要約
クラウドコンピューティングを利用する組織においてJIS Q 27002(情報セキュリティマネジメントの実践のための規範)の規格に基づいた情報セキュリティ対策が円滑に行われ、「クラウド利用者と事業者における信頼関係の強化に役立てる」ことを目的として作成された。2011年初版公表後、東日本大震災を背景とした事業継続意識の高まり,情報セキュリティ事件・事故に伴う機密情報の流出、及び大手金融機関における大規模システム障害の発生を契機にリスク対応の重要性が再認識されている。クラウドサービスにおいても,サービスの本格的な普及が進む中,大規模な障害や障害対応過程における情報漏えいの発生など,リスクが顕在化した事例が見受けられる。このような環境の変化を踏まえ,「2013 年度版」としてガイドライン初版の内容を追補している。
特徴
・組織がクラウドコンピューティングを全面的に利用する極限状態を想定し,(1)自ら行うべきこと,(2)クラウド事業者に対して求める必要のあること,さらに,(3)クラウドコンピューティング環境における情報セキュリティマネジメントの仕組みについて記載している。
・ クラウドサービスを全面的に利用することにより生ずるリスクの変化に対応するため,JIS Q 27002 (実践のための規範)の管理策に,「クラウド利用者のための実施の手引」と,「クラウド事業者の実施が望まれる事項」を追加している。
・ クラウドサービスを供給する側が利用する側に回ることで,サービスの供給と利用の連鎖が形成される。「クラウド利用者のための実施の手引」を自らの組織に活用できるだけでなく,「クラウド事業者の実施が望まれる事項」を自らが利用するクラウドサービスの供給者に対して要請し,サプライチェーンを形成するクラウド事業者の情報セキュリティマネジメントに活用することもできる。
・ 2013年度版で、昨今クラウドサービスにおいて顕在化したリスクを踏まえ,クラウド事業者に求められるセキュリティ要求事項を「クラウド事業者の実施が望まれる事項」に追加した。
・ 2013年度版で、クラウドサービスにおける情報セキュリティに関する国際会議などでの検討や海外政府の取組みなどの動向を踏まえて追補した。。
公開元
http://www.meti.go.jp/press/2013/03/20140314004/20140314004-2.pdf
(2014年9月)