サイバーセキュリティとその対策

(1)

情報システムの動向に対応する自治体監査

2017年5月30日

特定非営利活動法人日本セキュリティ監査協会

事務局長/公認情報セキュリティ主席監査人

(2)

情報システムの動向



オープン化・ネットワーク化の深化



仮想化技術による低廉で潤沢なリソースの活用



ビッグデータ解析によるリアルタイム最適サービスの提供



IoT、FinTechの普及



PII（個人識別子）管理の重要性の拡大



欧米での規制の強化（一般データ保護規則）



マイナンバー制度



改正個人情報保護法



サイバーセキュリティ対策の高度化・専門化



アンチウィルスソフトからふるまい検知へ



検疫体制からCIRT体制へ

(3)

選択と集中

オープン化・ネットワー

ク化の深化

PII管理の重要性の

拡大

サイバーセキュリティ対

策の高度化・専門化

守るべきものへ集中

外部サービスの選択

コンピュータリソース

高度専門サービス

(4)

外部サービスのクラウド化



as a Service の利点



Networkと標準化による低廉・高品質（World Wide)



リソースの集中（Man & Machin）



技術の高度化



必要な時に必要な分だけ使える手軽さ



As a Service の例



AI-as-a-service : AI as a Service （人工知能提供サービス）



SECaaS : Security as a Service （監視サービスなど）



IDaaS : Identity as a Service (アイデンティティ管理。OpenIDプロ

バイダーなど)

(5)

CaaS : Communications as a Service (通信、ビデオ会議、WEB会議など) CompaaS : Compute as a Service (IaaSのうちServer貸し）

DSaaS : Data Storage as a Service (Storageサービス）

IaaS : Infrastructure as a Service (仮想マシンとネットワーク環境） NaaS : Network as a Service (ISP)

PaaS : Platform as a Service (アプリケーションの稼働基盤であるアプリケーションサーバやDBMS) SaaS : Software as a Service (ソフトウェア機能全般）

（資料：ISO/IEC17788：2014）

AI-as-a-service : AI as a Service （人工知能提供サービス） SECaaS : Security as a Service （監視サービスなど）

FaaS : Finance as a Service (Fintech）

HaaS : Healthcare as a Service （Healthcareに特化したクラウドサービス）（資料：Web検索）

AaaS : Analytics as a Service (統計、解析)

BaaS : Backend as a Service (ユーザー認証、位置情報サービス、プッシュ通知など) BaaS : Backup as a Service (バックアップ)

CI-aaS : CI as a Service (継続的インテグレーション)、 DaaS : Data as a Service (データ全体)

DaaS : Desktop as a Service (デスクトップ環境) DBaaS : Database as a Service (データベース)

EaaS : Exploits as a Service (セキュリティ攻撃ツール、マルウェア) HaaS : Hardware as a Service (ハードウェア。IaaSとほぼ同じ)

IDaaS : Identity as a Service (アイデンティティ管理。OpenIDプロバイダーなど) LaaS : Logging as a Service (ログ集約)

MBaaS : Mobile backend as a Service (Backend as a Serviceで、特にモバイルアプリケーションでの利用を想定したもの） SaaS : Storage as a Service (ストレージ)

(6)

外部サービス利用の管理



野良クラウドの撲滅



背景



クラウドと名乗らないクラウドサービスの広がり



安易なサービス利用の横行



対策



URLの管理



利用前の事前申請



安全なサービスの基準の明確化（ISO/IEC27017の活用）



クラウド利用基準の明確化



政府統一基準などを例に策定

(7)

政府統一基準におけるクラウド利用の基準



政府機関でもクラウドサービスの本格利用に向け、利用基準を明示



政府統一基準で６つの基準が提示されている

1. 情報の格付けに従ったクラウドサービス利用の判断

a. 情報システムセキュリティ責任者は、クラウドサービス（民間事業者が提供するものに限らず、政府が自ら提供するものを含む。以下同じ。）を利用するに当たり、取り扱う情報の格付及び取扱制限を踏まえ、情報の取扱いを委ねることの可否を判断すること。

2. 外国法が適用されるリスクの評価

b. 情報システムセキュリティ責任者は、クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定し、必要に応じて委託事業の実施場所及び契約に定める準拠法・裁判管轄を指定すること。

3. サービス中断時・終了時の円滑な業務の移管

c. 情報システムセキュリティ責任者は、クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件とすること。

4. 情報流通経路全般にわたったセキュリティ設計・セキュリティ要件

d.情報システムセキュリティ責任者は、クラウドサービスの特性を考慮した上で、クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めること。

5. 監査報告の内容や認証制度の適用状況を踏まえた事業者の信頼性

の評価

e. 情報システムセキュリティ責任者は、クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適

(8)

監査の重要性



認証の限界



監査の重要性



サプライヤー監査の必要性



クラウドサービスは組織の基幹的な情報を扱うサービスなので、本来、

利用者が自身で監査すべきもの



クラウドサービスプロバイダが行った監査を確認する



多数の利用者を抱えるプロバイダーが個別の監査要求に応えることは

現実的でない



その代わりにクラウドサービスプロバイダが監査を行いその結果を開示

することが多い



クラウドサービスプロバイダの監査が信頼できるかを確認し、その結果を

読み込むことが重要

(9)

監査プロセスの透明性と確認のポイント



情報セキュリティ対策の立案・実施・評価の全プロセスを可視化することが重要



下記の点を確認

①

内部監査人は、クラウドサービスカスタマが十分であるといえる力量をもっているか

②

内部監査人は、組織内において監査人として保護され、中立的な意見を述べられ

る環境にあるか

③

管理策は個別のリスクに合理的に紐づいているか

④

クラウドコンピューティングの技術的な階層構造ごとに、リスク分析が行われ適切な

管理策が選択されているか

⑤

管理策の実施にあたって、クラウドサービスカスタマがどの実施の手引の項目を階層

ごとに適用しているか

⑥

上記⑤の適用で、管理策が期待する効果を発揮できるか

⑦

管理策の設計および運用責任者が明確であり、監査はこれらの人に対して行って

いるか

⑧

監査の証拠は、⑤の詳細な内容ごとに十分な質と量にあるか

⑨

監査の証拠に基づく事実の認定は合理的か

⑩

事実の認定に基づく管理策の有効性の判定が合理的か

(10)

制度に裏付けられた監査の利用



監査が信頼できるかの確認には相応の負荷がかかるが、制度に裏付けられて

いれば、その部分が簡略化できる



SOCの場合には、ISO/IEC27017準拠ではないので、対象の確認が必要