要約
クラウドサービスでは、クラウド利用者とクラウド事業者が利用規約やSLAの合意に基づいて役割と責任の分担が発生する。また、クラウド事業者が多数のクラウド利用者を同時に相手にすること(「マスサービスの提供」という)により、クラウド事業者の利用者個別対応の限界も顕在化する。この役割と責任の分担やマスサービス提供に伴って発生する様々な問題を解消・緩和するための対策実務(「利用者接点の実務」という)に関わる指針を、本ガイドラインで示している。
特徴
・ISO/IEC27002に基づく情報セキュリティマネジメントを行うための知識を有しているクラウド事業者を読み手として想定し、利用者接点の実務を理解するために読むことを推奨している。
・第Ⅱ部「管理策の実装技術と利用者接点における実務」では、目次構成をISO/IEC27002:2013に合わせ、記述内容も同規格より引用しているため、ICTシステムに対する通常の情報セキュリティマネジメントの実践のための規範と、利用者接点の実務の指針を簡単に対応付けて確認できるようにしている。
・ICTサプライチェーンを構成するクラウド事業者の中でも、特にインフラを借り受けてアプリケーションサービスを提供するクラウド事業者が、インフラや実行環境の情報セキュリティ対策を基幹事業者に委ね、利用者接点の実務に集中するために読むのに適している。
・クラウド事業者が、クラウド利用者との接点において対応すべき実務を、「クラウド利用者による統制を確保するための実務」「技術的実装の選択」「クラウドサービス運用にあたってのコンプライアンスの確保」「クラウド利用者とのコミュニケーションにおける実務」「認証取得、インシデント対応、監査等にあたっての利用者ごとの資産・証跡の特定」の5つと定義し、特に「クラウド利用者とのコミュニケーションにおける実務」に重点を置いて実務の指針を作成している。
公開元
http://www.soumu.go.jp/main_content/000283647.pdf
(2014年9月)