PowerPoint プレゼンテーション - PDF 無料ダウンロード

ISMS をベースにしたクラウドセキュリティ -ISO/IEC 27017 の最新動向 - 一般財団法人日本情報経済社会推進協会参事高取敏夫 2015 年 11 月 18 日 http://www.isms.jipdec.or.jp/ Copyright JIPDEC ISMS, 2015 1

JIPDEC 組織体制 JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 設立 : 昭和 42 年 12 月 20 日事業規模 :25 億 1,610 万円 ( 平成 27 年度予算 ) 職員数 :108 名 ( 平成 27 年 4 月現在 ) JIPDEC 広報室総務部電子情報利活用研究部プライバシーマーク推進センター情報マネジメント推進センター総務課事務局経理課安信簡情報環境推進部審査業務室電子署名認証センター情報通信管理課 Copyright JIPDEC ISMS, 2015 2

情報マネジメント推進センターの主な業務内容情報技術に関連するマネジメントシステムの認定機関としての業務及び各制度に関連する普及業務 ISMS/ITSMS/BCMS/CSMS 認定システム実施に伴う諸業務 ISMS/ITSMS/BCMS/CSMS 認定審査の実施 ISMS/ITSMS/BCMS/CSMS 関連の委員会事務局業務 IT 資産管理 (ITAM) に関する調査研究業務国際認定機関やフォーラム ( IAF PAC 等 ) との相互連携の推進 ISO/IECなど ( 国際規格ガイド策定等 ) への積極的貢献クラウドセキュリティに関する調査研究 Copyright JIPDEC ISMS, 2015 3

アジェンダ ISMSの概要 ISMSの国際動向 ISO/IEC 27001:2013 要求事項の概要 ISO/IEC FDIS 27017の最新動向クラウドセキュリティ認証の概要 Copyright JIPDEC ISMS, 2015 4

ISMS の概要 ISMS 適合性評価制度 12 年の歩み (1/3~3/3) ISMS 適合性評価制度における適合基準 ISMS 適合性評価制度の仕組み ISMSに関するガイド等 Copyright JIPDEC ISMS, 2015 5

ISMS 適合性評価制度 12 年の歩み (1/3) 制度普及第一期 2000 2001 2002 2003 2004 2005 中央省庁ホームページ連続改ざん事件 2000.1 情報セキュリティ管理の国際的なスタンダードの導入及び安対制度の改革を公表 2000.7 ISO/IEC 17799 が制定 2000.12 安対制度の廃止 2001.3 ISMS 適合性評価制度パイロット事業の実施 2001.7 ISMS 適合性評価制度の開始 2002.4 OECD の情報セキュリティガイドラインの見直し 2003.4 ファイル交換ソフト Winny による情報流出事件 2004~ 個人情報保護法施行 2005.4 ISO/IEC 17799 から ISO/IEC 27002 へ規格番号の変更 2005.6 ISO/IEC 27001(ISMS 認証基準 ) の発行 2005.10 Copyright JIPDEC ISMS, 2015 6

ISMS 適合性評価制度 12 年の歩み (2/3) 制度普及第二期 2006 2007 2008 2009 2010 2011 2012 PAC(PACIFIC ACCREDITATION COOPERATION) 加盟 2006.4 ISMS 認証基準 (Ver.2.0) から JIS Q 27001 への移行開始 2006.5 審査員評価登録業務及び審査員研修機関の認定業務の移管 2007.3 IAF(INTERNATIONAL ACCREDITATION FORUM) 加盟 2007.10 医療機関向け ISMS ユーザーズガイドの発行 2008.5 ( 初版は 2004.11 発行 ) ISMS の相互承認 (MLA) の検討開始 2008.6 ISMS 認証取得組織が 3,000 を超える 2008.7 クレジット産業向け PCIDSS/ISMS ユーザーズガイドの発行 2009.3 ( 初版は 2006.3 発行 ) ISMS 審査員評価登録センターの認定 2009~2010 ISMS 認証取得組織が 4,000 を超える 2011.3 標的型サーバ攻撃事件 2011~ 制御システムのセキュリティマネジメント (CSMS) の制度化 2011~ セキュリティガバナンス協議会のスタート 2012.5 ASEAN 情報セキュリティ政策会議 2012.10 Copyright JIPDEC ISMS, 2015 7

ISMS 適合性評価制度 12 年の歩み (3/3) 2013 ISO/IEC 27001:2013 の発行 2013.10 ISO/IEC 27002:2013 の発行 2013.10 ISO/IEC 27001:2013 への移行開始 2013.10 制度普及第三期 2014 2015 2016 JIS Q 27001/ 27002/ 27000:2014 の発行 2014.3 サイバーセキュリティ基本法制定 2014.11 認証取得事業者数 4,700 件認証機関数 26 機関サイバーセキュリティ戦略 2015.9 ISO/IEC 27001:2013 への移行完了 2015.10 ISO/IEC FDIS 27017:2015 の発行 2015.10 クラウドセキュリティ認証の公表予定 2015.11 2017 2018 Copyright JIPDEC ISMS, 2015 8

ISMS 適合性評価制度における適合基準認定機関認証機関評価希望組織認定 (Accreditation) 認証 (Certification) 適合基準適合基準適合基準 Copyright JIPDEC ISMS, 2015 9 ISO/IEC 17011:2004(JIS Q 17011) ( 適合性評価 - 適合性評価機関の認定を行う機関に対する一般要求事項 : Conformity assessment - General requirements for accreditation bodies accrediting conformity assessment bodies) ISO/IEC 27006:2015(JIS Q 27006) ( 情報技術 - セキュリティ技術 -ISMS の審査及び認証を行う機関に対する要求事項 : Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems) ISO/IEC 27001:2013 (JIS Q 27001) ( 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 : Information technology-security techniques-information security management systems- Requirements)

ISMS 適合性評価制度の仕組み認証機関申請申請要員認証機関申請審査 ( 認証 ) 審査 ( 認定 ) 審査 ( 認定 ) JIS Q 27006 (ISO/IEC 27006) JIS Q 27001 (ISO/IEC 27001) 認定機関認定機関 JIPDEC JIPDEC 情報マネジメント推進センター情報マネジメント推進センター意見苦情 JIS Q 17011 (ISO/IEC 17011) JIS Q 17024 (ISO/IEC 17024) 承認申請評価 ( 認証 ) 証明書発行申請審査員希望者受講評価希望組織審査員研修機関 ISO/IEC 17024(JIS Q 17024): 適合性評価 - 要員の認証を実施する機関に対する一般要求事項 ( Conformity assessment -- General requirements for bodies operating certification of persons) Copyright JIPDEC ISMS, 2015 10

名称 ISMS に関するガイド等発行改訂日内容地方公共団体と情報セキュリティ ~ISMS への第一歩 ~ 2013. 3.29 地方公共団体が ISMS に取り組む際に直面するかもしれない特有の問題を洗い出しそれに対処するためのアドバイスやノウハウをわかりやすく記載したハンドブックです座談会 10 年目の ISMS 2013.2 ISMS 制度創設から 10 年間の軌跡を座談会形式でまとめたものです ISMS 適合性評価制度の概要 2014.4 ISMS 適合性評価制度の概要を紹介したものです ( パンフレット ) ISMS ユーザーズガイド -JIS Q 27001:2014 (ISO/IEC 27001:2013) 対応 - ISMS ユーザーズガイド -JIS Q 27001:2014 (ISO/IEC 27001:2013) 対応 - リスクマネジメント編クレジット産業向け PCIDSS /ISMS ユーザーズガイドクレジット加盟店向け情報セキュリティのためのガイド (PCI DSS/ISMS 準拠のためのガイド ) 法規適合性に関する ISMS ユーザーズガイド外部委託における ISMS 適合性評価制度の活用方法 2014. 4.14 2015. 3.31 2009. 3.31 2011. 1.26 2009.4 2015.11 予定 ISMS 認証基準 (JIS Q 27001:2014) の要求事項について一定の範囲でその意味するところを説明しているガイドです主な読者は ISMS 認証取得を検討もしくは着手している組織において実際に ISMS の構築に携わっている方及び責任者を想定しています参考文献の維持管理を向上させるために別ファイルにしています ( 更新 :2012 年 3 月 15 日 ) ISMS ユーザーズガイドを補足しリスクマネジメントとりわけリスクアセスメント及びその結果に基づくリスク対応についての理解を深めるために必要な事項について例を挙げて解説しています事例を付録として追加しました ISMS ユーザーズガイドのクレジット産業向け版でクレジット産業における ISMS 構築を主眼として関連する規範と ISMS 認証基準とのマッピングを示し ISMS を構築することがこれらの規範を順守する上で非常に有効な手段であることを示したガイドですクレジット加盟店の情報セキュリティのため PCI DSS/ISMS 準拠に関して説明しているガイドです企業がリスクマネジメントを実施する上で法的リスクを考慮することは重要でありとりわけ個人情報保護法等の法規順守については重要な課題となっています個人情報保護に対応する手段として ISMS の枠組みは極めて有効であり ISMS の枠組みが法的及び規制要求事項に適合させる仕組みであることを理解して頂くことを目的としたガイドです組織又は企業において情報処理業務の一部又は全てを外部委託する場合に情報セキュリティ責任者及び担当者が委託先の選定に ISMS 適合性評価制度を活用するためのガイドです Copyright JIPDEC ISMS, 2015 11

ISMS の国際動向 ISMS 認証取得組織数の年度別推移国地域別認証登録数の推移国地域別認証登録数 ISO/IEC JTC1/SC27 WGの構成国際規格の改訂作業の経緯 ISO/IEC 27000シリーズ規格番号 ISO/IEC 27000:2014 ISO/IEC 27001:2013 ISO/IEC 27002:2013 Copyright JIPDEC ISMS, 2015 12

ISMS 認証取得組織の年度別推移 5000 4500 4000 3783 4030 4243 4493 4620 3500 3176 3465 3000 2500 2000 1500 1583 2168 2646 登録累計 1000 500 0 852 731 585 429 478 530 423 279 289 318 247 144 213 250 144 127 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 年度年度 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 認証取得組織数 144 279 429 731 585 478 530 289 318 247 213 250 127 認証取得組織数累計 144 423 852 1583 2168 2646 3176 3465 3783 4030 4243 4493 4620 認定された認証機関数累計 6 9 18 19 23 23 24 25 26 26 26 26 26 Copyright JIPDEC ISMS, 2015 13

国地域別認証登録数の推移 (ISO-survey より ) 順位国 / 地域 2011 2012 2013 1 日本 6,914 7,199 7,084 2 インド 1,427 1,611 1,931 3 英国 1,464 1,701 1,923 4 中国 1,219 1,490 1,710 5 イタリア 425 495 901 6 台湾 791 855 861 7 ルーマニア 575 866 840 8 スペイン 642 805 799 9 ドイツ 424 488 581 10 米国 315 415 566 11 チェコ 301 264 397 12 オランダ 125 190 316 13 ポーランド 233 279 307 14 ハンガリー 178 199 280 15 ブルガリア 132 208 278 16 韓国 191 230 252 順位国 / 地域 2011 2012 2013 17 イスラエル 110 130 185 18 マレーシア 72 100 181 19 トルコ 100 132 181 20 スロバキア 111 127 159 21 オーストラリア 94 113 138 22 タイ 76 96 125 23 香港 99 110 124 24 UAE 73 96 123 25 スイス 66 65 111 26 フランス 46 66 94 27 シンガポール 68 65 84 28 ブラジル 50 53 82 29 コロンビア 27 58 82 30 メキシコ 70 75 80 その他 937 1,039 1,518 計 17,355 19,620 22,293 Copyright JIPDEC ISMS, 2015 14

国地域別認証登録数その他, 5,097, (23%) 米国, 566, (3%) 日本, 7,084, (32%) ドイツ, 581, (3%) スペイン, 799, (4%) ルーマニア, 840, (4%) インド, 1,931, (9%) 台湾, 861, (4%) イタリア, 901, (4%) 中国, 1,710, (8%) 英国, 1,923, (9%) Copyright JIPDEC ISMS, 2015 15

ISO/IEC JTC1/SC27 WG の構成 Copyright JIPDEC ISMS, 2015 16

国際規格の改訂作業の経緯 IS 発行 [ 第 3 版 ] 2014/1/15 Copyright JIPDEC ISMS, 2015 17

ISO/IEC 27000 シリーズ規格番号 Copyright JIPDEC ISMS, 2015 18 18

ISO/IEC 27000:2014 Information technology Security techniques Information security management systems Overview and vocabulary 2014 年 1 月発行 [ 第 3 版 ] ISMS ファミリー規格の概要 ISMS ファミリー規格において使用される用語等について規定した規格国内規格としては 2014 年 3 月に JIS Q 27000:2014 として制定された情報技術 - セキュリティ技術 - 情報マネジメントシステム - 用語 ISO/IEC 27000:2014 の箇条 2 の用語及び定義の技術的内容を変更することなく作成した国内規格 (ISMS の概要などを示した ISO/IEC 27000:2014 の箇条 3 以降は含まれていない ) Copyright JIPDEC ISMS, 2015 19

ISO/IEC 27001:2013 Information technology Security techniques Information security management systems Requirements 2013 年 10 月発行 [ 第 2 版 ] 組織の事業リスク全般を考慮して文書化した ISMS を確立実施維持及び継続的に改善するための要求事項を規定した規格国内規格としては 2006 年 5 月に JIS Q 27001:2006 として制定されており ISO/IEC 27001:2013 発行に伴い JIS Q 27001:2014 が 2014 年 3 月に発行された情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 Copyright JIPDEC ISMS, 2015 20

ISO/IEC 27002:2013 Information technology Security techniques Code of practice for information security controls 2013 年 10 月発行 [ 第 2 版 ] 情報セキュリティマネジメントの確立実施維持及び改善に関するベストプラクティスをまとめた規格 ISO/IEC 27001 の附属書 A 管理目的及び管理策と整合がとられている * 当初 ISO/IEC 17799 として発行されたが 2007 年 7 月に規格番号が ISO/IEC 27002 と改番された国内規格としては 2006 年 5 月に JIS Q 27002:2006 として制定されており ISO/IEC 27002:2013 発行に伴い JIS Q 27002:2014 が 2014 年 3 月に発行された情報技術 - セキュリティ技術 - 情報セキュリティ管理策の実践のための規範 Copyright JIPDEC ISMS, 2015 21

ISO/IEC 27001:2013 要求事項の概要 ISO/IEC 27001:2013 要求事項の内容 (1/3)~(3/3) ISO/IEC 27001:2013の各箇条の関係附属書 Aの管理目的及び管理策の概要附属書 Aの管理目的及び管理策の使用方法附属書 AとISO/IEC 27002との関係 ISO/IEC 27001:2013 附属書 A( 規定 ) Copyright JIPDEC ISMS, 2015 22

ISO/IEC 27001:2013 要求事項の内容 (1/3) 箇条概略 4 組織の状況 4.1 組織及びその状況の理解 4.2 利害関係者のニーズ及び期待の理解 4.3 情報セキュリティマネジメントシステムの適用範囲の決定組織をとりまく内外の状況や利害関係者のニーズ及び期待を理解決定しそれらを考慮に入れたうえで ISMS の適用範囲を定めることが求められている 4.4 情報セキュリティマネジメントシステム 5 リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 方針 ISMS を推進し関係者の意識向上を図るためにはトップマネジメントの強力なリーダーシップが不可欠であるここではトップマネジメントの果たすべき役割について規定している 5.3 組織の役割責任及び権限 6 計画 6.1 リスク及び機会に対処する活動 6.1.1 一般 6.1.2 情報セキュリティリスクアセスメント 6.1.3 情報セキュリティリスク対応 ISMS におけるリスク及び機会を決定し情報セキュリティリスクアセスメント情報セキュリティリスク対応のプロセスを定めて適用することが求められているまた管理策を除外した場合にはその理由を適用宣言書に記載することが求められている 6.2 情報セキュリティ目的及びそれを達成するための計画策定 Copyright JIPDEC ISMS, 2015 23

ISO/IEC 27001:2013 要求事項の内容 (2/3) 7 支援 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報箇条概略 7.5 で要求される文書類を文書化し管理し維持しながら人々の力量並びに利害関係者との反復的かつ必要に応じたコミュニケーションを確立することを通じた ISMS の運用の支援について規定している 8 運用 8.1 運用の計画及び管理 8.2 情報セキュリティリスクアセスメント 8.3 情報セキュリティリスク対応情報セキュリティの要求事項を実現するために必要なプロセス群の策定導入実施及び管理について並びに情報セキュリティリスクアセスメント情報セキュリティリスク対応の実施について規定している Copyright JIPDEC ISMS, 2015 24

ISO/IEC 27001:2013 要求事項の内容 (3/3) 箇条概略 9 パフォーマンス評価 9.1 監視測定分析及び評価 9.2 内部監査 9.3 マネジメントレビュー情報セキュリティパフォーマンスの評価 ( 監視測定分析及び評価 ) 内部監査及びマネジメントレビューについて規定している 10 改善 10.1 不適合及び是正処置 10.2 継続的改善不適合が発生した場合の処置及び処置の文書化と ISMS の適切性妥当性及び有効性の継続的改善について規定している Copyright JIPDEC ISMS, 2015 25

ISO/IEC 27001:2013 の各箇条の関係 5. リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割責任及び権限 4. 組織の状況 4.1 組織及びその状況の理解組織をとりまく内外の課題 4.2 利害関係者のニーズ及び期待の理解 ISMS に関連する利害関係者の要求事項 6. 計画 6.1 リスク及び機会に対処する活動 6.1.1 一般リスク及び機会の決定 6.1.2 情報セキュリティリスクアセスメント 6.1.3 情報セキュリティリスク対応 8. 運用 8.1 運用の計画及び管理 6.1 6.2 を実施 8.2 情報セキュリティリスクアセスメント 6.1.2 を実施 8.3 情報セキュリティリスク対応 6.1.3 を実施 9. パフォーマンス評価 9.1 監視測定分析及び評価情報セキュリティパフォーマンス及び ISMS の有効性を評価 9.2 内部監査有効に実施され継続的に維持されているかを評価 9.3 マネジメントレビュー継続的改善の機会及び ISMS の変更の必要性を決定 4.3 適用範囲の決定適用範囲の境界及び適用可能性 6.2 情報セキュリティ目的及びそれを達成するための計画策定 10. 改善 10.1 不適合及び是正処置 10.2 継続的改善 7. 支援 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報 Copyright JIPDEC ISMS, 2015 26

附属書 A の管理目的及び管理策の概要附属書 A では, 組織が ISMS を導入する場合に参照する 35 の管理目的及び 114 の管理策を一覧で示している管理目的とは管理策を実施した結果として, 達成されることになる事項を説明した記述である管理策とはリスクを修正する対策である情報セキュリティにおいてリスクは減らすべきものであることから管理策とはリスクを低減する対策ということもできる Copyright JIPDEC ISMS, 2015 27

附属書 A の管理目的及び管理策の使用方法附属書 A の使用方法に関する記述が ISO/IEC 27001 の 6.1.3 情報セキュリティリスク対応にある組織にとって必要な管理策を設計し又は任意の情報源の中から管理策を特定することが想定されているこれらの管理策は必ずしも附属書 A から選定する必要はないが附属書 A に示す管理策と比較し必要な管理策が見落とされていないことを検証することが求められている Copyright JIPDEC ISMS, 2015 28

附属書 A と ISO/IEC 27002 との関係 ISO/IEC 27001 附属書 A に ISO/IEC 27002 の管理目的及び管理策をそのまま規定している ISO/IEC 27001 附属書 A の元となった ISO/IEC 27002 は指針 ( ガイドライン ) であり, 管理策は, ~ することが望ましい ( 原文では should を用いている ) という定型の表現をとるこれに対し ISO/IEC 27001 附属書 A の管理策は要求事項として ~ しなければならない ( 原文では shall を用いている ) という表現となる ISO/IEC 27002 では実施の手引及び関連情報という見出しのもとに管理策ごとにその説明が記載されており追加の情報を得ることができる Copyright JIPDEC ISMS, 2015 29

ISO/IEC 27001:2013 附属書 A( 規定 ) ISO/IEC 27001:2013 附属書 A A.5 情報セキュリティのための方針群 A.6 情報セキュリティのための組織 A.7 人的資源のセキュリティ A.8 資産の管理 A.9 アクセス制御 A.10 暗号 A.11 物理的及び環境的セキュリティ A.12 運用のセキュリティ A.13 通信のセキュリティ A.14 システムの取得, 開発及び保守 A.15 供給者関係 A.16 情報セキュリティインシデント管理 A.17 事業継続マネジメントにおける情報セキュリティの側面 A.18 順守 Copyright JIPDEC ISMS, 2015 30

A.5 情報セキュリティのための方針群 A.5.1 情報セキュリティのための経営陣の方向性目的 : 情報セキュリティのための経営陣の方向性及び指示を事業上の要求事項並びに関連する法令及び規制に従って提示するため A.5.1.1 情報セキュリティのための方針群管理策 : 情報セキュリティのための方針群はこれを定義し管理層が承認し発行し従業員及び関連する外部関係者に通知しなければならない A.5.1.2 情報セキュリティのための方針群のレビュー管理策 : 情報セキュリティのための方針群はあらかじめ定めた間隔で又は重大な変化が発生した場合にそれが引き続き適切妥当かつ有効であることを確実にするためにレビューしなければならない Copyright JIPDEC ISMS, 2015 31

A.6 情報セキュリティのための組織 A.6.1 内部組織目的 : 組織内で情報セキュリティの実施及び運用に着手しこれを統制するための管理上の枠組みを確立するため (A.6.1.1~A.6.1.5) A.6.2 モバイル機器及びテレワーキング目的 : モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため (A.6.2.1~A.6.2.2) Copyright JIPDEC ISMS, 2015 32

A.7.1 雇用前 A.7 人的資源のセキュリティ目的 : 従業員及び契約相手がその責任を理解し求められている役割にふさわしいことを確実にするため (A.7.1.1~A.7.1.2) A.7.2 雇用期間中目的 : 従業員及び契約相手が情報セキュリティの責任を認識しかつその責任を遂行することを確実にするため (A.7.2.1~A.7.2.3) A.7.3 雇用の終了及び変更目的 : 雇用の終了又は変更のプロセスの一部として組織の利益を保護するため (A.7.3.1) Copyright JIPDEC ISMS, 2015 33

A.8.1 資産に対する責任 A.8 資産の管理目的 : 組織の資産を特定し適切な保護の責任を定めるため (A.8.1.1~A.8.1.4) A.8.2 情報分類目的 : 組織に対する情報の重要性に応じて情報の適切なレベルでの保護を確実にするため (A.8.2.1~A.8.2.3) A.8.3 資産の取扱い目的 : 媒体に保存された情報の認可されていない開示変更除去又は破壊を防止するため (A.8.3.1~A.8.3.3) Copyright JIPDEC ISMS, 2015 34

A.9 アクセス制御 A.9.1 アクセス制御に対する業務上の要求事項目的 : 情報及び情報処理施設へのアクセスを制限するため (A.9.1.1~A.9.1.2) A.9.2 利用者アクセスの管理目的 : システム及びサービスへの認可された利用者のアクセスを確実にし認可されていないアクセスを防止するため (A.9.2.1~A.9.2.6) A.9.3 利用者の責任目的 : 利用者に対して自らの秘密認証情報を保護する責任をもたせるため (A.9.3.1) A.9.4 システム及びアプリケーションのアクセス制御目的 : システム及びアプリケーションへの認可されていないアクセスを防止するため (A.9.4.1~A.9.4.5) Copyright JIPDEC ISMS, 2015 35

A.10.1 暗号による管理策 A.10 暗号目的 : 情報の機密性真正性及び / 又は完全性を保護するために暗号の適切かつ有効な利用を確実にするため A.10.1.1 暗号による管理策の利用方針情報を保護するための暗号による管理策の利用に関する方針は策定し実施されなければならない A.10.1.2 鍵管理暗号鍵の利用保護及び有効期間 (lifetime) に関する方針を策定しそのライフサイクル全体にわたって実施しなければならない Copyright JIPDEC ISMS, 2015 36

A.11 物理的及び環境的セキュリティ A.11.1 セキュリティを保つべき領域目的 : 組織の情報及び情報処理施設に対する認可されていない物理的アクセス損傷及び妨害を防止するため (A.11.1.1~A.11.1.6) A.11.2 装置目的 : 資産の損失損傷盗難又は劣化及び組織の業務に対する妨害を防止するため (A.11.2.1~A.11.2.9) Copyright JIPDEC ISMS, 2015 37

A.12.1 運用の手順及び責任 A.12.2 マルウェアからの保護 A.12 運用のセキュリティ (1/2) 目的 : 情報処理設備の正確かつセキュリティを保った運用を確実にするため (A.12.1.1~A.12.1.4) 目的 : 情報及び情報処理施設がマルウェアから保護されることを確実にするため (A.12.2.1~A.12.2.4) A.12.3 バックアップ目的 : データの消失から保護するため (A.12.3.1) Copyright JIPDEC ISMS, 2015 38

A.12.4 ログ取得及び監視 A12 運用のセキュリティ (2/2) 目的 : イベントを記録し証拠を作成するため (A.12.4.1~A.12.4.4) A.12.5 運用ソフトウェアの管理目的 : 運用システムの完全性を確実にするため (A.12.5.1) A.12.6 技術性脆弱性管理目的 : 技術的ぜい弱性の悪用を防止するため (A.12.6.1~A.12.6.2) A.12.7 情報システムの監査に対する考慮事項目的 : 運用システムに対する監査活動の影響を最小限にするため (A.12.7.1) Copyright JIPDEC ISMS, 2015 39

A.13 通信のセキュリティ A.13.1 ネットワークセキュリティ管理目的 : ネットワークにおける情報の保護及びネットワークを支える情報処理施設の保護を確実にするため (A.13.1.1~A.13.1.3) A.13.2 情報の転送目的 : 組織の内部及び外部に転送した情報のセキュリティを維持するため (A.13.2.1~A.13.2.4) Copyright JIPDEC ISMS, 2015 40

A.14 システムの取得開発及び保守 A.14.1 情報システムのセキュリティ要求事項目的ライフサイクル全体にわたって情報セキュリティが情報システムに欠くことのできない部分であることを確実にするためこれには公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含む (A.14.1.1~A.14.1.3) A.14.2 開発及びサポートプロセスにおけるセキュリティ目的情報システムの開発サイクルの中で情報セキュリティを設計し実施することを確実にするため (A.14.2.1~A.14.2.8) A.14.3 試験データ目的試験に用いるデータの保護を確実にするため (A.14.3.1) Copyright JIPDEC ISMS, 2015 41

A.15 供給者関係 A.15.1 供給者関係における情報セキュリティ目的 : 供給者がアクセスできる組織の資産の保護を確実にするため (A.15.1.1~A.15.1.3) A.15.2 供給者のサービス提供の管理目的 : 供給者との合意に沿って情報セキュリティ及びサービス提供について合意したレベルを維持するため (A.15.2.1~A.15.2.2) 注 : 外部委託サプライチェーン等外部の製品及びサービスの調達利用に関する管理策を A.15 供給者関係にまとめている Copyright JIPDEC ISMS, 2015 42

A.16 情報セキュリティインシデント管理 A.16.1 情報セキュリティインシデントの管理及びその改善目的 : セキュリティ事象及びセキュリティ弱点に関する伝達を含む情報セキュリティインシデントの管理のための一貫性のある効果的な取組みを確実にするため A.16.1.1 責任及び手順 A.16.1.2 情報セキュリティ事象の報告 A.16.1.3 情報セキュリティ弱点の報告 A.16.1.4 情報セキュリティ事象の評価及び決定 A.16.1.5 情報セキュリティインシデントへの対応 A.16.1.6 情報セキュリティインシデントからの学習 A.16.1.7 証拠の収集 Copyright JIPDEC ISMS, 2015 43

A.17 事業継続マネジメントにおける情報セキュリティの側面 A.17.1 情報セキュリティ継続目的 : 情報セキュリティ継続を組織の事業継続マネジメントシステムに組み込むことが望ましい (A.17.1.1~A.17.1.3) A.17.2 冗長性目的 : 情報処理施設の可用性を確実にするため (A.17.2.1) Copyright JIPDEC ISMS, 2015 44

A.18 順守 A.18.1 法的及び契約上の要求事項の順守目的 : 情報セキュリティに関連する法的規制又は契約上の義務に対する違反及びセキュリティ上のあらゆる要求事項に対する違反を避けるため (A.18.1.1~A.18.1.5) A.18.2 情報セキュリティのレビュー目的 : 組織の方針及び手順に従って情報セキュリティが実施され運用されることを確実にするため (A.18.2.1~A.18.2.3) Copyright JIPDEC ISMS, 2015 45

ISO/IEC FDIS 27017 の最新動向 ISO/IEC FDIS 27017の概要 ISO/IEC FDIS 27017の構成附属書 A クラウドサービス追加管理策 (1/6~6/6) Copyright JIPDEC ISMS, 2015 46

ISO/IEC FDIS 27017 の概要 Information technology Security techniques Code of practice for information security controls based on ISO/IEC 27002 for cloud services. ISO/IEC 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範を提供する規格クラウドサービス事業者及び利用者のための管理策及び実施の手引きについて規定する投票期間 :2015/7/31~2015/10/01 投票結果 : 承認 P- Members : 賛成 100%( 要求 >=66.66%) Member bodies: 反対 0%( 要求 <=25%) Copyright JIPDEC ISMS, 2015 47

ISO/IEC FDIS 27017 の構成 0. 序文 1. 適用範囲 2. 引用規格 3. 用語及び略語 4. クラウド分野固有の概念 5. 情報セキュリティのための方針群 6. 情報セキュリティのための組織 7. 人的資源のセキュリティ 8. 資産の管理 9. アクセス制御 10. 暗号 11. 物理的及び環境的セキュリティ 12. 運用のセキュリティ 13. 通信のセキュリティ 14. システムの取得開発及び保守 15. 供給者関係 16. 情報セキュリティインシデント管理 17. 事業継続マネジメントにおける情報セキュリティの側面 18. 順守附属書 A クラウドサービス追加の管理策 ( 規定 ) 附属書 B クラウドコンピューティングに関する情報セキュリティリスクに関する参照情報 ( 参考 ) 参考文献 Copyright JIPDEC ISMS, 2015 48

附属書 A クラウドサービス追加管理策 CLD 6.3/6.3.1 (1/6) 項番 ISO/IEC 27001 ISO/IEC FDIS 27017 項番管理策管理策項番 A.6.2 A.6.2 モバイル機器及びテレ 6.2 6.2 モバイル機器及びテレワー 11.7 ワーキングキングクラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 11.7 モバイルコンピューティング及びテレワーキング A.6.2.1 A.6.2.1 モバイル機器の方針 6.2.1 6.2.1 モバイル機器の方針 11.7.1 11.7.1 モバイルのコンピューティング及び通信 A.6.2.2 A.6.2.2 テレワーキング 6.2.2 6.2.2 テレワーキング 11.7.2 11.7.2 テレワーキング CLD.6.3 CLD. 6.3.1 クラウド利用者とクラウド事業者間の関係クラウドコンピューティング環境における役割分担及び責任管理策クラウドサービス利用において分担された情報セキュリティの役割の責任はクラウド利用者とクラウド事業者によって特定した関係者に割り当て文書化し告知し通知し実施されることが望ましい Copyright JIPDEC ISMS, 2015 49

附属書 A クラウドサービス追加管理策 CLD 8.1/8.1.5 (2/6) ISO/IEC 27001 ISO/IEC FDIS 27017 項番項番項番管理策管理策クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 A.8.1 A.8.1 資産に対する責任 8.1 8.1 資産に対する責任 7.1 7.1 資産に対する責任 A.8.1.1 A.8.1.1 資産目録 8.1.1 8.1.1 資産目録 7.1.1 7.1.1 資産目録 A.8.1.2 A.8.1.2 資産の管理責任 a) 8.1.2 8.1.2 資産の管理責任 7.1.2 7.1.2 資産の管理責任者 A.8.1.3 A.8.1.3 資産利用の許容範囲 8.1.3 8.1.3 資産利用の許容範囲 7.1.3 7.1.3 資産利用の許容範囲 A.8.1.4 A.8.1.4 資産の返却 8.1.4 8.1.4 資産の返却 8.3.2 8.3.2 資産の返却 CLD.8.1 資産に対する責任資産に対する責任は ISO/IEC 27002 の 8.1 による CLD. 8.1.5 クラウド利用者資産の削除管理策クラウド事業者の構内にあるクラウド利用者資産は利用契約の終了時に適時に削除し必要に応じて返却することが望ましい注 :a) 6.1.2 及び 6.1.3 では情報セキュリティのリスクを運用管理することについて責任及び権限を持つ人又は主体をリスク所有者としている情報セキュリティにおいて多くの場合資産の管理責任を負う者はリスク所有者でもある Copyright JIPDEC ISMS, 2015 50

附属書 A クラウドサービス追加管理策 CLD 9.5 /9.5.1 /9.5.2 (3/6) ISO/IEC 27001 ISO/IEC FDIS 27017 項番項番項番管理策管理策 A.9.4 A.9.4 システム及びアプリケーションのアクセス制御 9.4 9.4 システム及びアプリケーショ 11.5 ンのアクセス制御 11.6 クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 11.5 オペレーティングシステムのアクセス制御 11.6 業務用ソフトウェア及び情報のアクセス制御 A.9.4.1 A.9.4.1 情報へのアクセス制限 9.4.1 9.4.1 情報へのアクセス制限 11.6.1 11.6.1 情報へのアクセス制限 11.6.2 11.6.2 取扱いに慎重を要するシステムの隔離 A.9.4.2 A.9.4.2 セキュリティに配慮したログオン手順 9.4.2 9.4.2 セキュリティに配慮したログオン手順 11.5.1 11.5.1 セキュリティに配慮したログオン手順 11.5.6 11.5.6 接続時間の制限 A.9.4.3 A.9.4.3 パスワード管理システム 9.4.3 9.4.3 パスワード管理システム 11.5.3 11.5.3 パスワード管理システム A.9.4.4 A.9.4.4 特権的なユーティリティプログラムの使用 9.4.4 9.4.4 特権的なユーティリティプログラムの使用 11.5.4 11.5.4 システムユーティリティの使用 A.9.4.5 A.9.4.5 プログラムソースコードへのアクセス制御 9.4.5 9.4.5 プログラムソースコードへのアクセス制御 12.4.3 12.4.3 プログラムソースコードへのアクセス制御 CLD.9.5 CLD. 9.5.1 分散仮想環境におけるクラウド利用者データのアクセス制御バーチャルコンピューティング環境における分離管理策クラウドサービス上のクラウド利用者の仮想環境は他のクラウド利用者及び認可されていない要員から保護することが望ましい CLD. 9.5.2 Copyright JIPDEC ISMS, 2015 51 仮想化マシンの堅牢化管理策クラウドコンピューティング環境における仮想化マシンはビジネスニーズを満たすために堅牢化することが望ましい

附属書 A クラウドサービス追加管理策 CLD 12.1/12.1.5 (4/6) 項番 ISO/IEC 27001 管理策項番 ISO/IEC FDIS 27017 管理策項番クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 A.12.1 A.12.1 運用の手順及び責任 12.1 12.1 運用の手順及び責任 10.1 10.1 運用の手順及び責任 A.12.1.1 A.12.1.1 操作手順書 12.1.1 12.1.1 操作手順書 10.1.1 10.1.1 操作手順書 A.12.1.2 A.12.1.2 変更管理 12.1.2 12.1.2 変更管理 10.1.2 10.1.2 変更管理 A.12.1.3 A.12.1.3 容量能力の管理 12.1.3 12.1.3 容量能力の管理 10.3.1 10.3.1 容量能力の管理 A.12.1.4 A.12.1.4 開発環境, 試験環境及び運用環境の分離 12.1.4 12.1.4 開発環境, 試験環境及び運用環境の分離 10.1.4 10.1.4 開発施設, 試験施設及び運用施設の分離 CLD.12.1 運用の手順及び責任運用の手順及び責任は ISO/IEC 27002 の 12.1 による CLD. 12.1.5 管理者の運用セキュリティ管理策クラウドコンピューティング環境における運用管理者に対する手順は定義し文書化し監視することが望ましい Copyright JIPDEC ISMS, 2015 52

附属書 A クラウドサービス追加管理策 CLD 12.4/12.4.5 (5/6) ISO/IEC 27001 ISO/IEC FDIS 27017 項番項番項番管理策管理策 A.12.4 A.12.4 ログ取得及び監視 12.4 12.4 ログ取得及び監視 10.1 10.10 監視クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 A.12.4.1 A.12.4.1 イベントログ取得 12.4.1 12.4.1 イベントログ取得 10.10.1 10.10.1 監査ログ取得 A.12.4.2 A.12.4.2 ログ情報の保護 12.4.2 12.4.2 ログ情報の保護 10.10.3 10.10.3 ログ情報の保護 A.12.4.3 A.12.4.3 実務管理者及び運用担当者の作業ログ 12.4.3 12.4.3 実務管理者及び運用担当者の作業ログ 10.10.4 10.10.4 実務管理者及び運用担当者の作業ログ A.12.4.4 A.12.4.4 クロックの同期 12.4.4 12.4.4 クロックの同期 10.10.6 10.10.6 クロックの同期 CLD.12.4 ログ取得及び監視 CLD. 12.4.5 Copyright JIPDEC ISMS, 2015 53 ログ取得及び監視については ISO/IEC 27002 の 12.4 によるクラウドサービスの監視管理策クラウド利用者は利用するクラウドサービスの運用の特定の側面を監視する能力を持つことが望ましい

附属書 A クラウドサービス追加管理策 CLD 13.1/13.1.4 (6/6) 項番 ISO/IEC 27001 ISO/IEC FDIS 27017 項番管理策管理策項番 A.13.1 A.13.1 ネットワークセキュリティ 13.1 13.1 ネットワークセキュリティ管 10.6 管理理クラウドサービス利用のための情報セキュリティマネジメントガイドライン管理策 10.6 ネットワークセキュリティ管理 A.13.1.1 A.13.1.1 ネットワーク管理策 13.1.1 13.1.1 ネットワーク管理策 10.6.1 10.6.1 ネットワーク管理策 A.13.1.2 A.13.1.2 ネットワークサービスのセキュリティ 13.1.2 13.1.2 ネットワークサービスのセキュリティ 10.6.2 10.6.2 ネットワークサービスのセキュリティ A.13.1.3 A.13.1.3 ネットワークの分離 13.1.3 13.1.3 ネットワークの分離 11.4.5 11.4.5 ネットワークの領域分割 CLD.13.1 ネットワークセキュリティ管理ネットワークセキュリティ管理については ISO/IEC 27002 の 13.1 による CLD. 13.1.4 仮想及び物理ネットワークのセキュリティマネジメントの整合管理策仮想ネットワーク構成に際しては仮想と物理ネットワークとの構成の整合はクラウド事業者のネットワークセキュリティ方針に基づき検証することが望ましい Copyright JIPDEC ISMS, 2015 54

クラウドセキュリティ認証の概要クラウドセキュリティ認証の背景クラウドセキュリティ認証の対象者クラウドセキュリティ認証 ( 制度の枠組み ) クラウドセキュリティ認証 ( アドオン認証 ) ISO/IEC 27001 認証と ISO/IEC 27017 認証の適用範囲 ( 案 ) 制度運用までのスケジュール ( 案 ) Copyright JIPDEC ISMS, 2015 55

クラウドセキュリティ認証の背景クラウドサービスの本格的な普及に伴いクラウドサービスに求められるセキュリティ要求事項を明確化することの重要性を認識クラウドサービス向けの国際規格 ISO/IEC 27017(Code of practice for information security controls based on ISO/IEC 27002 for cloud services) の策定が進められ発行される見込みこのような状況を踏まえ ISO/IEC 27001に基づきクラウドサービスの信頼性を保証するクラウドセキュリティ認証を開始する予定クラウドセキュリティ認証の詳細については Web 公開する予定 Copyright JIPDEC ISMS, 2015 56

クラウドセキュリティ認証は ISO/IEC 27017 に従いクラウドサービス事業者クラウドサービス利用者の両方を対象とするなお本認証は ISMS (ISO/IEC 27001) 認証を前提とするクラウドサービス事業者 : クラウドサービスを利用可能にする組織 ( クラウドサービスを提供する組織 ) ただしクラウド事業者も提供するサービスの様態によってはクラウドサービス利用者となる場合があるクラウドサービス利用者 : クラウドセキュリティ認証の対象者クラウドサービスを利用する目的のための取引関係がある組織 ( クラウドサービスを利用する組織 ) ( 用語及び定義は ISO/IEC 27017 及びクラウドサービス利用のための情報セキュリティマネジメントガイドライン ( 経済産業省 ) に基づく ) Copyright JIPDEC ISMS, 2015 57

クラウドセキュリティ認証 ( 制度の枠組み ) クラウドセキュリティ認証 ( 略称 :CLS 認証 ) の枠組みは以下の方針とする ISMS(ISO/IEC 27001) 認証を前提としてクラウドサービスの情報セキュリティ管理を満たしている組織を認証する仕組みとする ( アドオン認証 ) ここでは ISOの枠組みの中で ISMS(ISO/IEC 27001) 認証を前提として特定の分野固有の規格に準拠していることをアドオン認証という ( アドオン認証のイメージは別図を参照 ) Copyright JIPDEC ISMS, 2015 58

ISO/IEC 27001 認証と ISO/IEC 27017 認証の適用範囲 ( 案 ) ISO/IEC 27001 1 適用範囲 ISO/IEC 27001 A ISO/IEC 27017 B ISO/IEC 27001 認証 ISO/IEC 27002 クラウドサービスに基づくリスクアセスメント ISO/IEC 27017 適用範囲 A ISO/IEC 27001 認証 + 適用範囲 B ISO/IEC 27017 認証認証登録書適用範囲 2 ISO/IEC 27001 A ISO/IEC 27017 B Copyright JIPDEC ISMS, 2015 60

制度運用までのスケジュール ( 案 ) 2014 年 2015 年 2016 年 2017 年 ISO JIS ISO/IEC 27017 2nd CD DIS ( 投票 :1/20-4/20) FDIS ( 投票 :7/31-10/1) ISO 発行 ISO の対訳版発行 ISO/IEC 27017 の JIS 化作業 JIS 概要要件概要要件案の検討作成 JIS 発行時期未定ガイド組織向けガイドの作成 ( リスクマネジメント編の拡張 ) 研修研修資料案の検討作成認定基準認定基準類案の検討作成制度設立 3 月 ~ 関連団体との調整等説明会実施 (ISO 公開後 ) 方針の公開 (11 月予定 ) クラウドセキュリティ制度開始

ご清聴ありがとうございました問い合わせ先一般財団法人日本情報経済社会推進協会情報マネジメント推進センター TEL: 03-5860-7570 FAX: 03-5573-0564 Web: http://www.isms.jipdec.or.jp/ Copyright JIPDEC ISMS, 2015 62