海外に学ぶSMBのクラウドセキュリティ基礎(総論編)(1)

CSAジャパン関西支部および健康医療情報管理ワーキンググループでは、医療・ライフサイエンス業界を対象として、海外最新クラウド関連事例の紹介活動を行ってきたが、今回より、同様の課題をかかえる中堅中小規模の製造業やスタートアップ企業に対象を拡張して、CSAのグローバル展開から生まれた知見や実績をベースとして、基礎的なクラウドセキュリティプラクティスの啓発活動を紹介する。

シンガポール政府とCSAが企業規模別クラウドセキュリティガイドを開発

2023年10月17日、シンガポールサイバーセキュリティ庁とクラウドセキュリティアライアンスは、サイバーセキュリティ庁が開発した国家サイバーセキュリティ標準規格である「サイバーエッセンシャルズ」および「サイバートラスト」をサポートするツールとして、2種類の「クラウドセキュリティコンパニオンガイド」を策定したことを発表した。(https://www.csa.gov.sg/News-Events/Press-Releases/2023/launch-of-cloud-security-companion-guides-for-organisations)。本ガイドは、シンガポールサイバーセキュリティ庁(CSA)のWebサイトより無料でダウンロードできる。

このクラウドセキュリティコンパニオンガイドに先立ち、シンガポールサイバーセキュリティ庁は、2022年3月29日、「サイバーセキュリティ法」(2018年3月2日施行)に準拠した新しいサイバーセキュリティ認証プログラムを発表していた(https://www.csa.gov.sg/News-Events/Press-Releases/2022/csa-launches-new-cybersecurity-certification-programme-to-recognise-enterprises-with-good-cybersecurity-practices)。この認証プログラムは、サイバーハイジン対策を実施している中堅中小企業(SMB)などのクラウドユーザーを対象としたサイバーエッセンシャルズマークと、包括的なサイバーセキュリティ対策およびプラクティスを有する多国籍企業(MNC)などの大企業やクラウドサービスプロバイダーを対象としたサイバートラストマークから構成される。

二つのサイバーセキュリティ認証マークは、特定の製品・サービスのサイバーセキュリティを認証するものではなく、むしろ組織レベルで採用されたサイバーセキュリティ対策を認証するものである。これらの認証マークは、シンガポール企業の多様な組織形態や運用ニーズを考慮して、認証実務者、技術プロバイダー、業界団体などの業界パートナーとの協議を経て開発された。

これらのサイバーセキュリティ認証マークを踏まえて今回発表されたクラウドセキュリティコンパニオンガイドは、Amazon Web Services、Google Cloud、Microsoftとのパートナーシップに基づいて開発されたものであり、各プロバイダーは、顧客との体験に基づくインサイトを提供し、関連する成果や統計に寄与して、コンパニオンガイドのコンテンツを検証している。

本コンパニオンガイドは、SMBなどのクラウドユーザーがクラウド特有のリスクと責任をよく理解し、それに対する必要な対策を講じるためのアドバイスを提供している。これには、クラウドセキュリティにおける役割についての従業員のトレーニングや、クラウドで安全に操作する方法、クラウドサービスのインベントリを追跡・監視する仕組みの実装などが含まれている。

企業がクラウドを利用する際に混乱しがちなのが、クラウドユーザーとしての自身の責任とクラウドプロバイダーの責任分担である。オンプレミス型システム導入の場合、組織は自社のサイバーセキュリティに完全に責任を持つ。他方、クラウドサービス導入の場合、責任がユーザーとプロバイダーの間で共有されるが、ユーザーが責任を持つ領域を完全には把握していない可能性がある。これによって、設定ミスや悪意のある攻撃、データ侵害の可能性を高める場合があるとしている。

SMBフォーカスのサイバーエッセンシャルズ向けクラウドセキュリティ管理策

コンパニオンガイドのうち、「サイバーエッセンシャルズマーク: クラウドセキュリティコンパニオンガイド」(https://www.csa.gov.sg/docs/default-source/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cloud-security/cloud-security-companion-guide-cyber-essentials.pdf)は、SMBを対象としており、責任共有モデルを使用して、ユーザー組織とプロバイダーがそれぞれクラウド環境を保護するために何を担当する必要があるかを理解するのに役立つ構成となっている。具体的には、以下のような構成となっている。

  1. イントロダクション
  2. 対象読者
  3. 本文書のスコープ
  4. 謝辞
  5. サイバーエッセンシャルズ向けのクラウドの責任共有モデル (SRM)
  6. 参考文献
    附表1 サイバーエッセンシャルズ向けのクラウド固有の実装に関するガイダンス

サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイドでは、「サイバーエッセンシャルズマーク向けサイバーセキュリティ認証」(https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-certification-scheme-for-organisation/cyber-essentials/certification-for-the-cyber-essentials-mark)より、以下のようなセキュリティ管理項目を採用した上で、クラウド固有の管理策(要求事項および推奨事項)を設定している。

[カテゴリー:資産]
・人々 – 従業員に、防衛の最前線となるノウハウを装備させる
・ハードウェアとソフトウェア – 組織が何のハードウェアとソフトウェアを所有しているかを知り、それらを保護する
・データ – 組織が何のデータを持っているのか、どこにあるのか、データをセキュア化しているのかについて知る
[カテゴリー:セキュア化/保護]
・ウイルスおよびマルウェアの保護 – ウイルスやマルウェアのような悪意のあるソフトウェアから保護する
・アクセス制御 – 組織のデータやサービスへのアクセスを制御する
・セキュアな構成 – 組織のハードウェアやソフトウェアのために、セキュアな設定を使用する
[カテゴリー:アップデート]
・ソフトウェア・アップデート – デバイスやシステム上のソフトウェアをアップデートする
[カテゴリー:バックアップ]
・不可欠なデータのバックアップ – 組織の不可欠なデータをバックアップして、オフラインに保存する
[カテゴリー:対応]
・インシデント対応 – サイバーセキュリティインシデントを検知し、対応して、復旧の準備をする

たとえば、上記のうち、サイバーエッセンシャルズマークの「[カテゴリー:資産]・人々 – 従業員に、防衛の最前線となるノウハウを装備させる」では、以下のような要求事項が設定されている。

組織は、すべての従業員が、セキュリティプラクティスや期待される行動を意識していることを保証するために、サイバーセキュリティ意識向上トレーニングを設定すべきである。組織は、この要求事項を様々な方法で充足する可能性がある(例. 従業員または関与する外部トレーニング プロバイダー向けに自己学習教材を提供する)。

これを受けて、サイバーエッセンシャルズ向けコンパニオンガイドでは、「エンドユーザー組織(SaaSカスタマー)の責任」として、以下のような要求事項を設定している。

  • エンドユーザー組織(SaaSカスタマー)は、単独で責任を負う

[なぜこれが重要か]

  • ますますビジネスユーザー(IT部門と対照的に)は、SaaSアプリケーションにアクセスして管理しており、SaaSのセキュリティを管理するために、適切な装備を備えていない可能性がある。
  • ヒューマンエラーは、クラウドリスクの主要な要因の一つとして広く認識されている。

[組織は何をすべきか]

  • 従業員向けの一般的なサイバー意識向上トレーニングの範囲を越えて、組織は、SaaSを管理するビジネスユーザーが、なぜクラウドセキュリティにおいて重要な役割を果たすのか、どのようにしてクラウド上でセキュリティを運用できるのかについて理解するためのトピックを含めるべきである。

また、「クラウドプロバイダー(SaaSプロバイダーおよびクラウドインフラストラクチャプロバイダーの双方)」の責任として、以下のような要求事項を設定している。

  • 主要クラウドプロバイダーは、ベストプラクティスを公開し、クラウドカスタマーに対してよりよいサポートを提供する。

このように、セキュリティ管理項目ごとに、責任共有モデルにおけるエンドユーザー組織(SaaSカスタマー)、SaaSプロバイダー、クラウドインフラストラクチャプロバイダーの関係性を明確化した点が、シンガポールのサイバーエッセンシャルズ向けコンパニオンガイドの特徴である。

なお、サイバーエッセンシャルズ向けコンパニオンガイドの参考文献として、以下のようなドキュメントを挙げている。

  1. CIS Controls Cloud Companion Guide v8 by Center for Internet Security (CIS)
    https://www.cisecurity.org/insights/white-papers/cis-controls-v8-cloud-companion-guide)
  2. ISO/IEC 27017- Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services by ITU-T
    https://www.iso.org/standard/43757.html
  3. Top Threats to Cloud Computing by Cloud Security Alliance
    https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-deep-dive
  4. SaaS Governance Best Practices for Cloud Customers by Cloud Security Alliance
    https://cloudsecurityalliance.org/artifacts/saas-governance-best-practices-for-cloud-customers
  5. Cloud Incident Response Framework – A Quick Guide by Cloud Security Alliance
    https://cloudsecurityalliance.org/artifacts/cloud-incident-response-framework-a-quick-guide
  6. 2022 SaaS Security Survey Report by Cloud Security Alliance and Adaptive Shield
    https://cloudsecurityalliance.org/artifacts/saas-security-and-misconfigurations-report
  7. Cloud Security Foundations, Frameworks and Beyond by SANS Institute
    https://www.sans.org/white-papers/cloud-security-foundations-frameworks-beyond/
  8. The State of SaaS Sprawl by Productiv Inc
    https://productiv.com/resources/the-state-of-saas-sprawl/
  9. 2023 State of SaaSOps by BetterCloud, Inc
    https://www.bettercloud.com/monitor/the-2023-state-of-saasops-report/
  10. Cloud and Threat Report: Global Cloud and Web Malware Trends by Netskope
    https://www.netskope.com/wp-content/uploads/2023/05/cloud-and-threat-report-global-cloud-and-web-malware-trends.pdf

CSA CCMを適用したサイバートラスト向けクラウドセキュリティ管理策

他方、サイバートラスト向けのクラウドセキュリティコンパニオンガイドである「CSAサイバートラストとクラウドセキュリティアライアンス・クラウドコントロールマトリクスv4の間のクロスマッピング」(https://www.csa.gov.sg/docs/default-source/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cloud-security/cloud-security-companion-guide-cyber-trust.pdf)は、より大規模またはデジタル化が進んだ組織を対象としており、サイバートラストマークの各サイバーセキュリティ対応準備ドメイン(サイバーガバナンスと監督、サイバー教育など)をクラウドセキュリティアライアンスのCloud Controls Matrix(CCM)v4にマッピングしている。このマッピングを通じて、企業がサイバートラストマークを取得するために必要な管理策の実行を容易にするためのレファレンスを提供する。

サイバートラスト向けのコンパニオンガイドでは、企業がサイバートラストマークを適用すべき理由として、以下のような点を挙げている。

  • 堅牢なサイバーセキュリティを有する信頼されたパートナーとして、組織を認識するための優れたマークを意味する
  • 国際的なサイバーセキュリティ基準(例:ISO/IEC 27001)への道を提供する
  • 組織のサイバーセキュリティリスクと対応準備状況を評価するためのガイド付きアプローチを提供する
  • 過剰投資することなく組織のニーズに応じたリスクベースのアプローチを採用する
  • どのサイバーセキュリティ対応準備段階に自分の組織が属しているか?
  1. そして、サイバートラスト向けコンパニオンガイドは、以下のような構成になっている。
  2. イントロダクション
  3. 対象読者
  4. 本文書のスコープ
  5. 謝辞
  6. サイバートラスト向けのアプローチ

参考文献
附表I. サイバートラストマークのCCMv4へのマッピングを描写する可視化
附表II. サイバートラストマークの対応準備段階のCCMv4へのマッピングを描写する可視化
附表III. サイバートラストマークのCCMv4へのマッピング

 まずサイバートラスト向けコンパニオンガイドでは、シンガポール情報通信メディア開発庁(IMDA)の「デジタルアクセラレーションインデックス(DAI)」(https://www.imda.gov.sg/how-we-can-help/digital-acceleration-index)のデジタル成熟度指標に準拠して、以下の通り、5つのサイバーセキュリティ対応準備段階を設定している。

  • 「Advocate」: 先導的なデジタル成熟度を有する組織、大規模組織またはそれらで活動している人/規制セクター向けのプロバイダー
  • 「Performer」: “Performer”のデジタル成熟度を有する組織、大・中堅規模組織
  • 「Promoter」: “Literate”のデジタル成熟度を有する組織、中堅・大規模組織
  • 「Practitioner」: “Starter” のデジタル成熟度を有する組織、中堅・小規模組織
  • 「Supporter」: “Starter” のデジタル成熟度を有する組織、”デジタルネイティブ”なスタートアップを含む小規模・マイクロエンタープライズ

その上で、サイバートラスト向けコンパニオンガイドは、以下の通り、サイバーセキュリティ対応準備ドメインを設定している。

[サイバーガバナンスと監視]

1. ガバナンス
2. ポリシーと手順
3. リスクマネジメント
4. サイバー戦略
5. コンプライアンス
6. 監査

[サイバー教育]

7. トレーニングと意識向上*

[情報資産保護]

8. 資産管理*
9. データ保護とプライバシー*
10. バックアップ*
11. 私物端末の業務利用(BYOD)
12. システムセキュリティ*
13. ウイルス対策/マルウェア対策*
14. セキュアソフトウェア開発ライフサイクル(SDLC)
[セキュアなアクセスと環境]
15. アクセス制御*
16. サイバー脅威管理
17. サードパーティリスクと管理
18. 脆弱性評価
19. 物理的/環境的セキュリティ
20. ネットワークセキュリティ

[サイバーセキュリティレジリエンス]

21. インシデント対応*
22. 事業継続/災害復旧

 上記のうち、*が付いている項目は、サイバーエッセンシャルズマークの管理策と共通である。このように、サイバートラストマークとサイバーエッセンシャルズマークは、一貫性のある管理策構成となっている。

サイバートラスト向けコンパニオンガイドでは、縦軸にサイバーセキュリティ対応準備ドメインを据え、横軸にCCMv4のコントロール項目を据えて、マッピングした結果を整理し、それらの関係性を可視化している。

なお、サイバートラスト向けコンパニオンガイドの参考文献として、以下のようなドキュメントを挙げている。

グローバルクラウドサービスプロバイダーとの連携による成果物

加えて、コンパニオンガイドの開発における密接なパートナーシップの一環として、Amazon Web Services、Google Cloud、Microsoftも、以下の通り、サイバーエッセンシャルズおよびサイバートラストマークに記載されている対策に基づいて構成されたプロバイダー固有のガイドを開発・公開している。

シンガポールの場合、ここまで紹介した汎用的なクラウドセキュリティ関連プログラムおよび関連ツール類を踏まえた上で、金融管理庁(MAS)や保健科学庁(HAS)などが制定した業種別の法規制・ガイドライン類に対応していく必要がある。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*