この規格ページの目次
3
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
3.2 略語
この規格で用いる略語を,次に示す。
IaaS インフラストラクチャアズアサービス(Infrastructure as a Service)
PaaS プラットフォームアズアサービス(Platform as a Service)
PII 個人を特定できる情報(Personally Identifiable Information)
SaaS ソフトウェアアズアサービス(Software as a Service)
SLA サービスレベル合意書(Service Level Agreement)
4 クラウド分野固有の概念
4.1 概要
クラウドコンピューティングの利用によって,コンピューティング資源の技術的な設計,運用及びガバ
ナンスに重大な変化が生じ,それによって組織が情報セキュリティリスクを評価し低減する方法も変化し
た。この規格は,クラウドサービス固有の情報セキュリティの脅威及びリスクに対処するため,JIS Q 27002
に基づきクラウドサービス固有の追加の実施の手引を提供するとともに,追加の管理策を提供する。
この規格の読者は,管理策,実施の手引及び関連情報について,JIS Q 27002の箇条5箇条18を参照
することが望ましい。JIS Q 27002は汎用的に適用可能であるため,その管理策,実施の手引及び関連情報
の多くは,組織の一般的な場面及びクラウドコンピューティングの場面のいずれにも適用される。例えば,
JIS Q 27002の6.1.2(職務の分離)はクラウドサービスプロバイダであるか否かを問わず適用できる管理
策である。また,クラウドサービスカスタマにおけるクラウドサービス実務管理者とクラウドサービスユ
ーザとの分離など,クラウドサービスカスタマは,同じ管理策からクラウド環境における職務の分離の要
求事項を導き出すことができる。
JIS Q 27002の拡張として,この規格は,さらに,クラウドサービスの技術的及び運用上の特徴に伴うリ
スク(附属書B参照)を低減するための,クラウドサービス固有の管理策,実施の手引及び関連情報(4.5
参照)を提供する。クラウドサービスカスタマ及びクラウドサービスプロバイダは,JIS Q 27002及びこの
規格を,管理策及び実施の手引を選択するために参照し,必要であればその他の管理策を追加することも
できる。このプロセスは,クラウドサービスが利用又は提供される組織及び事業の状況における,情報セ
キュリティリスクアセスメント及びリスク対応の実施によって行うことができる(4.4参照)。
4.2 クラウドサービスにおける供給者関係
JIS Q 27002の箇条15(供給者関係)は,供給者関係における情報セキュリティの管理のための管理策,
実施の手引及び関連情報を提供する。クラウドサービスの提供及び利用は,クラウドサービスカスタマを
調達者,クラウドサービスプロバイダを供給者とする一種の供給者関係である。したがって,この箇条は,
クラウドサービスカスタマ及びクラウドサービスプロバイダに適用される。
クラウドサービスカスタマ及びクラウドサービスプロバイダは,さらに,サプライチェーンを形成する
ことがある。クラウドサービスプロバイダがインフラストラクチャ能力型のサービスを提供していると仮
定する。そのサービス上で,別のクラウドサービスプロバイダがアプリケーション能力型のサービスを提
供しているとする。この場合,後者のクラウドサービスプロバイダは,前者のクラウドサービスプロバイ
ダに対してはクラウドサービスカスタマであり,自身のクラウドサービスのカスタマに対してはクラウド
サービスプロバイダである。この例は,この規格を,一つの組織にクラウドサービスカスタマ及びクラウ
ドサービスプロバイダの両方の立場で適用する場合を示している。クラウドサービスカスタマ及びクラウ
ドサービスプロバイダは,クラウドサービスの設計及び実装を通してサプライチェーンを形成しているた
――――― [JIS Q 27017 pdf 6] ―――――
4
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
め,JIS Q 27002の15.1.3(ICTサプライチェーン)が適用される。
部編成の国際規格ISO/IEC 27036は,製品及びサービスの調達者及び供給者に対して,供給者関係にお
ける情報セキュリティについての詳細な手引を提供している。ISO/IEC 27036-4は,供給者関係における
クラウドサービスの情報セキュリティを直接扱っている。この規格も,クラウドサービスカスタマを調達
者,クラウドサービスプロバイダを供給者として適用可能である。
4.3 クラウドサービスカスタマとクラウドサービスプロバイダとの関係
クラウドコンピューティング環境においては,クラウドサービスカスタマデータはクラウドサービスに
よって保存され,転送され,処理される。したがって,クラウドサービスカスタマのビジネスプロセスは
クラウドサービスの情報セキュリティに依存し得る。クラウドサービスの管理が十分でない場合,クラウ
ドサービスカスタマは,情報セキュリティの実践に当たり,必要以上の注意を払わなければならない可能
性もある。
クラウドサービスカスタマは,クラウドサービスプロバイダとの供給者関係に入る前に,クラウドサー
ビスカスタマの情報セキュリティ要求事項とクラウドサービスが提供できる情報セキュリティの実施能力
との間に存在し得るかい離を考慮し,クラウドサービスを選択する必要がある。クラウドサービスカスタ
マが,一旦クラウドサービスを選択したならば,クラウドサービスカスタマの情報セキュリティ要求事項
に適合するように,クラウドサービスの利用を管理することが望ましい。この供給者関係において,クラ
ウドサービスプロバイダは,クラウドサービスカスタマがその情報セキュリティ要求事項を満たすために
必要な情報及び技術支援を提供することが望ましい。クラウドサービスプロバイダが実施している情報セ
キュリティ管理策があらかじめ設定されたもので,クラウドサービスカスタマに変更できないものであっ
た場合,クラウドサービスカスタマはリスクを低減するために,自らの追加の管理策を実施することが必
要なときがある。
4.4 クラウドサービスにおける情報セキュリティリスクの管理
クラウドサービスカスタマ及びクラウドサービスプロバイダは,いずれも,情報セキュリティリスクマ
ネジメントプロセスを備えていることが望ましい。情報セキュリティマネジメントシステムにおけるリス
クマネジメントを実施するための要求事項についてはJIS Q 27001を参照し,情報セキュリティリスクマ
ネジメントそのものの更なる指針については,ISO/IEC 27005を参照することを勧める。JIS Q 27001及び
ISO/IEC 27005はJIS Q 31000に整合性がとれており,そのJIS Q 31000はリスクマネジメントの一般的な
理解に役立つ。
情報セキュリティリスクマネジメントプロセスの一般的な適用性とは対照的に,クラウドコンピューテ
ィングには,その特性(例えば,ネットワーク,システムのスケーラビリティ及び弾力性,資源共有,セ
ルフサービスプロビジョニング,オンデマンド管理,法域を超えたサービスの提供及び管理策の実施につ
いての可視性が限られていること)に由来する,固有の,脅威及びぜい弱性を含むリスク源がある。附属
書Bに,クラウドサービスの提供及び利用における,これらのリスク源及び関連するリスクについて,情
報を提供する参考文献を示す。
この規格の箇条5箇条18及び附属書Aの管理策及び実施の手引は,クラウドコンピューティング固有
のリスク源及びリスクに対処するものである。
4.5 規格の構成
この規格は,JIS Q 27002に類似した形式で構成されている。この規格は,各箇条及び段落においてJIS
Q 27002の該当するテキストの適用を記載することによって,JIS Q 27002の箇条5箇条18を包含して
いる。
――――― [JIS Q 27017 pdf 7] ―――――
5
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
JIS Q 27002で規定する管理目的及び管理策が,追加の情報を必要とすることなく適用できる場合には,
JIS Q 27002への参照だけを示す。
JIS Q 27002の管理目的又は管理策に加えて,管理策を伴う管理目的又はJIS Q 27002の管理目的の配下
の管理策が必要な場合は,これらを“附属書A(規定)クラウドサービス拡張管理策集”に記載している。
JIS Q 27002又はこの規格の附属書Aの管理策が,管理策に関連する追加のクラウドサービス固有の実施
の手引を必要とする場合には,これを“クラウドサービスのための実施の手引”の見出しの下に示す。手
引は,次の2種類のうちのいずれかの形式で示す。
タイプ1は,クラウドサービスカスタマ及びクラウドサービスプロバイダに対し,個別の手引がある場
合に用いる。
タイプ2は,クラウドサービスカスタマ及びクラウドサービスプロバイダの両者に対し,同じ手引があ
る場合に用いる。
タイプ1
クラウドサービスカスタマ クラウドサービスプロバイダ
タイプ2
クラウドサービスカスタマ クラウドサービスプロバイダ
考慮が必要となり得る追加の情報は,“クラウドサービスのための関連情報”の見出しの下にこれを示
す。
5 情報セキュリティのための方針群
5.1 情報セキュリティのための経営陣の方向性
JIS Q 27002の5.1に定める管理目的を適用する。
5.1.1 情報セキュリティのための方針群
JIS Q 27002の5.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。
――――― [JIS Q 27017 pdf 8] ―――――
6
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
クラウドサービスのための実施の手引
クラウドサービスカスタマ クラウドサービスプロバイダ
クラウドコンピューティングのための情報セキ クラウドサービスプロバイダは,クラウドサービ
ュリティ方針を,クラウドサービスカスタマのトピ スの提供及び利用に取り組むため,次の事項を考慮
ック固有の方針として定義することが望ましい。ク し,情報セキュリティ方針を拡充することが望まし
ラウドサービスカスタマのクラウドコンピューテ い。
ィングのための情報セキュリティ方針は,組織の情 − クラウドサービスの設計及び実装に適用する,
報及びその他の資産に対する情報セキュリティリ 最低限の情報セキュリティ要求事項
スクの受容可能なレベルと矛盾しないものとする − 認可された内部関係者からのリスク
ことが望ましい。 − マルチテナンシ及びクラウドサービスカスタマ
クラウドコンピューティングのための情報セキ の隔離(仮想化を含む。)
ュリティ方針を定義する際には,クラウドサービス − クラウドサービスプロバイダの担当職員によ
カスタマは,次の事項を考慮することが望ましい。 る,クラウドサービスカスタマの資産へのアク
− クラウドコンピューティング環境に保存する情 セス
報は,クラウドサービスプロバイダによるアク − アクセス制御手順(例えば,クラウドサービス
セス及び管理の対象となる可能性がある。 への管理上のアクセスのための強い認証)
− 資産(例えば,アプリケーションプログラム) − 変更管理におけるクラウドサービスカスタマへ
は,クラウドコンピューティング環境の中に保 の通知
持される可能性がある。 − 仮想化セキュリティ
− 処理は,マルチテナントの仮想化されたクラウ − クラウドサービスカスタマデータへのアクセス
ドサービス上で実行される可能性がある。 及び保護
− クラウドサービスユーザ,及びクラウドサービ − クラウドサービスカスタマのアカウントのライ
スユーザがクラウドサービスを利用する状況 フサイクル管理
− クラウドサービスカスタマの,特権的アクセス − 違反の通知,並びに調査及びフォレンジック
をもつクラウドサービス実務管理者 (forensics)を支援するための情報共有指針
− クラウドサービスプロバイダの組織の地理的所
在地,及びクラウドサービスプロバイダが(た
とえ,一時的にでも)クラウドサービスカスタ
マデータを保存する可能性のある国
クラウドサービスのための関連情報
クラウドサービスカスタマのクラウドコンピューティングのための情報セキュリティ方針は,JIS Q
27002の5.1.1に定めるトピック固有の方針の一つである。組織の情報セキュリティ方針は,その組織の情
報及びビジネスプロセスを扱う。組織がクラウドサービスを利用する際には,クラウドサービスカスタマ
として,クラウドコンピューティングのための方針をもつことができる。組織の情報は,クラウドコンピ
ューティング環境に保存及び維持することができ,ビジネスプロセスは,クラウドコンピューティング環
境にて運用することができる。一般的な情報セキュリティ要求事項を最上位の情報セキュリティ方針に定
め,続いて,クラウドコンピューティングのための方針を定める。
これとは対照的に,クラウドサービスを提供するための情報セキュリティ方針は,クラウドサービスカ
スタマの情報及びビジネスプロセスを扱うが,クラウドサービスプロバイダの情報及びビジネスプロセス
――――― [JIS Q 27017 pdf 9] ―――――
7
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
は扱わない。クラウドサービスの提供のための情報セキュリティ要求事項は,クラウドサービスの利用が
見込まれる者の情報セキュリティ要求事項を満たすことが望ましい。その結果,クラウドサービスの提供
のための情報セキュリティ要求事項は,クラウドサービスプロバイダの情報及びビジネスプロセスの情報
セキュリティ要求事項と不整合が生じる可能性がある。情報セキュリティ方針の適用範囲は,組織構造又
は組織の物理的場所で定義するだけでなく,サービスの観点から定義できることも多い。
クラウドコンピューティングにおける仮想化セキュリティには,仮想インスタンスのライフサイクル管
理,仮想イメージの保存及びアクセス制御,休止状態又はオフラインの仮想インスタンスの扱い,スナッ
プショット,ハイパーバイザの保護,並びにセルフサービスポータルの利用を管理する情報セキュリティ
管理策を含む,幾つかの側面がある。
5.1.2 情報セキュリティのための方針群のレビュー
JIS Q 27002の5.1.2に定める管理策及び付随する実施の手引を適用する。
6 情報セキュリティのための組織
6.1 内部組織
JIS Q 27002の6.1に定める管理目的を適用する。
6.1.1 情報セキュリティの役割及び責任
JIS Q 27002の6.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
クラウドサービスカスタマ クラウドサービスプロバイダ
クラウドサービスカスタマは,クラウドサービス クラウドサービスプロバイダは,そのクラウドサ
プロバイダと,情報セキュリティの役割及び責任の ービスカスタマ,クラウドサービスプロバイダ及び
適切な割当てについて合意し,割り当てられた役割 供給者と,情報セキュリティの役割及び責任の適切
及び責任を遂行できることを確認することが望ま な割当てについて合意し,文書化することが望まし
しい。両当事者の情報セキュリティの役割及び責任 い。
は,合意書に記載することが望ましい。
クラウドサービスカスタマは,クラウドサービス
プロバイダの顧客支援・顧客対応機能との関係を特
定し,管理することが望ましい。
クラウドサービスのための関連情報
責任の割当てを当事者内及び当事者間で決定しても,なお,クラウドサービスカスタマは,サービスを
利用するという決定に責任を負う。その決定は,クラウドサービスカスタマの組織内で定められた役割及
び責任に従って行うことが望ましい。クラウドサービスプロバイダは,クラウドサービスの合意書の一部
として定める情報セキュリティに対して責任を負う。情報セキュリティの実装及び提供は,クラウドサー
ビスプロバイダの組織内で定められた役割及び責任に従って行うことが望ましい。
特に第三者に対応する際に,データの管理責任,アクセス制御,基盤の保守のような事項の,役割並び
に責任の定義及び割当てが曖昧なことによって,事業上の又は法的な紛争が起こる可能性がある。
クラウドサービスの利用中に生成又は変更される,クラウドサービスプロバイダのシステム上のデータ
及びファイルは,サービスのセキュリティを保った運用,回復及び継続にとって極めて重要であり得る。
――――― [JIS Q 27017 pdf 10] ―――――
次のページ PDF 11
JIS Q 27017:2016の引用国際規格 ISO 一覧
- ISO/IEC 27017:2015(IDT)
JIS Q 27017:2016の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化
JIS Q 27017:2016の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISQ27000:2019
- 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語
- JISX9401:2016
- 情報技術―クラウドコンピューティング―概要及び用語