フランス ANSSI 機密情報システムをクラウドでホスティングするための推奨事項

こんにちは、丸山満彦です。

フランスの情報システムセキュリティ庁 機密情報システムをクラウドでホスティングするための推奨事項を公表していますね...欧州では、欧州クラウドサービス認証スキーム（EUCS）が現在策定中ですので、それが確定すれば、そちらに移行することになります。

● Agence nationale de la sécurité des systèmes d'information; ANSSI

・2024.07.09 Recommandations pour l’hébergement des SI sensibles dans le cloud

Recommandations pour l’hébergement des SI sensibles dans le cloud	機密情報システムをクラウドでホスティングするための推奨事項
La série de recommandations de l’ANSSI est un outil d’aide à la décision pour des entités envisageant un hébergement cloud pour leurs systèmes d’information (SI) sensibles.	ANSSIの一連の勧告は、機密情報システム（IS）のクラウド・ホスティングを検討している事業者のための意思決定ツールである。
Recommandations pour l'hébergement dans le cloud des systèmes d'information sensibles	機密情報システムをクラウドでホスティングするための推奨事項
Pour répondre aux enjeux de sécurité liés au cloud, l’ANSSI a développé une série de recommandations pour l’hébergement dans le cloud qui précisent, en fonction du type de système d’information (SI), de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier.	クラウドがもたらすセキュリティ上の課題に対応するため、ANSSIはクラウドでのホスティングに関する一連の勧告を策定した。この勧告では、情報システム（IS）の種類、データの機密性、脅威のレベルに応じて、どのようなクラウドサービスが望ましいかを規定している。
La série de recommandations de l’ANSSI constitue un outil d’aide à la décision pour les entités qui envisagent un hébergement cloud pour leurs systèmes d’information de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que des systèmes d’information d’importance vitale (SIIV).	ANSSIの一連の勧告は、流通制限（DR）情報システム、極めて重要な事業者の機密情報システム、不可欠なサービスを提供する事業者の機密情報システム、および重要情報システム（SIIV）のクラウド・ホスティングを検討する事業者のための意思決定ツールである。
Il est à noter que ces recommandations ne s’appliquent pas aux systèmes d’information classifiés et que tous les systèmes d’information n’ont pas vocation à recourir aux solutions cloud. Elles s’inscrivent, par ailleurs, en cohérence avec la doctrine « cloud au centre » de l’État.	これらの勧告は、機密情報システムには適用されないこと、また、すべての情報システムがクラウド・ソリューションを使用する運命にあるわけではないことに留意すべきである。また、フランス政府の「クラウド・アット・ザ・センター」政策にも合致している。
Recommandations de l’ANSSI pour l’hébergement des systèmes d’information sensibles dans le cloud	機密情報システムをクラウドでホスティングするためのANSSI勧告

 

機密情報システムをクラウドでホスティングする際の推奨事項...

・[PDF] RECOMMANDATIONS POUR L’HÉBERGEMENT DANS LE CLOUD DES SYSTÈMES D’INFORMATION SENSIBLES

・[DOCX][PDF] 仮訳

 

 

FAQ...

・2024.07.08 FAQ sur les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud

FAQ sur les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud	機密情報システムをクラウドでホスティングするためのANSSI勧告に関するFAQ
Questions-réponses concernant les recommandations d’hébergement des systèmes d’information sensibles dans le cloud.	機密情報システムをクラウドでホスティングするための推奨事項に関する質問と回答。
La série de recommandations  de l’ANSSI pour l’hébergement des systèmes d’information sensibles dans le cloud (accessible ici) est un outil d’aide à la décision pour des entités envisageant un hébergement cloud pour leurs systèmes d’information (SI) sensibles.	機密情報システムをクラウドでホスティングするためのANSSI勧告シリーズ（こちらから入手可能）は、機密情報システム（IS）のクラウドホスティングを検討している事業者のための意思決定ツールである。
Cette FAQ vise à répondre aux questions principales concernant les recommandations de l’agence. La liste des questions-réponses sera progressivement enrichie.	このFAQは、ANSSIの勧告に関する主な質問に答えることを目的としている。質問と回答のリストは順次拡大していく予定である。
1. Les recommandations de l’ANSSI ont-elles un caractère obligatoire ?	1. ANSSIの勧告は義務なのか？
La série de recommandations mis à disposition par l’ANSSI est un outil d’aide à la décision non contraignant. Certains points précis évoqués dans le document sont toutefois obligatoires (en cohérence avec la doctrine « Cloud au centre » de l’Etat qui impose pour l’administration, et plus spécifiquement pour les données sensibles, de recourir à des solutions cloud qualifiées SecNumCloud).	ANSSIが提供する一連の勧告は、拘束力のない意思決定ツールである。しかし、この文書で提起されている具体的な指摘の中には、義務的なものもある（フランス政府の「Cloud at the centre」政策に沿ったもので、政府部門、特に機密データについては、SecNumCloud認定クラウド・ソリューションの利用を義務付けている）。
2. Comment utiliser ces recommandations ?	2. これらの推奨事項はどのように利用できるのか？
Dans le cadre d’un projet de migration d’un système d’information sensible vers un hébergement cloud, les recommandations de l’ANSSI peuvent être utilisées comme un outil d’aide à la décision qui permettent d’identifier des étapes essentielles de toute réflexion à conduire en amont d‘une éventuelle migration, en prenant en compte les différents aspects techniques et organisationnels de celle-ci. Le document précise les types d’offres cloud à privilégier, en fonction du type de système d’information, de la sensibilité des données et du niveau de menace associé.	機密情報システムをクラウドホスティングに移行するプロジェクトの一環として、ANSSIの勧告は、移行に関連する様々な技術的・組織的側面を考慮しながら、移行前に行うべき協議の重要な段階を特定するための意思決定ツールとして利用することができる。同文書では、情報システムの種類、データの機密性、関連する脅威のレベルに応じて、どのようなクラウドサービスが望ましいかを規定している。
3. Quelles sont les recommandations de sécurité à suivre lors de la migration d’un système d’information vers un hébergement cloud ?	3. 情報システムをクラウド・ホスティングに移行する場合、どのようなセキュリティ勧告に従うべきか？
L’ANSSI recommande que la décision de migrer des systèmes d’information vers des solutions cloud soit toujours éclairée par une étude d’impact, notamment métier et juridique, ainsi qu’une analyse de risques.	ANSSIは、情報システムをクラウド・ソリューションに移行する決定には、リスク分析だけでなく、影響調査、特にビジネスと法務に関する調査を必ず行うことを推奨している。
En complément des précautions d’emploi indiquées dans le document mis à disposition par l’ANSSI, il est important que l’entité responsable du système d’information s’assure des bonnes configurations et de la sécurité des solutions cloud choisies. Ainsi, il est de la responsabilité des entités d’identifier l’offre la plus adaptée à leurs besoins, d’acquérir les licences idoines auprès des offreurs cloud, ainsi que de configurer les bonnes options de sécurité. Par ailleurs, l’insertion d’une clause de réversibilité permet d’éviter toute dépendance à une offre cloud unique et à ses évolutions futures.	ANSSIが提供する文書に記載されている使用上の注意事項に加えて、情報システムの責任主体は、選択したクラウド・ソリューションが適切に設定され、安全であることを確認することが重要である。そのため、自社のニーズに最も適したサービスを特定し、クラウドプロバイダーから適切なライセンスを取得し、適切なセキュリティオプションを設定することは、事業体の責任である。さらに、可逆性条項を盛り込むことで、単一のクラウド・オファリングとその将来の発展への依存を避けることができる。
D’autres bonnes pratiques sont à privilégier, notamment des audits réguliers de la solution ; le suivi des accès ; le suivi des vulnérabilités du fournisseur cloud ; etc	その他のベスト・プラクティスとしては、ソリューションの定期的な監査、アクセス監視、クラウド・プロバイダーの脆弱性の監視などがある。
4. Comment s’articulent les recommandations de l’ANSSI avec le futur schéma de certification européen pour les services cloud (EUCS) ?	4. ANSSIの勧告は、将来的に欧州で導入されるクラウドサービスの認証スキーム（EUCS）とどのように整合するのか？
Le schéma de certification européen services cloud (EUCS) est actuellement en cours d’élaboration. Les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud seront mises à jour lors de l’entrée en application du schéma de certification européen EUCS.	クラウドサービスの欧州認証スキーム（EUCS）は現在策定中である。機密情報システムをクラウドでホスティングするためのANSSIの勧告は、EUCSの欧州認証スキームが発効した時点で更新される予定である。
5. Où trouver plus d’informations sur le Visa de sécurité SecNumCloud évoqué dans les recommandations?	5. 勧告に記載されているSecNumCloud Security Visaの詳細情報はどこで入手できるか？
Nous vous invitons à consulter :	以下を参照されたい。
La rubrique dédiée au Visa de sécurité SecNumCloud ;	SecNumCloudセキュリティビザのセクション；
La FAQ dédiée au Visa de sécurité SecNumCloud.	SecNumCloudセキュリティビザに関するFAQを参照されたい。

 

 

クラウド・アット・ザ・センター

・Le Cloud pour les administrations

 

セキュリティ認定

・認定製品・サービスの一覧

・SecNumCloudサービスの一覧

 

資格認定のための要件

・Référentiels d'exigences pour la qualification

Prestataires d'accompagnement et de conseil en sécurité des systèmes d’information (PACS)	情報システムセキュリティサポート・コンサルタントプロバイダ（PACS）
PACS – référentiel d’exigences – v1.0	PACS要求事項フレームワーク - v1.0
Le référentiel PACS a pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leurs missions de protection des systèmes d’information, et notamment d’homologation de sécurité, de gestion des risques, de conception d’architectures sécurisées, et de préparation à la gestion de crises d’origine cyber.	PACS標準の目的は、情報システムセキュリティマネージャとそのチームが情報システムを保護するための作業、特にセキュリティ認証、リスクマネジメント、安全なアーキテクチャの設計、サイバー危機管理の準備において支援することである。
Le référentiel couvre activités:	この標準は以下の活動を対象としている：
Conseil en homologation de sécurité des systèmes d’information ;	情報システムセキュリティ認証コンサルティング
Conseil en gestion des risques de sécurité des systèmes d’information ;	情報システムセキュリティリスクマネジメントのコンサルティング
Conseil en sécurité des architectures des systèmes d’information ;	情報システムアーキテクチャーセキュリティコンサルティング
Conseil en préparation à la gestion de crise d’origine cyber.	サイバー危機管理準備コンサルティング
Prestataire  d’audit de la sécurité des systèmes d’information (PASSI)	情報システムセキュリティ監査サービスプロバイダー（PASSI）
PASSI – référentiel d’exigences – v2.0	PASSI - 要求事項の枠組み - v2.0
Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits.	情報システムセキュリティ監査プロバイダのための要求事項枠組みは、この分野のサービスの資格取得を希望するプロバイダのための一連の規則である。監査プロバイダ、そのスタッフ、および監査の実施に関する要求事項を網羅している。
La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel et physique.	監査プロバイダは、アーキテクチャ監査、コンフィギュレーション監査、ソースコード監査、侵入テスト、組織的監査、物理的監査を実施する。
Prestataire de réponse aux incidents de sécurité (PRIS)	セキュリティインシデント対応サービスプロバイダ（PRIS）
PRIS – référentiel d’exigences – v2.0	PRIS - 要求事項の枠組み - v2.0
Le référentiel d’exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu’au déroulement des prestations de réponse aux incidents.	セキュリティインシデント対応サービスプロバイダのための要求事項枠組みは、この分野のサービスの認定を希望するサービスプロバイダのための一連の規則である。インシデントレスポンス プロバイダ、そのスタッフ、およびインシデントレスポンス サービスの提供方法に関連する要件を網羅している。
La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : pilotage technique, analyse système, analyse réseau et analyse de codes malveillants.	インシデントレスポンス・プロバイダは、技術管理、システム分析、ネットワーク分析、悪質コード分析の各活動について、資格認定を受けることができる。
Prestataire de détection des incidents de sécurité (PDIS)	セキュリティインシデント検知サービスプロバイダ（PDIS）
PDIS – Référentiel d’exigences – v.2.0	PDIS - 要求事項参照文書 - v.2.0
PDIS – Requirements reference document – v.2.0	PDIS - 要求事項参照文書 - v.2.0
Le référentiel d’exigences relatif aux prestataires de détection des incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu’au déroulement des prestations de détection des incidents.	セキュリティインシデント検知サービスプロバイダのための要求事項参照文書は、この分野のサービス認定を希望するプロバイダのための一連の規則である。インシデント検知プロバイダ、そのスタッフ、およびインシデント検知サービスの提供に関連する要件を網羅している。
La qualification peut être délivrée aux prestataires de détection des incidents pour l’ensemble de l’activité de détection d’incidents de sécurité.	セキュリティ・インシデント検知活動全体に対するインシデント検知プロバイダには、資格認定 を与えることができる。
Prestataires de vérification d'identité à distance (PVID)	リモート ID 検証サービス・プロバイダ（PVID）
PVID – référentiel d’exigences – v1.1	PVID - 要件リポジトリ - v1.1
Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d’identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs. Ce référentiel permet d’attester que la mise en œuvre des mesures de réduction de la fraude pertinente par les services certifiés selon deux niveaux de garantie : substantiel et élevé.	この標準に規定される要件は、サービス・プロバイダおよびリモート ID 検証サービスを提供 するために使用される情報システムのセキュリティに関するものである。この規格の目的は、利用者、このようなサービスを委託する者、および規制当局の信頼性の必要 性を満たす、堅固な一連のリモート ID 検証サービスを作成することである。この標準は、認証されたサービスが、実質的および高水準という 2 つの保証レベルで、 関連する不正削減手段を実装していることを認証する。
Moyens d'identification électronique (MIE)	電子 ID 手段（MIE）
MIE – référentiel d’exigences – v1.2	MIE - 要件フレームワーク - v1.2
Le référentiel d’exigences pour les moyens d’identification électronique précise au niveau national les spécifications techniques et les procédures minimales définies dans le règlement d’exécution 2015/1502 pour les niveaux de garantie :	電子的識別手段の要件リポジトリは、実施規則 2015/1502 で定義された技術仕様および保証レベ ルの最低手順を国家レベルで規定している：
Faible: l’objectif est de limiter le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : les moyens d’identification électronique reposant sur un identifiant / mot de passe ;	低：目的は、本人識別の簒奪または改ざんのリスクを制限することである。例：識別子／パスワードに基づく電子的識別手段；
Substantiel: l’objectif est de limiter substantiellement le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification ;	実質的：目的は、個人の ID の簒奪または改ざんのリスクを実質的に制限することである。例：2 つの認証要素に基づく特定の電子的識別手段；
Élevé: l’objectif est d’empêcher le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification dont l’un repose sur un composant cryptographique qualifié par l’ANSSI.	高：目的は、個人の ID の簒奪または改ざんのリスクを防止することである。例：2 つの認証要素に基づく特定の電子 ID 手段で、そのうちの 1 つは ANSSI が認定する暗号化要素に基づくもの。
Prestataire de services sécurisés d’informatique en nuage (SecNumCloud)	セキュア・クラウド・コンピューティング・サービス・プロバイダ（SecNumCloud）
SecNumCloud – référentiel d’exigences – v3.2	SecNumCloud - 要件フレームワーク - v3.2
Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations.	クラウドコンピューティング・サービス・プロバイダのための要求事項リポジトリは、この分野のサービスの資格取得を希望するプロバイダのための一連のルールである。クラウドコンピューティング・サービス・プロバイダ、そのスタッフ、サービスの提供に関する要件を網羅している。
La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service.	資格は、SaaS（Software as a service）、PaaS（Platform as a service）、IaaS（Infrastructure as a service）サービスのクラウドコンピューティング・サービス・プロバイダに与えられる。
Prestataires d’administration et de maintenance sécurisées (PAMS)	セキュアな管理・保守サービスプロバイダ（PAMS）
PAMS – référentiel d’exigences – v1.1	PAMS - 要件フレームワーク - v1.1
Le référentiel d’exigences relatif aux prestataires d’administration et de maintenance sécurisées est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives aux prestataires d’administration et de maintenance sécurisées, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée au prestataire de d’administration et de maintenance pour l’ensemble de l’activité d’administration et de maintenance sécurisée.	セキュアな管理・保守サービスプロバイダのための要件フレームワークは、この分野のサービス認定を希望するサービスプロバイダのための一連のルールである。これは，安全な管理及び保守プロバイダ，そのスタッフ及びサービス提供方法に関連する要件を網羅 している。この資格は、安全な管理・保守活動全体について、管理・保守サービスプロバイダに発行することができる。
Prestataires de services relatifs à la confiance numérique	デジタルトラストサービス・プロバイダ
Les référentiels d’exigences relatifs aux prestataires de services de confiance formalisent les règles applicables aux organismes désirant obtenir une qualification dans les domaines suivants :	トラストサービス・プロバイダに対する要求事項の枠組みは、以下の分野における資格取得を希望する組織に適用される規則を正式に定めたものである：
Délivrance de certificats électroniques	電子証明書の発行
Horodatage électronique	電子タイムスタンプ
Validation des signatures et cachets électroniques	電子署名および電子スタンプの検証
Conservation des signatures et cachets électroniques	電子署名および電子スタンプの保管
Envoi recommandé électronique	電子書留郵便
Les référentiels d’exigences pour la qualification des prestataires de services de confiance au titre du Référentiel Général de Sécurité sont disponibles ici.	General Security Reference Framework に基づくトラストサービス・プロバイダの資格要件のリポジトリは、こちらで入手できる。
Les référentiels d’exigences pour la qualification des prestataires de services de confiance au titre du règlement n°910/2014 « eIDAS » sont disponibles ici.	規則No.910/2014「eIDAS」に基づくトラストサービス・プロバイダの資格要件のリポジトリはこちらで入手できる。