Cloud Security Alliance STAR認証:継続的監査の導入
こんにちは、丸山満彦です。
Cloud Security Allianceが継続的監査の導入についての報告書を公表していますね。。。
1996年に堀江正之先生が執筆した「システム監査の理論」に継続的監査について触れられていたと思います。ついに現実になるのでしょうか???
これは、STAR認証のレベル3と最も高いレベルの監査ということのようです。。。
POCを募集中のようです。
● Cloud Security Alliance (CSA)
・2021.09.15 (press) Cloud Security Alliance Releases New Guidelines Providing Insight Into Effectively Using Its Industry-Leading Security Assessment, Assurance Tools
・2021.09.14 The Evolution of STAR: Introducing Continuous Auditing
・[PDF] 簡単な質問に答えるとダウンロードできます
| Introductio | はじめに |
| Value Proposition | バリュープロポジション |
| How Does STAR Level 3 Work? | STAR Level 3の仕組みとは? |
| Roles and Responsibilities | 役割と責任 |
| Continuous Auditing Foundations | 継続的監査の基礎 |
| Preparing for the Continuous Audit | 継続的監査の準備 |
| Executing the Continuous Audit | 継続的監査の実施 |
| Collection | 収集 |
| Measurement | 測定 |
| Evaluation | 評価 |
| Certification | 認証 |
| Conclusion | 結論 |
| References | 参考文献 |
| Continuous Auditing Foundations | 継続的監査の実施 |
| Continuous auditing differs in control validation frequency compared to traditional “point-in-time” certifications and “over a period of time” attestations, which are a linear process producing one output result at the end; continuous auditing measures a control with a higher frequency. Intervals between checks are regulated by a policy that takes into consideration the technical nature of the control and the risk level. Suitable architecture must be designed to facilitate and record automated and non-automated assessments. | 継続的監査は、従来の「時点」の認証や「期間」の証明とは対照的に、統制の検証頻度が異なります。これらは、最終的に一つの出力結果を生み出す直線的なプロセスであり、継続的監査は、より高い頻度で統制を測定します。継続的監査では、より高い頻度で統制を測定します。検証の間隔は、統制の技術的性質とリスクレベルを考慮したポリシーによって規定されます。自動化された評価と非自動化された評価を容易にし、記録するために、適切なアーキテクチャを設計しなければなりません。 |
| Continuous audits are separated into a “preparation phase” and the four “execution phases” (see Figure 3). The preparation phase produces specifications, which are the input for the continually executed subsequent phases. | 継続的監査は、「準備段階」と4つの「実行段階」に分けられる(図3参照)。準備フェーズでは、継続的に実行される後続フェーズのインプットとなる仕様書を作成します。 |
| Continuous auditing requires an architecture that allows for constant data gathering and processing. Defined objectives, attributes, metrics, frequencies, and scope are utilized in the execution phases to analyze the control measurement data and the manual assessments to assess the state of compliance. | 継続的監査には、常にデータの収集と処理を可能にするアーキテクチャが必要です。定義された目的、属性、測定規準、頻度、および範囲は、実行段階において、統制測定データを分析するために利用され、コンプライアンスの状態を評価するために手動で評価されます。 |
| Preparing for the Continuous Audit | 継続監査の準備 |
| In the preparation phase, selected control attributes are operationalized and success criteria are selected. This process includes: | 準備段階では、選択した統制属性を運用し、成功規準を選択します。このプロセスには以下が含まれます。 |
| • Definition of the scope of the measurement and the service-level objectives (SLO) or Service Quantitative Objectives (SQO) associated with each control; | ・測定の範囲と、各統制に関連するサービスレベル目標(SLO)またはサービス量的目標(SQO)の定義 |
| • Determination of the frequencies at which each objective should be checked; and, | ・各目標を検証すべき頻度の決定 |
| • Definition of attributes and metrics, as well as identification of points where the measurements should be taken. | ・属性および測定規準の定義、ならびに測定を行うべきポイントの特定 |
| Control measurements should: | 統制の測定値は以下の通りです。 |
| • Be obtained on the infrastructure or service by performing measurements and storing in the evidence store; | ・インフラストラクチャまたはサービスにおいて、測定を実施し、証拠ストアに保存することで得られること |
| • Be performed according to the metric; and, | ・測定規準に従った実行 |
| • Express a qualitative or quantitative assessment of an attribute. | ・属性の質的または量的な評価の表現 |
| To ensure transparency, this process has to be documented in a way that can be audited. | 透明性を確保するために、このプロセスを監査可能な方法で文書化する必要があります。 |
| Executing the Continuous Audit | 継続的監査の実施 |
| Collection | 収集 |
| The collection phase is the first step of the “execution phase” of an ongoing continuous auditing process. Data is collected for the automated assessment as well as for the non-automated assessment. Data collection is driven by the metric that has been chosen to validate an attribute. Data serves as evidence that the control is operating effectively (or as intended). | 収集フェーズは、継続的な継続的監査プロセスの「実行フェーズ」の最初のステップです。データは、自動化された評価と、自動化されていない評価の両方で収集されます。データの収集は、属性を検証するために選択されたメトリックによって行われます。データは、統制が効果的に(または意図したとおりに)動作していることの証拠となります。 |
| Automated assessments can be driven through log analytics, network statistics and monitoring, process statistics, or resource utilization. | 自動化された評価は、ログ分析、ネットワークの統計と監視、プロセスの統計、またはリソースの利用によって行われます。 |
| Non-automated assessment requires humans to verify the existence and the effectiveness of certain processes and to read documents or examine records. | 自動化されていない評価では、人間が特定のプロセスの存在と有効性を確認したり、文書を読んだり記録を調べたりする必要があります。 |
| The frequency at which evidence is collected is influenced by the objective. Evidence must be stored and retained for audit purposes before it is processed. | 証拠を収集する頻度は、目的によって異なります。証拠は、処理される前に、監査目的で保存され、保持されなければなりません。 |
| Measurement | 測定 |
| This phase seeks to execute operations designed to qualify or quantify a control attribute. The result can be considered as evidence like the raw data itself and should be treated and stored as the original evidence. | このフェーズでは、統制属性を定性化又は定量化するために設計された操作を実行する。結果は、生データそのものと同様に証拠とみなすことができ、元の証拠として扱い、保管する必要があります。 |
| Measurement generally requires data processing to transform the collected raw data into an usable result that can be compared to a known good or objective. | 測定には一般的に、収集した生データを、既知の良品または目的物と比較できる使用可能な結果に変換するためのデータ処理が必要です。 |
| Continuously auditing a measurement result quantifies or qualifies an attribute. Interpretation of raw data collected for an attribute is usually defined in the preparation phase, where a measurable value and control objective is identified for each attribute. | 測定結果を継続的に監査することで、属性を定量化または定性化する。属性について収集された生データの解釈は、通常、準備段階で定義され、各属性について測定可能な値及び統制目的が特定されます。 |
| For key measurement procedures and guidance, see the EU SEC’s Continuous Auditing Certification Scheme. | 主要な測定手順とガイダンスについては、EU SECの「継続的監査認証制度」を参照してください。 |
| Evaluation | 評価 |
| The evaluation phase seeks to validate whether data collected on the control meets the certification goal set by the CSP. Control measurements are validated against SLOs and SQOs. | 評価段階では、統制で収集されたデータが、CSPが設定した認証目標を満たしているかどうかを検証する。統制の測定値は、SLO及びSQOに対して検証されます。 |
| Control validation can be performed by: | 統制の検証は以下の方法で行うことができます。 |
| • Evaluating the attributes: | ・属性の評価 |
| • Performing a measurement, and/or | ・測定の実施 |
| • Requesting the latest value from the evidence store. | ・証拠ストアからの最新値の要求 |
| • Assessing the control status by evaluating all corresponding attributes. | ・対応するすべての属性を評価することによる統制状態の評価 |
| • Evaluating the control status based on the evidence provided for each objective. | ・各目的のために提供された証拠に基づく統制の状態評価 |
| Certification | 認証 |
| The source of control measurement data must be disclosed to stakeholders. CSPs must disclose: | 統制測定データのソースを利害関係者に開示しなければなりません。CSPは以下を開示しなければなりません。 |
| • How the evidence data was collected, namely by human or automated assessment. | ・証拠・データがどのようにして収集されたか、すなわち人力または自動化された評価による。 |
| • The frequency at which the result of the assessment gets updated. | ・評価の結果が更新される頻度。 |
| The assurance on truthful data involves two traits: | 真実のデータに関する保証には、2つの特徴があります。 |
| • An ethical statement from the CSP on the truthfulness. | ・CSPによる真実性に関する倫理的な声明。 |
| • The implementation of technical safeguards into the data aggregation chain, which must be traceable by the stakeholder. | ・データ集計チェーンに技術的な保護手段を導入し、ステークホルダーが追跡できること。 |
| As part of the certification process, continuous auditing data must be shared with CSA and customers for the process to be trusted. Ultimately, the certification phase involves informing stakeholders about the compliance status of an information system with a set of predefined objectives. | 認証プロセスの一環として、継続的監査データをCSAや顧客と共有し、プロセスの信頼性を確保すること。最終的には、認証フェーズでは、事前に定義された一連の目的に対する情報システムの準拠状況を利害関係者に通知することになります。 |
| The CSA Open Certification Framework provides three models for continuous auditing. Each of the three models provides a different level of assurance by covering requirements of continuous auditing with various levels of scrutiny. | CSA オープン認証フレームワークでは、継続的監査のための 3 つのモデルを提供している。3 つのモデルはそれぞれ、継続的監査の要件をさまざまなレベルの精査でカバーすることで、異なるレベルの保証を提供しています。 |
| The three models defined here are represented in Figure 4: | ここで定義されている3つのモデルは、図4に表されています。 |
| 1. Continuous Certification Extended Certification with Continuous Self-Assessment 2. Continuous Self-Assessment | 1. 継続的認証 継続的自己評価を伴う拡張認証 2. 継続的自己評価 |
| Essentially, the proposed framework starts from a simple certification of the timely submission of self-assessment compliance reports and moves up to a continuous certification of control objectives fulfillment. It should be noted that in two of the proposed levels, we rely on traditional “point-in-time” certification as a foundation to create a continuously certified information system by extension. | 基本的に、提案されているフレームワークは、自己評価準拠報告書のタイムリーな提出という単純な認証から始まり、統制目標の達成に関する継続的な認証へと発展していきます。なお、提案されている2つのレベルでは、従来の「時点」認証を基礎として、その延長線上に継続的に認証された情報システムを構築しています。 |
| Conclusion | 結論 |
| The CSA Continuous Auditing Certification (aka STAR Level 3) is the most rigorous assurance tier in the STAR program. Level 3-certified services providers can demonstrate that critical security controls are monitored and validated continuously, providing customers with the ultimate level of transparency and assurance. Continuous security controls auditing and certification delivers the best-in-class security transparency and assurance that customers need in an ever-changing threat landscape. | CSA継続的監査認証(通称:STARレベル3)は、STARプログラムの中でも最も厳格な保証レベルです。レベル3の認証を受けたサービスプロバイダは、重要なセキュリティ対策が継続的に監視・検証されていることを証明することができ、お客様に究極の透明性と保証を提供することができます。継続的なセキュリティ管理の監査と認証は、変化し続ける脅威の中で、お客様が必要とするクラス最高のセキュリティの透明性と保証を提供します。 |
Comments