...

917kb - 日本 ISMS ユーザグループ

by user

on
Category: Documents
28

views

Report

Comments

Transcript

917kb - 日本 ISMS ユーザグループ
2016/12/08
クラウドサービスにおけるISO/IEC27017を適用した
情報セキュリティマネジメントシステムの実践
工学院大学情報学部
ISO/IEC JTC1/SC27/WG1国内主査
クラウドセキュリティコントロール専門委員会委員長
やまさき
山﨑
さとる
哲
Copyright SC27/WG1 Japan, 2016
ご説明内容
1. クラウドサービスにおける情報セキュリティマネジ
メントシステムを推進する動力
2. クラウドサービスにおける2つの組織の情報セキュ
リティマネジメントシステムを動かす5つの動力
(1)動力1:クラウドサービスカスタマ/プロバイダ
の情報セキュリティの役割と責任の明確化
(2)動力2:クラウドサービスカスタマ/プロバイダ
の情報セキュリティ目的の設定
(3)動力3:クラウドサービス利用/提供におけるリ
スクアセスメントとリスク対応の実施
(4)動力4:クラウドサービス利用/提供における監
視・測定・分析・評価の実施
(5)動力5:クラウドサービスカスタマ/プロバイダ
の情報セキュリティガバナンス
Copyright SC27/WG1 Japan, 2016
2
車は動力がないと動きません。
CSCとCSPの「情報セキュリティマネジメントシステムの動力」
はお互いに連携して働きます。
車=情報セキュリティマネジメントシステムの要素
CSCの
情報セキュリティ
マネジメントシステム
標準 手続き
動力
動力
CSPの
情報セキュリティ
マネジメントシステム
動力
標準 手続き
動力
ポリシー
アクセス
コントロール
ポリシー
組織
暗号
組織
物理
運用体
環境
制
動力
動力
動力
CSC:
クラウドサービスカスタマ(利用者)
動力
暗号
物理
運用体
環境
制
動力
動力
連携
Copyright SC27/WG1 Japan, 2016
CSP:
クラウドサービスプロバイダ(提供者)
ご説明内容
1. クラウドサービスにおける情報セキュリティマネジ
メントシステムを推進する動力
2. クラウドサービスにおける2つの組織の情報セキュ
リティマネジメントシステムを動かす5つの動力
(1) 動力1:クラウドサービスカスタマ/プロバイダの情報
セキュリティの役割と責任の明確化
(2) 動力2:クラウドサービスカスタマ/プロバイダの情報
セキュリティ目的の設定
(3) 動力3:クラウドサービス利用/提供におけるリスクア
セスメントとリスク対応の実施
(4) 動力4:クラウドサービス利用/提供における監視・測
定・分析・評価の実施
(5) 動力5:クラウドサービスカスタマ/プロバイダの情報
セキュリティガバナンス
Copyright SC27/WG1 Japan, 2016
4
(1) 動力1:クラウドサービスカスタマ/プロバイダの情報セキュリ
ティの役割と責任の明確化
- 情報セキュリティの取り組み体制 クラウドサービスプ
ロバイダ(CSP)
クラウドサービスカ
スタマ(CSC)
サービス合意
事項又は
SLAの締結
社長
社長
CISO
CISO
セキュリティ
委員会
セキュリティ
委員会
役割責任の
明確化
部門
部門
グループ会社
部門
部門
グループ会社
セキュリティ
委員
セキュリティ
委員
セキュリティ委
員
セキュリティ
委員
セキュリティ
委員
セキュリティ委
員
Copyright SC27/WG1 Japan, 2016
5
(1) 動力1:クラウドサービスカスタマ/プロバイダの情報セキュリ
ティの役割と責任の明確化
- Agreements and Roles & Responsibilities クラウドサービスプ
ロバイダ(CSP)
クラウドサービスカ
スタマ(CSC)
CLD.6.3.1
6.1.1
8.1.1
12.1.2(SLA)
12.1.3(SLA)




14.1.1
15.1.2
18.1.5
CLD.8.1.5
CS user
CS administrator
CS business manager
CS integrator
サービス合意
事項又は
SLAの締結
役割責任の
明確化
CLD.6.3.1
6.1.1
8.1.1
12.1.2(SLA)
12.1.3(SLA)
14.1.1
15.1.2
18.1.5
CLD.8.1.5





CS opreations mgr.
CS deployment mgr.
CS manager
CS business mgr.
Customer support and
care representa.
 Inter-cloud provider
 CS security & risk mgr.
 Network provider
Copyright SC27/WG1 Japan, 2016
6
事例:ISO/IEC27017の箇条(本文 CLD.6.3.1)
•
クラウドサービスカスタマ向け実施の手引の例
– CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の分担
管理策
クラウドサービスの利用において共有する情報セキュリティの役割を遂
行する責任は、クラウドサービスカスタマ及びクラウドサービスプロバ
イダのそれぞれにおいて特定の関係者に割り当て、文書化し、伝達し、
実施することが望ましい。
クラウドサービスのための実施の手引
クラウドサービカスタマ
クラウドサービスプロバイダ
クラウドサービスカスタマは,クラ
クラウドサービスプロバイダは,自らの
ウドサービスの利用にあわせて方針
及び手順を定義又は追加し,クラウ
情報セキュリティの能力,役割及び責
任を文書化し伝達することが望ましい。
ドサービスユーザにクラウドサービ
スの利用における自らの役割及び責
任を意識させることが望ましい。
併せて,クラウドサービスプロバイダは,
クラウドサービスの利用の一部として
クラウドサービスカスタマが実施及び
管理することが必要となる情報セキュ
リティの役割及び責任を,文書化し伝
達することが望ましい。
Copyright SC27/WG1 Japan, 2016
7
(1) 動力1:クラウドサービスカスタマ/プロバイダの情報セキュリ
ティの役割と責任の明確化
- 組織の規定体系 クラウドサービスプ
ロバイダ(CSP)
クラウドサービスカ
スタマ(CSC)
基本方針
(Policy)
社長方針
社長方針
グループ共通の
基本方針
グループ共通の
基本方針
5.1.1(topicspecific policies)
9.1.2
9.4.1
10.1.1
14.2.1
15.1.1
CLD.13.1.4
グループ共通の
標準
グループ共通の
プロシージャ
グループ全体のコンプライアンス行動指針
グループ共通の
標準
グループ共通の
プロシージャ
グループ全体のコンプライアンス行動指針
Copyright SC27/WG1 Japan, 2016
8
(2)動力2:クラウドサービスカスタマ/プロバイダの情報セキュリ
ティ目的の設定
- 情報セキュリティ目的はセキュリティ対策の原点です クラウドサービスカ
スタマ(CSC)
情報セキュリティ方針
経
営
陣
サービス合意
事項又はSLA
基本方針
(policy)
クラウドサービスプ
ロバイダ(CSP)
情報セキュリティ方針
経
営
陣
情報セキュリティ
目的を示す
情報セキュリティ目的
管 情報セキュリティリスクアセスメント
とリスク対応
理
者
・
従
業
管理策の決定・実施
員
情報セキュリティ目的
15.1.3
12.1.2
12.1.3
情報セキュリティリスクアセスメント
13.2.4
とリスク対応
14.1.1
15.1.2
18.1.5
CLD.8.1.5
管理策の決定・実施
Copyright SC27/WG1 Japan, 2016
9
管
理
者
・
従
業
員
(2)動力2:クラウドサービスカスタマ/プロバイダの情報セキュリ
ティ目的用者の設定
• 企業活動に貢献するための情報セキュリティ目的の確立
(事例)
クラウドサービスプ
ロバイダの事例
情報セキュリティ目的
(組織の最高位)
クラウドサービスプロバイ
ダのデータセンターの事例
情報セキュリティ目的
(営業部門)
 お客様に影響するインシ
デントを減らしクラウド
サービス事業の信頼性
を確保する(インシデント
=前年比50%)
15.1.3 ICT supply chain
情報セキュリティ目的
(データセンター)
情報セキュリティ目的
(クラウドサービス)
 システム要因によるクラ  お客様サービス提供前に
 お客様情報を含む営
必ずSLAを締結(サービ
ウドサービス事業顧客に
業社員のパソコンの紛
ス毎に100%)
影響するインシデントの
失インシデントの減少
減少(前年比50%)
(前年比50%)
1.
2.
3.
4.
5.
実施事項
必要な資源
責任者
達成期限
結果の評価方法
1.
2.
3.
4.
5.
実施事項
必要な資源
責任者
達成期限
結果の評価方法
Copyright SC27/WG1 Japan, 2016
1.
2.
3.
4.
5.
実施事項
必要な資源
責任者
達成期限
結果の評価方法
10
(3) 動力3:クラウドサービス利用/提供におけるリスク
アセスメントとリスク対応の実施
- リスク特定、リスク分析、リスク評価クラウドサービスプ
クラウドサービスカ
ロバイダ(CSP)
スタマ(CSC)
1.情報及び機 2. 情報及び機
能の要求
リスクアセスメント:6.1.2
リスク特定:c)
リスク分析:d)
リスク評価:e)
モ
ニ
タ
リ
ン
グ
及
び
レ
ビ
ュ
ー
9
リスクアセスメント:6.1.2
10.1.2
11.2.7
リスク特定:c)
12.3.1
12.4.4
リスク分析:d)
12.6.1
14.1.1
14.2.1
リスク評価:e)
15.1.3
16.1.2
18.1.1
リスク対応:6.1.3,6.2
18.1.3
18.2.1
CLD.8.1.5
CLD.12.4.5及びその他の管理策
Copyright SC27/WG1 Japan, 2016
.
.
リスク対応:6.1.3,6.2
コ
ミ
ュ
ニ
ケ
ー
シ
ョ
ン
及
び
協
議
7
4
:
:
モ
ニ
タ
リ
ン
グ
及
び
レ
ビ
ュ
ー
9
組織の状況の確定:
4.1,4.2,4.3,6.1.1,6.2
:
:
コ
ミ
ュ
ニ
ケ
ー
シ
ョ
ン
及
び
協
議
7
4
組織の状況の確定:
4.1,4.2,4.3,6.1.1,6.2
能の提供
11
(3) 動力3:クラウドサービス利用/提供におけるリス
クアセスメントとリスク対応の実施
- クラウドサービスプロバイダ(データセンター)の事例-
リスクの定義=目的に対する不確かさの影響
クラウドサービス 目的に影響を与えるリスク因子
プロバイダの
データセンターの
リスク源 Vendor lock-in
事例
情報セ
キュリティ
目的
 データセンターに
おけるシステム要
因によるクラウド
サービス事業の顧
客に影響するイン
シデントの減少(前
年比50%)
CSP側のケース
(データセンター)
CIAレベル
情報のCIA
の喪失
結果(Consequence)
目的に影響を与える事象の結末
(インパクトはAvailability)お客
様から預かったお客様情報を紛
事象と バックアップを取得し
ていたが、リストアした 失し、しかも、バックアップを取
原因
得していたが、使用できなかっ
が使用できなかった
た。お客様の事業を継続できず、
ある一連の周辺状況の出現又は変化
場合により損害賠償
起こりやすさ(likelihood)
何かが起こる可能性
Copyright SC27/WG1 Japan, 2016
12
(3) 動力3:クラウドサービス利用/提供におけるリスク
アセスメントとリスク対応の実施
- リスクアセスメント及びリスク対応のCSCからCSPの連携の事例CSC/CSP
クラウドサービスカスタマ
(CSC)
情報セキュリ サービスの使用可能性
ティ目的
(Availability)を基準(Criteria)
以上とする
提携
クラウドサービスプロバイ
ダ(データセンター)(CSP)
システム要因によるクラウ
ドサービス事業の顧客に影
響するインシデントの減少
リスクアセス
メント対象
異なるサービス間の整合性(データ破壊したクラウドの使用を中止して別シス
事象
①データ破壊に依るシステム
停止。③バックアップデータ
を使用を試みたが使用できな
かった
②CSCにバックアップデー
タを提供した。④(CSCよ
りの連絡)CSCのシステム
で、利用できない
リスク源
アクセス制御不備、バック
アップテストの未テスト
バックアップデータに、特
定の開発業者のソフトウェ
アを含んでいる(Vendor
lock-in)
結果
CSCがシステムの使用ができ
ず、結果的にサービスの利用
停止となった。
CSPが提供するシステムに
おいてシステム停止が発生
し、再開ができない。
テムに移行。取っていたバックアップデータを使用して、システムの継続を実施)
クラウドサービス固有(specific)の
リスクアセスメントの対象に潜むリスク源
リスク源
クラウドサービスカスタマ
(CSC)
 Loss of governance
 Responsibility ambiguity
 Isolation failure
 Vendor lock-in(事例4)
 Compliance and legal risks
 Handling of security incidents
 Management interface
vulnerability
 Data protection
 Malicious behaviour of
insiders
 Business failure of the
provider
 Service unavailability(事例
2)
 Migration and integration
failures
 Evolutionary risks
 Cross-border issues
 Insecure or incomplete data
deletion
クラウドサービスプロバイダ
(CSP)
 Responsibility ambiguity
 Inconsistency and conflict of
protection mechanisms
 Isolation failure(事例1)
 Unauthorized access to the
provider's systems.
 Jurisdictional conflict(事例
3)
 Insider Threats
 Supply Chain vulnerability
(事例5)
Copyright SC27/WG1 Japan, 2016
14
事例:ISO/IEC27002の箇条(本文 12.3.1)
•
クラウドサービスカスタマ/プロバイダ向け実施の手引の例
– 27002: 12.3.1 情報のバックアップ
•
•
管理策
情報,ソフトウェア及びシステムイメージのバックアップは,合意されたバックアッ
プ方針に従って定 期的に取得し,検査することが望ましい。
 27017には、記述されませんが、この内容が、適用の対象となります
実施の手引
バックアップ方針を確立し,情報,ソフトウェア及びシステムイメージのバックアッ
プに関する組織の 要求事項を定めることが望ましい。 バックアップ方針では,
保管及び保護に関する要求事項を定めることが望ましい。 災害又は媒体故障
の発生の後に,全ての重要な情報及びソフトウェアの回復を確実にするために,
適切 なバックアップ設備を備えることが望ましい。 バックアップ計画を策定する
ときは,次の事項を考慮に入れることが望ましい。
a) バックアップ情報の正確かつ完全な記録及び文書化したデータ復旧手順を
作成する。
b) ・・・・・・
Copyright SC27/WG1 Japan, 2016
15
事例:ISO/IEC27017の箇条(本文 12.3.1)
•
クラウドサービスカスタマ向け実施の手引の例
– 27017: 12.3.1 情報のバックアップ
JIS Q 27002の12.3.1に定める管理策並びに付随する実施の手引及び関
連情報を適用する。次のクラウドサービス固有の実施の手引も適用す
る。
クラウドサービスのための実施の手引
クラウドサービス固
有の導入の手引き
クラウドサービスカスタマ
クラウドサービスプロバイダがクラウドサービスの一部としてバックアップ機
能を提供する場合は,クラウドサービスカスタマは,クラウドサービスプロバ
イダにバックアップ機能の仕様を要求することが望ましい。また,クラウド
サービスカスタマは,その仕様がバックアップに関する要求事項を満たすこと
を検証することが望ましい。
クラウドサービスプロバイダがバックアップ機能を提供しない場合は,クラウ
ドサービスカスタマがバックアップ機能の導入に責任を負う。
リスクアセスメントの
対象に関するヒント
Copyright SC27/WG1 Japan, 2016
16
事例:ISO/IEC27017の箇条(本文 12.3.1)
•
クラウドサービスプロバイダ向けImplementation guidanceの例
– 27017: 12.3.1 Information backup
クラウドサービス固
クラウドサービスのための実施の手引
有の導入の手引き
クラウドサービスプロバイダ
クラウドサービスプロバイダは,クラウドサービスカスタマに,バックアップ機能の
仕様を提供することが望ましい。その仕様には,必要に応じ,次の情報を含めること
が望ましい。
- バックアップ範囲及びスケジュール
- 該当する場合には暗号を含む,バックアップ手法及びデータ形式
- バックアップデータ保持期間
- バックアップデータの完全性を検証するための手順
- バックアップからのデータ復旧手順及び所要時間
- バックアップ機能の試験手順
- バックアップの保存場所
クラウドサービスプロバイダは,クラウドサービスカスタマにバックアップにアクセ
スさせるサービスを提供する場合には,仮想スナップショットなどの,セキュリテ
ィを保った,他のクラウドサービスカスタマから分離したアクセスを提供すること
が望ましい。
リスクアセスメントの
対象に関するヒント
Copyright SC27/WG1 Japan, 2016
17
(4)動力4:クラウドサービス利用/提供における監
視・測定・分析・評価の実施
- 情報セキュリティパフォーマンスとISMS有効性の評価の体制 -
クラウドサービスプ
ロバイダ(CSP)
クラウドサービスカ
スタマ(CSC)
社長
1.エビデン
スの要求
経営会議
2. エビデン
スの提供
社長
経営会議
報告
報告
CISO
報告
改善指示
セキュリティ
委員会
CISO
18.2.1 情報セ
キュリティの独
立したレビュー
報告
改善指示
セキュリティ
委員会
Web
公表
Web
公表
改善指示
改善指示
部門
部門
部門
部門
部門
部門
セキュリティ
委員
セキュリティ
委員
セキュリティ
委員
セキュリティ
委員
セキュリティ
委員
セキュリティ
委員
Copyright SC27/WG1 Japan, 2016
18
CSCは、信頼できるCSPの監査情報を把握でき
ないとセキュリティ対策はできない
監査
クラウドサービスカ
スタマ(CSC)
 クラウドサービス/セ
キュリティ対策の提供
 セキュリティ対策情報
の提供(証拠としての
監査情報)
 クラウドサービスの
利用/使用
① CSCは、システム及びセキュリ  セキュリティ対策情
ティ対策の主要な部分をCSPに 報に基づくセキュリ
ティ対策の実施
委ねている
② CSCは、CSPの提供する情報
及びセキュリティ対策に応じて、
セキュリティ対策を実施(言い換
えると信頼できるCSPの監査情
報を把握できないとセキュリティ
対策はできない)
クラウドサービス
プロバイダ
(CSP)
③ CSPは、CSCのセキュリティ
対策を支援するセキュリティ
対策及び情報を提供(信頼
できるセキュリティ対策と監
査情報の提供)
④ CSPは、複数のCSCのセ
キュリティレベルを考慮した
セキュリティ対策を提供
Copyright SC27/WG1 Japan, 2016
19
事例:ISO/IEC27017の箇条(本文 18.2.1)
• クラウドサービスカスタマ/プロバイダ向け実施の手引の例
– 27002: 18.2.1 情報セキュリティの独立したレビュー
•
管理策
情報セキュリティ及びその実施の管理(例えば,情報セキュリティのための管理目
的,管理策,方針,プロセス,手順)に対する組織の取組みについて,あらかじめ定
めた間隔で,又は重大な変化が生じた場 合に,独立したレビューを実施することが
望ましい。
 27017には、記述されませんが、この内容が、適用の対象となります
• 実施の手引
経営陣は,独立したレビューを発議することが望ましい。このような独立したレ
ビューは,情報セキュリティをマネジメントする組織の取組みが,引き続き適切,妥
当及び有効であることを確実にするために 必要である。このようなレビューは,改
善の機会のアセスメントを含むことが望ましい。また,方針及び 管理目的を含むセ
キュリティの取組みの変更について,その必要性の評価を含むことが望ましい。 こ
のようなレビューは,レビューが行われる領域から独立した個人・組織(例えば,内
部監査の担当部 署,独立した管理者,このようなレビューを専門に行う外部・・・・
 27017には、記述されませんが、この内容が、適用の対象となります
Copyright SC27/WG1 Japan, 2016
20
事例:ISO/IEC27017の箇条(本文 18.2.1)
• クラウドサービスカスタマ向け実施の手引の例
– 27017: 18.2.1 情報セキュリティの独立したレビュー
JIS Q 27002の18.2.1に定める管理策並びに付随する実施の手引及び関連
情報を適用する。次のクラウドサービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
クラウドサービスカスタマ
クラウドサービスカスタマは,クラウドサービスのための情報セキュリティ管理
策及び指針の実施状況がクラウドサービスプロバイダの提示どおりであることに
ついて,文書化した証拠を要求することが望ましい。その証拠は,関係する標準
への適合の証明書である場合もある。
Copyright SC27/WG1 Japan, 2016
21
事例:ISO/IEC27017の箇条(本文 18.2.1)
• クラウドサービスプロバイダ向け実施の手引の例
– 27017: 18.2.1 情報セキュリティの独立したレビュー
クラウドサービスプロバイダ
クラウドサービスプロバイダは,クラウドサービスプロバイダが主張する情報セ
キュリティ管理策の実施を立証するために,クラウドサービスカスタマに文書化
した証拠を提供することが望ましい。
個別のクラウドサービスカスタマの監査が現実的でない又は情報セキュリティへ
のリスクを増加させ得る場合,クラウドサービスプロバイダは,情報セキュリ
ティがクラウドサービスプロバイダの方針及び手順に従って実施され,運用され
ていることの独立した証拠を提供することが望ましい。この証拠は,契約の前に,
クラウドサービスの利用が見込まれる者に利用できるようにしておくことが望ま
しい。クラウドサービスプロバイダが選択した独立した監査は,それが十分な透
明性が確保されていることを条件として,クラウドサービスカスタマがもつクラ
ウドサービスプロバイダの運用に対するレビューへの関心を満たすために受け入
れられる方法であることが一般に望ましい。独立した監査が現実的でないとき,
クラウドサービスプロバイダは,自己評価を行い,クラウドサービスカスタマに
そのプロセス及び結果を開示することが望ましい。
Copyright SC27/WG1 Japan, 2016
22
(5)動力5:クラウドサービスカスタマ/プロバイダの情報セキュリ
ティガバナンス
-組織(Organization)を指揮(Direct)し、統制(Control)するCISO -
クラウドサービスプ
ロバイダ(CSP)
クラウドサービスカ
スタマ(CSC)
取引先、顧客、
従業員、社会
等
株主
取引先、顧客、
従業員、社会
等
株主
CEO方針
経営陣
CEO方針
CFO方針
CIO方針
CLO方針
CISO方針
CISO
管理者
従業員
情報セキュリティ
目的設定
管理目的・管理
策の展開
1. CSPの実施状 1. 証拠としての
監査結果の
況の証拠を要
提供
求
2. SLAの合意
2. SLAの要求
目的
達成度・実施度
監視&レビュー
情報セキュリティ対策
企業・組織
15.1.3
CISO
18.2.1
12.1.2
12.1.3
管理者
13.2.4
従業員
14.1.1
15.1.2
18.1.5
CLD.8.1.5
経営陣
CIO方針
CFO方針
CLO方針
CISO方針
情報セキュリティ
目的設定
管理目的・管理
策の展開
目的
達成度・実施度
監視&レビュー
情報セキュリティ対策
企業・組織
Copyright SC27/WG1 Japan, 2016
23
補足(1) ISO/IEC27017の実施の手引き一覧表
箇条(Clause)
CSC
5
CSC/CSP
CSP
Subclause計
1
1
2
6
2
2
7
7
1
1
6
8
2
2
10
9
5
6
14
10
2
1
2
11
1
1
15
12
7
6
14
13
1
1
7
14
2
2
13
15
2
2
5
16
2
2
7
1
17
4
18
5
Total
33
1
5
8
32
114
Copyright SC27/WG1 Japan, 2016
24
補足(2)ISO/IEC27017の追加管理策一覧表
管理策番号
CSC
CSP
管理策の内容
リスク源
Compliance and legal risks
Malicious behavior of
insiders
CLD.6.3.1
1
1
クラウドコンピューティ
ング環境における役割及
び責任の共有及び分担
CLD.8.1.5
1
1
クラウドサービスカスタ
マの資産の除去
Responsibility of ambiguity
Data protection
CLD.9.5.1
1
1
仮想コンピューティング
環境における分離
Isolation failure
仮想マシンの要塞化
Inconsistency and conflict of
protection mechanism
Isolation failure
Evolutionary risks
Insecure or incomplete data
deletion
Data protection
CLD.9.5.2
1
CLD.12.1.5
1
1
実務管理者の運用のセ
キュリティ
CLD.12.4.5
1
1
クラウドサービスの監視
1
仮想及び物理ネットワー
Inconsistency and conflict of
クのセキュリティ管理の
protection mechanism
整合Copyright SC27/WG1 Japan,
2016
25
CLD.13.1.4
0
おわりに
ご清聴有難うございました。
工学院大学情報学部
ISO/IEC JTC1/SC27/WG1国内主査
クラウドセキュリティコントロール専門委員会委員長
山﨑
哲
Copyright SC27/WG1 Japan, 2016
26
Fly UP