クラウドへの 懸 念 経 済 産 業 省 より 公 開 されているクラウドへの 懸 念 事 項 例 www.meti.go.jp/press/20090528001/20090528001-4.pdf より 抜 粋 2

クラウドサービスを 安 全 に 安 心 して 利 用 提 供 するために CA Technologies カスタマー ソリューション アーキテクト 楠 木 秀 明 (CISSP CISA)

クラウドへの 懸 念 経 済 産 業 省 より 公 開 されているクラウドへの 懸 念 事 項 例 www.meti.go.jp/press/20090528001/20090528001-4.pdf より 抜 粋 2

弊 社 がお 客 様 から 頻 繁 に 頂 く 質 問 事 項 クラウドの 定 義 に 依 存 するものの 過 去 における 外 部 委 託 (ASP アウトソーシング 等 )との 差 異 が 不 明 確 CAの 見 解 は?とのご 質 問 を 頂 く 1 2 クラウドと 外 部 委 託 (ASP アウトソーシング 等 )のリスクで 何 が 違 うのですか? クラウド 特 有 のリスクとは 何 ですか? 質 問 の 意 図 世 間 一 般 でいわれているクラウド のリスクは 過 去 の 外 部 委 託 (ASP アウトソーシング 等 )と 大 差 が 無 いように 思 える 3

アンケート 結 果 を 検 証 先 のアンケート 結 果 のクラウドに 対 する 懸 念 事 項 が 外 部 委 託 (ASP アウトソーシ ング 等 ) にでも 当 てはまるか 否 かを 検 証 してみる ほとんど 変 わらない のでは? 1セキュリティ 対 策 ( 情 報 漏 洩 対 策 等 )が 十 分 かどうか 分 からない 2 自 社 で 構 築 保 有 するのに 比 べ コストダウンするのか 分 からない 3 社 内 システムとの 連 携 が 困 難 である 4サービスレベルが 不 明 瞭 である 5サービスレベルが 保 障 されていない 6 自 社 で 構 築 保 有 するのに 比 べ 障 害 発 生 時 に 迅 速 に 柔 軟 に 対 応 できない 7サービス 提 供 を 中 止 される 可 能 性 がある 8 他 社 のサービスに 移 行 するのが 困 難 である 9 内 部 統 制 のルールに 適 合 しない 10データを 保 存 するデータセンターが 海 外 に 立 地 している 適 合 適 合 適 合 適 合 適 合 適 合 適 合 適 合 適 合 適 合 4

弊 社 の 見 解 と 考 慮 ポイント 弊 社 の 見 解 過 去 の 外 部 委 託 (ASP アウトソー シング 等 ) と 大 差 はない ただし カントリーリスク リーガルリスク を 考 慮 すべき なぜならクラウドの 特 徴 として どの 国 のどのデータセンターにあっても サービスが 使 用 できれば 問 題 ない 過 去 のASP アウトソーシングでは ほぼ100%どの 国 のどのデータセンターかを 特 定 し てサービスを 受 けていたと 思 われる これは 国 によっては 情 報 漏 洩 などの 事 件 があった 場 合 強 制 的 に 捜 査 が 入 りシステムが 停 止 する 可 能 性 や 法 律 が 異 なるor 特 定 できないため 責 任 罰 則 が 予 測 困 難 になることがリスクとして 考 えられる 上 記 が 前 述 の7サービス 提 供 を 中 止 10データセンターが 海 外 に 立 地 の 懸 念 事 項 に 相 当 すると 考 えられる つまり 海 外 にデータを 保 持 する 場 合 には 事 前 に 国 法 律 を 特 定 し 特 例 として 現 地 訪 問 しリスクマネジメントが 実 行 されているのか 否 かを 確 認 することが 望 ましい またSAS70 等 の 第 三 者 評 価 を 取 得 している 事 は ひとつの 指 標 になると 考 えられる 5

クラウドサービスを 安 全 に 安 心 して 利 用 提 供 するためには 認 識 し 対 策 すべき 懸 念 事 項 は 過 去 の 外 部 委 託 (ASP アウトソーシング 等 ) と 大 差 はない ただしデー タが 海 外 に 保 持 される 場 合 は カントリーリスク リーガ ルリスクを 考 慮 する 必 要 があると 考 える 従 来 から 認 識 されているリスクに 対 する 低 減 処 置 (コ ントロール)は 求 める 求 められるレベルが 高 度 化 し ている 傾 向 がある しかし 新 たなリスクが 存 在 するわけ ではない 為 活 用 できる 事 例 ベストプラクティスを 参 考 にできる/すべきと 考 える 参 考 ) 弊 社 のSaaSのサービスでは 国 ( 州 )を 開 示 し ご 要 望 があれば 現 地 訪 問 いただき 懸 念 事 項 をお 客 様 にてご 確 認 いただくことも 可 能 です またSAS70により 第 三 者 評 価 の 結 果 を 開 示 することも 可 能 となっております 6

クラウド 業 者 に 求 められること 従 来 からのベスト プラクティス www.meti.go.jp/press/2011/04/20110401001/20110401001-2.pdf より 抜 粋 7

活 用 できる 事 例 ベストプラクティス 活 用 できる 事 例 ベストプラクティスとは? 個 人 情 報 保 護 法 対 応 内 部 統 制 SOX 法 SAS70/18 号 監 査 対 応 BS7799 ISMS ISO27000シリース 対 応 業 界 毎 金 融 : 安 対 /PCIDSS 対 応 参 考 ) 経 済 産 業 省 の クラウドサービス 利 用 のための 情 報 セキュリティマネジメントガイドライン について においては ISO27002の 日 本 版 であるJIS Q 27002( 情 報 セキュリティマネ ジメントの 実 践 のための 規 範 )をもとに 管 理 策 を 選 択 できるように 作 成 されている 8

弊 社 のご 支 援 内 容 効 率 化 紙 例 か : ら 手 シ 動 ス か テ ら ム 自 動 成 熟 度 向 上 今 後 現 状 コントロールの 整 備 度 合 弊 社 のご 支 援 内 容 コントロールの 1 整 備 / 強 化 2 成 熟 度 向 上 例 : 特 権 IDの 払 出 し 9

コントロール 機 能 PCIDSS 要 件 弊 社 ソリューション 1 ユーザIDの 定 期 的 な 見 直 し 不 要 なユーザIDの 棚 卸 8.1 8.2 8.5 CA Identity Manager ユーザID/passwordに 加 え デバイス 認 証 を 追 加 2 二 要 素 認 証 の 導 入 ( 例 :ID/passwordの 認 証 が 正 しくとも 事 業 所 内 の 業 務 PCから のアクセスはOK スマートフォンは 一 部 OK 自 宅 PC インターネット 8.3 CA ARCOT カフェからのアクセスはNGとする) 3 モニタリング ログの 一 元 化 分 析 10.2 10.6 CA Enterprise Log Manager 4 NW 機 器 設 定 の 改 ざん 検 知 ルータ 等 のNW 機 器 の 履 歴 ( 設 定 変 更 ACL システム 状 態 )を 保 存 妥 当 性 をモニタリング 1.2.2 CA Spectrum 5 デフォルト 設 定 の 検 知 各 サーバのOS アプリケーションの 設 定 値 を 自 動 でチェックし デフ ォルト 値 等 の 自 社 基 準 を 満 たしていない 設 定 を 検 知 / 修 正 2.1 2.2 CA Configuration Automation 6 改 ざん 検 知 改 ざん 検 知 防 御 アラート 機 能 10.6 11.5 CA Access Control 7 8 10 RACF Top ACF2のID AC Lの 定 期 的 な 見 直 し 11 OSのセキュリティを 強 化 & 複 数 OSのレベル 均 一 化 新 たなログ( 証 跡 )の 出 力 9 ID 貸 出 特 権 ID 管 理 改 ざん 検 知 12 新 たなログ( 証 跡 )の 出 力 自 動 化 アクセス 制 御 システム(RACF/Top/ACF2のOPEN 版 ) 7(all) CA Access Control root 等 の 特 権 ユーザIDでの 監 査 証 跡 の 改 ざん 防 止 10.5 CA Access Control OSでは 出 来 ない 特 権 IDの 権 限 分 掌 (rootの 細 分 化 ) 6.3.3 CA Access Control サーバ 側 :UNIX Linuxのなり 替 わり 前 のユーザを 特 定 するログ クライアント 側 : 操 作 端 末 の 操 作 を 録 画 root 等 の 特 権 IDを 共 有 IDとして 運 用 する 場 合 個 人 の 識 別 をパスワ ード 変 更 貸 出 ワークフローで 実 施 不 要 なユーザID アクセス 制 御 ルールの 棚 卸 8.5.4 CA Cleanup 監 査 証 跡 コンフィグファイル 等 の 改 ざん 検 知 アラート 機 能 10.5 10.6 11.5 CA Compliance Manager DB2のデータを いつ 誰 が どのような 更 新 したのかをレポート 化 11.5 CA Log Analyzer 10.1 8.1 8.2 8.5 10.1 CA Access Control CA Access Control DB2では 出 力 されないSQL(SELECT 等 )を 履 歴 として 保 存 10.1 CA Detector OSの 仕 様 で 通 常 は 履 歴 が 取 得 できないPDSメンバに 対 する 履 歴 を 収 集 10.1 10.3 CA PDSMAN 10

ユーザ 情 報 リポジトリ 承 認 者 開 発 者 緊 急 対 応 + 作 業 者 操 作 端 末 録 画 機 能 + 特 権 ID 貸 出 貸 出 しID の 証 跡 記 録 ID 貸 出 サーバ 作 業 終 了 後 無 効 化 + ユーザID 棚 卸 登 録 業 務 自 動 化 デフォルト 設 定 の 検 知 / 修 正 + 設 定 内 容 妥 当 性 チェック + 二 要 素 認 証 ZOS 認 証 サーバ 貸 出 IDを 使 用 し メンテナ ンスサーバへアクセス 統 合 ログ 管 理 サーバ + ログ 収 集 分 析 OSでは 出 来 ない 機 能 を 追 加 UNIX ログ 各 業 務 サーバ 群 Windows ログ + 改 ざん 検 知 + 特 権 IDによる 改 ざん 防 止 + 特 権 IDの 権 限 分 掌 + なり 替 わり 特 定 ログ (UNIXのみ) NW 機 器 OSでは 出 来 ない 機 能 を 追 加 Config ACL 等 + + ID ルールの 棚 卸 + 改 ざん 検 知 + DB2の 更 新 証 跡 + DB2の 抽 出 証 跡 + PDSメンバアクセス 履 歴 NW 機 器 設 定 変 更 管 理 設 定 収 集 サーバ 11

ユーザ 情 報 リポジトリ + 作 業 者 承 認 者 Access Control 操 作 端 末 録 画 機 能 + 特 権 ID 貸 出 Access Control 貸 出 しID の 証 跡 記 録 ID 貸 出 サーバ 作 業 終 了 後 無 効 化 Identity Manager + ユーザID 棚 卸 登 録 業 務 自 動 化 デフォルト 設 定 の 検 知 / 修 正 + 設 定 内 容 妥 当 性 チェック Configuration Automation 開 発 者 ARCOT + 二 要 素 認 証 ZOS 緊 急 対 応 認 証 サーバ 貸 出 IDを 使 用 し メンテナ ンスサーバへアクセス 統 合 ログ 管 理 サーバ + ログ 収 集 分 析 Enterprise Log Manager OSでは 出 Access 来 ない 機 Control 能 を 追 加 UNIX AccessControl ログ 各 業 務 サーバ 群 Windows AccessControl ログ + 改 ざん 検 知 + 特 権 IDによる 改 ざん 防 止 + 特 権 IDの 権 限 分 掌 + なり 替 わり 特 定 ログ (UNIXのみ) NW 機 器 OSでは 出 来 ない 機 能 を 追 加 Config ACL 等 + Cleanup +Compliance ID ルールの Manager 棚 卸 + Log 改 Analyzer ざん 検 知 + DB2の Detector 更 新 抽 出 証 跡 + PDSメンバアクセス PDSMAN 履 歴 NW 機 器 設 定 変 更 管 理 Spectrum 設 定 収 集 サーバ 12

中 長 期 的 なToBe プログラム 改 修 (パスワード 変 更 機 能 ) 全 体 の 現 状 可 視 化 ( 調 査 ) IT 中 長 期 化 計 画 への 反 映 レガシーマシン の リプレース プログラ ム 改 修 ( 埋 め 込 みの 外 部 化 ) サーバ 台 数 を 減 らす 短 期 的 なToBe OSの 限 界 である が 権 限 分 掌 する しくみが 必 要 ID 作 成 の 自 動 化 IDの 一 元 管 理 化 と 一 括 反 映 のしくみ 人 事 システムとの 連 携 個 人 レベルの 職 務 分 掌 を 作 成 する 細 分 されたアクセス 権 を 設 定 できるしくみが 必 要 適 切 なアクセス 権 をIDに 与 える 承 認 フローに 介 在 する 承 認 者 を 減 らす 承 認 者 の 責 任 役 割 を 明 確 化 する 申 請 を 自 動 化 する メンテナンス 作 業 を 自 動 化 するしくみが 必 要 個 人 レベルの 職 務 分 掌 を 作 成 する 一 元 的 なアカウン ト 管 理 指 針 を 策 定 する 自 動 化 による 標 準 化 の 促 進 自 動 レ ポート 化 のしくみが 必 要 パスワード 変 更 を 必 須 とし ないシステムがある ( 比 較 的 古 めのシステム) ID 作 成 をすべて 手 動 で 行 っている ため 台 数 やユーザ 数 に 応 じて IDが 膨 大 になるため 個 人 レベルの 職 務 分 掌 が 不 明 確 適 切 なアクセス 権 がIDに 与 えられていない 承 認 者 が 多 すぎて 責 任 が 明 確 でない パスワード 変 更 を つい 怠 ってしまう パスワード 命 名 規 則 にのっ と れないシステムがある (6 桁 しかもてないUnixなど) 当 該 権 限 を 持 ったIDを 他 に 作 れないため (OSルートなど) プロ グラムに 埋 め 込 まれ てしまっている ため 手 間 がかかるため 退 職 者 情 報 の 連 絡 がまわ ってこない 職 務 権 限 とアクセス 権 が 明 確 に 紐 づいていない 必 ずしも 承 認 者 が 適 切 な チェックでき ないときがあ る 申 請 が 紙 ベースで 人 間 系 が 介 在 する 手 動 によるメンテナン ス 作 業 業 務 に 紐 づいた 人 である 必 要 があるため 属 人 的 一 元 的 なアカウン ト 管 理 指 針 がない( 個 別 にはあ る ) 頻 度 が 多 く 都 度 同 じよ う な 作 業 が 発 生 情 報 の 収 集 や 資 料 作 成 棚 卸 作 業 が 手 作 業 パスワード 共 有 ID 残 存 ID 高 権 限 ID 承 認 不 備 ID 管 理 不 備 ID その 他 多 くの 人 が 知 っているパス ワードがある パスワードを 変 更 していな い パスワード 命 名 規 則 に のっと っていないパスワー ドがある 共 有 IDが 多 く 使 用 されて いる 退 職 者 のIDの 消 し 忘 れ が 稀 にある アクセス 権 限 が きち んと 割 り 振 れていない 申 請 プロセスでミスが 多 発 サーバ 台 数 が 多 く IDメン テナンス 作 業 ミスが 多 発 100あるシステムごと に 独 自 のアカ ウント 管 理 が 存 在 する アカウント 管 理 者 の 選 定 基 準 がない アカウント 管 理 指 針 が 不 明 確 監 査 対 応 で 時 間 がかかる 悪 意 を 持 ったひとりの 人 間 が 自 由 にできてしまう 誰 が 使 ったのかわから な くなる 退 職 者 のIDを 使 って 不 正 アクセスが 発 生 する 意 図 しないIDを 作 成 してし まう 申 請 プロセスに 多 くの 時 間 がかかる 全 体 の 実 態 が 把 握 できな い ID 台 帳 のアクセス 権 がア カウント 管 理 者 に 適 切 に 付 与 されていない 管 理 者 を 決 めら れない どうしてよ いかわからない 資 料 作 成 に 時 間 がかかる ログ 習 得 に 時 間 がかかる 監 査 人 との 受 け 答 えに 時 間 がかかる パスワードの 推 測 が 容 易 になる 必 要 以 上 に 高 権 限 を 付 与 していしまう オペレ ーション ミスが 発 生 した 時 の 被 害 が 大 きくなる パスワードの 変 更 ミスによ りロ グイン できなくなる 台 帳 が 見 れない おしつける ように 決 める 個 人 で 考 えて 管 理 せざるをえない 時 間 がかかる パスワードが 漏 れやすくな る 不 正 アクセスに 悪 用 され てしまう 計 画 どおり 作 業 が 進 まな い 作 業 に 時 間 がかかる 責 任 役 割 意 識 の 希 薄 化 システムのクラッキングが 行 いやすくなる ポリシーが 現 場 に 浸 透 しない いやいや 感 が 伴 う 管 理 業 務 が 属 人 化 する 残 業 が 増 える 本 来 業 務 ができなくなる 納 期 に 遅 れる 仕 事 がでて くる サービスの 可 用 性 が 落 ち る 原 因 の 特 定 ができない 顧 客 の 個 人 情 報 が 漏 えいする 復 旧 に 時 間 ( 工 数 )がかか る 納 期 に 間 に 合 わない 残 業 が 増 える 漏 えいした 顧 客 への 賠 償 の 発 生 ( 金 額 的 損 失 ) 誰 も 管 理 しない 状 態 ( 放 置 状 態 ) 残 存 ID 共 有 ID 管 理 品 質 が 下 がる 顧 客 への 損 害 賠 償 ( 金 額 的 損 失 ) 既 存 顧 客 が 離 れていく ( 顧 客 満 足 度 の 低 下 ) 会 社 の 社 会 的 信 用 の 低 下 新 規 顧 客 の 獲 得 が できなくなる ( 機 会 損 失 ) 企 業 競 争 力 の 低 下 予 期 していない 不 要 なお 金 をかけてしまう 社 員 のモチベーション が 低 下 する 会 社 が 利 益 を 生 めなくなる ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 現 状 把 握 ロードマップ 作 成 コントロール プランニング コントロール 構 築 運 用 対 応 状 況 調 査 リスク 抽 出 必 要 コントロール の 洗 い 出 し コントロール 優 先 順 位 作 成 中 長 期 ロード マップ 作 成 コントロール 検 討 および 製 品 選 定 製 品 教 育 構 築 計 画 策 定 規 定 の 変 更 組 織 内 スキーム 再 考 システム 設 計 システム 導 入 テスト 評 価 教 育 実 施 フォローアップ アドバイザリ サービス 実 装 サービス 13

ご 参 考 震 災 後 の 新 たな 考 慮 点 ~ 事 業 継 続 の 考 え 方 ~ 14

15

16

交 通 網 の 混 乱 節 電 在 宅 勤 務 の 検 討 17

レ ベ ル 3 レ ベ ル 2 レ ベ ル 1 なぜ 会 社 支 給? ウイルス 対 策 等 企 業 と して 最 低 限 守 っておくべ きコントロールが 整 備 さ れている 事 が 必 須 18

自 社 関 連 会 社 自 宅 から 会 社 支 給 PC 自 宅 から 会 社 支 給 スマートフォン レベル1 レベル2 レベル3 N G 会 社 支 給 ではないデバイス ( 例 ) 個 人 PC インターネットカフェ 社 内 システム 19

株 価 下 落 格 付 引 下 げ 利 益 低 下 景 気 低 迷 製 品 調 達 困 難 利 益 増 加 これが 災 害 後 に 求 められること 利 益 増 加 を 実 現 するための 一 手 段 として 競 合 他 社 と の 差 別 化 を 図 るうえで 従 来 型 のビジネスモデルを 改 革 し スマートフォン タブレット 等 の 新 しいデバイスを 用 いて 新 たなサービスを 模 索 中 20

スマートフォン ターブレット 型 端 末 のビジネス 利 用 が 加 速 外 回 りの 営 業 社 員 向 けの 端 末 として 外 資 系 保 険 会 社 の 営 業 向 け 端 末 iphoneに 決 済 機 能 をつけ お 客 様 の 契 約 をその 場 で 決 済 製 薬 業 界 のMR 向 け 顧 客 である 医 師 に 動 画 や 写 真 などを 利 用 して 薬 の 効 用 などをアピール 対 面 販 売 のツールとして アパレル 店 舗 在 庫 確 認 アプリをiPhoneアプリ 化 お 客 様 をお 待 たせしません 中 古 車 販 売 店 中 古 車 検 索 端 末 をターブレット 端 末 に 変 更 お 客 様 が 触 ってくれます 21

自 社 関 連 会 社 自 宅 から 会 社 支 給 PC 自 宅 から 会 社 支 給 スマートフォン レベル1 レベル2 N G レベル3 新 たなサービス スマートフォン/タブレット ( 会 社 支 給 ) 会 社 支 給 ではないデバイス ( 例 ) 個 人 PC インターネットカフェ 社 内 システム 認 証 レベルを 瞬 時 に 変 化 22