ISO/IEC27017(CLS)― クラウドサービスのための情報セキュリティ管理策―
掲載:2016年05月09日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
ガイドライン
ISO/IEC27017の正式タイトルは「情報技術-セキュリティ技術-クラウドサービスのためのISO/IEC27002に基づく情報セキュリティ管理策のための実践」です。情報セキュリティマネジメントシステム(ISMS)に関する国際規格であるISO/IEC27001※1やISO/IEC27002を補完する規格として発行されました。
具体的には、ISO/IEC27001やISO/IEC27002に示されている「詳細管理策(組織において積極的な適用を検討することが望ましい対策114選)」を、クラウドサービスにおけるセキュリティ対策という観点で、補完しています。
クラウドサービスとは
クラウドサービスは、圧倒的な拡張性・柔軟性・価格優位性を備えた「ネットワーク上で提供されるITプラットフォームやITサービス」です。こうした優位性の背景には、仮想技術の存在があります。仮想技術を使うことで、何十、何百、何千台もの比較的安価な機械を論理的に繋ぎ合わせ、仮想空間を作り出すことができます。この仮想空間の中に、仮想的なサーバを自由なサイズで作り出し、何十、何百、何千台はもちろん、何万、何十万、何千万台という実際の物理的な機械の数を超えたサーバ台数を生み出すことが可能になります。また、物理的な機械1台で出せるパフォーマンスをはるかに超える高性能な仮想サーバを生み出すことも可能になるのです。セキュリティ面でもこうした特性を踏まえた対策が求められることになります。
※1. ISO/IEC27001やISO/IEC27002 ISO/IEC27001のタイトルは「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」です。要求事項や仕様、基準と呼ばれる種類の規格です。ISO/IEC27001が「しなければならないこと」を定めた基準であるのに対し、ISO/IEC27002は「することが望ましいこと」を示した実践規範です。
ISO/IEC27017が対象とする組織は
ISO/IEC27017は、主として、クラウドサービスを利用する組織や、クラウドサービスを提供する組織が対象になります。なお、規格では、前者をクラウドサービスカスタマー、後者をクラウドサービスプロバイダーと呼んでいます。まとめますと、次に当てはまるお客様に有益な規格です。
- 当社では、自社で開発したクラウドサービスをお客様に提供している
- 当社では、他社のクラウドサービスを利用している
- 当社では、他社で開発したクラウドサービスを利用したクラウドサービスをお客様に提供している
ISO/IEC27017の意義とは
クラウドサービスは、仮想技術を使っていることから従来のITサービスにはなかった考慮事項が出てきます。例えば、クラウドサービスの仮想空間ではデータはあたかも1箇所に保存されているように見えますが、実際には複数のハードウェア上に分散されることになります。セキュリティ上の理由から国内のみにデータをとめおきたいという組織にとってみれば、その意に反して海外のデータセンターにデータが保存される可能性もあるわけです※。これは組織にとって1つの大きな課題になり得ます。この例に漏れず、考慮すべきことは他にもあります(下記参照)。ISO/IEC27017の意義は、まさにここにあります。
クラウドサービスを利用する組織
- 物理的にデータがどのハードウェアに保存されるか曖昧になる
- ハードウェアを複数組織でシェアする可能性がある
- 役割・責任の境界が不明瞭になりがちである
- 多くの顧客への提供を想定するため、ユーザ側の契約の自由度が制限される
- どのようにセキュリティ管理がなされているか見えづらい
- 脆弱性が発見された場合、影響が一気に広がりやすい
- データが物理的に分散して保存されるため、データの完全な削除を保証することが難しい
- ハードウェアやソフトウェア、ミドルウェアに加え、仮想空間などへのセキュリティ対策や監視などが必要になる
- 膨大な顧客を抱える可能性があるため、システム管理者の影響力が大きい
- データがどこに保存されているか曖昧なため、場合によっては国外のデータセンターに保存される可能性もあり、顧客の信頼を得にくい
※こうしたセキュリティ上の懸念を払拭するため、クラウドサービスプロバイダーの中には、日本国内にあるデータセンター群のみから構成されるクラウドサービスを提供する組織もあります。
ISO/IEC27017の構成は
ISO/IEC27017は、全18箇条と2つの附属書(附属書A及びB)からなります。実質的には、大きく2部構成と捉えることができます。
箇条5から箇条15までを第1部と捉えることができます。ここにはISO/IEC27001やISO/IEC27002に示される114の詳細管理策それぞれについて、クラウドサービスの観点での留意事項が記載されています(下記参照)。
8.1.1 資産目録
管理策8.1.1、これに関連する実践ガイダンス、並びに、ISO/IEC27002の中に示されている情報がこれに該当する。以下の利用者別のガイダンスも該当する。
| クラウドサービスカスタマー | クラウドサービスプロバイダー |
| クラウドサービスカスタマーの資産目録にはクラウドコンピューティング環境に保存される情報及び情報に関連する資産を含めることが望ましい。資産の記録は、資産がどこに保存されているかを示すことが望ましい。例:クラウドサービスの特定等 | クラウドサービスプロバイダーの資産目録では次の事項を明記することが望ましい -クラウドサービスカスタマーデータ -クラウドサービス由来のデータ |
附属書Aを第2部と捉えることができます。ここではISO/IEC27001やISO/IEC27002の詳細管理策ではカバーされていなかったクラウドサービスに特化した新たな管理策が紹介されています(下表参照)。全部で9の新たな管理策があります。
| ISO/IEC27001管理策 | ISO/IEC 27017における追加管理策 |
|---|---|
| A6 情報セキュリティのための組織 | CLD.6.3 クラウド利用者とクラウド事業者間の関係 |
| CLD.6.3.1 クラウドコンピューティング環境における役割分担及び責任 | |
| A8 資産管理 | CLD8.1.5 クラウド利用者資産の削除 |
| A9 アクセス制御 | CLD.9.5 分散仮想環境におけるクラウド利用者データのアクセス制御 |
| CLD9.5.1 バーチャルコンピューティング環境における分離 | |
| CLD9.5.2 仮想化マシンの堅牢化 | |
| A12 運用のセキュリティ | |
| A12.1 運用の手順及び責任 | CLD12.1.5 管理者の運用セキュリティ |
| A12.4 ログ取得及び監視 | CLD12.4.5 クラウドサービスの監視 |
| A13.1 ネットワークセキュリティ管理 | CLD13.1.4 仮想及び物理ネットワークのセキュリティマネジメントの整合 |
ISO/IEC27017を基にしたCLS認証制度とは
ISO/IEC27017に準拠しているかどうかを第三者が評価・認証するクラウドサービス(CLS)認証制度があります。CLS認証制度は、ISMS認証取得をしている、または、認証取得することを大前提とした組織のみを対象にしているため、ISMSのアドオン認証とも呼ばれます。
ISO/IEC27017を活用することで、先に示したようなクラウドサービス特有の考慮事項をおさえた情報セキュリティ管理を可能にします。ただそれだけでは解決できない課題があります。ISO/IEC27017に基づく情報セキュリティ管理の実態が伴っていることを第三者に対して証明することです。この課題解決につながるのがCLS認証です。この他、CLS認証には次のようなメリットがあります。
- 信頼の証明
- クラウドサービスにおける情報セキュリティの効果的・効率的な強化
- 継続的な情報セキュリティ改善活動の促進
