サイバーセキュリティとその対策

情報システムの動向に対応する自治体監査 2017 年 5 月 30 日特定非営利活動法人日本セキュリティ監査協会事務局長 / 公認情報セキュリティ主席監査人永宮直史 1

情報システムの動向オープン化ネットワーク化の深化仮想化技術による低廉で潤沢なリソースの活用ビッグデータ解析によるリアルタイム最適サービスの提供 IoT FinTechの普及 PII( 個人識別子 ) 管理の重要性の拡大欧米での規制の強化 ( 一般データ保護規則 ) マイナンバー制度改正個人情報保護法サイバーセキュリティ対策の高度化専門化アンチウィルスソフトからふるまい検知へ検疫体制から CIRT 体制へ 2

選択と集中 PII管理の重要性の拡大オープン化ネットワーク化の深化守るべきものへ集中外部サービスの選択コンピュータリソースサイバーセキュリティ対策の高度化専門化高度専門サービス 3

外部サービスのクラウド化 as a Service の利点 Network と標準化による低廉高品質 (World Wide) リソースの集中 (Man & Machin) 技術の高度化必要な時に必要な分だけ使える手軽さ As a Service の例 AI-as-a-service : AI as a Service ( 人工知能提供サービス ) SECaaS : Security as a Service ( 監視サービスなど ) IDaaS : Identity as a Service ( アイデンティティ管理 OpenID プロバイダーなど ) LaaS : Logging as a Service ( ログ集約 ) 4

CaaS : Communications as a Service ( 通信ビデオ会議 WEB 会議など ) CompaaS : Compute as a Service (IaaS のうち Server 貸し ) DSaaS : Data Storage as a Service (Storage サービス ) IaaS : Infrastructure as a Service ( 仮想マシンとネットワーク環境 ) NaaS : Network as a Service (ISP) PaaS : Platform as a Service ( アプリケーションの稼働基盤であるアプリケーションサーバやDBMS) SaaS : Software as a Service ( ソフトウェア機能全般 ) ( 資料 :ISO/IEC17788:2014) AI-as-a-service : AI as a Service ( 人工知能提供サービス ) SECaaS : Security as a Service ( 監視サービスなど ) FaaS : Finance as a Service (Fintech) HaaS : Healthcare as a Service (Healthcareに特化したクラウドサービス) ( 資料 :Web 検索 ) AaaS : Analytics as a Service ( 統計解析 ) BaaS : Backend as a Service ( ユーザー認証位置情報サービスプッシュ通知など ) BaaS : Backup as a Service ( バックアップ ) CI-aaS : CI as a Service ( 継続的インテグレーション ) DaaS : Data as a Service ( データ全体 ) DaaS : Desktop as a Service ( デスクトップ環境 ) DBaaS : Database as a Service ( データベース ) EaaS : Exploits as a Service ( セキュリティ攻撃ツールマルウェア ) HaaS : Hardware as a Service ( ハードウェア IaaS とほぼ同じ ) IDaaS : Identity as a Service ( アイデンティティ管理 OpenID プロバイダーなど ) LaaS : Logging as a Service ( ログ集約 ) MBaaS : Mobile backend as a Service (Backend as a Service で特にモバイルアプリケーションでの利用を想定したもの ) SaaS : Storage as a Service ( ストレージ ) TaaS : Tool as a Service ( 開発ツール ) ( 資料 :Clara Online Blog 吉村氏 2014/12/16) 5

外部サービス利用の管理野良クラウドの撲滅背景クラウドと名乗らないクラウドサービスの広がり安易なサービス利用の横行対策 URLの管理利用前の事前申請安全なサービスの基準の明確化 (ISO/IEC27017の活用) クラウド利用基準の明確化政府統一基準などを例に策定 6

政府統一基準におけるクラウド利用の基準政府機関でもクラウドサービスの本格利用に向け利用基準を明示政府統一基準で 6 つの基準が提示されている 1. 情報の格付けに従ったクラウドサービス利用の判断 a. 情報システムセキュリティ責任者はクラウドサービス ( 民間事業者が提供するものに限らず政府が自ら提供するものを含む以下同じ ) を利用するに当たり取り扱う情報の格付及び取扱制限を踏まえ情報の取扱いを委ねることの可否を判断すること 2. 外国法が適用されるリスクの評価 b. 情報システムセキュリティ責任者はクラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定し必要に応じて委託事業の実施場所及び契約に定める準拠法裁判管轄を指定すること 3. サービス中断時終了時の円滑な業務の移管 c. 情報システムセキュリティ責任者はクラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し委託先を選定する際の要件とすること 4. 情報流通経路全般にわたったセキュリティ設計セキュリティ要件 d. 情報システムセキュリティ責任者はクラウドサービスの特性を考慮した上でクラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めること 5. 監査報告の内容や認証制度の適用状況を踏まえた事業者の信頼性の評価 e. 情報システムセキュリティ責任者はクラウドサービスに対する情報セキュリティ監査による報告書の内容各種の認定認証制度の適用状況等からクラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的客観的に評価し判断すること ( 出典 ) 政府機関における情報セキュリティ統一基準 P28 7

監査の重要性認証の限界監査の重要性サプライヤー監査の必要性クラウドサービスは組織の基幹的な情報を扱うサービスなので本来利用者が自身で監査すべきものクラウドサービスプロバイダが行った監査を確認する多数の利用者を抱えるプロバイダーが個別の監査要求に応えることは現実的でないその代わりにクラウドサービスプロバイダが監査を行いその結果を開示することが多いクラウドサービスプロバイダの監査が信頼できるかを確認しその結果を読み込むことが重要 8

監査プロセスの透明性と確認のポイント情報セキュリティ対策の立案実施評価の全プロセスを可視化することが重要下記の点を確認 1 2 3 4 5 6 7 8 9 10 11 内部監査人はクラウドサービスカスタマが十分であるといえる力量をもっているか内部監査人は組織内において監査人として保護され中立的な意見を述べられる環境にあるか管理策は個別のリスクに合理的に紐づいているかクラウドコンピューティングの技術的な階層構造ごとにリスク分析が行われ適切な管理策が選択されているか管理策の実施にあたってクラウドサービスカスタマがどの実施の手引の項目を階層ごとに適用しているか上記 5 の適用で管理策が期待する効果を発揮できるか管理策の設計および運用責任者が明確であり監査はこれらの人に対して行っているか監査の証拠は 5 の詳細な内容ごとに十分な質と量にあるか監査の証拠に基づく事実の認定は合理的か事実の認定に基づく管理策の有効性の判定が合理的か監査に係る文書は情報セキュリティ監査基準に従った適正なものか 9

制度に裏付けられた監査の利用監査が信頼できるかの確認には相応の負荷がかかるが制度に裏付けられていればその部分が簡略化できる No. 名称概要優れた点考慮点主体 1 SOC; サービスオーガニゼーションコントロール 2 CS ゴールドマーク ; クラウド情報セキュティ監査適合監査独立した組織の監査人がクラウド事業者を監査し報告する方式事業者の内部監査人が行った監査を外部の監査人が評価しその結果に基づいて一定の水準にあると認める方式完全な公正さ技術的評価の高さ適度な負担 - 時期費用技術的評価の専門性費用等負担の大きさ公正さ - 監査品質含む AICPA; 米国公認会計士協会 JASA; 日本セキュリティ監査協会参考 CS シルバーマーク ; クラウド情報セキュティ監査自主監査 JASA が定めた標準に従って事業者が行う内部監査技術的評価の高さ負担の軽さ - 時期費用範囲透明性 JASA; 日本セキュリティ監査協会 SOC の場合には ISO/IEC27017 準拠ではないので対象の確認が必要 10