クラウド情報セキュリティ監査制度と今後の方向クラウド事業者の重大事故...

2014年3月26日

特定非営利活動法人

日本セキュリティ監査協会

JASA-クラウドセキュリティ推進協議会

事務局長

永宮直史

クラウド情報セキュリティ監査制度と今後の方向

Copyright 2014 Japan Information Security Audit Association. All rights reserved.


2

アジェンダ

1. 情報セキュリティ監査制度について

2. クラウド情報セキュリティ監査制度について

3. 今後の展開について


情報セキュリティ監査制度について

情報セキュリティ監査制度の背景とねらい

住民基本台帳ネットワークの稼働

電子政府構築の具体化

2002年

国民の情報セキュリティに関する関心の高まり

他の監査制度の研究

情報セキュリティ監査制度施行（2003年4月）

利用者（注）の視点に立った評価他の制度を補完する多様性（注）報告書利用者

2003年情報セキュリティ監査制度開始情報セキュリティに特化し外部の視点で評価すると共に、他の監査制度を補完するなど、役割に多様性がある

保証型情報セキュリティ監査

助言型情報セキュリティ監査

4 Copyright 2014 Japan Information Security Audit Association. All rights reserved.

情報セキュリティ監査制度

情報セキュリティ監査基準（平成15年経済産業省告示第114号）

情報セキュリティ管理基準（平成20年改正版）（平成20年経済産業省告示第246号）

（注）情報セキュリティ管理基準平成20年改正版は平成21年2月1日適用。それ以前は、情報セキュリティ管理基準（平成15年経済産業省告示第112号、平成21年1月31日廃止）

情報セキュリティ監査企業台帳に関する規則（平成15年経済産業省告示第113号）

国の基準

民間団体による運営

公認情報セキュリティ監査人資格制度

審査委員会制度

公正な情報セキュリティ監査の実現


保証型情報セキュリティ監査

監査対象の経営者が発した言明に対し、監査人が合理的な方法と証拠に基づき、監査の対象となる組織体の情報セキュリティに関するマネジメントとコントロールが監査手続きを実施した限りにおいて適正である旨

（または不適正である旨）の意見を述べること。

被監査主体の経営者による「被監査主体における情報セキュリティのマネジメントとコントロール」に関する主張

言明とは



クラウド情報セキュリティ監査制度について


1. 制度の概要

サービスのセキュリティの確認


クラウドコンピューティングはサービス (X as a Service)

レストラン（飲食店）クラウド

人の能力

管理の方法

規律の仕組み

調理師法

食品衛生法

公衆衛生法

資格認定制度

管理基準と監査


公衆衛生制度情報セキュリティ監査制度

クラウドの情報セキュリティ監査制度の概観


何がセキュアか分からない？説明も理解できない？

守るべき事項を定義

遵守状況を監査で確認

事業者が言明（情報セキュリティ宣言）

セキュアなクラウドサービスであることを確認

透明性を確保したセキュリティ対策の事業者コミット

要点しくみ

基本言明要件を明示（管理基準）

内部監査人の資格を定義

内部監査を標準化

外部監査人による評価


クラウド利用者クラウド事業者

監査の公正さを確保

クラウド情報セキュリティ管理基準における基本言明要件


クラウドサービス利用のための情報セキュリティマネジメントガイドライン

ISO/IEC 27002;

2011/04

クラウド情報セキュリティ管理基準

2012/09

情報セキュリティ管理のベスト・プラクティス

クラウド情報セキュリティ管理基準（注）

基本言明要件

（注）http://www.jasa.jp/information/result/pdf2011/2011_cloud_doc02.pdf

管理策に基づいて、ISO/IEC27017として策定中

クラウドの情報セキュリティに関する基本的な要件

実用的なリスク管理を行う


クラウドサービスが持つ「安さ」「迅速性」「拡張容易性」などの特徴を生かすために、リスクの小さい事項はあえて義務としない

ガバナンス基準 (6）

マネジメント基準(66)

管理策基準(1386) 管理策基準(894)

基本言明要件クラウド情報セキュリティ管理基準

ガバナンス基準 (6）

マネジメント基準(66)


【自己又は特約】・バックアップ・暗号化・ソフトウェア管理・取扱い情報の管理

【事業者との協力】・異状連絡など

利用者は残留リスクを意識してクラウドを利用

リスク小の項目への対応 (例）・個人情報保護・証拠提出命令

不可抗力なリスクの受容（例）

・ゼイロデイ攻撃・異状検知から対処までの時間のずれ

利用者が行うべきことの例

基本言明要件＊

言明書（公開）

クラウド内部監査標準手続

内部監査人（情報セキュリティ監査人補）

クラウド事業責任者

内部監査報告書

資格認定

調査研究

クラウド事業者

監査実施

外部監査による評価

監査関連文書

監査結果

署名

信頼クラウド利用者

クラウド情報セキュリティ監査のしくみ


クラウドサービスに対する情報セキュリティ内部監査を標準化し、信頼性を向上

・標準監査手続・標準監査文書様式・監査人の能力資格

*クラウド情報セキュリティ管理基準；2012 経済産業省

宣言の明示（言明書の公開）


クラウドサービス提供業務の情報セキュリティに関する言明平成×年×月×日 ○○株式会社代表取締役社長 ○○○○ 当社は、平成×年×月×日現在の[クラウドサービスの名称]のクラウド情報セキュリティに関する管理状況について、｢クラウド情報セキュリティ管理基準｣（平成24年8月特定非営利活動法人日本セキュリティ監査協会）に従って評価しました。評価を実施した結果、クラウド基本言明要件が要求する管理策を下記の範囲で整備、実装しています。なお、当社には、[クラウドサービスの名称]のクラウド情報セキュリティに関する管理及び管理状況並びにその評価について責任があります。

•言明書の対象範囲 •対象範囲

[クラウドサービスの名称] •対象リスク

H01 リソース・インフラの高集約によるインシデントの影響の拡大上記リスクは｢クラウド情報セキュリティ管理基準｣のⅡ. 2 クラウド情報セキュリティ基本言明要件の構成より抽出。

標準的な監査により適正さが確認された言明書には CSマークを付与


2. 制度設計の考え方と他の制度との関係


17

認証における外部監査（審査）と内部監査の役割

審査は準拠性評価を行う

内部監査は準拠性評価と有効性評価を行うことが求められている

内部監査で何をどの程度行うかは、国際標準で定められていない

不十分な有効性評価の結果、事故を未然に防げないケースがあり、それが国際標準の認証の価値を低下させている


準拠性評価 Conformity Assessment

有効性評価Effectiveness Assessment

外部認証審査機関による審査範囲

利用者が期待する監査の保証水準

期待される内部監査の水準


18

クラウド事業者の重大事故

事故の概要

►事故を起こした企業 − レンタルサーバ会社（クラウド事業者）

− ISO/IEC27001 (JIS Q 27001)認定事業者

►事故の日時 − 2012年7月20日午後5時半ごろ

►事故のインパクト −利用者環境にあるデータの喪失

► Web と Mail サーバ

► データベース

► 設定ファイル

− 5,676の利用者（主に中小企業）のデータが復元不可能に（全顧客の約20％）

主要な事故原因

►マネジメントの不備 −組織が決めていたルールを無視したシステム管理者の自動ツールの使用と使用時のミス（意図しないデータ消去）

−組織管理者が、その事実が継続していることを知りながら、長期間黙認

►対策設計の不備 −バックアップリカバリーのミス（リカバリー手順の未定義。オペレーションミスによる誤った上書き）



19

内部監査の標準の重要性

適切な内部監査があれば、

►オペレーターのルール違反は発見できた

►管理者の管理不備は発見できた

►バックアップリカバリー手順の不備は発見できた

審査（外部審査）の限界

►審査日数

►内部監査に対する監査標準が存在しない（審査員の経験に依存）

►コントロールに対する監査はサンプルであるため、すべてのコントロールを評価できない

クラウドにおいては、外部審査のみで重大な事故を防ぐことはできなかった。

►多くの利用者の情報を扱うクラウドは情報社会のインフラである

►より、厳密な内部監査を行うことが求められる

内部監査の適切さを示す標準が必要である

クラウド情報セキュリティ監査の位置づけ

開示情報の適格性の評価

ISMS適合性評価

標準化内部監査による評価

外部監査人による内部監査の有効性評価

外部監査人による直接評価（例；SOC2、SOC3*1）

広がり

明確さ


明確な保証だが、監査を受ける事業者数が少なく、対象が限られる

クラウド固有の内容ではなく、事業者で監査水準も異なり、物足りない

クラウド固有な内容だが、セキュリティ対策は事業者次第になる

間接的だが外部監査人による評価なので信頼でき、業界主要企業が参加

クラウド固有の内容で、監査が標準化されており、一定の信頼度がある

評価の仕組み評価内容・水準

クラウドの特徴に適した実用性の高い評価の仕組み

セキュリティ監査制度と認証制度


ISMS適合性評価

ISO/IEC27017による適合性評価

標準化内部監査による評価

外部監査人による内部監査の有効性評価

認証スキームマネジメントシステムコントロール審査員

ISO適合性評価 ISO/IEC27001 ISO/IEC27002、27017 ISO/IEC27001審査員

Star2（CSA） ISO/IEC27001 CCM（将来、27017）独自に育成

Star2

クラウド特性の反映

評価者のクラウドの知識

内部監査の水準

ありあり標準的水準

ありあり標準的水準

ありあり事業者しだい

あり問わない事業者しだい

なし問わない事業者しだい


3 制度の推進


23

JASA-クラウドセキュリティ推進協議会

クラウドセキュリティ監査の普及を目的として、JASAの下部組織として2013年5月発足

協議会長大木榮二郎（工学院大学教授）

協議会副会長中尾康二（KDDI情報セキュリティフェロー：NICT主管研究員）

会員数 36社

会員リスト

あらた監査法人

伊藤忠テクノソリューションズ株式会社

株式会社インターネットイニシアティブ

株式会社エス・シー・ラボ

NRIセキュアテクノロジーズ株式会社

NTTコミュニケーションズ株式会社

NTTコムウェア株式会社

NTTソフトウェア株式会社

株式会社NTTデータ

株式会社エヌ・ティ・ティピー・シーコミュニケーションズ

工学院大学

九電ビジネスソリューションズ株式会社

グローバルブレインズ株式会社

株式会社ケーケーシー情報システム

KDDI株式会社

サイボウズ株式会社

新日本有限責任監査法人

株式会社セールスフォース・ドットコム

株式会社ディアイティ

株式会社電通国際情報サービス

西日本電信電話株式会社

ニフティ株式会社

日本アイ・ビー・エム株式会社

日本電気株式会社

日本電信電話株式会社

日本マイクロソフト株式会社

日本ユニシス株式会社

株式会社野村総合研究所

東日本電信電話株式会社

株式会社日立システムズ

株式会社日立製作所

株式会社ビットアイル

株式会社ファイブドライブ

富士通株式会社

三菱電機情報ネットワーク株式会社

有限責任監査法人トーマツ



25

監査人材の育成

協議会メンバーのクラウド情報セキュリティ関連技術者教育

►2012年度（2013年2月、3月） 23名

►2013年度（2014年1月、2月） 21名

►計 44名



26

クラウド監査の方向性（段階的アプローチ）

2013年度

第三者評価

サービス

内部評価

第三者を意識した

内部評価

評価のレベル

低

高

外部評価を意識した2周目の内部評価ギャップを段階的に埋めていく

アプローチ

現在の手続きレベル

2014年度 2015年度

内部評価実施による底上げ

効率的な保証型業務の

水準

ISO/IEC27017のスケジュール

WD3 CD1 CD2

DIS

FDIS

IS


27

クラウド情報セキュリティ標準化の国際動向

27001

27002

27017

27018

ＳＣ２７ Cloud

27036-4

SP Cloud Technology

ITU-T X.1601

CSA CCM V3.0

ISMS

クラウドサービス利用のための情報セキュリティマネジメントガイドライン

組織単位

CSAもISO27017に移行予定

認証

認証

認証

認証機関は監査結果を活用し認証を発行

クラウドセキュリティ検査技術ガイド（当協議会）

サービス単位


今後の展開について


29

クラウド化の進展

Web2.0の技術は、マッシュアップを用いたAPIの共有によるサービスの統合をもたらした

►従来であれば、個別に利用者が開発しなければならなかったサービスとの連携部分を、APIが提供されている

►ユーザはクリック＆ドロップで多様なサービスが活用できる

APIを通じたサービスそのものがクラウドである

►認証サービス

►決済サービス

►物流サービスなど

更に、IaaS、PaaSといったサービス層の組み合わせもある

製造業で見られた産業構造の高度化がクラウドを通じてITサービスでも展開をしている

クラウド化の事例（EC-CUBE)

EC-CUBE ホームページより


サービスモジュール

EC-CUBE ホームページより


どれほど手軽なのか


情報セキュリティに関わる信頼のしくみ


クラウド情報セキュリティ監査

ISMSなど

新たな施策の対象


34

クラウド化と情報セキュリティ

「手軽さ」のもつ危険性

►APIで紹介されているサービスは、すべて、利用者が個別に契約する仕組み

►プラグインなので、使い方は極めて簡単

►約款は開示されているが、読むのは面倒

►約款に事業者側の責任範囲は明記

►利用者は残り全部の責任を負う。具体的に何をすればいいかは不明確

責任分解点の不明確さ

►PaaSを用いたシステムの実行ファイルは？

提供主体の問題

►技術的には高いが、経営的には中小企業

►情報セキュリティと事業継続リスク

►確実な監査の実行可能性


35

信頼の仕組みを構築する際に考慮すべきこと

社会的な合理性と企業の合理性のかい離

►利用者が多数で、個々の取引額が小さい場合、社会的な損失が大きくても個別の補償ができにくい⇒原則、利用者責任ということになる

►標準サービスであるため、情報の内容によって損害の差が出ても、弁済額は平均的なものにならざるを得ない⇒迷惑料程度で、利用者が我慢する

企業規模の限界

►情報セキュリティ対策は、リスクに応じた適切な対策をとることが必要

►あるサービスが責任を取るべき対策は、企業規模に関わらない

►経済的には、中小企業がとりえる対策は限られる

利用者の簡便な利用

►利用者が約款を読むという前提が崩れている

►より、簡易にセキュリティのレベルが分かることが必要

コミュニティのガバナンス

対応の方向

社会的な合理性と企業の合理性のかい離

企業コミュニティによる対応共通の規約

共同体としての社会契約

共同体としてのリスク移転

企業規模の限界

利用者の簡便な利用社会契約としてのしくみ

共通のガイドライン

ガイドライン実施の担保

保証レベルによるリスク分担


クラウド情報セキュリティ監査を踏まえて


コミュニティのガバナンス

共通の規約


共通のガイドライン

ガイドライン実施の担保

保証レベルによるリスク分担

クラウドセキュリティ推進協議会

協議会の諸規則


クラウドセキュリティガイドライン注1

クラウド情報セキュリティ監査

CSマーク（Silver、Gold）等

注1 クラウドサービス利用のための情報セキュリティマネジメントガイドライン

ITサービス団体

団体の諸規則


ITサービスセキュリティガイドライン

情報セキュリティ監査+α

認定マークなど

基本的枠組みクラウドセキュリティ ITサービスセキュリティ

保証の水準について


全ての事業者に

実施が望まれる事項

チェックリストによる自己点検

簡易な内部監査

保証前提の内部監査 ITサービスセキュリティガイドライン（仮称）

外部評価付内部監査

外部監査

着手から普及まで


B to Bから着手社会的合意形成の容易さ個々のリスクの明確さ

B to Cへ展開

リスク大で参加者が限られるサービス

B to B 全般へ

Thank you!


安心できる情報社会を！

クラウド情報セキュリティ監査制度と今後の方向クラウド事業者の重大事故...

Documents