www.jasa.jp1Copyright2016 Japan Information Security Association All rights reserved

クラウドサービスセキュリティの国際規格～利用者責任と監査の活用～

特定非営利活動法人 日本セキュリティ監査協会

事務局長 兼

JASA-クラウドセキュリティ推進協議会事務局長

公認情報セキュリティ主席監査人

永宮直史

AWS Solution Days20162016/08/31

www.jasa.jp2Copyright2016 Japan Information Security Association All rights reserved

Contents

自己紹介

政府統一基準に見るクラウド利用の基準

ISO/IEC27017を知る

クラウド情報セキュリティ監査制度とは

クラウド利用者が行うべきこと

www.jasa.jp3Copyright2016 Japan Information Security Association All rights reserved

自己紹介

永宮 直史 （ながみやただし）

特定非営利活動法人 日本セキュリティ監査協会事務局長兼 JASA クラウドセキュリティ推進協議会事務局長

公認情報セキュリティ主席監査人

委員 ISO/IEC JTC1 SC27 WG1及びWG4国内委員

クラウドセキュリティコントロール標準化専門委員会委員

www.jasa.jp4Copyright2016 Japan Information Security Association All rights reserved

特定非営利活動法人 日本セキュリティ監査

Japan Information Security Audit Association（JASA）

設 立 2003年10月10日

会 長 土居範久 （慶應義塾大学名誉教授）

会員数 正会員62法人、準会員5法人 (2016年5月25日現在）監査利用企業、IT企業、セキュリティベンダー、監査法人など

事業目的 経済産業省が創設した情報セキュリティ監査制度の運営

1. 普及・促進

2. 監査品質の維持① 監査人の育成

② 品質審査

組織概要（１）

www.jasa.jp5Copyright2016 Japan Information Security Association All rights reserved

組織概要（２）

JASA-クラウドセキュリティ推進協議会（JASAの下部組織）

2013年5月設立

クラウドサービスに対する情報セキュリティ監査制度の適用

会員：クラウド事業者、監査法人、クラウドサービスに関わるコンサルティング企業など

法人会員41、個人会員２

www.jasa.jp6Copyright2016 Japan Information Security Association All rights reserved

JASA-クラウドセキュリティ推進協議会法人会員

1. 株式会社アスラボ2. Amazon Data Services Japan K.K.3. 伊藤忠テクノソリューションズ株式会社4. 株式会社インターネットイニシアティブ5. 株式会社インテック6. ＡＧＳシステムアドバイザリー株式会社7. 株式会社エス・シー・ラボ8. NRIセキュアテクノロジーズ株式会社9. エヌ・ティ・ティ・コミュニケーションズ株式会社10. エヌ・ティ・ティ・コムウェア株式会社11. エヌ・ティ・ティ・ソフトウェア株式会社12. 株式会社エヌ・ティ・ティ・データ13. 株式会社エヌ・ティ・ティピー・シーコミュニケー

ションズ14. グローバルブレインズ株式会社15. 株式会社ケーケーシー情報システム16. KDDI株式会社17. サイボウズ株式会社18. 新日本有限責任監査法人19. 情報セキュリティ株式会社20. 株式会社セールスフォース・ドットコム

21. 株式会社 ソフト技研22. TIS株式会社23. 株式会社ディアイティ24. 株式会社電通国際情報サービス25. 有限責任監査法人トーマツ26. ドコモ・システムズ株式会社27. 西日本電信電話株式会社28. ニフティ株式会社29. 日本アイ・ビー・エム株式会社30. 日本電気株式会社31. 日本電信電話株式会社32. 日本マイクロソフト株式会社33. 株式会社野村総合研究所34. 東日本電信電話株式会社35. 株式会社日立システムズ36. 株式会社日立製作所37. ビットアイル・エクイニクス株式会社38. ＰｗＣあらた監査法人39. 株式会社ファイブドライブ40. 富士通株式会社41. 三菱電機インフォメーションネットワーク株式会社

www.jasa.jp7Copyright2016 Japan Information Security Association All rights reserved

政府統一基準に見るクラウド利用の基準

www.jasa.jp8Copyright2016 Japan Information Security Association All rights reserved

政府統一基準におけるクラウド利用の基準

政府機関でもクラウドサービスの本格利用に向け、利用基準を定める見通し

政府統一基準（改定案）で5つの基準が提示されている

1. 情報の格付けに従ったクラウドサービス利用の判断a. 情報システムセキュリティ責任者は、クラウドサービス（民間事業者が提供するものに限らず、政府が自ら提供するものを含む。以下同じ。）を利用するに当たり、取り扱う情報の格付及び取扱制限を踏まえ、情報の取扱いを委ねることの可否を判断すること。

2. 外国法が適用されるリスクの評価b. 情報システムセキュリティ責任者は、クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委

託先を選定し、必要に応じて委託事業の実施場所及び契約に定める準拠法・裁判管轄を指定すること。

3. サービス中断時・終了時の円滑な業務の移管c. 情報システムセキュリティ責任者は、クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件とすること。

4. 情報流通経路全般にわたったセキュリティ設計・セキュリティ要件d. 情報システムセキュリティ責任者は、クラウドサービスの特性を考慮した上で、クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めること。

5. 監査報告の内容や認証制度の適用状況を踏まえた事業者の信頼性の評価

e. 情報システムセキュリティ責任者は、クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断すること。

（出典）政府機関における情報セキュリティ統一基準（案）P28

www.jasa.jp9Copyright2016 Japan Information Security Association All rights reserved

監査等に関する記載（ガイドP118）

参考となる認証には、ISO/IEC 27017 によるクラウドサービス分野におけるISMS 認証の国際規格があり、そこでは「クラウドサービス事業者が選択する監査は、一般的には、十分な透明性をもった当該事業者の運用をレビューしたいとする利用者の関心を満たすに足りる手段とする」ことが要求されており、これらの国際規格をクラウドサービス事業者選定の際の要件として活用することも考えられる。その他、日本セキュリティ監査協会のクラウド情報セキュリティ監査やクラウドサービス事業者等のセキュリティに係る内部統制の保証報告書であるSOC 報告書（Service Organization Control Report）を活用することも考えられる。

２つのキーワード

ISO/IEC27017

クラウド情報セキュリティ監査

www.jasa.jp10Copyright2016 Japan Information Security Association All rights reserved

ISO/IEC27017を知る

www.jasa.jp11Copyright2016 Japan Information Security Association All rights reserved

ISO/IEC27017（その１）

必要性

クラウドサービスでは、システムの重要部分を他社に委ねることがリスク

クラウド提供者から、情報セキュリティに関する情報や機能提供がないと利用者のISMSが完結しない

クラウド提供者から、情報セキュリティに関する情報や機能提供を標準化することで、提供者と利用者の円滑なコミュニケーションができる。

提供者側はサービスの一環として、利用者の情報セキュリティを考慮するのであるが、それを情報セキュリティマネジメントのわく組みで整理したものがISO/IEC27017

利用者も相応の責任を負う

構成

構成は基本的にISO/IEC27002（情報セキュリティコントロール）に合わせた

実施の手引きと付属書の管理策・実施の手引きがクラウド固有の記載

実施の手引きにおいて、利用者と事業者を対比させる形式により、提供者が情報や機能を提供し、利用者がそれを確認するという構図を示している

www.jasa.jp12Copyright2016 Japan Information Security Association All rights reserved

ISO/IEC27017（その２）

利用 ISO/IEC27017を利用する前提は、ISMS（ISO/IEC27001）があること＊認証の有無は問わない

クラウドを利用（提供）する場合の新たなリスクを分析し、必要な対策を行う

ISO/IEC27017は、ISO/IEC27002の内容をすべて包含しているという前提なので、ISO/IEC27002もクラウドに関わるリスク分析を受けて、確認しておくことが必要（例えば、ベンダーロックイン対策）

クラウド利用の際の対策は、ISO/IEC27001、同27002のほか、27036-4などの関連規格やその他の基準等も合わせて活用することが必要

クラウド提供者に対する監査は、信頼の基盤であり、利用者のISMSの前提。透明性などが確保されているかを確認する必要がある

www.jasa.jp13Copyright2016 Japan Information Security Association All rights reserved

クラウド情報セキュリティ監査制度について

www.jasa.jp14Copyright2016 Japan Information Security Association All rights reserved

クラウド情報セキュリティ監査

クラウドサービスに対する監査として、サービスの特質に合ったクラウド情報セキュリティ監査制度を開発 SOC監査（SOC2、SOC3）は、中立性が高い直接報告方式

クラウド情報セキュリティ監査は、技術的な評価の的確性や負担の軽減を狙った間接報告方式

特徴は以下のとおり サービスごとに信頼性を表明

リスクごとに対策の実施状況を確認

クラウドサービスに関するセキュリティの国際標準ISO/IEC27017を先取

情報セキュリティガバナンス・マネジメント・コントロールの確立を対象に監査

標準的な監査を定めることで、監査の品質を確保

クラウドサービスの良さを生かす効率的な監査の実施

標準化した結果、膨大な情報を整理する必要があるため、ツールを開発 基本言明要件が約800項目

各項目ごとに16の監査手続を定義

リスク分析から監査所見までのプロセスごとの情報（約120）を記載

www.jasa.jp15Copyright2016 Japan Information Security Association All rights reserved

クラウド利用者が行うべきこと

www.jasa.jp16Copyright2016 Japan Information Security Association All rights reserved

政府統一基準を参考として

1. リスクに応じた利用と対応

1. 情報の格付けに従ったクラウドサービス利用の判断

2. 外国法が適用されるリスクの評価

3. サービス中断時・終了時の円滑な業務の移管

4. 情報流通経路全般にわたったセキュリティ設計・セキュリティ要件

2. 監査報告の内容や認証制度の適用状況を踏まえた事業者の信頼性の評価

事業者およびサービスの継続性の確認

クラウドサービスに対する情報セキュリティ監査による報告書の確認（契約前）

証拠の確認

条件を満たした独立した監査

自己評価の場合の監査プロセスと結果

（認証制度については、認証審査の限界を考慮）

3. 利用者が負うべき責任を果たすこと

www.jasa.jp17Copyright2016 Japan Information Security Association All rights reserved

利用者責任を果たす（ISO/IEC27017から）

クラウド提供者との責任分解の確認と対応責任境界の確認と利用者が担うリスクの把握

クラウド情報セキュリティポリシーの確立

必要に応じてオプションのセキュリティサービスの選択

クラウド利用に対するガバナンスの確立 クラウド利用に関わる責任と役割の設定

システムライフサイクルにおける組織的オーソライズ

情報セキュリティの運用 クラウド提供者からの情報の確認と対応（監査を含む）

クラウドに関わるモニタリング

法令、バックアップ等のリスク対応

www.jasa.jp18Copyright2016 Japan Information Security Association All rights reserved