総務省 「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集及び取組事例の募集
こんにちは、丸山満彦です。
総務省が、「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集をしていますね。。。合わせて、取組事例の募集もしていますね。。。
● 総務省
・2022.07.25 「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集及び取組事例の募集
1 背景・趣旨
そこで、総務省ではクラウドサービスの利用・提供における適切な設定の促進を図り、安全安心なクラウドサービスの利活用を推進するための対策について、有識者にも御意見を伺いつつ検討を行いました。
・[PDF] 別紙1 クラウドサービスの利用・提供における適切な設定の促進
・[PDF] 別紙2 クラウドサービス利用・提供における適切な設定のためのガイドライン(案)
本ガイドラインの要旨
ここ数年、クラウドサービスを利用する事業者において、設定不備による顧客の個人情報の流失のおそれに至る事案が増加しており、クラウドサービスの利用におけるリスクとして社会的に問題となっている。また、独立行政法人情報処理推進機構(IPA)の「コンピュータウイルス・不正アクセスの届出状況 2021 年」によると、不正アクセスの原因別比率では、設定不備が全体のおよそ 17.7%で第 3 位となり、このような社会問題を引き起こす原因として無視できなくなっている。
このような設定不備は、直接的にはクラウドサービス利用者による単純なミスによるものと考えることもできる。しかし、これらの事案の真因を考察すると、利用側においてはクラウドサービス利用に関する理解不足や不十分な管理・作業体制、提供側においては利用側において設定不備を起こさせないための情報・ツール提供不足やミスを起こさせにくい設計への配慮不足など、様々な要因が複雑に絡み合いながら積み重なることによって設定不備事案の発生に至っていることが想定される。
そこで、本ガイドラインではこれらの設定不備が発生しないよう、安全安心なクラウドサービスの利用・提供に資することを目的として、利用者・事業者双方において共通的に認識しておくべき事項及び具体的な対策について整理し、取りまとめた。
クラウドサービスにおける設定不備の抑止・防止に向けた基本的な考え方は、下記の3つである。
- クラウドサービス利用者・事業者双方において、クラウドサービスの特性や、クラウドサービスの利用・提供におけるリスクについて認識すること
- クラウドサービス利用者・事業者双方において、自身の責任範囲や役割を理解し、それを共通認識とすること
- クラウドサービス利用者・事業者間でコミュニケーションを密なものとしつつ、双方における設定不備の抑止・防止の対策を適切に実施すること
これらに資する情報として、本ガイドラインでは「前提および概要」においてクラウドサービスの設定不備のリスクや、クラウドサービスの設定に関する責任共有の考え方、設定不備の要因と対策の概要について記載した。
「クラウドサービス利用側に求められる対策」「クラウドサービス提供側に求められる対策」では、設定不備の抑止・防止のための具体的な対策やベストプラクティスについて記載している。まず「クラウドサービス利用側に求められる対策」では、クラウドサービス利用側における組織体制・人材育成、作業規則やマニュアルの整備、システム動作環境の設定管理、システム動作環境設定の方法論に関する対策を記載した。また、「クラウドサービス提供側に求められる対策」では、クラウドサービス提供側における組織体制や人材育成、提供するサービスの改善等の対策を記載するとともに、利用側に提供すべき情報や学習コンテンツ、学習機会、利用者を支援するツール等に関する対策を記載した。
目次...
Ⅰ.序編
Ⅰ.1 はじめに
Ⅰ.2 ガイドラインの位置付け
Ⅰ.3 ガイドライン活用の効果
Ⅰ.4 ガイドラインの全体構成
Ⅰ.5 ガイドラインの読み方と利用方法
Ⅰ.6 用語の定義
Ⅰ.7 参考文献
Ⅱ. 前提および概要
Ⅱ.1 本ガイドラインの前提事項
Ⅱ.1.1 クラウドサービスにおける典型的なセキュリティ設定項目と設定不備があった場合のリスク
Ⅱ.1.2 クラウドサービス事業者とクラウドサービス利用者の責任と役割
Ⅱ.1.3 環境の設定における留意すべきパターン
Ⅱ.2 設定不備の要因と対策
Ⅱ.2.1 設定不備の事例と要因分析
Ⅱ.2.2 要因に対する対策
Ⅲ. クラウドサービス利用側に求められる対策
Ⅲ.1 組織体制・人材育成
Ⅲ.1.1 クラウドサービス設定不備の抑止・防止に係る方針的事項
Ⅲ.1.1.1【基本】クラウドサービス利用におけるガバナンスの確保
Ⅲ.1.1.2【基本】事業部門等が独自に利用する場合のルール形成
Ⅲ.1.1.3【推奨】設定診断等の支援ツール利用に対する組織的取組
Ⅲ.1.1.4【基本】クラウドに関する人材の組織的育成
Ⅲ.1.2 技術情報の収集
Ⅲ.1.2.1.【基本】技術情報の収集
Ⅲ.1.3 人材育成
Ⅲ.1.3.1【基本】クラウドサービス利用におけるリテラシーの向上
Ⅲ.1.3.2【基本】クラウドシステム動作環境設定における技術力向上
Ⅲ.1.4 コミュニケーション
Ⅲ.1.4.1.【基本】コミュニケーション
Ⅲ.2 作業規則・マニュアル
Ⅲ.2.1 作業規則やマニュアルの整備
Ⅲ.2.1.1【基本】作業規則の整備
Ⅲ.2.1.2【基本】作業手順書の整備
Ⅲ.2.1.3【基本】ヒューマンエラー対策
Ⅲ.2.1.4【基本】作業手順書に係るマネジメント
Ⅲ.3 クラウドサービスにおけるシステム動作環境の設定管理
Ⅲ.3.1 クラウドセキュリティに係る設定項目の確認
Ⅲ.3.1.1【基本】設定項目の把握と設定
Ⅲ.3.1.2【基本】設定項目の管理
Ⅲ.3.2 クラウドシステムにおける動作環境のプロビジョニング
Ⅲ.3.2.1【基本】変化への適応及び体制整備
Ⅲ.3.3 その他のリスクへの対応
Ⅲ.3.3.1【基本】システム動作環境の設定に関連するその他のリスク対応
Ⅲ.4 クラウドシステム動作環境に関する設定の方法論
Ⅲ.4.1 ノウハウの蓄積
Ⅲ.4.1.1【推奨】クラウドシステム動作環境設定に関するノウハウの蓄積
Ⅲ.4.2 支援ツール等の活用
Ⅲ.4.2.1【推奨】支援ツールや外部診断サービス等の活用
Ⅲ.4.3 定期的な設定のチェックと対応
Ⅲ.4.3.1【基本】システム動作環境の設定に関する定期的なチェックと対応
Ⅳ クラウドサービス提供側に求められる対策
Ⅳ.1 組織体制・人材育成
Ⅳ.1.1 クラウドサービス設定不備の抑止・防止に係る方針的事項
Ⅳ.1.1.1【基本】クラウドサービス提供におけるガバナンスの確保
Ⅳ.1.1.2【推奨】設定診断等の支援ツール提供に対する組織的取組
Ⅳ.1.1.3【基本】クラウドに関する人材の組織的育成
Ⅳ.2 情報提供
Ⅳ.2.1 正しい情報の提供
Ⅳ.2.1.1 【基本】正しい情報の提供
Ⅳ.2.2 十分な情報の提供
Ⅳ.2.2.1 【基本】十分な情報の提供
Ⅳ.2.3 わかりやすい情報の提供
Ⅳ.2.3.1【基本】わかりやすい情報の提供
Ⅳ.2.4 利用者別の対応
Ⅳ.2.4.1【推奨】利用者の特性に応じた情報提供
Ⅳ.2.5 タイムリーな情報提供
Ⅳ.2.5.1【基本】システム動作環境の変更等に伴うタイムリーな情報提供
Ⅳ.2.5.2【基本】公開されたぜい弱性の影響に伴うタイムリーな情報提供
Ⅳ.3 学習コンテンツや学習機会の提供
Ⅳ.3.1 学習コンテンツの提供
Ⅳ.3.1.1【推奨】体系的な学習コンテンツの提供
Ⅳ.3.1.2【推奨】わかりやすい形式のコンテンツの作成
Ⅳ.3.2 学習機会の提供 ー 環境の設定に関する説明
Ⅳ.3.2.1【推奨】セミナーや研修の開催
Ⅳ.3.2.2【推奨】コンサルティングサービスの提供
Ⅳ.4 利用者支援ツールの提供
Ⅳ.4.1 設定項目管理ツールの提供
Ⅳ.4.1.1【推奨】設定項目管理ツールの提供
Ⅳ.4.2 設定項目診断ツールの提供
Ⅳ.4.2.1【推奨】設定項目診断ツールの提供
Ⅳ.5 システムの改善 - ミスが発生しにくいシステムの提供
Ⅳ.5.1 設定方法の見直し
Ⅳ.5.1.1【基本】設定項目のメニュー化/リスト化
Ⅳ5.1.2 【基本】選択肢の表記の工夫
Ⅳ.5.2 デフォルト値の見直し
Ⅳ.5.2.1【基本】デフォルト値の見直し
Ⅳ.5.3 セルフチェック機能の追加
Ⅳ.5.3.1【推奨】セルフチェック機能の追加
Ⅳ.5.4 利用者における設定機会の削減
Ⅳ.5.4.1【基本】設定項目数及び選択肢の削減
Ⅳ.5.4.2【基本】設定変更回数の削減
Ⅳ.5.5 暗号化機能の提供
Ⅳ.5.5.1【推奨】暗号化機能の提供と設定
Ⅳ.6 継続的な改善 - PDCAを回す
Ⅳ.6.1 情報収集
Ⅳ.6.1.1【基本】利用者からのフィードバック情報収集
Ⅳ.6.1.2【基本】公的機関等からの情報収集
Ⅳ.6.1.3【基本】その他の情報収集における事実確認
Ⅳ.6.2 サービスの改善
Ⅳ.6.2.1【基本】サービスの改善
Ⅳ.7 マネージドサービスの提供
Ⅳ.7.1 マネージドサービスの提供
Ⅳ.7.1.1【推奨】マネージドサービスの提供
参考資料
ANNEX 対策一覧
« NIST SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド | Main | 総務省 AIネットワーク社会推進会議 「報告書2022」 »
Comments