クラウドサービス利用のための情報セキュリティ マネジメント

「クラウドサービス利用のための情報セキュリティ
マネジメントガイドライン」改訂と活用ガイドブック
平成２６年３月２６日
商 務 情 報 政 策 局
情報セキュリティ政策室
上
村
昌
博
情報セキュリティ対策を支える体制 我が国政府内の役割分担
IT戦略本部（本部長：内閣総理大臣）
情報セキュリティ政策会議（議長：内閣官房長官）
2005年 設置
内閣官房情報セキュリティセンター
・基本戦略
・国際戦略
・政府総合対策
・重要インフラ対策
・事案対処支援
協力
サイバー
犯罪対策
防衛省
経済産業省
外務省
 情報通信、金融、航空、
鉄道、電力、ガス、
政府・行政サービス、
医療、水道、物流
総務省
政府対策基準の策定
政府機関へのサイ
バー攻撃防御
警察庁
重要インフラ（１０分野）
所管省庁
（金融、国交、厚生）
庶務
５省庁
国家防衛
通信ネットワーク対策
自治体の対策
すべての基礎を支える情報システムの対策
重要インフラ（電力、ガス）
企業・個人の対策
政府機関
重要インフラ
企業
個人
1
１．環境の変化
サイバーセキュリティ戦略 概要
サイバー空間と実空間の「融合・一体化」
► 情報通信技術の普及・高度化・利活用の進展
サイバー空間を取り巻く「リスクの深刻化」
► リスクの甚大化・拡散・グローバル化
２．基本的な方針
(１)目指すべき社会像： 「サイバーセキュリティ立国」の実現
国家の安全保障・危機管理、社会経済の発展、国民の安全・安心確保のため、
「世界を率先する」 「強靭で」 「活力ある」サイバー空間を構築し、
サイバー攻撃等に強く、イノベーションに満ちた、世界に誇れる社会を実現
(２)基本的な考え方
①
②
③
④
情報の自由な流通の確保
深刻化するリスクへの新たな対応
リスクベースによる対応の強化
社会的責務を踏まえた行動と共助
► 表現の自由やプライバシーの保護等が確保され、経済成長等を享受
► リスクの変化に迅速・的確に対応できる多層的な取組が必要
► 動的対応力を通じ、リスクの性質を踏まえた対応の強化が必要
► 多種多様な主体が各々の役割を発揮し、相互連携・共助が必要
(３)各主体の役割
①
②
③
④
⑤
国
重要インフラ事業者等
企業や教育・研究機関
一般利用者や中小企業
サイバー空間関連事業者
► サイバー空間の外交・防衛・犯罪対策、政府機関等における対策強化・対処態勢整備 等
► 現行10分野の取組強化、新たな分野における必要な対策の実施 等
（10分野：情報通信、金融、航空、鉄道、電力、ｶﾞｽ、政府・行政ｻｰﾋﾞｽ（地方公共団体を含む）、医療、水道、物流）
► 情報共有等の集団的対策、産学連携による高度技術・人材の供給 等
►「他者に迷惑かけない」認識醸成やリテラシー向上など自律的取組、情報共有 等
► 製品等の脆弱性への対応、インシデント認知・解析、国際競争力の強化 等
2
サイバーセキュリティ国際連携取組方針（抜粋）
４．重点取組分野
(３)サイバーセキュリティに関する国際的なルール作り
① 国際的な技術基準策定
◯ 我が国では、2013年に制御システムセキュリティセンター（CSSC: Control System Security
Center）を設立したところであり、CSSCを拠点として制御システムセキュリティの評価・認証
技術を確立するとともに、その技術の利用促進のための評価・認証機関を設置し、CSSCに参加
する企業や団体を中心としてCSSCの活用による新たな国際標準の提案活動にも寄与する。また、
サイバーセキュリティ対策の一環として、認証の国際的な相互承認の枠組みであるCCRA
（Common Criteria Recognition Arrangement）スキームを活用した調達を積極的に進める。
◯ クラウドサービスについては、我が国は、安全・安心にクラウドサービスを活用できるための
ISO（International Organization for Standardization）・ITUにおけるクラウドセキュリ
ティの国際標準化のための活動を先導しており、早期の国際標準化に向けた活動に積極的に貢
献するとともに、国内外の関連企業と具体的な対応マニュアルの策定・普及を進め、それによ
り得られた知見の共有の推進を図る。
3
重要インフラ等を制御するシステムへの攻撃
◯ USBメモリから感染し、多層のネットワークを上層→下層へ移動。制御装置(PLC,DCS)のコードを
書き換えて、標的を破壊。潜伏期間が長い、感染の痕跡を消す、監視の目を欺く等、巧妙な手口。
①USBメモリからの感染
(社内ﾈｯﾄﾜｰｸ経由または、
情報ﾈｯﾄﾜｰｸへの直接感染)
②サーバーのサービスの
脆弱性を悪用した情報
ネットワークへの感染
③ファイル共有経由での
制御ネットワーク内保守
端末への感染
④保守端末からの制御装
置内設定値書き換えマル
ウェア感染
※2010年のスタックスネット(Stuxnet)事件を参考に模式化
社内ﾈｯﾄﾜｰｸ
制御ﾈｯﾄﾜｰｸ
②社内ﾈｯﾄﾜｰｸ
から情報ﾈｯﾄ
ﾜｰｸへの感染
社内PC
④制御装置
への感染
ﾌﾟﾛｾｽｺﾝﾋﾟｭｰﾀ
HMI
保守端末2
保守端末1
①感染ﾃﾞｰﾀ
の発信
情報（保守）ﾈｯﾄﾜｰｸ
③情報ﾈｯﾄﾜｰｸ
から制御ﾈｯﾄ
ﾜｰｸへの感染
制御装置(PLC)
4
技術研究組合制御システムセキュリティセンター （ＣＳＳＣ）
◯ 技術研究組合制御システムセキュリティセンター（Control System Security Center, 以下、CSSC）を
2012年3月6日に設立。（CSSCのホームページ http://www.css-center.or.jp/ ）
◯ CSSC東北多賀城本部に設置した「制御システムセキュリティテストベッド」を活用して、評価・
認証手法の開発、人材育成・普及啓発、高セキュア技術の研究開発を、産学官連携で取り組む。
アズビル株式会社
NRIセキュアテクノロジーズ株式会社
NTTコミュニケーションズ株式会社
オムロン株式会社
独立行政法人産業技術研究所
独立行政法人情報処理推進機構
国立大学法人電気通信大学
株式会社東芝
東北インフォメーション・システムズ株式会社
株式会社トヨタIT開発センター
トレンドマイクロ株式会社
日本電気株式会社
一般財団法人日本品質保証機構
株式会社日立製作所
富士通株式会社
富士電機株式会社
マカフィー株式会社
三菱重工業株式会社
株式会社三菱総合研究所
三菱電機株式会社
森ビル株式会社
横河電機株式会社
株式会社ラック
5
制御システムセキュリティテストベッドと７種類の模擬システム
◯ 電力・ガス等の模擬プラントシステムを活用して、サイバー攻撃によって発生したインシデント
を再現。インフラ事業者のインシデント分析や現場対応の実践的演習やセキュリティ啓発に利用。
ガスプラント
組立プラント
排水・下水プラント
広域制御
（スマートシティ）
化学プラント
ビル制御
火力発電所
6
インフラ事業者向けサイバーセキュリティ演習
◯ 電力分野、ガス分野、ビル分野、化学分野の現場担当者、技術者、関連事業者等が、制御システ
ムにおけるセキュリティ上の脅威を認識すること、セキュリティインシデント発生の検知手順や
障害対応手順を検証。
• リテラシ
• セキュリティ障害例
• セキュリティ対策技術 等
机上演習
機能演習（実機演習）
機能演習（対策技術の演習）
7
制御システムセキュリティの評価･認証
◯ 制御システムのセキュリティは、組織・システム・コンポーネントの３階層に対して、業種や業
界ごとに様々な標準・基準が提案されている。
◯ 汎用的な標準･基準として IEC 62443 が注目されつつあり、一部事業者では調達要件として
採用され始めている。
◯ 業界で先行している ISCI や WIB の基準が、IEC 62443シリーズに統合されつつある。
標準化
対象
汎用制御
システム
専用（業種）システム
石油・化学
プラント
組織
システム
電力
システム
スマート
グリッド
NERC
CIP
IEC
62443
NIST
IR7628
鉄道
システム
ISO/IEC
62278
WIB
IEC61850
ISCI
コンポー
ネント
ISCI: ISA Security Compliance Institute
ＣＳＳＣは制御機器
の評価･認証機関
IEEE1686
WIB: International Instrument User’s Association
凡例
国際標準
業界標準
8
標的型メール攻撃
○ 特定の企業や組織のユーザーを狙った、共通的な思想集団や情報窃取を目的とする集団の攻撃。
○ 標的とした企業の社員に向けて、関係者や別社員を装ってウイルスメールを送信する例が典型。
○ 実在する部署や社員の名前などを記載することで相手を信用させ、攻撃の成功率を高める。
標的型メールを開くと
1. 添付ファイルを開くか、ハイパーリンクが含まれている場合はそれを
クリックすると、自動的に外部コンピュータに接続し、知らない内に
コンピュータ内の情報が抜き取られる。
2. コンピュータの挙動
• 何もしていないのに、コンピュータが再起動する。
• クリックした添付ファイルがなくなる。
• 添付ファイルを開くと、ワード、Acrobat Reader等の表示用ソ
フ ト ウ ェ ア が フ リ ー ズ 又 は 強 制 終 了 す る
等の症状が発生することがある。
開いてしまったら
落ち着いて、電源は切らず、コンピュータに接続されている外部回線
用ケーブルを抜いた後に、システム管理者等へ速報。
※内閣官房情報セキュリティセンター作成資料より
9
サイバー情報共有イニシアティブ （Ｊ-ＣＳＩＰ）
◯ ＩＰＡ（公的機関）を情報ハブ（集約点）として、標的型サイバー攻撃の情報共有を行う。
◯ ＩＰＡと各企業は、個別にＮＤＡ（秘密保持契約）を締結して、企業ネットワークを構成する。
J-CSIP: initiative for Cyber Security Information sharing Partnership of Japan
「標的型サイバー攻撃特別相談窓口」の設置
情報共有
１
内閣官房
情報セキュリティセンター
ITユーザーが標的型攻撃を受けた際の駆け込み寺。
専門的知見を有する相談員による窓口を設置。
？
？
情報共有
情報の匿名化 ＋ メンバー間での情報共有
情報提供
被害相談
２
情報提供
個別相談
J-CSIP
メンバー
※ J-CSIP: サイバー情報
共有イニシアティブ
特別相談窓口
情報ハブ（集約点）
サイバー攻撃の実態調査
緊急対策情報等
対策の整備
標的型サイバー攻撃の実態調査
届出・相談
（従来窓口）
３
一般企業、個人
標的型攻撃メールの内容や攻撃に使用されたウイルス等の分
析結果を、信頼できる情報ハブを介して情報共有することに
より、同様の標的型サイバー攻撃を未然に防止する。
メンバー企業より提供された標的型攻撃メールを分析すると
ともに、 IPAが特に「重大な攻撃が発生している」と判断す
る場合、対象メンバー企業の協力のもと、攻撃の実態調査を
行う。
（例）検出された不審なファイルの分析
10
Ｊ-ＣＳＩＰの効果と2012年度実績
共有情報の活用
①
②
③
類似攻撃の早期検知（メール着弾検索）
攻撃侵攻の早期発見（外部アクセスログ・中間生成ﾌｧｲﾙ検索）
将来攻撃のブロック（攻撃利用IPアドレスのﾌﾞﾗｯｸﾘｽﾄ設定）
情報ハブ
[IPA]
緊急対策情報、
技術レポートなど
情報提供 246件
【一般の企業、業界団体等】
サイバー攻撃
解析協議会
SIG間連携（情報ハブを基点としたSIG間情報共有）
セプターカウンシル
連携
事務局
(NISC重要インフラ)
情報共有 160件
水道
金融
重工SIG
石油SIG
電力SIG
化学SIG
ガスSIG
重要インフラ
石油事業者
電力事業者
化学事業者
ガス事業者
機器製造業者
（６社+石連）
(電事連)
（7社）
（10社+ガス協会）
（9社）
（24年7月運用開始） （24年9月運用開始） （24年10月運用開始） （24年10月運用開始）
（24年4月運用開始）
・・・
解析機関
IPAなど
10分野
SIG: Special Interest Group（業界ごとの情報共有グループﾟ）
※同じ攻撃メールが複数から情報提供された場合は情報共有を1件としたり、広く無差別にばら撒かれた
迷惑メールを情報共有対象しない場合があるため、情報提供件数と情報共有実施件数には差がある。
11
クラウドサービスの障害事例
12
クラウドの安全指針策定と国際標準化の流れ
情報セキュリティマネジメントを実践する対策を規定 （国際規格）
ISO/IEC 27002:2005
2005
（日本の規格）
JIS Q 27002:2006
2006
自組織内にシステムを所有
Cloud Computing
Services
旧ガイドライン
ISO/IECの情報セキュリティに関する
専門部会 (JTC1 / SC27 / WG1)
提案
2010
～2011
自組織外のシステムを使用
策定(2011.4)
Proposal N9044
(2010.10, Berlin)
クラウドサービス利用のための情報セキュリティマネ
ジメントガイドライン 初版
NWIP (2011.5, Singapore)
WD1 (2011.10, Nairobi)
日本の提案が基礎となり
ク ラウドセキ ュリティ の
標準化が固まりつつある
WD2 (2012.4, Stockholm)
WD3 (2012.10, Rome)
WD4 (2013.4, Sophia)
2013
～2014
WD5 (2013.10, Inchon)
※ガイドラインの利用シーンを解説
クラウドサービス利用のための情報セキュリティマネ
ジメントガイドライン 2013年度版
クラウドセキュリティガイドライン
活用ガイドブック 初版
改訂(2014.3)
新ガイドライン
2015
ISO/IEC 27017:2015
ガイドブック(新)
(2015 発行予定)
クラウドサービス利用者の情報セキュリティマネジメントを実践する対策を規定 （国際規格（分野別指針））
13
クラウドサービス利用における懸念事項(2009年)
◯ Webアンケート（対象※ 500人）によると、『セキュリティ対策（情報漏洩対策等）が十分かどう
か分からない』という、クラウド利用者のセキュリティに対する懸念が高い。
◯ 情報セキュリティ対策等、クラウドサービスの利用を検討するのに十分な情報がクラウド事業者
から開示されていない状況が背景にある。
※アンケート対象: 従業員300人以上の企業に勤める社員。社内向のソフトウェア開発、システム開発・運用・保守に携わる方。
出典 「高度情報化社会における情報システム・ソフトウェアの信頼
性及びセキュリティに関する研究会」 （経済産業省 2009年3月）
14
クラウドセキュリティガイドライン初版(2011年)
◯ 情報セキュリティやプライバシに関心の高い組織（ISMS又はPマーク取得済企業等）2000社から
無作為抽出してアンケート実施し、情報セキュリティ対策のニーズを調査（有効回答699件）。
◯ クラウド事業者による情報セキュリティ対策の第三者評価、及び情報セキュリティマネジメント
システムの国際基準への適合性評価の要望が多い。
出典 「クラウドサービスの情報セキュリティ監査に関す
るアンケート調査報告書」 （経済産業省2010年１月）
0
20
40
60
0
34.0
6.7
2.9
セキュリティ認証・認定
その他のセキュリティ管理
わからない
80
100 ％
49.4
プライバシーマーク
9.9
17.7
ISO/IEC 20000（ITSMS）
4.3
SAS70/委託18号報告書
情報セキュリティ監査
60
81.0
BS25999（BCP/BCM）
52.1
N=699
40
ISMS適合性評価制度/ISO/IEC27001
100 ％
80
20
特になし
6.3
2.9
無回答
その他
クラウドサービスの第3者評価のニーズ
無回答
1.1
3.6
クラウドサービス事業者に取得して
もらいたいと考える認証、認定
N=699
「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」 初版
 ガイドラインの内容と構成は、JIS Q 27002（ISO/IEC 27002）の章立てに１対１対応。
 クラウド利用者の具体的な対策、クラウド事業者の実施が望まれる事項を分けて記載。
15
クラウドセキュリティガイドラインの位置づけ
クラウドセキュリティ
ガイドライン
クラウド利用者
利用者の対策
リスクアセスメント
クラウド環境での管理と責任の変化の検討
リスク受容レベル
組織のリスク受容レベルとの比較
管理策の選択
JIS Q 27002（国内基準）などから選択
責任の明確化
クラウド利用者と事業者による管理策の実施
ISMSの維持・改善
ISMSの確立
Act
事業者の実施が
望まれる事項
事業者の対策
クラウド事業者
情報セキュリティの要求
Plan
情報セキュリティ
Check
ISMSの監視・見直し
Do
ISMSの導入・運用
16
ＪＩＳとガイドラインの比較
「6.1.3 情報セキュリティ責任の割当て」
クラウドセキュリティガイドライン
JIS Q 27002
管理策
すべての情報セキュリティ責任を、明確に定めることが望ましい。
実施の手引
情報セキュリティ責任の割当ては、情報セキュリティ基本方針に従って行う
ことが望ましい（箇条4参照）。個々の資産の保護に対する責任及び特定
のセキュリティプロセスの実施に対する責任を、明確に定めることが望ましい。
必要な場合には、この責任に、個別のサイト及び情報処理施設に関する、
より詳細な手引を追加してもよい。資産の保護及び事業継続計画のよう
な特定のセキュリティプロセスの実行に限定される責任を明確に定めること
が望ましい。
セキュリティ責任を割り当てられた個人は、セキュリティに関する職務を他者
に委任してもよい。しかしながら、責任は残ったままであり、いずれの委任し
た職務も正しく実行されていたと判断することが望ましい。
個人が責任をもつ領域を明確に規定することが望ましい。特に、次を実施
することが望ましい。
a. 個々の特定のシステムに関連した資産及びセキュリティのプロセスの
識別、並びに明確な規定
b. 各資産又はセキュリティのプロセスに対する責任主体（例えば、個
人、職位）の指名、及びその責任の詳細の文書化（7.1.2参照）
c. 承認の権限の明確な規定及び文書化
組織が情報システムを自組織内に所有することを想定して作成された
JIS Q 27002では、情報システムの「利用」という形態をとるクラウド
サービスには、管理策の「実施の手引」をそのまま適用できない。
管理策
同じ
すべての情報セキュリティ責任を、明確に定めることが望ましい。
クラウド利用者のための実施の手引
利用者の対策
クラウド利用者は、クラウドサービス利用における責任において、クラウド
事業者が果たす内容について明確にすることが望ましい。クラウド利用者
は、情報セキュリティ責任について、クラウド利用者だけでは対応できない
内容について一覧を作成することが望ましい。クラウド利用者は、クラウド
事業者が負う責任についてクラウド事業者に確認することが望ましい。
クラウド事業者の実施が望まれる事項
事業者の実施が
望まれる事項
クラウド事業者は、クラウドサービスに関する情報セキュリティ責任者を専
任することが望ましい。クラウド事業者は、クラウドサービスの情報セキュリ
ティに関する窓口を明確にし、開示することが望ましい。
クラウドサービスの関連情報
利用時の考慮点
クラウドサービスにおいては、情報セキュリティに関する一部の業務
がクラウド事業者に委任される。しかしながら、情報セキュリティに関
する全体の責任はクラウド利用者に残ったままであるため、クラウド
事業者が情報セキュリティに関する業務を正しく実行していることを、
クラウド利用者が判断することが望ましい。また、個人が情報セキュリ
ティに責任をもつ領域がクラウドサービスによって変化をする場合（例
えば、ID管理が一元化できずにパスワードの変更を個人が配慮して
行わなければならないなど）には、クラウド利用者はその責任範囲を
明確にし、クラウドサービスの利用者に伝えなければならない。
・
・
17
ガイドライン改訂と活用ガイドブックの作成(2014年)
◯ ガイドラインの公開以来、クラウドサービスの本格的な普及が進む中、クラウド事業者による
大規模な障害や障害対応過程での情報漏えい等が発生し、リスクが顕在化。
◯ クラウドサービスを取り巻く環境が変化し、現状に合わせてガイドラインに追加修正が必要。
◯ サービス利用時のリスク、具体的な利用シーンと対策についての解説が欲しいという声もあった。
出典：平成24年度経済産業省委託調査
クラウド事業者のインシデント集計（2011-2012）
国内外の事業者へのインタビュー結果
「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」 改訂版
「セキュリティマネジメントガイドライン活用ガイドブック」 ２０１３年度版
18
ガイドライン改訂のポイント
◯ 顕在化したリスクに対するセキュリティ要求事項の追加
 クラウドサービスの顕在化したリスクを踏まえ、クラウド事業者に求められる
セキュリティ要求事項を「クラウド事業者の実施が望まれる事項」に追加。セキュリティ要求
事項を明確化するため、クラウドサービスにおける障害やトラブルなどの
インシデント事例を分析し、クラウド事業者に対してインタビュー調査を実施し、顕在化した
リスクへの実際の対応及び自社では発生していないが想定されるリスクへの対応状況を調査。
 クラウドサービスの障害事例、クラウド事業者へのインタビュー調査に基づき、クラウド事業
者の情報開示のあり方、クラウド利用者の考慮すべき事項を追加（次ページ参照）。
◯ 国際的な動向を踏まえた追加等
 クラウドサービスにおける情報セキュリティに関する国際会議などでの検討や海外政府の取組
み動向を踏まえた追加等。さらに、海外事業者へのインタビュー調査も踏まえて事業者の視点
として反映。
◯ 記載項目の変更
 第三者評価等による客観的なチェックポイントを明確にするため、「クラウド利用者のための
実施の手引」及び「クラウド事業者の実施が望まれる事項」では、箇条書きで示すことが適切
な箇所については箇条書きに変更。
 「クラウドサービスの関連情報」では、参考情報として例を示すことが可能な箇所には、クラ
ウド事業者へのヒアリング調査などを踏まえて例示を充実（21ページ参照）。
19
ＪＩＳ Ｑ 27002 → ガイドライン初版 → 改訂版
改訂後
改訂前
情報システム（JIS Q 27002）
クラウド（ガイドライン初版）
クラウド（ガイドライン改訂版）
バックアップ（管理策）
情報及びソフトウェアのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査することが望ましい。
バックアップ
バックアップ（利用者向け）
バックアップ方針を確立し、情報、ソフトウェ
ア及びシステムイメージのバックアップに関す
る組織の要求事項を定めることが望ましい。
クラウド利用者は、クラウドサービス上で扱う
情報、ソフトウェア及びソフトウェアの設定に
おいて、バックアップの必要性を確認すること
が望ましい。
バックアップ方針では、保管及び保護に関する
要求事項を定めることが望ましい。
災害又は媒体故障の発生の後に、全ての重要な
情報及びソフトウェアの回復を確実にするため
に、適切なバックアップ設備を備えることが望
ましい。バックアップ計画を策定するときは、
次の事項を考慮に入れることが望ましい。
A) バックアップ情報の正確かつ完全な記録及
び文書化したデータ復旧手順を作成する。
・
最新版では
セキュリティの障害事例にもとづ
セキュリティの障害事例にもとづ
き、クラウド利用者が考慮すべき
き、クラウド利用者が考慮すべき
具体的な事項を追加。
具体的な事項を追加。
併せて、クラウド事業者に求めら
れる対応を明確化
・
F) 機密性が重要な場合には、暗号化によって
バックアップ情報を保護する。
・
・
バックアップ（利用者向け）
クラウド利用者は、クラウドサービス上で扱う
情報、ソフトウェア及びソフトウェアの設定に
おいて、バックアップの必要性を確認すること
が望ましい。
クラウド利用者は、次の事項を考慮して、バッ
クアップ手順を策定することが望ましい。
・
・
A) クラウドサービスに付帯するバックアップ
機能及び復元機能
B) 利用者自身が追加開発するバックアップ機
能及び復元機能
C) バックアップデータの暗号化
D) バックアップデータのローカルでの保管及
び隔地保管
E) バックアップデータの保管期間
バックアップ（事業者向け）
バックアップ（事業者向け）
クラウド事業者は、クラウド利用者が求める情
報、ソフトウェア及びソフトウェアの設定にお
いて、クラウド利用者がバックアップ手順を策
定できるように情報を提供することが望ましい。
クラウド事業者は、クラウド利用者が行うべき
バックアップ取得について明確にすることが望
ましい。また、利用者自身によるバックアップ
取得が必要な場合、バックアップ取得を支援す
る情報若しくは機能を提供することが望ましい。
クラウド事業者は、利用者にバックアップ機能
及び復元機能を提供する場合には、利用者が実
施する手順を明確にすることが望ましい。
20
ＪＩＳ Ｑ 27002 → ガイドライン初版 → 改訂版
改訂前
情報システム（JIS Q 27002）
クラウド（ガイドライン初版）
改訂後
クラウド（ガイドライン改訂版）
実務管理者および運用担当者のログ（管理策）
システムの実務管理者及び運用担当者の作業は、記録することが望ましい。
実務管理者および運用担当者のログ
実務管理者および運用担当者のログ（利用者向け）
実施の手引き
クラウド利用者は、クラウドサービス上に構築
した利用者システムの実務管理者及び運用担当
者の作業が、記録されていることを確認するこ
とが望ましい。
作業ログには、次の事項を含めることが望まし
い。
a)事象（成功又は失敗したもの）の発生時刻
・
実務管理者および運用担当者のログ（事業者向け）
・
クラウド事業者は、クラウドサービス上で、ク
ラウド利用者のシステムの実務管理者及び運用
担当者の作業を、記録する機能を提供すること
が望ましい。・・・
d)関与したプロセス
・
・
関連情報に「期待される」という
表現の事項(推奨事項)を追加
実務管理者および運用担当者のログ
（関連情報）
実務管理者および運用担当者のログ
（クラウドサービスの関連情報）
システム及びネット―枠の実務管理者管理外に
ある侵入検知システムは、・・・
クラウド利用者は、クラウド事業者がログ情報
を一括して取得し、一括した管理を行っている
場合、必要なときに必要なログが提供されない
可能性に留意することが望ましい。
実務管理者および運用担当者のログ（利用者向け）
（変更なし）
実務管理者および運用担当者のログ（事業者向け）
（変更なし）
実務管理者および運用担当者のログ
（クラウドサービスの関連情報）
クラウド利用者は、クラウド事業者がログ情報
を一括して取得し、一括した管理を行っている
場合、必要なときに必要なログが提供されない
可能性に留意する必要がある。
クラウド利用者は、作業ログに関する仕様を確
認 し た り 、 第 三 者 タ イ ム ス タ ン プ 及 び WORM
（Write-Once-Read-Many、書込み1回のみ可能か
つ消去・変更不可）デバイスの否認防止機能の
有無を確認することが期待される。
クラウド利用者は、クラウドサービスにおいて
運用担当者のログが提供されない場合には、ど
のようなログをクラウド事業者が取得している
かについて情報提供を求めることが期待される。
21
ガイドライン活用ガイドブック
◯ ガイドラインは、様々なシーンで活用できるよう JIS Q 27002 (ISO/IEC 27002) を基本に作成
したが、ガイドラインを広く一般に使いやすくするための工夫も必要。
◯ 活用ガイドブックでは、ガイドラインの使い方や、リスクと対策の具体的な解説をガイドライン
を参照して説明。利用時の契約書やサービスレベル合意書(SLA)についても解説。
1. はじめに
3. クラウドサービスにおけるリスク
クラウドサービスの情報セキュリティインシデント（以降、イン
シデント）の調査をもとに、インシデントの傾向と対策を解説。
クラウドの構造やインシデントの傾向と対策についての解説を
受けて、クラウドサービスにおける様々なリスクについて解説。
2. クラウドセキュリティとは
クラウドセキュリティガイドラインの参考となる項番を参照し、
重点的な対応ができるようなガイドという位置づけ。
クラウドの構造を解説し、構造上の問題点や運用上の問題点な
どを明確にし、事故が発生する原因や利用者や事業者の責任を
明確化。
調査結果を前提とした内容として、ガイドラインの重点項目が
分かるような構成。
4. クラウド利用者のためのガイドライン活用
クラウドサービスを利用したシステム構築、クラウド事業者の選択、クラウドサービスの契約、インシデントレスポンスの４点について、
具体的な利用シーンを想定した解説。
巻末には事業者、利用者共に活用できる「契約書のサンプルと解説」、「サービスレベル合意のサンプルと解説」を用意。
5. クラウド事業者のためのガイドライン活用
クラウドサービスの構築、セキュリティホワイトペーパーの活用、第三者認証の活用、監査の４点について、事業者の目線で解説。
利用者に安全にサービスを提供するための情報発信だけではなく、事業者組織の情報セキュリティマネジメントについても解説。
22
ガイドライン改訂にともなうパブリックコメント実施
◯ ガイドラインに対して ３５件 の指摘。
◯ 国内・海外事業者を区別する記述について、修正を要望する指摘あり。以下は、例。
海外のクラウドサービスの利用に萎縮効果を生じさせうる記載は削除又は修正すべき。
クラウドサービスの関連情報
クラウドサービスでは国内外問わず様々なクラウド事業者を
利用することができる。しかし日本の個人情報保護に対する
要求事項によっては、情報管理機能について自らが定める規
程などに対応できないクラウド事業者が多く存在するかもし
れない。そのため、個人情報保護に関する基準や手順がクラ
ウド事業者の提供するクラウドサービスに合致するかどうか
を検討することが期待される。
クラウドサービスの関連情報
クラウドサービスでは、国内外問わず、様々なクラウド事業者を利
用する事ができる。しかし、他国のクラウド事業者では、特定国内
における法律に対応できないクラウド事業者がある可能性もある。
そのため、遵守すべき法律を考慮して記録の保管を適切に行うこと
ができるクラウド事業者を選択するか、自ら記録を保管する体制を
構築することが期待される。
パブコメ対応後
個人情報保護法の要求事項及び当該要求事項の実現のために
企業等が定める規程に対応できないクラウド事業者が存在す
るかもしれない。そのため、個人情報保護に関する基準や手
順がクラウド事業者の提供するクラウドサービスに合致する
かどうかを検討することが期待される。
日本と海外の事業者を区別して、海外のクラウドサービスの利用に萎縮効果を生じさせるべきでない。
クラウドサービスの関連情報
パブコメ例①
クラウドサービスの関連情報
パブコメ例②
パブコメ対応後
クラウドサービスでは、国内外問わず、様々なクラウド事業者を利
用する事ができる。しかし、クラウド事業者の中には、特定国内に
おける法律に対応できないクラウド事業者がある可能性もある。そ
のため、遵守すべき法律を考慮して記録の保管を適切に行うことが
できるクラウド事業者を選択するか、自ら記録を保管する体制を構
築することが期待される。
23
ガイドライン改訂にともなうパブリックコメント実施 （つづき）
◯ 活用ガイドブックに対して ６２件 の指摘。 指摘事項の具体例は、以下。
パブコメ例③
米国パトリオット法についての説明が不適切である。
活用ガイドブック （p.78）
しばしば議論の対象になるものとしていわゆる米国愛国者法が挙げ
られます。同法は、2001年9月11日に発生した同時多発テロを受け、
テロ対策のため政府機関の権限を拡大するなどの目的で制定された
ものですが、テロリズムやコンピュータ詐欺及びコンピュータ濫用
罪に関連する有線通信や電子的通信を傍受する権限、あるいは裁判
所の命令によらず電子メールやボイスメール（留守番電話）を入手
する権限などが捜査機関に与えられるなど、捜査機関に与えられて
いる権限が大きなものになっています。
米国パトリオット法の誤解
を招かない表現に修正
しばしば言及されるものとして米国パトリオット法が挙げられます。
同法は、2001年9月11日に発生した同時多発テロを受け、従来から
存在する複数の法律をテロ対策に円滑に適用することを目的として
体系化された法律です。従来から存在する法律の手続きを踏まえつ
つ、テロリズムやコンピュータ詐欺及びコンピュータ濫用罪に関連
する有線通信や電子的通信を傍受する権限、あるいは電子メールや
ボイスメール（留守番電話）を入手する権限などが捜査機関に与え
られるものとなっています。
（活用ガイドブックの第４章の、リスクに対する）具体的な対策の記述が不十分である。
活用ガイドブック （第４章 p.35）
パブコメ対応後
リスクに対する対策を追記
（第４章を全面的に修正）
パブコメ例④
パブコメ対応後
1) 障害などによりアプリケーションが長時間利用できなくなるリ
スク
1) 障害などによりアプリケーションが長時間利用できなくなるリ
スク
g）の検討と同様です。想定されるリスクと業務に必要な可用性、
コストを総合的に判断して、仮想サーバレベル、データセンタレベ
ル、あるいはリージョンレベルでの冗長性を確保します。複数のク
ラウド事業者のサービスを組み合わせて高い可用性を確保すること
も可能です。
g）の検討と同様です。想定されるリスクと業務に必要な可用性、
コストを総合的に判断して、仮想サーバレベル、データセンタレベ
ル、あるいはリージョンレベルでの冗長性を確保します。複数のク
ラウド事業者のサービスを組み合わせて高い可用性を確保すること
も可能です。
ガイドラインを参照して、
具体的な対策を追加した
このリスクに関しては、 クラウドセキュリティガイドラインの
「10.2 第三者が提供するサービスの管理」および「10.3.1 容量・
能力の管理」を参考にしてください。
24
今後の動向① クラウド情報セキュリティ監査制度
クラウドセキュリティ推進協議会
日本セキュリティ監査協会(ＪＡＳＡ)
を中心として、クラウド事業者向けの
監査制度の実現を目指す。
クラウド利用者
発足メンバー（２５社）
あらた監査法人、
伊藤忠テクノソリューションズ、
インターネットイニシアティブ、
エス・シー・ラボ、
NRIセキュアテクノロジーズ、
NTT、NTTコミュニケーションズ、
NTTコムウェア、NTTソフトウェア、
NTTデータ、
NTTPCコミュニケーションズ、
NTT西日本、NTT東日本、
KDDI、新日本有限責任監査法人、
セールスフォース・ドットコム、
ディアイティ、
電通国際情報サービス、
NEC、
ニフティ、
日本ユニシス、
日立製作所、ビットアイル、
富士通、
三菱電機情報ネットワーク
クラウド事業者
クラウドサービス
情報セキュリティ
マネジメント
情報セキュリティ
マネジメント
ガイドライン
ガイドライン
情報セキュリティ
監査
監査人
情報セキュリティ
監査
クラウド情報セキュリティ
管理基準（経産省告示）
ガイドライン、管理基準
どおり実施しているか
25
今後の動向② クラウド情報セキュリティの国際標準化
◯ ガイドライン初版を基本に、クラウドサービスの情報セキュリティマネジメントの標準化。
◯ 今後、ISO と ITU-T（国際電機通信連合の電気通信標準化部門）との共同文書として発行予定。
提案
Proposal N9044
(2010.10, ベルリン)
2010
2011
日本提案の採択
NWIP (2011.5, シンガポール)
WD1 (2011.10, ナイロビ)
WD2 (2012.4, ストックホルム)
作業原案(WD)の検討
クラウドサービス利用のための情報セキュリティ
マネジメントガイドライン 初版
ISO/IECの情報セキュリティマネジメントに関する専門部会
(JTC1 / SC27 / WG1)で検討が進む
WD3 (2012.10, ローマ)
前回のインチョン会議では、
WD4 (2013.4, ソフィア)
• 参加国： 日本、米国、欧州、アジア諸国等 （１２カ国、２５名）
WD5 (2013.10, インチョン)
2013
～2014
委員会案(CD)の検討
• 日本、米国、カナダ、イギリス、スウェーデンから積極的な
意見が出される。
共同文書化
ITU-T
国際電気通信連合の電機通信標準化部門
2015
国際規格[分野別指針]
ISO/IEC 27017 : 2015
管理策集 ISO/IEC 27002 と、クラウド固有の管理策 ISO/IEC 27017 を合わせて認証に適用
26