ISMS をベースにした クラウドセキュリティ -ISO/IEC 27017 の最新動向 - 一般財団法人日本情報経済社会推進協会 参事高取敏夫 2015 年 11 月 18 日 http://www.isms.jipdec.or.jp/ Copyright JIPDEC ISMS, 2015 1
JIPDEC 組織体制 JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 設立 : 昭和 42 年 12 月 20 日 事業規模 :25 億 1,610 万円 ( 平成 27 年度予算 ) 職員数 :108 名 ( 平成 27 年 4 月現在 ) JIPDEC 広報室 総務部電子情報利活用研究部プライバシーマーク推進センター 情報マネジメント推進センター 総務課 事務局 経理課 安信簡情報環境推進部 審査業務室 電子署名 認証センター 情報通信管理課 Copyright JIPDEC ISMS, 2015 2
情報マネジメント推進センターの 主な業務内容 情報技術に関連するマネジメントシステムの認定機関としての業務及び各制度に関連する普及業務 ISMS/ITSMS/BCMS/CSMS 認定システム実施に伴う諸業務 ISMS/ITSMS/BCMS/CSMS 認定審査の実施 ISMS/ITSMS/BCMS/CSMS 関連の委員会事務局業務 IT 資産管理 (ITAM) に関する調査研究業務 国際認定機関やフォーラム ( IAF PAC 等 ) との相互連携の推進 ISO/IECなど ( 国際規格 ガイド策定等 ) への積極的貢献 クラウドセキュリティに関する調査研究 Copyright JIPDEC ISMS, 2015 3
アジェンダ ISMSの概要 ISMSの国際動向 ISO/IEC 27001:2013 要求事項の概要 ISO/IEC FDIS 27017の最新動向 クラウドセキュリティ認証の概要 Copyright JIPDEC ISMS, 2015 4
ISMS の概要 ISMS 適合性評価制度 12 年の歩み (1/3~3/3) ISMS 適合性評価制度における適合基準 ISMS 適合性評価制度の仕組み ISMSに関するガイド等 Copyright JIPDEC ISMS, 2015 5
ISMS 適合性評価制度 12 年の歩み (1/3) 制度普及 第一期 2000 2001 2002 2003 2004 2005 中央省庁ホームページ連続改ざん事件 2000.1 情報セキュリティ管理の国際的なスタンダードの導入及び安対制度の改革 を公表 2000.7 ISO/IEC 17799 が制定 2000.12 安対制度の廃止 2001.3 ISMS 適合性評価制度パイロット事業の実施 2001.7 ISMS 適合性評価制度の開始 2002.4 OECD の情報セキュリティガイドラインの見直し 2003.4 ファイル交換ソフト Winny による情報流出事件 2004~ 個人情報保護法施行 2005.4 ISO/IEC 17799 から ISO/IEC 27002 へ規格番号の変更 2005.6 ISO/IEC 27001(ISMS 認証基準 ) の発行 2005.10 Copyright JIPDEC ISMS, 2015 6
ISMS 適合性評価制度 12 年の歩み (2/3) 制度普及 第二期 2006 2007 2008 2009 2010 2011 2012 PAC(PACIFIC ACCREDITATION COOPERATION) 加盟 2006.4 ISMS 認証基準 (Ver.2.0) から JIS Q 27001 への移行開始 2006.5 審査員評価登録業務及び審査員研修機関の認定業務の移管 2007.3 IAF(INTERNATIONAL ACCREDITATION FORUM) 加盟 2007.10 医療機関向け ISMS ユーザーズガイドの発行 2008.5 ( 初版は 2004.11 発行 ) ISMS の相互承認 (MLA) の検討開始 2008.6 ISMS 認証取得組織が 3,000 を超える 2008.7 クレジット産業向け PCIDSS/ISMS ユーザーズガイドの発行 2009.3 ( 初版は 2006.3 発行 ) ISMS 審査員評価登録センターの認定 2009~2010 ISMS 認証取得組織が 4,000 を超える 2011.3 標的型サーバ攻撃事件 2011~ 制御システムのセキュリティマネジメント (CSMS) の制度化 2011~ セキュリティガバナンス協議会のスタート 2012.5 ASEAN 情報セキュリティ政策会議 2012.10 Copyright JIPDEC ISMS, 2015 7
ISMS 適合性評価制度 12 年の歩み (3/3) 2013 ISO/IEC 27001:2013 の発行 2013.10 ISO/IEC 27002:2013 の発行 2013.10 ISO/IEC 27001:2013 への移行開始 2013.10 制度普及 第三期 2014 2015 2016 JIS Q 27001/ 27002/ 27000:2014 の発行 2014.3 サイバーセキュリティ基本法制定 2014.11 認証取得事業者数 4,700 件 認証機関数 26 機関 サイバーセキュリティ戦略 2015.9 ISO/IEC 27001:2013 への移行完了 2015.10 ISO/IEC FDIS 27017:2015 の発行 2015.10 クラウドセキュリティ認証の公表予定 2015.11 2017 2018 Copyright JIPDEC ISMS, 2015 8
ISMS 適合性評価制度における適合基準 認定機関 認証機関 評価希望組織 認定 (Accreditation) 認証 (Certification) 適合基準適合基準適合基準 Copyright JIPDEC ISMS, 2015 9 ISO/IEC 17011:2004(JIS Q 17011) ( 適合性評価 - 適合性評価機関の認定を行う機関に対する一般要求事項 : Conformity assessment - General requirements for accreditation bodies accrediting conformity assessment bodies) ISO/IEC 27006:2015(JIS Q 27006) ( 情報技術 - セキュリティ技術 -ISMS の審査及び認証を行う機関に対する要求事項 : Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems) ISO/IEC 27001:2013 (JIS Q 27001) ( 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 : Information technology-security techniques-information security management systems- Requirements)
ISMS 適合性評価制度の仕組み 認証機関 申請 申請 要員認証機関 申請審査 ( 認証 ) 審査 ( 認定 ) 審査 ( 認定 ) JIS Q 27006 (ISO/IEC 27006) JIS Q 27001 (ISO/IEC 27001) 認定機関認定機関 JIPDEC JIPDEC 情報マネジメント推進センター情報マネジメント推進センター 意見 苦情 JIS Q 17011 (ISO/IEC 17011) JIS Q 17024 (ISO/IEC 17024) 承認 申請 評価 ( 認証 ) 証明書発行 申請 審査員希望者 受講 評価希望組織 審査員研修機関 ISO/IEC 17024(JIS Q 17024): 適合性評価 - 要員の認証を実施する機関に対する一般要求事項 ( Conformity assessment -- General requirements for bodies operating certification of persons) Copyright JIPDEC ISMS, 2015 10
名 称 ISMS に関するガイド等 発行 改訂日 内 容 地方公共団体と情報セキュリティ ~ISMS への第一歩 ~ 2013. 3.29 地方公共団体が ISMS に取り組む際に直面するかもしれない特有の問題を洗い出し それに対処するためのアドバイスやノウハウをわかりやすく記載したハンドブックです 座談会 10 年目の ISMS 2013.2 ISMS 制度創設から 10 年間の軌跡を座談会形式でまとめたものです ISMS 適合性評価制度の概要 2014.4 ISMS 適合性評価制度の概要を紹介したものです ( パンフレット ) ISMS ユーザーズガイド -JIS Q 27001:2014 (ISO/IEC 27001:2013) 対応 - ISMS ユーザーズガイド -JIS Q 27001:2014 (ISO/IEC 27001:2013) 対応 - リスクマネジメント編 クレジット産業向け PCIDSS /ISMS ユーザーズガイド クレジット加盟店向け 情報セキュリティのためのガイド (PCI DSS/ISMS 準拠のためのガイド ) 法規適合性に関する ISMS ユーザーズガイド 外部委託における ISMS 適合性評価制度の活用方法 2014. 4.14 2015. 3.31 2009. 3.31 2011. 1.26 2009.4 2015.11 予定 ISMS 認証基準 (JIS Q 27001:2014) の要求事項について一定の範囲でその意味するところを説明しているガイドです 主な読者は ISMS 認証取得を検討もしくは着手している組織において 実際に ISMS の構築に携わっている方及び責任者を想定しています 参考文献の維持管理を向上させるために別ファイルにしています ( 更新 :2012 年 3 月 15 日 ) ISMS ユーザーズガイドを補足し リスクマネジメント とりわけリスクアセスメント及びその結果に基づくリスク対応についての理解を深めるために必要な事項について 例を挙げて解説しています 事例を付録として追加しました ISMS ユーザーズガイドのクレジット産業向け版で クレジット産業における ISMS 構築を主眼として 関連する規範と ISMS 認証基準とのマッピングを示し ISMS を構築することがこれらの規範を順守する上で非常に有効な手段であることを示したガイドです クレジット加盟店の情報セキュリティのため PCI DSS/ISMS 準拠に関して説明しているガイドです 企業がリスクマネジメントを実施する上で 法的リスクを考慮することは重要であり とりわけ個人情報保護法等の法規順守については重要な課題となっています 個人情報保護に対応する手段として ISMS の枠組みは極めて有効であり ISMS の枠組みが法的及び規制要求事項に適合させる仕組みであることを理解して頂くことを目的としたガイドです 組織又は企業において情報処理業務の一部又は全てを外部委託する場合に 情報セキュリティ責任者及び担当者が委託先の選定に ISMS 適合性評価制度を活用するためのガイドです Copyright JIPDEC ISMS, 2015 11
ISMS の国際動向 ISMS 認証取得組織数の年度別推移 国 地域別認証登録数の推移 国 地域別認証登録数 ISO/IEC JTC1/SC27 WGの構成 国際規格の改訂作業の経緯 ISO/IEC 27000シリーズ規格番号 ISO/IEC 27000:2014 ISO/IEC 27001:2013 ISO/IEC 27002:2013 Copyright JIPDEC ISMS, 2015 12
ISMS 認証取得組織の年度別推移 5000 4500 4000 3783 4030 4243 4493 4620 3500 3176 3465 3000 2500 2000 1500 1583 2168 2646 登録 累計 1000 500 0 852 731 585 429 478 530 423 279 289 318 247 144 213 250 144 127 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 年度 年度 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 認証取得組織数 144 279 429 731 585 478 530 289 318 247 213 250 127 認証取得組織数累計 144 423 852 1583 2168 2646 3176 3465 3783 4030 4243 4493 4620 認定された認証機関数 累計 6 9 18 19 23 23 24 25 26 26 26 26 26 Copyright JIPDEC ISMS, 2015 13
国 地域別認証登録数の推移 (ISO-survey より ) 順位 国 / 地域 2011 2012 2013 1 日本 6,914 7,199 7,084 2 インド 1,427 1,611 1,931 3 英国 1,464 1,701 1,923 4 中国 1,219 1,490 1,710 5 イタリア 425 495 901 6 台湾 791 855 861 7 ルーマニア 575 866 840 8 スペイン 642 805 799 9 ドイツ 424 488 581 10 米国 315 415 566 11 チェコ 301 264 397 12 オランダ 125 190 316 13 ポーランド 233 279 307 14 ハンガリー 178 199 280 15 ブルガリア 132 208 278 16 韓国 191 230 252 順位 国 / 地域 2011 2012 2013 17 イスラエル 110 130 185 18 マレーシア 72 100 181 19 トルコ 100 132 181 20 スロバキア 111 127 159 21 オーストラリア 94 113 138 22 タイ 76 96 125 23 香港 99 110 124 24 UAE 73 96 123 25 スイス 66 65 111 26 フランス 46 66 94 27 シンガポール 68 65 84 28 ブラジル 50 53 82 29 コロンビア 27 58 82 30 メキシコ 70 75 80 その他 937 1,039 1,518 計 17,355 19,620 22,293 Copyright JIPDEC ISMS, 2015 14
国 地域別認証登録数 その他, 5,097, (23%) 米国, 566, (3%) 日本, 7,084, (32%) ドイツ, 581, (3%) スペイン, 799, (4%) ルーマニア, 840, (4%) インド, 1,931, (9%) 台湾, 861, (4%) イタリア, 901, (4%) 中国, 1,710, (8%) 英国, 1,923, (9%) Copyright JIPDEC ISMS, 2015 15
ISO/IEC JTC1/SC27 WG の構成 Copyright JIPDEC ISMS, 2015 16
国際規格の改訂作業の経緯 IS 発行 [ 第 3 版 ] 2014/1/15 Copyright JIPDEC ISMS, 2015 17
ISO/IEC 27000 シリーズ規格番号 Copyright JIPDEC ISMS, 2015 18 18
ISO/IEC 27000:2014 Information technology Security techniques Information security management systems Overview and vocabulary 2014 年 1 月発行 [ 第 3 版 ] ISMS ファミリー規格の概要 ISMS ファミリー規格において使用される用語等について規定した規格 国内規格としては 2014 年 3 月に JIS Q 27000:2014 として制定された 情報技術 - セキュリティ技術 - 情報マネジメントシステム - 用語 ISO/IEC 27000:2014 の箇条 2 の用語及び定義の技術的内容を変更することなく作成した国内規格 (ISMS の概要などを示した ISO/IEC 27000:2014 の箇条 3 以降は含まれていない ) Copyright JIPDEC ISMS, 2015 19
ISO/IEC 27001:2013 Information technology Security techniques Information security management systems Requirements 2013 年 10 月発行 [ 第 2 版 ] 組織の事業リスク全般を考慮して 文書化した ISMS を確立 実施 維持及び継続的に改善するための要求事項を規定した規格 国内規格としては 2006 年 5 月に JIS Q 27001:2006 として制定されており ISO/IEC 27001:2013 発行に伴い JIS Q 27001:2014 が 2014 年 3 月に発行された 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 Copyright JIPDEC ISMS, 2015 20
ISO/IEC 27002:2013 Information technology Security techniques Code of practice for information security controls 2013 年 10 月発行 [ 第 2 版 ] 情報セキュリティマネジメントの確立 実施 維持及び改善に関するベストプラクティスをまとめた規格 ISO/IEC 27001 の 附属書 A 管理目的及び管理策 と整合がとられている * 当初 ISO/IEC 17799 として発行されたが 2007 年 7 月に規格番号が ISO/IEC 27002 と改番された 国内規格としては 2006 年 5 月に JIS Q 27002:2006 として制定されており ISO/IEC 27002:2013 発行に伴い JIS Q 27002:2014 が 2014 年 3 月に発行された 情報技術 - セキュリティ技術 - 情報セキュリティ管理策の実践のための規範 Copyright JIPDEC ISMS, 2015 21
ISO/IEC 27001:2013 要求事項の概要 ISO/IEC 27001:2013 要求事項の内容 (1/3)~(3/3) ISO/IEC 27001:2013の各箇条の関係 附属書 Aの管理目的及び管理策の概要 附属書 Aの管理目的及び管理策の使用方法 附属書 AとISO/IEC 27002との関係 ISO/IEC 27001:2013 附属書 A( 規定 ) Copyright JIPDEC ISMS, 2015 22
ISO/IEC 27001:2013 要求事項の内容 (1/3) 箇条 概略 4 組織の状況 4.1 組織及びその状況の理解 4.2 利害関係者のニーズ及び期待の理解 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 組織をとりまく内外の状況や利害関係者のニーズ及び期待を理解 決定し それらを考慮に入れたうえで ISMS の適用範囲を定めることが求められている 4.4 情報セキュリティマネジメントシステム 5 リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 方針 ISMS を推進し 関係者の意識向上を図るためには トップマネジメントの強力なリーダーシップが不可欠である ここでは トップマネジメントの果たすべき役割について規定している 5.3 組織の役割 責任及び権限 6 計画 6.1 リスク及び機会に対処する活動 6.1.1 一般 6.1.2 情報セキュリティリスクアセスメント 6.1.3 情報セキュリティリスク対応 ISMS におけるリスク及び機会を決定し 情報セキュリティリスクアセスメント 情報セキュリティリスク対応のプロセスを定めて適用することが求められている また 管理策を除外した場合には その理由を適用宣言書に記載することが求められている 6.2 情報セキュリティ目的及びそれを達成するための計画策定 Copyright JIPDEC ISMS, 2015 23
ISO/IEC 27001:2013 要求事項の内容 (2/3) 7 支援 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報 箇条 概略 7.5 で要求される文書類を文書化し 管理し 維持しながら 人々の力量 並びに利害関係者との反復的かつ必要に応じたコミュニケーションを確立することを通じた ISMS の運用の支援について規定している 8 運用 8.1 運用の計画及び管理 8.2 情報セキュリティリスクアセスメント 8.3 情報セキュリティリスク対応 情報セキュリティの要求事項を実現するために必要なプロセス群の 策定 導入 実施 及び管理について 並びに情報セキュリティリスクアセスメント 情報セキュリティリスク対応の実施について規定している Copyright JIPDEC ISMS, 2015 24
ISO/IEC 27001:2013 要求事項の内容 (3/3) 箇条 概略 9 パフォーマンス評価 9.1 監視 測定 分析及び評価 9.2 内部監査 9.3 マネジメントレビュー 情報セキュリティパフォーマンスの評価 ( 監視 測定 分析及び評価 ) 内部監査及びマネジメントレビューについて規定している 10 改善 10.1 不適合及び是正処置 10.2 継続的改善 不適合が発生した場合の処置 及び処置の文書化と ISMS の適切性 妥当性及び有効性の継続的改善について規定している Copyright JIPDEC ISMS, 2015 25
ISO/IEC 27001:2013 の各箇条の関係 5. リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割 責任及び権限 4. 組織の状況 4.1 組織及びその状況の理解 組織をとりまく内外の課題 4.2 利害関係者のニーズ及び期待の理解 ISMS に関連する利害関係者の要求事項 6. 計画 6.1 リスク及び機会に対処する活動 6.1.1 一般 リスク及び機会の決定 6.1.2 情報セキュリティリスクアセスメント 6.1.3 情報セキュリティリスク対応 8. 運用 8.1 運用の計画及び管理 6.1 6.2 を実施 8.2 情報セキュリティリスクアセスメント 6.1.2 を実施 8.3 情報セキュリティリスク対応 6.1.3 を実施 9. パフォーマンス評価 9.1 監視 測定 分析及び評価情報セキュリティパフォーマンス及び ISMS の有効性を評価 9.2 内部監査有効に実施され 継続的に維持されているかを評価 9.3 マネジメント レビュー継続的改善の機会 及び ISMS の変更の必要性を決定 4.3 適用範囲の決定 適用範囲の境界及び適用可能性 6.2 情報セキュリティ目的及びそれを達成するための計画策定 10. 改善 10.1 不適合及び是正処置 10.2 継続的改善 7. 支援 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報 Copyright JIPDEC ISMS, 2015 26
附属書 A の管理目的及び管理策の概要 附属書 A では, 組織が ISMS を導入する場合に参照する 35 の管理目的及び 114 の管理策を一覧で示している 管理目的とは 管理策を実施した結果として, 達成されることになる事項を説明した記述 である 管理策とは リスクを修正する対策 である 情報セキュリティにおいてリスクは減らすべきものであることから 管理策とは リスクを低減する対策 ということもできる Copyright JIPDEC ISMS, 2015 27
附属書 A の管理目的 及び管理策の使用方法 附属書 A の使用方法に関する記述が ISO/IEC 27001 の 6.1.3 情報セキュリティリスク対応 にある 組織にとって必要な管理策を設計し 又は任意の情報源の中から管理策を特定することが想定されている これらの管理策は 必ずしも附属書 A から選定する必要はないが 附属書 A に示す管理策と比較し 必要な管理策が見落とされていないことを検証することが求められている Copyright JIPDEC ISMS, 2015 28
附属書 A と ISO/IEC 27002 との関係 ISO/IEC 27001 附属書 A に ISO/IEC 27002 の管理目的及び管理策をそのまま規定している ISO/IEC 27001 附属書 A の元となった ISO/IEC 27002 は指針 ( ガイドライン ) であり, 管理策は, ~ することが望ましい ( 原文では should を用いている ) という定型の表現をとる これに対し ISO/IEC 27001 附属書 A の管理策は 要求事項として ~ しなければならない ( 原文では shall を用いている ) という表現となる ISO/IEC 27002 では 実施の手引 及び 関連情報 という見出しのもとに 管理策ごとにその説明が記載されており 追加の情報を得ることができる Copyright JIPDEC ISMS, 2015 29
ISO/IEC 27001:2013 附属書 A( 規定 ) ISO/IEC 27001:2013 附属書 A A.5 情報セキュリティのための方針群 A.6 情報セキュリティのための組織 A.7 人的資源のセキュリティ A.8 資産の管理 A.9 アクセス制御 A.10 暗号 A.11 物理的及び環境的セキュリティ A.12 運用のセキュリティ A.13 通信のセキュリティ A.14 システムの取得, 開発及び保守 A.15 供給者関係 A.16 情報セキュリティインシデント管理 A.17 事業継続マネジメントにおける情報セキュリティの側面 A.18 順守 Copyright JIPDEC ISMS, 2015 30
A.5 情報セキュリティのための方針群 A.5.1 情報セキュリティのための経営陣の方向性 目的 : 情報セキュリティのための経営陣の方向性及び指示を 事業上の要求事項並びに関連する法令及び規制に従って提示するため A.5.1.1 情報セキュリティのための方針群 管理策 : 情報セキュリティのための方針群は これを定義し 管理層が承認し 発行し 従業員及び関連する外部関係者に通知しなければならない A.5.1.2 情報セキュリティのための方針群のレビュー 管理策 : 情報セキュリティのための方針群は あらかじめ定めた間隔で 又は重大な変化が発生した場合に それが引き続き適切 妥当かつ有効であることを確実にするためにレビューしなければならない Copyright JIPDEC ISMS, 2015 31
A.6 情報セキュリティのための組織 A.6.1 内部組織 目的 : 組織内で情報セキュリティの実施及び運用に着手し これを統制するための管理上の枠組みを確立するため (A.6.1.1~A.6.1.5) A.6.2 モバイル機器及びテレワーキング 目的 : モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため (A.6.2.1~A.6.2.2) Copyright JIPDEC ISMS, 2015 32
A.7.1 雇用前 A.7 人的資源のセキュリティ 目的 : 従業員及び契約相手がその責任を理解し 求められている役割にふさわしいことを確実にするため (A.7.1.1~A.7.1.2) A.7.2 雇用期間中 目的 : 従業員及び契約相手が 情報セキュリティの責任を認識し かつ その責任を遂行することを確実にするため (A.7.2.1~A.7.2.3) A.7.3 雇用の終了及び変更 目的 : 雇用の終了又は変更のプロセスの一部として 組織の利益を保護するため (A.7.3.1) Copyright JIPDEC ISMS, 2015 33
A.8.1 資産に対する責任 A.8 資産の管理 目的 : 組織の資産を特定し 適切な保護の責任を定めるため (A.8.1.1~A.8.1.4) A.8.2 情報分類 目的 : 組織に対する情報の重要性に応じて 情報の適切なレベルでの保護を確実にするため (A.8.2.1~A.8.2.3) A.8.3 資産の取扱い 目的 : 媒体に保存された情報の認可されていない開示 変更 除去又は破壊を防止するため (A.8.3.1~A.8.3.3) Copyright JIPDEC ISMS, 2015 34
A.9 アクセス制御 A.9.1 アクセス制御に対する業務上の要求事項 目的 : 情報及び情報処理施設へのアクセスを制限するため (A.9.1.1~A.9.1.2) A.9.2 利用者アクセスの管理 目的 : システム及びサービスへの 認可された利用者のアクセスを確実にし 認可されていないアクセスを防止するため (A.9.2.1~A.9.2.6) A.9.3 利用者の責任 目的 : 利用者に対して 自らの秘密認証情報を保護する責任をもたせるため (A.9.3.1) A.9.4 システム及びアプリケーションのアクセス制御 目的 : システム及びアプリケーションへの 認可されていないアクセスを防止するため (A.9.4.1~A.9.4.5) Copyright JIPDEC ISMS, 2015 35
A.10.1 暗号による管理策 A.10 暗号 目的 : 情報の機密性 真正性及び / 又は完全性を保護するために 暗号の適切かつ有効な利用を確実にするため A.10.1.1 暗号による管理策の利用方針 情報を保護するための暗号による管理策の利用に関する方針は 策定し 実施されなければならない A.10.1.2 鍵管理 暗号鍵の利用 保護及び有効期間 (lifetime) に関する方針を策定し そのライフサイクル全体にわたって実施しなければならない Copyright JIPDEC ISMS, 2015 36
A.11 物理的及び環境的セキュリティ A.11.1 セキュリティを保つべき領域 目的 : 組織の情報及び情報処理施設に対する認可されていない物理的アクセス 損傷及び妨害を防止するため (A.11.1.1~A.11.1.6) A.11.2 装置 目的 : 資産の損失 損傷 盗難又は劣化 及び組織の業務に対する妨害を防止するため (A.11.2.1~A.11.2.9) Copyright JIPDEC ISMS, 2015 37
A.12.1 運用の手順及び責任 A.12.2 マルウェアからの保護 A.12 運用のセキュリティ (1/2) 目的 : 情報処理設備の正確かつセキュリティを保った運用を確実にするため (A.12.1.1~A.12.1.4) 目的 : 情報及び情報処理施設がマルウェアから保護されることを確実にするため (A.12.2.1~A.12.2.4) A.12.3 バックアップ 目的 : データの消失から保護するため (A.12.3.1) Copyright JIPDEC ISMS, 2015 38
A.12.4 ログ取得及び監視 A12 運用のセキュリティ (2/2) 目的 : イベントを記録し 証拠を作成するため (A.12.4.1~A.12.4.4) A.12.5 運用ソフトウェアの管理 目的 : 運用システムの完全性を確実にするため (A.12.5.1) A.12.6 技術性脆弱性管理 目的 : 技術的ぜい弱性の悪用を防止するため (A.12.6.1~A.12.6.2) A.12.7 情報システムの監査に対する考慮事項 目的 : 運用システムに対する監査活動の影響を最小限にするため (A.12.7.1) Copyright JIPDEC ISMS, 2015 39
A.13 通信のセキュリティ A.13.1 ネットワークセキュリティ管理 目的 : ネットワークにおける情報の保護 及びネットワークを支える情報処理施設の保護を確実にするため (A.13.1.1~A.13.1.3) A.13.2 情報の転送 目的 : 組織の内部及び外部に転送した情報のセキュリティを維持するため (A.13.2.1~A.13.2.4) Copyright JIPDEC ISMS, 2015 40
A.14 システムの取得 開発及び保守 A.14.1 情報システムのセキュリティ要求事項 目的ライフサイクル全体にわたって 情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため これには 公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含む (A.14.1.1~A.14.1.3) A.14.2 開発及びサポートプロセスにおけるセキュリティ 目的情報システムの開発サイクルの中で情報セキュリティを設計し 実施することを確実にするため (A.14.2.1~A.14.2.8) A.14.3 試験データ 目的 試験に用いるデータの保護を確実にするため (A.14.3.1) Copyright JIPDEC ISMS, 2015 41
A.15 供給者関係 A.15.1 供給者関係における情報セキュリティ 目的 : 供給者がアクセスできる組織の資産の保護を確実にするため (A.15.1.1~A.15.1.3) A.15.2 供給者のサービス提供の管理 目的 : 供給者との合意に沿って 情報セキュリティ及びサービス提供について合意したレベルを維持するため (A.15.2.1~A.15.2.2) 注 : 外部委託 サプライチェーン等 外部の製品及びサービスの調達 利用に関する管理策を A.15 供給者関係にまとめている Copyright JIPDEC ISMS, 2015 42
A.16 情報セキュリティインシデント管理 A.16.1 情報セキュリティインシデントの管理及びその改善 目的 : セキュリティ事象及びセキュリティ弱点に関する伝達を含む 情報セキュリティインシデントの管理のための 一貫性のある効果的な取組みを確実にするため A.16.1.1 責任及び手順 A.16.1.2 情報セキュリティ事象の報告 A.16.1.3 情報セキュリティ弱点の報告 A.16.1.4 情報セキュリティ事象の評価及び決定 A.16.1.5 情報セキュリティインシデントへの対応 A.16.1.6 情報セキュリティインシデントからの学習 A.16.1.7 証拠の収集 Copyright JIPDEC ISMS, 2015 43
A.17 事業継続マネジメントにおける 情報セキュリティの側面 A.17.1 情報セキュリティ継続 目的 : 情報セキュリティ継続を組織の事業継続マネジメントシステムに組み込むことが望ましい (A.17.1.1~A.17.1.3) A.17.2 冗長性 目的 : 情報処理施設の可用性を確実にするため (A.17.2.1) Copyright JIPDEC ISMS, 2015 44
A.18 順守 A.18.1 法的及び契約上の要求事項の順守 目的 : 情報セキュリティに関連する法的 規制又は契約上の義務に対する違反 及びセキュリティ上のあらゆる要求事項に対する違反を避けるため (A.18.1.1~A.18.1.5) A.18.2 情報セキュリティのレビュー 目的 : 組織の方針及び手順に従って情報セキュリティが実施され 運用されることを確実にするため (A.18.2.1~A.18.2.3) Copyright JIPDEC ISMS, 2015 45
ISO/IEC FDIS 27017 の最新動向 ISO/IEC FDIS 27017の概要 ISO/IEC FDIS 27017の構成 附属書 A クラウドサービス追加管理策 (1/6~6/6) Copyright JIPDEC ISMS, 2015 46
ISO/IEC FDIS 27017 の概要 Information technology Security techniques Code of practice for information security controls based on ISO/IEC 27002 for cloud services. ISO/IEC 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範を提供する規格 クラウドサービス事業者及び利用者のための管理策及び実施の手引きについて規定する 投票期間 :2015/7/31~2015/10/01 投票結果 : 承認 P- Members : 賛成 100%( 要求 >=66.66%) Member bodies: 反対 0%( 要求 <=25%) Copyright JIPDEC ISMS, 2015 47
ISO/IEC FDIS 27017 の構成 0. 序文 1. 適用範囲 2. 引用規格 3. 用語及び略語 4. クラウド分野固有の概念 5. 情報セキュリティのための方針群 6. 情報セキュリティのための組織 7. 人的資源のセキュリティ 8. 資産の管理 9. アクセス制御 10. 暗号 11. 物理的及び環境的セキュリティ 12. 運用のセキュリティ 13. 通信のセキュリティ 14. システムの取得 開発及び保守 15. 供給者関係 16. 情報セキュリティインシデント管理 17. 事業継続マネジメントにおける情報セキュリティの側面 18. 順守 附属書 A クラウドサービス追加の管理策 ( 規定 ) 附属書 B クラウドコンピューティングに関する情報セキュリティリスクに関する参照情報 ( 参考 ) 参考文献 Copyright JIPDEC ISMS, 2015 48
附属書 A クラウドサービス追加管理策 CLD 6.3/6.3.1 (1/6) 項番 ISO/IEC 27001 ISO/IEC FDIS 27017 項番管理策管理策 項番 A.6.2 A.6.2 モバイル機器及びテレ 6.2 6.2 モバイル機器及びテレワー 11.7 ワーキング キング クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 11.7 モバイルコンピューティング及びテレワーキング A.6.2.1 A.6.2.1 モバイル機器の方針 6.2.1 6.2.1 モバイル機器の方針 11.7.1 11.7.1 モバイルのコンピューティ ング及び通信 A.6.2.2 A.6.2.2 テレワーキング 6.2.2 6.2.2 テレワーキング 11.7.2 11.7.2 テレワーキング CLD.6.3 CLD. 6.3.1 クラウド利用者とクラウド事業者間の関係 クラウドコンピューティング環境における役割分担及び責任 管理策クラウドサービス利用において分担された情報セキュリティの役割の責任は クラウド利用者とクラウド事業者によって 特定した関係者に割り当て 文書化し 告知し 通知し実施されることが望ましい Copyright JIPDEC ISMS, 2015 49
附属書 A クラウドサービス追加管理策 CLD 8.1/8.1.5 (2/6) ISO/IEC 27001 ISO/IEC FDIS 27017 項番項番項番管理策管理策 クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 A.8.1 A.8.1 資産に対する責任 8.1 8.1 資産に対する責任 7.1 7.1 資産に対する責任 A.8.1.1 A.8.1.1 資産目録 8.1.1 8.1.1 資産目録 7.1.1 7.1.1 資産目録 A.8.1.2 A.8.1.2 資産の管理責任 a) 8.1.2 8.1.2 資産の管理責任 7.1.2 7.1.2 資産の管理責任者 A.8.1.3 A.8.1.3 資産利用の許容範囲 8.1.3 8.1.3 資産利用の許容範囲 7.1.3 7.1.3 資産利用の許容範囲 A.8.1.4 A.8.1.4 資産の返却 8.1.4 8.1.4 資産の返却 8.3.2 8.3.2 資産の返却 CLD.8.1 資産に対する責任 資産に対する責任は ISO/IEC 27002 の 8.1 による CLD. 8.1.5 クラウド利用者資産の削除管理策クラウド事業者の構内にあるクラウド利用者資産は 利用契約の終了時に 適時に削除し 必要に応じて返却することが望ましい 注 :a) 6.1.2 及び 6.1.3 では 情報セキュリティのリスクを運用管理することについて 責任及び権限を持つ人又は主体をリスク所有者としている 情報セキュリティにおいて多くの場合 資産の管理責任を負う者は リスク所有者でもある Copyright JIPDEC ISMS, 2015 50
附属書 A クラウドサービス追加管理策 CLD 9.5 /9.5.1 /9.5.2 (3/6) ISO/IEC 27001 ISO/IEC FDIS 27017 項番項番項番管理策管理策 A.9.4 A.9.4 システム及びアプリケーションのアクセス制御 9.4 9.4 システム及びアプリケーショ 11.5 ンのアクセス制御 11.6 クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 11.5 オペレーティングシステムのアクセス制御 11.6 業務用ソフトウェア及び情報のアクセス制御 A.9.4.1 A.9.4.1 情報へのアクセス制限 9.4.1 9.4.1 情報へのアクセス制限 11.6.1 11.6.1 情報へのアクセス制限 11.6.2 11.6.2 取扱いに慎重を要するシステムの隔離 A.9.4.2 A.9.4.2 セキュリティに配慮したログオン手順 9.4.2 9.4.2 セキュリティに配慮したログオン手順 11.5.1 11.5.1 セキュリティに配慮したログオン手順 11.5.6 11.5.6 接続時間の制限 A.9.4.3 A.9.4.3 パスワード管理システム 9.4.3 9.4.3 パスワード管理システム 11.5.3 11.5.3 パスワード管理システム A.9.4.4 A.9.4.4 特権的なユーティリティプログラムの使用 9.4.4 9.4.4 特権的なユーティリティプログラムの使用 11.5.4 11.5.4 システムユーティリティの使用 A.9.4.5 A.9.4.5 プログラムソースコードへのアクセス制御 9.4.5 9.4.5 プログラムソースコードへのアクセス制御 12.4.3 12.4.3 プログラムソースコードへのアクセス制御 CLD.9.5 CLD. 9.5.1 分散仮想環境におけるクラウド利用者データのアクセス制御 バーチャルコンピューティング環境における分離 管理策クラウドサービス上のクラウド利用者の仮想環境は 他のクラウド利用者及び認可されていない要員から保護することが望ましい CLD. 9.5.2 Copyright JIPDEC ISMS, 2015 51 仮想化マシンの堅牢化 管理策クラウドコンピューティング環境における仮想化マシンは ビジネスニーズを満たすために堅牢化することが望ましい
附属書 A クラウドサービス追加管理策 CLD 12.1/12.1.5 (4/6) 項番 ISO/IEC 27001 管理策 項番 ISO/IEC FDIS 27017 管理策 項番 クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 A.12.1 A.12.1 運用の手順及び責任 12.1 12.1 運用の手順及び責任 10.1 10.1 運用の手順及び責任 A.12.1.1 A.12.1.1 操作手順書 12.1.1 12.1.1 操作手順書 10.1.1 10.1.1 操作手順書 A.12.1.2 A.12.1.2 変更管理 12.1.2 12.1.2 変更管理 10.1.2 10.1.2 変更管理 A.12.1.3 A.12.1.3 容量 能力の管理 12.1.3 12.1.3 容量 能力の管理 10.3.1 10.3.1 容量 能力の管理 A.12.1.4 A.12.1.4 開発環境, 試験環境及び運用環境の分離 12.1.4 12.1.4 開発環境, 試験環境及び運用環境の分離 10.1.4 10.1.4 開発施設, 試験施設及び運用施設の分離 CLD.12.1 運用の手順及び責任 運用の手順及び責任は ISO/IEC 27002 の 12.1 による CLD. 12.1.5 管理者の運用セキュリティ 管理策クラウドコンピューティング環境における運用管理者に対する手順は 定義し 文書化し 監視することが望ましい Copyright JIPDEC ISMS, 2015 52
附属書 A クラウドサービス追加管理策 CLD 12.4/12.4.5 (5/6) ISO/IEC 27001 ISO/IEC FDIS 27017 項番項番項番管理策管理策 A.12.4 A.12.4 ログ取得及び監視 12.4 12.4 ログ取得及び監視 10.1 10.10 監視 クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 A.12.4.1 A.12.4.1 イベントログ取得 12.4.1 12.4.1 イベントログ取得 10.10.1 10.10.1 監査ログ取得 A.12.4.2 A.12.4.2 ログ情報の保護 12.4.2 12.4.2 ログ情報の保護 10.10.3 10.10.3 ログ情報の保護 A.12.4.3 A.12.4.3 実務管理者及び運用担当者の作業ログ 12.4.3 12.4.3 実務管理者及び運用担当者の作業ログ 10.10.4 10.10.4 実務管理者及び運用担当者の作業ログ A.12.4.4 A.12.4.4 クロックの同期 12.4.4 12.4.4 クロックの同期 10.10.6 10.10.6 クロックの同期 CLD.12.4 ログ取得及び監視 CLD. 12.4.5 Copyright JIPDEC ISMS, 2015 53 ログ取得及び監視については ISO/IEC 27002 の 12.4 による クラウドサービスの監視 管理策クラウド利用者は 利用するクラウドサービスの運用の特定の側面を監視する能力を持つことが望ましい
附属書 A クラウドサービス追加管理策 CLD 13.1/13.1.4 (6/6) 項番 ISO/IEC 27001 ISO/IEC FDIS 27017 項番管理策管理策 項番 A.13.1 A.13.1 ネットワークセキュリティ 13.1 13.1 ネットワークセキュリティ管 10.6 管理 理 クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 10.6 ネットワークセキュリティ管理 A.13.1.1 A.13.1.1 ネットワーク管理策 13.1.1 13.1.1 ネットワーク管理策 10.6.1 10.6.1 ネットワーク管理策 A.13.1.2 A.13.1.2 ネットワークサービスのセキュリティ 13.1.2 13.1.2 ネットワークサービスのセキュリティ 10.6.2 10.6.2 ネットワークサービスのセキュリティ A.13.1.3 A.13.1.3 ネットワークの分離 13.1.3 13.1.3 ネットワークの分離 11.4.5 11.4.5 ネットワークの領域分割 CLD.13.1 ネットワークセキュリティ管理 ネットワークセキュリティ管理については ISO/IEC 27002 の 13.1 による CLD. 13.1.4 仮想及び物理ネットワークのセキュリティマネジメントの整合 管理策仮想ネットワーク構成に際しては 仮想と物理ネットワークとの構成の整合は クラウド事業者のネットワークセキュリティ方針に基づき検証することが望ましい Copyright JIPDEC ISMS, 2015 54
クラウドセキュリティ認証の概要 クラウドセキュリティ認証の背景 クラウドセキュリティ認証の対象者 クラウドセキュリティ認証 ( 制度の枠組み ) クラウドセキュリティ認証 ( アドオン認証 ) ISO/IEC 27001 認証と ISO/IEC 27017 認証の適用範囲 ( 案 ) 制度運用までのスケジュール ( 案 ) Copyright JIPDEC ISMS, 2015 55
クラウドセキュリティ認証の背景 クラウドサービスの本格的な普及に伴い クラウドサービスに求められるセキュリティ要求事項を明確化することの重要性を認識 クラウドサービス向けの国際規格 ISO/IEC 27017(Code of practice for information security controls based on ISO/IEC 27002 for cloud services) の策定が進められ 発行される見込み このような状況を踏まえ ISO/IEC 27001に基づき クラウドサービスの信頼性を保証するクラウドセキュリティ認証を開始する予定 クラウドセキュリティ認証の詳細については Web 公開する予定 Copyright JIPDEC ISMS, 2015 56
クラウドセキュリティ認証は ISO/IEC 27017 に従い クラウドサービス事業者 クラウドサービス利用者の両方を対象とする なお 本認証は ISMS (ISO/IEC 27001) 認証を前提とする クラウドサービス事業者 : クラウドサービスを利用可能にする組織 ( クラウドサービスを提供する組織 ) ただし クラウド事業者も 提供するサービスの様態によっては クラウドサービス利用者となる場合がある クラウドサービス利用者 : クラウドセキュリティ認証の対象者 クラウドサービスを利用する目的のための取引関係がある組織 ( クラウドサービスを利用する組織 ) ( 用語及び定義は ISO/IEC 27017 及び クラウドサービス利用のための情報セキュリティマネジメントガイドライン ( 経済産業省 ) に基づく ) Copyright JIPDEC ISMS, 2015 57
クラウドセキュリティ認証 ( 制度の枠組み ) クラウドセキュリティ認証 ( 略称 :CLS 認証 ) の枠組みは以下の方針とする ISMS(ISO/IEC 27001) 認証を前提として クラウドサービスの情報セキュリティ管理を満たしている組織を認証する仕組みとする ( アドオン認証 ) ここでは ISOの枠組みの中で ISMS(ISO/IEC 27001) 認証を前提として 特定の分野固有の規格に準拠していることをアドオン認証という ( アドオン認証のイメージは 別図を参照 ) Copyright JIPDEC ISMS, 2015 58
クラウドセキュリティ認証 ( アドオン認証 ) 制度の枠組み アドオン認証のイメージ Copyright JIPDEC ISMS, 2015 59
ISO/IEC 27001 認証と ISO/IEC 27017 認証の適用範囲 ( 案 ) ISO/IEC 27001 1 適用範囲 ISO/IEC 27001 A ISO/IEC 27017 B ISO/IEC 27001 認証 ISO/IEC 27002 クラウドサービスに基づくリスクアセスメント ISO/IEC 27017 適用範囲 A ISO/IEC 27001 認証 + 適用範囲 B ISO/IEC 27017 認証 認証登録書 適用範囲 2 ISO/IEC 27001 A ISO/IEC 27017 B Copyright JIPDEC ISMS, 2015 60
制度運用までのスケジュール ( 案 ) 2014 年 2015 年 2016 年 2017 年 ISO JIS ISO/IEC 27017 2nd CD DIS ( 投票 :1/20-4/20) FDIS ( 投票 :7/31-10/1) ISO 発行 ISO の対訳版発行 ISO/IEC 27017 の JIS 化作業 JIS 概要 要件 概要 要件案の検討 作成 JIS 発行時期未定 ガイド 組織向けガイドの作成 ( リスクマネジメント編の拡張 ) 研修 研修資料案の検討 作成 認定基準 認定基準類案の検討 作成 制度設立 3 月 ~ 関連団体との調整等 説明会実施 (ISO 公開後 ) 方針の公開 (11 月予定 ) クラウドセキュリティ制度開始
ご清聴ありがとうございました 問い合わせ先 一般財団法人日本情報経済社会推進協会情報マネジメント推進センター TEL: 03-5860-7570 FAX: 03-5573-0564 Web: http://www.isms.jipdec.or.jp/ Copyright JIPDEC ISMS, 2015 62