※本記事は、Nancy Kramerによる”Leveraging Alignment Across Information Security Standards“を翻訳したものです。
Nancy Kramer
May 9, 2022
ブログ“Compliance Considerations for Cloud Services”では、さまざまな内部ソースと外部ソースがどのようにして組織の情報セキュリティ、プライバシー、そして遵守義務を判断できるのかについてご説明しました。外部ソースには、法規制を通じて示される政府機関による指針や要件、業界組織による規格の形式での指針が含まれます。規制と規格には、共通の目標や類似の目標があることが多いため、このブログは、共通性を利用する方法への理解を深める手助けをすることを目的としています。
情報セキュリティとプライバシーに関する制御の種類
データの誤用を防止するという共通の目標がある場合、公共部門と民間組織での要件と推奨事項に重複する部分が多々あることは驚くべきことではありません。規格のほとんどでは、以下のカテゴリでの制御を必要とします。
- 運用上の制御:
- データ・アクセス権が付与される前の承認プロセスなど、プロセス要件や手続き上の要件を定義する管理上の制御
- オフィス、データ処理環境、コンピューティング・ハードウェア、紙ベースの記録、電子ストレージ・メディアなどの物理オブジェクトや場所へのアクセスを制限する物理的制御
- データベースに格納されたデータの暗号化など、電子データを保護するためのテクノロジーのデプロイと構成を必要とする技術的制御
- 機能上の制御:
- 発生する可能性のある望ましくないイベントを減らし、悪意ある行為者による攻撃の成功を困難にする予防的制御
- 予期しないシステム構成や承認されていないアクティビティなど、侵害の兆候を特定することに重点を置く発見的制御
- 意図した運用上の境界でシステム構成とプロセスを再編成するための修正制御
以下の制御は、多くの情報セキュリティ規格に共通しています。これらは、上記のカテゴリの説明に役立ちます。
- オフィス領域やデータセンターのドアに鍵をかけることは予防的な物理的制御
- 中央監視システムでシステム・アラートやシステム・ログを集計することは技術的な発見的制御であり、これらのアラートやログを評価して対応するための関連プロセスは発見的な管理上の制御
- 定期的なアクセス監査を実施することは管理上の修正制御
規格間の制御の共通性
情報セキュリティとプライバシーに関する多くの規格と規制には、データの機密保護という共通の目標があります。この共通の目標のため、指針と要件の間にはかなりの重複があります。
制御には、きめ細かさに程度の差があったり、さまざまな規制と規格の間でわずかに範囲が異なったりする場合がありますが、要件の大部分は同等です。たとえば、データにアクセスできる人物を制限するための要件は、ほとんどの規制と規格においてほぼ普遍的です。データへのアクセスを制限するための関連用語には、“論理的アクセス制御”などのフレーズがあり、これらはID管理、認証(“誰ですか”)や認可(“どのようなアクセス権を付与されていますか”)に依存しています。効果的なアクセス制御は、データの機密保護を実現するために非常に重要です。
規格および規制における“アクセス制御”要件のまとめ
以下の表は、いくつかの一般的な規格、規制、およびコンプライアンス・フレームワーク間でデータ・アクセスを制限するために設計された要件の類似点を示したものです。ここでは概要を簡略化してまとめてあります。要件全体を表示させるには、各フレームワークのリンクをクリックしてください。
| 規格または規制 | 論理的アクセス制御の要件 |
| ISO 27001 国際標準化機構(ISO)27001規格 |
|
| SOC 2 米国公認会計士協会(AICPA)システムおよび組織管理(SOC):トラスト・サービス基準 |
|
| NIST SP 800-53 米国標準技術局によるスペシャル・パブリケーション800-53 |
策定、文書化、および組織のロールまたは担当者への普及
アクセス制御ポリシーおよび手続きの策定、文書化、および普及を管理する職員を指定 組織が定義する頻度で、および組織が定義するイベントの後に現在のアクセス制御ポリシーと手続きを確認して更新 |
| PCI DSS Payment Card Industry Security Standards Council(PCI DSS)クレジット・カード業界のデータ・セキュリティ規格 |
ポリシーと手続きを定義および実装して、以下のような適切なユーザー識別管理を実現
|
| EU CoC |
クラウド・サービス・プロバイダは、少なくともISO 27001 A9での制御と同等レベルの保護制御を使用して顧客の個人データへのアクセスを制限すること。 |
| IRAP オーストラリア信号局(ASD):Information Security Registered Assessors Program(IRAP) |
|
| MeitY インド電子情報技術省:情報テクノロジー(IT)セキュリティ指針 |
|
規格間の共通性を利用するための推奨事項
クラウド・サービスの適合性を判断しようとする組織は、規格と規制の間のセキュリティ要件とプライバシー要件との一致を分析することでメリットが得られます。たとえば、貴社の目標および要件を、クラウド・サービス・プロバイダの要件を満たした一般的な規制および規格と比較することで、制御がどのように重複しているかを理解することができます。
この戦略は、同じ規制や規格が貴社とクラウド・サービス・プロバイダの両方に適用されている場合は当然役立ちますが、特に役立つのは、規制や要件が貴社には適用されているけれども、クラウド・サービス・プロバイダには適用されていない場合です。クラウド・サービスの独立した監査によって検証される一連の制御を貴社の目標に対比させて分析することで、クラウド・サービスの適合性を判断することができます。複数の規制と規格間の要件を考察して、セキュリティとプライバシーのどのような基準がクラウド・サービスのために検証されてきたのかを完全に理解する必要があります。
結論として、オラクルでは、組織がクラウド・サービスの使用の適合性を判断する際は以下を実行することをお薦めします。
- セキュリティ、プライバシー、およびコンプライアンスに関する目標を理解する
- クラウド・サービス・プロバイダが提供するサード・パーティ認証を特定する
- クラウド・サービス・プロバイダの特定のクラウド・サービスで使用可能なサード・パーティ認証レポートをリクエストする
- プロバイダの企業セキュリティ慣行とクラウド・サービスのコミットメントを理解する
- プロバイダのサード・パーティ認証で検証された情報セキュリティおよびプライバシー管理を比較し、プロバイダの契約上のコミットメントを貴社の目標および規制要件と比較する
Nancy Kramer
複雑なビジネスプロセスやITシステムに関するリスク、セキュリティ、プライバシー、コンプライアンス監査の管理で20年以上の経験を持ち、企業の情報セキュリティポリシーの定義、オラクルのオンプレミスおよびクラウドサービスを監督するコンプライアンスおよび義務管理プログラムの管理を支援しています。また、Payment Card Industry Security Standards Council (PCI SSC)などの業界団体に参加し、ソートリーダーシップを発揮しています。