STAR 日本語FAQ

 CSA_STAR_sm3

 

 

ここで記載されている内容は、CSA米国のSTAR FAQ(https://cloudsecurityalliance.org/star/#_faq)をそのまま翻訳したものです。原文と日本語訳の内容に相違があった場合には、原文の内容が優先されます。

STAR 日本語FAQ

  1. Q: CSA STARとは?
    A: CSA Security, Trust & Assurance Registry (STAR)は、クラウドプロバイダのセキュリティレベルを公に公開し、ユーザがクラウドプロバイダと契約を行う際の判断に利用できるようにしています。クラウドプロバイダは、提供するクラウドサービスについて独自に評価しそれを提供します。CSAは、これらの評価を公に公開し、クラウド利用者がクラウドプロバイダを選択するための情報として利用できるようにします。
    CSA STARのサービスは、CSAのGovernance, Risk and Compliance (GRC) スタックに基づいています。GRCスタックは、クラウド独自のセキュリティコントロールフレームワークを提供する4つの研究プロジェクトであり、クラウド独自のセキュリティーコントロール、評価、リアルタイムの自動化されたGRC管理というフレームワークを提供します。クラウドプロバイダとして、STARへの登録のほかに、CSA GRC スタックのコンポーネントに統合された技術的なソリューションやサービスへの入り口としていくことができます。
  2. Q: CSA STARは、いつ公開されますか?
    A: CSA STARは、2011年Q4より、オンラインでプロバイダの応募を開始しています。詳しくは、
    https://cloudsecurityalliance.org/star/を参照して下さい。
  3. Q: CSA STARにリストされるのにはお金はかかりますか?
    A: CSA STARは、登録するプロバイダやそれを参照する利用者のどちらにも無料で提供されます。
  4. Q: Consensus Assessments Initiative Questionnaire や Cloud Controls Matrix というのはなんでしょうか?独自評価するには、CCMをどのように使用できますか?
    A: Cloud Controls Matrix (CCM)は、CSAのガイダンスの各章で記述されているセキュリティの概念と原理に基づいたコントロールフレームワークを提供しています。フレームワークとして、CSA CCMは、組織に必要とされる構造、クラウド業界に合った情報セキュリティというものを詳細で明瞭に提供しています。プロバイダは、CCMに準拠したレポートを提出することができます。Consensus Assessments Initiative Questionnaire (CAIQ)は、“cake”とよばれ、CCMに基づいてIaaS, PaaS, SaaSに対するCCMセキュリティコントロールを業界に受け入れられる体裁で提供しています。CAIQの質問は、クラウド利用者やクラウド監査官がクラウドプロバイダに対して確認する140の質問からできています。プロバイダは、CAIQを提出することができます。今までCCMレポートを作成したことが無い場合には、CAIQの提出が最も速い方法になると思われます。
    LinkedInのフォーラム(
    http://www.linkedin.com/groups?home=&gid=4066598)において、CSA STARに関する質問を受け付けています。ここは、コミュニティのボランティアの専門家が運営を行っています。
  5. Q:  CSAにとって、CSA STARを立ち上げることの意味はなんですか?
    A: CSAは、クラウドプロバイダ間の透明性を加速し、セキュリティを市場の差別化要因とする前向きな競争を促進することが必要であると考えています。これは、現在のコンピュータシステムにおけるセキュリティについて正しく考えることになります。初期のクラウドの利用において、クラウドプロバイダの自己評価の方が、大きな政府の規制より望ましいと考えています。
  6. Q: CSA STARにリストされるためのプロセスはどのようになりますか?
    A: クラウドプロバイダが、ウエブサイトからCAIQあるいはCCMを提出します。CSAは、提出物の内容の信憑性を評価し、内容が正確かどうかの基本的なチェックを行います。そのあとで、CSAはデジタル署名を行い、登録に追加し公開します。
  7. Q: クラウドプロバイダがCSA STARにリストされることの利点はなんですか?
    A: クラウドプロバイダは、セキュリティに注意を払っている組織として認知され、クラウドサービスの調達プロセスにおいて重要となる情報セキュリティ、保証、リスク管理の専門家の存在を広く知らせることができるということで利点があります。プロバイダは、顧客のデューデリジェンス要求や単発の監査に対する対応時間の短縮が図られます。
  8. Q: CSA STARの利用者に対する利点はなんですか?
    A: 利用者は、クラウドプロバイダが行っているセキュリティ保護について多くの情報を得ることができるという利点があります。情報が多ければ多いほど、良い決定ができます。
  9. Q: セキュリティの独自評価のパブリックへの登録が、ハッカーによる新たな攻撃による脅威にさらされることはありませんか?
    A: ありません。CAIQはプロバイダのセキュリティ実践を文書化しており、機密情報を脅威にさらすような詳細については記述していません。たとえば、プロバイダは定期的にアプリケーション・レイヤのペネトレーションテストを行っているかどうかを文書化しており、ウエブのスキャニングツールの詳細な結果は公開しません。
  10. Q: 独自評価について、個人的に質問できるところはありますか?
    A: はい。
    star-help@cloudsecurityalliance.org が、質問のために用意されており、ボランティアの専門家によって管理されています。LinkedInグループに投稿する必要はありません。質問によっては十分なサポートを受けられないことがあることは注意してください。そのような場合には、専門のサービス会社を利用してください。
  11. Q: 利用者として、どのようにCSA STARを利用すればよろしいでしょうか?
    A: 利用者がどのようにCSA STARを利用するかは、利用者のビジネス要求、利用しようとしているクラウドサービスのタイプ、リスク許容度のレベルに依存します。一般的には、プロバイダへのデューデリジェンスの範囲を縮小し意思決定のための情報を提供します。これは、、監査や他のプロバイダへの質問の範囲を縮小することを手助けします。
  12. Q: CSAは、プロバイダのセキュリティコントロールに対する独立した評価を行いますか?
    A: いいえ。CSAは、CSA STARの登録に対する正確性を保証しません。
  13. Q: CSA STARは、プロバイダがセキュリティコントロールを変更した場合、登録内容を更新しますか?
    A: いいえ。プロバイダが、変更点を登録内容に反映させます。
  14. Q: クラウドサービスのセキュリティについて、クラウドプロバイダが間違いや誤解のある情報を提供することをどのように防ぎますか?
    A: パブリックの監視が、CSA STARの不適当な使用に対して異議を申し立てます。CSA STARに明らかに誤った情報があると思われる方は、 
    star-abuse@cloudsecurityalliance.org にコンタクトしてください。
  15. Q: なぜ、CSAはプロバイダ認証を作らないのですか?
    A: 高い品質のプロバイダ認証プログラムは、非常に複雑です。クラウドコンピューティングに対する幅広いビジネスのユースケースは、全く異なった保証要求を指示します。クラウドに家族のペットの写真を保存する人と、非常に機密の金融システムや取引の機密とは、対照的に非常に異なったリスク特性を持っています。CSAは、この問題を取り扱っているいくつかの異なった業界団体の活動に参加しています。CSAは、maturity scoringを基にした第三者機関の保証を提供するプロジェクトであるCommon Assurance Maturity Model (CAMM)のパートナーをサポートしています。CSAは、クラウドセキュリティに関する次世代の標準化を行っている団体に積極的に加わっています。さらに、CSAのツールは、今日準拠しなければならない重要な標準や規則をマップしています。これは、PCI/DSS, HIPAA, NIST, ISO 27001です。
    CSAは、非常にダイナミックに変化するクラウド業界を統制する別のコンプライアンス指令の作成には反対しています。CSAは、セキュリティ実践の透明性とクラウドソーシング・パブリックを通したプロバイダの監視が、業界におけるセキュリティのベースラインを改善するために有望であると感じています。CSAは、この市場の力を利用したセキュリティ保証という迅速なアプローチが、厳しい保証のための重要な補完になるものと感じています。
  16. Q: クラウドプロバイダは、登録をメンテナンスする必要がありますか?
    A: はい。CSAは、1年以上古くなった登録を廃棄予定としてマークし、それから6か月後に登録を完全に削除します。
  17. Q: CSA STARの将来の動向はどうなりますか?
    A: CSA STARは、プロバイダ認証が簡単な登録になるようにしていきます。将来の動向は、サードパーティのソリューションプロバイダから起こり、CSAのGRC Stackをそれらの製品やサービスに統合することによってCSA STARを拡張し自動化していくことになります。