« NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ | Main | 内閣官房 クラウドを利用したシステム運用に関するガイダンス »

2021.12.01

Cloud Security Alliance サードパーティセキュリティサービスの役割と責任

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がサードパーティセキュリティサービスの役割と責任に関する文書を公表していますね。。。

従業員数でいうと250名程度以下の中小企業(Small and Medium Enterprises)[wikipedia]が適切なセキュリティサービスを選択するために必要な知識を提供することを目的としているようですが、大企業であっても参考になることはあると思います。

あげているセキュリティ・サービスは、

・アイデンティティおよびアクセス管理
・クラウドワークロード保護プラットフォーム
・ネットワークセキュリティ
・データとストレージのセキュリティ
・アセスメント
・サービスとしてのセキュリティ分析
・アプリケーションセキュリティ
・セキュリティサポートサービス

ですね。。。

主要なサービスが網羅されているというのもよいですね。。。

 

Cloud Security Alliance (CSA)

・2021.11.30 (press) New Guidance From Cloud Security Alliance Aims to Help Cloud Service Customers Better Evaluate Service Level Agreements

 

・2021.11.30 Roles and Responsibilities of Third Party Security Services

Roles and Responsibilities of Third Party Security Services サードパーティセキュリティサービスの役割と責任
As we witness the broader adoption of cloud services, it is no surprise that third-party outsourced services are also on the rise. The security responsibilities are typically split between the CSPs and Cloud Service Customers (CSCs). However, in reality, third-party security services providers increasingly play essential roles, such as providing consultancy or managing security services for CSCs. They have a part in securing the cloud platform as well. For example, some SMEs (Small and Medium Enterprises) without security professionals may be unsure of how to secure their services and thus engage a Third-Party Security Service Provider (TPSSP) for consultancy.  クラウドサービスの普及に伴い、第三者によるアウトソーシングサービスが増加しているのは当然のことです。セキュリティに関する責任は、通常、CSPとCSC(Cloud Service Customers)の間で分担されています。しかし実際には、サードパーティのセキュリティ・サービス・プロバイダーは、CSCのセキュリティ・サービスのコンサルティングや管理を行うなど、重要な役割を果たすことが多くなっています。また、クラウド・プラットフォームのセキュリティにも一役買っています。例えば、セキュリティの専門家を持たないSME(Small and Medium Enterprises)の中には、自社のサービスをどのように保護すればよいかわからないため、サードパーティ・セキュリティ・サービス・プロバイダー(TPSSP)にコンサルティングを依頼するケースがあります。 
The role of TPSSP can be pivotal in the security of these SMEs. The guidelines in this document will help cloud customers when signing Service Level Agreement(SLAs) with TPSSPs. このような中小企業のセキュリティにおいて、TPSSPの役割は極めて重要なものとなります。本文書のガイドラインは、クラウド事業者がTPSSPとサービスレベル契約(SLA)を締結する際に役立ちます。
Understand the security roles and responsibilities of TPSSPs for: 以下についてのTPSSPのセキュリティ上の役割と責任を理解する。
・Identity and access management ・アイデンティティおよびアクセス管理
・Cloud Workload Protection Platform ・クラウドワークロード保護プラットフォーム
・Network Security ・ネットワークセキュリティ
・Data & Storage Security ・データとストレージのセキュリティ
・Assessment ・アセスメント
・Security Analytics as a Service ・サービスとしてのセキュリティ分析
・Application Security ・アプリケーションセキュリティ
・Security Support Services ・セキュリティサポートサービス

・[PDF] 簡単な質問に答えるとダウンロードできます

20211201-50945

1 Introduction 1 はじめに
1.1 Background 1.1 背景
1.2 Scope 1.2 範囲
1.3 Goal 1.3 目標
1.4 Audience 1.4 想定読者
2 Definitions and Characteristics 2 定義と特徴
2.1 Definitions 2.1 定義
2.2 TPSSP/ MSSP Characteristics 2.2 TPSSP/MSSPの特徴
3 Roles and Responsibilities of TPSSPs 3 TPSSPの役割と責任
3.1 Identity and Access Management (IAM) 3.1 アイデンティティ及びアクセス管理(IAM)
3.1.1 Privileged Access Management (PAM) 3.1.1 Privileged Access Management (PAM)
3.1.2 Access Management and Authentication (AMA) 3.1.2 アクセス管理および認証(AMA:Access Management and Authentication)
3.1.3 Identity Governance and Administration (IGA) 3.1.3 アイデンティティ・ガバナンスとアドミニストレーション(IGA)
3.1.4 Fraud Detection 3.1.4 不正行為の検知
3.1.5 Identity Threat Protection 3.1.5 アイデンティティ脅威の保護
3.2 Cloud Workload Protection Platform (CWPP) 3.2 クラウド・ワークロード・プロテクション・プラットフォーム(CWP)
3.2.1 Malware Analysis (Anti-Virus) 3.2.1 マルウェア解析(アンチウイルス)
3.2.2 Server Endpoint Detection and Response (Server EDR) 3.2.2 サーバーエンドポイント検出と応答(Server EDR)
3.2.3 Container Security 3.2.3 コンテナセキュリティ
3.2.4 Serverless Security 3.2.4 サーバーレス・セキュリティ
3.2.5 Memory and Process, Integrity/Protection (MPIP) 3.2.5 MPIP(Memory and Process, Integrity/Protection)
3.2.6 Micro-segmentation 3.2.6 マイクロセグメンテーション
3.2.7 Vulnerability, Hardening, and Configuration Compliance 3.2.7 脆弱性対策、ハードニング、設定コンプライアンス
3.3 Network Security 3.3 ネットワークセキュリティ
3.3.1 Virtual Private Network (VPN)-as-a-Service (VPNaaS) 3.3.1 仮想プライベート・ネットワーク(VPN)アズ・ア・サービス(VPNaaS)
3.3.2 Network Security Audit 3.3.2 ネットワークセキュリティ監査
3.3.3 Web Application Firewall (WAF)-as-a-Service (WAFaaS) 3.3.3 サービスとしてのウェブアプリケーションファイアウォール(WAF)(WAFaaS)
3.3.4 Distributed Denial-of-Service (DDoS) Mitigation Service 3.3.4 分散型サービス拒否(DDoS)緩和サービス
3.3.5 Network Intrusion Detection/Prevention (NIDPS) Service 3.3.5 ネットワーク侵入検知・防御(NIDPS)サービス
3.3.6 Secure Web Gateway (SWG) Service 3.3.6 セキュアウェブゲートウェイ(SWG)サービス
3.3.7 Network Traffic Analysis (NTA) Service 3.3.7 ネットワークトラフィック解析(NTA)サービス
3.4 Data and Storage Security 3.4 データおよびストレージセキュリティ
3.4.1 Digital Risk Protection 3.4.1 デジタルリスクの保護
3.4.2 Data Backup and Recovery 3.4.2 データのバックアップとリカバリー
3.4.3 Database Forensic 3.4.3 データベース・フォレンジック
3.4.4 Data Masking 3.4.4 データマスキング
3.4.5 Data Encryption 3.4.5 データの暗号化
3.5 Assessment 3.5 アセスメント
3.5.1 Vulnerability Scan Services 3.5.1 脆弱性スキャンサービス
3.5.2 Cloud Security Posture Management (CSPM) 3.5.2 クラウドセキュリティポスチャーマネジメント(CSPM)サービス
3.5.3 Penetration Testing Services 3.5.3 侵入テストサービス
3.6 Security Analytics-as-a-Service 3.6 セキュリティ・アナリティクス・アズ・ア・サービス
3.6.1 Security Information and Event Management (SIEM) 3.6.1 セキュリティ・インフォメーション・アンド・イベント・マネジメント(SIEM)
3.6.2 Security Orchestration, Automation, and Response (SOAR) 3.6.2 セキュリティオーケストレーション、オートメーション、レスポンス(SOAR)
3.6.3 Audit Log-as-a-Service 3.6.3 監査ログ・アズ・ア・サービス
3.6.4 Threat Intelligence Services 3.6.4 脅威インテリジェンスサービス
3.7 Application Security 3.7 アプリケーション・セキュリティ
3.7.1 Email Security Service 3.7.1 電子メールセキュリティサービス
3.7.2 Cloud Access Security Broker (CASB) 3.7.2 クラウド・アクセス・セキュリティ・ブローカー(CASB)
3.7.3 Key Management-as-a-Service (KMaaS) 3.7.3 キーマネージメント・アズ・ア・サービス(KMaaS)
3.8 Security Support Services 3.8 セキュリティサポートサービス
3.8.1 Security Configuration Management 3.8.1 セキュリティ設定管理
3.8.2 Security Incident Response 3.8.2 セキュリティインシデント対応
3.8.3 Security Policy Development 3.8.3 セキュリティポリシーの策定
3.8.4 Security Updates 3.8.4 セキュリティアップデート
3.8.5 Security Reporting 3.8.5 セキュリティレポート
3.8.6 Security Training and Education 3.8.6 セキュリティのトレーニングと教育
4 Conclusion 4 おわりに
References 参考文献

 

|

« NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ | Main | 内閣官房 クラウドを利用したシステム運用に関するガイダンス »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ | Main | 内閣官房 クラウドを利用したシステム運用に関するガイダンス »