Embed Size (px)
Citation preview
02/06/2017
1
BSIグループジャパン株式会社
APAC ISO/IEC 27001 テクニカルエキスパート
南 孝伸
Copyright © 2017 BSI. All rights reserved
CSA STAR認証とISMSクラウド セキュリティ認証(ISO/IEC 27017) ー 信頼の証、選ばれるクラウドサービスの指標とは
英国王室憲章 (ロイヤルチャーター)
BSI(英国規格協会)の概要
02/06/2017
Copyright © 2017 BSI. All rights reserved 2
• 1901年設立(世界最古の国家規格協会)
• Royal Charter(英国王室憲章授与)
• ISO及びCENの設立メンバー
• 拠点:28カ国65都市
• 1999年に日本法人設立
• 主なサービス:
• 規格策定サービス
• 規格関連ツールの提供
• マネジメントシステム審査・認証
• 医療機器など製品の試験・認証
• トレーニングサービス
BSI(英国規格協会)の規格策定の実績
02/06/2017
Copyright © 2017 BSI. All rights reserved 3
PAS (公開仕様書)
BS (英国国家規格)
ISO (国際規格)
BS 5750 ⇒ ISO 9001 品質
BS 7750 ⇒ ISO 14001 環境
BS 7799 ⇒ ISO/IEC 27001 情報セキュリティ
BS 15000 ⇒ ISO/IEC 20000 ITサービス
BS 8800 ⇒ OHSAS 18001 (ISO 45001)
労働安全衛生
PAS 56 ⇒ BS 25999 ⇒ ISO 22301 事業継続
PAS 77 ⇒ BS 25777 ⇒ ISO/IEC 27031 ICT事業継続
PAS 220 ⇒ ISO/TS 22002-1 食品安全
PAS 2050 ⇒ ISO 14067 カーボンフットプリント
PAS 55 ⇒ ISO 55001 資産管理
クラウドセキュリティ構築に際して直面する問題
02/06/2017
Copyright © 2017 BSI. All rights reserved 4
クラウドセキュリティを維持・向上する仕組みを構築したいが、 どうすればよいかわからない・・・
• ISO/IEC 27001は役に立つのか?
• ISO/IEC 27017とは何か?
• CSA Cloud Control Matrix (CCM)をどのように活用すべきか?
• 利用者の期待に応えることはできるのか?
日本で利用可能なクラウドセキュリティ関連のISO規格及び認証制度
02/06/2017
Copyright © 2017 BSI. All rights reserved 5
規格番号 規格タイトル 認証制度 認証対象の サービスモデル
ISO/IEC 27017:2015
ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
JIPDEC ISMSクラウドセキュリティ認証 ※ISO/IEC 27001 認証が必須
CSC/CSP
ISO/IEC 27018:2014
Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
非認定認証(BSI及びその他認証機関) ※ISO/IEC 27001 認証が必須
CSP (PII processors in public clouds)
CCM Version 3.0.1
Cloud Controls Matrix CSA STAR認証 ※ISO/IEC 27001 認証が必須
CSP
クラウドセキュリティ/セキュリティに関する認証と特徴
02/06/2017
Copyright © 2017 BSI. All rights reserved 6
STAR CCM 3
ISO/IEC 27017:2015
ISO/IEC 27001:2013
(ISO/IEC 27002:2013)
汎用性
具体的な実践
ISO/IEC 27018: 2014
クラウド特化
情報セキュリティマネジメントシステム 35の管理目的及び114管理策(汎用的) 認定された認証機関による適合性審査
クラウドサービスにおける情報セキュリティリスクの管理 ガイドライン ISO/IEC 27001の管理策に対応した37の管理策と 7の拡張管理策(CSC及びCSPが利用) 認定された認証機関による適合性審査
パブリッククラウドのPII保護における情報セキュリティ リスクの管理ガイドライン ISO/IEC 27001の管理策に対応した16の管理策とISO/IEC 29100のプライバシー原則に対応した25の 拡張管理策(パブリッククラウドでPIIを処理するCSPが利用) 認証機関の非認定による適合性審査
Cloud Controls Matrix (CCM) CSAガイダンスの16のドメインに則したクラウドサービスにおける133の情報セキュリティ仕様(CSPが利用) CSAに認可された認証機関によるSTAR成熟度審査
6
クラウドコンピューティングのリスク領域
02/06/2017
Copyright © 2017 BSI. All rights reserved 7
Cloud Governance
Cloud Services Administr
ation
Cloud User
Access
Cloud Infrastructure Security
Tenancy and Customer Isolation
Cloud Operations Management
供給者 顧客
※ SS 584:2015+C1:2016 SINGAPORE STANDARD – Specification for multi-tiered cloud computing securityから引用
AAC(監査保証とコンプライアンス) GRM(ガバナンスとリスク管理) HRS(人事) MOS(モバイルセキュリティ) SEF(セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジックス)
STA(サプライチェーンの 管理、透明性、説明責任)
BCR(事業継続管理と運用レジリエンス) CCC(変更管理と構成管理) DCS(データセンタセキュリティ) MOS(モバイルセキュリティ)
IAM(アイデンティティとアクセス管理) MOS(モバイルセキュリティ)
AIS(アプリケーションとインターフェースセキュリティ) EKM(暗号化と鍵管理) IVS(インフラと仮想化のセキュリティ) IPY(相互運用性と移植容易性) MOS(モバイルセキュリティ) TVM(脅威と脆弱性の管理)
A.5(情報セキュリティポリシー) A.6(情報セキュリティのための組織) A.7(人的資源のセキュリティ) A.16(情報セキュリティインシデント管理) A.18(順守)
DSI(データセキュリティと 情報ライフサイクル管理)
A.9(アクセス制御)
A.9(アクセス制御) A.10(暗号) A.11(物理的及び環境的セキュリティ) A.13(通信のセキュリティ)
A.12(運用のセキュリティ) A.14(システムの取得、開発及び保守) A.17(事業継続マネジメントにおける情報セキュリティの原則)
A.15(供給者関係)
A.8(資産の管理) A.9(アクセス制御)
CLD.9.5.1(仮想コンピューティング環境における分離) CLD.9.5.2(仮想マシンの要塞化)
CCM v3を使った管理策の実装:利用者アクセスの管理
02/06/2017
Copyright © 2017 BSI. All rights reserved 8
ISO/IEC 27017:2015、9.2.2 利用者アクセスの管理では、CSPに次の実施の手引を提供
• クラウドサービスプロバイダは、クラウドサービスカスタマのクラウドサービスユーザのアクセス権を管理する 機能及びそれを利用するための仕様を提供することが望ましい。
• 関連情報:クラウドサービスプロバイダは、第三者のアイデンティティ管理技術及びアクセス管理技術を、提供するクラウドサービス及び関連する管理インターフェースで利用できるように支援することが望ましい。これらの技術は、シングルサインオンとして提供することによって、クラウドサービスカスタマの複数のシステム及びクラウドサービスにまたがる統合及び利用者のアイデンティティ管理を容易にし得るものであり、複数のクラウドサービスの利用も容易にし得る。
業界としての標準は存在すると考えられるが、当該組織がどのような仕様を策定するかは組織が特定した リスクに依存することになる。
CCM v3を使った管理策の実装:利用者アクセスの管理
02/06/2017
Copyright © 2017 BSI. All rights reserved 9
CCM v3のIAMのコントロールドメインでは、利用者アクセスの管理に関して次の仕様を提供:
• IAM-02 資格証明のライフサイクル / プロビジョニング管理
データや組織が所有または管理する実/仮想アプリケーションインタフェース、IT基盤のネットワーク及びシステムコンポーネントにアクセスするすべての社内及び顧客(テナント)ユーザの適切な身元確認、権限付与、アクセス管理を確実に行うために、ユーザアクセスのポリシー及び手順を確立し、これらを補強するための業務プロセス及び技術的対策を実装しなければならない。これらのポリシー、手順、プロセス及び手段には、以下の事項を含めなければならない。
• 職務機能(社内従業員及び臨時従業員の変更、顧客管理によるアクセス、仕入れ先との取引関係、その他の第三者との取引関係など)に基づき最小権限付与原則に沿って定められた、ユーザアカウントの権限付与及び解除を行うための手順ならびにその基準となる役割ならびに職責
• ビジネスケースを考慮した、より高度の保証及び多要素認証用秘密情報の配備(たとえば、管理インタフェース、鍵生成の機能、リモートアクセスなどを利用する場合、職務権限分離の確実な実施、緊急アクセスを行う場合、大規模なリソースを必要とするプロビジニングや地理的に分散した配備を行うような場合、重要なシステムへの人員の冗長配置の場合など)
• マルチテナントアーキテクチャにおける、それぞれのサードパーティー(プロバイダや他のテナントなど)ごとの、データ及びセッションに対するアクセスの隔離に関する事項
• IDの信用性確認、サービス間連携アプリケーション(API)と情報処理の相互運用性(たとえばSSOと認証フェデレーションなどについてのもの)に関する事項
• インスタンス化から破棄に至るまでのアカウント認証用情報のライフサイクル管理に関する事項
• アカウントの認証用情報及びID記憶の最小化または再利用(可能な場合)に関する事項
• データ及びセッションへのアクセスのための認証、許可、アカウンティング(AAA)ルールに関する事項(たとえば暗号化、強力かつマルチファクターの期限付き非共有の認証シークレットを使用するといった規則)
• データおよびセッションへのアクセスのための認証、認可、および課金(AAA)ルールに対する顧客(テナント)のコントロールに対する権限とサポート機能
• 適用される法律、法令または規制への準拠要件への準拠 網羅すべきことがベスト プラクティスとして提供される。
Score 1 to 3 4 to 6 7 to 9 10 to 12 12 to 15
正式な取り組み無し リアクティブ プロアクティブ 改善中 確信
証拠/ 定義
1. コントロールエリアを管理するためのシステムが設置されている証拠があります。
4. コントロールエリアの主要な運用をカバーするために実装されているシステムの証拠があります。必要に応じて、そのシステムは文書化されています。
7. コントロールエリアにおけるすべての日常的な運用をカバーする堅牢なシステムを実装しているという証拠があります。
10.コントロールエリアを管理するためのシステムが、日常的な活動と同様に緊急時の事象を管理することができるという証拠があります。
13. コントロールエリアでの経験に基づいて、コントロールエリアのオーナーは、積極的にベストプラクティスを共有し、組織の他のエリアへの展開をサポートします。
管理
2. 文書化されたシステム、あるいは、許可された作業方法のいずれかが存在するという証拠があります。
5. コントロールエリア全体の責任を理解しているコントロールエリアのオーナーが、明確に特定されています。
8. コントロールエリアが、積極的に監視され、測定され、行動が証拠に基づいて評価されているという証拠があります。
11. コントロールエリアのリスクをどのように管理するか、また、運用をどのように改善するかを決定するために、様々な情報源からの情報が検討されています。
14. コントロールエリアのオーナーは、業界や組織全体からのベストプラクティスを積極的にレビューし、コントロールエリアに適していることを示すことができます。
追従/ 効果的
3. 幅広く認識されている受け入れ可能な作業方法の証拠があります。
6. システムが理解され、日常的に維持されているという証拠があります。
9. コントロールエリアの運用を行う重要な人が、コントロールエリアの日常的な運用を管理するために適切なトレーニングを受けていてスキルを持っているという証拠があります。
12. コントロールエリアの運用を改善する時、さまざまな利害関係者からの情報、監視、システムの測定が考慮されているという証拠があります。
15. コントロールエリアの変更は、組織の戦略的な目標に対して評価されます。
コントロールドメインに対する成熟度の基準
02/06/2017
Copyright © 2017 BSI. All rights reserved 10 出典: CSA STAR認証 ガイダンスドキュメント Cloud Controls Matrixによる監査より抜粋
さらにコントロールドメインでの 実施の程度が成熟度として
評価される。
Copyright © 2017 BSI. All rights reserved 11
ご静聴ありがとうございました。
BSIグループジャパン株式会社(英国規格協会)
TEL:03-6890-1174 e-mail: [email protected]
www.bsigroup.com/ja-JP/
