情報システムの動向に対応する自治体監査 2017 年 5 月 30 日特定非営利活動法人日本セキュリティ監査協会事務局長 / 公認情報セキュリティ主席監査人永宮直史 1
情報システムの動向 オープン化 ネットワーク化の深化 仮想化技術による低廉で潤沢なリソースの活用 ビッグデータ解析によるリアルタイム最適サービスの提供 IoT FinTechの普及 PII( 個人識別子 ) 管理の重要性の拡大 欧米での規制の強化 ( 一般データ保護規則 ) マイナンバー制度 改正個人情報保護法 サイバーセキュリティ対策の高度化 専門化 アンチウィルスソフトからふるまい検知へ 検疫体制から CIRT 体制へ 2
選択と集中 PII管理の重要性の 拡大 オープン化 ネットワー ク化の深化 守るべきものへ集中 外部サービスの選択 コンピュータリソース サイバーセキュリティ対 策の高度化 専門化 高度専門サービス 3
外部サービスのクラウド化 as a Service の利点 Network と標準化による低廉 高品質 (World Wide) リソースの集中 (Man & Machin) 技術の高度化 必要な時に必要な分だけ使える手軽さ As a Service の例 AI-as-a-service : AI as a Service ( 人工知能提供サービス ) SECaaS : Security as a Service ( 監視サービスなど ) IDaaS : Identity as a Service ( アイデンティティ管理 OpenID プロバイダーなど ) LaaS : Logging as a Service ( ログ集約 ) 4
CaaS : Communications as a Service ( 通信 ビデオ会議 WEB 会議など ) CompaaS : Compute as a Service (IaaS のうち Server 貸し ) DSaaS : Data Storage as a Service (Storage サービス ) IaaS : Infrastructure as a Service ( 仮想マシンとネットワーク環境 ) NaaS : Network as a Service (ISP) PaaS : Platform as a Service ( アプリケーションの稼働基盤であるアプリケーションサーバやDBMS) SaaS : Software as a Service ( ソフトウェア機能全般 ) ( 資料 :ISO/IEC17788:2014) AI-as-a-service : AI as a Service ( 人工知能提供サービス ) SECaaS : Security as a Service ( 監視サービスなど ) FaaS : Finance as a Service (Fintech) HaaS : Healthcare as a Service (Healthcareに特化したクラウドサービス) ( 資料 :Web 検索 ) AaaS : Analytics as a Service ( 統計 解析 ) BaaS : Backend as a Service ( ユーザー認証 位置情報サービス プッシュ通知など ) BaaS : Backup as a Service ( バックアップ ) CI-aaS : CI as a Service ( 継続的インテグレーション ) DaaS : Data as a Service ( データ全体 ) DaaS : Desktop as a Service ( デスクトップ環境 ) DBaaS : Database as a Service ( データベース ) EaaS : Exploits as a Service ( セキュリティ攻撃ツール マルウェア ) HaaS : Hardware as a Service ( ハードウェア IaaS とほぼ同じ ) IDaaS : Identity as a Service ( アイデンティティ管理 OpenID プロバイダーなど ) LaaS : Logging as a Service ( ログ集約 ) MBaaS : Mobile backend as a Service (Backend as a Service で 特にモバイルアプリケーションでの利用を想定したもの ) SaaS : Storage as a Service ( ストレージ ) TaaS : Tool as a Service ( 開発ツール ) ( 資料 :Clara Online Blog 吉村氏 2014/12/16) 5
外部サービス利用の管理 野良クラウドの撲滅 背景 クラウドと名乗らないクラウドサービスの広がり 安易なサービス利用の横行 対策 URLの管理 利用前の事前申請 安全なサービスの基準の明確化 (ISO/IEC27017の活用) クラウド利用基準の明確化 政府統一基準などを例に策定 6
政府統一基準におけるクラウド利用の基準 政府機関でもクラウドサービスの本格利用に向け 利用基準を明示 政府統一基準で 6 つの基準が提示されている 1. 情報の格付けに従ったクラウドサービス利用の判断 a. 情報システムセキュリティ責任者は クラウドサービス ( 民間事業者が提供するものに限らず 政府が自ら提供するものを含む 以下同じ ) を利用するに当たり 取り扱う情報の格付及び取扱制限を踏まえ 情報の取扱いを委ねることの可否を判断すること 2. 外国法が適用されるリスクの評価 b. 情報システムセキュリティ責任者は クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定し 必要に応じて委託事業の実施場所及び契約に定める準拠法 裁判管轄を指定すること 3. サービス中断時 終了時の円滑な業務の移管 c. 情報システムセキュリティ責任者は クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し 委託先を選定する際の要件とすること 4. 情報流通経路全般にわたったセキュリティ設計 セキュリティ要件 d. 情報システムセキュリティ責任者は クラウドサービスの特性を考慮した上で クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう 情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めること 5. 監査報告の内容や認証制度の適用状況を踏まえた事業者の信頼性の評価 e. 情報システムセキュリティ責任者は クラウドサービスに対する情報セキュリティ監査による報告書の内容 各種の認定 認証制度の適用状況等から クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的 客観的に評価し判断すること ( 出典 ) 政府機関における情報セキュリティ統一基準 P28 7
監査の重要性 認証の限界 監査の重要性 サプライヤー監査の必要性 クラウドサービスは組織の基幹的な情報を扱うサービスなので 本来 利用者が自身で監査すべきもの クラウドサービスプロバイダが行った監査を確認する 多数の利用者を抱えるプロバイダーが個別の監査要求に応えることは現実的でない その代わりにクラウドサービスプロバイダが監査を行いその結果を開示することが多い クラウドサービスプロバイダの監査が信頼できるかを確認し その結果を読み込むことが重要 8
監査プロセスの透明性と確認のポイント 情報セキュリティ対策の立案 実施 評価の全プロセスを可視化することが重要 下記の点を確認 1 2 3 4 5 6 7 8 9 10 11 内部監査人は クラウドサービスカスタマが十分であるといえる力量をもっているか 内部監査人は 組織内において監査人として保護され 中立的な意見を述べられる環境にあるか 管理策は個別のリスクに合理的に紐づいているか クラウドコンピューティングの技術的な階層構造ごとに リスク分析が行われ適切な管理策が選択されているか 管理策の実施にあたって クラウドサービスカスタマがどの実施の手引の項目を階層ごとに適用しているか 上記 5 の適用で 管理策が期待する効果を発揮できるか 管理策の設計および運用責任者が明確であり 監査はこれらの人に対して行っているか 監査の証拠は 5 の詳細な内容ごとに十分な質と量にあるか 監査の証拠に基づく事実の認定は合理的か 事実の認定に基づく管理策の有効性の判定が合理的か 監査に係る文書は情報セキュリティ監査基準に従った適正なものか 9
制度に裏付けられた監査の利用 監査が信頼できるかの確認には相応の負荷がかかるが 制度に裏付けられていれば その部分が簡略化できる No. 名称概要優れた点考慮点主体 1 SOC; サービス オーガニゼーション コントロール 2 CS ゴールドマーク ; クラウド情報セキュティ監査適合監査 独立した組織の監査人がクラウド事業者を監査し 報告する方式 事業者の内部監査人が行った監査を 外部の監査人が評価し その結果に基づいて一定の水準にあると認める方式 完全な公正さ 技術的評価の高さ 適度な負担 - 時期 費用 技術的評価の専門性 費用等負担の大きさ 公正さ - 監査品質含む AICPA; 米国公認会計士協会 JASA; 日本セキュリティ監査協会 参考 CS シルバーマーク ; クラウド情報セキュティ監査自主監査 JASA が定めた標準に従って 事業者が行う内部監査 技術的評価の高さ 負担の軽さ - 時期 費用 範囲 透明性 JASA; 日本セキュリティ監査協会 SOC の場合には ISO/IEC27017 準拠ではないので 対象の確認が必要 10