クラウドサービス利用のための情報セキュリティマネジメントガイドライン
発行機関:経済産業省
発行年:2013年
参考
https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf
概要
「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」は、クラウドサービスの利用増加にあたってのセキュリティ検討事項をまとめたもので、クラウドの安全な利用を促し、「クラウド利用者と事業者における信頼関係の強化に役立てる」ことを目的に公開されたガイドラインです。
「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の位置づけ
以下は序文より抜粋したものです。
国内の組織の情報セキュリティには,国際的な規格(ISO/IEC 27002:2005)に準拠したJIS Q 27002:2006 情報技術―セキュリティ技術―情報セキュリティマネジメントの実践のための規範(以下「JIS Q 27002(実践のための規範)」という。)に基づく管理策の実施が推奨されており,実際に多く利用されている。
JIS Q 27002(実践のための規範)には,第三者の提供するサービスの利用に関する管理策があるが,組織がITを所有せずに全面的にクラウドコンピューティングを利用する場合には,この管理策が求める事項だけでは組織の情報セキュリティを確保するためには不足があるのが実情である。
そのため,クラウド利用者の視点からJIS Q 27002(実践のための規範)の各管理策を再考し,クラウドコンピューティングを利用する組織においてこの規格に基づいた情報セキュリティ対策が円滑に行われることを目的として,このガイドラインを作成した。
このガイドラインには,組織がクラウドコンピューティングを全面的に利用する極限状態を想定し,
①自ら行うべきこと,②クラウド事業者に対して求める必要のあること,さらに,③クラウドコンピューティング環境における情報セキュリティマネジメントの仕組みについて記載している。組織において,このガイドラインを参考にクラウドコンピューティングに対応した情報セキュリティの仕組みを整備するとともに,クラウド利用者のみで行うことができない管理策を認識し,クラウド利用者がクラウド事業者に対して様々な情報を求める必要がある。
「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」は、JIS Q 27002に基づきクラウド利用にあたっての管理策をまとめたものであり内容的にはJIS Q 27017にも関連するものです。
参考:JIS Q 27017
この規格は,2015年に第1版として発行されたISO/IEC 27017を基に,技術的内容及び構成を変更することなく作成した日本工業規格である。
この規格で規定する指針は,JIS Q 27002に規定する指針に追加し,これを補うものである。
Salesforceの一件に関連すると思う項目
Salesforce利用ユーザで発生したインシデント
Salesforceは2020年12月25日に、製品を利用しているユーザにおいて、設定ミスに起因した情報漏えいが発生していることを発表しました。
対象となる製品は「Experience Cloud(旧 Community Cloud)」「Salesforceサイト」「Site.com」で、外部のユーザに情報共有する際に、設定が適切でないと第三者からも情報を閲覧される恐れがあるといものです。
上記の件では楽天、PayPayでの被害が報じられています。
Salesforceでは、ゲストユーザセキュリティポリシーのベストプラクティスを参考にし、設定を確認することを推奨しています。
ベストプラクティス
なお、上記の設定不備を検証できるツールも公開されているようです。
解説サイト:Salesforce Lightning Platformへの攻撃手法について
Salesforce Lightning Platformへの攻撃手法について | by monii | Dec, 2020 | Medium
PoC
ガイドラインに示されている指針
当該ガイドライン内「12.5 開発及びサポートプロセスにおけるセキュリティ」には以下のような記載がありました。
「12.5 開発及びサポートプロセスにおけるセキュリティ」
目的:業務用ソフトウェアシステムのソフトウェア及び情報のセキュリティを維持するため。
プロジェクト及びサポート環境は,厳しく管理することが望ましい。業務用ソフトウェアシステムに責任をもつ管理者は,プロジェクト又はサポート環境のセキュリティにも責任を負うことが望ましい。
変更によってシステム又は運用環境のセキュリティが損なわれないことを点検するために,管理者は,提案されているすべてのシステム変更のレビューを,確実にすることが望ましい。
「12.5.1 変更管理手順」
管理策
変更の実施は,正式な変更管理手順の使用によって,管理することが望ましい。
クラウド利用者のための実施の手引
クラウド利用者は,変更管理手順にクラウドサービスに関する内容を追加することが望ましい。
クラウド事業者の実施が望まれる事項
クラウド事業者は,クラウドサービスの変更に関して,必要に応じて次の事項を実施することが望ましい。
a)システム変更の実施に関するクラウド利用者への通知
b)システム機能の追加・変更に関するクラウド利用者への通知
c)ソフトウェアの更新についての版数の管理
d)システム変更についての監査証跡・変更履歴の管理及び利用者への提示
クラウドサービスの関連情報
クラウドサービスの利用においてはスケーラビリティの確保が十分になされているとはいえ,マルチテナントであることを考慮すれば,ある一定時期に十分なサービスが得られない場合があることに留意すること。また,IaaSやPaaSの契約形態においては自動的に帯域を確保する機能を有していないものもある。スケーラビリティ以外の変更管理においても同様に,自動化されたシステムに依存せずに,クラウド利用者自らが管理できる手順を明確にすることが期待される。
利用者側の管理策として、システム変更がある場合のレビューが示されています。
これがSalesforceの件に関して、利用者側としての確認に関連すると見れます。
ただし実際の問題として、管理者がそこまで追従するのは難しいのが現状ではないかと思います。
対策となると思われるソリューション
クラウドの設定を調査するようなサービスはいくつか提供されているようです。
サービスの内容までは把握できていませんが、以下のようなサービスで対応しているクラウドサービスであれば、Saleforceの件の対策案の一つになるかもしれません。
ゆくゆくはCSPMも対応できるソリューションになるのでしょうか。
ソリューションの例
参考にさせていただいたサイト