海外に学ぶSMBのクラウドセキュリティ基礎(CSP編)AWS(2)

コメントをどうぞ

海外に学ぶSMBのクラウドセキュリティ基礎(CSP編)AWS(1)に引き続き、今回は、シンガポールサイバーセキュリティ庁のサイバーエッセンシャルズおよびサイバートラストマークに基づいて開発されたAWSユーザー向けガイドにおけるセキュリティ管理策の事例を紹介する。

スタートアップ向けに軽量化したAWSユーザー向けクラウドセキュリティガイド

前回取り上げた「サイバートラスト向けAWS クラウドコンパニオンガイド – AWSとの共同開発」(https://d1.awsstatic.com/whitepapers/compliance/CSA_Cyber_Trust_mark_certification_Cloud_Companion_Guide.pdf)(2023年10月13日公表)には、物理的制御、保守制御などのコンプライアンストピックや、ポリシー、人事管理など、組織固有の要求事項が含まれていない。これによってガイドを軽量化し、中小/スタートアップ企業のライトユーザレベルでも活用できるよう、AWSサービスのセキュリティに関する考慮事項に焦点を当てている。

本ガイドでは、以下の12ドメインを設定している。

  • B8. ドメイン:資産管理
  • B9. ドメイン:データ保護とプライバシー
  • B10. ドメイン:バックアップ
  • B12. ドメイン:システムセキュリティ
  • B13. ドメイン:ウイルス対策/マルウェア対策
  • B14. ドメイン:セキュアソフトウェア開発ライフサイクル (SDLC)
  • B15. ドメイン:アクセス制御
  • B16. ドメイン:サイバー脅威管理
  • B18. ドメイン:脆弱性評価
  • B20. ドメイン:ネットワークセキュリティ
  • B21. ドメイン:インデント対応
  • B22. ドメイン:事業継続と災害復旧

以下では、「B8. ドメイン:資産管理」(組織は、環境内に存在するハードウェアおよびソフトウェアを特定し、一般的なサイバー脅威から保護している)に絞って、マッピングされたサブドメイン([B.8.1]、[B.8.4]、[B.8.6]、[B.8.9])とそれらに関連するAWSサービスの概要およびベストプラクティスを挙げる。

[B.8.1] 組織は、環境内に存在するハードウェアおよびソフトウェアを特定し、一般的なサイバー脅威から保護している。

(関連するAWSサービス)
(1)AWS Config(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/WhatIsConfig.html

AWS Configは、AWSアカウント内のAWSリソースの構成の詳細なビューを提供する。これには、リソースが互いにどのように関連しているか、および過去にどのように構成されていたかが含まれており、構成や関係性が時間とともにどのように変化するかを見ることができる。

<AWS Configのセキュリティベストプラクティス>
•AWS Configでのデータ保護
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/data-protection.html)
•AWS ConfigのIDとアクセス管理
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-iam.html)
•AWS Configでのログ記録とモニタリング
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-logging-and-monitoring.html)
•AWS Configとインターフェイス Amazon VPC エンドポイントの使用
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-VPC-endpoints.html)
•AWS Configのインシデントへの対応
( https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/incident-response.html)
•AWS Configのコンプライアンス検証
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-compliance.html)
•AWS Configの耐障害性
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/disaster-recovery-resiliency.html)
•AWS Configのインフラストラクチャセキュリティ
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/infrastructure-security.html)
•サービス間の混乱した代理の防止
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/cross-service-confused-deputy-prevention.html)
•AWS Configのセキュリティベストプラクティス
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-best-practices.html)

(2)AWS コストと使用状況レポート(CUR)(https://docs.aws.amazon.com/ja_jp/cur/latest/userguide/what-is-cur.html)

AWSコストと使用状況レポート(AWS CUR)には、利用可能な最も包括的なコストおよび使用状況データが含まれている。

<セキュリティベストプラクティス>
•AWSコストと使用状況レポートは、AWSの使用状況を追跡し、アカウントに関連する推定料金を提供する。各レポートには、AWSアカウントで使用するAWS製品、使用タイプ、および操作の各組み合わせに対する明細項目が含まれている。

[B.8.4]組織は、ハードウェアおよびソフトウェアを機密性および/または機微度レベルに従って分類および処理するプロセスを確立し、実装している。これにより、それらが適切なセキュリティと保護を受けることを保証する。

(関連するAWSサービス)
タグ付けとTag Editor(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/tagging.html):
AWSリソースにメタデータをタグの形で割り当てることができる。各タグは、ユーザー定義のキーと値から成るラベルである。タグはリソースの管理や識別、整理、検索、フィルタリングに役立つ。リソースを目的や所有者、環境、その他の基準で分類するためにタグを作成できる。
<タグ付けのためのセキュリティベストプラクティス>
•Tag Editorでのデータ保護(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security_data-protection.html)
•Tag Editorのアイデンティティ/アクセス管理(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security-iam.html)
•Tag Editorでのタグ記録とモニタリング(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security_logging-monitoring.html)
•Tag Editorのコンプライアンス検証(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security_compliance.html)
•Tag Editorにおける耐障害性(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security_resilience.html)
•Tag Editorのインフラストラクチャセキュリティ(https://docs.aws.amazon.com/ja_jp/tag-editor/latest/userguide/security_infrastructure.html)

[B.8.6] 組織は、適切な、業界で認識されている資産ディスカバリーツールを確立し、実装している。これにより、ネットワークに接続されている資産をスキャンして検出し、すべての資産が安全に管理されることを保証する。

(関連するAWSサービス)
AWS Systems Manager Inventory:AWS Systems Manager Inventoryは、AWSのコンピューティング環境に対する可視性を提供する。

インベントリを使用して、管理ノードからメタデータを収集できる。このメタデータを中央のAmazon S3バケットに保存し、組み込みツールを使用してデータをクエリし、ソフトウェアを実行しているノードや、ソフトウェアポリシーによって要求される構成・更新が必要なノードを迅速に特定できる。また、複数のAWSリージョンおよびAWSアカウントからインベントリデータを構成および表示することもできる。

[B.8.9] 組織は、ハードウェアおよびソフトウェア資産を追跡して管理するために、適切な、業界で認識されている資産インベントリ管理システムの使用を確立し、実装している。これにより、正確性を確保し、見落としを避けることができる。

(関連するAWSサービス)
AWS Config:AWS Configは、AWSアカウント内のAWSリソースの構成の詳細なビューを提供する。これには、リソースが互いにどのように関連しているか、および過去にどのように構成されていたかが含まれており、構成および関係が時間とともにどのように変化するかを見ることができる。

<AWS Configのセキュリティベストプラクティス>(前掲)
•AWS Configでのデータ保護
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/data-protection.html)
•AWS ConfigのIDとアクセス管理
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-iam.html)
•AWS Configでのログ記録とモニタリング
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-logging-and-monitoring.html)
•AWS Configとインターフェイス Amazon VPC エンドポイントの使用
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-VPC-endpoints.html)
•AWS Configのインシデントへの対応
( https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/incident-response.html)
•AWS Configのコンプライアンス検証
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/config-compliance.html)
•AWS Configの耐障害性
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/disaster-recovery-resiliency.html)
•AWS Configのインフラストラクチャセキュリティ
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/infrastructure-security.html)
•サービス間の混乱した代理の防止
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/cross-service-confused-deputy-prevention.html)
•AWS Configのセキュリティベストプラクティス
(https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-best-practices.html)

AWSユーザー向けガイドとCCMv4のマッピング事例

参考までに、AWSユーザー向けガイドの「B8. ドメイン:資産管理」に対応するCCMv4コントロール項目を挙げると、以下の通りである。

・UEM-04エンドポイントのインベントリ:企業データの保存やアクセスに使う全てのエンドポイントをインベントリに保持する。
・DCS-01オフサイト機器の廃棄ポリシーと手順:組織の外部で使用される機器を安全に廃棄するためのポリシーと手順を確立、文書化、承認、伝達、適用、評価、および維持する。機器が物理的に破壊されていない場合は、情報の回復を不可能にするデータ破壊手順が適用されるべきである。ポリシーと手順を少なくとも年1回確認して更新する。
・DCS-05資産の分類:組織のビジネスリスクに基づいて、物理的および論理的な資産(アプリケーションなど)を分類して文書化する。
・DCS-06資産のカタログ化と追跡:CSPのすべてのサイトにある関係する物理的および論理的資産を、セキュアなシステム内でカタログ化し追跡する。
・CCC-04承認されていない変更からの保護:組織の持つ資産への承認されていない追加や削除、更新、管理などを制限する。
・DSP-02セキュアな廃棄:業界で認められている方法を用いて、ストレージメディアからデータをセキュアに廃棄し、いかなるフォレンジック手段によってもデータが復元できないようにする。

なおAWSは、CSA STAR Lebel 1およびLebel 2の認証を取得しており、CSAサイト上で、Consensus Assessments Initiative Questionnaire(CAIQ)v4.0.2の質問に対する回答内容を公開している(https://cloudsecurityalliance.org/star/registry/amazon/services/amazon-web-services)。前述のAWSユーザー向けガイドの「B8. ドメイン:資産管理」に対応するCAIQ v4.0.2の質問6項目への回答内容(2024年12月16日時点)を挙げると、以下の通りである。

①質問ID:UEM-04.1
質問:使用するすべてのエンドポイントのインベントリがあり、企業データの保存やアクセスのために保持しているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明:Amazonは、業界のベストプラクティスに準じたベースラインのインフラストラクチャ基準を設定している。これには、エンドポイントのインベントリ管理が含まれる。
CSCの責任:N/A
CCM Control ID:UEM-04
CCM Control仕様:企業データの保存やアクセスに使う全てのエンドポイントをインベントリに保持する。
CCM Controlタイトル:エンドポイントのインベントリ
CCM Domainタイトル:ユニバーサルエンドポイント管理

②質問ID:DCS-01.1
質問: 組織の敷地外で使用される機器の安全な廃棄に関するポリシーと手順が設定され、文書化され、承認され、伝達され、施行され、維持されているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明: AWS サービスの提供に使用される環境は、認可された担当者によって管理され、AWS が管理するデータセンターに配置される。データセンターのメディア取扱管理は、AWS メディア保護ポリシーに従って AWS によって管理されている。このポリシーには、アクセス、マーキング、保管、輸送、および無害化に関する手順が含まれている。データセンターの安全ゾーン外に輸送されるライブメディアは、認可された担当者によって護衛される。
CSCの責任:N/A
CCM Control ID:DCS-01
CCM Control仕様:組織の敷地外で使用される機器の安全な廃棄に関するポリシーと手順を設定し、文書化し、承認し、伝達し、適用し、評価し、維持する。機器が物理的に破壊されない場合は、情報の回復を不可能にするデータ破壊手順を適用する必要がある。ポリシーと手順を少なくとも年に一度見直し、更新する。
CCM Controlタイトル:オフサイト機器廃棄ポリシーと手順
CCM Domainタイトル:データセンターセキュリティ

③質問ID:DCS-05.1
質問: 物理的および論理的資産の分類と文書化は、組織のビジネスリスクに基づいているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明: ISO 27001 規格に準拠して、AWS の資産に所有者が割り当てられ、AWS 独自のインベントリ管理ツールを使用して AWS の担当者によって追跡および監視されている。
CSCの責任:N/A
CCM Control ID:DCS-05
CCM Control仕様: 物理的および論理的資産(例:アプリケーション)を組織のビジネスリスクに基づいて分類し、文書化する。
CCM Controlタイトル:資産分類
CCM Domainタイトル:データセンターセキュリティ

④質問ID:DCS-06.1
質問:すべての CSP サイトで、関連するすべての物理的および論理的資産がカタログ化され、安全なシステム内で追跡されているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明: ISO 27001 規格に準拠して、AWS の資産に所有者が割り当てられ、AWS 独自のインベントリ管理ツールを使用して AWS の担当者によって追跡および監視されている。
CSCの責任:N/A
CCM Control ID:DCS-06
CCM Control仕様:CSPのすべてのサイトにある関連するすべての物理的および論理的資産を、安全なシステム内でカタログ化し、追跡する。
CCM Controlタイトル:資産のカタログ化と追跡
CCM Domainタイトル:データセンターセキュリティ

⑤質問ID:CCC-04
質問: 組織資産の無許可の追加、削除、更新、管理は制限されているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明: 認可されたスタッフは、データセンターフロアにアクセスするために、少なくとも 2 回の二要素認証を通過する必要がある。サーバーの場所への物理的なアクセスポイントは、AWSデータセンター物理セキュリティポリシーで定義されているように、閉回路テレビカメラ (CCTV) によって記録される。
CSCの責任:N/A
CCM Control ID:CCC-04
CCM Control仕様: 組織資産の無許可の追加、削除、更新、管理を制限する。
CCM Controlタイトル:
CCM Domainタイトル:

⑥質問ID:DSP-02.1
質問: ストレージメディアからのデータの安全な廃棄のために、情報がフォレンジック手段によって回復できないようにするために、業界で受け入れられている方法が適用されているか?
CSA CAIQ回答:はい
SSRM Controlオーナーシップ:CSP所有
CSP実装の説明:ストレージデバイスがその有効な寿命を迎えたとき、AWS の手順には、顧客データが不正な個人にさらされないようにするための廃棄プロセスが含まれている。AWS は、廃棄プロセスの一環として、NIST 800-88(”メディアの消去に関するガイドライン”)に記載されている技術を使用している。詳細については、https://aws.amazon.com/architecture/security-identity-complianceのWeb サイトを参照のこと。
CSCの責任:N/A
CCM Control ID:DSP-02
CCM Control仕様:ストレージメディアからのデータの安全な廃棄のために、情報がフォレンジック手段によって回復できないようにするために、業界で受け入れられている方法を適用する。
CCM Controlタイトル:安全な廃棄
CCM Domainタイトル:データセキュリティとプライバシーのライフサイクル管理

AWSユーザー向けガイドとISO/IEC 27001:2022のマッピング事例

また、AWSユーザー向けガイドの各ドメインとISO/IEC 27001:2022の管理策の関係については、シンガポールサイバーセキュリティ庁が、「サイバートラストとISO/IEC 27001:2022間のクロスマッピング」(https://www.csa.gov.sg/docs/default-source/our-programmes/support-for-enterprises/sg-cyber-safe-programme/20231006-cross-mapping-cyber-trust-iso27k-v202310.pdf?sfvrsn=d660e5e3_1)を公開している。

前述の「B8. ドメイン:資産管理」の中小・スタートアップ企業レベル(Supporter)に対応するISO/IEC 27001:2022附属書Aの情報セキュリティ管理策は、以下の通りである。

・A5.9 情報及びその他の関連資産の目録
・A5.10 情報及びその他の関連資産の許容される利用
・A5.23 クラウドサービスの利用における情報セキュリティ
・A7.10 記憶媒体
・A7.13 装置の保守
・A7.14 装置のセキュリティを保った処分又は再利用
・A8.10 情報の削除

参考までに、AWSユーザー向けガイドの「B9. ドメイン:データ保護とプライバシー」の中小・スタートアップ企業レベル(Supporter)に対応するISO/IEC 27001:2022附属書Aの情報セキュリティ管理策を挙げると、以下の通りである。

・サブドメインB.9.1:組織は、ビジネスにとって重要なデータ(個人データ、企業秘密、知的財産など)を特定し、その位置を特定して、保護することができるよう保証するために、 「A.3 資産:データ」に基づくサイバーエッセンシャルマークすべての要求事項を実装している。
(ISO/IEC 27001:2022の管理策)
・A5.10 情報及びその他の関連資産の許容される利用
・A5.13 情報のラベル付け
・A7.10 記憶媒体
・A7.14 装置のセキュリティを保った処分又は再利用
・A8.12 データ漏えい」防止
・A8.26 アプリケーションセキュリティの要求事項

・サブドメインB.9.2:組織は、ビジネスにとって重要なデータ(個人データ、企業秘密、知的財産など)の漏えいを報告するプロセスを定義し、適用している。また、経営陣、関連当局、関連する個人などの利害関係者が情報を得られるようにしている。
(ISO/IEC 27001:2022の管理策)
・A5.5 関係当局との連絡
・A5.24 情報セキュリティインシデント管理の計画策定及び準備
・A6.8 情報セキュリティ事象の報告

・サブドメインB.9.3:クラウドサービスを利用する組織は、データのプライバシーとセキュリティに関して、クラウドサービスプロバイダー(CSP)との間でクラウド責任共有モデルを確立し、実装している(例:組織とCSPの間における明確な役割と責任を確立するための合意)。
(ISO/IEC 27001:2022の管理策)
・A5.2 情報セキュリティの役割及び責任
・A5.10 情報及びその他の関連資産の許容される利用
・A5.20 供給者との合意における情報セキュリティの取扱い
・A5.23 クラウドサービスの利用における情報セキュリティ
・A8.12 データ漏えい防止

今回紹介したのは、シンガポールサイバーセキュリティ庁が公開しているAWSユーザー向けガイドの中小・スタートアップ企業レベル(Supporter)向け管理策の一部である。同ガイドは、シンガポール情報通信メディア開発庁(IMDA)がボストンコンサルティンググループと連携して開発した「デジタルアクセラレーションインデックス(DAI)」(https://www.imda.gov.sg/how-we-can-help/digital-acceleration-index)のデジタル成熟度指標に準拠した5つのサイバーセキュリティ対応準備段階に応じて、情報セキュリティ管理策を追加していくシナリオの下に策定されている。

  • 「Advocate」: 先導的なデジタル成熟度を有する組織、大規模組織またはそれらで活動している人/規制セクター向けのプロバイダー
  • 「Performer」: “Performer”のデジタル成熟度を有する組織、大・中堅規模組織
  • 「Promoter」: “Literate”のデジタル成熟度を有する組織、中堅・大規模組織
  • 「Practitioner」: “Starter” のデジタル成熟度を有する組織、中堅・小規模組織
  • 「Supporter」: “Starter” のデジタル成熟度を有する組織、”デジタルネイティブ”なスタートアップを含む小規模・マイクロエンタープライズ

そして、様々な情報セキュリティ管理策をマッピングする際に重要な役割を果たしているのがCSA CCM/CAIQである。このCSA CCM/CAIQを標準軸とするシンガポールのフレームワークを、日本の中小規模/スタートアップ企業のクラウドユーザーによる情報セキュリティ管理策に拡張できれば、日本発ユニコーン企業の創出支援にもつながるであろう。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA

*