総務省 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表
こんにちは、丸山満彦です。
総務省が、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果と「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」を公表していますね。。。
改定のポイントは次のようなことのようです。。。(別紙3 概要)
改定のポイント①
SaaS/PaaS/IaaSの特性や、クラウドサービス提供におけるクラウドサービス同士の相関性を踏まえた責任分界のあり方について追記
改定のポイント②
上述の責任分界に関する整理を踏まえ、
✓ SaaS/PaaS/IaaSを提供するクラウドサービス事業者で共通的に実施が求められる情報セキュリティ対策
✓ SaaSを提供するクラウドサービス事業者に実施が求められる情報セキュリティ対策
✓ PaaS/IaaSを提供するクラウドサービス事業者に実施が求められる情報セキュリティ対策
の3つのパターンに整理する形で当ガイドラインの章構成を見直し
改定のポイント③
国際規格(ISO/IEC27017:2016)やNIST SP800-53 rev.5において記載されているセキュリティ対策と整合性をとる形で、当ガイドラインに記載されているセキュリティ対策の内容を見直し
● 総務省
・2021.09.30 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表
一般社団法人情報処理安全確保支援士会、株式会社ラック、ヴイエムウェア株式会社、株式会社セールスフォース・ドットコム、情報処理学会 情報規格調査会 SC 38専門委員会が意見を出していますね。。。
・[PDF] 別紙1:「クラウドサービス提供における情報セキュリティ対策ガイドライン」(案)に対して提出された意見及びその意見に対する考え方
・[PDF]別紙2:クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)
・[PDF]別紙3:クラウドサービス提供における情報セキュリティ対策ガイドラインの改定の概要について
過去のガイドも含めて総務省の発表
● 総務省
・2021.09.30 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表
・2021.07.16 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集
・2018.07.31 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の公表
・2018.06.15 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」(案)に対する意見募集
・2014.04.02 クラウドサービス提供における情報セキュリティ対策ガイドラインの公表
・2014.02.21「クラウドサービス提供における情報セキュリティ対策ガイドライン」(案)に対する意見募集
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.07.17 総務省 意見募集 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)
目次全部
Ⅰ.序編 |
Ⅰ.1.はじめに |
Ⅰ.2.ガイドラインの位置付け |
Ⅰ.3.ガイドライン活用の効果 |
Ⅰ.4.ガイドラインの全体構成 |
Ⅰ.5.ガイドラインの読み方と利用方法 |
Ⅰ.6.クラウドサービス事業者とクラウドサービス利用者の責任 |
Ⅰ.6.1.SaaS における管理と責任共有 |
Ⅰ.6.2.PaaS における管理と責任共有 |
Ⅰ.6.3.IaaS における管理と責任共有 |
Ⅰ.7.サプライチェーン |
Ⅰ.7.1.垂直連携サプライチェーン 1 |
Ⅰ.7.2.垂直連携サプライチェーン 2 |
Ⅰ.7.3.水平連携サプライチェーン 1 |
Ⅰ.7.4.水平連携サプライチェーン 2 |
Ⅰ.8.用語の定義 |
Ⅰ.9.参考文献 |
Ⅱ.共通編 |
Ⅱ.1.情報セキュリティへの組織的取組の基本方針 |
Ⅱ.1.1.組織の基本的な方針を定めた文書 |
Ⅱ.1.1.1.方針の作成・承認・配布 |
Ⅱ.1.1.2.方針の変更 |
Ⅱ.1.1.3.文書保護 |
Ⅱ.2.情報セキュリティのための組織 |
Ⅱ.2.1.内部組織 |
Ⅱ.2.1.1.情報セキュリティ責任者 |
Ⅱ.2.1.2.システム一覧 |
Ⅱ.2.1.3.相反する職務と責任の分離 |
Ⅱ.2.1.4.リスク管理戦略 |
Ⅱ.2.1.5.テスト、トレーニング及びモニタリング |
Ⅱ.2.1.6.組織内苦情管理 |
Ⅱ.2.2.モバイル機器及びテレワーキング |
Ⅱ.2.2.1.モバイル機器の利用方針 |
Ⅱ.2.2.2.テレワーキングでの情報保護 |
Ⅱ.3.サプライチェーンに関する管理 |
Ⅱ.3.1.サプライチェーン事業者間の合意 |
Ⅱ.3.1.1.リスク対策と文書化 |
Ⅱ.3.1.2.サービスの監視 |
Ⅱ.3.1.3.リスク評価とレビュー |
Ⅱ.3.1.4.関連情報の保護 |
Ⅱ.3.1.5.侵害通知 |
Ⅱ.3.1.6.変更管理 |
Ⅱ.3.1.7.耐タンパー性と検出 |
Ⅱ.3.1.8.システム又はシステムコンポーネントの検査 |
Ⅱ.3.1.9.システムコンポーネントの信頼性 |
Ⅱ.3.1.10 システムコンポーネントの廃棄 |
Ⅱ.3.2.サプライチェーン事業者の選定 |
Ⅱ.3.2.1.選定・契約 |
Ⅱ.4.情報資産の管理 |
Ⅱ.4.1.情報資産に対する責任 |
Ⅱ.4.1.1.管理責任者 |
Ⅱ.4.1.2.事業者間の引継ぎ |
Ⅱ.4.1.3.バックアップ |
Ⅱ.4.1.4.当初目的との一致 |
Ⅱ.4.2.情報の分類 |
Ⅱ.4.2.1.資産目録 |
Ⅱ.4.2.2.データ識別 |
Ⅱ.4.2.3.情報資産の取扱い |
Ⅱ.4.3.情報セキュリティポリシーの遵守、点検及び監査 |
Ⅱ.4.3.1.レビュー |
Ⅱ.4.3.2.点検・監査 |
Ⅱ.4.4.アクセス管理 |
Ⅱ.4.4.1.アクセス制御方針 |
Ⅱ.4.4.2.アクセス制御 |
Ⅱ.4.4.3.ユーティリティプログラムの使用 |
Ⅱ.4.4.4.プログラムソースコードへのアクセス |
Ⅱ.4.4.5.アクセス制御となりすまし対策 |
Ⅱ.4.5.構成管理 |
Ⅱ.4.5.1.構成管理のポリシーと手順 |
Ⅱ.4.5.2.ベースライン構成 |
Ⅱ.4.5.3.構成変更管理 |
Ⅱ.4.5.4.変更に対するアクセス制限 |
Ⅱ.4.5.5.設定項目 |
Ⅱ.4.5.6.ソフトウェアの使用制限 |
Ⅱ.4.5.7.クラウドサービス利用者によるソフトウェアのインストール |
Ⅱ.4.5.8.情報の場所 |
Ⅱ.5.従業員に係る情報セキュリティ |
Ⅱ.5.1.雇用前 |
Ⅱ.5.1.1.雇用契約 |
Ⅱ.5.2.雇用期間中 |
Ⅱ.5.2.1.教育・訓練 |
Ⅱ.5.2.2.教育のフィードバック |
Ⅱ.5.2.3.契約違反 |
Ⅱ.5.3.雇用の終了⼜は変更 |
Ⅱ.5.3.1.アクセス権・資産の取扱い |
Ⅱ.6.情報セキュリティインシデントの管理 |
Ⅱ.6.1.情報セキュリティインシデント及びぜい弱性の報告 |
Ⅱ.6.1.1.組織内報告 |
Ⅱ.6.1.2.クラウドサービス事業者とクラウドサービス利用者間の報告 |
Ⅱ.6.1.3.インシデントの評価と分類 |
Ⅱ.6.1.4.フィードバック |
Ⅱ.6.1.5.証拠の収集・取得 |
Ⅱ.7.コンプライアンス |
Ⅱ.7.1.法令と規則の遵守 |
Ⅱ.7.1.1.関連法規と記録 |
Ⅱ.7.1.2.利用可否 |
Ⅱ.7.1.3.ソフトウェア製品 |
Ⅱ.7.1.4.不正アクセス・流出からの保護 |
Ⅱ.7.1.5.暗号化 |
Ⅱ.8.ユーザサポートの責任 |
Ⅱ.8.1.利用者への責任 |
Ⅱ.8.1.1.責任 |
Ⅱ.8.1.2.SLA |
Ⅱ.8.1.3.情報提供 |
Ⅱ.8.1.4.クラウドサービス利用者からの苦情対応 |
Ⅱ.8.2.保守 |
Ⅱ.8.2.1.システム保守ポリシーと手順 |
Ⅱ.8.2.2.保守管理 |
Ⅱ.8.2.3.保守ツール |
Ⅱ.8.2.4.リモート保守 |
Ⅱ.8.2.5.保守要員 |
Ⅱ.8.2.6.保守要員による保守 |
Ⅱ.8.2.7.タイムリーな保守 |
Ⅱ.9.事業継続マネジメントにおける情報セキュリティ |
Ⅱ.9.1.情報セキュリティの継続 |
Ⅱ.9.1.1.情報セキュリティ継続計画の策定と実施 |
Ⅱ.9.1.2.情報セキュリティ継続の検証、レビュー及び評価 |
Ⅱ.9.2.緊急時対応計画 |
Ⅱ.9.2.1.緊急時対応計画の策定と手順 |
Ⅱ.9.2.2.緊急時対応トレーニング |
Ⅱ.9.2.3.緊急時対応計画のテスト |
Ⅱ.9.2.4.代替処理サイト |
Ⅱ.9.2.5.代替処理サイトで再開 |
Ⅱ.9.2.6.通信サービス |
Ⅱ.9.2.7.システムの復旧と再構成 |
Ⅱ.9.2.8.代替通信プロトコル |
Ⅱ.9.2.9.代替の情報セキュリティ対策 |
Ⅱ.10.その他 |
Ⅱ.10.1.暗号と認証 |
Ⅱ.10.1.1.方針 |
Ⅱ.10.1.2.情報提供 |
Ⅱ.10.1.3.暗号鍵の作成と管理 |
Ⅱ.10.2.開発プロセスにおけるセキュリティ |
Ⅱ.10.2.1.開発プロセスにおける情報セキュリティへの取組 |
Ⅲ.SaaS 編 |
Ⅲ.1.運用における情報セキュリティ |
Ⅲ.1.1.運用管理 |
Ⅲ.1.1.1.情報セキュリティ監視手順の策定 |
Ⅲ.1.1.2.運用管理端末 |
Ⅲ.1.1.3.稼働・障害監視 |
Ⅲ.1.1.4.追加報告 |
Ⅲ.1.1.5.定期報告 |
Ⅲ.1.1.6.時刻同期 |
Ⅲ.1.1.7.パスワード管理 |
Ⅲ.1.1.8.クラウドサービスの変更管理 |
Ⅲ.1.1.9.リソース監視 |
Ⅲ.1.1.10.環境分離 |
Ⅲ.1.1.11.マルウェア対策 |
Ⅲ.1.1.12.イベントログの取得 |
Ⅲ.1.1.13.ログの保護 |
Ⅲ.1.1.14.作業記録 |
Ⅲ.1.1.15.ソフトウェア導入 |
Ⅲ.1.1.16.技術的ぜい弱性 |
Ⅲ.1.2.システム及び情報の完全性 |
Ⅲ.1.2.1.原本性確保 |
Ⅲ.1.2.2.メモリ保護 |
Ⅲ.1.2.3.セキュリティ侵害の検知 |
Ⅲ.1.2.4.情報の更新 |
Ⅲ.1.2.5.代替情報源 |
Ⅲ.1.2.6.情報の断片化 |
Ⅲ.1.3.媒体の保管と廃棄 |
Ⅲ.1.3.1.媒体保管 |
Ⅲ.1.3.2.廃棄 |
Ⅲ.1.3.3.輸送 |
Ⅲ.2.アプリケーション |
Ⅲ.2.1.アプリケーションの情報セキュリティ対策 |
Ⅲ.2.1.1.ウイルス対策 |
Ⅲ.2.1.2.公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 |
Ⅲ.2.1.3.アプリケーションサービスのトランザクションの保護 |
Ⅲ.2.1.4.プラットフォーム変更後のアプリケーションの技術的レビュー |
Ⅲ.2.1.5.パッケージソフトウェアの変更に対する制限 |
Ⅲ.2.2.データの保護 |
Ⅲ.2.2.1.バックアップ |
Ⅲ.2.2.2.バックアップ情報の完全性 |
Ⅲ.2.3.セッション管理 |
Ⅲ.2.3.1.セッションのライフサイクル管理 |
Ⅲ.2.3.2.セッションの真正性 |
Ⅲ.2.3.3.同時セッションの制御 |
Ⅲ.2.3.4.セッションのロック |
Ⅳ.PaaS/IaaS 編 |
Ⅳ.1.運用における情報セキュリティ |
Ⅳ.1.1.運用管理 |
Ⅳ.1.1.1.情報セキュリティ監視手順の策定 |
Ⅳ.1.1.2.運用管理端末 |
Ⅳ.1.1.3.稼働・障害監視 |
Ⅳ.1.1.4.追加報告 |
Ⅳ.1.1.5.定期報告 |
Ⅳ.1.1.6.時刻同期 |
Ⅳ.1.1.7.パスワード管理 |
Ⅳ.1.1.8.クラウドサービスの変更管理 |
Ⅳ.1.1.9.リソース監視 |
Ⅳ.1.1.10.環境分離 |
Ⅳ.1.1.11.マルウェア対策 |
Ⅳ.1.1.12.イベントログの取得 |
Ⅳ.1.1.13.ログの保護 |
Ⅳ.1.1.14.作業記録 |
Ⅳ.1.1.15.ソフトウェア導入 |
Ⅳ.1.1.16.技術的ぜい弱性 |
Ⅳ.1.2.システム及び情報の完全性 |
Ⅳ.1.2.1.原本性確保 |
Ⅳ.1.2.2.メモリ保護 |
Ⅳ.1.2.3.セキュリティ侵害の検知 |
Ⅳ.1.2.4.情報の更新 |
Ⅳ.1.2.5.代替情報源 |
Ⅳ.1.2.6.情報の断片化 |
Ⅳ.1.3.媒体の保管と廃棄 |
Ⅳ.1.3.1.媒体保管 |
Ⅳ.1.3.2.廃棄 |
Ⅳ.1.3.3.輸送 |
Ⅳ.2.プラットフォーム、サーバ・ストレージ |
Ⅳ.2.1.プラットフォーム、サーバ・ストレージの情報セキュリティ対策 |
Ⅳ.2.1.1.ウイルス対策 |
Ⅳ.2.2.プラットフォーム、サーバ・ストレージの運用・管理 |
Ⅳ.2.2.1.可用性 |
Ⅳ.2.2.2.リソース |
Ⅳ.2.3.データの保護 |
Ⅳ.2.3.1.バックアップ |
Ⅳ.2.3.2.バックアップ情報の完全性 |
Ⅳ.3.ネットワーク |
Ⅳ.3.1.ネットワークにおける情報セキュリティ対策 |
Ⅳ.3.1.1.ネットワーク構成 |
Ⅳ.3.1.2.管理者の権限 |
Ⅳ.3.1.3.不正アクセス防止 |
Ⅳ.3.1.4.パケット検知 |
Ⅳ.3.1.5.実施基準 |
Ⅳ.3.1.6.通信の暗号化 |
Ⅳ.3.1.7.サーバ証明書 |
Ⅳ.3.1.8.情報セキュリティ特性 |
Ⅳ.3.1.9.障害監視 |
Ⅳ.3.1.10.クロス・ドメイン・ポリシーの実施 |
Ⅳ.3.1.11.統制管理のための代替通信パス |
Ⅳ.3.1.12.検出機器の再配置 |
Ⅳ.3.1.13.ハードウェア/ソフトウェアによる分離とポリシーの施行 |
Ⅳ.3.1.14.ハードウェアベースの書き込み保護 |
Ⅳ.3.2.情報の転送 |
Ⅳ.3.2.1.情報転送の方針及び手順 |
Ⅳ.3.2.2.情報転送に関する合意 |
Ⅳ.3.2.3.秘密保持契約又は守秘義務契約 |
Ⅳ.3.3.セッション管理 |
Ⅳ.3.3.1.セッションのライフサイクル管理 |
Ⅳ.3.3.2.セッションの真正性 |
Ⅳ.3.3.3.同時セッションの制御 |
Ⅳ.3.3.4.セッションのロック |
Ⅳ.4.建物、電源(空調等) |
Ⅳ.4.1.建物の災害対策 |
Ⅳ.4.1.1.建物 |
Ⅳ.4.1.2.電源 |
Ⅳ.4.1.3.空調 |
Ⅳ.4.2.⽕災、雷、静電気からシステムを防護するための対策 |
Ⅳ.4.2.1.汚損対策 |
Ⅳ.4.2.2.火災対策 |
Ⅳ.4.2.3.雷対策 |
Ⅳ.4.2.4.静電気対策 |
Ⅳ.4.2.5.緊急遮断 |
Ⅳ.4.2.6.非常用電源 |
Ⅳ.4.2.7.非常用照明 |
Ⅳ.4.2.8.電磁パルス保護対策 |
Ⅳ.4.3.装置の対策 |
Ⅳ.4.3.1.サポートユーティリティ |
Ⅳ.4.3.2.ケーブル配線のセキュリティ |
Ⅳ.4.3.3.装置の保守 |
Ⅳ.4.3.4.資産の移動 |
Ⅳ.4.3.5.構外にある装置及び情報資産のセキュリティ |
Ⅳ.4.3.6.装置のセキュリティを保った処分又は再利用 |
Ⅳ.4.3.7.無人状態にあるクラウドサービス利用者装置 |
Ⅳ.4.3.8.クリアデスク・クリアスクリーン方針 |
Ⅳ.4.4.建物の情報セキュリティ対策 |
Ⅳ.4.4.1.オフィス、部屋及び施設のセキュリティ |
Ⅳ.4.4.2.セキュリティを保つべき領域での作業 |
Ⅳ.4.4.3.入退室記録 |
Ⅳ.4.4.4.監視カメラ |
Ⅳ.4.4.5.破壊対策ドア |
Ⅳ.4.4.6.警備員 |
Ⅳ.4.4.7.鍵管理 |
Ⅳ.4.4.8.受渡場所 |
Ⅳ.4.4.9.搬入と搬出 |
Ⅴ.IoT サービスリスクへの対応方針編 |
Ⅴ.1.概要 |
Ⅴ.1.1.IoT サービスを特徴付ける三つの観点 |
Ⅴ.1.2.対象とする IoT サービスの構造 |
Ⅴ.1.3.IoT サービスにおいて重視すべきリスク |
Ⅴ.1.4.IoT サービスリスクへの対応の考え方 |
Ⅴ.1.5.第Ⅴ部の活用方法 |
Ⅴ.1.6.IoT セキュリティガイドラインとの関係 |
Ⅴ.2.IoT サービスのリスク |
Ⅴ.2.1.IoT サービスの提供におけるロールとコンポーネント |
Ⅴ.2.1.1.IoT サービスの提供におけるロール |
Ⅴ.2.1.2.IoT サービスの提供に必要なコンポーネント |
Ⅴ.2.2.三つの観点ごとのリスク |
Ⅴ.3.対応策を割り当てる IoT サービスリスクの抽出 |
Ⅴ.4.IoT サービスを提供するクラウド事業者が取るべき対応策の導出 |
Ⅴ.4.1.対応策導出の流れ |
Ⅴ.4.1.1.IoT サービスの三つの観点ごとのロール、リスク、リスク対応策の関係 |
Ⅴ.4.1.2.クラウド事業者の責任範囲の把握 |
Ⅴ.4.1.3.対応策導出の流れ |
Ⅴ.4.2.調査テンプレートへの記入例 |
Ⅴ.4.3.リスク対応策導出マップ |
Ⅴ.5.リスク対応策 |
参考資料 |
ANNEX1 クラウドサービスのパターン |
ANNEX2 対策一覧 |
ANNEX3 クラウド事業者が過度の責任を負わないための注意点 |
ANNEX4 【事例集】 調査テンプレートの記入例 |
Comments