クラウドサービス提供における情報セキュリティ対策ガイドライン

要約

　複雑化したクラウドサービスの利用環境がもたらす諸課題に対応し、安全・安心に利用するには情報セキュリティマネジメントが不可欠である。国際規格としてはISO/IEC 27001（「情報セキュリティマネジメントシステム－要求事項」）のクラウドサービス対応版ISO/IEC 27017があり、この規格に基づいたクラウドセキュリティ認証も開始されている。
　このガイドラインは、クラウドサービスには利用者と事業者が利用規約やSLAの合意に基づいて役割と責任を分担する点、利用者と元受事業者の中間に入る事業者も存在する点に注目している。
　クラウドサービスでは、多数顧客へのサービス対応や多段階サービスによる統制の欠如、コミュニケーション不足、コンプライアンスなどの課題が発生しうる状況であり、このガイドラインは、これらを解消・緩和する「利用者接点の対策実務」に関する指針を示したものである。

特徴

　このガイドラインは、クラウド事業者が、クラウド利用者との接点において対応すべき実務を以下に示す７基準で抽出し、それを詳細に記述している。

1. 国内外の関連団体が、それぞれの基準やガイドラインにおいて、クラウド利用者への情報提供等の、クラウドサービスを提供する際に特に重視すべき利用者接点の実務を記述している場合
2. 仮想化技術の適用と関連が深い管理策
3. 監査・認証の取得、情報セキュリティインシデントに係る証拠収集、特定のクラウド利用者の犯罪等に伴う司法官憲等による提出命令等に直面した場合に求められるテナント分離の実務との関連が深い管理策
4. モバイル端末を用いたクラウドサービスの利用に係る管理策
5. 運用管理におけるポイントに係る管理策（例：容量・能力の管理、バックアップ、ログ管理、暗号化等）
6. ICTサプライチェーンと供給者関係に係る実務についての管理策
7. 複数国を跨いでクラウドサービスを提供するにあたり、コンプライアンス上課題となる管理策

対象読者は以下の通り。

• ISO/IEC 27002に基づく情報セキュリティマネジメントを行うための知識を有しているクラウド事業者の実務部門の管理者および担当者
• クラウド事業者の中でインフラを借り受けてアプリケーションサービスを中心にサービスを提供するクラウド事業者の実務部門の管理者および担当者

公開元

(2016年10月)