- クラウドサービスを取巻く環境の変化と情報セキュリティについて -
第2回
- クラウドサービスを取巻く環境の変化と情報セキュリティについて(後半) -
̻■ クラウドサービスを取巻く環境の変化と情報セキュリティ
クラウドサービスの利用に関しては、クラウドサービスを提供する事業者が適正な取扱いを実施していることを直接確認することが一般に容易ではない。また、クラウドサービスでは、複数利用者が共通のクラウド基盤を利用することから、自身を含む他の利用者にも関係する情報の開示を受けることが困難である。このため、情報セキュリティに詳しい職員等が、クラウドサービスの特性を理解し、委託先であるクラウドサービスプロバイダに対するガバナンスの有効性や利用の際のセキュリティ確保のために必要な事項を十分考慮し、委託先を適正に選択し、一部の部門などにクラウドサービスの利用を許可していたのが現状であった。
一方、テレワークを展開するためには、クラウドサービスをコミュニケーションツールとして、Web会議システム、すなわち多人数で会話できるチャットの仕組みを導入し、社内コミュニケーションの円滑化を推進する必要があり、サービスの利用者として、より情報セキュリティに関しての責任が重くなり、従業者全員のセキュリティに関する研修を実施する必要もでてきた。例えば、フリーWi-Fiからアクセスしない、自宅のWi-Fiだとしても、暗号強度の強い方式を採用してアクセスする、許可のないクラウドサービスの利用禁止の徹底、公共交通機関やカフェでは機密情報の取り扱いを極力避ける等を徹底する必要がある。 また、Web会議システムへの参加者を限定する、部署あるいはプロジェクトごとに個別のURL(各会議室のチャンネル)を設定するなどし、他部門または第三者から会議や会話を保護し、情報の秘匿性を高める必要もある。
ISO/IEC 27001:2013では、テレワーキングに関するセキュリティを確実にするための管理策として、次のような管理策が準備している。
A.6.2.2 テレワーキング
管理策
テレワーキングの場所でアクセス、処理及び保存される情報を保護するために、方針及びその方針を支援するセキュリティ対策を実施しなければならない。
(ISO/IEC 27001:2013 (JIS Q 27001:2014) 附属書A.6.2.2 より引用)
具体的な情報セキュリティ対策の例として、以下のようなものが考えられる
◎テレワーキングの場所:
・在宅勤務者の自宅及び認可されたシェアオフィスのみ。
◎方針:
・テレワークにおいて、利用頻度が高く、機密性が高くない情報をクラウド上のファイルサーバ上に置き、VPN経由でアクセスを許可する、
またはWeb会議システムを用いて、情報を共有する。
・機密性の高い基幹システムへのアクセス等は、業務上必要な要員に限り、VPN経由で、社内に接続し、接続語、多要素認証を用いてシステムに
アクセスし、基本的に情報のダウンロードは許可しない。
◎セキュリティ対策:
・アクセス制御:Web会議システムへの参加、社内ネットワークへのアクセスはVPN経由のみとする。
・マルウェア対策:BYODまたは貸与したPC、タブレット、USB、スマートフォンには、指定したマルウェア対策ツールの導入を義務付け、
OSのセキュリティパッチとともに、定期的なセキュリティチェックを実施する。
・Web会議システムへの招待時には、会議のURL、ID、パスワードの誤送信には十分留意し、極力パスワードは、別のメールなので送付し、
会議中の参加者を確認し、第三者やなりすましが参加していないことを確認する。
・Web会議システムでは、機密性の高い情報を共有(表示)しない。機密性の高い情報は、暗号化を施し事前に適切なメール送信などで行い、
共有しておく。Web会議システム内には、共有した情報が保管されてしまうことに留意すること。
テレワークを実現するために採用するクラウドサービスにおいては、十分なセキュリティ対策が施されていないサービスの存在やクラウドサービスの特徴である複数のサービス(サプライチェーン)で構成されている場合があり、複数のサービスのセキュリティレベルをチェックする必要が生じることもある。
ISO/IEC 27017:2015は、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格であり、クラウドサービスを利用する組織(クラウドサービスカスタマ(CSC))、すなわち組織が運用するシステムにクラウドサービスを利用している場合に役立ち、クラウドサービスに対応した情報セキュリティ管理体制を構築することを可能とする。
ISO/IEC 27017では、クラウドサービスの特性およびそれに伴う特有のリスクについて解説するとともに、クラウドサービスを提供する組織[クラウドサービスプロバイダ(CSP)及びCSC]の責任を明確にしながら取り纏めている。
4.4 クラウドサービスにおける情報セキュリティリスクの管理
(省略)
情報セキュリティリスクマネジメントプロセスの一般的な適用性とは対照的に,クラウドコンピューティングには,その特性(例えば,ネットワーク,システムのスケーラビリティ及び弾力性,資源共有,セルフサービスプロビジョニング,オンデマンド管理,法域を超えたサービスの提供及び管理策の実施についての可視性が限られていること)に由来する,固有の,脅威及びぜい弱性を含むリスク源がある。附属書B に,クラウドサービスの提供及び利用における,これらのリスク源及び関連するリスクについて,情報を提供する参考文献を示す。
(ISO/IEC 27017:2015 4.4クラウドサービスにおける情報セキュリティリスクの管理 より引用)
これらの詳細の解説については、
「ISMSユーザーズガイド追補」 ~クラウドを含む新たなリスクへの対応~)として
情報マネジメントシステム認定センター(ISMS-AC)が発行しているので、そちらを参照されたい。
以上
株式会社アズジェント
セキュリティ・プラス ラボ
シニアフェロー
駒瀬 彰彦
暗号技術を用いた機密情報保護、認証システムの設計、開発などを経て、主にネットワーク・セキュリティに関連するコンサルティング、情報セキュリティ主任監査人としてセキュリティ監査業務、ERMアドバイザーとしての業務に従事。
現在、シニアフェローとして、情報セキュリ ティ管理、クラウドセキュリティ、ITサービス管理、事業継続管理等、リスクマネジメントの専門家として、関連する各団体の運営委員、主査、作業部員として、基準やガイドラインの策定に参画し、組織の取組むリスクマネジメントのレベルの向上・改善活動の支援を行っている。
【主な著書/共著】
・ 個人情報保護の運用と対策(オーム社)
・ 情報セキュリティガバナンス 経済産業省情報セキュ リティ政策室 編
・ 連載1〜10 情報セキュリティマネジメントシステム基 礎講座(@IT)
参照:http://www.atmarkit.co.jp/fsecurity/ rensai/guide01/guide01.html
【主な資格】
・ 公認情報セキュリティ主任監査人(CAIS)
・ CISSP
【関連する主なマネジメントシステム】
・ ISO 22301
・ ISO/IEC 27001, ・ ISO/IEC 27017, ・ ISO/IEC 27701
・ ISO 9001
・ ISO 14001
・ ISO 45001
・ ISO/IEC 20000-1
【関連規格情報】
【関連書籍】
| ISO/IEC 27001/27002:2022改訂対応 | ISO/IEC 27001・27002拡張によるサイバーセキュリティ対策 |
ISO/IEC 27001関連書籍一覧は、 こちらをご覧ください。 |
|
【ISOマネジメントシステム認証、セミナー情報】
| ISO/IEC 27017認証 | ISO/IEC 27000セミナー |
|---|---|
|
ISO/IEC 27017に基づくISMSクラウドセキュリティ認証を受け付けております。 クラウドサービスの利用には情報システムの調達や運用コストという利点がある一方、仮想化・分散化に伴うリスクにも備えなければなりません。 当協会では、専門性の高い審査員によるISO/IEC 27017認証審査を通じて、継続的な改善が必要な情報セキュリティの仕組みに加え、クラウド特有のリスクへの対応強化へ貢献します。 詳細はこちらをご覧ください。 |
マイナンバー、サイバー攻撃/標的型攻撃など、情報セキュリティに関する対応が求められており、従来にも増して情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO/IEC27001が注目
を集めています。 マネジメントシステム運営を効果的に機能させるためには、経営判断するトップ層から、システム運営の実務者である管理責任者・推進事務局、各部署の課員に至るまで、規格の理解は必須となります。 詳細はこちらをご覧ください。 |
