Case Study
クラウドセキュリティを徹底解説
クラウドセキュリティ審査員研修の事前学習としても最適です
開催方法:リモート・通学・企業内(講師派遣)開催
開催時間:標準10:00〜17:00(休憩を含む約5時間)
研修内容
1.クラウドセキュリティが必要な理由
2.ISO/IEC 27017発行の経緯
3.クラウド固有のリスクについて
4.ISO/IEC 27017規格の構造
5.ISO?IEC 27017に基づくクラウド認証について
6.ケーススタディ(オンプレミスからクラウドへの移行)
学習時間:5時間以上(演習:ケーススタディを含む)
CPD対応:JRCA承認研修機関NICC主催の場合
(ISMS審査員CPD5時間・クラウドセキュリティ審査員3時間に対応)
企業内開催をご希望の場合はお問い合わせください
クラウドセキュリティ対策が必要な理由
- 情報セキュリティを間接的にしかコントロールすることができない。
- 外部組織の何らかの関与が最低条件として必要
- クラウドサービス利用は、情報を取り扱うプロセス、システム・ネットワークという情報資産を自組織の外部に置くことを意味する。
- 利用者はクラウド事業者に依存せずにISMSを実行することができない。
出典:クラウドサービス利用のための情報セキュリティマネジメントガイドライン
サービス事業者やサービスの信頼性が十分であることを総合的に判断する
サービスで取り扱う情報の機密性・完全性・可用性が確保されるように、サービス事業者のセキュリティ対策を含めた経営が安定していること、クラウドやアプリケーションに係るセキュリティ対策が適切に整備され、運用されていること等を評価する必要がある。
出典:府省庁対策基準策定のためのガイドライン
ISMSとISO/IEC 27017の関係
ISO/IEC 27017は管理策の規範です
ISO/IEC 27002と同様に管理策と手引きが記載されています
JIS標題は、『JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範』の通り、ISO/IEC 27002がベースとなる規格です。ISMSでは、管理策に漏れがないように附属書A(←ISO/IEC 27002)と比較し適用宣言書を作成することが要求されています。ISO/IEC 27002は、2013年に発行された時点でクラウドサービスへのリスクに対応できていませんでした。急速に進むクラウドサービスの提供及び利用におけるリスクに対応するために、リスクアセスメント及び対応の結果として管理策に漏れがないようにISO/IEC 27017と比較し、クラウド固有のリスク対応(管理策A.5〜A.18)を実装するために必要な『手引きの拡張』と『拡張管理策(CLD)』が提供されています。もちろん適用宣言書を拡張してISO/IEC 27017への適用状況を示すことになります。図中のJIP-ISMS517は、クラウドセキュリティ認証のための要求事項で、ISMSをベースとした認証を維持するために要求事項を拡張しています。クラウドセキュリティ入門では、ISO/IEC 27017発行の経緯と規格解説と共にJIP-ISMS517と共にその取扱い方法について概説します。
さらに詳しくは『クラウドセキュリティ基礎コース』をご覧下さい。
SaaSプロバイダーのリスクと対策
(ケーススタディ)
CSP:クラウドサービスプロバイダ適用
CSC:クラウドサービスカスタマ適用
SaaSサービスを利用しているCSCは、利用におけるリスクを考慮して管理策を実装することが必要ですが、多くの場合クラウドセキュリティ認証取得の必要はないと考えられます。ISO/IEC 27002管理策のための実践の規範の改正が開始されており、SaaSサービスを利用するCSCの管理策が追加される予定です。
ISMS箇条8.2情報セキュリティリスクアセスメントでは、『組織は、あらかじめ定めた間隔で又は重大な変更が提案されたか若しくは重大な変化が生じた場合にリスク基準を考慮して情報セキュリティリスクアセスメントを実施しなければならない。』とされており、このケースはISMS8.2要求事項への対応とも言えます。
SaaSプロバイダーのためのクラウドセキュリティについて概説
ケーススタディにより特定されたリスクと対策について、SaaSプロバイダーが適用しなければならない管理策についてISO/IEC 27017(JIS Q 27017)に基づいて考えます。
JIS Q 27017 附属書A 拡張管理策選択
クラウド固有のリスクへの対応
クラウドサービスプロバイダとカスタマの両者に拡張
ISMSの適用範囲に対して行ったリスクアセスメントを、クラウドサービスの適用範囲に対して実施します。ISO/IEC 27017:2015付属書Aのクラウドサービス固有の管理策と実施の手引及びISO/IEC 27017:2015本文のクラウドサービス固有の実施の手引に関連するリスクについてアセスメントを行います。 ISMSクラウドセキュリティにおけるリスク対応では、クラウドサービス固有のリスクに対する対応を決定することが求められています。
オープンコース開催
オープンコース(通学・リモート)は定期的に開催しています
開催スケジュール及び受講予約は専用サイトをご覧下さい
企業内(講師派遣)による開催をご希望の場合はお問い合わせください
オープンコースは、全国各地のMSQAパートナー会員が主催して開催しています。リモート開催はMSQA公認講師がZOOMで開催しています。教材は電子版が使用されますが、企業内(講師派遣)開催では、標準教材(テキスト)を配本開催しています。
開催スケジュール及び受講予約は(c)Cubic Inc.が提供するクラウドサービスです。
クラウドセキュリティを支える標準教材
ISMS推進マニュアルー 活用ガイドブック(実践様式や演習資料を含む)
- 適用規格:JIS Q 27001:2014/JIS Q 27002:2014/JIS Q 31000:2019/NIST CSF
- ISMS導入/基礎研修教材として有効です。ISMS審査員研修や監査員研修教材としても活用しています。
- JIS Q 27001(ISMS)規格要求事項の理解を深め、正しく運用するためのガイドブックです。
- 本書は、Cloud for LMS内の標準マニュアルと連携しています。
- こちらで電子書籍版の閲覧が可能です
ISMS推進マニュアルー 管理策ガイドブック(サイバーセキュリティに対応)
- 適用規格:JIS Q 27001:2014・JIS Q 27002:2014・JIS Q 27017:2016・JIS Q 15001:2017・NIST CSF
- ISMS運用管理者研修教材として有効です。ISMS審査員研修や監査員研修教材としても活用しています。
- JIS Q 27001附属書A管理策の理解を深めることが目的です
- JIS Q 27002「管理策のための実践の規範」よりリスク対策(管理策)を正しく理解するためのガイドです。
クラウドセキュリティ推進ガイド― JIS Q 27017対応(実践様式や演習資料を含む)
- 適用規格:JIS Q 27001:2014・JIS Q 27002:2014・JIS Q 27017:2016・JIP-ISMS517-1.0
- ISMS運用管理者のためのクラウドセキュリティ実装ガイドです。
- ISMS-CLSクラウドセキュリティ審査員研修教材としても活用しています。
- JIP-ISMS517-1.0クラウドセキュリティ認証要求事項への対応方法を解説
- JIS Q 27017を中心にクラウド固有のリスクへの対策を理解するための実装ガイドです。
クラウドセキュリティ推進ガイド ― JIS Q 27018対応
- 適用規格:JIS Q 27001:2014・JIS Q 27002:2014/JIS Q 27017:2016/JIS X 9250:2017/ISO/IEC 27018:2019
- クラウドサービスプロバイダが提供するサービス内にPII(個人識別可能情報)が集約される事に伴うリスクとリスク対策のためのガイドです。
- JIS X 9250プライバシーフレームワーク「プライバシー11原則」との連携によるリスク対策を理解するための実装ガイドです。
ISMS推進マニュアルー ISMAP対応ガイドブック
- 適用規格:JIS Q 27001:2014・JIS Q 27002:2014・JIS Q 27014:2015・JIS Q 27017:2016・ISMAP基準
- ISMAPは、政府が求めるセキュリティ要求を満たしているクラウドサービスを評価・登録することにより、サービス調達時のセキュリティ水準確保を図り、サービスの円滑な導入に資することを目的としています。ISMS関連規格との連携及び実装法について解説しています。
インシデント及び緊急事態対応ー 計画策定ガイド
- 適用規格:JIS Q 27002:2014・NIST SP800-53・ISMAP基準・経産省ガイド
- 本書では、NIST SP800-53よりインシデント対応及び緊急時対応計画について解説することを主たる目的とし、JIS Q 27002・JIS Q 27017及び経済産業省「先進企業から学ぶ事業リスクマネジメント 実践テキスト」などを引用し解説しています。
- こちらで電子版の閲覧が可能です
サービスマネジメントシステム推進マニュアルー 活用ガイドブック(JIS Q 20000-1対応)
- 適用規格:JIS Q 20000-1:2020/JIS Q 27001:2014/JIS Q 9001:2015/JIS Q 27017:2016
- サービス運用管理者のためのサービスマネジメントシステム装ガイドです。クラウドセキュリティとの連携により、サービスレベルを維持し顧客満足向上を目的としたガイドです。SMS認証取得や維持を目的として、改正規格への対応、実装方法について解説しています。
Price
| 入会金・会費 | Cloud for LMS登録・年間利用料を含む MSQA法人会員入会金:30,000円 MSQA法人会員年会費:36,000円(Cloud foe LMS専用コース利用料) ※管理者アカウント3名及び50名までのユーザーアカウントを含みます |
|---|---|
| クラウドセキュリティ入門コース受講料 | リモート開催:会員及びパートナー紹介者受講無料 企業内開催(講師派遣):ご相談ください |
| クラウドセキュリティ基礎コース受講料(5時間) | 企業内(講師派遣)による開催 講師派遣費用(会員価格):120,000円(20名まで受講可能) 教材費:受講者数に応じて別途見積 出張費:実費請求 オープンコース(通学・リモート開催) 受講料:25,000円(会員価格) 教材費を含みます |
| クラウドセキュリティ審査員研修コース | 受講料:オープンコース(会員価格) 88,000円 企業内開催(講師派遣):ご相談ください |
| 上記価格には別途消費税が加算されます |
