改版履歴版数改版日改版内容 /4/22 初版発行 2

早稲田大学クラウドサービス利用ガイドライン 2015 年 4 月 22 日情報企画部

改版履歴版数改版日改版内容 1.0 2015/4/22 初版発行 2

目次第 1 章クラウドサービスの理解編 1.1 本書の目的 1.2 本書の利用方法 1.2.1 本書の構成 1.2.2 リストの利用方法 1.3 クラウドサービスのモデル 1.3.1 クラウドサービスの分離 1.3.2 クラウドサービスのメリットデメリット 1.3.3 想定するクラウドサービスモデル 1.4 情報の分類と重要度 1.4.1 本学での情報資産分類 1.4.2 クラウドサービスの利用 1.5 ガイドラインの位置付け 1.6 本書の対象範囲 1.6.1 本ガイドラインの対象者 1.6.2 本ガイドラインの対象範囲 1.7 用語の定義第 2 章クラウドサービスの利用編 2.1 クラウドサービスの選定 2.1.1 サービスの種類 2.1.2 利用範囲 2.1.3 利用コスト 2.1.4 事業者の信頼性 2.1.5 サービスの信頼性 2.1.6 セキュリティ対策 2.1.7 情報システムの監査 2.1.8 ヘルプデスク 2.1.9 契約条件 3

2.2 クラウドサービス事業者のセキュリティ対策 2.2.1 クラウドサービスの管理 2.2.2 資源の管理 2.2.3 マルウェア対策 2.2.4 バアップ 2.2.5 ログ 2.2.6 クラウドサービス上でのソフトウェアの管理 2.2.7 サービスのぜい弱性管理 2.2.8 通信に係るセキュリティ 2.2.9 暗号 2.2.10 情報セキュリティインシデント管理第 3 章クラウドサービスの運用編 3.1 クラウドサービスの導入 3.1.1 運用体制 3.1.2 ユーザ管理 3.1.3 パスワード管理 3.1.4 セキュリティルール 3.2 クラウドサービスの運用 3.2.1 クラウドサービスの管理 3.2.2 バアップとリストア 3.2.3 ログ 3.2.4 クラウドサービス上でのソフトウェアの管理 3.2.5 サービスのぜい弱性管理 3.2.6 情報セキュリティインシデント管理 ( 参考 ) 早稲田大学のクラウドサービス利用事例付録クラウドサービス利用リスト 4

第 1 章クラウドサービスの理解編この章では本書について理解を深め活用するために本書の目的や使い方情報の分類方法に加えサービス利用にあたっての考え方を記載している 5

1.1 本書の目的クラウドサービスの急速な普及にともないインターネットを経由して高機能なサービスを迅速かつ容易に利用できるようになってきましたその種類としてはアプリケーションを提供するサービスである SaaS(Software as a Service)だけでなく OS データベース開発環境を提供する PaaS(Platform as a Service) OS を直接インストール可能なサーバリソースを提供する IaaS(Infrastructure as a Service)などがありますこれらのクラウドサービスを本学の業務において有効に活用することで業務の効率化やコストの削減が期待できます一方情報漏えい等から保護する必要がある学生の個人情報や本学の重要情報秘密情報等の情報資産を外部のクラウドサービス上で処理することはセキュリティ上のリスクの増加をもたらしますそこで外部のクラウドサービスの業務利用に関して一定の基準を設けることで情報漏えい等のリスクを最小限にする必要がありますこれらを踏まえクラウドサービスの利用を検討する際の参考となるガイドラインを作成しました業務としてクラウドサービスを利用する際は本ガイドラインを参照しサービス提供事業者ごとの特徴を踏まえたうえで業務ニーズに合わせた適切なサービスを選択し情報漏えい等のセキュリティ事故を発生させないよう適切な管理をお願いしますなお情報漏えい等の情報セキュリティインシデントが発生した場合情報企画部はクラウドサービスを利用している管理者に対し本ガイドラインのリストによる結果の提出を求め早稲田大学情報セキュリティポリシー等の規則に従い助言指導することがあります <クラウドサービスの利用にあたっての順守事項 > クラウドサービスを利用者は本ガイドを参照しサービスの選定導入運用の観点からクラウドサービス事業者を判断したうえで利用することクラウドサービスの選定時はサービスの内容コスト SLA 等を確認し要求するサービスレベルを持つ事業者を選定することクラウドサービスの導入時は学内での運用担当者の選定や利用者の管理等を行い不正利用が発生しないよう注意することクラウドサービスの運用時は機密性可用性完全性の観点から情報を確実に保護することクラウドサービスの利用にあたってはサービスの見直しを定期的に行うこと ( 本ガイドラインの管理について) 早稲田大学情報企画部は本学の所属する教員職員が安全にクラウドサービスを利用できるようサービスの利用ガイドラインを作成更新周知を行い適切な体制のもと管理します 6

1.2 本書の利用方法 7

1.2.1 本書の構成本ガイドラインでは第 2 章第 3 章にクラウドサービス利用時の確認を記載している第 2 章クラウドサービスの利用ではクラウドサービス事業者選定時のサービス内容の確認ポイントについて記載しており第 3 章クラウドサービスの運用ではクラウドサービスの運用時に利用者側で行うべき内容について記載しているごとに確認すべきについては 1.2.2 リストの利用方法を参照しクラウドサービス利用を検討している対象資産の重要度に応じて対応する確認を満たすサービス事業者を選定すること第 2 章第 3 章の凡例 2.1 クラウドサービスの選定 2.1.1 サービスの種類各章の目的検討内容を記載クラウドサービスは様々なクラウド事業者が提供しておりサービスの内容も多種多様であるクラウドサービスを検討する際は提供される内容や特徴を事前に調査し業務に適したサービスを提供する事業者を選択することさまざまなクラウドサービスの例 SaaS 型 : e ラーニング人材育成等の教育サービス社内グループウェア Web 会議等の情報共有サービス Web サイト構築サービス CDN(コンテンツ配信サービス) SNS ブログ等のコミュニティ支援サービス検討するうえでのを記載 PaaS 型 : 開発実行基盤サービスメール Web サービス等のアプリケーション基盤サービス IaaS 型 : ハードウェア基盤サービスクラウドサービス事業者側に求めるリストなし検討内容のック項目リストクラウドサービス利用者側で検討すべきリストレベル1 レベル2 レベル3, 4 B1 B2 初めから 1 社に絞らず複数のクラウドサービス事業者のサービス内容を比較していますか? 利用するクラウドサービスの種類 (SaaS/PaaS/IaaS) を比較した上で業務に適したものを選択しましたまた各章のリストをまとめたものが本ガイド末付録クラウドサービス利用ック項目リストである 8

1.2.2 リストの利用方法クラウドサービスの選定にあたっては格納するにより必須とするが異なる重要度の高い情報資産はよりセキュリティが高く可用性対策が十分にとられたサービスを利用することが求められる本ガイド末付録クラウドサービス利用リストではに応じて各項目を必須推奨に分類している < 本ガイドの利用方法 > 1.クラウドサービスを利用するを決定する ( 情報資産については 1.4 情報の分類と重要度を参照すること) 2. 付録クラウドサービス利用リストの対象箇所 ( 重要度レベル)の欄を参照しクラウドサービス選定のための条件を確認する 3. 同リストを使用しクラウドサービス事業者の選定を行うリストはクラウドサービス事業者側に求めるリストとクラウドサービス利用者側で検討すべきリストの2つがあるため両方のリストを確認すること 4. リストは項目に対しをで回答する形式になっているまた補足として内容の欄にした結果を記載できるようになっているため適宜活用することクラウドサービス利用リスト例クラウドサービス事業者側に求めるリスト章番号 ( ) A1 2.1.4 クラウドサービス事業者のサービスの基盤 (プラットフォーム)が自社基盤を利用しているか他事業者の基盤を利用しているかを確認しその信頼性はクラウドサービス利用者の要求を満たすものになっていますか? 内容推奨推奨推奨 A2 2.1.5 クラウドサービスが停止する際にクラウドサービス事業者から事前通知が行われますか? 推奨必須必須 A3 2.1.5 クラウドサービス事業者はサービスの稼働状況や障害状況をリアルタイムで提供していますか? 推奨推奨推奨 A4 2.1.6 A5 2.1.6 A6 2.1.6 クラウドサービス事業者はセキュリティ対策について省庁や公的機関が公開している各種指針ガイドラインに準拠していますか?( 準拠している場合はどの指針ガイドラインに準拠しているか) 推奨推奨必須クラウドサービス事業者はセキュリティに関する認証を取得していますか?( 取得している場合は認証の名称を記載する) 推奨推奨必須クラウドサービス事業者がカード決済業務をサービスで行っている場合 PCI DSSに準拠していますか? (カード決済業務を行っていない場合は対象外 ) A7 2.1.7 クラウドサービス事業者にてクラウドサービスの監査方針が決められており定期的に監査を実施していますか? 推奨推奨必須 A8 2.1.7 クラウドサービス事業者にて監査結果の情報開示がされていますか? 推奨推奨必須 A9 2.1.8 クラウドサービス事業者からクラウドサービスの利用マニュアルや説明問合せ先が提供されていますか? 内容が記載されている結果 ( ) と内容の記入欄資産の重要度別に対応の必須推奨を分類している 9

1.3 クラウドサービスのモデルクラウドサービスの分類と特徴を以下に記載する 1.3.1 クラウドサービスの分類 SaaS(Software as a Service) :ユーザが必要な機能を必要な分だけサービスとして利用できるようにしたソフトウェア ( 主にアプリケーションソフトウェア)もしくはその提供形態のこと一般的にはインターネット経由で必要な機能を利用する仕組みである ( 例 :CDN(Contents Delivery Network) クラウドメール(ビッグローブ社 )) PaaS(Platform as a Service) :アプリケーションソフトが稼動するためのハードウェアや OS などの基盤 (プラットフォーム) 一式をインターネット上のサービスとして遠隔から利用する仕組みである SaaS で提供するソフトウェアの実行環境などの基盤を提供する仕組みのことを意味する場合もある ( 例 :Force.com(セールスフォースドットコム社 ) Microsoft Windows Azure(マイクロソフト社 )) IaaS(Infrastructure as a Service) : 情報システムの稼動に必要な機材や回線などの基盤 (インフラ)そのものをインターネット上のサービスとして遠隔から利用する仕組みである 10

1.3.2 クラウドサービスのメリットデメリットクラウドサービスを利用せず自前でサーバ等のシステムを保有して業務を行う場合とクラウドサービスを利用した場合のメリットデメリットは以下のとおりである < 自前のサーバを利用した場合 > メリットシステムの環境を自由にカスタマイズできる保管データは自前のサーバ内にあるため外部サービスに保管する時と比べて外部からのデータに対する攻撃リスクが低くなる使用頻度の高い( 年間継続して使用する等 )システムについてはクラウドサービスを利用するよりも運用コストが抑えられるデメリット一度導入したら構成変更が容易にできないシステムの設置により物理的な空間が占領される使用頻度の低い( 年に1 回しか使用しない等 )システムについては自前で保有するとクラウドサービスを利用するときと比べて運用コストが高くなってしまう <クラウドサービスを利用した場合 > メリット導入がしやすい短期間で利用を開始できる利用する利用をやめることがすぐにでき柔軟性がある使用頻度の低い( 年に1 回しか使用しない等 )システムについては自前で保有するよりも使用する時のみクラウドサービスを利用した方が運用コストの削減となるデメリットクラウドサービス利用時のパフォーマンスは利用するサービスの環境 (サーバスペ通信環境等 )に大きく依存するため期待するパフォーマンスが得られない場合がある保管データのセキュリティや可用性についてもクラウドサービス事業者に大きく依存するサービスのデータセンターが国外にある場合データセンターのある国の法律によりデータが閲覧されてしまう等のリスクがある( 米国のパトリオット法等 ) 使用頻度の高い( 年間継続して使用する等 )システムについてはクラウドサービスを利用する方が運用コストが高くなる恐れがある 11

1.3.3 想定するクラウドサービスモデル情報資産に応じたクラウドサービスの利用を検討するためクラウドサービスのモデルとして次の5つを想定するクラウドサービスモデルサーバ構成特徴 1 SaaS 提供されたアプリケーションを Web ブラウザ経由で利用でき導入コストが低減できる特殊なアプリケーションは提供されない 2 PaaS シングルテナント提供されたプラットフォーム(ミドルウェア) 上で自社開発したアプリケーションを稼働することができる 3 PaaS マルチテナント 2のサービスを同じプラットフォーム上で他の利用ユーザと共有して利用するインフラ(サーバ等のハードウェア)やプラットフォームコンポーネントが他ユーザと共用となるシングルテナントに比べ安価だが他ユーザの高負荷処理に引きずられ処理の安定性がない 4 IaaS シングルテナント提供されたインフラ(サーバ等のハードウェアネットワークメモリ OS 等 ) 上にプラットフォームを構築しアプリケーションを開発することができる 5 IaaS マルチテナント 4のサービスを同じインフラ上で他の利用ユーザと共有して利用するインフラ(サーバ等のハードウェア)が他ユーザと共用となり他ユーザによる高負荷処理の影響を受ける可能性があるこれらのサービスモデルについて利用するにより利用可能なサービスを検討する ( 情報資産の分類については第 Ⅰ 章 1.4 情報の分類と重要度を参照 ) 12

1.4 情報の分類と重要度 1.4.1 本学での情報資産分類によって利用するサービスを選択する必要があるそのためサービス利用基準を作成する本学における情報資産分類を以下に記載する重要度情報分類情報漏えい改竄消失した場合の影響情報資産の例レベル4 最重要情報学外関係者および学内への影響は深刻かつ重大である大学の評判信用に重大な影響を与えるコンプライアンス上の問題が生じる入試データ健康保険証番号金融機関の口座番号医療情報外為法の規制対象 ( 輸出規制対象 )となる情報等レベル3 重要情報学内全箇所及び学内関係者に重大な影響がある業務システムデータ部門外秘情報学生生徒記録大学の経営及び事業の運営に重大な影響があるレベル2 取扱注意情報学内の特定の箇所又は大学の特定の機能に影響がある利用者による入力データ研究データ( 公開予定情報 ) 学外秘情報レベル1 一般情報支障が出ない公開情報著作権について:どの情報分類においても十分な配慮が必要である研究情報について:どの情報分類においても以下の点に配慮が必要である研究情報の扱いに関しては学術研究倫理に係るガイドラインに従うものとする共同研究及び委託研究に関わる研究情報の扱いはその研究に関わる契約 (NDA など)に従うものとする人を対象とする研究に関わる研究情報に関しては人を対象とする研究に関する倫理規程に従うものとする 1.4.2 クラウドサービスの利用情報資産のうち重要度レベル1 レベル2の資産についてはクラウドサービスの利用を認めるまたレベル3 レベル4の情報についてはクラウドサービスを利用することで得られるメリットと重要資産を外部に保管することによるリスクを比較吟味した上でクラウドサービスを利用することがメリットになると判断された場合はサービスの利用を認める 13

ただしクラウドサービスを利用する場合は 1.2 本書の利用方法に従いクラウドサービス事業者のサービス内容セキュリティ対策状況を確認したうえで適切なクラウドサービスを利用すること重要度ごとのクラウドサービスの利用可否重要度情報分類クラウドサービスの利用備考レベル4 最重要情報原則利用不可メリットとリスクを比較した上でレベル3 重要情報原則利用不可サービスの利用判断を行うことレベル2 取扱注意情報利用可レベル1 一般情報利用可 SaaS は PaaS や IaaS に比べてクラウドサービス事業者への依存度が高い(インフラプラットフォームに加えソフトウェアについても依存 )ためセキュリティリスクが高くなることを意識する重要度レベルが高い情報についてはできるだけリスクの低いサービスを利用すること 14

1.5 ガイドラインの位置付け本学では情報セキュリティに係る規則として早稲田大学情報セキュリティポリシーがつくられておりこのポリシーに基づいて情報の管理運用が行われているさらにこのポリシーのもと各種規程ガイドラインが作られている本ガイドラインは業務上の情報をクラウドサービスという外部サービスに格納し利用管理するためのガイドラインであり早稲田大学情報セキュリティポリシーに基づいたものになっている本ガイドラインの位置付けは以下のとおり < 本学のセキュリティ文書体系 > 早稲田大学情報セキュリティポリシー早稲田大学情報関連システム利用内規 WIND における WWW 用コンテンツ作成に関するガイドライン早稲田大学クラウドサービス利用ガイドライン ( 本ガイドライン) 15

1.6 本書の対象範囲 1.6.1 本ガイドラインの対象者本ガイドラインは以下を対象利用者とする早稲田大学に関係する者でクラウドサービス上で情報システムの管理運用を行う者 1.6.2 本ガイドラインの対象範囲本ガイドラインは 1.6.1 本ガイドラインの対象者に記載された対象者が利用する情報システム情報資産を対象とする 16

1.7 用語の定義本ガイドラインで使用する用語の定義は以下のとおり a. クラウドサービス利用者による共有が可能であり利用者の要求に応じたセルフサービス提供と管理の機能を持つソフトウェアや技術基盤をネットワークを通じて必要に応じて利用者に提供するサービス b. クラウドサービス利用者クラウドサービスを利用する組織 c. クラウドサービス事業者クラウドサービスを利用者に提供する組織 d. サービスの各利用ユーザクラウドサービス利用者側においてクラウドサービスを利用する個々のユーザ e. ASP/SaaS アプリケーションをサービスとして提供するクラウドサービス f. PaaS ビスオペレーティングシステムやアプリケーションの実行環境をサービスとして提供するクラウドサー g. IaaS CPU メモリストレージネットワークなどのハードウェア資産をサービスとして提供するクラウドサービス h. CDN(Contents Delivery Network) ファイルサイズの大きいデジタルコンテンツをネットワーク経由で配信するために最適化されたネットワークまたはそのシステム i. 脅威組織に損害や影響を与えるリスクを引き起こす要因 17

j. ぜい弱性脅威によって悪用される可能性がある欠陥や仕様上の問題 k. リスク目的に対して不確かさが与える影響 l. SLA(Service Level Agreement) 書面にしたサービス提供者と顧客の合意 (サービス及びサービスレベルを記述したもの) m. シングルテナントクラウドサービスで顧客企業ごとに専用の機材やソフトウェアなどを用意する事業モデル n. マルチテナントクラウドサービスで機材やソフトウェアデータベースなどを複数の顧客企業で共有する事業モデル o. リードタイム作業の着手から終了までに要する時間のこと p. ISMS( 情報セキュリティマネジメントシステム) 企業や組織が自身の情報セキュリティを確保維持するためにルール(セキュリティポリシー)に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組みのこと q. マルウェアコンピュータウイルスワームスパイウェアなどの悪意のこもったソフトウェアの総称 r. PCI DSS(Payment Card Industry Data Security Standard) クレジット業界におけるグローバルセキュリティ基準 s. 情報セキュリティインシデント事業運営に影響を与えたり情報セキュリティを脅かしたりする事件や事故 t. コンティンジェンシープラン事件事故災害などの不測の事態が発生することを想定しその被害や損失を最小限にとどめるためにあらかじめ定めた対応策や行動手順 18

第 2 章クラウドサービスの利用編本章ではクラウドサービスを利用するにあたってクラウド事業者に求めるサービルレベルを基準把握として記載している本章を確認し要求を満たすサービス事業者を選定すること 19

2.1 クラウドサービスの選定 2.1.1 サービスの種類クラウドサービスは様々なクラウド事業者が提供しておりサービスの内容も多種多様であるクラウドサービスを検討する際は提供される内容や特徴を事前に調査し業務に適したサービスを提供する事業者を選択することさまざまなクラウドサービスの例 SaaS 型 : e ラーニング人材育成等の教育サービス社内グループウェア Web 会議等の情報共有サービス Web サイト構築サービス CDN(コンテンツ配信サービス) SNS ブログ等のコミュニティ支援サービス PaaS 型 : 開発実行基盤サービスメール Web サービス等のアプリケーション基盤サービス IaaS 型 : ハードウェア基盤サービスクラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B1 初めから 1 社に絞らず複数のクラウドサービス事業者のサービス内容を比較していますか? B2 利用するクラウドサービスの種類 (SaaS/PaaS/IaaS)を比較した上で業務に適したものを選択しましたか? 20

2.1.2 利用範囲学内でクラウドサービスの利用を検討する際には移行対象のシステム業務情報資産等の範囲を明確にする必要があるクラウドサービスに移行した場合のサービスの利用者数やアクセス数業務への影響などについて事前に分析整理を行いクラウドサービスに移行する業務範囲とそこで取扱う情報の種類範囲を決定する導入の際クラウドサービス導入に伴って発生する問題を明確にしておく必要がある選定しようとしているクラウドサービスで現在の業務をすべて対応することができない場合対応できない業務を取り出して別のシステムに移すことが可能かまたその場合に他の既存のシステムや処理との連携は問題ないかというようなクラウドサービスの導入が既存の業務やシステムに与える影響について検討することクラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B3 クラウドサービス利用者はクラウドサービスの利用を検討している業務における現在の業務負担 ( 工数 )を洗い出しクラウドサービスを利用することによって効率化 ( 工数の削減 ) が行えることを確認しましたか? B4 クラウドサービス利用者はクラウドサービスに移行することにより既存の業務やシステムにマイナスの影響 ( 対応業務の不足間接的な工数増システム連携が出来なくなる等 )がでないことを確認しましたか? B5 利用者はクラウドサービスに移行する業務範囲情報資産のレベル対象システムを明確に決定しましたか? 21

2.1.3 利用コストクラウドサービスの導入は IT 資産の保有が不要になる IT 資産の管理運用にかかるコストが減る等のメリットがある一方でサービス利用コストは継続的にかかるため利用を検討しているシステムの運用状況によってはコストが増えてしまう可能性もある対象システムの運用に関するコストを試算した上でメリットがあるクラウドサービス事業者を選択することコストの試算の際にはサービスの導入コストだけでなく間接費も含めた月々の運用コストについても試算するとよい今後サービスの利用規模を拡大した場合の追加のコストについてもあらかじめ検討しておくと計画が立てやすいまたクラウドサービスを契約する際はサービスの利用期間を想定し数年後のサービス移行に係るコストについても検討しておくとよいクラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B6 クラウドサービスを利用することでコスト面でメリットがあることを確認しましたか? またどの程度メリット( 機器費用運用者コスト保守費用移行費用 )があるか試算しましたか? B7 クラウドサービスを利用する際の導入コスト初年度の運用コストを試算しましたか? 22

2.1.4 事業者の信頼性クラウドサービスを提供する事業者の信頼性を確認することは継続的にサービスを利用する上で重要である事業者の経営の安定性やサービスに対する取り組み等安心してクラウドサービスを利用できるかどうかを事前に確認すること本章と次章 2.1.5 サービスの信頼性の両方の観点からクラウドサービス事業者を選択することが望ましいクラウドサービスを安心して利用するための基準として事業者を評価する判断基準の参考を以下に記載する経営状況について株式公開されている企業であるかクラウドサービスの事業開始からの年数クラウドサービスの利用者数事件事故について過去にクラウドサービスにおける事件事故があったか事件事故障害等の際の対応についてプラットフォームについて他の信用ある事業者がそのサービスを再販代理販売していないか (している場合は信頼度が高い) クラウドサービスが他の大手クラウド事業者のプラットフォーム上で運用されていないか (プラットフォームを運用している事業者の信頼度が高ければクラウドサービス事業者の信頼度も高い) 上記項目を満たしている事業者であっても信頼できるとは限らないため一つの判断基準として取り入れること 23

クラウドサービス事業者側に求めるリスト A1 クラウドサービス事業者のサービスの基盤 (プラットフォーム) が自社基盤を利用しているか他事業者の基盤を利用しているかを確認しその信頼性はクラウドサービス利用者の要求を満たす推奨推奨推奨ものになっていますか? クラウドサービス利用者側で検討すべきリスト B8 クラウドサービス事業者の経営状況クラウド事業への取り組みは信頼できるものでしたか? B9 クラウドサービス事業者の過去の事件事故の状況と対応はサービスを利用する側から見て信頼できるものでしたか? 推奨必須必須 24

2.1.5 サービスの信頼性クラウドサービスはメンテナンスや障害のために事前に通知をしてまたは予告なしに停止する場合があるそのサービス停止時の対策方針は SLA(サービスレベルアグリーメントまたはサービスレベル契約書 )の文書に通常掲示されている事業者のメンテナンス障害時の対応はサービス利用に直接的に関係するためサービスの稼働率や障害発生の頻度サービス停止障害時の対応方法復旧見込み時間のレベルについては事前に詳細を確認すること SLA 等の文書内に記載されている次の項目について内容確認すること事前に通知をして停止する場合通知から停止までのリードタイム通知の方法と通知の確実性急な障害で停止する場合通知の方法と通知の迅速性稼働率保証について稼働率の定義率の計算単位 ( 例 : 月単位年単位等 ) ( 稼働中に再起動が行われるサービスもあるため稼働率の定義を確認すること) 障害発生頻度の理論値や過去の経験値復旧にかかる見込み時間復旧 (どの時点のデータに復旧するのか) 年間の計画的なダウンタイム稼働時間が保証より下回った場合の顧客への返還内容クラウド管理運用にあたっての提供サービス内容例 )ダッシュボード( 現在のクラウド運転状況等を提供するサービス) の使用等クラウドサービス事業者に対し裁判所や警察によるデータの提出命令が生じた場合サービスの停止やクラウドサービス利用者の預託データまでもが提出されてしまいデータが提出先の管理下に置かれてしまう可能性があるその場合障害発生等の緊急対応ができなくなってしまう恐れがでてくるこのような状況になった場合のサービス利用についてクラウドサービス事業者に確認を行うことも必要である 25

クラウドサービス事業者側に求めるリスト A2 クラウドサービスが停止する際にクラウドサービス事業者から事前通知が行われますか? 推奨必須必須 A3 クラウドサービス事業者はサービスの稼働状況や障害状況をリアルタイムで提供していますか? 推奨推奨推奨クラウドサービス利用者側で検討すべきリスト B10 クラウドサービス事業者の SLA(サービスレベルアグリーメント)に記載された障害発生頻度の理論値が要求レベルを満たすものになっていますか?( 障害発生頻度の理論値が高すぎないか) B11 クラウドサービス事業者の緊急のサービス停止時の復旧見込み時間は利用者の要求を満たすものになっていますか?( 復旧見推奨必須必須込み時間が業務停止を許容できる時間の範囲内になっているか) 26

2.1.6 セキュリティ対策クラウドサービスを安全に利用するためにはそのセキュリティ対策が万全に実施されているか事前に確認しておく必要がある多くのクラウド事業者は自社のセキュリティ対策についてウェブサイトで公開を行っている年次報告書やセキュリティに関するレポート等を公表していることもあるためその場合は併せて参考することクラウドサービス事業者のセキュリティ対策の詳細については 2. クラウドサービス事業者のセキュリティ対策に記載しているまた公的機関が定めている情報開示指針やサービスに関するガイドラインに基づいて運用管理情報開示認定や認証が行われている場合セキュリティ管理についてある一定の水準を満たしているため事業者のセキュリティ対策の信頼性評価として指標にすることが望ましいクラウドサービス事業者のセキュリティレポートの他次の指針ガイドラインに基づいているか確認すること指針ガイドラインの例経済産業省 SaaS 向け SLA ガイドライン情報セキュリティ報告書モデルクラウドサービス利用のための情報セキュリティ対策ガイドライン総務省 ASP SaaS における情報セキュリティ対策ガイドラインデータセンターの安全信頼性に係る情報開示指針情報セキュリティマネジメントシステム(ISMS) 適合性評価制度 IT サービスマネジメントシステム(ITSMS) 適合性評価制度日本情報経済社会推進協会プライバシーマーク制度マルチメディア振興センター ASP SaaS 安全信頼性に係る情報開示認定制度日本カード情報セキュリティ協議会 PCI DSS 米国会計監査基準における SAS70 TypeⅡ 監査 ( 日本では日本公認会計士協会の定める 18 号監査 ) による内部統制に関わる監査報告 27

クラウドサービス事業者側に求めるリスト A4 クラウドサービス事業者はセキュリティ対策について省庁や公的機関が公開している各種指針ガイドラインに準拠していますか?( 準拠している場合はどの指針ガイドラインに準拠し推奨推奨必須ているか) A5 クラウドサービス事業者はセキュリティに関する認証を取得していますか?( 取得している場合は認証の名称を記載する) 推奨推奨必須 A6 クラウドサービス事業者がカード決済業務をサービスで行っている場合 PCI DSS に準拠していますか? (カード決済業務を行っていない場合は対象外 ) クラウドサービス利用者側で検討すべきリストなし 28

2.1.7 情報システムの監査外部のクラウドサービス事業者については契約通りのサービスの提供やサービスの運用が行われているかを確認する手段が限られている監査はクラウドサービス事業者が定められたルールに従ってサービス運用を行っているか利用者との契約内容に反した活動を行っていないかについて確認し事業者の活動をする意味があるため監査を定期的に行っているクラウドサービス事業者を選択することが望ましい以下を実施しているクラウドサービス事業者を選択するとよいクラウドサービス事業者にて監査についての方針を定め定期的に監査を実施しているクラウドサービス利用者からの依頼に応じて監査結果を開示するクラウドサービス事業者が ISMS 等の監査マネジメントが含まれた認証を取得しているクラウドサービス事業者側に求めるリスト A7 クラウドサービス事業者にてクラウドサービスの監査方針が決められており定期的に監査を実施していますか? 推奨推奨必須 A8 クラウドサービス事業者にて監査結果の情報開示がされていますか? 推奨推奨必須クラウドサービス利用者側で検討すべきリストなし 29

2.1.8 ヘルプデスククラウドサービス利用時使い方の不明点がある場合の問合せ先が提供されているかどうかを確認すること多くの事業者は利用者支援のための施策として FAQ や取扱説明ヘルプデスクを提供しているこれらのサポート内容について確認し安心してサービスを利用できるかどうかを確認しておくことヘルプデスクについては下記の項目を確認すること連絡方法 ( 電話メール等業務時間外の連絡手段等 ) 受付時間 ( 自社の利用時間帯と合うかどうか) 料金 ( 月額に含むのか別料金か) クラウドサービス事業者側に求めるリスト A9 クラウドサービス事業者からクラウドサービスの利用マニュアルや説明問合せ先が提供されていますか? A10 クラウドサービスの障害トラブルが発生した際の事業者のヘルプデスクはありますか? A11 クラウドサービス事業者の問い合わせ先やヘルプデスクへの連絡手段受付時間はクラウドサービス利用者に提示されていますか? A12 ヘルプデスクの問合せ受付から回答までの時間はクラウドサービス利用者に提示されていますか? 推奨必須必須クラウドサービス利用者側で検討すべきリスト B12 クラウドサービス事業者のヘルプデスクの受付から回答までの時間はクラウドサービス利用者の要求を満たすものになってい推奨推奨必須ますか? 30

2.1.9 契約条件クラウドサービス利用開始時通常はサービスを提供するウェブサイトに利用のための契約約款が表示されており同意するのボタンをクリすると契約が成立する契約が成立する前にその内容についてきっちりと確認を行っておく必要がある取引内容の他にも下記の項目について注意して確認すること利用価格の体系や適用条件価格の変更に関する規定サービスの変更に関する規定第三者委託に関する規定守秘義務の規定データの所有権使用権 (クラウドサービス上のデータの所有権が事業者側に存在することがないようにすること) 損害賠償規定準拠法と管轄裁判所 (グローバル展開するクラウドサービスの場合データ管理上の準拠法や裁判が海外になっている可能性もあるため注意する) 契約の満期終了と更新に関する規定クラウドサービス事業者が契約違反を行った場合にクラウドサービス利用者側からの契約の解除に関する規定契約の終了解除に伴う処理等の規定またクラウドサービスの利用を終了する際にクラウドサービス上のデータの返却や消去についても予め確認しておく必要がある返却に時間がかかると他サービスへの移行が遅れ業務に支障がでてしまうサービス終了時には以下の作業について確認するデータが必要なタイミングで返却されるかデータのローカルへのコピーが可能か(コピー速度は十分か) 返却時のデータのフォーマットは他クラウドサービス事業者に移行するにあたり互換性があるか利用終了後クラウド上のデータが確実に消去され第三者による再利用や悪用が起こらないような対策がとられているか 31

クラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B13 クラウドサービスの契約条件の中でサービス内容の変更に関する規定はクラウドサービス利用者の要求を満たすものになっていますか? B14 クラウドサービスの契約条件の中でサービス内容の第三者委託に関する規定はクラウドサービス利用者の要求を満たすものになっていますか?( 本学のデータを委託先である第三者に渡す場合も本学の承諾が必要 ) B15 クラウドサービスの契約条件の中で守秘義務や損害賠償に関する規定はクラウドサービス利用者の要求を満たすものになっていますか? B16 クラウドサービスの契約条件の中でクラウドサービス上のデータの所有権使用権はクラウドサービス事業者ではなくクラウドサービス利用者側に存在していますか? B17 クラウドサービスの契約条件の中で準拠法や管轄裁判所に関する規定はクラウドサービス利用者の要求を満たすものになっていますか? B18 クラウドサービスの契約条件の中でクラウドサービス事業者が契約違反を行った場合の契約解除に関する規定はクラウドサービス利用者の要求を満たすものになっていますか? B19 クラウドサービス終了時の格納データの返却消去のルールはクラウドサービス利用者の要求を満たすものになっていますか? 推奨必須必須 32

2.2 クラウドサービス事業者のセキュリティ対策 2.2.1 クラウドサービスの管理クラウドサービスはネットワークを通じたサービス提供となるため第三者からの攻撃を受ける可能性がある攻撃によりサービスの停止サービスレベルの低下が生じてしまうとクラウドサービス利用者に大きな影響がでてしまうサービス事業者においてはこのようなことが発生しないよう対策を取る必要がある具体的なぜい弱性対策については 2.2.7 サービスのぜい弱性管理に記載しているクラウドサービスへの悪意のある攻撃は外部の第三者からのものであることが多いが内部の管理者権限をもった特権ユーザも実施の可能性があることに注意すること不正アクセス等の攻撃が発生した場合は速やかにそれを検知解析できることが求められるクラウドサービス事業者側に求めるリスト A13 クラウドサービス事業者にて第三者や管理者権限をもつ特権ユーザにより不正なプログラムの改ざん変更破壊等が生じた場推奨必須必須合に速やかに発見するための管理策がとられていますか? A14 管理者権限を持った特権ユーザのアクセスログがとられておりクラウドサービス事業者にて監視を行っていますか? 推奨推奨必須クラウドサービス利用者側で検討すべきリストなし 33

2.2.2 資源の管理クラウドサービスはインターネットを経由してサービスを提供することとなるため第三者からの攻撃によりサービスの停止サービスレベルの低下が生じる恐れがあるまた利用集中により資源が枯渇しサービスの提供に支障をきたす恐れもあるサービス事業者においてはこのようなことが発生しないよう対策を取る必要があるクラウドサービス利用者が特定の資源を集中的に使用するアプリケーションを一斉に利用してしまうとクラウドサービスのシステム資源が枯渇する可能性がありそれによってサービス利用ができなくなってしまう恐れがあるクラウドサービス事業者側に求めるリスト A15 クラウドサービス事業者にてサービス提供システムで利用する資源の容量能力に不足が生じないよう資源を常時監視してい推奨推奨必須ますか? クラウドサービス利用者側で検討すべきリストなし 34

2.2.3 マルウェア対策クラウドサービスは他の利用者を経由したマルウェア感染等の危険があるこのためマルウェアに対する管理策をクラウド事業者が行いクラウド利用者に対しても対策を呼びかける必要があるクラウド事業者はクラウドサービスを運用している情報処理施設へのマルウェアの感染を防止しまたは感染後に二次被害の発生を防止するための措置を講じる必要がある外部の第三者による攻撃の他クラウド利用者を経由した感染を防止するためクラウドサービス利用者のマルウェアに関する情報を収集する事も事業者に求められる利用者はマルウェア感染しないような対策を日常から行うことが必要であるクラウドサービス事業者側に求めるリスト A16 クラウドサービス事業者にてマルウェアスキャンを定期的に実施しさらにセキュリティ事象発生時にも実施していますか? A17 クラウドサービス事業者にてマルウェア感染が確認された場合の対応策が決められているか確認しましたか? A18 クラウドサービス事業者にてマルウェア感染によりサービスが停止した場合に被害状況やサービス復旧見込み等についての情報提供を行っていますか? A19 クラウドサービス事業者にてクラウドサービスを対象としたマルウェアに関する情報をサービス利用者に提供していますか? クラウドサービス利用者側で検討すべきリストなし 35

2.2.4 バアップクラウドサービス事業者での情報のバアップについてバアップ体制バアップ頻度バアップ作業の実施時間等を把握しておくことが求められるバアップからの復旧 (リカバリ)にかかる時間やリカバリについても予め確認しておくことマルチテナントの場合他の利用者のデータと一緒に一括してバアップしている事業者ではサービスの障害時等バアップデータが必要になった際に個々のクラウドサービス利用者のデータを特定することができるまたは検索することができるバアップ管理体制が必要であるクラウドサービス事業者側に求めるリスト A20 クラウドサービス事業者は格納情報のバアップ運用を行っていますか? クラウドサービス利用者側で検討すべきリスト B20 クラウドサービス事業者のバアップ運用の頻度リカバリ時間リカバリは要求を満たすものになっていますか? 推奨必須必須 36

2.2.5 ログバアップデータと同じくログに関してもクラウドサービス事業者での取得方法保管期間等を確認しておく必要があるクラウドサービス事業者が利用者に係るログとひとまとめにして取得している場合他の利用者の行為に対して法令等に基づくログの提出命令が出された際一括して提出されてしまう恐れがあるそのため事業者の選定時は利用者が求めるログを取得しそのログを利用者が活用できるサービスを提供している事業者を選定することが求められるログ情報の取得は外部からの不正アクセス等による攻撃を受けないよう以下を実施することが望ましい適切なアクセス制御ログ情報の削除や改ざん防止ログ情報のバアップログ情報の管理手順の作成クラウドサービス事業者側に求めるリスト A21 クラウドサービス事業者はサービス利用におけるイベントログを利用者が必要な時にいつでも提供できるようになっています推奨推奨推奨か? A22 クラウドサービス事業者にてイベントログに対し不正アクセスや外部からの攻撃等が行われないような保護対策がとられて推奨必須必須いますか? クラウドサービス利用者側で検討すべきリストなし 37

2.2.6 クラウドサービス上でのソフトウェアの管理クラウド利用者がインストールしたソフトウェアが悪意を持って動作するとサービス全体に影響を及ぼすことになるこのためクラウド上に利用者がインストールするソフトウェアについてマルウェアに感染していないことを確認したりインストール等の作業の記録を残すことが事業者に求められる悪意のあるソフトウェアの動作に対応するため以下の対策を実施することが望ましいマルウェアに感染したソフトウェアがインストールされないような対策をとるソフトウェアが原因でクラウドサービスにぜい弱性が生じた場合は当該利用者の利用領域を隔離するクラウドサービス全体にぜい弱性が生じた場合はサービスの一時停止を検討する利用者にマルウェアに感染したソフトウェアをインストールしないよう呼びかけるクラウドサービス事業者側に求めるリスト A23 クラウドサービス事業者にてクラウドサービス上のソフトウェアが不正な挙動を行った場合の対応策が決められていますか? ( 記録管理ソフトウェアの特定隔離等 ) クラウドサービス利用者側で検討すべきリストなし 38

2.2.7 サービスのぜい弱性管理クラウドサービス事業者においてサービス運用上のぜい弱性が存在すると第三者による攻撃や事業者内の内部不正等によってデータの機密性完全性が失われたりサービスの長期間停止による可用性の喪失の可能性もあるこのため事業者においては技術的ぜい弱性の悪用を防止するための管理策を実施する必要があるぜい弱性対策としては情報セキュリティマネジメントシステム(ISMS)の管理策実施の手引き(ISO/IEC27002)に記載されている以下に代表されるような管理策を実施する IT 資産管理資産目録の作成管理体制と役割責任の確立ぜい弱性が発見された場合の処置プロセス監査の実施対応プロセスの有効性の評価 ISMS における具体的な管理策として以下のセキュリティ対策を実施することが求められるシステムについて OS やアプリケーションのアップデートセキュリティ修正パッチやサービスパの適時適用システムの可用性信頼性確保のためにサーバやストレージやネットワークの多重化冗長化自動バアップの実施リソースについてマルチテナントの場合他のクラウドサービス利用者との使用リソースを分離し情報の漏えい閲覧障害発生時の影響等が無いようにするデータセンターについて入退室の管理防犯設備災害対策監視体制電源や冷却設備の二重化予備電源の確保データセンターの運用について運転要員の信頼性確認勤務状況作業内容のモニタリングシステムへのアクセス制限や管理者特権の管理操作ログの管理 39

クラウドサービス事業者側に求めるリスト A24 クラウドサービス事業者にてサービスのぜい弱性対策として IT 資産管理が行われていますか? 推奨推奨必須 A25 クラウドサービス事業者にてサービスのぜい弱性対策として IT 資産を管理する要員の役割と責任が確立されていますか? 推奨推奨必須 A26 クラウドサービス事業者にてサービスのぜい弱性対策としてぜい弱性が発見された場合の対応プロセスが確立されています推奨推奨必須か? A27 クラウドサービス事業者にてサービスのぜい弱性対策として監査ログの取得が行われていますか? 推奨推奨必須 A28 クラウドサービス事業者にてサービスのぜい弱性対策としてプロセスの有効性の評価が行われていますか? 推奨推奨必須 A29 クラウドサービス事業者にて OS やアプリケーションのアップデートパッチ適用が行われていますか? 推奨必須必須 A30 クラウドサービス事業者にて他のクラウドサービス利用者との使用リソースの分離ができていますか? 推奨必須必須 A31 クラウドサービスのデータ保管施設は入室管理災害対策が行われていますか? 推奨推奨必須クラウドサービス利用者側で検討すべきリストなし 40

2.2.8 通信に係るセキュリティクラウドサービスではネットワークの設定ミスはサービスの提供に大きな影響を及ぼしサービスの停止や可用性喪失につながりやすいクラウドサービス事業者においてはネットワークの設計設定ミスが生じないような管理を行うことが求められるネットワークのセキュリティ管理を考慮する上で以下の観点での管理が特に求められる情報を転送する際のセキュリティ対策の合意 ( 暗号化データ規格 ID 窃取に対する措置資源の隔離等 ) 秘密保持契約守秘義務契約 41

クラウドサービス事業者側に求めるリスト A32 クラウドサービス事業者にてネットワーク構築の際の運用設定方針と承認方針が文書化されていますか? A33 クラウドサービスと学外とのデータ連携には暗号化や情報の隔離等が行われ情報転送が確実かつ安全に行われる環境が作られていますか? A34 クラウドサービス事業者にてフィッシング対策等の秘密認証情報窃盗への対応が行われユーザ ID 等の情報の転送の安全が確保されていますか? A35 クラウドサービスの利用終了時に情報の安全な返却のため転送におけるデータ規格仕様等についてクラウドサービス事業者推奨必須必須から事前に説明はありますか? クラウドサービス利用者側で検討すべきリスト B21 PaaS/IaaS のサービスを利用する場合自前の設備をクラウドサービスに移行する際には悪意のある攻撃を受けないよう情報推奨必須必須資産のセキュリティ管理を行っていますか? 42

2.2.9 暗号クラウドサービスはオープンなネットワークを用いたサービスであることが多く暗号は非常に重要である暗号化の適用範囲強度暗号鍵の管理等について確認し利用者が求める要求レベルを確保しているサービス事業者を選定する必要がある暗号鍵の管理策の利用方針情報の機密性 / 完全性可用性の検証アクセス制御認証否認防止等について暗号化に関する要求レベルを利用者側で決定する必要がある暗号鍵の有効期間暗号鍵は使用期日を決め生成 ~ 保管 ~ 配布 ~ 使用 ~ 停止 ~ 破壊という一連のサイクル全体で改変漏えい紛失等から保護する必要がある暗号の強度鍵のタイプ暗号アルゴリズム鍵の長さについては運用における負荷も踏まえたうえで最適な強度にする 43

クラウドサービス事業者側に求めるリスト A36 クラウドサービス事業者にて保管伝送される情報の暗号化が行われていますか? A37 情報の機密性確保完全性可用性の検証アクセス制御認証否認防止等についてクラウドサービス事業者は暗号化のポリシ推奨推奨必須 A38 ーを作成していますか? クラウドサービス事業者は暗号化鍵の管理を行っていますか? クラウドサービス利用者側で検討すべきリスト B22 クラウドサービス事業者における暗号管理状況についてクラウドサービス利用者から情報開示を求めた場合クラウドサービス事業者からの情報開示は要求をみたすものになっていますか? 44

2.2.10 情報セキュリティインシデント管理情報セキュリティインシデントが発生した場合そのインシデントに対する対応の仕方によってサービスの停止期間や利用者への影響が変わってくる事業者においては情報セキュリティインシデント発生時の体制の構築並びにインシデントの管理を確実にすることが求められるクラウドサービス利用者においては情報セキュリティインシデントが発生した際にそのインシデントの原因や再発防止策についてクラウドサービス事業者に情報開示を求め再発防止策等の妥当性の確認やクラウドサービス利用者のサービス利用に影響がないことを確認すること情報セキュリティインシデントへの取組みは以下の観点で実施する情報セキュリティインシデント発生の兆候を把握するための情報の収集情報セキュリティインシデント対応体制の確立情報セキュリティ事象の報告情報セキュリティ事象の評価証拠の収集 45

クラウドサービス事業者側に求めるリスト A39 クラウドサービス事業者における情報セキュリティ事象の発見時の報告プロセスは確立していますか?( 連絡先報告内容報告書式 ) A40 クラウドサービス利用者が情報セキュリティ事象を発見した場合に報告を行うクラウドサービス事業者側の連絡窓口は提供されていますか? A41 情報セキュリティインシデントの分類基準がクラウドサービス事業者にて定められていますか? 推奨推奨必須 A42 情報セキュリティインシデント発生時にクラウドサービス事業者から事象の事実関係復旧見込み影響範囲等が利用者に提示されますか? A43 利用者が情報セキュリティインシデントの原因や再発防止策等を利用する際のアクセス手順がクラウドサービス事業者にて確立されていますか?( 利用者からの要請許諾費用等 ) A44 情報セキュリティインシデントの証拠となる情報の取扱い手順がクラウドサービス事業者にて明確に定められていますか? ( 収集保存保存期間等 ) A45 クラウド利用者が行う証拠収集の制限事項がクラウドサービス事業者にて定められていますか? A46 情報の格納に関して日本国外に保管する場合はその国の格納情報の管理についてクラウドサービス事業者から説明がありま推奨必須必須すか? クラウドサービス利用者側で検討すべきリストなし 46

第 3 章クラウドサービスの運用編本章ではクラウドサービスを利用する際の利用者側で行う事項について記載している第 2 章の事業者の選定と合わせ利用者側でもサービス利用開始前に本章を確認し準備しておくこと 47

3.1 クラウドサービスの導入 3.1.1 運用体制クラウドサービス利用する際クラウドサービスの管理運用を行う業務管理責任者利用管理担当者を決めること利用管理担当者は業務管理責任者の指示の下クラウドの利用に際しての各種設定等の業務を行うことが求められる業務管理責任者は下記利用管理担当者の業務に対する承認権限を持つ利用管理担当者の業務としては以下が挙げられるユーザアカウントの登録や抹消の処理利用マニュアル整備利用方法の指導利用者に対するヘルプデスククラウドサービスに設置するデータの定期的なバアップ障害発生時のクラウド事業者との連絡調整迂回処置等の検討実施クラウドサービスでの処理量の増減に応じたサービス利用量の調整また業務管理責任者や利用管理担当者のみで判断することが難しい場合に備え相談できる学内外の企業や専門家を確保し相談できる体制を作っておくこと ( 本学情報企画部や IT 資産の構築ベンダ外部コンサルタント等 ) クラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B23 学内にクラウドサービス利用管理者 ( 責任者担当者 )を設置しましたか? B24 クラウドサービス利用管理者の役割を明確に定めましたか? B25 クラウドサービス利用に関する相談先となる企業や専門家を確保していますか? 推奨推奨推奨 48

3.1.2 ユーザ管理クラウドサービスを利用する際そのサービスを利用するユーザに対する適切な管理が必要となる個人や役職に応じて利用するサービスの権限を定めることまた担当者の変更や退職等の場合に必要に応じて変更管理することユーザの管理業務としては以下が挙げられるアクセス管理クラウドサービスの業務ごとに利用する担当者を登録し業務に関係のない人がアクセスできないようにすること権限管理どの業務どの情報についてどのような操作処理を許可するのか決定しそれに応じて権限を設定することユーザアカウントの設定利用者ごとに個別の ID とパスワードを付与すること共有アカウントを使用するとライセンス違反や情報漏えいのリスクがあるクラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B26 クラウドサービスの各利用ユーザを明確にし対象外の者はアクセスできないようにしていますか? B27 各利用ユーザが行える操作処理を決定し不要な操作を行えないよう権限管理していますか? B28 各利用ユーザは個別のユーザアカウントパスワードを付与し共有アカウントを作っていませんか? 推奨必須必須 B29 B30 クラウドサービスの管理権限は一部の者だけに制限して付与していますか? 各利用ユーザやアクセス権限は定期的に棚卸を実施し必要なユーザやアクセス権のみが登録されていますか? 推奨必須必須 49

3.1.3 パスワード管理クラウドサービスを利用する際そのパスワードの適切な設定管理を行う必要があるパスワードポリシーを定めるなどしより安全にクラウドサービスを利用できるようにしておくことが望ましいパスワードポリシーの例パスワードは他の人から簡単に推測されないものを設定するパスワードは8 文字以上英数混合に設定する定期的に変更するユーザがパスワードを忘れてしまった場合は管理者がクラウドサービスが提供するパスワード再発行機能を利用しパスワードを再発行することパスワードがわからなくなった場合はサービス事業者がパスワードリセットの仕組みを提供している場合があるためパスワードリセットの方法は事前に確認しておくこと申請手続きからリセット処理までのリードタイムについても注意が必要であるクラウドサービス事業者側に求めるリスト A47 クラウドサービス事業者側でパスワードリセットの仕組みはありますか? 推奨必須必須クラウドサービス利用者側で検討すべきリスト B31 利用者のパスワードポリシーを定めていますか?( 推測されにくいものにする 8 文字以上にする英数字を混合する定期的に変更する等 ) B32 利用者がパスワードを忘れた際の運用手順 (パスワード再発行等 )が準備されていますか? 推奨推奨必須 B33 クラウドサービス事業者側でのパスワードリセットのリードタイムはクラウドサービス利用者の要求を満たすものになっていますか? 50

3.1.4 セキュリティルールクラウドサービスを利用する場合には情報資産を取り扱う学内のルール規程セキュリティ対策基準個人情報の取扱規程に違反していないかを確認したうえでサービスを利用することクラウドサービス利用による影響が想定される学内のルール( 例 ) 早稲田大学規約集第 1 編基本第 3 章人権 - 個人情報の保護に関する規則 http://www.waseda.jp/kyomubu/new/kitei.html 第 3 編組織第 5 章組織運営 - 情報セキュリティ対策に関する規程第 4 編文書 - 文書保存規程 - 文書取扱規程早稲田大学情報セキュリティポリシー http://www.waseda.jp/jp/footer/security/index.html 早稲田大学情報企画部早稲田大学情報関連システム利用内規 http://www.waseda.jp/wits/rules.html WIND における WWW 用コンテンツ作成に関するガイドライン http://www.waseda.jp/wits/rules/rule_guideline.html あなたと情報セキュリティ http://www.waseda.jp/wits/data/info-sec/index.html 51

クラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B34 クラウドサービスに格納する情報について学内のセキュリティポリシー違反となる情報がないか確認していますか? B35 クラウドサービス利用により発生が想定されるリスクやトラブル等の不都合が業務上の許容範囲内であることを確認しましたか?( 許容範囲外である場合はクラウドサービスの利用中止を検討する) 52

3.2 クラウドサービスの運用 3.2.1 クラウドサービスの管理クラウド利用者においてはクラウドサービスの機能 (ログイン認証機能使用可能サービス内容等 )についてクラウドサービスを利用する各ユーザに伝える必要がある各ユーザへの周知徹底のためクラウドサービスの利用手順書の作成を行うことが望ましいまたクラウドサービスを利用する際はそのサービスの利用範囲公開範囲を定め範囲外のユーザが閲覧利用することが無いように設定を確認すること利用手順書の作成の際には作成内容について必要に応じてクラウドサービス事業者から情報の提供を受ける利用手順書には各ユーザがサービスを利用する際の手順サービスでできること利用する際のルール問い合わせ窓口等について記載する教育機関ではクラウドサービスの公開範囲の設定を誤り機密情報を格納した領域を不特定多数のユーザが閲覧できる状態にしてしまっていたという事例が発生しているサービスの初期設定値が制限なしとなっているサービスもあるため公開範囲の設定は必ず行うこと一例として最近では複合機でスキャンしたデータを自動的にクラウド上にアップロードするサービスも存在している意識せずにクラウド上にデータが格納されると関係者以外にも閲覧されてしまう可能性もあるため複合機に限らずネットワークに接続されている機器の機能を再確認し不必要な動作を行わないように設定することが求められる 53

クラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B36 クラウドサービスの利用手順書操作手順者を作成していますか? 推奨必須必須 ( 必要であれば事業者から情報の提供を受けること) B37 クラウドサービスの利用手順書操作手順書は各利用ユーザに周知していますか? 推奨必須必須 B38 クラウドサービスの利用手順書操作手順書は定期的に見直し管理していますか? 推奨必須必須 B39 B40 クラウドサービスの公開範囲の設定を行い対象範囲の人のみが閲覧利用できるようになっていますか? クラウドサービスに自動的にデータを格納するようなシステムを利用していないことを確認しましたか? 推奨必須必須 54

3.2.2 バアップとリストアクラウドサービスに格納した情報についてクラウドサービス利用者がバアップを取得することができるか確認すること取得できる場合は定期的なバアップを取得することが望ましいクラウドサービス事業者にてバアップを取得している場合であっても事業者側での障害発生時の復旧用でありクラウドサービス利用者が定期的に利用することが出来るものではない場合もあるまた事業者にて不測の事態により情報が失われる可能性もあるためクラウドサービス利用者側にてバアップを取得することバアップの際はバアップデータの保管場所についても検討することローカルの媒体に保管することはデータの分散保管という面で有効であるバアップしたデータのリストア手順を作成し緊急時にスムーズにリストア作業が出来るように準備しておくことバアップの取得の際は以下についてルールを決めることバアップ頻度バアップ方法 (フルバアップ差分バアップ等 ) バアップ媒体 (テープドライブ CD/DVD 媒体クラウドサービス内に保管等 ) バアップ手順バアップ体制リストア手順クラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B41 利用者側でクラウドサービス上に格納している重要なデータのバアップを定期的に行っていますか? 推奨必須必須 B42 データのバアップの頻度担当者体制手順を定めていますか? 推奨必須必須 B43 データのリストア手順を作成していますか? 推奨必須必須 55

3.2.3 ログクラウドサービスの各利用ユーザのログを取得することはサービスに対する不正アクセスや不適切なサービス利用が発生した際の原因究明に必要不可欠であるそのためクラウドサービス利用者においてもサービス利用ログを取得することが求められるクラウドサービス利用者においてはサービスに対して発生しうる脅威 ( 不正ログインなりすまし等 )を定めその脅威を発見するために取得すべきログの範囲内容粒度を決定することサービス利用者側では主に特権ユーザについての不正利用についてログを取得することまたサービス事業者側での取得ログと突き合わせることによりログ内容を検証することもできるクラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B44 クラウドサービスを利用する上でクラウドサービス利用者側にてログの取得をすることができますか? 推奨推奨推奨 B45 クラウドサービスを利用する上で監視すべきイベントを定め取得するイベントログの範囲内容粒度を定めていますか? 推奨推奨推奨 B46 不正行為の責任の所在を検証できるように利用者側において管理権限をもつ特権ユーザのクラウド資源利用のログを取得して推奨推奨必須いますか? 56

3.2.4 クラウドサービス上でのソフトウェアの管理クラウドサービス利用者は利用者がクラウドサービスで導入したいソフトウェアが使用できるクラウドサービスを選択することサービスを契約した後でソフトウェアが使えないといったことが無いように注意することマルチテナントのクラウドサービスの場合他のサービス利用者がマルウェアに感染したソフトウェアをインストールする可能性があるそのためマルウェア対策が行われていることも確認することなおソフトウェアをインストールする際はソフトウェアのライセンスについて確認が必要であるベンダによってはクラウドサービス上での導入が許可されていないソフトウェアも存在しライセンスの考え方課金の方法も異なるまたクラウドサービス上でSSL 証明書を利用する場合は SSL 証明書の有効期間更新方法等を予め確認し不要なSSL 証明書を利用することがないようにすること SSL 証明書の更新についても更新忘れがないようにすることクラウドサービス利用者では以下に注意することクラウドサービス事業者からソフトウェアに関する制限が出されていないか利用者が導入したいソフトウェアがインストールできるかマルチテナントである場合マルウェア感染したソフトウェア対策について使いたいソフトウェアはクラウドサービス上へのインストールがベンダから許可されている製品か? SSL 証明書を利用する場合証明書の有効期間は妥当か 57

クラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B47 クラウドサービス利用者が導入したいソフトウェアがインストールできるクラウドサービスを選択していますか? 必須必須 B48 マルチテナント型である場合他のユーザがインストールしたソフトウェアによるマルウェア対策が行われているクラウドサー必須必須ビス事業者を選択していますか? B49 使いたいソフトウェアはクラウドサービス上へのインストールがベンダから許可された製品であるか? 必須必須 B50 SSL 証明書を利用する場合証明書の有効期間更新手段がクラウドサービス利用者の要求を満たすものになっていますか? 58

3.2.5 サービスのぜい弱性管理クラウドサービス事業者側でのぜい弱性管理と同様クラウドサービス利用者側においてもぜい弱性管理策を実施する必要があるクラウドサービス利用者側では情報を利用する立場における不正行為等に対する対策を実施することただし利用しているクラウドサービスの種類によって実施できる対策は異なるため下記のと表を参考に対策を行うことサービスのぜい弱性対策としてはクラウドサービス事業者側と同様情報セキュリティマネジメントシステム(ISMS)の管理策実施の手引き (ISO/IEC27002)に記載されている以下に代表されるような管理策を実施する IT 資産管理資産目録の作成管理体制と役割責任の確立ぜい弱性が発見された場合の処置プロセス監査の実施対応プロセスの有効性の評価クラウドサービス種類ごとの対応策例管理策 SaaS PaaS IaaS IT 資産管理利用者は格納データの管理を行う利用者は使用 AP 格納データの管理を行う利用者は OS 利用 AP 格納データの管理を行う資産目録の作成利用者は格納データ利用者は使用 AP 格納デ利用者は OS 利用 AP の目録を作成するータの目録を作成する格納データの目録を作成する管理体制役割責任の利用者は格納データ利用者は利用 AP 格納デ利用者は OS 利用 AP 確立の管理体制を確立すータの管理体制を確立す格納データの管理体制をるる確立する事業者からサービス事業者からサービスの管事業者からサービスの管の管理体制について理体制について報告を受理体制について報告を受報告を受けるけるける 59

ぜい弱性の処置プロセス事業者からサービス利用者は利用 AP のぜい利用者は OS 利用 AP ののぜい弱性対策の報弱性対策を行うぜい弱性対策を行う告を受ける事業者からサービスのぜ事業者からサービスのぜい弱性対策の報告を受けい弱性対策の報告を受けるる監査の実施事業者からサービス利用者は利用 AP 格納デ利用者は OS 利用 AP の監査結果の提示をータの監査を行う格納データの監査を行う受ける事業者からサービスの監事業者からサービスの監査結果の提示を受ける査結果の提示を受けるプロセスの有効性の評価事業者からぜい弱性利用者はぜい弱性対策の利用者はぜい弱性対策の対策の有効性評価の有効性評価を行う有効性評価を行う結果の提示を受ける事業者からぜい弱性対策事業者からぜい弱性対策の有効性評価の結果の提の有効性評価の結果の提示を受ける示を受けるクラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B51 利用者側でサービス利用におけるぜい弱性対策を行っていますか? (IT 資産管理役割と責任の確立技術的ぜい弱性が発見され推奨推奨推奨た場合の対応プロセスの確立監査ログの確認 ) 60

3.2.6 情報セキュリティインシデント管理クラウドサービスの利用中にマルウェア感染等の情報セキュリティ事象が発生した場合その事象についての連絡先や対応手順を明確に決めておくことは業務の継続のために重要である各利用ユーザが事象を発見した場合の対応手順について周知を行い連絡体制を確立すること連絡後の復旧に向けた対応手順についても同様に確立しておくことが望ましいまたセキュリティ事象についてはクラウドサービス事業者側から連絡を受ける場合もあるため体制については事業者側にも連絡しておくこと各利用ユーザが情報セキュリティ事象を発見した場合の連絡ルールについては以下を明確にしておくことが望ましい発見時の報告先報告する内容報告書式発見後の行動手順 ( 例 :サービスの停止 NW アクセスの制限システムの停止等 ) クラウドサービス事業者側に求めるリストなしクラウドサービス利用者側で検討すべきリスト B52 利用者における情報セキュリティ事象の発見時の報告プロセスが確立されていますか? ( 連絡先報告内容報告書式 ) B53 情報セキュリティ事象の発見時の報告プロセスは各利用ユーザに周知していますか? B54 情報セキュリティ事象の発見時の報告プロセスは定期的に見直し管理していますか? B55 情報セキュリティ事象の発生後の復旧手順を決めていますか? 推奨必須必須 61

( 参考 ) 早稲田大学のクラウドサービス利用事例ポータルサービスや教務システムのクラウドサービス利用早稲田大学ではポータル等の学生向けサービスや人事などの法人システムや履修登録などの教務システムをプライベートクラウド環境に移行を進めていますその際は以下の点を考慮しクラウドサービスの導入を行っています 1.リソースの有効活用サーバやストレージ OS などの IT リソースを必要な時に必要なだけ利用することができるため履修登録などアクセス集中時にも安定的な運用ができる 2.コストの削減クラウドサービスを利用することによりサーバ台数を 4 分の1に削減することができる各システムのサービスレベルを重要度や可用性などの要件に応じて 3 つの分類 (Light/Standard/Advanced)にまとめることで運用管理工数が削減できるこれまで利用していた Apache PostgreSQL 等の OSS ミドルウェアの統一をすすめ今後の新規導入増設における評価検証コストを削減できる 3.BCP や省エネ対策システムをデータセンターへ移設することにより停電や災害時にも学生教員へ安定的なサービスが提供可能になるサーバ統合により消費電力量が削減できるクラウドサービスへの移行図 62

( 付録 )クラウドサービス利用リストクラウドサービス事業者側に求めるリスト章番号 ( ) A1 2.1.4 内容クラウドサービス事業者のサービスの基盤 (プラットフォーム)が自社基盤を利用しているか他事業者の基盤を利用しているかを確認しその信頼性はクラウドサービス利用者の要求を満たすものになっていますか? 推奨推奨推奨 A2 2.1.5 クラウドサービスが停止する際にクラウドサービス事業者から事前通知が行われますか? 推奨必須必須 A3 2.1.5 クラウドサービス事業者はサービスの稼働状況や障害状況をリアルタイムで提供していますか? 推奨推奨推奨 A4 2.1.6 A5 2.1.6 A6 2.1.6 クラウドサービス事業者はセキュリティ対策について省庁や公的機関が公開している各種指針ガイドラインに準拠していますか?( 準拠している場合はどの指針ガイドラインに準拠しているか) 推奨推奨必須クラウドサービス事業者はセキュリティに関する認証を取得していますか?( 取得している場合は認証の名称を記載する) 推奨推奨必須クラウドサービス事業者がカード決済業務をサービスで行っている場合 PCI DSSに準拠していますか? (カード決済業務を行っていない場合は対象外 ) A7 2.1.7 クラウドサービス事業者にてクラウドサービスの監査方針が決められており定期的に監査を実施していますか? 推奨推奨必須 A8 2.1.7 クラウドサービス事業者にて監査結果の情報開示がされていますか? 推奨推奨必須 A9 2.1.8 クラウドサービス事業者からクラウドサービスの利用マニュアルや説明問合せ先が提供されていますか? A10 2.1.8 クラウドサービスの障害トラブルが発生した際の事業者のヘルプデスクはありますか? A11 2.1.8 クラウドサービス事業者の問い合わせ先やヘルプデスクへの連絡手段受付時間はクラウドサービス利用者に提示されていますか? A12 2.1.8 ヘルプデスクの問合せ受付から回答までの時間はクラウドサービス利用者に提示されていますか? 推奨必須必須 A13 2.2.1 A14 2.2.1 A15 2.2.2 A16 2.2.3 クラウドサービス事業者にて第三者や管理者権限をもつ特権ユーザにより不正なプログラムの改ざん変更破壊等が生じた場合に速やかに発見するための管理策がとられていますか? 推奨必須必須管理者権限を持った特権ユーザのアクセスログがとられておりクラウドサービス事業者にて監視を行っていますか? 推奨推奨必須クラウドサービス事業者にてサービス提供システムで利用する資源の容量能力に不足が生じないよう資源を常時監視していますか? 推奨推奨必須クラウドサービス事業者にてマルウェアスキャンを定期的に実施しさらにセキュリティ事象発生時にも実施していますか? A17 2.2.3 クラウドサービス事業者にてマルウェア感染が確認された場合の対応策が決められているか確認しましたか? A18 2.2.3 A19 2.2.3 クラウドサービス事業者にてマルウェア感染によりサービスが停止した場合に被害状況やサービス復旧見込み等についての情報提供を行っていますか? クラウドサービス事業者にてクラウドサービスを対象としたマルウェアに関する情報をサービス利用者に提供していますか? 63

A20 2.2.4 クラウドサービス事業者は格納情報のバアップ運用を行っていますか? A21 2.2.5 A22 2.2.5 A23 2.2.6 クラウドサービス事業者はサービス利用におけるイベントログを利用者が必要な時にいつでも提供できるようになっていますか? 推奨推奨推奨クラウドサービス事業者にてイベントログに対し不正アクセスや外部からの攻撃等が行われないような保護対策がとられていますか? 推奨必須必須クラウドサービス事業者にてクラウドサービス上のソフトウェアが不正な挙動を行った場合の対応策が決められていますか?( 記録管理ソフトウェアの特定隔離等 ) A24 2.2.7 クラウドサービス事業者にてサービスのぜい弱性対策として IT 資産管理が行われていますか? 推奨推奨必須 A25 2.2.7 A26 2.2.7 クラウドサービス事業者にてサービスのぜい弱性対策として IT 資産を管理する要員の役割と責任が確立されていますか? 推奨推奨必須クラウドサービス事業者にてサービスのぜい弱性対策としてぜい弱性が発見された場合の対応プロセスが確立されていますか? 推奨推奨必須 A27 2.2.7 クラウドサービス事業者にてサービスのぜい弱性対策として監査ログの取得が行われていますか? 推奨推奨必須 A28 2.2.7 クラウドサービス事業者にてサービスのぜい弱性対策としてプロセスの有効性の評価が行われていますか? 推奨推奨必須 A29 2.2.7 クラウドサービス事業者にて OSやアプリケーションのアップデートパッチ適用が行われていますか? 推奨必須必須 A30 2.2.7 クラウドサービス事業者にて他のクラウドサービス利用者との使用リソースの分離ができていますか? 推奨必須必須 A31 2.2.7 クラウドサービスのデータ保管施設は入室管理災害対策が行われていますか? 推奨推奨必須 A32 2.2.8 クラウドサービス事業者にて仮想ネットワーク構築の際の運用設定方針と承認方針が文書化されていますか? A33 2.2.8 A34 2.2.8 A35 2.2.8 クラウドサービスと学外とのデータ連携には暗号化や情報の隔離等が行われ情報転送が確実かつ安全に行われる環境が作られていますか? クラウドサービス事業者にてフィッシング対策等の秘密認証情報窃盗への対応が行われユーザID 等の情報の転送の安全が確保されていますか? クラウドサービスの利用終了時に情報の安全な返却のため転送におけるデータ規格仕様等についてクラウドサービス事業者から事前に説明はありますか? 推奨必須必須 A36 2.2.9 クラウドサービス事業者にて保管伝送される情報の暗号化が行われていますか? A37 2.2.9 情報の機密性確保完全性可用性の検証アクセス制御認証否認防止等についてクラウドサービス事業者は暗号化のポリシーを作成していますか? 推奨推奨必須 A38 2.2.9 クラウドサービス事業者は暗号化鍵の管理を行っていますか? A39 2.2.10 A40 2.2.10 クラウドサービス事業者における情報セキュリティ事象の発見時の報告プロセスは確立していますか?( 連絡先報告内容報告書式 ) クラウドサービス利用者が情報セキュリティ事象を発見した場合に報告を行うクラウドサービス事業者側の連絡窓口は提供されていますか? A41 2.2.10 情報セキュリティインシデントの分類基準がクラウドサービス事業者にて定められていますか? 推奨推奨必須 A42 2.2.10 A43 2.2.10 A44 2.2.10 情報セキュリティインシデント発生時にクラウドサービス事業者から事象の事実関係復旧見込み影響範囲等が利用者に提示されますか? 利用者が情報セキュリティインシデントの原因や再発防止策等を利用する際のアクセス手順がクラウドサービス事業者にて確立されていますか?( 利用者からの要請許諾費用等 ) 情報セキュリティインシデントの証拠となる情報の取扱い手順がクラウドサービス事業者にて明確に定められていますか?( 収集保存保存期間等 ) A45 2.2.10 クラウド利用者が行う証拠収集の制限事項がクラウドサービス事業者にて定められていますか? A46 2.2.10 情報の格納に関して日本国外に保管する場合はその国の格納情報の管理についてクラウドサービス事業者から説明がありますか? 推奨必須必須 A47 3.1.3 クラウドサービス事業者側でパスワードリセットの仕組みはありますか? 推奨必須必須 64

クラウドサービス利用者側で検討すべきリスト章番号 ( ) 内容 B1 2.1.1 初めから1 社に絞らず複数のクラウドサービス事業者のサービス内容を比較していますか? B2 2.1.1 利用するクラウドサービスの種類 (SaaS/PaaS/IaaS)を比較した上で業務に適したものを選択しましたか? B3 2.1.2 B4 2.1.2 クラウドサービス利用者はクラウドサービスの利用を検討している業務における現在の業務負担 ( 工数 )を洗い出しクラウドサービスを利用することによって効率化 ( 工数の削減 )が行えることを確認しましたか? クラウドサービス利用者はクラウドサービスに移行することにより既存の業務やシステムにマイナスの影響 ( 対応業務の不足間接的な工数増システム連携が出来なくなる等 )がでないことを確認しましたか? B5 2.1.2 利用者はクラウドサービスに移行する業務範囲情報資産のレベル対象システムを明確に決定しましたか? B6 2.1.3 クラウドサービスを利用することでコスト面でメリットがあることを確認しましたか? またどの程度メリット( 機器費用運用者コスト保守費用移行費用 )があるか試算しましたか? B7 2.1.3 クラウドサービスを利用する際の導入コスト初年度の運用コストを試算しましたか? B8 2.1.4 クラウドサービス事業者の経営状況クラウド事業への取り組みは信頼できるものでしたか? B9 2.1.4 B10 2.1.5 B11 2.1.5 B12 2.1.8 B13 2.1.9 クラウドサービス事業者の過去の事件事故の状況と対応はサービスを利用する側から見て信頼できるものでしたか? 推奨必須必須クラウドサービス事業者のSLA(サービスレベルアグリーメント)に記載された障害発生頻度の理論値が要求レベルを満たすものになっていますか?( 障害発生頻度の理論値が高すぎないか) クラウドサービス事業者の緊急のサービス停止時の復旧見込み時間は利用者の要求を満たすものになっていますか?( 復旧見込み時間が業務停止を許容できる時間の範囲内になっているか) 推奨必須必須クラウドサービス事業者のヘルプデスクの受付から回答までの時間はクラウドサービス利用者の要求を満たすものになっていますか? 推奨推奨必須クラウドサービスの契約条件の中でサービス内容の変更に関する規定はクラウドサービス利用者の要求を満たすものになっていますか? B14 2.1.9 クラウドサービスの契約条件の中でサービス内容の第三者委託に関する規定はクラウドサービス利用者の要求を満たすものになっていますか?( 本学のデータを委託先である第三者に渡す場合も本学の承諾が必要 ) B15 2.1.9 B16 2.1.9 B17 2.1.9 B18 2.1.9 B19 2.1.9 クラウドサービスの契約条件の中で守秘義務や損害賠償に関する規定はクラウドサービス利用者の要求を満たすものになっていますか? クラウドサービスの契約条件の中でクラウドサービス上のデータの所有権使用権はクラウドサービス事業者ではなくクラウドサービス利用者側に存在していますか? クラウドサービスの契約条件の中で準拠法や管轄裁判所に関する規定はクラウドサービス利用者の要求を満たすものになっていますか? クラウドサービスの契約条件の中でクラウドサービス事業者が契約違反を行った場合の契約解除に関する規定はクラウドサービス利用者の要求を満たすものになっていますか? クラウドサービス終了時の格納データの返却消去のルールはクラウドサービス利用者の要求を満たすものになっていますか? 推奨必須必須 B20 2.2.4 B21 2.2.8 B22 2.2.9 クラウドサービス事業者のバアップ運用の頻度リカバリ時間リカバリは要求を満たすものになっていますか? 推奨必須必須 PaaS/IaaSのサービスを利用する場合自前の設備をクラウドサービスに移行する際には悪意のある攻撃を受けないよう情報資産のセキュリティ管理を行っていますか? 推奨必須必須クラウドサービス事業者における暗号管理状況についてクラウドサービス利用者から情報開示を求めた場合クラウドサービス事業者からの情報開示は要求をみたすものになっていますか? B23 3.1.1 学内にクラウドサービス利用管理者 ( 責任者担当者 )を設置しましたか? B24 3.1.1 クラウドサービス利用管理者の役割を明確に定めましたか? B25 3.1.1 クラウドサービス利用に関する相談先となる企業や専門家を確保していますか? 推奨推奨推奨 B26 3.1.2 クラウドサービスの各利用ユーザを明確にし対象外の者はアクセスできないようにしていますか? B27 3.1.2 各利用ユーザが行える操作処理を決定し不要な操作を行えないよう権限管理していますか? B28 3.1.2 各利用ユーザは個別のユーザアカウントパスワードを付与し共有アカウントを作っていませんか? 推奨必須必須 B29 3.1.2 クラウドサービスの管理権限は一部の者だけに制限して付与していますか? 推奨必須必須 B30 3.1.2 B31 3.1.3 各利用ユーザやアクセス権限は定期的に棚卸を実施し必要なユーザやアクセス権のみが登録されていますか? 利用者のパスワードポリシーを定めていますか?( 推測されにくいものにする 8 文字以上にする英数字を混合する定期的に変更する等 ) B32 3.1.3 利用者がパスワードを忘れた際の運用手順 (パスワード再発行等 )が準備されていますか? 推奨推奨必須 B33 3.1.3 B34 3.1.4 B35 3.1.4 B36 3.2.1 クラウドサービス事業者側でのパスワードリセットのリードタイムはクラウドサービス利用者の要求を満たすものになっていますか? クラウドサービスに格納する情報について学内のセキュリティポリシー違反となる情報がないか確認していますか? クラウドサービス利用により発生が想定されるリスクやトラブル等の不都合が業務上の許容範囲内であることを確認しましたか?( 許容範囲外である場合はクラウドサービスの利用中止を検討する) クラウドサービスの利用手順書操作手順者を作成していますか? ( 必要であれば事業者から情報の提供を受けること) 推奨必須必須 B37 3.2.1 クラウドサービスの利用手順書操作手順書は各利用ユーザに周知していますか? 推奨必須必須 65

改 版 履 歴 版 数 改 版 日 改 版 内 容 1.0 2015/4/22 初 版 発 行 2

改版履歴版数改版日改版内容 1.0 2015/4/22 初版発行 2