タグ別アーカイブ: 27001

CSAの認証制度:STAR認証について

STAR認証について

2021年10月7日
CCM/STAR WGメンバー: 諸角昌宏

本ブログでは、CSA(Cloud Security Alliance)が提供するSTAR(Security, Trust & Assurance Registry)認証について、その概要、特徴、利用方法、CSAジャパンの活動について説明します。特に、STARレベル1(セルフアセスメント)について、プロバイダがクラウドサービスの自己評価レポートをCSA本部のウエブサイトより公開する方法について記述します。

  1. STAR概要

    STARは、CSAが提供するクラウドセキュリティの認証制度です。大きなフレームワークは以下の図1で示すように、3つのレベルを持っています。また、それぞれのレベルに対して、「セキュリティ認証」と「プライバシー認証」の2つのカテゴリーがあります。

    図1 STARフレームワーク

まず、「STAR認証レベル」について説明します。

  • STAR Level1

    STAR Level1はセルフアセスメントです。これは、クラウドサービスプロバイダが、CSAが提供しているCAIQ(Consensus Assessment Initiative Questionaire)に基づいて、自身が提供するクラウドサービスのセキュリティを独自に評価し、CSAのウエブサイト(https://cloudsecurityalliance.org/star/registry/)から公開するものです。CAIQは、CSAが提供するクラウドセキュリティの管理策集であるCCM(Cloud Control Matrix)のそれぞれの管理策について、いくつかの質問形式にブレークダウンしたものです。質問形式になっているため、クラウドサービスプロバイダは「YES」「NO」で回答することができます。また、回答に対するコメントを入力し、追加の情報を記述することができます。
    STAR Level1の特徴は、クラウドサービス利用者が、利用しようとしているクラウドサービスが自組織のセキュリティ要求事項を満たしているかどうかを、公開されている情報をもとに確認できることです。つまり、プロバイダの透明性が実現できているということになります。また、プロバイダの立場では、セキュリティ情報を積極的に公開することで、たくさんの利用者に対して統一したメッセージを出すことができますし、この情報をビジネス上の差別化要因として利用することもできます。
    STAR Level1の登録方法について、以下のウエブサイトに日本語で記述していますので参照してください。
    https://www.cloudsecurityalliance.jp/site/?page_id=1005

 

  • STAR Level2

    STAR Level2は、第三者評価になります。クラウドセキュリティの評価としてCCMを使用しますが、以下の示す他の業界認定や標準を基にして、クラウドセキュリティを評価しています。

    • CSA STAR CERTIFICATION: ISO/IEC 27001
    • CSA STAR ATTESTATION: SOC2
    • CSA C-STAR: GB/T22080-2008

STAR Level2の特徴は、認証だけでなく成熟度も評価していることです。クラウドサービスの成熟度を「ブロンズ」「シルバー」「ゴールド」のレベルとして認定します。
以下の図はSTAR CERTIFICATIONを表しています。

図2 CSA STAR CERTIFICATION 成熟度モデル

  • STAR Level3

    STAR Level3は、継続的モニタリングです。認証取得後も、その対応状況を継続的にモニタリングし保証する制度で、FedRAMPなどのハイレベルの情報を扱う際に要求されているものです。こちらは、まだ準備中になりますので、提供され次第ご案内できると思います。

それから、Level1、Level2には、Continuous Self-assessmentがあります。これは、通常の1年に1回の認証に対して、より頻度を上げた認証を行うようにしたものです。

次に「セキュリティ認証」と「プライバシー認証」について説明します。

  • セキュリティ認証

    セキュリティ認証は、上記で記述したように、CCMあるいはCAIQを用いて認証を行うものです。

  • プライバシー認証

    プライバシー認証は、クラウド環境におけるデータ保護法令遵守に必要な要件を定義した管理策であるCode of Conduct for GDPRを使用して認証を行うものです。GDPR向けの行動規範に準拠しているかどうかを認証します。

 

  1. STAR認証の特徴

    STAR認証では、今までの認証制度の課題として以下の3点を挙げ、それぞれに対して取り組んでいます。

    • 認証の継続性

      認証は「ある時点 (point-in-time)」あるいは「ある期間 (period-of-time)」を対象とするアプローチです。これは、変化の激しいクラウド環境においては不十分であることが指摘されています。STAR Level1/Level2 Continuous Self-assessmentでは、頻度を上げた形での認証を行うことで、より現実に近い認証を行っています。これにより、クラウドサービス利用者に対して、セキュリティ管理策の実施状況に関する詳細な最新情報を提供できるようになります。また、STAR Level3が提供されるようになると、よりリアルタイムに近い認証が実現できることになります。

    • 認証の透明性

      第三者認証(STAR認証ではLevel2)では、クラウドサービスの可視化を高いレベルで確保することが難しいです。STAR認証の各レベルは、それぞれ独立して運用するのではなく、組み合わせることでより高いレベルの認証を実現できます。たとえば、Level1とLevel2を組み合わせることで、高い保証(第三者認証)と高い透明性(セルフアセスメント)の両方を実現できます。以下の図は、STAR認証の各レベルの関係を表現したものです。

      図3 保証と透明性

    • 相互認証スキーム

      STAR認証のベースになるCCMは、数多くの国単位/分野単位の基準/規格へのマッピングを提供しています。CCMでは、各規格とのマッピングとリバースマッピングを提供し、それぞれの規格との差異(ギャップ)を分析し、その情報を公開しています。理想としては、1つの認証を取得することで、その他の認証に関してはギャップ分だけやればよいことになり、1つの認証の取得から別の認証の取得までの労力を最小化することができます。あくまで最小化のレベルであり、これで相互認証できるというわけではないことは注意が必要ですが、様々な組織(EU-SECやFedRAMPなど)とのフレームワークの検討が進んでいますので、その進捗に期待したいと思います。

  2. STAR認証に対するCSAジャパンの取り組み

    CSAジャパンでは、以下の取り組みを行っています。

    • STAR認証に関する情報発信

      以下のウエブサイトを参照してください。
      https://www.cloudsecurityalliance.jp/site/?page_id=429

    • CCM/CAIQの日本語化および情報発信

      以下のウエブサイトを参照してください。
      https://www.cloudsecurityalliance.jp/site/?page_id=2048#ccm

    • STAR Level1(セルフアセスメント)の日本語での公開

      CAIQの評価レポートを日本語で作成し、それを公開する手順について以下のウエブサイトを参照してください。
      https://www.cloudsecurityalliance.jp/site/?page_id=1005

    • 日本語CAIQ評価レポートを登録されたプロバイダ・クラウドサービスの公開

      CSAジャパンでは、STAR Level1 セルフアセスメントの登録において、日本語CAIQ評価レポートを登録されたプロバイダおよびそのクラウドサービスに関する情報を公開しています。CSA本部のSTAR Registryでは、CAIQ評価レポートとして日本語で提供されているかどうかを判断するのが難しいです。そこで、CSAジャパンでは、日本語CAIQ評価レポートを登録されたプロバイダ・クラウドサービスの情報を公開することで、日本の利用者が利用できるようにしています。
      公開ウエブサイトは以下になりますので参照してください。
      https://www.cloudsecurityalliance.jp/site/?page_id=19811

以上

 

CSA Japan Congress 2015 盛況裡に閉幕

一般社団法人日本クラウドセキュリティアライアンス 業務執行理事
勝見 勉

11月18日(水)、日本でのCongressとしては2回目の開催となるCSA Japan Congress 2015が開催されました。朝から空模様があやしく、午後からは雨になった中、140人の多数にご参加いただきました。運営スタッフ、講演者、プレス関係などを入れると170名を超え、ほぼ会場キャパシティ一杯になるという盛況でした。

今回の「目玉」は日本情報経済推進協会(JIPDEC)・情報セキュリティマネジメントセンター、高取敏夫参事による特別招待講演「ISMSをベースにしたクラウドセキュリティ~ISO27017の最新動向」です。クラウドに特化した初めての国際標準規格であるISO/IEC27017の正式リリースがもう間もなく、という時期に、この27017に基づく、ISMSのクラウド情報セキュリティに関するアドオン認証の創設という話題を中心にお話し頂きました。このクラウドセキュリティアドオン認証は、11月16日にJIPDECから発表されたばかりの、湯気がホカホカ立っているような情報で、世界に先駆けてクラウドのISMS認証を制度化するという画期的なものでした。受講者の多くもこの解説を目当てに参加されたものと思われます。27017そのものが日本の提案を基に日本主導で開発が進められたという意味でも、ISO/IECベースの国際標準化の歴史の中では画期的なことでした。クラウドサービスの開発では世界をリード、と言えない日本も、クラウドの最大の関心事であるセキュリティに関しては世界をリードする立場に立っていると言えます。その意味で世界最先端・最新の情報に接することができて、聴衆の皆様共々、感慨深いものがありました。

Japan Congress 2015のもう一つのテーマは、新しいクラウドセキュリティ技術でした。中でも特別テーマ講演にお招きしたヤフー株式会社上席研究員の五味秀仁氏からは、「FIDO-次世代認証方式とクラウド」というタイトルで、クラウドにおけるユーザ認証に親和性の高い、パスワードレスの認証スキームであるFIDO(Fast IDentity Online)について紹介と解説を頂きました。この他にスポンサー講演、ゲスト講演、パネルディスカッション等を通じて取り上げられた新しい技術トピックとしては、CASB(Cloud Access Security Broker)、SDP(Software Defined Perimeter)、コンテナ、トランスペアレントな暗号化、27018(クラウドにおける個人情報保護)が挙げられます。

クラウドはコンピューティングプラットフォームとして広く定着する方向を見せています。昨今のサイバーセキュリティ脅威や情報漏えいに対する管理・防御を考える時、専門家により安定的・トラブルレスの運転が期待でき、セキュリティ管理も充実しているクラウド環境は、ITに多くの予算と人材を割けない中小企業こそ、積極的に活用すべき社会的リソースと言えます。そしてそのセキュリティは、技術面からも、マネジメントシステムの面からも、ますます充実していくことが期待できます。今回のCongressは、こういった流れを明確に打ち出し、理解を深めるとともに、そのための最新トピックを盛りだくさんに提供する素晴らしい機会になったと言えると思います。

更に付け加えるならば、冒頭の日本クラウドセキュリティアライアンス会長・吉田眞東大名誉教授のご挨拶では、春に開催するSummitが発信の場と位置付けられるとすれば、秋に開催するCongressは「クラウドのセキュリティについて多面的に取り上げ、最新の情報を提供し、クラウドとセキュリティのベンダ、サービスプロバイダ、インテグレータ、ユーザ、関係機関が一堂に会し、クラウドを取り巻くセキュリティ課題を議論する 」場である、と整理されました。多士済々のスピーカと、パネルも含むプログラム構成はこれを十全に体現したと言え、充実した一日を、多くの関心高い人たちと共有できたと思います。

おわりに、最後まで熱心に聴講いただいた受講者の皆さまと、設営・運営スタッフ、そしてたいへんバリューの高いプレゼンを頂いた講演者の皆さまに、この場をお借りして感謝の意を表して、Congressレポートのブログのまとめにしたいと思います。どうもありがとうございました。

 

CSA Summit @サンフランシスコ の報告(第12回CSA勉強会)

2015年5月28日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

5月26日に行われた第12回CSA勉強会について書きます。テーマは、「CSA Summit報告会」ということで、4月にサンフランシスコで行われたCSA Summitの内容を笹原英司氏に説明していただいた。Summit Japanが開かれたのが5月で、時系列的に逆になってしまったが、大変興味深い内容であった。

まず、大きなトピックとして、以下の3つであった。

  • SDP(Software Defined Perimeter)
  • STAR Watch
  • ワーキンググループの報告
    SDPは、Summit中に3回目のハッカソンが行われ、安全な環境を提供するアーキテクチャとして、着実に進んでいるようである。STAR Watchは、STARのSaaS版であり、ベータ版の公開を開始している。また、CSAの活動の中心であるワーキンググループについては、各グループから詳細な報告があった。

さて、CSAの活動の特徴として今回目立ったのは、米国とEUの協調の橋渡しとしてCSAが寄与してきているということであった。つまり、グローバルな標準化に向けて、CSAが大きな役割を担ってきているということである。典型的なのは、スノーデン事件の影響で、米国とEUの関係がぎくしゃくしている状態で、その間を取り持つ形でCSAが機能しているということである。CSAヨーロッパがEUと米国の合意形成に寄与することで、国に対する影響力も強めているということである。また、中国では、中国政府の認証機関CEPREIと共同でSTAR認証の中国版を作成している。これは、6月中には発表される予定で、米国、EU、中国という主要市場でSTAR認証の制度が確立することになる。

また、クラウドセキュリティの世界では、今まではGoogle, AWS等のビッグプレーヤーがセキュリティの標準というものを作っていたが、最近の傾向としては、プラットフォーム上で新しいセキュリティを作っていく新しい企業やベンチャー企業が進出してきているということである。いわゆる、クラウドブローカの流れで、新興企業による新しい産業の創出(Open-Innovation)が起こっているということである。日本でも、FinTechを中心に新しい企業を支援する動きがあり、これが新たな潮流になってきているとのことである。笹原氏によると、ITの定義自体が、Information TechnologyからInnovation Technologyに代わってきているというなかなか面白い表現で、これはもしかするとヒットする用語になるかもしれないと思われた。また、笹原氏はセキュリティに対する今後の日本のかかわり方として、以下の2つのアプローチがあることを強調されていた。

  • 安全を担保するための情報共有を積極的に行っていくこと
  •  Innovationを起こして、産業を創出していくこと

その他、各ワーキンググループからの報告で特に印象に残ったのは以下の点である。

  1. STAR WG
    先ほども触れたSTARWatchがアナウンスされた。STAR認証をSaaS型で実現するもので、EXCELを埋めていく従来のやり方から一歩進んだ形になっている。日本側でも、この運用をどうするかを早急に検討する必要がある。ベータ版が公開されていることから、検討を開始したい。
    また、STARへの新たなマッピングとして、FedRAMP、27018、NIST Cyber Security Frameworkが追加されることになっている。
  2. IoT WG
    モバイルワーキンググループから独立して、活動を開始していて、CSAジャパンの活動もグローバルから評価されている。新しいドキュメントとして、”New Security Guidance for Early Adopter of the IoT”がリリースされている。IoT WGの最終的なターゲットは、企業向けIoTのセキュリティであり、特にプライバシーの保護をどのように進めるかが今後の研究テーマとなっているようである。
  3. CISC(Cyber Incident Sharing Center)
    これは、以前CloudCERTと呼ばれていたものある。ホワイトハウスが進めている情報共有の動きに合わせて活動を行っている。CSAの役割としては、民間、政府などと違ってニュートラルなポジションにいることを生かして、情報を集めるときに発生する利害関係をCSAが間に入ることで円滑に進めていくということである。
    CISCは、日本企業、特に米国の日系企業にはインパクトが大きく、米国の情報をどのように本国で対応していくかなど、法的な問題も含めて見ていく必要がある。

以上、CSA Summitの報告を簡単にまとめてみた。グローバルという観点で見た場合のCSAの重要度が感じられる内容で、CSAジャパンとしてもさらに活動を活発化していく必要があることを強く感じた。

 

第10回CSA勉強会「ISO/IEC27001:2013とISO/IEC27017の重要なポイントの解説」

2015年3月27日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

第10回CSA勉強会は、工学院大学の山﨑哲氏に、ISMSの基準となるISO/IEC27001:2013の改訂における重要ポイントと、クラウドサービス事業に大きな影響を与えるクラウドセキュリティの管理策体系であるISO/IEC27017(今年秋に正式発行予定)の要点について解説していただきました。
27001については、JIS規格が出されたのが2014年3月であり約1年を経過しているにも関わらず、2013についてほとんど勉強していませんでした。したがって、今回の勉強会は私にとって非常に有意義なものとなりました。また、27017に関しては、今年の10月に規格化されるようで、また、クラウドセキュリティに関わっているものとして、こちらも有意義な最新情報をいただくことができました。
非常に中身の濃い、ボリュームのある内容でしたので、ここでは概要と印象に残ったことについて書いていきます。かなり私見も入っていますし、間違い、勘違い、認識不足もあると思います。ぜひ、このブログにコメントを書き込んでいただいて、いろいろと教えていただければと思います。よろしくお願いします。

  1. ISO/IEC27001:2013の改訂のポイント
    27001の改訂内容として、主に以下の3点があげられます。

①      ISMSの意義として、経営陣の目的・目標を要求事項とし、経営陣の方針から管理策への展開が規定されています。また、CISO(トップマネージメント)の設置も規定され、情報セキュリティを統括することが求められています。
情報セキュリティ管理は、経営陣の支持のもとに進めるというのが大原則で、これにより経営とセキュリティ管理の一体化が図られることが必要ですが、なかなか実践できている企業は少ないと思われます。セキュリティ管理プロセスにおいても、まず最初に、acknowledgementということで、経営陣の認識および支持を取りつけることが必要ですが、実際には経営陣の支持を得ることが難しい(そのための方法もあまり確立されていない)というのが現状です。これを27001:2013では、CISOを中心とした経営陣による目的・目標の設定を規定することで、経営とセキュリティが一体となった取り組みができるようになりました。セキュリティについて経営陣主導の体制が整えられることで、望ましい状況になっていくことが期待できます。

②      マネージメントシステム企画の共通化、用語の共通化が行われています
27001:2013では、マネージメントシステム(MSS)企画を共通化することで、統合的なセキュリティの構築を行えるようにしています。すべてのMSS規格に共通の目次を持たせることで統一して扱えるようになっています。また、用語の統一も図られ、27000の用語集をもとに統一させています。
この中で、リスクに対する定義が改訂され、「リスクを、目的に対する不確かさの影響」とし、組織の状況の理解に基づいてリスクアセスメントを行う形になりました。これに伴い、リスク値の定義も変更され、今までの「リスク値 = 資産x脅威x脆弱性」が、「リスク値 = 結果x起こりやすさ」として定義されることになりました。「結果: 目的に影響を与える事象の結末」、「起こりやすさ:何かが起こる可能性」ということで、情報セキュリティの目的および計画策定に基づいたリスク判断ということになるようです。今までの定義に基づいてリスク値の説明を行ってきたものにとっては、新しい定義を腹に落とすことが必要になります。また、リスク対応も、今までの4つの手法から7つの手法に変更されており、この新しい定義の理解も必要になってきます。

③      分野別ISMSを確立するための国際規格となっています
27001:2013でもう1つの大きな点は、Sector specific control set standardということで、分野別のISMS体系にしたことです。これにより、一般的な27001と分野別の基準を合わせて、分野対応のISMS認証を行うようになりました。たとえば、後で述べますが、クラウドセキュリティに関しては、27001(generic)+27017でクラウドセキュリティ分野のISMS認証が取得できることになります。

このように、27001:2013では、「経営陣と管理者・従業員とのパイプ役となる情報セキュリティ目的・目標を設定する」ことで、「経営陣と管理者・従業員が、情報セキュリティ目的・目標を共有することでコミュニケーションギャップをなくす」ことができるように改訂されています。今までは、このギャップがさまざまなセキュリティ問題の根底にありましたが、この改訂でかなり解消されることが期待できますし、CISOの設置により、より明確な責任のもとセキュリティプロセスが運営できることが期待できます。特に、日本においては、CISOの設置と合わせて、より経営陣の支持を得たセキュリティプロセスが展開できるようになることが期待できます。

  1. 分野別ISMS規格”ISO/IEC27017”の意義と解説
    クラウドセキュリティにおいては、「クラウドの課題を解決するためには、基準(Criteria)に基づいて、クラウドの利用者と事業者の間で、(国際環境において)共通の理解を実現するための仕組みの確立が必要である」ということから規格化が行われています。今年の10月には、公開されるということです。また、CSAもこの規格の作成には非常に協力しているということです。今後、27017、CCM(Cloud Control Matrix)との関係等、CSA、ひいては、CSAジャパンも幅広く活動していく必要があります。ここでは、27017のいくつかのポイントをあげていきます。

①      27017の適用範囲(Scope)
Cloud Service Provider(事業者)、Cloud Service Customer(利用者側組織)、および、Cloud Service User(実際にクラウドを使う人)を適用範囲とし、Cloud Service Partner(開発者、ブローカー、監査)は、今のところ適用範囲とはしないということです。

②      27001の分野別標準及び分野別管理策となります
27017は、27002をベースとしたクラウドサービスの情報セキュリティコントロールとなります。したがって、章立ては27002と同じになります。また、Annexにクラウド特有のコントロールが追加されています。

③      クラウドコンピュー ティングの用語
用語については、SC38:ISO/IEC17788を用いるということで、NISTの定義などとは違ってきています。
特に、クラウドのモデルに関しては、NISTのサービスモデルと展開モデルとは違い、Cloud Service categoryとCloud Capability Typeを用いた分類となるようです。詳細は省きますが、CSAもNISTのモデルに基づいて定義していますので、今後ガイダンスを含めて影響を受けるものと思われます。

④      クラウド利用者、クラウド事業者双方の視点
27017の管理策であるImplementation guidanceがテーブル形式となっており、それぞれの項目に対して、利用者(CSC),事業者(CSP)のどちらあるいは両方が対応するかどうかがまとめられるようになっています。これにより、利用者、事業者双方の視点でガイダンスを見ていくことができるようになります。

以上、本当に簡単ですが、勉強会の内容の報告とさせていただきます。