家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

クラウドに対するセキュリティの考え方

CSAとは

クラウドセキュリティアライアンス(CSA)は、クラウド利用にあたってのセキュリティの考え方について発信している非営利法人団体です。

www.cloudsecurityalliance.jp

 

 

 

CCMについて
Cloud Controls Matrix(CCM)は、クラウドサービスのセキュリティリスクを総合的に評価するための指針です。
CCMではクラウドのセキュリティ管理策のフレームワークを16のドメインに分けて記述しています。


CCMの16ドメイン

  1. Application & Interface Security (アプリケーションとインターフェース
    セキュリティ)
  2. Audit Assurance & Compliance(監査・保証とコンプライアンス)
  3. Business Continuity Management & Operational Resilience(事業継続管理と運用レジリエンス)
  4. Change Control & Configuration Management(変更管理と構成管理)
  5. Data Security & Information Lifecycle Management(データセキュリティと情報ライフサイクル管理)
  6. Datacenter Security(データセンタセキュリティ)
  7. Encryption & Key Management(暗号化と鍵管理)
  8. Governance and Risk Management(ガバナンスとリスク管理)
  9. Human Resources(人事)
  10. Identity & Access Management(アイデンティティとアクセス管理)
  11. Infrastructure & Virtualization Security(インフラと仮想化のセキュリティ)
  12. Interoperability & Portability(相互運用性と移植容易性)
  13. Mobile Security(モバイルセキュリティ)
  14. Security Incident Management, E-Discovery & Cloud Forensics(セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジックス)
  15. Supply Chain Management, Transparency and Accountability(サプライチェーンの管理、透明性、説明責任)
  16. Threat and Vulnerability Management(脅威と脆弱性の管理)

 

CCMでは、クラウドサービスの利用にあたって、各ドメインで解説されているセキュリティのコントロールを参照することで、概略でのチェックリストとして利用することができます。

 

また、CCMは他のセキュリティフレームワーク(ISO27001/27002、ISACAのCOBIT、PCI DSS、NIST、AICPAのTSP、FedRAMP、ENISAのIAFなど)へのマッピングがされており、ISMSユーザの場合であれば、CCMとISMSの対応を確認することで、ISMSベースでのセキュリティチェックができます。

CCMVer3からは、AICPA/SOC2にも対応しており、情報セキュリティに加えて、ITガバナンスとの関係も含めてチェックできるようになりました。

 

参考:SOCについて

www.iestudy.work

 


CCMのイメージ

f:id:iestudy:20191205110450p:plain

CCMのイメージ

 

余談:Excelの翻訳機能

Excelに翻訳機能があることを知りました。

「校閲」ー「翻訳」を選択すると上図の右側にある「トランスレーター」という枠に英文と和訳の文章が表示されます。