security management systems −Requirements(IDT) [5] JIS Q 27002 0000001682 00000 n 0000003509 00000 n �W�ҒTR�"�eV(�nl��K5s�U�7��"2�@����e˲� 0000005305 00000 n [19] ISACA,Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives.

Hong Kong OGCIO 2013,Security Checklists for Cloud Service Consumers−January. 0000012254 00000 n 0000002961 00000 n endstream endobj 91 0 obj<> endobj 93 0 obj<> endobj 94 0 obj<>/Font<>/XObject<>/ProcSet[/PDF/Text/ImageC/ImageI]/ExtGState<>>> endobj 95 0 obj[/ICCBased 104 0 R] endobj 96 0 obj[/Indexed 95 0 R 255 108 0 R] endobj 97 0 obj[/Indexed 95 0 R 255 105 0 R] endobj 98 0 obj<> endobj 99 0 obj<>stream 0000014564 00000 n 0000001561 00000 n 0000011567 00000 n 0000006311 00000 n

附属書B(参考)クラウドコンピューティングの情報セキュリティリスクに関する参考文献  38, この規格は,工業標準化法第12条第1項の規定に基づき,一般社団法人情報処理学会(IPSJ)及び一般, 財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を制定すべきとの申出があり,, この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意, を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実, Information technology-Security techniques-Code of practice for, information security controls based on ISO/IEC 27002 for cloud services, この規格は,2015年に第1版として発行されたISO/IEC 27017を基に,技術的内容及び構成を変更する, この規格で規定する指針は,JIS Q 27002に規定する指針に追加し,これを補うものである。, 特に,この規格は,クラウドサービスカスタマ及びクラウドサービスプロバイダのための情報セキュリ, ティ管理策の実施を支援する指針を提示する。ある指針は管理策を実施するクラウドサービスカスタマの, ためのものであり,他の指針はクラウドサービスプロバイダがそれらの管理策の実施を支援するためのも, のである。適切な情報セキュリティ管理策の選択及び提示されている実施の手引の適用は,リスクアセス, メント及び法的,契約上,規制又はその他のクラウド分野固有の情報セキュリティ要求事項に依存する。, この規格は,次の事項を提供することによって,クラウドサービスの提供及び利用に適用できる情報セ, この規格は,管理策及び実施の手引を,クラウドサービスプロバイダ及びクラウドサービスカスタマの, ISO/IEC 27017:2015,Information technology−Security techniques−Code of practice for information, security controls based on ISO/IEC 27002 for cloud services(IDT), なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ, 次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの, 引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。), は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。)を適用する。, JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語, 注記 対応国際規格:ISO/IEC 27000,Information technology−Security techniques−Information, security management systems−Overview and vocabulary(MOD), JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範, 注記 対応国際規格:ISO/IEC 27002:2013,Information technology−Security techniques−Code of, practice for information security controls(IDT), 注記 対応国際規格:ISO/IEC 17788,Information technology−Cloud computing−Overview and, ISO/IEC 17789,Information technology−Cloud computing−Reference architecture, この規格で用いる用語及び定義は,JIS Q 27000,JIS X 9401及びISO/IEC 17789によるほか,次による。, 転送,保存若しくはその他の方法で処理される保護されたデータの,偶発的若しくは不法な破壊,損失,, 改ざん,認可されない開示又はその保護されたデータへのアクセスにつながる情報セキュリティの侵害。, データ侵害から防御するために情報セキュリティ管理策を使用し,適切なガバナンスに対するこれらの, 注記1 セキュアマルチテナンシは,それぞれのテナントのリスクがシングルテナント環境の場合の, 注記2 特に強いセキュリティの求められる環境においては,テナントのアイデンティティですら秘, 注記 仮想マシンは,仮想ハードウェア,仮想ディスク,及び関連するメタデータを全てカプセル化, したものである。仮想マシンは,ハイパーバイザと呼ばれるソフトウェア層によって,基盤と, IaaS インフラストラクチャアズアサービス(Infrastructure as a Service), PaaS プラットフォームアズアサービス(Platform as a Service), 個人を特定できる情報(Personally Identifiable Information), SaaS ソフトウェアアズアサービス(Software as a Service), クラウドコンピューティングの利用によって,コンピューティング資源の技術的な設計,運用及びガバ, ナンスに重大な変化が生じ,それによって組織が情報セキュリティリスクを評価し低減する方法も変化し, た。この規格は,クラウドサービス固有の情報セキュリティの脅威及びリスクに対処するため,JIS Q 27002, に基づきクラウドサービス固有の追加の実施の手引を提供するとともに,追加の管理策を提供する。, この規格の読者は,管理策,実施の手引及び関連情報について,JIS Q 27002の箇条5〜箇条18を参照, することが望ましい。JIS Q 27002は汎用的に適用可能であるため,その管理策,実施の手引及び関連情報, の多くは,組織の一般的な場面及びクラウドコンピューティングの場面のいずれにも適用される。例えば,, JIS Q 27002の6.1.2(職務の分離)はクラウドサービスプロバイダであるか否かを問わず適用できる管理, 策である。また,クラウドサービスカスタマにおけるクラウドサービス実務管理者とクラウドサービスユ, ーザとの分離など,クラウドサービスカスタマは,同じ管理策からクラウド環境における職務の分離の要, JIS Q 27002の拡張として,この規格は,さらに,クラウドサービスの技術的及び運用上の特徴に伴うリ, スク(附属書B参照)を低減するための,クラウドサービス固有の管理策,実施の手引及び関連情報(4.5, 参照)を提供する。クラウドサービスカスタマ及びクラウドサービスプロバイダは,JIS Q 27002及びこの, 規格を,管理策及び実施の手引を選択するために参照し,必要であればその他の管理策を追加することも, できる。このプロセスは,クラウドサービスが利用又は提供される組織及び事業の状況における,情報セ, キュリティリスクアセスメント及びリスク対応の実施によって行うことができる(4.4参照)。, JIS Q 27002の箇条15(供給者関係)は,供給者関係における情報セキュリティの管理のための管理策,, 実施の手引及び関連情報を提供する。クラウドサービスの提供及び利用は,クラウドサービスカスタマを, 調達者,クラウドサービスプロバイダを供給者とする一種の供給者関係である。したがって,この箇条は,, クラウドサービスカスタマ及びクラウドサービスプロバイダは,さらに,サプライチェーンを形成する, ことがある。クラウドサービスプロバイダがインフラストラクチャ能力型のサービスを提供していると仮, 定する。そのサービス上で,別のクラウドサービスプロバイダがアプリケーション能力型のサービスを提, 供しているとする。この場合,後者のクラウドサービスプロバイダは,前者のクラウドサービスプロバイ, ダに対してはクラウドサービスカスタマであり,自身のクラウドサービスのカスタマに対してはクラウド, サービスプロバイダである。この例は,この規格を,一つの組織にクラウドサービスカスタマ及びクラウ, ドサービスプロバイダの両方の立場で適用する場合を示している。クラウドサービスカスタマ及びクラウ, ドサービスプロバイダは,クラウドサービスの設計及び実装を通してサプライチェーンを形成しているた, 部編成の国際規格ISO/IEC 27036は,製品及びサービスの調達者及び供給者に対して,供給者関係にお, ける情報セキュリティについての詳細な手引を提供している。ISO/IEC 27036-4は,供給者関係における, クラウドサービスの情報セキュリティを直接扱っている。この規格も,クラウドサービスカスタマを調達, クラウドコンピューティング環境においては,クラウドサービスカスタマデータはクラウドサービスに, よって保存され,転送され,処理される。したがって,クラウドサービスカスタマのビジネスプロセスは, クラウドサービスの情報セキュリティに依存し得る。クラウドサービスの管理が十分でない場合,クラウ, ドサービスカスタマは,情報セキュリティの実践に当たり,必要以上の注意を払わなければならない可能, クラウドサービスカスタマは,クラウドサービスプロバイダとの供給者関係に入る前に,クラウドサー, ビスカスタマの情報セキュリティ要求事項とクラウドサービスが提供できる情報セキュリティの実施能力, との間に存在し得るかい離を考慮し,クラウドサービスを選択する必要がある。クラウドサービスカスタ, マが,一旦クラウドサービスを選択したならば,クラウドサービスカスタマの情報セキュリティ要求事項, に適合するように,クラウドサービスの利用を管理することが望ましい。この供給者関係において,クラ, ウドサービスプロバイダは,クラウドサービスカスタマがその情報セキュリティ要求事項を満たすために, 必要な情報及び技術支援を提供することが望ましい。クラウドサービスプロバイダが実施している情報セ, キュリティ管理策があらかじめ設定されたもので,クラウドサービスカスタマに変更できないものであっ, た場合,クラウドサービスカスタマはリスクを低減するために,自らの追加の管理策を実施することが必, クラウドサービスカスタマ及びクラウドサービスプロバイダは,いずれも,情報セキュリティリスクマ, ネジメントプロセスを備えていることが望ましい。情報セキュリティマネジメントシステムにおけるリス, クマネジメントを実施するための要求事項についてはJIS Q 27001を参照し,情報セキュリティリスクマ, ネジメントそのものの更なる指針については,ISO/IEC 27005を参照することを勧める。JIS Q 27001及び, ISO/IEC 27005はJIS Q 31000に整合性がとれており,そのJIS Q 31000はリスクマネジメントの一般的な, 情報セキュリティリスクマネジメントプロセスの一般的な適用性とは対照的に,クラウドコンピューテ, ィングには,その特性(例えば,ネットワーク,システムのスケーラビリティ及び弾力性,資源共有,セ, ルフサービスプロビジョニング,オンデマンド管理,法域を超えたサービスの提供及び管理策の実施につ, いての可視性が限られていること)に由来する,固有の,脅威及びぜい弱性を含むリスク源がある。附属, 書Bに,クラウドサービスの提供及び利用における,これらのリスク源及び関連するリスクについて,情, この規格の箇条5〜箇条18及び附属書Aの管理策及び実施の手引は,クラウドコンピューティング固有, この規格は,JIS Q 27002に類似した形式で構成されている。この規格は,各箇条及び段落においてJIS, Q 27002の該当するテキストの適用を記載することによって,JIS Q 27002の箇条5〜箇条18を包含して, JIS Q 27002で規定する管理目的及び管理策が,追加の情報を必要とすることなく適用できる場合には,, JIS Q 27002の管理目的又は管理策に加えて,管理策を伴う管理目的又はJIS Q 27002の管理目的の配下, の管理策が必要な場合は,これらを“附属書A(規定)クラウドサービス拡張管理策集”に記載している。, JIS Q 27002又はこの規格の附属書Aの管理策が,管理策に関連する追加のクラウドサービス固有の実施, の手引を必要とする場合には,これを“クラウドサービスのための実施の手引”の見出しの下に示す。手, タイプ1は,クラウドサービスカスタマ及びクラウドサービスプロバイダに対し,個別の手引がある場, タイプ2は,クラウドサービスカスタマ及びクラウドサービスプロバイダの両者に対し,同じ手引があ, 考慮が必要となり得る追加の情報は,“クラウドサービスのための関連情報”の見出しの下にこれを示, JIS Q 27002の5.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマのクラウドコンピューティングのための情報セキュリティ方針は,JIS Q, 27002の5.1.1に定めるトピック固有の方針の一つである。組織の情報セキュリティ方針は,その組織の情, 報及びビジネスプロセスを扱う。組織がクラウドサービスを利用する際には,クラウドサービスカスタマ, として,クラウドコンピューティングのための方針をもつことができる。組織の情報は,クラウドコンピ, ューティング環境に保存及び維持することができ,ビジネスプロセスは,クラウドコンピューティング環, 境にて運用することができる。一般的な情報セキュリティ要求事項を最上位の情報セキュリティ方針に定, これとは対照的に,クラウドサービスを提供するための情報セキュリティ方針は,クラウドサービスカ, スタマの情報及びビジネスプロセスを扱うが,クラウドサービスプロバイダの情報及びビジネスプロセス, は扱わない。クラウドサービスの提供のための情報セキュリティ要求事項は,クラウドサービスの利用が, 見込まれる者の情報セキュリティ要求事項を満たすことが望ましい。その結果,クラウドサービスの提供, のための情報セキュリティ要求事項は,クラウドサービスプロバイダの情報及びビジネスプロセスの情報, セキュリティ要求事項と不整合が生じる可能性がある。情報セキュリティ方針の適用範囲は,組織構造又, クラウドコンピューティングにおける仮想化セキュリティには,仮想インスタンスのライフサイクル管, 理,仮想イメージの保存及びアクセス制御,休止状態又はオフラインの仮想インスタンスの扱い,スナッ, プショット,ハイパーバイザの保護,並びにセルフサービスポータルの利用を管理する情報セキュリティ, JIS Q 27002の5.1.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の6.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 責任の割当てを当事者内及び当事者間で決定しても,なお,クラウドサービスカスタマは,サービスを, 利用するという決定に責任を負う。その決定は,クラウドサービスカスタマの組織内で定められた役割及, び責任に従って行うことが望ましい。クラウドサービスプロバイダは,クラウドサービスの合意書の一部, として定める情報セキュリティに対して責任を負う。情報セキュリティの実装及び提供は,クラウドサー, 特に第三者に対応する際に,データの管理責任,アクセス制御,基盤の保守のような事項の,役割並び, に責任の定義及び割当てが曖昧なことによって,事業上の又は法的な紛争が起こる可能性がある。, クラウドサービスの利用中に生成又は変更される,クラウドサービスプロバイダのシステム上のデータ, 及びファイルは,サービスのセキュリティを保った運用,回復及び継続にとって極めて重要であり得る。, 全ての資産の管理責任,並びにバックアップ及び回復の運用のような,これらの資産に関連する運用に責, 任をもつ当事者を,定義し,文書化することが望ましい。そうでなければ,クラウドサービスプロバイダ, は,クラウドサービスカスタマが当然これらの不可欠の業務を実施すると想定し,又はクラウドサービス, カスタマは,クラウドサービスプロバイダが当然これらの不可欠な業務を実施すると想定することによっ, JIS Q 27002の6.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマデータを保存,処理又は伝送する可能性のある地理的位置の情報は,クラウ, JIS Q 27002の6.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.1.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の6.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.1.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の7.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の7.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービス派生データをクラウドサービスカスタマデータに付加することで,情報管理のための, 機能を提供するようなクラウドサービスがある。そのようなクラウドサービス派生データを資産として特, JIS Q 27002の8.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, 資産の管理責任は,利用しているクラウドサービスの分類によって異なる場合がある。PaaS又はIaaS, を利用している場合,アプリケーションソフトウェアはクラウドサービスカスタマに属することになる。, 一方でSaaSの場合,アプリケーションソフトウェアはクラウドサービスプロバイダに属することになる。, JIS Q 27002の8.1.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の8.2.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.3.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.3.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.3.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスプロバイダは,第三者のアイデンティティ管理技術及びアクセス管理技術を,提供す, るクラウドサービス及び関連する管理インタフェースで利用できるように支援することが望ましい。これ, らの技術は,シングルサインオンとして提供することによって,クラウドサービスカスタマの複数のシス, テム及びクラウドサービスにまたがる統合及び利用者のアイデンティティ管理を容易にし得るものであり,, JIS Q 27002の9.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマは,自らの又は第三者のアイデンティティ管理技術及びアクセス管理技術を, JIS Q 27002の9.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドコンピューティング環境では,アクセス制御が必要となる追加の領域がある。クラウドサービ, ス又はクラウドサービスの機能の一部として,ハイパーバイザ管理機能及び管理用コンソールのような機, JIS Q 27002の9.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.4.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の10.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 法域によっては,健康データ,住民登録番号,パスポート番号,運転免許証番号などの特定の種類の情, JIS Q 27002の10.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の11.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.1.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.6に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, セキュリティを保った処分に関する追加の情報が,ISO/IEC 27040に示されている。, JIS Q 27002の11.2.8に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.9に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.1.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の12.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 通知に含めるべき事項の一覧は,合意書(例えば,基本契約書又はSLA)に含めることができる。, JIS Q 27002の12.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスには,クラウドサービスプロバイダの管理下にあって,基本契約書及び関連するSLA, の条件に基づきクラウドサービスカスタマに使用させる資源がある。このような資源には,ソフトウェア,, クラウドサービスにおける弾力性がありスケーラブルで,かつ,オンデマンドの資源割当てによって,, 一般に,サービス全体の容量・能力は高まる。しかしながら,クラウドサービスカスタマは,提供される, 資源に容量・能力の制限があり得ることを認識しておく必要がある。容量・能力の制約の例に,アプリケ, ーションに割り当てられるコアプロセッサの数,利用可能なストレージ容量,及び利用可能なネットワー, この制約は,特定のクラウドサービス又はクラウドサービスカスタマが購入する特定のサービス内容, (subscription)によって異なり得る。クラウドサービスカスタマの要求がこの制約を超える場合,クラウ, クラウドサービスカスタマがクラウドサービスの容量・能力の管理を実施するために,クラウドサービ, スカスタマは,次のような関連する資源使用についての統計情報にアクセスできることが望ましい。, JIS Q 27002の12.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.3.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドコンピューティング環境におけるバックアップの取得に関する責任分担は,曖昧になりがちで, ある。IaaSの場合,バックアップ取得の責任は一般的にはクラウドサービスカスタマ側にある。しかしな, がら,クラウドサービスカスタマは,クラウドコンピューティングシステムにおいて生成される全てのク, ラウドサービスカスタマデータ(例えば,PaaSの開発機能の利用によって生成される実行可能なファイル), 注記 幾つかのレベルのバックアップ及び復旧が,追加費用のサービスとして提供される場合がある。, この場合,クラウドサービスカスタマは,バックアップ取得の対象及び時点を選ぶことができ, JIS Q 27002の12.4.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, イベントログ取得に関するクラウドサービスカスタマ及びクラウドサービスプロバイダの責任は,利用, しているクラウドサービスの種類に応じて異なる。例えば,IaaSでは,クラウドサービスプロバイダのロ, グ取得の責任はクラウドコンピューティングの基盤を構成する要素に関するログ取得に限られる場合があ, り,クラウドサービスカスタマが自らの仮想マシン及びアプリケーションのイベントログ取得に責任を負, JIS Q 27002の12.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマとクラウドサービスプロバイダとの間の責任の割当て(6.1.1を参照)は,ク, ラウドサービスに関する特権的な操作を対象としていることが望ましい。特権的な操作の誤った利用に対, する予防処置及び是正処置を支援するために,特権的な操作の利用を監視し,また,ログを取得する必要, JIS Q 27002の12.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマのシステムと,クラウドサービスカスタマが利用するクラウドサービスを実, 行しているクラウドサービスプロバイダのシステムとの間のクロックの同期を考慮する必要がある。この, ような同期がなされない場合,クラウドサービスカスタマのシステムにおけるイベントとクラウドサービ, JIS Q 27002の12.5.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の12.6.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の12.6.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.7.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の13.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 法令及び規制によって,ネットワークの分離又はネットワークトラフィックの分離が求められることが, JIS Q 27002の13.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 守秘義務契約を結んでいるクラウドサービスカスタマ又は潜在的なクラウドサービスカスタマに提供す, るクラウドサービスに関係するため,情報セキュリティ管理策に関して,その実施の詳細については,開, JIS Q 27002に定める14.1.2の管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスプロバイダのセキュリティに配慮した開発の手順及び実践は,SaaSのクラウドサービ, JIS Q 27002の14.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, 14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー, JIS Q 27002の14.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の14.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.6に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の14.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.8に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.9に定める管理策及び付随する実施の手引を適用する。, クラウドコンピューティングにおいては,システムの受入れ試験の手引は,クラウドサービスカスタマ, JIS Q 27002の14.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の15.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.2.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の15.2.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の16.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の16.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, この仕組みでは,手続を規定するだけでなく,クラウドサービスカスタマ及びクラウドサービスプロバ, イダの両者の連絡先電話番号,電子メールアドレス,サービス時間などの必須の情報も提示することが望, 情報セキュリティ事象は,クラウドサービスカスタマ及びクラウドサービスプロバイダのいずれも検知, することがある。そのため,クラウドコンピューティングにおいては,事象を検知した当事者が他の当事, JIS Q 27002の16.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の16.1.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマ及びクラウドサービスプロバイダは,クラウドコンピューティング環境内で, 生成される,ディジタル証拠となり得る情報及びその他の情報の提出要求に対応する手続について合意す, JIS Q 27002の17.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の18.1.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドサービスの提供及び利用に適用される法的及び規制の要求事項は,特に処理,保存及び通信の, 機能が地理的に分散し,複数の法域が関係し得る場合に,これを特定することが望ましい。, 法的又は契約上のいずれであれ,順守の要求事項への対応は,クラウドサービスカスタマにその責任が, JIS Q 27002の18.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, ISO/IEC 27018[Code of practice for protection of personally identifiable information (PII) in public clouds, acting as PII processors]は,この話題に追加の情報を提供する。, JIS Q 27002の18.1.5に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, JIS Q 27002の18.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の18.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, この附属書は,クラウドサービスのための拡張管理策集として,追加の管理目的,管理策及び実施の手, 引を記載している。管理策の管理目的がJIS Q 27002と同じ場合は管理目的の再載を省略した。, JIS Q 27001に適合するISMSにおいてこれらの管理策を実施しようとする組織は,この附属書に記載さ, 目的 情報セキュリティマネジメントに関してクラウドサービスカスタマとクラウドサービスプロバイ, CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担, クラウドサービスの利用に関して共有し分担する情報セキュリティの役割を遂行する責任は,クラウド, サービスカスタマ及びクラウドサービスプロバイダのそれぞれにおいて特定の関係者に割り当て,文書化, クラウドコンピューティングでは,役割及び責任は,典型的にはクラウドサービスカスタマの従業員と, クラウドサービスプロバイダの従業員とに分けられる。役割及び責任の割当てにおいては,クラウドサー, ビスプロバイダが管理者となるクラウドサービスカスタマデータ及びアプリケーションを考慮することが, クラウドサービスプロバイダの施設にあるクラウドサービスカスタマの資産は,クラウドサービスの合, 意の終了時に,時機を失せずに除去されるか又は必要な場合には返却されることが望ましい。, CLD.9.5 共有する仮想環境におけるクラウドサービスカスタマデータのアクセス制御, 目的 クラウドコンピューティングにおける共有する仮想環境利用時の情報セキュリティリスクを低減, クラウドサービス上で稼動するクラウドサービスカスタマの仮想環境は,他のクラウドサービスカスタ, − ソフトウェア仮想化機能が仮想環境(例えば,仮想オペレーティングシステム)を提供する場合は,, ネットワーク及びストレージ構成を仮想化することができる。また,ソフトウェア仮想化環境でのク, ラウドサービスカスタマの分離は,ソフトウェアの分離機能を用いて設計し実装することができる。, − クラウドサービスカスタマの情報がクラウドサービスの“メタデータテーブル”とともに物理的共有, ストレージ領域に保存されている場合は,他のクラウドサービスカスタマとの情報の分離は“メタデ, ISO/IEC 27040(Information technology−Security techniques−Storage security)に記載されている,セキュ, アマルチテナンシ及び関連する手引は,クラウドコンピューティング環境に適用することができる。, クラウドコンピューティング環境の仮想マシンは,事業上のニーズを満たすために要塞化することが望, クラウドサービスカスタマ及びクラウドサービスプロバイダは,仮想マシンを設定する際には,適切な, 側面からの要塞化(例えば,必要なポート,プロトコル及びサービスだけを有効とする。)及び利用する, 各仮想マシンへの適切な技術手段(例えば,マルウェア対策,ログ取得)の実施を確実にすることが望ま, クラウドコンピューティング環境の管理操作のための手順は,これを定義し,文書化し,監視すること, クラウドコンピューティングには,迅速な提供及び管理並びにオンデマンドセルフサービスという利点, がある。これらの操作は,多くの場合,クラウドサービスカスタマ及びクラウドサービスプロバイダの実, 務管理者が行う。これらの重要な操作への人間の介入は重大な情報セキュリティインシデントを引き起こ, す可能性があるため,操作を保護するための仕組みの導入を検討することが望ましく,必要に応じてこれ, を定義し実施することが望ましい。重大なインシデントの例としては,多数の仮想サーバの消去若しくは, クラウドサービスカスタマは,クラウドサービスカスタマが利用するクラウドサービスの操作の特定の, 仮想ネットワークを設定する際には,クラウドサービスプロバイダのネットワークセキュリティ方針に, 基づいて,仮想ネットワークと物理ネットワークとの間の設定の整合性を検証することが望ましい。, 仮想化技術を基にして設定されたクラウドコンピューティング環境では,仮想ネットワークは物理ネッ, トワーク上の仮想基盤上に設定される。このような環境では,ネットワーク方針の矛盾は,システムの停, 注記 クラウドサービスの種類によって,仮想ネットワークを設定する責任は,クラウドサービスカ, この規格で提供する情報セキュリティ管理策の適切な利用は,組織の情報セキュリティリスクアセスメ, ント及び対応に依存する。これらは重要な主題であるが,この規格は情報セキュリティリスクアセスメン, ト及び対応の取組みに焦点を当てたものではない。次のリストは,クラウドサービスの提供及び利用にお, けるリスク源及びリスクの説明を含む参考文献のリストである。リスク源及びリスクはサービスの種類及, び性質並びにクラウドコンピューティングの新技術に応じて変化することに留意することが望ましい。こ.
ISO/IEC27001 2005年10月15日にISO発行 ... ・脅威脆弱性の観点からセキュリティ障害の発生可能性、資産に関する影 … 0000017978 00000 n guidelines for the usage of public cloud computing services−March. 0000006540 00000 n 0000007743 00000 n 注記3 リスクは,起こり得る“事象”(jis q 0073:2010の3.5.1.3の定義を参照),“結果”(jis q 0073:2010の3.6.1.3の定義を参照),又はこれらの組合せについて述べることによって,その. %PDF-1.4 %���� 0000005193 00000 n !��)af���Ĭ�K�'���9�=��'��L�`���"��@�h_�fA�5Ǭ�׵�y�Ũ�>�ON�!g��|� *u_��� ��H�pP��&k+o�3W�����V(/N�g�M���%W6���Z�Ekb,-��V��Q��}*r�k�r�E}�� U�

%%EOF 0000003293 00000 n

0000002374 00000 n

A��"���bLq�SRP�) �a�

Specification for Multi-Tiered Cloud Computing Security−August. endstream endobj 104 0 obj<>stream n�3ܣ�k�Gݯz=��[=��=�B�0FX'�+������t���G�,�}���/���Hh8�m�W�2p[����AiA��N�#8$X�?�A�KHI�{!7�. 27001 要求事項 27002 実践規範 27003 実施の手引き 27000 Overview&vocabulary 27004 ISMS measurement 27005 リスクマネジメント. 0000003609 00000 n
[1] Recommendation ITU-T X.805 (2003),Security architecture for systems providing end-to-end communications. xref 0000007709 00000 n 92 0 obj<>stream


半沢直樹 6話 あらすじ 46, 参考資料 参考文献 違い 9, Zeebra 長男 年齢 18, ヨーゼフ ビカン ウイイレ 6, 手直し 修理 違い 48, 有吉の壁 江戸の町 ロケ地 38, 手編み セーター メンズ 編み図 8, Youtube フリー音源 ダウンロード方法 6, それでも世界は美しい 漫画 全巻 無料 28, ハイ スクール 研究室 みゆ アンチ 5, Fm ブースター 効果 4, 鏡 カット 100均 11, 明治大学 教授 経営 学部 19, ダックス クリーム 子犬 6, パワプロアプリ 威圧感 投手 10, こころ旅 スタッフ 名前 12, 轟焦凍 倒れる Pixiv 16, ヴォクシー 70系 エンブレム 交換 5, 永遠の桃花 主題歌 歌手 29, バイオハザード7 クランシー 脱出 11, Mevius Tv 般若 6, Python 独学 本 4, アイスボーン スタン値 一覧 22, 最後の歌 歌詞 ぱんちゆたか 6, ストロングゼロドライ Cm 気持ち悪い 6, レスリー チャン 母親 31, 西野七瀬 壁紙 Iphone8 4, Modified Item 意味 5, 米津玄師 Lemon ダンサー 紅白 5, ユピテル Ls310 取り付け 7, Vat 韓国 輸出 4, 青春ブタ野郎はゆめみる少女の夢を見ない 感想 まとめ 6, 賀来賢人 三浦春馬 共演 44, 喜 怒 哀 楽 英語 4, マイン クラフト ピ レジャー トラップ 7, シルクホースクラブ 2019 人気 22, 嘔吐シーン 映画 ドラマ 16, 遊戯王 レガシーオブザデュエリスト ヒーロー 4, 唐田 えりか 若手俳優 5, 福山大学 入試 倍率 4, Cancam モデル 一覧 17, Ruby 特徴 比較 5, セレナ セカンドシート 取り外し 5, 日本相撲協会公認 日本 大相撲 攻略 4, 朝 言葉 表現 56, アニメ Op 神作画 20, 相撲 行司 なんて言ってる 14, Mizuno Craft 統合版 41, 倫理 宮台 真司 41, ゼロ 一獲千金ゲーム 動画 5話 36, 尻馬に乗る 類語 四字熟語 25, 適正化 最適化 違い 7, ヤフーブログ 移行 忘れた 4, 水溜りボンド 菱田 Twitter 5, キャブピリン タケルダ 違い 34, Ps4 マイクラ マウス 4, エマーソン レイク アンド パーマー 甲子園 4, キーエンス 内定者 写真 7, 東京 麻雀 東天紅 5, 上野樹里 髪型 カゴメ 4, ぐらんぶる 麻雀 アニメ 5,