« 都内の雨は放射能雨ではないが、もう後はない | トップページ | はるかぜちゃん(10歳)のつぶやき »

2011年5月19日 (木)

政府から学ぶ情報セキュリティ対策のクラウド対応

情報セキュリティ対策についてのクラウド対応は、具体的にはどのようにすればよいのだろうか?
課題の列記や精神論的なものは目にすることも多いが、情報セキュリティ対策のマネジメントシステムを実施している組織が、規程の改訂などで具体的に何をしたのかを見る機会がほとんどないようだ。

そういうときに政府はどうしているかを見るのは参考になる。

ちなみに、外部委託とクラウドの関係は、昨年、以下のような発表をしたことがある。
外部委託及びクラウドにおける情報セキュリティマネジメントシステム適合性評価の利用

そんなことを踏まえながら、政府の対応を見てみるとよいだろう。

結論からすると、以下のとおり、補足説明の追加程度で済んでおり、特段の遵守事項の追加はないことがわかる。

管理的な観点では、以下の対応がされた。
 外部委託に、外部の設備を利用したサービスが含まれることが追加解説された
 外部設備を利用する場合に、データの所在に留意することが追加解説された
 IT部門を通さずにITに相当する外部委託の発注を想定することが追加解説された
 細則である外部委託のマニュアルの中で以下の追加がされた
  「約款による情報処理サービス」という定義をして留意事項例がまとめられた
  IT部門以外にも周知することが重要である点が追記された
技術的な観点では、以下の対応がされた。
 通信回線の用語定義に仮想ネットワークを想定するよう追加解説された
 サーバを共用することを想定するよう追加解説された
 クラウド対応ということではないが関連することとしては、以下の遵守事項が追加された。
  電子メールの送信元でのなりすまし防止対策

まとめてみると、上記のことくらいをすれば「クラウド対応」ができると言える。
上記のうち、主要なことは1つだけで、細則の「外部委託における情報セキュリティ対策実施規程 雛形付録」に、「約款による情報処理サービス」を追加したことと言ってもよいだろう。

クラウドが、何か新しい技術パラダイムであったり、新しい契約形態であるという紹介がされることもあるが、実務に照らしてみれば、従来の補足程度のことであることを示している。

ただし、クラウド対応を政府と同じくらい少なくできるかは、もととなる基準の品質に依存する。
つまり、
「クラウドを想定して検証することで、現状の情報セキュリティ対策の枠組みの出来具合がわかる。」
ことになるのは重要なことだ。
もしも、クラウドを想定して、現状の情報セキュリティ対策の見直しが多かったとしたら、それはクラウド対応なのではなく、現状の対策の枠組みがよく出来ていない可能性を疑ってみる必要もありそうだ。それはつまり、クラウド対応が局所的にならないような、全体枠組みを再構成するということの必要性を意味する。

その点で、政府の基準は枠組みとしては、ISO/IEC 27002などよりは、もともとよく整理してある。
今回のクラウド対応の検証では、統一基準は「外部委託(1.2.5.1)」以外に、以下のような観点の遵守事項をもとより定めている。
「情報の抹消(用語定義)」
「省庁外での情報処理(1.4.2.1)」
「省庁支給以外の情報システムによる情報処理(1.4.2.2)」
「主体認証・アクセス制御・権限管理・証跡管理・保証等の標準手順(1.5.2.4)」
「ドメイン名の利用(1.5.2.7)」
「リモート保守(2.3.2.3(1)(a))」
これらの枠組みの中で、クラウドを整理することができている点が重要だ。
これらについての基準がない組織では、政府の例を参考に、それらを加えてもよいだろう。

政府機関の基準関連文書を確認した結果は、以上のとおりだが、経緯を以下に紹介する。

政府は、「政府機関の情報セキュリティ対策のための統一基準」を公表している。

そこに掲載されている、
旧版である
 「政府機関の情報セキュリティ対策のための統一基準(第4版)
は、最新版で以下の2文書構成に分かれた
 「政府機関の情報セキュリティ対策のための統一管理基準
 「政府機関の情報セキュリティ対策のための統一技術基準

そこでまず、「政府機関統一基準改定の概要」を見てみると、最新版の改定はスライド2で示しているとおり、以下の5点で改定している。
 A1.クラウド技術への対応
 A2.外部からの不正アクセスに係る対応
 A3.情報システムのセキュリティ強化に係る対応
 B1.統一基準の全体構成の見直し
 B2.教育・人材育成の充実
したがって、政府機関統一基準関連文書での改定差分のうち、上記の「A1.クラウド技術への対応」の観点での改定箇所を見れば、それが情報セキュリティ対策基準における「クラウド対応」ということになる。
大げさに言えば、改定差分からA1以外の改定を取り除くようなリバースエンジニアリングをするということだ。(笑)

それをするために、具体的な差分を、管理基準、技術基準、マニュアルの順に紹介してみる。

まず、目次レベルでの差分を確認してみる。
そのためには、「旧版からの項番対応表」を参照するとよい。
今回の改定では、「B1.統一基準の全体構成の見直し」があるため、構成が変更になっているが、クラウドに関するような項目の変更がないことがわかる。
したがって、目次レベルでは、クラウドという項目を追加などする必要がないと判断されたことになる。

次に、本文の差分を確認してみる。
そのためには、以下の2つの文書を参照するとよい。
「政府機関の情報セキュリティ対策のための統一管理基準」と旧版の新旧対照表
「政府機関の情報セキュリティ対策のための統一技術基準」と旧版の新旧対照表

管理基準については、以下の変更箇所がクラウドに関係するものになるだろう。

No.71で、 クラウドに直接関係するものではないが、 「情報の抹消」を「廃棄した情報が漏えいすることを防止するために、全ての情報を復元が困難な状態にすることをいう。削除の取消しや復元ツールで復元できる状態は、復元が困難な状態ではない。」 と明記することで、「情報の抹消」作業の要件を示している。

No.74で
「通信回線」の用語定義を
「「通信回線」とは、これを利用して複数の電子計算機を接続し、所定の通信様式に従って情報を送受信するための仕組みをいう。回線及び通信回線装置の接続により構成された通信回線のことを物理的な通信回線といい、物理的な通信回線上に構成され、電子計算機間で所定の通信様式に従って情報を送受信可能な通信回線のことを論理的な通信回線という。」

「「通信回線」とは、これを利用して複数の電子計算機を接続し、所定の通信様式に従って情報を送受信するための仕組みであり、物理的なものと論理的なものがある。」
と改定している。
これは、仮想化技術におけるネットワークを想定したものである。

No.99に、
1.2.1.1(5)(a)解説として、
「なお、アプリケーションのみ別組織が管理するといったように、情報システムを共同で管理する場合は、あらかじめ責任分担を明確にすること。」
を追加している。

No.164に、
1.2.5.1趣旨として、
「府省庁外の者に情報処理業務を委託する場合」に、
「外部の設備を利用した役務提供も含む」とした点と、
「外部委託に関する対策基準を定める」ことについて、
「具体的には、
・情報セキュリティ確保のための府省庁内共通の仕組みの整備
・委託先に実施させる情報セキュリティ対策の明確化
・委託先の選定
・外部委託に係る契約
・外部委託の実施における手続
・外部委託終了時の手続
についての遵守事項を定めるものである。」
と明記している。

No.165に、
1.2.5.1(1)(a)解説として、
「また、データの所在については、海外のデータセンター等に情報を保存する場合には、保存している情報に対し、現地の法令等が適用されるため、国内であれば不適切となるアクセスをされる可能性があることに注意が必要である。例えば、「行政機関の保有する個人情報の保護に関する法律」で定義する個人情報については、国内法が適用される場所に制限する必要があると判断すること等が考えられる。」
と追記した。

No.172とNo.173に、
再委託に関する改定があるが、これはクラウドと関係するわけではなく、また旧版からの遵守内容の改定であるわけでもなく、文章を簡潔でわかりやすいものに改めたものだろう。

No.175は、
クラウドに直接関係するものではないが、No.71で定義した「情報の抹消」に併せて
1.2.5.1(5)(a)(イ)に、
「全ての情報を復元が困難な状態にすることをいう。」
と追記している。

No.215に、
1.3.1.3(1)(a)解説として、
「また、行政事務従事者が許可を得て、個人で利用するASP・SaaS サービスなどの外部の情報システムを用いて、要保護情報に関する情報処理を行う場合は、省庁対策基準と同等の情報セキュリティ対策が実施される場所に保存する必要がある。なお、海外のデータセンター等に情報を保存する場合には、保存している情報に対し、現地の法令等が適用されるため、国内であれば不適切となるアクセスをされる可能性があることに注意が必要である。」
を追記している。

No.302で、
1.4.2.2(3)(c)解説として、
「解説:情報システムセキュリティ責任者に対して、許可又は届出を受理した要保護情報を取り扱う府省庁支給以外の情報システムについて、府省庁支給の情報システムと同程度のセキュリティ対策が施されていることの確認を求める事項である。確認する頻度は、(以下、長文のため転載略)」
を追加

No.305で、
1.5.1.1(1)(b)解説として、
「また、ASP・SaaS サービス等の外部の情報システムを利用する場合は、管理責任範囲の分担を明確化し、セキュリティ対策の実施に漏れが発生しないようにすること。なお、物理的に分割されたシステムに限らず、論理的に分割されたシステムも同様に考慮すること。「論理的に分割されたシステム」とは、一つの情報システムのきょう体上に複数のシステムを共存させることを目的として、仮想的・論理的に分割させた状態の情報システムをいう。例えば、仮想化技術を利用することが考えられる。」
を追記している。

No.329~336
No.329で、
1.5.2.1(2)(a)に、
「また、情報処理業務を外部に委託する場合は、以下の事項を記載した台帳を整備すること。」
を追記しており、
No.335で、1.5.2.1(2)(a)(シ)に、台帳整備の項目として、
「ドメイン名(インターネット上で提供されるサービス等を利用する場合)」
を明記している。

No.423で、
用語解説として、「ASP・SaaS サービス」の解説を追加している。

技術基準については、以下の変更箇所がクラウドに関係するものになるだろう。

No.193で、 2.3.1.1(3)(a)解説にクラウドということでもないが、共用のサーバ室等の注意点として、 「なお、重要システムを設置している場合やサーバ室に設置している複数のサーバラックの運用主体が異なる場合、サーバラックの鍵を適切に管理すること等が考えられる。」 を追記している。

No.233で、
遵守事項として2.3.3.1(1)(c)を
「情報システムセキュリティ責任者は、電子メールの送信元について、なりすましの防止策を講ずること。」
を追加している。
そして、No.234で、その解説を追加している。
クラウドと直接関係することではないが、自組織のサーバ以外からメールを送信することについて、どのように真正性を受信者に示すかの参考にしてもよい項目だろう。

No.241からNo.246で、
遵守事項として2.3.3.2(1)(a)を追加している。
クラウドに直接関係することではないが、ウェブコンテンツに関する事項を改めてまとめてあるので、参考にしてもよい項目だろう。

No.258で、
遵守事項として2.3.3.2(2)(a)を追加している。
クラウドに直接関係することではないが、ウェブアプリケーションの開発に関する事項を改めてまとめてあるので、参考にしてもよい項目だろう。

No.291で、
2.3.4.1(1)(a)解説に
「なお、物理的に分割されたシステムに限らず、論理的に分割されたシステム間の通信も同様に考慮すること。(「論理的に分割されたシステム」とは、一つの情報システムのきょう体上に複数のシステムを共存させることを目的として、論理的に分割させた状態の情報システムをいう。例えば、仮想化ソフトウェアを利用することが考えられる。なお、仮想化ソフトウェアとは、1つのハードウェアで複数のオペレーティングシステムを同時に実行する
機能を有するソフトウェアをいう。以下同様。)」
を追加している。
仮想化技術による仮想ネットワークを、基準で定めている通信回線とみなすことを明記して、これまでの物理回線に対する事項のうち、適用できることは仮想ネットワークにも適用するように求めている。

No.297で、
2.3.4.1(1)(f)解説に、
「また、通信路の秘匿化は、機密性だけでなく完全性を保護する上でも有用である。なお、通信路の秘匿化のために、例えば、IPsec、SSL 及びTLS 等を使用することも考えられる。」
を追加している。
クラウドという観点では、機密性だけではなく、完全性についての観点もあることを示唆しているので、参考にできる項目だろう。

以上が規則である遵守事項を定めた基準2文書の確認であるが、次に、細則に相当するマニュアル作成手引書の差分を見てみる。

政府は、「政府機関統一基準適用個別マニュアル群」を公表している。

この中で、今回のクラウド対応で改定したのは、DM6-02という文書番号の以下の3つである。
・「外部委託における情報セキュリティ対策実施規程 策定手引書
・「外部委託における情報セキュリティ対策実施規程 雛形
と「雛形付録
(ウェブページ上では、ファイルが2つのように見えるが2つ目は上記のとおり、雛形と雛形付録の2つの異なるファイルへのリンクがあり、全部で3つのファイルがあるので注意)

基準と異なり、こちらには新旧対照表がないので、差分の比較のためには、PDFファイルをテキスト形式で保存したものを、ファイル差分比較のツールなどで横に並べて比較するとよい。
ページ番号がずれているために、その箇所がすべて差分として表示されるが、慣れてくると実際の本文の変更箇所を確認するのは、それほど大変ではない。

策定手引書の旧版からの差分については、以下のとおりだ。

まず、目次から見ていくと、以下の2点の変更だけである。

・以前の「8 外部委託の形態」の内容が「8.1外部委託する業務の分類」になり、新設の「8.2『約款による情報処理サービス』の利用による外部委託」が追加された

・「9.3.5再請負の原則禁止」が「9.3.5再委託に関する制限」に変更になった
こちらは、実際にはクラウド対応ということではなく、基準での表現変更を反映したもので、遵守内容に見合った見出しにしただけで内容の変更はない。

次に、本文を見ていくと、クラウドとは関係のない以下の変更がある。
・統一基準の変更の反映(基準文書の名称変更と、項番の変更など)
・参考資料の追加
そして、クラウドに関係する変更として
・9.3.1 外部委託に係る契約に「(14)『約款による情報処理サービス』利用時特有の留意事項」が追加された。

ここには、


約款が用意されており、情報セキュリティに関する事項について利用者による条件
選択の余地が限られている情報処理サービス(以下、「約款による情報処理サービス」
と言う。)を利用し、外部委託を行う場合である。(利用者に提供される機能など情報
セキュリティ以外の契約内容については要求に基づいて用意される又は条件選択や
修正ができるものであっても、情報セキュリティに関する事項に条件選択の制限があ
れば、「約款による情報処理サービス」に含む。)例えばクラウドサービス等がこれに
該当する。

と記載されており、いわゆるパブリック・クラウドのうち、約款によって利用条件が決まっているものを「約款による情報処理サービス」として定義した。

そして、それに対して以下の留意点を示している。

一般に、外部事業者が提供する「約款による情報処理サービス」を利用する場合に は、サービス内容の保証は提供事業者が定める利用規約等の約款の範囲に限られる。 したがって、省庁対策基準及び規定で許容されているかどうかを確認のうえ利用を検 討することが必要である。具体的には、別紙1の雛形に加え、留意事項とチェックリ ストをまとめた別紙2の雛形付録を参照するとよい。
「約款による情報処理サービス」の利用に際しては、例えば以下の点に注意する必 要がある。
・通常の情報処理サービスにより処理された結果生じる著作権等の権利については 利用者に帰属することが一般的であるが、「約款による情報処理サービス」では、 それらの権利の放棄や移管が利用条件となっている場合がある。
・賃貸借・使用貸借部分の所有権はサービス提供者等の事業者側に帰属するため、 通常の情報処理サービスの利用終了時におけるデータ削除は、原状回復義務とし て利用者側の義務となることが想定されるが、「約款による情報処理サービス」 では、約款上、データ消去等をサービス利用者側で直接実施できないことがある。
・「約款による情報処理サービス」では、利用したデータの削除についてサービス 提供者が個別には応じないことや、情報の置き場所が特定の場所に固定されず、 海外の法執行機関等による予期せぬアクセスが行われることがある。

さらに、以下のとおり、上記留意事項についてIT部門に限らずに広く周知させることが重要であることを強調している。

なお、サービスの中には無償で利用できるものもあるが、無償で利用する場合でも 外部委託に該当するとの認識が必要である。つまり、府省庁外の情報処理サービスを 利用する場合には、それが有償で調達手続きを経る場合だけではなく、無償で利用を 開始できる場合であっても、本手引書で解説している「外部委託における情報セキュ リティ対策実施規程」を遵守することが求められる。無償で利用する例としては、無 償で提供されているメールサービスの利用やアンケート記入及び集計に係るウェブ サービスの利用等を挙げることができる。
こうした無償サービスの利用においては、その利用者が調達に従事する行政事務従 事者に限られたものではないため、当該留意事項について別紙2の雛形付録に基づき、 府省庁内に広く周知する必要がある。

雛形については、以下のとおりだ。

・手引書の8章の変更と同様に、以前の、「3 外部委託を行う業務の形態」が「3.1外部委託する業務の分類」となり、新設として「3.2『約款による情報処理サービス』の利用による外部委託」が追加され、3章は「外部委託の形態」になった。

・7章「7 契約における手続」に「7.6『約款による情報処理サービス』の利用による外部委託に関する注意」が追加された。

・「第Ⅱ部 調達仕様における情報セキュリティ関連事項の記述例」が3章と同様に、以前の内容を「1外部委託する業務の分類に基づく事項」として、「2『約款による情報処理サービス』の利用に関する事項」が追加された。
ここでのポイントは、業務の分類に基づいて、
1.1情報システムの構築等の場合
1.2情報システムの運用・保守・点検の場合
1.3情報の加工・処理等の場合
1.4情報の保存・運搬の場合
の場合ごとの事項を記述した上で、それらに加えて『約款による情報処理サービス』の場合には、「2『約款による情報処理サービス』の利用に関する事項」を記述するというアドオン形式の構造になっている。

そして、今回の唯一と言える、クラウド対応として、別紙2「「約款による情報処理サービス」利用チェックリスト」を新たに設けている。
その中で、留意事項を表1で、1~18を示している。
チェックリストでは、「~~について約款上の記載があり、その記載内容は利用上問題ありませんか?」
という書き方をしているが、前段の「~~について約款上の記載があり、」という箇所では、「約款上に記載が明記されていない場合には、サービス提供者にサービス内容を確認せよ」ということになる。
それを確認したうえで、後段の「その記載内容は利用上問題ありませんか?」の問いは、
「サービスを利用する上でリスクを許容できるものであるかという意味を含むものである」としている。


したがって、政府の基準関連文書での、クラウド対応の中心的なものは、外部委託マニュアルにおいて、「約款による情報処理サービス」という定義をして、そのためのチェックリストを示したことである。

以上を参考にして、情報セキュリティ対策でのクラウド対応に役立てることができるだろう。
実際に使われている文書が、無償で再利用、再配布自由というのだから、使わない手はないだろう(笑)

5月 19, 2011 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/66521/51711449

この記事へのトラックバック一覧です: 政府から学ぶ情報セキュリティ対策のクラウド対応:

コメント

コメントを書く