海外に学ぶSMBのクラウドセキュリティ基礎(総論編)(2)

コメントをどうぞ

総論編(1)に引き続き、CSAのグローバル展開から生まれた知見や実績をベースとする基礎的なクラウドセキュリティプラクティスの啓発活動を紹介する。

サイバートラスト向けクラウドセキュリティ管理策の概要

前回紹介したように、シンガポールサイバーセキュリティ庁(CSA)の「CSAサイバートラストとクラウドセキュリティアライアンス・クラウドコントロールマトリクスv4の間のクロスマッピング」(https://www.csa.gov.sg/docs/default-source/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cloud-security/cloud-security-companion-guide-cyber-trust.pdf)では、シンガポール情報通信メディア開発庁(IMDA)の「デジタルアクセラレーションインデックス(DAI)」(https://www.imda.gov.sg/how-we-can-help/digital-acceleration-index)のデジタル成熟度指標に準拠して、以下の通り、5つのサイバーセキュリティ対応準備段階を設定している。

  • 「Advocate」: 先導的なデジタル成熟度を有する組織、大規模組織またはそれらで活動している人/規制セクター向けのプロバイダー
  • 「Performer」: “Performer”のデジタル成熟度を有する組織、大・中堅規模組織
  • 「Promoter」: “Literate”のデジタル成熟度を有する組織、中堅・大規模組織
  • 「Practitioner」: “Starter” のデジタル成熟度を有する組織、中堅・小規模組織
  • 「Supporter」: “Starter” のデジタル成熟度を有する組織、”デジタルネイティブ”なスタートアップを含む小規模・マイクロエンタープライズ

その上で、サイバートラスト向けコンパニオンガイドは、以下の通り、総計22のサイバーセキュリティ対応準備ドメインを設定している(*が付いている項目は、サイバーエッセンシャルズマークの管理策と共通)。

[サイバーガバナンスと監視]

  1. ガバナンス
  2. ポリシーと手順
  3. リスクマネジメント
  4. サイバー戦略
  5. コンプライアンス
  6. 監査

[サイバー教育]

  1. トレーニングと意識向上*

[情報資産保護]

  1. 資産管理*
  2. データ保護とプライバシー*
  3. バックアップ*
  4. 私物端末の業務利用(BYOD)
  5. システムセキュリティ*
  6. ウイルス対策/マルウェア対策*
  7. セキュアソフトウェア開発ライフサイクル(SDLC)

[セキュアなアクセスと環境]

  1. アクセス制御*
  2. サイバー脅威管理
  3. サードパーティリスクと管理
  4. 脆弱性評価
  5. 物理的/環境的セキュリティ
  6. ネットワークセキュリティ

[サイバーセキュリティレジリエンス]

  1. インシデント対応*
  2. 事業継続/災害復旧

ここで、サイバーセキュリティ対応準備ドメインとCCMv4コントロール項目をマッピングした結果を整理すると、各サイバーセキュリティ対応準備段階には、以下の数のドメインが含まれる。

  • 「Advocate」(大規模組織/プロバイダー):22ドメイン
  • 「Performer」(大・中堅規模組織):19ドメイン
  • 「Promoter」(中堅・大規模組織):16ドメイン
  • 「Practitioner」(中堅・小規模組織):13ドメイン
  • 「Supporter」(小規模・マイクロエンタープライズ):10ドメイン

サイバートラスト向けコンパニオンガイドは、より大規模またはデジタル化が進んだ組織を対象としているが、”デジタルネイティブ”なスタートアップを含む小規模・マイクロエンタープライズを対象とする「Supporter」区分も設けている。IMDAのDAIでは、「Supporter」について、「会社はまだデジタル技術を採用するための一貫した計画を定義していない。ビジネス機能とITは、デジタル関連のトピックでアドホックに協力することがあるが、プロジェクトはより大きな協力なしに独立して設計・実行されている。」と説明している。

「Supporter」の対応準備ドメインとCCMv4コントロール項目の概要

  1. リスクマネジメント

・GRC-02リスク管理プログラム:クラウドセキュリティとプライバシーリスクの特定、評価、所有、処理、および受容のためのポリシーと手順を含む、正式で、文書化され、リーダーシップが支援するエンタープライズリスク管理 (ERM) プログラムを確立する。

  1. コンプライアンス

・GRC-07情報システムに対する規制へのマッピング:組織に適用されるすべての関連する標準、規制、法律/契約、および法定要件を特定し、文書化する。

  1. トレーニングと意識向上*

・HRS-11セキュリティ意識向上トレーニング:組織のすべての従業員に向けたセキュリティ意識向上トレーニングプログラムを確立、文書化、承認、伝達、適用、評価、維持し、定期的にトレーニングの更新を行う。

・HRS-12個人データおよび機微データの意識向上とトレーニング:従業員に、確立されたポリシーと手順、および適用される法律、法令、または規制のコンプライアンス義務の認識と、コンプライアンスを維持するための役割と責任を認識させる。

  1. 資産管理*

・UEM-04エンドポイントのインベントリ:企業データの保存やアクセスに使う全てのエンドポイントをインベントリに保持する。

・DCS-01オフサイト機器の廃棄ポリシーと手順:組織の外部で使用される機器を安全に廃棄するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、および維持する。機器が物理的に破壊されていない場合は、情報の回復を不可能にするデータ破壊手順が適用されるべきである。ポリシーと手順を少なくとも年1回確認して更新する。

・DCS-05資産の分類:組織のビジネスリスクに基づいて、物理的および論理的な資産(アプリケーションなど)を分類して文書化する。

・DCS-06資産のカタログ化と追跡:CSPのすべてのサイトにある関係する物理的および論理的資産を、セキュアなシステム内でカタログ化し追跡する。

・CCC-04承認されていない変更からの保護:組織の持つ資産への承認されていない追加や削除、更新、管理などを制限する。

・DSP-02セキュアな廃棄:業界で認められている方法を用いて、ストレージメディアからデータをセキュアに廃棄し、いかなるフォレンジック手段によってもデータが復元できないようにする。

  1. データ保護とプライバシー*

・DSP-01セキュリティおよびプライバシーについてのポリシーおよび手順:データの分類、保護、取り扱いに関するポリシーおよび手順を、そのライフサイクルを通じて、適用されるすべての法律および規制、基準、およびリスクレベルに応じて確立し、文書化し、承認し、伝達し、適用し、評価し、維持する。少なくとも年1回、ポリシーと手順を見直し、更新する。

・DSP-03データインベントリ:少なくとも機微なデータや個人情報については、データインベントリを作成し、維持する。

・DSP-17機微なデータの保護:機微なデータをライフサイクル全体で保護するためのプロセス、手順、技術的手段を定義し、実施する。

・DSP-19データの所在地:データが処理またはバックアップされる場所を含む、データの物理的な場所を特定および文書化するためのプロセス、手順、および技術的な手段を定義し、実施する。

・UEM-11データ漏洩防止:管理対象のエンドポイントに、データ漏洩防止(DLP)技術を構成し、リスクアセスメントに従ったルールを構成する。

・SEF-07セキュリティ侵害の通知:セキュリティ侵害の通知のためのプロセス、手順、および技術的措置を定義し実装する。適用されるSLA、法令および規制に従い、関連するサプライチェーンの侵害を含む、実際のもしくは想定されるセキュリティ違反を報告する。

・STA-03 SSRMガイダンス:SSRM のサプライチェーンに対する適用可能性に関する詳細情報を 、CSC に SSRM ガイダンスとして提供する。

・STA-09主要なサービスと契約上の合意:CSP と CSC (テナント) の間のサービス契約には、少なくとも次の条項について相互に合意した内容を組み込む必要がある:

  • 提供されるビジネス関係とサービスの範囲、特徴、場所
  • 情報セキュリティ要件 (SSRMを含む)
  • 変更管理プロセス
  • ロギングおよびモニタリング能力
  • インシデント管理とコミュニケーション手順
  • 監査および第三者評価を行う権利
  • サービスの終了条件
  • 相互運用性と移植容易性の要件
  • データプライバシー
  1. バックアップ*

・BCR-08バックアップ:クラウドに保存したデータを定期的にバックアップする。バックアップの機密性、完全性、可用性を確保し、レジリエンスのためにバックアップからのデータ復元を検証する。

  1. システムセキュリティ*

・TVM-01脅威と脆弱性管理ポリシーと手順:脆弱性の悪用からシステムを保護するために、脆弱性を特定、報告、その修復に優先順位をつけるためのポリシーと手順を策定、文書化、承認、周知、適用、評価、および維持する。少なくとも年1回、ポリシーと手順を見直して更新する。

・TVM-03脆弱性の修復スケジュール:特定されたリスクに基づいて脆弱性が特定された場合に、計画された対応と緊急時の対応の両方を可能にするためのプロセス、手順、技術的手段を定義、実施、評価する。

・CCC-01変更管理ポリシーと手順:資産が内部で管理されているか、外部で管理(例:外部委託)されているかに関わらず、アプリケーションやシステム、インフラストラクチャ、設定など、組織が持つ資産の変更に関連するリスクについて、それを管理するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、維持する。 少なくとも年1回はポリシーと手順をレビューし更新する。

・CCC-03変更管理技術:資産が内部で管理されているか、外部で管理(例:外部委託)されているかに関わらず、アプリケーションやシステム、インフラストラクチャ、設定など、組織が持つ資産の変更に関連するリスクを管理する。

・CCC-06変更管理のベースライン:組織の持つ資産に関連するすべての承認された変更について、変更管理のベースラインを確立する。

・DSP-07デザイン段階からのデータ保護とデフォルト設定:セキュリティ・バイ・デザインの原則と業界のベスト・プラクティスに基づいて、システム、製品、およびビジネス・プラクティスを開発する。

・IVS-03ネットワークセキュリティ:事業によって正当化される形態で認証、認可された接続に制限するように、環境間のコミュニケーションをモニタリング、暗号化、制限する。少なくとも年1回構成をレビューし、許可された全てのサービス、プロトコル、ポート、補完的コントロールの文書による正当性を文書化し、構成を支持する。

  1. ウイルス対策/マルウェア対策*

・TVM-02マルウェア対策ポリシーと手順:管理対象資産上のマルウェアから保護するためのポリシーと手順を策定、文書化、承認、周知、適用、評価、および維持する。少なくとも年1回、ポリシーと手順を見直して更新する。

・UEM-09マルウェア対策による検知及び保護:管理対象のエンドポイントに、マルウェア対策による検知および保護に必要な技術やサービスを構成する。

・UEM-10ソフトウェアファイアウォール:管理対象のエンドポイントに、適切に設定したソフトウェアファイアウォールを構成する。

・IVS-09ネットワーク防御:ネットワークベースの攻撃に係る保護、検知、タイムリーな対応のために、プロセス、手順、多層防御技術を定義、実装、評価する。

・UEM-02アプリケーションおよびサービスの承認:組織管理のデータへのアクセスや保存の際、エンドポイントでの使用を許可する、承認済のサービス、アプリケーション、および、アプリケーションの入手先(ストア)の一覧を定義、文書化、適用、評価を行う。

・SEF-07セキュリティ侵害の通知:セキュリティ侵害の通知のためのプロセス、手順、および技術的措置を定義し実装する。適用されるSLA、法令および規制に従い、関連するサプライチェーンの侵害を含む、実際のもしくは想定されるセキュリティ違反を報告する。

  1. アクセス制御*

・IAM-01アイデンティティ およびアクセス管理のポリシーと手順:アイデンティティ およびアクセス管理のポリシーと手順を確立、文書化、承認、周知、実装、適用、評価、および維持する。少なくとも年に1 回、ポリシーと手順を見直して更新する。

・IAM-02強固なパスワードポリシーと手順:強力なパスワードポリシーと手順を確立、文書化、承認、周知、実装、適用、評価、および維持する。少なくとも年 1 回、ポリシーと手順を見直して更新する。

・IAM-03アイデンティティ・インベントリ:システムアイデンティティとアクセスレベルの情報を管理、保存、およびレビューする。

・IAM-05最小権限:情報システムへのアクセスを実装するときは、最小権限の原則を採用する。

・IAM-06ユーザーアクセスのプロビジョニング:データと資産へのアクセスの変更を承認、記録、および伝達するためのユーザアクセスプロビジョニングのプロセスを定義および実装する。

・IAM-07ユーザーアクセスの変更と取り消し:アイデンティティとアクセスの管理ポリシーを効果的に採用して伝達するために、異動者/退職者のアクセスまたはシステムアイデンティティの変更をタイムリーにプロビジョニング解除または変更する。

・IAM-10特権的なアクセスロールの管理:特権的なアクセスロールと権限が限られた期間のみ付与されることを保証するためのアクセスプロセスを定義および実装し、分離された特権アクセスが極大化するのを防ぐための手順を実装する。

・IAM-14強固な認証:システム、アプリケーション、およびデータ資産へのアクセスを認証するためのプロセス、手順、および技術的手段を定義、実装、および評価する。これには、少なくとも特権ユーザーおよび機密データへのアクセスに対する多要素認証が含まれる。システムアイデンティティに対して同等レベルのセキュリティを実現するデジタル証明書または代替手段を採用する。

・IAM-15パスワード管理:パスワードのセキュアな管理のプロセス、手順、および技術的手段を定義、実装、および評価する。

・IAM-16認可メカニズム:データおよびシステム機能へのアクセスが認可されていることを確認するためのプロセス、手順、および技術的手段を定義、実装、および評価する。

・LOG-08ログの記録:関連するセキュリティ情報を含む監査記録を生成する。

・STA-12サプライチェーンにおけるサービスアグリーメント準拠:サプライ チェーン全体のすべての CSP に、情報セキュリティ、機密性、アクセス制御、プライバシー、監査、人事ポリシー、およびサービス レベル要求と適用標準規格に対して、準拠を要求したポリシーを実装する。

・HRS-10機密保持契約:計画された間隔で、データの保護と運用の詳細に関する組織のニーズを反映した非開示/機密保持契約の要件を特定、文書化、およびレビューする。

・DCS-03保護区域ポリシーと手順:オフィス、部屋、施設で安全でセキュアな作業環境を維持するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、および維持する。ポリシーと手順を少なくとも年1回確認して更新する。

・DCS-09保護区域における認証:認可された担当者のみに保護エリアへのアクセスを許可し、すべての入口と出口のポイントを物理的なアクセス制御メカニズムによって制限し、文書化し、監視する。 組織が適切と見なす期間で定期的にアクセス制御記録を保持する。

  1. インシデント対応*

・SEF-02サービス管理ポリシーと手順:セキュリティインシデントの適時な管理のためのポリシーおよび手順を確立、文書化、承認、周知、適用し評価、および維持する。少なくとも年1回、ポリシーと手順をレビューし更新する。

・SEF-03インシデントレスポンス計画:セキュリティインシデントレスポンス計画を策定、文書化、承認、周知、適用、評価、および維持する。本計画には、関連する社内部門、影響を受けるCSC、影響を受ける可能性のあるその他のビジネス上での重要な関係(サプライチェーン等)が含まれるが、これらに限定されない。

「Practitioner」の対応準備ドメインとCCMv4コントロールの追加項目

なお、「Practitioner」(中堅・小規模組織)では、上記10ドメインに、以下の3ドメインが追加される。

  1. 物理的/環境的セキュリティ

・DCS-03保護区域ポリシーと手順:オフィス、部屋、施設で安全でセキュアな作業環境を維持するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、および維持する。ポリシーと手順を少なくとも年1回確認して更新する。

・DCS-15設備の場所:ビジネス上重要な機器を、環境に関するリスクイベントの可能性が高い場所から遠ざける。

・IVS-08ネットワークアーキテクチャの文書化:高リスク環境を特定し文書化する。

・DCS-01 オフサイト機器の廃棄ポリシーと手順:組織の外部で使用される機器を安全に廃棄するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、および維持する。 機器が物理的に破壊されていない場合は、情報の回復を不可能にするデータ破壊手順が適用されるべきである。 ポリシーと手順を少なくとも年1回確認して更新する。

・DCS-02 オフサイト転送承認ポリシーと手順:ハードウェア、ソフトウェア、またはデータ/情報をオフサイトまたは代替場所に再配置または転送するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、および維持する。 再配置または転送要求には、書面または暗号手法により検証可能な承認が必要である。ポリシーと手順を少なくとも年1回確認して更新する。

・DCS-03 (前掲)

・DCS-04 セキュアなメディア輸送ポリシーと手順:物理メディアの安全な輸送のためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、および維持する。ポリシーと手順を少なくとも年1回確認して更新する。

・DCS-05資産の分類:組織のビジネスリスクに基づいて、物理的および論理的な資産(アプリケーションなど)を分類して文書化する。

・DCS-06 資産のカタログ化と追跡:CSPのすべてのサイトにある関係する物理的および論理的資産を、セキュアなシステム内でカタログ化し追跡する。

・DCS-07制御されたアクセスポイント:人員、データ、および情報システムを保護するために、物理的なセキュリティ境界を実装する。管理領域、ビジネス領域とデータのストレージおよび処理施設エリアの間に物理的なセキュリティ境界を確立する。

・DCS-08機器の識別:接続の認証方法として、機器の識別を使う。

・DCS-09保護区域における認証:認可された担当者のみに保護エリアへのアクセスを許可し、すべての入口と出口のポイントを物理的なアクセス制御メカニズムによって制限し、文書化し、監視する。組織が適切と見なす期間で定期的にアクセス制御記録を保持する。

・DCS-10監視システム:許可されていない入場および退場の試行を検出するために、外部境界およびすべての入口と出口のポイントで、データセンタ監視システムを実装、保守、および運用する。

・DCS-12ケーブルのセキュリティ:すべての施設、オフィス、および部屋において、電力および通信ケーブルを傍受、干渉、または損傷の脅威からリスクベースで保護し保証するプロセス、手順、および技術的対策を定義、実装、および評価する。

・DCS-13環境システム:温度と湿度の状態が承認された業界標準範囲内にあることを継続的に監視、維持、およびテストするデータセンタ環境制御システムを実装および保守する。

・DSP-16データの保持と廃棄:データの保持、アーカイブ、削除は、ビジネス要件、適用される法律および規制に従って管理する。

・DSP-19データの所在地:データが処理またはバックアップされる場所を含む、データの物理的な場所を特定および文書化するためのプロセス、手順、および技術的な手段を定義し、実施する。

・DCS-07(前掲)

  1. ネットワークセキュリティ

・IVS-03ネットワークセキュリティ:事業によって正当化される形態で認証、認可された接続に制限するように、環境間のコミュニケーションをモニタリング、暗号化、制限する。少なくとも年1回構成をレビューし、許可された全てのサービス、プロトコル、ポート、補完的コントロールの文書による正当性を文書化し、構成を支持する。

・IVS-09ネットワーク防御:ネットワークベースの攻撃に係る保護、検知、タイムリーな対応のために、プロセス、手順、多層防御技術を定義、実装、評価する。

・IVS-07クラウド環境への移行:サーバー、サービス、アプリケーション、データをクラウド環境に移行する際、セキュアで暗号化されたコミュニケーションチャンネルを使用する。これらのチャンネルは最新の承認されたプロトコルだけを含まなければならない。

  1. 事業継続/災害復旧

・BCR-11設備の冗長性:業界標準に従って、ビジネスクリティカルな機器に対して、合理的な範囲で最小限の離れた場所に独立して冗長機器を配置する。

このように、サイバートラスト向けコンパニオンガイドは、企業のデジタル成熟度や成長度に応じて、優先度の高いサイバーセキュリティ管理策を推奨する形態を採っているのが特徴だ。

サイバーセキュリティ教育面では、2024年7月15日、シンガポールサイバーセキュリティ庁(CSA)とシンガポール国立大学(NUS)が連携して、サイバーSGタレント・イノベーション・成長(TIG)コラボレーションセンターを設立したことを発表し、アカデミアとの連携を強化している(https://www.csa.gov.sg/News-Events/Press-Releases/2024/opening-of-cybersg-talent–innovation-and-growth-(tig)-collaboration-centre)。同センターは、以下のようなプログラムを提供している。

(a) SGサイバーアソシエイツ:

・サイバーセキュリティの専門家でない人々に対して、基礎レベルの特化したサイバーセキュリティトレーニングを提供し、日常業務に関連するサイバーセキュリティスキルを開発するためのプログラム

(b) SGサイバーユース:

・学生に、キャリアとしてサイバーセキュリティを探究する機会を提供し、関連する技術的知識やソフトスキルに触れることができるプログラムで、中学生および高等教育機関の学生を対象に設計されたユースサイバー探究プログラムと高度YCEPプログラムより構成される

(c) SGサイバープロフェッショナルズ:

・様々なバックグラウンドを持つミッドキャリアの転職者に対して、キャリア変換のための研修機会を提供し、それによって地元のサイバーセキュリティ人材を強化し、この重要分野における熟練した専門家の増大する需要に応える

(d) SGサイバータレント開発基金(SCTDF):

・コミュニティ、団体、業界パートナーを奨励して、サイバーセキュリティ労働力を関与させ、スキルアップさせ、進歩させる取り組みを構築する

加えて2024年11月11日、同センターは、サイバーセキュリティ業界向けのオープンイノベーションコンテスト(CyberCall)の公募を開始した(募集期間:2025年1月10日まで)。(https://www.csa.gov.sg/News-Events/Press-Releases/2024/cybersg-tig-collaboration-centre-launched-the-cybersecurity-industry-call-for-innovation-(cybercall)-2024-november-edition)。

CyberCallは、オープン募集カテゴリーとユーザー駆動型カテゴリーから構成される。前者のテーマとしては、AI向けサイバーセキュリティ、サイバーセキュリティ向けAI利用、耐量子安全性、OT/IoTセキュリティ、クラウドセキュリティ、プライバシー強化技術(PET)がある。後者は、製造業やエネルギーなどのOT分野におけるサイバーセキュリティソリューションの効果を向上させるために、最新のAI技術を活用することを目的としており、具体的な課題は、エンドユーザー企業のYTLパワーセラヤとパナソニックから挙げられている。

CSA本部およびCSAシンガポールチャプターは、引き続きシンガポールの産官学連携エコシステムとの関係性強化に向けて取り組んでいる。

CSAジャパン関西支部メンバー

健康医療情報管理ユーザーワーキンググループリーダー

笹原英司

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA

*