情報セキュリティの国際規格ISO/IEC27001のアドオン規格としてISO/IEC27017が登場し、今年(2016年)の8月から認証が開始されています。 この規格はクラウド環境の普及に伴い、27001規格をクラウド環境を含めて適用する際に、明確にしておかなければならない事項を規格化したものです。

情報セキュリティ全体を包括する27001規格に対して、27017規格はクラウド特有の事項を対象にしています。

27001規格でも業務委託に関しては、供給者関係というくだりで規定されています。
27001規格では委託先及び再委託先にも自社と同等の管理体制を求めていますので、委託者の責任において委託先の監査をする必要があります。 あくまで、自社の施設を外部に預かって運用してもらう専用サービスのイメージです。

しかし、現在のクラウドサービスは、外部に既にある汎用サービスを使わせてもらうイメージですので、委託者の管理が及ばない部分が出てきます。
委託者の具体的なセキュリティー要件を実現する手段が、委託者の思い通りでないとしても、セキュリティー要件を満たせるのであれば良いのであって、その要件を明確にして契約し、その監査証拠を定期的に提出してもらえれば、結果としてセキュリティーレベルは確保できます。

そういった、クラウドサービスを使う上で見落としてはいけない項目を洗い出したのが、27017規格です。

クラウドサービスは、通常仮想環境で実現されるので、ログの問題が難しくなります。
初期のクラウドサービスだと、ログは提供されないとか、別料金でしかも日数を要するなどの問題がありました。

現在も低価格のサービスだと一定期間のWebのアクセスログをダウンロードできるくらいでしょうか。
その程度だと、攻撃を受けたことは分かっても、どのように侵入して、どこをどう触り、何をしたかということはわかりません。
システム全体に関する様々なログが無いと、インシデント発生時の証拠を集めることができません。

状況によっては仮想マシンの内部だけでなく、ホストマシンのログも必要になってきます。

発生したインシデントの重大さによって、そこまで踏み込んで対応してもらえるかどうかが、最終的にサービス選定のカギになると思います。

もう一つよく話題に上がるのは、バックアップの問題です。
やはり初期のクラウドサービスだと、バックアップのサービスがなかったり、あっても正しく取られてなくて、大量のデータを失ってしまったという事件がありました。

どのような方法で、どのような媒体に、どのような頻度で、保管の仕方はどうなっているのか、明確にして契約し、監査証拠を出してもらう必要があります。

従来のクラウドサービスでは、サービス提供側が主で、パッケージとして規定したサービスをそのまま使わせるという考え方でしたが、27017認証取得したサービス事業者であれば、事業者としてどのようなサービスを提供すれば委託者のサービスレベルに合致できるかという考え方ができますので、27001取得事業者もクラウドサービスを利用しやすい環境が展開されていくものと思われます。

 

VMware Workstation 12 Player