CCM (Cloud Control Matrix) の役割と使い方

Similar documents
PowerPoint Presentation

PowerPoint プレゼンテーション

実運用が本格化したクラウドの導入と活用の勘所 2014/07/29 株式会社日立製作所情報 通信システム社情報営業統括本部サービス営業推進本部クラウドサービス営業部 吉岡大輔 Hitachi, Ltd All rights reserved.

untitled

スライド 1

CIA+

事業継続性と運用弾力性に配慮したクラウドリファレンスアーキテクチャ

ファイル整合性監視 重要なシステムファイル レジストリ アプリケーションが変更されたことを知らせる = 整合性 ( 完全性 ) 監視 迅速な発見 Web 改ざん検知ゼロデイ攻撃対策アクセス権限の管理運用 / 可用性の向上変更管理の徹底 JSOXやPCI DSSなどのコンプライアンス 2

セキュリティ委員会活動報告

ISO/IEC27000ファミリーについて

制御システムセキュリティアセスメントサービス

Microsoft PowerPoint - NSF2014_IDMWG発表資料(発表用).pptx

ISO/IEC 27000ファミリーについて

Copyright Compita Japan ISO33k シリーズとは? これまで使用されてきたプロセスアセスメント標準 (ISO/IEC 本稿では以降 ISO15504 と略称する ) は 2006 年に基本セットが完成し 既に 8 年以上が経過しています ISO

ISO/IEC ファミリー規格の最新動向 ISO/IEC JTC1/SC27 WG1 小委員会主査 ( 株式会社日立製作所 ) 相羽律子 Copyright (c) Japan ISMS User Group

TITLE SLIDE

スライド 1

カスペルスキー法人向け製品希望小売価格表 エンドポイント対策 2019 年 04 月 02 日現在 製品名 Kaspersky Endpoint Security for Business - Select( クライアント ) ライセンス数

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

untitled

スライド 1

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

Zurich, CH Brussels, BE Wrocław, PO Toronto, CA Ottawa, CA Herzliya, IL Almaden, US Detroit, US Tokyo, JP Boulder, US TJ Watson, US Tokyo, JP Atlanta,

27000family_ docx

Microsoft Word HPコンテンツ案 _履歴なし_.doc

CAUA シンポジウム 2014 RSA 事業について 2014 年 11 月 14 日 ( 金 ) EMC ジャパン株式会社 RSA 事業本部マーケティング部部長水村明博 Copyright 2014 EMC Corporation. All rights reserved. 1

<4D F736F F F696E74202D A8E5289BA5F4A4E E D FEE95F1835A834C A AA96EC82CC8D918DDB95578F8082CC93AE8CFC2E >

Microsoft Word family_ rv.docx

PowerPoint Presentation

COBIT 5 for Assurance 日本語版正誤表 P 該当箇所 現行 修正後 36 図表 15 EDM01 ガバナンスフレームワークの設定と維持の保証 EDM01 ガバナンスフレームワークの設定と維持の確保 36 図表 15 EDM02 効果提供の保証 EDM02 効果提供の確保 36 図

内部監査で検討すべき10のIT項目

マッシュアップ時代の情報セキュリティの考え方とガイドラインの活用

サイバーセキュリティとその対策

Microsoft PowerPoint - バルネラアセッサーご紹介 [互換モード]

Microsoft PowerPoint - A7_松岡(プレゼン用)jnsa-総会-IoTWG-2015.pptx

安心と安全の Microsoft Azure インフラストラクチャ入門 日本マイクロソフト株式会社クラウドソリューションアーキテクト 大川高志

untitled

規格の概要前図の 作成中 及び 発行済 ( 改訂中 含む ) 規格の概要は 以下の通りです O/IEC 27000:2012 Information technology Security techniques Information security management systems Over

資料 4 サプライチェーンサイバーセキュリティ等に関する海外の動き 平成 30 年 8 月 3 日経済産業省商務情報政策局サイバーセキュリティ課

ISO/IEC 27000family 作成の進捗状況

Information Security Management System ISO/IEC 27001:2005 ISMS A Copyright JIPDEC ISMS,

ACR-C 保証継続報告書 独立行政法人情報処理推進機構原紙理事長藤江一正押印済変更 TOE 申請受付日 ( 受付番号 ) 平成 24 年 1 月 12 日 (IT 継続 2077) 認証番号 C0312 申請者コニカミノルタビジネステクノロジーズ株式会社 TOEの名称日本語名 :bi

PowerPoint プレゼンテーション


JIS Q 27001:2014への移行に関する説明会 資料1

Slide 1

PowerPoint プレゼンテーション

はじめに インターネット上で行われる非対面取引において クレジットカードによる決済は利便性が高いと言われる反面 不正使用の懸念もあげられます カード情報不正使用防止の対策方法のひとつである本人認証にはいくつかの手法があり 3Dセキュア もそのひとつです クレジット取引セキュリティ対策協議会が策定する

1 BCM BCM BCM BCM BCM BCMS

CheckPoint Endpoint Security メトロリリース製品について 株式会社メトロ 2018 年 07 月 25 日

Microsoft PowerPoint - 渡辺先生.ppt

How to Use the PowerPoint Template

PowerPoint Presentation

ISO/IEC 27000ファミリーについて

ISMS認証機関認定基準及び指針

Microsoft PowerPoint - Map_WG_2010_03.ppt

目次 国内企業の事例から学ぶこと これからの課題 GRC Technology の活用 なぜデロイトがクライアントから選ばれているのか 本資料の意見に関する部分は私見であり 所属する法人の公式見解ではありません 2

チェックリスト Ver.4.0 回答の 書き方ガイド 国立情報学研究所クラウド支援室

ISO/IEC 改版での変更点

Information Security Management System 説明資料 2-2 ISMS 適合性評価制度の概要 一般財団法人日本情報経済社会推進協会情報マネジメント推進センター副センター長高取敏夫 2011 年 9 月 7 日

Microsoft PowerPoint - 第6章_要員の認証(事務局;110523;公開版) [互換モード]

COBIT 5 for Risk 日本語版正誤表 P 該当箇所 現行 修正後 21 下から5 行目 (COBIT 5 プロセスのEDM03 リスク最適化の保証および (COBIT 5 プロセスのEDM03 リスク最適化の確保および APO12リスク管理 ) APO12リスク管理 ) 37 図表 18

Web Microsoft 2008 R2 Database Database!! Database 04 08

<4D F736F F F696E74202D DB293A190E690B C835B83938E9197BF81698CF68A4A A2E >

CCSAスタディガイド 解説コース

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

IT IT IT

AWS セキュリティ入門

教科書 情報セキュリティ基盤論 共立出版, 2010 ISBN: 情報セキュリティの現代の 標準体系 のつもりでかいていますが 書いた当時から今まで変化が急で内容が古くなりつつある

Fujitsu Standard Tool

IBM Rational Software Delivery Platform v7.0 What's

パスワード暗号化の設定

ISO/IEC 27000ファミリーについて

米国のHIPAA法における 個人情報等の保護に関する規定について

untitle

EM10gR3記者発表

...1 GRC...2 GRC...6 SAP GRC...8 SAP GRC Risk Management... 9 SAP GRC Process Control SAP GRC Access Control iii Insights on governa

ISMSクラウドセキュリティ認証の概要

Disclaimer 本日の発表は 情報通信総合研究所の公式な見解ではありません ISACA 国際本部の副会長としての立場で ISACA の公式見解を発表させていただきます なお ISACA は CSA 及び ENISA と提携関係にあり 両者の意見について代弁できます また ISACA と CSA

2011 ST講座 入門講座 DICOM規格 初級 –DICOMをうまく使いこなす-

[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

Secure the AWS Cloud with SafeNet Solutions eBook

ライフサイクルが終了した Windows Server 2003 オペレーティングシステムの保護 サポート終了後の Windows Server 2003 システムでリスクを軽減するためのガイド データシート : セキュリティ管理 サポートが終了してもビジネスは継続するソフトウェアベンダーが製品のラ

,250 1,283,385 1,337,935 4% 732,100 1,037,100 1,716, , ,200 1,301, ,935,450 3,143,685 4,355, F

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル

Riotaro OKADA Riotaro OKADA Executive Researcher CISA, MBA CYDER (IPA) JICA, 2015

SaaS の採用における課題 73% 80% エンタープライズの 73% が SaaS の採用を妨げる最大の課題の 1 つとしてセキュリティを挙げている * 従業員の 80% 以上が未承認の SaaS アプリを仕事で使用していると認めている ** * Cloud Security Alliance

Microsoft Word - 【履歴なし】27000HPコンテンツ案 doc

untitled

ISO/IEC 27000ファミリーについて

CheckPoint Endpoint Security メトロリリース製品について

Google Apps Google Apps for Work Education Government Drive for Work Google Apps Unlimited

セキュアコーディングガイド最新版の紹介 JSSEC セキュアコーディングワーキンググループ

Microsoft PowerPoint  講演資料.pptx

Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 1

PowerPoint プレゼンテーション

Microsoft PowerPoint - SeminarNaft-I-Re.IntISMS&Standards-V

本日のメニュー 1. 弊社紹介 2. セキュリティチェックシートについて 3. GigaCCで出来る事 4. まとめ -2-

ビジネスにおける適合性評価の活用

セキュリティJAHIS標準類解説概要 F2.pdf

Transcription:

CCM (Cloud Control Matrix) 役割と使い方 一般社団法人日本クラウドセキュリティアライアンス CCM ワーキンググループ

このセッションの内容 CCM(Cloud Control Matrix) とは何かを理解する CCM の位置づけと既存の規格 標準との関係 CCM と CSA Cloud Security Guidance の関係 CCM の構造を理解する コントロールドメインの構成 マトリクス表の構成 CCM と CAIQ の使い方 事業者の自己評価とユーザによる事業者評価 ユーザと事業者のコンセンサス CCM と STAR STAR とそのロードマップ OCF (Open Certificate Framework) CCM WG の活動予定 CCM 及び関連ツールの日本語化 ( 翻訳 レビュー ) 日本国内各種基準との比較 対照 補足 CCM ピアレビューへの参加と日本からの意見フィードバック

CCM の位置づけ クラウドユーザ 事業者のためのセキュリティガイダンス 14 の領域における クラウドセキュリティの考え方についての解説 ガイダンスの 14 領域におけるセキュリティコントロールのフレームワーク他の国際標準 業界標準などとの対応付けを含むガイダンスの実装基準的位置づけ CCM CAI 自己評価による準拠事業者登録制度 ( 英語版のみ )

CCM とは クラウドサービスに必要なコントロール ( 管理策 統制 ) とその実装方針の提示 情報セキュリティ上の管理策 IT ガバナンス上の統制項目 (Ver 3 から新たに導入 ) 適用対象の明示 各コントロールとアーキテクチャレイヤの対応付け 各コントロ - ルと各サービスモデルの対応付け 実施者 ( 事業者 テナント 利用者 ) の明示 各種標準との対応付け 既存の国際標準 業界標準 政府標準における同種コントロールとの対応付け Ver3 から SOC2 にも対応

CCM の項目例 ( 日本語訳版 ) ドメインごとの色分け コントロールの内容 アーキテクチャの適用レイヤ サービスモデルとの対応 実施対象者 ガバナンス項目

各種標準等との対応表 AICPA (SOC2) COBIT (4.1) FedRamp HIPPA ISMS PCI/DSS CSA ガイダンス

CSA ガイダンスと CCM CCM ドメインは CSA ガイダンスドメインをベースにしているが 細部で異なる点に注意 全般的な考え方の理解 ガイダンス 要求事項 管理策 CCM/CAIQ CCM の対応表にはガイダンスドメインへの対応が記載されているので 要求事項の詳細は ガイダンスを参照するとよい 但し 実装時の要求事項が他の基準 ( たとえば FedRAMP や PCI/DSS など詳しい実装に言及している基準 ) から持ち込まれているケースもある

CCM のドメイン Audit Assurance & Compliance 監査 保証とコンプライアンス Business Continuity Management & Operational Resilience 事業継続管理と運用レジリエンス Change Control & Configuration Management 変更管理と構成管理 Data Security & Information Lifecycle Management データセキュリティと情報ライフサイクル管理 Datacenter Security データセンタセキュリティ Encryption & Key Management 暗号化と鍵管理 Governance and Risk Management ガバナンスとリスク管理 Identity & Access Management アイデンティティとアクセス管理 Infrastructure & Virtualization Security インフラと仮想化のセキュリティ Interoperability & Portability 相互運用性と移植容易性 Mobile Security モバイルセキュリティ Security Incident Management, E-Discovery & Cloud Forensics セキュリティインシデント管理 E ディスカバリ クラウドフォレンジックス Supply Chain Management, Transparency and Accountability サプライチェーンの管理 透明性 説明責任 Threat and Vulnerability Management 脅威と脆弱性の管理 Human Resources 人事

CCM の使い方 クラウド固有の要求事項をおおまかにチェックする CCM/CAIQ チェックリストによるチェック 既存の管理策でクラウド固有の問題がカバーされているかチェックする 既存の標準コントロール 対応する CCM コントロールのチェック (CAIQ チェックリスト ) 既存標準をもとにクラウド固有の実装レベルを決める 既存の標準コントロール 対応する CCM コントロール 対応する実装基準のコントロール ( 例えば FedRAMP,SP800-53 など )

対象規格 基準の一覧 "AICPA TS Map" "AICPA Trust Service Criteria (SOC 2SM Report)" "BITS Shared AssessmentsAUP v5.0" "BITS Shared AssessmentsSIG v6.0" CCM V1.X COBIT 4.1 CSA Enterprise Architecture / Trust Cloud Initiative CSA Guidance V3.0 ENISA IAF "FedRAMP Security Controls(Final Release, Jan 2012)--LOW IMPACT LEVEL--" "FedRAMP Security Controls(Final Release, Jan 2012)--MODERATE IMPACT LEVEL--" GAPP (Aug 2009) HIPAA / HITECH Act ISO/IEC 27001-2005 Jericho Forum NERC CIP NIST SP800-53 R3 NZISM PCI DSS v2.0 赤字は主要な国際 業界 政府標準下線は CCM をより詳細に実装する際参考にできる規格 ( 実装レベル記載 ) マトリクスに記載された標準コントロールを実装する場合には より抽象的な標準 CCM 実装基準の順に参照するといい 例 : ISO/IEC27001 CCM SP800-53

CAI CAIQ とは CCM の各コントロールの内容をブレークダウンし チェックリスト化したものが CAIQ CAI(Consensus Assessment Initiative) は CAIQ を使用してユーザと事業者が相互の対応状況を確認するもの STAR Level1( 後述 ) は CAIQ をもとに 事業者が自己チェックを行った内容を公開する制度

CAIQ( チェック項目例 ) CCM のコントロールを必要に応じて複数の質問に分解している 現在 CCM WG にて Ver 3.0 翻訳作業中 : ボランティア募集!!

STAR とは クラウド事業者のセキュリティとガバナンスを可視化する取り組み 予定 : 開発中 実施中 実施中 OCF: CSA が提唱している複数認証制度の組み合わせ 相互乗り入れを可能にするオープンな認証フレームワーク これにより事業者は複数認証取得時の重複作業を軽減できる

STAR のレベル STAR Level1 ( 自己チェック ) CCM/CAIQ を用いた自己チェック状況を事業者が自主的に登録することで クラウド事業者としてのセキュリティ対応状況を公開する制度 ( 開始済み ) STAR Level2 ( 第三者による認証 監査制度 ) ISO27001-2005 もしくは AICPA SOC2 取得事業者に対し CCM*1 等に基づく第三者評価を実施 クラウド事業者としてのセキュリティを追加認証する制度 (OCF の考え方に準拠 ) STAR Level3 ( 継続的モニタリング ) 認証取得後も その対応状況を継続的にモニタリング *2 し保証する制度 たとえば米国政府 (FedRAMP) などでハイレベルの情報を扱う際に要求されており 現在 STAR としての枠組み検討が進んでいる ( 準備中 ) *1 :2014/5 現在 CCM v1.4 または CCM v3 のいずれか +ISO/IEC27001-2005 または AICPA SOC2 で認証 2015/3 に CCM の部分は v3 に完全移行の予定 *2: 現在開発中の CTP(Cloud Trust Protocol) を使用し常時モニタリングする CTP は クラウド事業者がユーザに対して準拠状況を常時開示するためのプロトコル

CCM ワーキングループの活動 CSA ジャパンでは CCM ワーキンググループ (CCM WG) を行い 広く日本における CCM の展開を推進していくことを目的として以下の活動を行っています 1. CCM/CAIQ の日本語化 および 日本語版の監修 CCM3.0 日本語版 : 一般公開済み CAIQ3.0.1(draft) 日本語版 : 会員公開済み 2. CCM の日本の法令 標準 基準へのマッピング 3. CCM のガイドラインの作成 4. CCM の日本における啓発活動の実施 5. CSA グローバルの CCM に対する日本の視点に立ったピアレビューの実施およびフィードバックの提供 また 本 WG の活動に参加していただける方を募集しています 募集要項等につきましては 以下の URL を参照してください http://www.cloudsecurityalliance.jp/ccm_wg.html

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック