月別アーカイブ: 2015年3月

第10回CSA勉強会「ISO/IEC27001:2013とISO/IEC27017の重要なポイントの解説」

2015年3月27日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

第10回CSA勉強会は、工学院大学の山﨑哲氏に、ISMSの基準となるISO/IEC27001:2013の改訂における重要ポイントと、クラウドサービス事業に大きな影響を与えるクラウドセキュリティの管理策体系であるISO/IEC27017(今年秋に正式発行予定)の要点について解説していただきました。
27001については、JIS規格が出されたのが2014年3月であり約1年を経過しているにも関わらず、2013についてほとんど勉強していませんでした。したがって、今回の勉強会は私にとって非常に有意義なものとなりました。また、27017に関しては、今年の10月に規格化されるようで、また、クラウドセキュリティに関わっているものとして、こちらも有意義な最新情報をいただくことができました。
非常に中身の濃い、ボリュームのある内容でしたので、ここでは概要と印象に残ったことについて書いていきます。かなり私見も入っていますし、間違い、勘違い、認識不足もあると思います。ぜひ、このブログにコメントを書き込んでいただいて、いろいろと教えていただければと思います。よろしくお願いします。

  1. ISO/IEC27001:2013の改訂のポイント
    27001の改訂内容として、主に以下の3点があげられます。

①      ISMSの意義として、経営陣の目的・目標を要求事項とし、経営陣の方針から管理策への展開が規定されています。また、CISO(トップマネージメント)の設置も規定され、情報セキュリティを統括することが求められています。
情報セキュリティ管理は、経営陣の支持のもとに進めるというのが大原則で、これにより経営とセキュリティ管理の一体化が図られることが必要ですが、なかなか実践できている企業は少ないと思われます。セキュリティ管理プロセスにおいても、まず最初に、acknowledgementということで、経営陣の認識および支持を取りつけることが必要ですが、実際には経営陣の支持を得ることが難しい(そのための方法もあまり確立されていない)というのが現状です。これを27001:2013では、CISOを中心とした経営陣による目的・目標の設定を規定することで、経営とセキュリティが一体となった取り組みができるようになりました。セキュリティについて経営陣主導の体制が整えられることで、望ましい状況になっていくことが期待できます。

②      マネージメントシステム企画の共通化、用語の共通化が行われています
27001:2013では、マネージメントシステム(MSS)企画を共通化することで、統合的なセキュリティの構築を行えるようにしています。すべてのMSS規格に共通の目次を持たせることで統一して扱えるようになっています。また、用語の統一も図られ、27000の用語集をもとに統一させています。
この中で、リスクに対する定義が改訂され、「リスクを、目的に対する不確かさの影響」とし、組織の状況の理解に基づいてリスクアセスメントを行う形になりました。これに伴い、リスク値の定義も変更され、今までの「リスク値 = 資産x脅威x脆弱性」が、「リスク値 = 結果x起こりやすさ」として定義されることになりました。「結果: 目的に影響を与える事象の結末」、「起こりやすさ:何かが起こる可能性」ということで、情報セキュリティの目的および計画策定に基づいたリスク判断ということになるようです。今までの定義に基づいてリスク値の説明を行ってきたものにとっては、新しい定義を腹に落とすことが必要になります。また、リスク対応も、今までの4つの手法から7つの手法に変更されており、この新しい定義の理解も必要になってきます。

③      分野別ISMSを確立するための国際規格となっています
27001:2013でもう1つの大きな点は、Sector specific control set standardということで、分野別のISMS体系にしたことです。これにより、一般的な27001と分野別の基準を合わせて、分野対応のISMS認証を行うようになりました。たとえば、後で述べますが、クラウドセキュリティに関しては、27001(generic)+27017でクラウドセキュリティ分野のISMS認証が取得できることになります。

このように、27001:2013では、「経営陣と管理者・従業員とのパイプ役となる情報セキュリティ目的・目標を設定する」ことで、「経営陣と管理者・従業員が、情報セキュリティ目的・目標を共有することでコミュニケーションギャップをなくす」ことができるように改訂されています。今までは、このギャップがさまざまなセキュリティ問題の根底にありましたが、この改訂でかなり解消されることが期待できますし、CISOの設置により、より明確な責任のもとセキュリティプロセスが運営できることが期待できます。特に、日本においては、CISOの設置と合わせて、より経営陣の支持を得たセキュリティプロセスが展開できるようになることが期待できます。

  1. 分野別ISMS規格”ISO/IEC27017”の意義と解説
    クラウドセキュリティにおいては、「クラウドの課題を解決するためには、基準(Criteria)に基づいて、クラウドの利用者と事業者の間で、(国際環境において)共通の理解を実現するための仕組みの確立が必要である」ということから規格化が行われています。今年の10月には、公開されるということです。また、CSAもこの規格の作成には非常に協力しているということです。今後、27017、CCM(Cloud Control Matrix)との関係等、CSA、ひいては、CSAジャパンも幅広く活動していく必要があります。ここでは、27017のいくつかのポイントをあげていきます。

①      27017の適用範囲(Scope)
Cloud Service Provider(事業者)、Cloud Service Customer(利用者側組織)、および、Cloud Service User(実際にクラウドを使う人)を適用範囲とし、Cloud Service Partner(開発者、ブローカー、監査)は、今のところ適用範囲とはしないということです。

②      27001の分野別標準及び分野別管理策となります
27017は、27002をベースとしたクラウドサービスの情報セキュリティコントロールとなります。したがって、章立ては27002と同じになります。また、Annexにクラウド特有のコントロールが追加されています。

③      クラウドコンピュー ティングの用語
用語については、SC38:ISO/IEC17788を用いるということで、NISTの定義などとは違ってきています。
特に、クラウドのモデルに関しては、NISTのサービスモデルと展開モデルとは違い、Cloud Service categoryとCloud Capability Typeを用いた分類となるようです。詳細は省きますが、CSAもNISTのモデルに基づいて定義していますので、今後ガイダンスを含めて影響を受けるものと思われます。

④      クラウド利用者、クラウド事業者双方の視点
27017の管理策であるImplementation guidanceがテーブル形式となっており、それぞれの項目に対して、利用者(CSC),事業者(CSP)のどちらあるいは両方が対応するかどうかがまとめられるようになっています。これにより、利用者、事業者双方の視点でガイダンスを見ていくことができるようになります。

以上、本当に簡単ですが、勉強会の内容の報告とさせていただきます。

CSAプレスリリース”CSAの新たな調査レポート:金融はクラウド戦略を模索中”-ハイブリッドクラウドが好まれ、データセキュリティとセキュリティ管理が最大の関心事-

2015年3月11日
日本クラウドセキュリティアライアンス事務局長
勝見 勉

CSAのFinancial Services WGの調査結果報告が公表され、そのアナウンスがありました。以下にプレスリリース全文の日本語訳を紹介します。

3月5日シアトル発表:金融機関の多くが徐々にクラウドに保存するようになっている。これが、CSAの新たな調査「金融部門でのクラウドの利用について」で判明した主な点です。調査対象は全世界の銀行、保険および投資機関です。調査に よれば、金融部門におけるクラウド利用が少しずつ一般的になってきている中で、確固たる、管理とセキュリティ対策の整った戦略を用意できているのは50% に満たず、それが主たる懸念事項になっています。

「この調査結果は金融サービス産業がクラウド利用をどのように進めているかに ついて、およびクラウドプロバイダがいかに的確にその関心事項と要求項目に対 応できるかについて考えるための洞察に富んでいます。」とCSAのCEO、Jim Reavisは語り、「この結果が、クラウドプロバイダと金融機関が、金融部門での セキュアなクラウドの利用を進めるためのガイダンスとして活用されることを期待しています。」と付け加えました。

調査結果によれば、61%がクラウド戦略を正規に整える段階にあり、39~47%がインハウスのIT、プライベートクラウド、パブリッククラウドの組み合わせを利用しようと考え、18%がプライベートクラウドの利用を考えています。大部分をパブリッククラウドにホストしてもらう予定だとした回答者はゼロでした。調査結果ではまた、顧客が電子的手段で取引をする度合いが高いほど、クラウドポリシーは緩くなっており、このタイプの金融機関では厳しいポリシーを適用しているのはたった3%でした。

CypherCloud社のクラウド戦略およびセキュリティ担当副社長であるDr. ChenxiWangは以下のように語っています。「回答は全体として金融サービス部門はクラウドサービスにとってたいへん活発な市場となっていることを示しています。この業界では多くの企業がクラウドのパワーを活用しようとしており、クラウドは確固たる位置を占めています。特に、回答者の要望リストのトップを占める監査の有効性とデータ保護対策に対応できるプロバイダーにとっては、成長の余地は大きくあります。」

「金融部門でのクラウドの利用について」調査報告には、米州、EMEA、APACの色々な規模と業態の企業から100を超える専門家の意見を収録しています。クラウドにおける情報保護のリーダーであるCypherCloud社がスポンサーとなったこの調査は、CSAのFinancial Servicesワーキンググループが実施し、金融部門ではいかに異なったクラウドソリューションが実施されているかの状況をマッピングする初めての試みとなりました。この調査のねらいは、金融業界における、クラウドサービスの提供と管理に関する主たる懸念事項を分析し、クラウドサービスの利用を促進することが必要であるということを知るところにあります。

金融サービス企業はまた、クラウドプロバイダーの透明性と監査における自由度を求めており(80%)、これはデータ暗号化の要望(57%)以上となっています。クラウドに移行する動機については、回答者の68%がインフラ能力の拡張性を挙げて第1位、僅差(63%)でプロビジョニング(コンピューティング機能の配備)時間の短縮が続きます。クラウドに移行する場合に利用するサービスや機能では、1位がCRMで46%、アプリケーション開発(45%)、email(41%)が続き、意外にもバックエンド(総務人事経理等)サービス(20%)やバーチャルデスク(14%)より高くなっています。

最後に、クラウドに移行するに際しての規制や法令順守に関する要求では、上位にデータ保護(75%)、コーポレートガバナンス=企業統治(68%)、PCI-DSS(54%)と国による規制(47%)が並びました。

調査ではまた、金融、政府、保険、セキュリティの各意思決定責任者がその組織の中でどのように行動するかについての洞察も得られました。それは最もセキュリティの高いクラウドサービスを組み合わせて標準的なものとして起用すること、どのようなポリシーが最も影響があるかについての判断、ユーザ教育において何が肝要かを把握することです。

報告書の本文は、https://cloudsecurityalliance.org/research/fswg/#_downloadsからアクセスできます。

調査へのフォローアップとして、CSAのFinancial Servicesワーキンググループでは、2015年の活動報告で、金融サービス部門でのクラウドコンピューティングのベストプラクティス(実践規範)に関する懸念と利点を取り上げる予定です。Financial Servicesワーキンググループのリーダは、BBVA社のイノベーション・エンジニアリング・ソフトウェア開発におけるITリスク・不正・セキュリティの責任者であるJuan Franciscoと、Caixa銀行のセキュリティマネージャであるMario Maawadです。ワーキンググループへの参加に関心のある企業や個人は、financila-services-leadership’@’cloudsecurityalliance.orgにご連絡ください(@の前後のクオーテーションを削除してください)。