米・英・独・豪におけるクラウドサービス評価制度の実施状況調査結果を公開 IPA
掲載:2024年09月13日
サイバー速報
目次
情報処理推進機構(IPA)は8月27日、「海外のクラウドサービス評価制度の実施状況調査」の結果を公開しました。ISMAP(政府情報システムのためのセキュリティ評価制度)をグローバルな視点で客観的に検証するための基礎的な情報が整理されています。各国の制度を対象にした「インシデント規程比較表」や「供給者管理規程比較表」も公表しました。
調査対象はアメリカ(FedRAMP)、イギリス(G-Cloud)、ドイツ(C5)、オーストラリア(IRAP)の4か国4制度です。まず、各制度の概要と状況変化がまとめられています。例えばFedRAMPでは2021年4月に「FedRAMP Incident Communications Procedures」の「Version 4.0」が公表されたり、2023年5月に「FedRAMP Security Controls Baseline」が改訂されたりしたことなどが紹介されています。
インシデント対応の調査も行いました。海外のインシデント情勢を示すものとして欧州ネットワーク・情報セキュリティ機関(ENISA)が公表した「ENISA THREAT LANDSCAPE 2023」が取り上げられています。ENISAは欧州連合(EU)加盟国からインシデント報告を受けています。
それによると、2022年7⽉から2023年6⽉の間に報告されたインシデントの脅威タイプの内訳は「ランサムウェア」が最も多く、次いで「DDoS」、「データ侵害・漏洩」でした。EU内における同期間のインシデント報告件数(月次)では、2023年6月が最も多く約600件でした。2022年7月から2023年4月までは300件を超えておらず、2023年に入ってから報告件数が急増しました。
インシデント制度については、4か国4制度それぞれの、インシデント予防・対応に関する規程およびガイドラインと、供給者管理に関する規程およびガイドラインが示されました。例えばFedRAMPの「インシデント対応に関する管理策」では、インシデント対応トレーニング、インシデント対応、インシデント監視、情報流出対応など全24項目が記されています。インシデント規程と供給者管理規程はそれぞれ比較表にまとめられています。
おすすめ記事
- 2024年のセキュリティ動向
- クラウドサービスに特化したセキュリティ基準 ~各ガイドラインや認証制度の比較~
- クラウドサービスを全社的にリスクマネジメントする方法-COSO-ERM for Cloud Computing徹底解説-
- 広報資料「はじめてのISMAP-政府情報システムのためのセキュリティ評価制度の概要-」を公表 NISCほか
- FedRAMP(米国政府機関におけるクラウドセキュリティ認証制度)
- ISMAPの新制度「ISMAP-LIU」の運用を開始 NISCなど
- 設定ミスの防止に向けてクラウドサービス利用者を対象とした設定ミス対策ガイドブックを公表 総務省
- システムのブラックボックス化を懸念、「重要情報を扱うシステムの要求策定ガイド」活用の手引き(別冊)を公開 IPA
- ISMAP-LIU (ISMAP for Low-Impact Use)