MANAGED and FOCUSED system よく集中管理されたシステム能力モデル 28

29 審査員の力量 ISO/IEC クラウドの知識 ISO 審査知識 CCM 審査知識 Assessor 29

30 Endorsements ( お客様からの声 ) 30

31 The benefits By achieving compliance to CSA STAR, the most comprehensive cloud security standard to date, users can rest assured relying on Ribose for their success ( 現在最も包括的なクラウドセキュリティ基準である CSA STAR の準拠を達成することによりユーザーは当社の認証取得に頼って安心を得ることができます ) Ronald Tse, Ribose With CSA STAR Certification, customers can gain confidence that Microsoft Azure is meeting customer needs and relevant regulatory requirements, as well as actively monitoring, measuring and continually improving the effectiveness of our management system. (CSA STAR 認証取得によってお客様は Microsoft Azure がお客様のニーズや関連する規制要件を満たしていることを確実することができますまた当社のマネジメントシステムにおける有効性の向上のための積極的な監視測定継続的改善も可能です ) Alice Rison, Microsoft Azure, global public cloud platform Implementing the requirements is about improving the business, not just fighting for the badge. We have definitely learned from the process. ( 要求事項の導入は証明書取得の戦いでなく事業改善が目的です我々は間違いなくそのプロセスから学びを得ました ) Fergus Kennedy, Pulsant, 31

G-Cloud 認定リスクアセスメント RMADs 残留リスクステートメントリスク登録 ISO/IEC 27001 認証 ISO/IEC 27001 認証 ( 適切にスコープされた )ISO/IEC 27001 認証 (

公的部門で動作するソリューションに対する例外的なレベルの保証を提供可能な例であり (STAR) 認証はその差別化要因につながります By: Mark Dunne, SaaSAssurance Mark.

32 G-Cloud 認定リスクアセスメント RMADs 残留リスクステートメントリスク登録 ISO/IEC 認証 ISO/IEC 認証 ( 適切にスコープされた )ISO/IEC 認証 ( 目的に合った )ISO/IEC 認証情報保証コンプライアンス管理能力スコア UK G-Cloud & CSA (STAR) ご覧のようにこれは CSA(STAR) と政府認定フレームワークが組み合わされ公的部門で動作するソリューションに対する例外的なレベルの保証を提供可能な例であり (STAR) 認証はその差別化要因につながります By: Mark Dunne, SaaSAssurance Digital Information Security Management Systems ISO/IEC Full article to feature in eforensics magazine 32

33 まとめクラウドコンピューティングに対する信頼を高めるためには透明性保証説明責任が重要な要素であるセキュリティ認証は下記の場合にのみ信頼性を高めるよいツールになる審査員には資格があり適切に認定を受けていること基礎となる規格として使用されるコントロールフレームワークは関連性が高いコントロールフレームワークは公開されており要求事項を満たす能力が検証できることスキームサポートの透明性 ( 例. 適用範囲と適用宣言書の公開 ) 異なる保証ニーズがサポートされる ( 例. セルフアセスメント第三者評価継続的モニタリング ) 中小企業向けに手ごろな価格での認証が必要である CSA Open Certification Framework と STAR 認証 /STAR 連続監視は上記すべてを提供する 33

34 Thank You! Address: BSI Group 389 Chiswick High Road London W4 4AL Main Office Telephone: Website: 34

CCM (Cloud Control Matrix) の役割と使い方

CCM (Cloud Control Matrix) の役割と使い方 CCM (Cloud Control Matrix) 役割と使い方一般社団法人日本クラウドセキュリティアライアンス CCM ワーキンググループこのセッションの内容 CCM(Cloud Control Matrix) とは何かを理解する CCM の位置づけと既存の規格標準との関係 CCM と CSA Cloud Security Guidance の関係 CCM の構造を理解するコントロールドメインの構成