ガイダンス・ワーキンググループのページです。
活動要旨
ガイダンス・ワーキンググループの活動方針等につきましては、こちらを参照してください。
公開資料
- 「クラウドコンピューティングのためのセキュリティガイダンス V5」の日本語版
本書は、CSA本部が公開している「Security Guidance For Critical Areas of Focus in Cloud Computing v5」の日本語訳です。
セキュリティガイダンスV5では、クラウド、セキュリティ、サポート技術の進歩を取り入れ、実際のクラウドセキュリティの実践を反映し、最新のクラウドセキュリティアライアンスの研究プロジェクトを統合し、関連技術のガイダンスを提供しています。特に、アプリケーションセキュリティにおける、IaC、DevOps、サードパーティライブラリ、新しいクラウドセキュリティ技術、クラウドワークロードのセキュリティとして、コンテナ、サーバーレス機能、AIなどのセキュア化をカバーしています。また、CSPM、SSPM、CNAPP,IaC、SASE,SOARなど、様々なセキュリティツールをどのように有効に活用していくかについても解説しています。
こちらからダウンロードしてください。 - 「クラウドコンピューティングのためのセキュリティガイダンス」の日本語版
- バージョン4.0(日本語版) ダウンロード
(2020年8月6日更新) - バージョン3.0(日本語版) ダウンロード
- バージョン2.1(日本語版) ダウンロード
- バージョン4.0(日本語版) ダウンロード
- 解説CSAガイダンス
本資料は、CSA クラウド・セキュリティ・ガイダンス バージョン1.0を、主として日本のクラウドサービスの提供者・利用者に分かりやすく理解してもらうことを念頭に作成しました。
活動内容
- 2020年10月
- 東京電機大学クラウド特別講義オンライン実施に向け教材準備、予備聴講
- 2020年9月
- 東京電機大学クラウド特別講義オンライン実施に向け準備作業
- 2020年8月
- 東京電機大学クラウド特別講義準備打合せ
- 2020年7月
- CCM-WGのISMAPマッピングに参画
- ガイダンス4.0日本語版一部見直し
- 2020年5月
- 2019年度活動報告、2020年度計画作成・提出
- Academy録画のインデックス作成は進捗なし。今後はISMAPへの取組みがメインとなるか?
- 2020年4月
- 4/1にクラウド政府調達の評価基準のパブコメが出たので、それに取組み。4/26提出。
- Academy録画のインデックス作成は一部出来たものの作業が止まっており、フォロー要。
- 2020年3月
- 3/5にオンライン会議開催。今年の活動テーマ検討の続き
- Academy録画のインデックス作成、TDU講義コンテンツの横展開、クラウド政府調達の評価基準のパブコメとCCMマッピングに取り組む。
- 2020年2月
- 2/14に会議を開催し、今年度の活動テーマについて相談
- Academy録画のインデックス作成、TDU講義コンテンツの横展開、Security Services WPのCCMマッピング等の案が出された。次回会議でさらに検討&絞り込みの予定。
- 2020年1月
- 東京電機大学クラウド講義の反省会を開催。基本役に立ったようで今年も実施予定。
- 今年の活動について相談すべく、オフライン会議を調整中。
- 2019年12月
- 有志により、TDUでのクラウド講義を実施。(11月~12月)
- 2019年11月
- CSA Academy 2019 第14講(11/7)、第15講(11/21)実施。2019年度全課程を修了。
- 2019年10月
- CSA Academy 2019 第12講(10/10)、第13講(10/24)実施。
- 2019年9月
- CSA Academy 2019 第10講(9/12)、第11講(9/26)実施。
- 2019年8月
- CSA Academy 2019 第9講(8/29)実施。
-
Guideline on Effectively Managing Security Service in the Cloud 翻訳のお手伝い継続。
- 2019年7月
- CSA Academy 2019 第7講(7/4)、第8講(7/18)実施。
-
Guideline on Effectively Managing Security Service in the Cloud 翻訳のお手伝い。
- 2019年6月
- CSA Academy 2019 第5講(6/6)、第6講(6/20)実施。
- STAR Continuousドキュメントの翻訳を支援。
- 2019年5月
- CSA Academy 2019 第3講(5/9)、第4講(5/23)実施。
- ビデオ録画公開を準備中。
- 年次報告と次年度計画の検討。
- 2019年4月
- 2019年度CSA Academy 開講。 4月11日第1回 4月26日第2回を実施。
- 2019年3月
- 2019年版CSA Academy実施準備。
- 講義計画、実施要項の作成
- 講義記録方式の検討、記録に際しての覚書案の検討
- 2019年版CSA Academy実施準備。
- 2019年1月
- 2019年版CSA Academy実施計画を検討。
- 全15回に圧縮。講義の記録を作成し、会員が再利用できるようにする。
- 2018年12月
- CAIQ日本語版3.0の見直し作業を完了、公開。
- Academy全18講を講了。修了試験実施。次年度開催に向けて準備開始。
- 2018年11月
- CCM3.0.1日本語版update版の公開。引き続き、CCM-WGから依頼されたCAIQ日本語版3.0の見直し作業を実施。
- Academy講師を継続実施。
- 2018年10月
- CCM-WGから依頼されたCCM3.0.1のupdate版対応のupdateと、従来の翻訳の不正確な所を修正する作業を行い、ほぼ完了。
- 2018年9月
- 9/20に会議を持ち、懸案の2テーマについて検討・決定した。
- Academyの講義コンテンツをテキスト化する件
会員企業の社内教育への活用を主たるobjectiveとして取り組む。
講義用スライドのpptに、ノートを書き込む形とする。
作業要員は、①受講者のボランティア ②WGのボランティア ③WGの講義担当者 ④WG内で割り当ての順で選ぶ。レビューは講義担当者。 - CCMの最新版翻訳updateと27017reverse mappingのチェック・訳
CCMとGuidanceの両WGの共同projectとして取り組む。
当日参加者に手を上げてもらったdomainをアサイン。
CCMWGのMLで手を上げてくれた人に依頼。
残りはon the flyで割り当てていく。
Congressに合わせての公開を目指す。
- Academyの講義コンテンツをテキスト化する件
- 9/20に会議を持ち、懸案の2テーマについて検討・決定した。
- 2018年8月
- アカデミー講師を継続中。8/23は甲斐さん、インフラストラクチャセキュリティ
- CCSK試験問題日本語のproof reading by WG有志
- 2018年7月
- v4.0改訂版日本語訳V1.1の完成・公開
- Academy 講師の継続実施:7/12,7/26(第9,10回)…最首さん
- CCSKV4.0日本語版proof readingの引受者募集…今のところ3名
- 2018年6月
- ガイダンス4.0日本語版の修正の調整継続
- CSA Academyの講師実施:6/14羽田野氏、6/28最首氏
- 2018年5月
- Guidance4.0の翻訳第一版の語訳・タイポの修正に取り組み。近日中にV1.1を公開予定
- 2018年4月
- アカデミー講師を継続実施中。4/12:勝見 4/26:成田
- Guidance v4.0翻訳の見直し、タイポ修正作業中。実施のタイムライン、役割分担は未定。
- 5月もこの2つを継続実施予定
- 2018年3月
- Academyの第1,2回講師を務めた。
- 講師としてのプロトコル統一と、ガイダンス4.0日本語版の間違い直しのための改訂を議題として、4/2に会合予定です。
- 2018年2月
- 「CSAアカデミー」の分担確認と準備に各自取り組み中。
- 2018年1月
- 翻訳完成後の次のテーマを模索していたが、事務局より「CSAアカデミー」におけるV4.0解説の依頼があり、WG会議で検討の結果、引き受けることとした。10ヵ月かけて、全ドメインを、翻訳者を中心に解説する。詳細は事務局と詰める。
- 2017年11月
- CSA Guidance v4.0の翻訳の最終編集とデバッグ作業を集中して行った。
- CSA Guidance v4.0日本語版の公開を、Congressに合わせて11/27に行った。
- Congressにおいて、CSA Guidance v4.0のお披露目と概要紹介の講演を行った。
- 1.2.の作業のためのWG会議として、11/2, 11/10, 11/17の3回開催した。一連の作業に際しては、メンバの一人、鶴田氏に多大の尽力を頂いた。
- 現在、公開版で文書内リンクの未完成部分の調整等を引き続き行っている。
- 今後の予定等については、次回会議を開催の上、相談の予定。
- 2017年10月
- Guidance 4.0の翻訳のレビューを継続中。10月は6, 13, 20, 27と毎週金曜日にレビュー会を開催してペースを上げた。残り10, 11, 14の3ドメインとなり、11/2会議で完了予定。集合編集や図表の成型についても有志メンバで作業が進んでいる。
Congressまでに完成を目指す。
- Guidance 4.0の翻訳のレビューを継続中。10月は6, 13, 20, 27と毎週金曜日にレビュー会を開催してペースを上げた。残り10, 11, 14の3ドメインとなり、11/2会議で完了予定。集合編集や図表の成型についても有志メンバで作業が進んでいる。
- 2017年9月
- 9月8日会議開催
1.第一次翻訳のレビューを継続。
2.今後の進め方として、以下を決定。
1)Congressをにらみ、11月上旬までにレビューを完了する。
2)そのために、毎週会議を開催する。
3.pre-release版とfinal版の比較を実施。
Domain3を除いてほとんど大きな変化はない。
4.9月中は9/8以降会議はできておらず、9/28再集合予定。
5.翻訳のレビューは分担して進めている。
勝見はレビュー結果のチェックも個人的に進めている。
- 9月8日会議開催
- 2017年8月
- 全ドメインの翻訳が「ほぼ」そろい、レビュー段階に入っています。8/22にF2Fの会議を開き、レビュー結果の一部のチェックをしましたが、方法論的には暗中模索状態です。11月発表に向けて鋭意巻き返しを図りたいと思います。
- 9月はとりあえず9/8に会議を持つ予定です。
- 2017年7月
- 7/7 WG会議
・分担した翻訳したガイダンスV4.0の進捗状況確認
・クロスレビューをすることにして、分担を決定
・一部翻訳未着手のドメインの担当割
・次回はクロスレビュー結果を確認して、グループレビューに進む。 - 次回会議は8月8日。
- 7/7 WG会議
- 2017年6月
- 6/1にキックオフのためのWG会議を開催して、翻訳分担を決定した。翻訳参加者は新規ボランティアを含めて11名となった。一部未定のdomainについては、追加でボランティアを募る予定だが未定。
- 次回7/7に第一次翻訳ドラフトを持ち寄る計画。
- 2017年5月
- 4/27の会議で決定した、V4.0の翻訳活動計画に基づいて、翻訳に参加してくれるボランティアを募集。
- CSA本部からプレリリース版の4.0が提供されたので、
1)会員向け限定でpdf版の公開
2)翻訳のためにword版を入手し、WGの共同作業場所(on BOX)に格納を行った。
6/1にキックオフのためのWG会議を開催して、翻訳分担を決定。一部未定のdomainについては、追加でボランティアを募る予定。 - 次回7/7に第一次翻訳ドラフトを持ち寄る計画。
- 2017年4月
- 4月25日に第6回F2Fを開催
- V4.0リリースが5/16の見通し。翻訳に取り掛かることとする。
現在、WGに登録の8名全員が翻訳分担に参加することを前提に、
・memberに、ボランティア参加を募る。
・1ドメイン一人ぐらいの配分で、15名ぐらい集まると理想的。
・スケジュール感としては、3ヵ月。
一次翻訳:1ヵ月
peer review:1ヵ月
brush up・とりまとめ:1ヵ月
・5月末~6月初開始、8月末~9月初完成を目指す。 - memberに翻訳参加ボランティアの募集をかける。ドメインごとに専門領域となるので、その方面のプロが集まるのが一番。
- 次回 6月1日(木) 18:00~20:00
- 2017年3月
- 本部のWGの活動が、fieldからのfeedback段階をクローズして、内部でのedit最終段階に入ったため、3月は様子見。現状のドラフトの読み込み等、次のステップを検討しつつ、4月の会合予定を調整中。
- 2017年2月
- 2017年2月17日に 第5回F2F meeting
出席者:最首、新宮、諸角、勝見(敬称略、順不同) - CSA本部のWGでは、GitHub上で全てのdomainがdraftになった。
- 今までのインプットが反映されているか確認してみたところ、一部は反映されていることを確認。しかし無視されている部分も多くある。とりあえず、Domain1をもう一度見て、どうしても気になるところのコメントをリストすることとした。
- その後、本部のWGが最終feedbackを3/3期限で出すよう通知が来たことが判明。現時点では、本部WGの動き待ち。
- 次回は 3月17日(金) 18:00~20:00。 場所:JACO会議室
- 2017年2月17日に 第5回F2F meeting
- 2017年1月
第4回F2F meeting を2017年1月18日(水)開催
場所:双研社会議室(銀座一丁目)
出席者:最首、羽田野、諸角、勝見(敬称略、順不同)-
Google Docsにおける、V4編集作業の状況をfollowした結果、一部を除き、Closeとなっていることを確認。
-
書き込み可能な範囲で気づいた点のコメントを書き込み。
-
その他は各自見て気づいたことを書き込むこととした。
-
次回は 2月17日(金) 18:00~20:00
-
- 201年11月
- 10月の会議で抽出した、working draftへのコメントをGitHubにup。
- 11月24日にreboot後2回目のF2F会議を開催。
- Data Governance, Data Security & Encryption 等のdomainをreview。
- 抽出した疑問点、問題点を確認の上、GitHubに上げる活動を続ける。
- 次回は12/19、銀座1丁目・双研社会議室にて。
- 2016年10月
リーダが諸角から勝見に交替。ソの再キックオフのF2F会議を以下のように開催した。- 日時:2016年10月27日(木)17:00~19:00 場所:監査法人双研社会議室
参加者:勝見、上村、最首、新宮、諸角(アイウエオ順) - 議事
- グローバルの編集過程にどう参加するか
- Githubに書き込むことで、日本からもfeedbackする。
- 書き込みはWG会議でまとめた意見を、当番制で書き込む。
- 各人持ち回りで書き込むことにより、全員の名前が反映されるようにする
- 全体のドメイン構成のV3.01とV4.0の比較:Domain名の変更箇所と、変わった所については何が変わったかをチェック。(内容略)
- Domain1の内容におけるコンテンツの変化の確認
3-1. Section1.1.1で“Cloud Consumer”が定義されている。
3-2. P10に1.1.4 “Logical Model”が新たに登場。
3-3. P12のSecurity Responsibilityの図:矢印は双方向に向くべきもの★
3-4. CSA Enterprise Architectureの図は分りにくい
3-5. 1.2.2.1 Security Process Model:これも新登場のモデル。
Step 7が“Manage changes over time.”になっているので、P15の図は矢印がループして次のプロセスサイクルにつながる形の方が説明としてbetter。★
3-6. 1.4 Recommendationsの5.に突然“cloud project”という単語が出てくるが、何を意味するか?…あまり特別な意味はなさそう。 - 今後の進め方
このような形で月1回程度のペースでオフライン会議を持ってreviewの突き合わせとfeedbackの検討を行う。 - 次回の会議予定 11月24日(木) 18:00~20:00 場所: 今回と同じ、双研社会議室
- 日時:2016年10月27日(木)17:00~19:00 場所:監査法人双研社会議室
- 2016年9月
- 1.リーダが諸角から勝見に交替しました。
- 2.3.0.1からの変化を探る作業に着手。まずはDomain1を分担して実施中。
- 3.新規に2メンバーが参加。re-kick off mtgをするべく調整中。
- 2016年6月8日
- ガイダンス用語集のレビュー完了。今後、必要に応じてアップデートしていく。
- 2016年3月1日
- Domain4.0であらたに出てきたEnterprise Architecture について、分担して理解する作業を実施済。
ガイダンスおよびCCMで用いられる用語集の整備を開始。2月22日に第1回レビュー会を実施。
- Domain4.0であらたに出てきたEnterprise Architecture について、分担して理解する作業を実施済。
- 2016年1月
- ガイダンス4.0のドラフトの内容の確認を完了。Domain4.0であらたに出てきたEnterprise Architecture について、分担して理解する作業を開始。
1月22日にEnterprise Architectureの第1回検討会を実施。ガイダンスの訳語の整理を始めることとした。
- ガイダンス4.0のドラフトの内容の確認を完了。Domain4.0であらたに出てきたEnterprise Architecture について、分担して理解する作業を開始。
- 2015年12月
- ガイダンス4.0のドラフトの内容の確認を完了。Domain4.0であらたに出てきたEnterprise Architecture について、分担して理解する作業を開始。
- 2015年11月
- 11月6日にキックオフミーティング実施。
ガイダンス4.0として出てきているドラフトをベースに、内容の確認等を分担して行うこととする。
- 11月6日にキックオフミーティング実施。