JIS Q 27017:2016 情報技術―セキュリティ技術―ＪＩＳ　Ｑ　２７００２に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範 | ページ 4

                                                                                             13
                                                              Q 27017 : 2016 (ISO/IEC 27017 : 2015)
9.2.5  利用者アクセス権のレビュー
  JIS Q 27002の9.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。
9.2.6  アクセス権の削除又は修正
  JIS Q 27002の9.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。

9.3 利用者の責任

  JIS Q 27002の9.3に定める管理目的を適用する。
9.3.1  秘密認証情報の利用
  JIS Q 27002の9.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。

9.4 システム及びアプリケーションのアクセス制御

  JIS Q 27002の9.4に定める管理目的を適用する。
9.4.1  情報へのアクセス制限
  JIS Q 27002の9.4.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の
実施の手引も適用する。
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマは,クラウドサービス    クラウドサービスプロバイダは,クラウドサービ
における情報へのアクセスを,アクセス制御方針に  スへのアクセス,クラウドサービス機能へのアクセ
従って制限できること,及びそのような制限を実現  ス,及びサービスで保持するクラウドサービスカス
することを確実にすることが望ましい。これには,  タマデータへのアクセスを,クラウドサービスカス
クラウドサービスへのアクセス制限,クラウドサー  タマが制限できるように,アクセス制御を提供する
ビス機能へのアクセス制限,及びサービスにて保持  ことが望ましい。
されるクラウドサービスカスタマデータへのアク
セス制限を含む。
クラウドサービスのための関連情報
  クラウドコンピューティング環境では,アクセス制御が必要となる追加の領域がある。クラウドサービ
ス又はクラウドサービスの機能の一部として,ハイパーバイザ管理機能及び管理用コンソールのような機
能及びサービスへのアクセスは,追加のアクセス制御が必要となる場合がある。
9.4.2  セキュリティに配慮したログオン手順
  JIS Q 27002の9.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。
9.4.3  パスワード管理システム
  JIS Q 27002の9.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。
9.4.4  特権的なユーティリティプログラムの使用
  JIS Q 27002の9.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。

――――― [JIS Q 27017 pdf 16] ―――――

14
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  ユーティリティプログラムの利用が許可されて      クラウドサービスプロバイダは,クラウドサービ
いる場合には,クラウドサービスカスタマは,クラ  ス内で利用される全てのユーティリティプログラム
ウドコンピューティング環境において利用するユ    のための要求事項を特定することが望ましい。
ーティリティプログラムを特定し,クラウドサービ    クラウドサービスプロバイダは,認可された要員
スの管理策を妨げないことを確実にすることが望    だけが,通常の操作手順又はセキュリティ手順を回
ましい。                                        避することのできるユーティリティプログラムを利
                                                用できるように厳密に制限し,そのようなプログラ
                                                ムの利用を定期的にレビューし,監査することを確
                                                実にすることが望ましい。
9.4.5  プログラムソースコードへのアクセス制御
  JIS Q 27002の9.4.5に定める管理策及び付随する実施の手引を適用する。

10 暗号

10.1 暗号による管理策

  JIS Q 27002の10.1に定める管理目的を適用する。
10.1.1 暗号による管理策の利用方針
  JIS Q 27002の10.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。

――――― [JIS Q 27017 pdf 17] ―――――

                                                                                             15
                                                              Q 27017 : 2016 (ISO/IEC 27017 : 2015)
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマは,リスク分析によっ    クラウドサービスプロバイダは,クラウドサービ
て必要と認められる場合には,クラウドサービスの  スカスタマに,クラウドサービスプロバイダが処理
利用において,暗号による管理策を実施することが  する情報を保護するために,暗号を利用する環境に
望ましい。その管理策は,クラウドサービスカスタ  関する情報を提供することが望ましい。クラウドサ
マ又はクラウドサービスプロバイダのいずれが供    ービスプロバイダは,また,クラウドサービスカス
給するものであれ,特定したリスクを低減するため  タマ自らの暗号による保護を適用することを支援す
に十分な強度をもつものであることが望ましい。    るためにクラウドサービスプロバイダが提供する能
  クラウドサービスプロバイダが暗号を提供する    力についても,クラウドサービスカスタマに情報を
場合は,クラウドサービスカスタマは,クラウドサ  提供することが望ましい。
ービスプロバイダが提供する全ての情報をレビュ
ーし,その機能について次の事項を確認することが
望ましい。
− クラウドサービスカスタマの方針の要求事項を
    満たす。
− クラウドサービスカスタマが利用する,その他
    の全ての暗号による保護と整合性がある。
− 保存データ,並びにクラウドサービスへの転送
    中のデータ,クラウドサービスからの転送中の
    データ及びクラウドサービス内で転送中のデー
    タに適用される。
クラウドサービスのための関連情報
  法域によっては,健康データ,住民登録番号,パスポート番号,運転免許証番号などの特定の種類の情
報を保護するために,暗号を適用することが要求される場合がある。
10.1.2 鍵管理
  JIS Q 27002の10.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。

――――― [JIS Q 27017 pdf 18] ―――――

16
Q 27017 : 2016 (ISO/IEC 27017 : 2015)
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマは,各クラウドサービ    (追加の実施の手引なし)
スのための暗号鍵を特定し,鍵管理手順を実施する
ことが望ましい。
  クラウドサービスプロバイダが,クラウドサービ
スカスタマが利用する鍵管理機能を提供する場合
には,クラウドサービスカスタマは,クラウドサー
ビスに関連する鍵管理手順について,次の情報を要
求することが望ましい。
− 鍵の種類
− 鍵のライフサイクル,すなわち,生成,変更又
    は更新,保存,使用停止,読出し,維持及び破
    壊の各段階の手順を含む鍵管理システムの仕様
− クラウドサービスカスタマに利用を推奨する鍵
    管理手順
  クラウドサービスカスタマは,自らの鍵管理を採
用する場合又はクラウドサービスプロバイダの鍵
管理サービスとは別のサービスを利用する場合,暗
号の運用のための暗号鍵をクラウドサービスプロ
バイダが保存し,管理することを許可しないことが
望ましい。

11 物理的及び環境的セキュリティ

11.1 セキュリティを保つべき領域

  JIS Q 27002の11.1に定める管理目的を適用する。
11.1.1 物理的セキュリティ境界
  JIS Q 27002の11.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。
11.1.2 物理的入退管理策
  JIS Q 27002の11.1.2に定める管理策及び付随する実施の手引を適用する。
11.1.3 オフィス,部屋及び施設のセキュリティ
  JIS Q 27002の11.1.3に定める管理策及び付随する実施の手引を適用する。
11.1.4 外部及び環境の脅威からの保護
  JIS Q 27002の11.1.4に定める管理策及び付随する実施の手引を適用する。
11.1.5 セキュリティを保つべき領域での作業
  JIS Q 27002の11.1.5に定める管理策及び付随する実施の手引を適用する。
11.1.6 受渡場所
  JIS Q 27002の11.1.6に定める管理策及び付随する実施の手引を適用する。

――――― [JIS Q 27017 pdf 19] ―――――

                                                                                             17
                                                              Q 27017 : 2016 (ISO/IEC 27017 : 2015)

11.2 装置

  JIS Q 27002の11.2に定める管理目的を適用する。
11.2.1 装置の設置及び保護
  JIS Q 27002の11.2.1に定める管理策及び付随する実施の手引を適用する。
11.2.2 サポートユーティリティ
  JIS Q 27002の11.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。
11.2.3 ケーブル配線のセキュリティ
  JIS Q 27002の11.2.3に定める管理策及び付随する実施の手引を適用する。
11.2.4 装置の保守
  JIS Q 27002の11.2.4に定める管理策及び付随する実施の手引を適用する。
11.2.5 資産の移動
  JIS Q 27002の11.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。
11.2.6 構外にある装置及び資産のセキュリティ
  JIS Q 27002の11.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。
11.2.7 装置のセキュリティを保った処分又は再利用
  JIS Q 27002の11.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。
クラウドサービスのための実施の手引
           クラウドサービスカスタマ                       クラウドサービスプロバイダ
  クラウドサービスカスタマは,クラウドサービス    クラウドサービスプロバイダは,資源(例えば,
プロバイダが,資源のセキュリティを保った処分又  装置,データストレージ,ファイル,メモリ)のセ
は再利用のための方針及び手順をもつことの確認    キュリティを保った処分又は再利用を時機を失せず
を要求することが望ましい。                      に行うための取決めがあることを確実にすることが
                                                望ましい。
クラウドサービスのための関連情報
  セキュリティを保った処分に関する追加の情報が,ISO/IEC 27040に示されている。
11.2.8 無人状態にある利用者装置
  JIS Q 27002の11.2.8に定める管理策及び付随する実施の手引を適用する。
11.2.9 クリアデスク・クリアスクリーン方針
  JIS Q 27002の11.2.9に定める管理策並びに付随する実施の手引及び関連情報を適用する。

12 運用のセキュリティ

12.1 運用の手順及び責任

  JIS Q 27002の12.1に定める管理目的を適用する。
12.1.1 操作手順書
  JIS Q 27002の12.1.1に定める管理策及び付随する実施の手引を適用する。
12.1.2 変更管理
  JIS Q 27002の12.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド
サービス固有の実施の手引も適用する。

――――― [JIS Q 27017 pdf 20] ―――――

次のページ PDF 21