ファーエンドテクノロジー株式会社
インターネット上の技術・知識を活用してよりよい社会の実現を目指すインターネットサービス企業です。
ファーエンドテクノロジー株式会社
ファーエンドテクノロジー株式会社
6月になりました。
5月は出張で東京へ行く機会が珍しく3回もあったのですが、先週後半に今回話題にしているISO/IEC27017の事を学ぶために、ある企業開催の研修受講に行きました。
タイミングがちょうど伊勢志摩サミットのタイミングで空港ほか交通機関はとても厳重な警備を行われていました。
弊社は本年3月下旬にISO/IEC27001認証の認定を取得いたしましたが、このISO/IEC27001というのは情報の取扱の中で起こり得るセキュリティリスクを明確にして、それをどのように管理していくか取り組むための規格となります。
このISO/IEC27001はすべての業種・組織形態・システム構成においても使用出来るように書かれているのですが、昨年11月にISO/IEC27017というクラウドセキュリティに向けた規格が制定されました。
セキュリティが専門業務ではないのですが、会社の活動に活かすため、この規格を調査しておりました。今回のブログではISO/IEC27017について書かせていただきます。
なお、文字が冗長になるので以下では、ISO/IECの文字を省略して数字のみ書かせていただきます(例: ISO/IEC27017 は 27017 と表記)。
弊社でもそうですが、最近はITの活用においてはクラウドの利用は欠かせないものとなりました。
従来会社などの組織においては、社内に全てのシステムを配置し外部には設置しないのが通常でした。
現在もこの形態は基本ですし、最も管理をしやすい形態です。最近はクラウドなど外部システム利用やデータセンター利用など外部委託と区別するために、オンプレミス(on-premise)と呼ばれます。
オンプレミスの状態から、運用の外部委託や災害対策などを考え外部に社内のシステムを設置する組織も増えてきました。
そして最近は、使用するアプリケーションソフトウェアや環境、またマシンまで必要なときに必要なだけ利用するオンデマンドの利用が増えてきました。これをクラウド(コンピューティング)と呼んでいます。
クラウドを利用することで費用面での効率化や、オンプレミスと併用で利用するハイブリッド利用による耐災害性の強化などが見込まれます。
しかしながら使用している機器や基本ソフトウェアなどはサービスを提供する組織のものであり、オンプレミスと違って直接管理を行う事ができません。また提供会社側の事情によりサービスが利用が出来なくなった場合の対応など、従来とは違ったリスクも予想できます。
このため、以前のセキュリティリスクに対する考え方では適用が難しい事象が増えてきました。
ISOの規格においても同様で、既定の27001への適合性だけでは、管理が難しい内容があることがクラウドの普及とともに語られていました。
このような状況をふまえ27017としてクラウドサービスにおける情報セキュリティ管理についてのプラクティスが作成されました。ISOは国際規格ですが、この27017規格は日本の提案を元に、日本が中心となって作り上げられたそうで、クラウドセキュリティの分野について、この国の本気度がよくわかる気がしています。
ISO認証をご存じの方への内容ですが、27017認証は個別の認証ではなく、27001にアドオンする形態になるとのことで、27017認証の取得は27001認証の取得が前提とのことです。
(ニホンゴわかりにくいですね)
27017は27002(情報セキュリティ管理策の実践のための規範)をベースに作成されており、クラウドサービスの利用者(カスタマ)とクラウドサービスの提供者(プロバイダ)の二つの立場でのプラクティスが書かれています。
クラウドサービスを利用するだけの組織が27017の認証を取得する場合は、 クラウドサービスカスタマ (CSC)として認証を取得し、クラウドサービスを提供する組織が27017の認証を取得する場合は、 クラウドサービスプロバイダ (CSP)として取り組むことになります。
また、クラウドサービスを提供する企業の提供の形態として、他組織のクラウドサービスを使用してサービスを提供する場合も多々あります。
この場合は、CSCとCSPの両方の取組を行うことになります。
12.1.3を例に例えます。
27002の12.1.3は、運用のセキュリティに関して機器の容量や能力を監視して、必要な能力を満たすよう管理し、将来的に問題無く運用できるよう予測することが求められています。
27017のCSCの内容としては、CSPに対してサービスの機能が問題無く提供できる容量・能力であることを確認し、提供状況を監視することが求められています。
また、27017のCSPの内容としては、提供サービス上のインシデントの発生を防ぐために、システム資源の能力等を監視することが求められています。
| (12. 運用のセキュリティ 12.1. 運用の手順及び責任) 12.1.3 容量・能力の管理 |
||
|---|---|---|
| クラウドサービスカスタマ | クラウドサービスプロバイダ | |
| 規格文書(日本語対訳) | クラウドサービスカスタマは、クラウドサービスで提供される合意した容量・能力が、クラウドサービスカスタマの要求を満たすことを確認することが望ましい。 クラウドサービスカスタマは、将来のクラウドサービスの性能を確実にするため、クラウドサービスの使用を監視し、将来必要となる容量・能力を予測することが望ましい。 |
クラウドサービスプロバイダは、資源不足による情報セキュリティインシデントの発生を防ぐため、資源全体の容量・能力を監視することが望ましい。 |
| おおよその意味 | CSPに対してサービスの機能が問題無く提供できる容量・能力であることを確認し、提供状況を監視すること。 | 提供サービス上のインシデントの発生を防ぐために、システム資源の能力等を監視すること。 |
このようにクラウドに対する立場の違いで求められる内容が異なっているのが大きな特徴です。
研修を受けたり、調査したりして一番感じているのは責任範囲に関する合意です。
一方的に高いレベルを求めるのではなく、また低いレベルを押しつけるのでも無く、提供者と利用者双方に責任があり、それぞれがサービスの利用と提供に関して合意することが必要です。
弊社でも利用しているAmazon Web Services では、ISO/IEC27017の認証を昨年取得されました。
AWSでは以前より責任共有モデルという言葉で責任分解点を明確に定義されています。
AWS上で動作するシステム、保管されている情報についてAWSが責任をもつ領域を提示し、それに合意したユーザが利用するものです。
今後はこの考え方や責任範囲に関する記載が増えていくのだろうなと感じました。
弊社では27001の認証を取得したばかりで、まだまだこれから27001の取り組みを継続的に良い物にしていかなければいけません。
現時点では、27017の認証取得は予定していませんが、27017の内容を踏まえ取り込めるところは取り込みつつ、より良い情報セキュリティの仕組みを構築していこうと考えております。
|
入門Redmine 第6版 出版記念セミナー「Redmine 8年分の新機能ふりかえり」【2024/4/18開催】 入門Redmine 第6版(2024年3月23日発売)に掲載された新機能に関する内容を執筆者・監修者が紹介します。 |
|
My Redmine 初回ご契約で「入門Redmine 第6版」プレゼントのお知らせ Redmineのクラウドサービス「My Redmine」を初めてご契約いただいたお客様にRedmine解説書「入門Redmine 第6版」を進呈いたします。 |
|
2024年度ブランドパートナーに島根県在住のモデル ユイさんを継続起用 ユイさん(モデルスタジオミューズ所属)をファーエンドテクノロジーの2024年度ブランドパートナーとして継続して起用します。 |
|
My Redmine スタンダードプランおよびAdminサポートデスクプランの料金改定のお知らせ【2024年4月ご利用分より】 2024年4月ご利用分より、My Redmine スタンダードプラン(民間企業・個人向け及び官公庁向け)とAdminサポートデスクプランの料金を改定いたします。 |
|
Redmineの最新情報をメールでお知らせする「Redmine News」配信中 新バージョンやセキュリティ修正のリリース情報、そのほか最新情報を迅速にお届け |
