ISMSがあるのに「なぜ?」
クラウドセキュリティ?

ISO/IEC 27001+ISO/IEC 27002があるのに
「なぜ?」ISO/IEC 27017が必要なのでしょうか?

クラウドセキュリティ入門コース:3時間(受講無料)

  • クラウドサービスのリスクと機会
  • クラウド固有のリスクへの対応
  • JIS Q 27017とISMSの関係
  • クラウドセキュリティ認証とは?

管理者や担当者教育を目的として企業内開催(講師派遣)も可能です
東京開催:LinkIconアイ・エヌ・ジーシステムセミナールーム(秋葉原)開催日程


クラウドセキュリティ入門コースダイジェスト

第1章
1.変化の波に乗るために
2.リスクマネジメントプロセスを適用する
3.劇的な変化 ー 時代が変わる
4.変化を捉えるー CAPD
5.MS 4.1 外部状況と内部状況の特定
6.MS 4.2利害関係者のニーズと期待の特定
7.クラウドを含むマネジメントの範囲
8.MS 6.1 リスクと機会に対処する活動
9.既に多くのサービスが利用されています
10.クラウド利用における課題
11.ISMS審査で観察した状況
12.情報セキュリティが必要な理由
13.JIS Q 27017発行の経緯

第2章
14.JIS X 9401「用語及び定義」
15.クラウドコンピューティングの定義
16.クラウドサービスは A.15 供給者関係
17.サプライチェーンを形成する
18.クラウドサービス構造
19.クラウドサービスにおけるリスクの管理
20サービス構造よりリスクを洗い出す
21.ENISA2009
22.検討結果2011年度版
23.R2.L13.ガバナンスの喪失
24情報セキュリティガバナンスの変化
25.役割及び責任 ISMS5.2/A.6.1.1と責任分界
26.仮想化技術(代表的な技術とリスク)
27.拡張された管理目的及び管理策

第3章
28.JIS Q 27001とJIS Q 27017の関係
29.クラウドセキュリティ認証ー要求事項
30.適用範囲
31.リスク対応と適用宣言
32.内部監査
33.クラウドセキュリティ審査員


参考①急速な技術革新と産業構造の変化
参考② Society5.0とクラウドサービス
参考③デジタルファースト
参考④デジタルコンバージェンス
参考⑤政府機関・自治体の対応
参考⑤-2政府機関の統一基準
参考⑤-3クラウドサービスの利用における対策
参考⑤-4府省庁対策基準策定ガイドライン
参考⑤-5農林水産省が入札要件として明文化
参考⑥サービス品質とクラウド
参考⑦働き方改革(テレワークとクラウド)
参考⑧クラウドサービスを含む適用範囲の決定
参考⑨ISMSとクラウドセキュリティ動向

参考A.ENISA2009 R2.ガバナンスの喪失
参考B.情報セキュリティガバナンス
参考C.CLD.6.3 カスタマとプロバイダとの関係
参考D.CLD.9.5.2 仮想マシンの要塞化
参考E.管理策一覧参照

参考F.人を育てる参考G.研修ロードマップ
参考H.引用文献


Trend

Trend Key Word

Society5.0とクラウド

クラウド利用リスクと機会

クラウド固有のリスクとは

クラウド認証制度とは

クラウドセキュリティ対応について

  • クラウドセキュリティを正しく理解したい ー 講師派遣による研修
  • クラウドセキュリティ認証を取得したい  ー 講師とワークショップ
  • クラウドセキュリティ審査員資格を取得  ー ISMS審査員対応


クラウドセキュリティ審査員資格を有する担当者が対応します
まずはお気軽にご相談ください(都内は無料派遣も可能です)


クラウドセキュリティ対策のポイント

  • 最も大切なのは、技術の高度化に伴うISMS の見直し
  • クラウドサービス利用における「機会」を最大化する
  • クラウドサービス利用を変化と捉えてリスクを特定する


クラウド固有のリスクを特定することが必要です
既存管理策を見直し、拡張することが必要です
適用宣言書を見直し、拡張することが必要です

クラウドセキュリティ(JIS Q 27017)解説

クラウドセキュリティ解説ー目次

  1. 概論(序章)
  2. 概論(オンプレミスからクラウドへ)
  3. JIS Q 27017規格の目的と意図・発行経緯)
  4. クラウドコンピューティングの定義
  5. クラウドセキュリティ認証要求事項
  6. クラウド固有の概念(JIS Q 27017序文より)
  7. 箇条5〜8 と拡張管理策(CLD.6.3.1 クラウドコンピューティング環境における役割及び責任 等)
  8. 箇条9〜10と拡張管理策(CLD 9.5.1 仮想コンピューティング環境における分離 等)
  9. 箇条12〜14と拡張管理策(CLD.12.4.5 クラウドサービスの監視 等)
  10. 箇条15〜18と拡張管理策




これまでは情報資産を所有し適用範囲内で管理することが前提でした

ハードウェアやソフトウェアを「利用」するクラウドサービスの登場
ISO/IEC 27001 及び ISO/IEC 27002がベースとなった ISMS はコンピュータシステムなどの 情報資産の「所有」が前提です


(図はJIPDEC認証企業数の推移グラフにトピックを追加しました)

ハードウェアやソフトウェアなどの情報資産を「利用」するクラウドサービスでは、従来の ISMS の実施規範がそのまま適用できない場合が発生しています。クラウドサービス利用者は、クラウド利用により、これまで適用範囲内にあったシステムやデータが適用範囲外であるクラウド事業者の環境下に置かれて運用されます。従って、業務プロセスや ID などのアクセス管理方法が変更されます。クラウドサービス提供者(事業者)は、自社が所有する資産に加え利用者のシステムやデータが集積(集約)されることにともなうリスクがあります。




クラウドセキュリティが入札要件に?




クラウドサービス利用・提供におけるリスク対応

課題を解決し、リスクを低減させるために ISO/IEC 27002 管理策実践の規範を補うことを目的にしてクラウドサービス固有の実施の手引きや関連情報・拡張が必要な管理策をまとめたベストプラクティスが ISO/IEC 27017です。

クラウドセキュリティ教育(講師派遣)お問い合わせ・相談


ISMSと各規格との関連

  • ISO/IEC 27001 情報セキュリティマネジメントシステム要求事項
  • ISO/IEC 27002 情報セキュリティ管理策実践の規範
  • ISO/IEC 27014 情報セキュリティガバナンス
  • ISO/IEC 27017 ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
  • ISO/IEC 27018 PIIプロセッサーとして動作するパブリッククラウドにおけるPII保護のための実務規範

Society 会員の皆さまはこちらで関連資料のダウンロードが可能です

LinkIconCloud fo LMS - Cloud Security

MSQA(ISMS Society)は、マネジメントシステムの健全な普及促進で経済社会の進歩発展に貢献します

担当させていただいている研修コースや活動状況を月別にカレンダー形式で公開しました。
IPA(独立行政法人情報処理推進機構)セキュリティプレゼンターに登録し活動を告知しています。
活動告知