セキュリティ

セキュリティ ガイドラインとは?IPAやCSAについてわかりやすく解説

社内のセキュリティ強化に役立つ「セキュリティガイドライン」。本記事では、総務省やIPA 独立行政法人 情報処理推進機構、CSA クラウドセキュリティアライアンスが公表しているガイドラインの内容と、推奨されているセキュリティ要件を詳しくご紹介します。

セキュリティ ガイドラインとは?IPAやCSAについてわかりやすく解説

Microsoft Digital Trust Security ソリューション一覧

総務省が発表したセキュリティガイドラインとは?

クラウドプラットフォームを構築・提供する際は、企業の重要な情報が漏れ出さないよう、適切なセキュリティ対策を講じる必要があります。そこで役立つのが、総務省が公表している「セキュリティガイドライン」です。

セキュリティガイドラインとは、セキュリティ対策の基本的な考え方および具体的な対策例や、チェックリストなどの手引きが書かれた文書のことをいいます。ガイドラインを見れば、セキュリティ対策でやらなければならないことや注意点がわかるため、セキュリティ対策にこれから取り組む場合も、さらにセキュリティ対策を強化したい場合にも役立ちます。

総務省はこれまでに、さまざまな種類のセキュリティガイドラインを提示しています。以下、企業において役立つ主なセキュリティガイドラインを3つご紹介します。

テレワークセキュリティガイドライン

企業がテレワークを実施する際、気を付けるべきセキュリティ対策について説いたガイドラインです。セキュリティ対策を13(A~M)に分類し、「経営者」「システム・セキュリティ管理者」「テレワーク勤務者」の3者の立場から、講ずべき対策を紹介しています。実際に起きたトラブル事例も紹介されており、セキュリティ対策がどう役立つのかまで説明されています。

クラウドサービス提供における情報セキュリティ対策ガイドライン

クラウドサービスを利用するうえで切っても切り離せないのが、情報漏えいやマルウェア感染などの問題です。本ガイドラインでは、これらの問題について、そもそもサービス提供者はどこまでの情報を管理すべきなのか、どのようにして対策を行うかなどが明記されています。「SaaS」「PaaS」「IaaS」とクラウドサービスごとに責任範囲や対策が記載されているため、参考にしやすいでしょう。

平成27年度クラウド等の最先端情報通信技術を活⽤した学習・教育モデルに関する実証別冊 セキュリティ要件ガイドブック

教育クラウドプラットフォームの構築・提供を行う事業者向けのガイドラインです。教育クラウドプラットフォームには、生徒の教育に関する個人情報など重要な情報が登録されるため、それらを守るための適切な対策が説明されています。「セキュリティ要件」「クラウド環境構築」「コンテンツ作成」「コンテンツのアクセシビリティ」「学校情報管理ポリシー」「教育クラウドプラットフォームの要求機能仕様に関する標準仕様」の6つのガイドラインがあります。

企業が参考にすべきセキュリティガイドライン

総務省が公表しているセキュリティガイドラインのほかに、独立行政法人などの団体からも、クラウドプラットフォームセキュリティに関する情報が提供されているのをご存じでしょうか。ここでは、特に参考にしておきたい情報として、「IPA 独立行政法人 情報処理推進機構」と「CSA クラウドセキュリティアライアンス」が提供している内容をご紹介します。

情報セキュリティ白書(IPA 独立行政法人 情報処理推進機構)

「IPA 独立行政法人 情報処理推進機構」とは、IT社会実現のために活動する組織です。情報セキュリティに関する情報提供や、IT人材育成などの活動を行っています。IPAは、2008年から「情報セキュリティ白書」を提供しています。

情報セキュリティ白書には、国内外を問わない情報セキュリティ政策や脅威の動向、被害の実態などが記載されており、情報セキュリティの知見を高めるのに役立ちます。また、その年に起きたセキュリティ問題などもまとめられており、注意喚起や啓発用資料、業界の動向把握に便利です。

2021年版の情報セキュリティ白書には、大統領の交代があったアメリカのセキュリティ対策や、テレワーク下のセキュリティにおける課題・対策などがまとめられています。

クラウドセキュリティ認証(CSA クラウドセキュリティアライアンス)

「CSA クラウドセキュリティアライアンス」とは、国際的にクラウドセキュリティ実現のためのベストプラクティスを広める活動をしている非営利法人です。クラウドセキュリティに関する啓発のための情報提供も行っています。

CSAが提供しているサービスのひとつに、「STAR認証」があります。STAR認証は、クラウドサービス提供者のセキュリティ対策内容を第三者が評価するプログラムです。この認証を受けることにより、適切なセキュリティが確保されていることが可視化でき、サービスの信頼性向上に寄与します。

総務省が公表するセキュリティ要件の例

ガイドラインに基づきセキュリティ対策を進める際、特に注目すべきなのが「セキュリティ要件」です。セキュリティ要件とは、本来の目的とは異なる方法でクラウドプラットフォームを利用されないために、あらかじめ設定しておく条件のことを指します。ここでは、資産・アクセス制御・物理・運用の4つのセキュリティ要件について、総務省のガイドラインを参考に解説します。

資産に対する責任のセキュリティ要件

資産に対する責任とは、企業が保有するハードウェア・ソフトウェアなどの資産や、個人情報(従業員データ・顧客データなど)について、どのように管理するかを指します。企業は秘匿性の高い情報を扱うにあたり、責任をもって運用しなければなりません。

具体的には、「災害が起きることを加味したうえで資産を守れるように、立地を決めたり、非常用の電源を確保したりする」「情報を機密レベル別に分類し、レベルごとに安全に管理し情報資産を守る」ことなどが記載されています。

情報の利用方法に関しては、文書化したうえですべての従業員・顧客・関係企業などに周知することも、責任のひとつです。そして、雇用や契約が終了する際、相手にまつわる情報をすべて返却あるいは破棄します。

アクセス制御のセキュリティ要件

アクセス制御は、保護すべき情報について階層構造を設けるなどして、情報の閲覧制限をかけることをいいます。サービス提供者・利用者ともにアクセス制御を設ける必要があり、ID・パスワードなどの管理方法や有効期限についてもルールを設けなければなりません。

物理的セキュリティの要件

クラウドプラットフォームの運用・管理において、セキュリティはオンライン上のものだけではありません。施設内への侵入やデバイス紛失などによる、直接的な情報流出も対策する必要があります。また、PC画面を覗き見られることによる情報漏えいも考えられます。入退室管理を徹底するとともに、自動ロックやプライバシーフィルタなどの対策をするよう定められています。

運用のセキュリティの要件

情報セキュリティにおいて重要な3要素に、「機密性」「完全性」「可用性」があります。これまでのセキュリティ要件は「機密性」に該当するものでしたが、プラットフォームの運用においては「完全性」「可用性」も考えなければなりません。

完全性とは、データの正確さを維持することをいいます。具体的には、定期的なバックアップの作成やアクセス履歴・更新履歴の管理、データの暗号化などです。こうして、従業員の誤操作によるデータの置き換えや、悪意をもった第三者による不正改ざんを防ぎます。

可用性とは、利用者が必要なときにアクセスできるような環境を整えることをいいます。具体的には、システムの性能や脆弱性の管理、運用手順の文書化などです。運用手順を明文化しておくことで、障害発生時にも素早く対応できます。

まとめ

クラウド利用が増えてきている今、セキュリティ対策は欠かせません。総務省などが公表しているセキュリティガイドライン・セキュリティ要件に沿い、自社のセキュリティ内容も一度見直してみましょう。ガイドラインや要件を参考にした対策を講じることで、さらなるセキュリティ性の向上が目指せます。

  • fb-button
  • line-button
  • linkedin-button
RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP