附属書B(参考)クラウドコンピューティングの情報セキュリティリスクに関する参考文献  38, この規格は,工業標準化法第12条第1項の規定に基づき,一般社団法人情報処理学会(IPSJ)及び一般, 財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を制定すべきとの申出があり,, この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意, を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実, Information technology-Security techniques-Code of practice for, information security controls based on ISO/IEC 27002 for cloud services, この規格は,2015年に第1版として発行されたISO/IEC 27017を基に,技術的内容及び構成を変更する, この規格で規定する指針は,JIS Q 27002に規定する指針に追加し,これを補うものである。, 特に,この規格は,クラウドサービスカスタマ及びクラウドサービスプロバイダのための情報セキュリ, ティ管理策の実施を支援する指針を提示する。ある指針は管理策を実施するクラウドサービスカスタマの, ためのものであり,他の指針はクラウドサービスプロバイダがそれらの管理策の実施を支援するためのも, のである。適切な情報セキュリティ管理策の選択及び提示されている実施の手引の適用は,リスクアセス, メント及び法的,契約上,規制又はその他のクラウド分野固有の情報セキュリティ要求事項に依存する。, この規格は,次の事項を提供することによって,クラウドサービスの提供及び利用に適用できる情報セ, この規格は,管理策及び実施の手引を,クラウドサービスプロバイダ及びクラウドサービスカスタマの, ISO/IEC 27017:2015,Information technology−Security techniques−Code of practice for information, security controls based on ISO/IEC 27002 for cloud services(IDT), なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ, 次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの, 引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。), は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。)を適用する。, JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語, 注記 対応国際規格:ISO/IEC 27000,Information technology−Security techniques−Information, security management systems−Overview and vocabulary(MOD), JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範, 注記 対応国際規格:ISO/IEC 27002:2013,Information technology−Security techniques−Code of, practice for information security controls(IDT), 注記 対応国際規格:ISO/IEC 17788,Information technology−Cloud computing−Overview and, ISO/IEC 17789,Information technology−Cloud computing−Reference architecture, この規格で用いる用語及び定義は,JIS Q 27000,JIS X 9401及びISO/IEC 17789によるほか,次による。, 転送,保存若しくはその他の方法で処理される保護されたデータの,偶発的若しくは不法な破壊,損失,, 改ざん,認可されない開示又はその保護されたデータへのアクセスにつながる情報セキュリティの侵害。, データ侵害から防御するために情報セキュリティ管理策を使用し,適切なガバナンスに対するこれらの, 注記1 セキュアマルチテナンシは,それぞれのテナントのリスクがシングルテナント環境の場合の, 注記2 特に強いセキュリティの求められる環境においては,テナントのアイデンティティですら秘, 注記 仮想マシンは,仮想ハードウェア,仮想ディスク,及び関連するメタデータを全てカプセル化, したものである。仮想マシンは,ハイパーバイザと呼ばれるソフトウェア層によって,基盤と, IaaS インフラストラクチャアズアサービス(Infrastructure as a Service), PaaS プラットフォームアズアサービス(Platform as a Service), 個人を特定できる情報(Personally Identifiable Information), SaaS ソフトウェアアズアサービス(Software as a Service), クラウドコンピューティングの利用によって,コンピューティング資源の技術的な設計,運用及びガバ, ナンスに重大な変化が生じ,それによって組織が情報セキュリティリスクを評価し低減する方法も変化し, た。この規格は,クラウドサービス固有の情報セキュリティの脅威及びリスクに対処するため,JIS Q 27002, に基づきクラウドサービス固有の追加の実施の手引を提供するとともに,追加の管理策を提供する。, この規格の読者は,管理策,実施の手引及び関連情報について,JIS Q 27002の箇条5〜箇条18を参照, することが望ましい。JIS Q 27002は汎用的に適用可能であるため,その管理策,実施の手引及び関連情報, の多くは,組織の一般的な場面及びクラウドコンピューティングの場面のいずれにも適用される。例えば,, JIS Q 27002の6.1.2(職務の分離)はクラウドサービスプロバイダであるか否かを問わず適用できる管理, 策である。また,クラウドサービスカスタマにおけるクラウドサービス実務管理者とクラウドサービスユ, ーザとの分離など,クラウドサービスカスタマは,同じ管理策からクラウド環境における職務の分離の要, JIS Q 27002の拡張として,この規格は,さらに,クラウドサービスの技術的及び運用上の特徴に伴うリ, スク(附属書B参照)を低減するための,クラウドサービス固有の管理策,実施の手引及び関連情報(4.5, 参照)を提供する。クラウドサービスカスタマ及びクラウドサービスプロバイダは,JIS Q 27002及びこの, 規格を,管理策及び実施の手引を選択するために参照し,必要であればその他の管理策を追加することも, できる。このプロセスは,クラウドサービスが利用又は提供される組織及び事業の状況における,情報セ, キュリティリスクアセスメント及びリスク対応の実施によって行うことができる(4.4参照)。, JIS Q 27002の箇条15(供給者関係)は,供給者関係における情報セキュリティの管理のための管理策,, 実施の手引及び関連情報を提供する。クラウドサービスの提供及び利用は,クラウドサービスカスタマを, 調達者,クラウドサービスプロバイダを供給者とする一種の供給者関係である。したがって,この箇条は,, クラウドサービスカスタマ及びクラウドサービスプロバイダは,さらに,サプライチェーンを形成する, ことがある。クラウドサービスプロバイダがインフラストラクチャ能力型のサービスを提供していると仮, 定する。そのサービス上で,別のクラウドサービスプロバイダがアプリケーション能力型のサービスを提, 供しているとする。この場合,後者のクラウドサービスプロバイダは,前者のクラウドサービスプロバイ, ダに対してはクラウドサービスカスタマであり,自身のクラウドサービスのカスタマに対してはクラウド, サービスプロバイダである。この例は,この規格を,一つの組織にクラウドサービスカスタマ及びクラウ, ドサービスプロバイダの両方の立場で適用する場合を示している。クラウドサービスカスタマ及びクラウ, ドサービスプロバイダは,クラウドサービスの設計及び実装を通してサプライチェーンを形成しているた, 部編成の国際規格ISO/IEC 27036は,製品及びサービスの調達者及び供給者に対して,供給者関係にお, ける情報セキュリティについての詳細な手引を提供している。ISO/IEC 27036-4は,供給者関係における, クラウドサービスの情報セキュリティを直接扱っている。この規格も,クラウドサービスカスタマを調達, クラウドコンピューティング環境においては,クラウドサービスカスタマデータはクラウドサービスに, よって保存され,転送され,処理される。したがって,クラウドサービスカスタマのビジネスプロセスは, クラウドサービスの情報セキュリティに依存し得る。クラウドサービスの管理が十分でない場合,クラウ, ドサービスカスタマは,情報セキュリティの実践に当たり,必要以上の注意を払わなければならない可能, クラウドサービスカスタマは,クラウドサービスプロバイダとの供給者関係に入る前に,クラウドサー, ビスカスタマの情報セキュリティ要求事項とクラウドサービスが提供できる情報セキュリティの実施能力, との間に存在し得るかい離を考慮し,クラウドサービスを選択する必要がある。クラウドサービスカスタ, マが,一旦クラウドサービスを選択したならば,クラウドサービスカスタマの情報セキュリティ要求事項, に適合するように,クラウドサービスの利用を管理することが望ましい。この供給者関係において,クラ, ウドサービスプロバイダは,クラウドサービスカスタマがその情報セキュリティ要求事項を満たすために, 必要な情報及び技術支援を提供することが望ましい。クラウドサービスプロバイダが実施している情報セ, キュリティ管理策があらかじめ設定されたもので,クラウドサービスカスタマに変更できないものであっ, た場合,クラウドサービスカスタマはリスクを低減するために,自らの追加の管理策を実施することが必, クラウドサービスカスタマ及びクラウドサービスプロバイダは,いずれも,情報セキュリティリスクマ, ネジメントプロセスを備えていることが望ましい。情報セキュリティマネジメントシステムにおけるリス, クマネジメントを実施するための要求事項についてはJIS Q 27001を参照し,情報セキュリティリスクマ, ネジメントそのものの更なる指針については,ISO/IEC 27005を参照することを勧める。JIS Q 27001及び, ISO/IEC 27005はJIS Q 31000に整合性がとれており,そのJIS Q 31000はリスクマネジメントの一般的な, 情報セキュリティリスクマネジメントプロセスの一般的な適用性とは対照的に,クラウドコンピューテ, ィングには,その特性(例えば,ネットワーク,システムのスケーラビリティ及び弾力性,資源共有,セ, ルフサービスプロビジョニング,オンデマンド管理,法域を超えたサービスの提供及び管理策の実施につ, いての可視性が限られていること)に由来する,固有の,脅威及びぜい弱性を含むリスク源がある。附属, 書Bに,クラウドサービスの提供及び利用における,これらのリスク源及び関連するリスクについて,情, この規格の箇条5〜箇条18及び附属書Aの管理策及び実施の手引は,クラウドコンピューティング固有, この規格は,JIS Q 27002に類似した形式で構成されている。この規格は,各箇条及び段落においてJIS, Q 27002の該当するテキストの適用を記載することによって,JIS Q 27002の箇条5〜箇条18を包含して, JIS Q 27002で規定する管理目的及び管理策が,追加の情報を必要とすることなく適用できる場合には,, JIS Q 27002の管理目的又は管理策に加えて,管理策を伴う管理目的又はJIS Q 27002の管理目的の配下, の管理策が必要な場合は,これらを“附属書A(規定)クラウドサービス拡張管理策集”に記載している。, JIS Q 27002又はこの規格の附属書Aの管理策が,管理策に関連する追加のクラウドサービス固有の実施, の手引を必要とする場合には,これを“クラウドサービスのための実施の手引”の見出しの下に示す。手, タイプ1は,クラウドサービスカスタマ及びクラウドサービスプロバイダに対し,個別の手引がある場, タイプ2は,クラウドサービスカスタマ及びクラウドサービスプロバイダの両者に対し,同じ手引があ, 考慮が必要となり得る追加の情報は,“クラウドサービスのための関連情報”の見出しの下にこれを示, JIS Q 27002の5.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマのクラウドコンピューティングのための情報セキュリティ方針は,JIS Q, 27002の5.1.1に定めるトピック固有の方針の一つである。組織の情報セキュリティ方針は,その組織の情, 報及びビジネスプロセスを扱う。組織がクラウドサービスを利用する際には,クラウドサービスカスタマ, として,クラウドコンピューティングのための方針をもつことができる。組織の情報は,クラウドコンピ, ューティング環境に保存及び維持することができ,ビジネスプロセスは,クラウドコンピューティング環, 境にて運用することができる。一般的な情報セキュリティ要求事項を最上位の情報セキュリティ方針に定, これとは対照的に,クラウドサービスを提供するための情報セキュリティ方針は,クラウドサービスカ, スタマの情報及びビジネスプロセスを扱うが,クラウドサービスプロバイダの情報及びビジネスプロセス, は扱わない。クラウドサービスの提供のための情報セキュリティ要求事項は,クラウドサービスの利用が, 見込まれる者の情報セキュリティ要求事項を満たすことが望ましい。その結果,クラウドサービスの提供, のための情報セキュリティ要求事項は,クラウドサービスプロバイダの情報及びビジネスプロセスの情報, セキュリティ要求事項と不整合が生じる可能性がある。情報セキュリティ方針の適用範囲は,組織構造又, クラウドコンピューティングにおける仮想化セキュリティには,仮想インスタンスのライフサイクル管, 理,仮想イメージの保存及びアクセス制御,休止状態又はオフラインの仮想インスタンスの扱い,スナッ, プショット,ハイパーバイザの保護,並びにセルフサービスポータルの利用を管理する情報セキュリティ, JIS Q 27002の5.1.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の6.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 責任の割当てを当事者内及び当事者間で決定しても,なお,クラウドサービスカスタマは,サービスを, 利用するという決定に責任を負う。その決定は,クラウドサービスカスタマの組織内で定められた役割及, び責任に従って行うことが望ましい。クラウドサービスプロバイダは,クラウドサービスの合意書の一部, として定める情報セキュリティに対して責任を負う。情報セキュリティの実装及び提供は,クラウドサー, 特に第三者に対応する際に,データの管理責任,アクセス制御,基盤の保守のような事項の,役割並び, に責任の定義及び割当てが曖昧なことによって,事業上の又は法的な紛争が起こる可能性がある。, クラウドサービスの利用中に生成又は変更される,クラウドサービスプロバイダのシステム上のデータ, 及びファイルは,サービスのセキュリティを保った運用,回復及び継続にとって極めて重要であり得る。, 全ての資産の管理責任,並びにバックアップ及び回復の運用のような,これらの資産に関連する運用に責, 任をもつ当事者を,定義し,文書化することが望ましい。そうでなければ,クラウドサービスプロバイダ, は,クラウドサービスカスタマが当然これらの不可欠の業務を実施すると想定し,又はクラウドサービス, カスタマは,クラウドサービスプロバイダが当然これらの不可欠な業務を実施すると想定することによっ, JIS Q 27002の6.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマデータを保存,処理又は伝送する可能性のある地理的位置の情報は,クラウ, JIS Q 27002の6.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.1.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の6.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.1.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の7.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の7.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービス派生データをクラウドサービスカスタマデータに付加することで,情報管理のための, 機能を提供するようなクラウドサービスがある。そのようなクラウドサービス派生データを資産として特, JIS Q 27002の8.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, 資産の管理責任は,利用しているクラウドサービスの分類によって異なる場合がある。PaaS又はIaaS, を利用している場合,アプリケーションソフトウェアはクラウドサービスカスタマに属することになる。, 一方でSaaSの場合,アプリケーションソフトウェアはクラウドサービスプロバイダに属することになる。, JIS Q 27002の8.1.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の8.2.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.3.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.3.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.3.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスプロバイダは,第三者のアイデンティティ管理技術及びアクセス管理技術を,提供す, るクラウドサービス及び関連する管理インタフェースで利用できるように支援することが望ましい。これ, らの技術は,シングルサインオンとして提供することによって,クラウドサービスカスタマの複数のシス, テム及びクラウドサービスにまたがる統合及び利用者のアイデンティティ管理を容易にし得るものであり,, JIS Q 27002の9.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマは,自らの又は第三者のアイデンティティ管理技術及びアクセス管理技術を, JIS Q 27002の9.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドコンピューティング環境では,アクセス制御が必要となる追加の領域がある。クラウドサービ, ス又はクラウドサービスの機能の一部として,ハイパーバイザ管理機能及び管理用コンソールのような機, JIS Q 27002の9.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.4.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の10.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 法域によっては,健康データ,住民登録番号,パスポート番号,運転免許証番号などの特定の種類の情, JIS Q 27002の10.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の11.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.1.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.6に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, セキュリティを保った処分に関する追加の情報が,ISO/IEC 27040に示されている。, JIS Q 27002の11.2.8に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.9に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.1.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の12.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 通知に含めるべき事項の一覧は,合意書(例えば,基本契約書又はSLA)に含めることができる。, JIS Q 27002の12.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスには,クラウドサービスプロバイダの管理下にあって,基本契約書及び関連するSLA, の条件に基づきクラウドサービスカスタマに使用させる資源がある。このような資源には,ソフトウェア,, クラウドサービスにおける弾力性がありスケーラブルで,かつ,オンデマンドの資源割当てによって,, 一般に,サービス全体の容量・能力は高まる。しかしながら,クラウドサービスカスタマは,提供される, 資源に容量・能力の制限があり得ることを認識しておく必要がある。容量・能力の制約の例に,アプリケ, ーションに割り当てられるコアプロセッサの数,利用可能なストレージ容量,及び利用可能なネットワー, この制約は,特定のクラウドサービス又はクラウドサービスカスタマが購入する特定のサービス内容, (subscription)によって異なり得る。クラウドサービスカスタマの要求がこの制約を超える場合,クラウ, クラウドサービスカスタマがクラウドサービスの容量・能力の管理を実施するために,クラウドサービ, スカスタマは,次のような関連する資源使用についての統計情報にアクセスできることが望ましい。, JIS Q 27002の12.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.3.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドコンピューティング環境におけるバックアップの取得に関する責任分担は,曖昧になりがちで, ある。IaaSの場合,バックアップ取得の責任は一般的にはクラウドサービスカスタマ側にある。しかしな, がら,クラウドサービスカスタマは,クラウドコンピューティングシステムにおいて生成される全てのク, ラウドサービスカスタマデータ(例えば,PaaSの開発機能の利用によって生成される実行可能なファイル), 注記 幾つかのレベルのバックアップ及び復旧が,追加費用のサービスとして提供される場合がある。, この場合,クラウドサービスカスタマは,バックアップ取得の対象及び時点を選ぶことができ, JIS Q 27002の12.4.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, イベントログ取得に関するクラウドサービスカスタマ及びクラウドサービスプロバイダの責任は,利用, しているクラウドサービスの種類に応じて異なる。例えば,IaaSでは,クラウドサービスプロバイダのロ, グ取得の責任はクラウドコンピューティングの基盤を構成する要素に関するログ取得に限られる場合があ, り,クラウドサービスカスタマが自らの仮想マシン及びアプリケーションのイベントログ取得に責任を負, JIS Q 27002の12.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマとクラウドサービスプロバイダとの間の責任の割当て(6.1.1を参照)は,ク, ラウドサービスに関する特権的な操作を対象としていることが望ましい。特権的な操作の誤った利用に対, する予防処置及び是正処置を支援するために,特権的な操作の利用を監視し,また,ログを取得する必要, JIS Q 27002の12.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマのシステムと,クラウドサービスカスタマが利用するクラウドサービスを実, 行しているクラウドサービスプロバイダのシステムとの間のクロックの同期を考慮する必要がある。この, ような同期がなされない場合,クラウドサービスカスタマのシステムにおけるイベントとクラウドサービ, JIS Q 27002の12.5.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の12.6.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の12.6.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.7.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の13.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 法令及び規制によって,ネットワークの分離又はネットワークトラフィックの分離が求められることが, JIS Q 27002の13.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 守秘義務契約を結んでいるクラウドサービスカスタマ又は潜在的なクラウドサービスカスタマに提供す, るクラウドサービスに関係するため,情報セキュリティ管理策に関して,その実施の詳細については,開, JIS Q 27002に定める14.1.2の管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスプロバイダのセキュリティに配慮した開発の手順及び実践は,SaaSのクラウドサービ, JIS Q 27002の14.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, 14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー, JIS Q 27002の14.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の14.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.6に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の14.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.8に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.9に定める管理策及び付随する実施の手引を適用する。, クラウドコンピューティングにおいては,システムの受入れ試験の手引は,クラウドサービスカスタマ, JIS Q 27002の14.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の15.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.2.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の15.2.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の16.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の16.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, この仕組みでは,手続を規定するだけでなく,クラウドサービスカスタマ及びクラウドサービスプロバ, イダの両者の連絡先電話番号,電子メールアドレス,サービス時間などの必須の情報も提示することが望, 情報セキュリティ事象は,クラウドサービスカスタマ及びクラウドサービスプロバイダのいずれも検知, することがある。そのため,クラウドコンピューティングにおいては,事象を検知した当事者が他の当事, JIS Q 27002の16.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の16.1.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマ及びクラウドサービスプロバイダは,クラウドコンピューティング環境内で, 生成される,ディジタル証拠となり得る情報及びその他の情報の提出要求に対応する手続について合意す, JIS Q 27002の17.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の18.1.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドサービスの提供及び利用に適用される法的及び規制の要求事項は,特に処理,保存及び通信の, 機能が地理的に分散し,複数の法域が関係し得る場合に,これを特定することが望ましい。, 法的又は契約上のいずれであれ,順守の要求事項への対応は,クラウドサービスカスタマにその責任が, JIS Q 27002の18.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, ISO/IEC 27018[Code of practice for protection of personally identifiable information (PII) in public clouds, acting as PII processors]は,この話題に追加の情報を提供する。, JIS Q 27002の18.1.5に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, JIS Q 27002の18.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の18.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, この附属書は,クラウドサービスのための拡張管理策集として,追加の管理目的,管理策及び実施の手, 引を記載している。管理策の管理目的がJIS Q 27002と同じ場合は管理目的の再載を省略した。, JIS Q 27001に適合するISMSにおいてこれらの管理策を実施しようとする組織は,この附属書に記載さ, 目的 情報セキュリティマネジメントに関してクラウドサービスカスタマとクラウドサービスプロバイ, CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担, クラウドサービスの利用に関して共有し分担する情報セキュリティの役割を遂行する責任は,クラウド, サービスカスタマ及びクラウドサービスプロバイダのそれぞれにおいて特定の関係者に割り当て,文書化, クラウドコンピューティングでは,役割及び責任は,典型的にはクラウドサービスカスタマの従業員と, クラウドサービスプロバイダの従業員とに分けられる。役割及び責任の割当てにおいては,クラウドサー, ビスプロバイダが管理者となるクラウドサービスカスタマデータ及びアプリケーションを考慮することが, クラウドサービスプロバイダの施設にあるクラウドサービスカスタマの資産は,クラウドサービスの合, 意の終了時に,時機を失せずに除去されるか又は必要な場合には返却されることが望ましい。, CLD.9.5 共有する仮想環境におけるクラウドサービスカスタマデータのアクセス制御, 目的 クラウドコンピューティングにおける共有する仮想環境利用時の情報セキュリティリスクを低減, クラウドサービス上で稼動するクラウドサービスカスタマの仮想環境は,他のクラウドサービスカスタ, − ソフトウェア仮想化機能が仮想環境(例えば,仮想オペレーティングシステム)を提供する場合は,, ネットワーク及びストレージ構成を仮想化することができる。また,ソフトウェア仮想化環境でのク, ラウドサービスカスタマの分離は,ソフトウェアの分離機能を用いて設計し実装することができる。, − クラウドサービスカスタマの情報がクラウドサービスの“メタデータテーブル”とともに物理的共有, ストレージ領域に保存されている場合は,他のクラウドサービスカスタマとの情報の分離は“メタデ, ISO/IEC 27040(Information technology−Security techniques−Storage security)に記載されている,セキュ, アマルチテナンシ及び関連する手引は,クラウドコンピューティング環境に適用することができる。, クラウドコンピューティング環境の仮想マシンは,事業上のニーズを満たすために要塞化することが望, クラウドサービスカスタマ及びクラウドサービスプロバイダは,仮想マシンを設定する際には,適切な, 側面からの要塞化(例えば,必要なポート,プロトコル及びサービスだけを有効とする。)及び利用する, 各仮想マシンへの適切な技術手段(例えば,マルウェア対策,ログ取得)の実施を確実にすることが望ま, クラウドコンピューティング環境の管理操作のための手順は,これを定義し,文書化し,監視すること, クラウドコンピューティングには,迅速な提供及び管理並びにオンデマンドセルフサービスという利点, がある。これらの操作は,多くの場合,クラウドサービスカスタマ及びクラウドサービスプロバイダの実, 務管理者が行う。これらの重要な操作への人間の介入は重大な情報セキュリティインシデントを引き起こ, す可能性があるため,操作を保護するための仕組みの導入を検討することが望ましく,必要に応じてこれ, を定義し実施することが望ましい。重大なインシデントの例としては,多数の仮想サーバの消去若しくは, クラウドサービスカスタマは,クラウドサービスカスタマが利用するクラウドサービスの操作の特定の, 仮想ネットワークを設定する際には,クラウドサービスプロバイダのネットワークセキュリティ方針に, 基づいて,仮想ネットワークと物理ネットワークとの間の設定の整合性を検証することが望ましい。, 仮想化技術を基にして設定されたクラウドコンピューティング環境では,仮想ネットワークは物理ネッ, トワーク上の仮想基盤上に設定される。このような環境では,ネットワーク方針の矛盾は,システムの停, 注記 クラウドサービスの種類によって,仮想ネットワークを設定する責任は,クラウドサービスカ, この規格で提供する情報セキュリティ管理策の適切な利用は,組織の情報セキュリティリスクアセスメ, ント及び対応に依存する。これらは重要な主題であるが,この規格は情報セキュリティリスクアセスメン, ト及び対応の取組みに焦点を当てたものではない。次のリストは,クラウドサービスの提供及び利用にお, けるリスク源及びリスクの説明を含む参考文献のリストである。リスク源及びリスクはサービスの種類及, び性質並びにクラウドコンピューティングの新技術に応じて変化することに留意することが望ましい。こ.
H��TMk1����.�2�oA�I ���C��^�������7��NB( �Ȼ+i��{o�]��j|��%X�j�# ���1/���/�wsv���+.�}���%�����/���m��PֲvN1;�,�88m�2^{�ɨ���#�!��!�8�k��x �Tɋ��Kt����6g�[V�P���kלu�A�݈�luN�W��Q�Sђ������������x�=6ߺ�YMA�ً|�C��7E�\U��J�S\�K����Bʀe��K�R�#�����̢��!+�\,��8O���2Y8�D:�jx�q�D��Ƽ����n���ѫg��wuwOj�2.������KP�&��Dq��G� O ��yFuO�p�qc0� Mj�N>��I48���dW����loP�H��iH�Z �T[����J3���@� �>�цht:'�f�ZBg��� nH���c�÷��2����I�������}w��mP��Sc8����?�:Ԛ: Z�cA+��ƒ��R����PG���. 0000001076 00000 n H���c�a �W۶m۶m��ֶm۶m۶�N�?^'�ٛ��Kf_�����g�o ` h d l b j f n �-�[(��na��.�]x�v�"�#2� SPRING Singapore 2012,Annex A: Virtualisation Security Risk Assessment of Singapore Technical Reference. A��"���bLq�SRP�) �a�
%PDF-1.4 %����

[19] ISACA,Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives. 0000002580 00000 n 0000002961 00000 n

Australian Government Information Management Office 2013,Summary of Checkpoints in: Privacy and Cloud. http://www.asd.gov.au/publications/protect/Cloud̲Computing̲Security̲for̲Cloud̲Service̲Providers.pdf. 特徴を示すことが多い。 0000003509 00000 n security management systems −Requirements(IDT) [5] JIS Q 27002 0 0000012254 00000 n 2012年. n�r[pGpא{���<4�!�Oy*xf�sS^�ҐW��6�)o y� � ����|v�/�՗���|�`?�x���~�1뷧�#� !��� LEA%�2T��*��T�j05���:P]���>� j�4bCM���fLs��R�JКi��e�1��LGA'Ag�ԕ��t�z0=��ސ�G�WЏ� ` [14] NIST 2009,Effectively and Securely Using the Cloud Computing Paradigm. H���yTSw�oɞ����c [���5la�QIBH�ADED���2�mtFOE�.�c��}���0��8�׎�8G�Ng�����9�w���߽��� �'����0 �֠�J��b� 0000011567 00000 n 0000018860 00000 n 8. http://www.finance.gov.au/files/2013/02/privacy-and-cloud-computing-for-australian-government-agencies-v1.1.pdf. 0000002451 00000 n
八戸 ウルスラ 事件 14, Tokyo Speakeasy ラジオ 4, 山本 キッド 晩年 30, Ske48 10期生 辞退 36, トップシークレット デモカー 販売 10, アマンダ メニュー カロリー 6, ぐるナイ 平野紫耀 再放送 24, オイル 野田秀樹 解説 4, 伊良部 嫁 なんj 9, スカイリム 種族 人気 19, 女性 クライマー 体 脂肪 率 8, プジョー3008 エアコン 効かない 10, 赤 白 キャラクター 4, ウルトラマン ティガ 客演 7, ボカロp Youtube 収入 29, 明治学院大学 ジャニーズ 2018 40, 補導 学校 嘘 14, ベータ版 正式版 英語 5, ポケモン 金銀 アニメ Bgm 9, 青い海の伝説 最終回 感想 5, Canon Lbp661c 説明書 6, ロシア 名前 男 31, 勝どき ビュータワー 芸能人 10, 竹野内豊 実家 茨城 20, セルフィコレクション Switch 評判 38, ラファエル Fe 聖人 16, Posh Boy 意味 10, Hamzy 食べ方 汚い 19, 質問箱 メッセージ 匿名じゃない 10, 工事写真 ソフト 比較 4, アゼルバイジャン 金融 カンファレンス 9, 2020年 再婚 占い 無料 10, 食品 飲料 違い 28, 魔法戦隊マジレンジャー 動画 フリドラ 17, D 02k Wiki 7, Zip 圧縮率 計算 15, がっこうぐらし 大学編 つまらない 41, ディズニーストア エコバッグ スティッチ 12, ポケモンgo アーマードミュウツー 交換 36, 主張 根拠 例 5, 麻雀 最高得点 プロ 37, 中居 ローラ 金スマ 4, 忍べ 右左 エ 門 再放送 6, 仕事 3年目 辛い 6, テリー伊藤 死亡 メール 6, サザエさん 視聴率 平均 4, 松崎ナオ 松崎 しげる 16, ジュノ 猫 名前 28, 渋谷 新橋 バス 06 5, Pixiv 小説 コナン夢 ギャグ 14, ゴゴスマ プレゼント キーワード 6, Company Optional 意味 33, 丸亀製麺 つゆ 販売 4, ハナミズキ 楽譜 リコーダー 12, 欅坂46 センター なぜ笑わない 7, ジョーズ Tシャツ Gu 4, 歌舞伎役者 演技 うまい 12, るろうに剣心 強さ議論 63 33, リカルド ホンダ 後悔 9, Autodesk アカウント 製品 登録 6, 世界にいいね つぶやき英語 エリカ 19, 真っ暗 な 空 類語 10, ウィッチャー3 難易度 経験値 14, ø 出し方 アンドロイド 13, Pso2 ドゥームブレイク2 掘り 18, 湯婆婆 銭婆 違い 22, ドラクエウォーク 回復スポット 効率 4, Windows10 1903 システムフォント 変更 4, 創味シャンタン Cm 歴代 6, 蚊 がい なくなる スプレーb 27, さんま御殿 20190611 動画 4, Kimi Ni Todoke Movie 6, 総合商社 ハル 打ち切り 6, 北陸新幹線 混雑状況 自由席 リアルタイム 11, 新入社員 日報 書けない 7, Qoo10 アプリ クーポン 併用 16, にの つく ことわざ 4, オートバックス ホーン交換 工賃 11, 我 が強い 自己 Pr 4, シスター 韓国 現在 16, Teams ブラウザ版 画面共有 10, さんまの東大方程式 大津くん 歌 5, 鶴島のあ インスタ 公式 8, 凪のお暇 46話 ネタバレ 4, Restore Purchases 意味 24, 64 神ゲー 多い 26, グランデ 連戦 編成 23, 銃 メーカー ランキング 8, 東福岡サッカー 監督 不祥事 10, ガキの使い 動画 2020年1月12日 10, 小説 お題 ファンタジー 5, 魔界塔士sa Ga ストーリー 36, Pso2 仮面 緊急 38, 仮説 演繹 帰納 10, へ ず ま りゅう ガチギレ 11, ナルシスト 英語 スラング 7, Cloudy Heart 歌詞 12, Cv 固定 長さ 23, ウィッチャー3 グリフィン流派の強化4 バグ 9, 泣きの 十 六 意味 13, " />
附属書B(参考)クラウドコンピューティングの情報セキュリティリスクに関する参考文献  38, この規格は,工業標準化法第12条第1項の規定に基づき,一般社団法人情報処理学会(IPSJ)及び一般, 財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を制定すべきとの申出があり,, この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意, を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実, Information technology-Security techniques-Code of practice for, information security controls based on ISO/IEC 27002 for cloud services, この規格は,2015年に第1版として発行されたISO/IEC 27017を基に,技術的内容及び構成を変更する, この規格で規定する指針は,JIS Q 27002に規定する指針に追加し,これを補うものである。, 特に,この規格は,クラウドサービスカスタマ及びクラウドサービスプロバイダのための情報セキュリ, ティ管理策の実施を支援する指針を提示する。ある指針は管理策を実施するクラウドサービスカスタマの, ためのものであり,他の指針はクラウドサービスプロバイダがそれらの管理策の実施を支援するためのも, のである。適切な情報セキュリティ管理策の選択及び提示されている実施の手引の適用は,リスクアセス, メント及び法的,契約上,規制又はその他のクラウド分野固有の情報セキュリティ要求事項に依存する。, この規格は,次の事項を提供することによって,クラウドサービスの提供及び利用に適用できる情報セ, この規格は,管理策及び実施の手引を,クラウドサービスプロバイダ及びクラウドサービスカスタマの, ISO/IEC 27017:2015,Information technology−Security techniques−Code of practice for information, security controls based on ISO/IEC 27002 for cloud services(IDT), なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ, 次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの, 引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。), は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。)を適用する。, JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語, 注記 対応国際規格:ISO/IEC 27000,Information technology−Security techniques−Information, security management systems−Overview and vocabulary(MOD), JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範, 注記 対応国際規格:ISO/IEC 27002:2013,Information technology−Security techniques−Code of, practice for information security controls(IDT), 注記 対応国際規格:ISO/IEC 17788,Information technology−Cloud computing−Overview and, ISO/IEC 17789,Information technology−Cloud computing−Reference architecture, この規格で用いる用語及び定義は,JIS Q 27000,JIS X 9401及びISO/IEC 17789によるほか,次による。, 転送,保存若しくはその他の方法で処理される保護されたデータの,偶発的若しくは不法な破壊,損失,, 改ざん,認可されない開示又はその保護されたデータへのアクセスにつながる情報セキュリティの侵害。, データ侵害から防御するために情報セキュリティ管理策を使用し,適切なガバナンスに対するこれらの, 注記1 セキュアマルチテナンシは,それぞれのテナントのリスクがシングルテナント環境の場合の, 注記2 特に強いセキュリティの求められる環境においては,テナントのアイデンティティですら秘, 注記 仮想マシンは,仮想ハードウェア,仮想ディスク,及び関連するメタデータを全てカプセル化, したものである。仮想マシンは,ハイパーバイザと呼ばれるソフトウェア層によって,基盤と, IaaS インフラストラクチャアズアサービス(Infrastructure as a Service), PaaS プラットフォームアズアサービス(Platform as a Service), 個人を特定できる情報(Personally Identifiable Information), SaaS ソフトウェアアズアサービス(Software as a Service), クラウドコンピューティングの利用によって,コンピューティング資源の技術的な設計,運用及びガバ, ナンスに重大な変化が生じ,それによって組織が情報セキュリティリスクを評価し低減する方法も変化し, た。この規格は,クラウドサービス固有の情報セキュリティの脅威及びリスクに対処するため,JIS Q 27002, に基づきクラウドサービス固有の追加の実施の手引を提供するとともに,追加の管理策を提供する。, この規格の読者は,管理策,実施の手引及び関連情報について,JIS Q 27002の箇条5〜箇条18を参照, することが望ましい。JIS Q 27002は汎用的に適用可能であるため,その管理策,実施の手引及び関連情報, の多くは,組織の一般的な場面及びクラウドコンピューティングの場面のいずれにも適用される。例えば,, JIS Q 27002の6.1.2(職務の分離)はクラウドサービスプロバイダであるか否かを問わず適用できる管理, 策である。また,クラウドサービスカスタマにおけるクラウドサービス実務管理者とクラウドサービスユ, ーザとの分離など,クラウドサービスカスタマは,同じ管理策からクラウド環境における職務の分離の要, JIS Q 27002の拡張として,この規格は,さらに,クラウドサービスの技術的及び運用上の特徴に伴うリ, スク(附属書B参照)を低減するための,クラウドサービス固有の管理策,実施の手引及び関連情報(4.5, 参照)を提供する。クラウドサービスカスタマ及びクラウドサービスプロバイダは,JIS Q 27002及びこの, 規格を,管理策及び実施の手引を選択するために参照し,必要であればその他の管理策を追加することも, できる。このプロセスは,クラウドサービスが利用又は提供される組織及び事業の状況における,情報セ, キュリティリスクアセスメント及びリスク対応の実施によって行うことができる(4.4参照)。, JIS Q 27002の箇条15(供給者関係)は,供給者関係における情報セキュリティの管理のための管理策,, 実施の手引及び関連情報を提供する。クラウドサービスの提供及び利用は,クラウドサービスカスタマを, 調達者,クラウドサービスプロバイダを供給者とする一種の供給者関係である。したがって,この箇条は,, クラウドサービスカスタマ及びクラウドサービスプロバイダは,さらに,サプライチェーンを形成する, ことがある。クラウドサービスプロバイダがインフラストラクチャ能力型のサービスを提供していると仮, 定する。そのサービス上で,別のクラウドサービスプロバイダがアプリケーション能力型のサービスを提, 供しているとする。この場合,後者のクラウドサービスプロバイダは,前者のクラウドサービスプロバイ, ダに対してはクラウドサービスカスタマであり,自身のクラウドサービスのカスタマに対してはクラウド, サービスプロバイダである。この例は,この規格を,一つの組織にクラウドサービスカスタマ及びクラウ, ドサービスプロバイダの両方の立場で適用する場合を示している。クラウドサービスカスタマ及びクラウ, ドサービスプロバイダは,クラウドサービスの設計及び実装を通してサプライチェーンを形成しているた, 部編成の国際規格ISO/IEC 27036は,製品及びサービスの調達者及び供給者に対して,供給者関係にお, ける情報セキュリティについての詳細な手引を提供している。ISO/IEC 27036-4は,供給者関係における, クラウドサービスの情報セキュリティを直接扱っている。この規格も,クラウドサービスカスタマを調達, クラウドコンピューティング環境においては,クラウドサービスカスタマデータはクラウドサービスに, よって保存され,転送され,処理される。したがって,クラウドサービスカスタマのビジネスプロセスは, クラウドサービスの情報セキュリティに依存し得る。クラウドサービスの管理が十分でない場合,クラウ, ドサービスカスタマは,情報セキュリティの実践に当たり,必要以上の注意を払わなければならない可能, クラウドサービスカスタマは,クラウドサービスプロバイダとの供給者関係に入る前に,クラウドサー, ビスカスタマの情報セキュリティ要求事項とクラウドサービスが提供できる情報セキュリティの実施能力, との間に存在し得るかい離を考慮し,クラウドサービスを選択する必要がある。クラウドサービスカスタ, マが,一旦クラウドサービスを選択したならば,クラウドサービスカスタマの情報セキュリティ要求事項, に適合するように,クラウドサービスの利用を管理することが望ましい。この供給者関係において,クラ, ウドサービスプロバイダは,クラウドサービスカスタマがその情報セキュリティ要求事項を満たすために, 必要な情報及び技術支援を提供することが望ましい。クラウドサービスプロバイダが実施している情報セ, キュリティ管理策があらかじめ設定されたもので,クラウドサービスカスタマに変更できないものであっ, た場合,クラウドサービスカスタマはリスクを低減するために,自らの追加の管理策を実施することが必, クラウドサービスカスタマ及びクラウドサービスプロバイダは,いずれも,情報セキュリティリスクマ, ネジメントプロセスを備えていることが望ましい。情報セキュリティマネジメントシステムにおけるリス, クマネジメントを実施するための要求事項についてはJIS Q 27001を参照し,情報セキュリティリスクマ, ネジメントそのものの更なる指針については,ISO/IEC 27005を参照することを勧める。JIS Q 27001及び, ISO/IEC 27005はJIS Q 31000に整合性がとれており,そのJIS Q 31000はリスクマネジメントの一般的な, 情報セキュリティリスクマネジメントプロセスの一般的な適用性とは対照的に,クラウドコンピューテ, ィングには,その特性(例えば,ネットワーク,システムのスケーラビリティ及び弾力性,資源共有,セ, ルフサービスプロビジョニング,オンデマンド管理,法域を超えたサービスの提供及び管理策の実施につ, いての可視性が限られていること)に由来する,固有の,脅威及びぜい弱性を含むリスク源がある。附属, 書Bに,クラウドサービスの提供及び利用における,これらのリスク源及び関連するリスクについて,情, この規格の箇条5〜箇条18及び附属書Aの管理策及び実施の手引は,クラウドコンピューティング固有, この規格は,JIS Q 27002に類似した形式で構成されている。この規格は,各箇条及び段落においてJIS, Q 27002の該当するテキストの適用を記載することによって,JIS Q 27002の箇条5〜箇条18を包含して, JIS Q 27002で規定する管理目的及び管理策が,追加の情報を必要とすることなく適用できる場合には,, JIS Q 27002の管理目的又は管理策に加えて,管理策を伴う管理目的又はJIS Q 27002の管理目的の配下, の管理策が必要な場合は,これらを“附属書A(規定)クラウドサービス拡張管理策集”に記載している。, JIS Q 27002又はこの規格の附属書Aの管理策が,管理策に関連する追加のクラウドサービス固有の実施, の手引を必要とする場合には,これを“クラウドサービスのための実施の手引”の見出しの下に示す。手, タイプ1は,クラウドサービスカスタマ及びクラウドサービスプロバイダに対し,個別の手引がある場, タイプ2は,クラウドサービスカスタマ及びクラウドサービスプロバイダの両者に対し,同じ手引があ, 考慮が必要となり得る追加の情報は,“クラウドサービスのための関連情報”の見出しの下にこれを示, JIS Q 27002の5.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマのクラウドコンピューティングのための情報セキュリティ方針は,JIS Q, 27002の5.1.1に定めるトピック固有の方針の一つである。組織の情報セキュリティ方針は,その組織の情, 報及びビジネスプロセスを扱う。組織がクラウドサービスを利用する際には,クラウドサービスカスタマ, として,クラウドコンピューティングのための方針をもつことができる。組織の情報は,クラウドコンピ, ューティング環境に保存及び維持することができ,ビジネスプロセスは,クラウドコンピューティング環, 境にて運用することができる。一般的な情報セキュリティ要求事項を最上位の情報セキュリティ方針に定, これとは対照的に,クラウドサービスを提供するための情報セキュリティ方針は,クラウドサービスカ, スタマの情報及びビジネスプロセスを扱うが,クラウドサービスプロバイダの情報及びビジネスプロセス, は扱わない。クラウドサービスの提供のための情報セキュリティ要求事項は,クラウドサービスの利用が, 見込まれる者の情報セキュリティ要求事項を満たすことが望ましい。その結果,クラウドサービスの提供, のための情報セキュリティ要求事項は,クラウドサービスプロバイダの情報及びビジネスプロセスの情報, セキュリティ要求事項と不整合が生じる可能性がある。情報セキュリティ方針の適用範囲は,組織構造又, クラウドコンピューティングにおける仮想化セキュリティには,仮想インスタンスのライフサイクル管, 理,仮想イメージの保存及びアクセス制御,休止状態又はオフラインの仮想インスタンスの扱い,スナッ, プショット,ハイパーバイザの保護,並びにセルフサービスポータルの利用を管理する情報セキュリティ, JIS Q 27002の5.1.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の6.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 責任の割当てを当事者内及び当事者間で決定しても,なお,クラウドサービスカスタマは,サービスを, 利用するという決定に責任を負う。その決定は,クラウドサービスカスタマの組織内で定められた役割及, び責任に従って行うことが望ましい。クラウドサービスプロバイダは,クラウドサービスの合意書の一部, として定める情報セキュリティに対して責任を負う。情報セキュリティの実装及び提供は,クラウドサー, 特に第三者に対応する際に,データの管理責任,アクセス制御,基盤の保守のような事項の,役割並び, に責任の定義及び割当てが曖昧なことによって,事業上の又は法的な紛争が起こる可能性がある。, クラウドサービスの利用中に生成又は変更される,クラウドサービスプロバイダのシステム上のデータ, 及びファイルは,サービスのセキュリティを保った運用,回復及び継続にとって極めて重要であり得る。, 全ての資産の管理責任,並びにバックアップ及び回復の運用のような,これらの資産に関連する運用に責, 任をもつ当事者を,定義し,文書化することが望ましい。そうでなければ,クラウドサービスプロバイダ, は,クラウドサービスカスタマが当然これらの不可欠の業務を実施すると想定し,又はクラウドサービス, カスタマは,クラウドサービスプロバイダが当然これらの不可欠な業務を実施すると想定することによっ, JIS Q 27002の6.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマデータを保存,処理又は伝送する可能性のある地理的位置の情報は,クラウ, JIS Q 27002の6.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.1.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の6.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.1.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の7.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の7.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービス派生データをクラウドサービスカスタマデータに付加することで,情報管理のための, 機能を提供するようなクラウドサービスがある。そのようなクラウドサービス派生データを資産として特, JIS Q 27002の8.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, 資産の管理責任は,利用しているクラウドサービスの分類によって異なる場合がある。PaaS又はIaaS, を利用している場合,アプリケーションソフトウェアはクラウドサービスカスタマに属することになる。, 一方でSaaSの場合,アプリケーションソフトウェアはクラウドサービスプロバイダに属することになる。, JIS Q 27002の8.1.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の8.2.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.3.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.3.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.3.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスプロバイダは,第三者のアイデンティティ管理技術及びアクセス管理技術を,提供す, るクラウドサービス及び関連する管理インタフェースで利用できるように支援することが望ましい。これ, らの技術は,シングルサインオンとして提供することによって,クラウドサービスカスタマの複数のシス, テム及びクラウドサービスにまたがる統合及び利用者のアイデンティティ管理を容易にし得るものであり,, JIS Q 27002の9.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマは,自らの又は第三者のアイデンティティ管理技術及びアクセス管理技術を, JIS Q 27002の9.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドコンピューティング環境では,アクセス制御が必要となる追加の領域がある。クラウドサービ, ス又はクラウドサービスの機能の一部として,ハイパーバイザ管理機能及び管理用コンソールのような機, JIS Q 27002の9.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.4.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の10.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 法域によっては,健康データ,住民登録番号,パスポート番号,運転免許証番号などの特定の種類の情, JIS Q 27002の10.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の11.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.1.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.6に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, セキュリティを保った処分に関する追加の情報が,ISO/IEC 27040に示されている。, JIS Q 27002の11.2.8に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.9に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.1.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の12.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 通知に含めるべき事項の一覧は,合意書(例えば,基本契約書又はSLA)に含めることができる。, JIS Q 27002の12.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスには,クラウドサービスプロバイダの管理下にあって,基本契約書及び関連するSLA, の条件に基づきクラウドサービスカスタマに使用させる資源がある。このような資源には,ソフトウェア,, クラウドサービスにおける弾力性がありスケーラブルで,かつ,オンデマンドの資源割当てによって,, 一般に,サービス全体の容量・能力は高まる。しかしながら,クラウドサービスカスタマは,提供される, 資源に容量・能力の制限があり得ることを認識しておく必要がある。容量・能力の制約の例に,アプリケ, ーションに割り当てられるコアプロセッサの数,利用可能なストレージ容量,及び利用可能なネットワー, この制約は,特定のクラウドサービス又はクラウドサービスカスタマが購入する特定のサービス内容, (subscription)によって異なり得る。クラウドサービスカスタマの要求がこの制約を超える場合,クラウ, クラウドサービスカスタマがクラウドサービスの容量・能力の管理を実施するために,クラウドサービ, スカスタマは,次のような関連する資源使用についての統計情報にアクセスできることが望ましい。, JIS Q 27002の12.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.3.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドコンピューティング環境におけるバックアップの取得に関する責任分担は,曖昧になりがちで, ある。IaaSの場合,バックアップ取得の責任は一般的にはクラウドサービスカスタマ側にある。しかしな, がら,クラウドサービスカスタマは,クラウドコンピューティングシステムにおいて生成される全てのク, ラウドサービスカスタマデータ(例えば,PaaSの開発機能の利用によって生成される実行可能なファイル), 注記 幾つかのレベルのバックアップ及び復旧が,追加費用のサービスとして提供される場合がある。, この場合,クラウドサービスカスタマは,バックアップ取得の対象及び時点を選ぶことができ, JIS Q 27002の12.4.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, イベントログ取得に関するクラウドサービスカスタマ及びクラウドサービスプロバイダの責任は,利用, しているクラウドサービスの種類に応じて異なる。例えば,IaaSでは,クラウドサービスプロバイダのロ, グ取得の責任はクラウドコンピューティングの基盤を構成する要素に関するログ取得に限られる場合があ, り,クラウドサービスカスタマが自らの仮想マシン及びアプリケーションのイベントログ取得に責任を負, JIS Q 27002の12.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマとクラウドサービスプロバイダとの間の責任の割当て(6.1.1を参照)は,ク, ラウドサービスに関する特権的な操作を対象としていることが望ましい。特権的な操作の誤った利用に対, する予防処置及び是正処置を支援するために,特権的な操作の利用を監視し,また,ログを取得する必要, JIS Q 27002の12.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマのシステムと,クラウドサービスカスタマが利用するクラウドサービスを実, 行しているクラウドサービスプロバイダのシステムとの間のクロックの同期を考慮する必要がある。この, ような同期がなされない場合,クラウドサービスカスタマのシステムにおけるイベントとクラウドサービ, JIS Q 27002の12.5.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の12.6.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の12.6.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.7.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の13.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 法令及び規制によって,ネットワークの分離又はネットワークトラフィックの分離が求められることが, JIS Q 27002の13.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 守秘義務契約を結んでいるクラウドサービスカスタマ又は潜在的なクラウドサービスカスタマに提供す, るクラウドサービスに関係するため,情報セキュリティ管理策に関して,その実施の詳細については,開, JIS Q 27002に定める14.1.2の管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスプロバイダのセキュリティに配慮した開発の手順及び実践は,SaaSのクラウドサービ, JIS Q 27002の14.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, 14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー, JIS Q 27002の14.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の14.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.6に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の14.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.8に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.9に定める管理策及び付随する実施の手引を適用する。, クラウドコンピューティングにおいては,システムの受入れ試験の手引は,クラウドサービスカスタマ, JIS Q 27002の14.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の15.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.2.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の15.2.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の16.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の16.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, この仕組みでは,手続を規定するだけでなく,クラウドサービスカスタマ及びクラウドサービスプロバ, イダの両者の連絡先電話番号,電子メールアドレス,サービス時間などの必須の情報も提示することが望, 情報セキュリティ事象は,クラウドサービスカスタマ及びクラウドサービスプロバイダのいずれも検知, することがある。そのため,クラウドコンピューティングにおいては,事象を検知した当事者が他の当事, JIS Q 27002の16.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の16.1.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマ及びクラウドサービスプロバイダは,クラウドコンピューティング環境内で, 生成される,ディジタル証拠となり得る情報及びその他の情報の提出要求に対応する手続について合意す, JIS Q 27002の17.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の18.1.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドサービスの提供及び利用に適用される法的及び規制の要求事項は,特に処理,保存及び通信の, 機能が地理的に分散し,複数の法域が関係し得る場合に,これを特定することが望ましい。, 法的又は契約上のいずれであれ,順守の要求事項への対応は,クラウドサービスカスタマにその責任が, JIS Q 27002の18.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, ISO/IEC 27018[Code of practice for protection of personally identifiable information (PII) in public clouds, acting as PII processors]は,この話題に追加の情報を提供する。, JIS Q 27002の18.1.5に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, JIS Q 27002の18.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の18.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, この附属書は,クラウドサービスのための拡張管理策集として,追加の管理目的,管理策及び実施の手, 引を記載している。管理策の管理目的がJIS Q 27002と同じ場合は管理目的の再載を省略した。, JIS Q 27001に適合するISMSにおいてこれらの管理策を実施しようとする組織は,この附属書に記載さ, 目的 情報セキュリティマネジメントに関してクラウドサービスカスタマとクラウドサービスプロバイ, CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担, クラウドサービスの利用に関して共有し分担する情報セキュリティの役割を遂行する責任は,クラウド, サービスカスタマ及びクラウドサービスプロバイダのそれぞれにおいて特定の関係者に割り当て,文書化, クラウドコンピューティングでは,役割及び責任は,典型的にはクラウドサービスカスタマの従業員と, クラウドサービスプロバイダの従業員とに分けられる。役割及び責任の割当てにおいては,クラウドサー, ビスプロバイダが管理者となるクラウドサービスカスタマデータ及びアプリケーションを考慮することが, クラウドサービスプロバイダの施設にあるクラウドサービスカスタマの資産は,クラウドサービスの合, 意の終了時に,時機を失せずに除去されるか又は必要な場合には返却されることが望ましい。, CLD.9.5 共有する仮想環境におけるクラウドサービスカスタマデータのアクセス制御, 目的 クラウドコンピューティングにおける共有する仮想環境利用時の情報セキュリティリスクを低減, クラウドサービス上で稼動するクラウドサービスカスタマの仮想環境は,他のクラウドサービスカスタ, − ソフトウェア仮想化機能が仮想環境(例えば,仮想オペレーティングシステム)を提供する場合は,, ネットワーク及びストレージ構成を仮想化することができる。また,ソフトウェア仮想化環境でのク, ラウドサービスカスタマの分離は,ソフトウェアの分離機能を用いて設計し実装することができる。, − クラウドサービスカスタマの情報がクラウドサービスの“メタデータテーブル”とともに物理的共有, ストレージ領域に保存されている場合は,他のクラウドサービスカスタマとの情報の分離は“メタデ, ISO/IEC 27040(Information technology−Security techniques−Storage security)に記載されている,セキュ, アマルチテナンシ及び関連する手引は,クラウドコンピューティング環境に適用することができる。, クラウドコンピューティング環境の仮想マシンは,事業上のニーズを満たすために要塞化することが望, クラウドサービスカスタマ及びクラウドサービスプロバイダは,仮想マシンを設定する際には,適切な, 側面からの要塞化(例えば,必要なポート,プロトコル及びサービスだけを有効とする。)及び利用する, 各仮想マシンへの適切な技術手段(例えば,マルウェア対策,ログ取得)の実施を確実にすることが望ま, クラウドコンピューティング環境の管理操作のための手順は,これを定義し,文書化し,監視すること, クラウドコンピューティングには,迅速な提供及び管理並びにオンデマンドセルフサービスという利点, がある。これらの操作は,多くの場合,クラウドサービスカスタマ及びクラウドサービスプロバイダの実, 務管理者が行う。これらの重要な操作への人間の介入は重大な情報セキュリティインシデントを引き起こ, す可能性があるため,操作を保護するための仕組みの導入を検討することが望ましく,必要に応じてこれ, を定義し実施することが望ましい。重大なインシデントの例としては,多数の仮想サーバの消去若しくは, クラウドサービスカスタマは,クラウドサービスカスタマが利用するクラウドサービスの操作の特定の, 仮想ネットワークを設定する際には,クラウドサービスプロバイダのネットワークセキュリティ方針に, 基づいて,仮想ネットワークと物理ネットワークとの間の設定の整合性を検証することが望ましい。, 仮想化技術を基にして設定されたクラウドコンピューティング環境では,仮想ネットワークは物理ネッ, トワーク上の仮想基盤上に設定される。このような環境では,ネットワーク方針の矛盾は,システムの停, 注記 クラウドサービスの種類によって,仮想ネットワークを設定する責任は,クラウドサービスカ, この規格で提供する情報セキュリティ管理策の適切な利用は,組織の情報セキュリティリスクアセスメ, ント及び対応に依存する。これらは重要な主題であるが,この規格は情報セキュリティリスクアセスメン, ト及び対応の取組みに焦点を当てたものではない。次のリストは,クラウドサービスの提供及び利用にお, けるリスク源及びリスクの説明を含む参考文献のリストである。リスク源及びリスクはサービスの種類及, び性質並びにクラウドコンピューティングの新技術に応じて変化することに留意することが望ましい。こ.
H��TMk1����.�2�oA�I ���C��^�������7��NB( �Ȼ+i��{o�]��j|��%X�j�# ���1/���/�wsv���+.�}���%�����/���m��PֲvN1;�,�88m�2^{�ɨ���#�!��!�8�k��x �Tɋ��Kt����6g�[V�P���kלu�A�݈�luN�W��Q�Sђ������������x�=6ߺ�YMA�ً|�C��7E�\U��J�S\�K����Bʀe��K�R�#�����̢��!+�\,��8O���2Y8�D:�jx�q�D��Ƽ����n���ѫg��wuwOj�2.������KP�&��Dq��G� O ��yFuO�p�qc0� Mj�N>��I48���dW����loP�H��iH�Z �T[����J3���@� �>�цht:'�f�ZBg��� nH���c�÷��2����I�������}w��mP��Sc8����?�:Ԛ: Z�cA+��ƒ��R����PG���. 0000001076 00000 n H���c�a �W۶m۶m��ֶm۶m۶�N�?^'�ٛ��Kf_�����g�o ` h d l b j f n �-�[(��na��.�]x�v�"�#2� SPRING Singapore 2012,Annex A: Virtualisation Security Risk Assessment of Singapore Technical Reference. A��"���bLq�SRP�) �a�
%PDF-1.4 %����

[19] ISACA,Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives. 0000002580 00000 n 0000002961 00000 n

Australian Government Information Management Office 2013,Summary of Checkpoints in: Privacy and Cloud. http://www.asd.gov.au/publications/protect/Cloud̲Computing̲Security̲for̲Cloud̲Service̲Providers.pdf. 特徴を示すことが多い。 0000003509 00000 n security management systems −Requirements(IDT) [5] JIS Q 27002 0 0000012254 00000 n 2012年. n�r[pGpא{���<4�!�Oy*xf�sS^�ҐW��6�)o y� � ����|v�/�՗���|�`?�x���~�1뷧�#� !��� LEA%�2T��*��T�j05���:P]���>� j�4bCM���fLs��R�JКi��e�1��LGA'Ag�ԕ��t�z0=��ސ�G�WЏ� ` [14] NIST 2009,Effectively and Securely Using the Cloud Computing Paradigm. H���yTSw�oɞ����c [���5la�QIBH�ADED���2�mtFOE�.�c��}���0��8�׎�8G�Ng�����9�w���߽��� �'����0 �֠�J��b� 0000011567 00000 n 0000018860 00000 n 8. http://www.finance.gov.au/files/2013/02/privacy-and-cloud-computing-for-australian-government-agencies-v1.1.pdf. 0000002451 00000 n
八戸 ウルスラ 事件 14, Tokyo Speakeasy ラジオ 4, 山本 キッド 晩年 30, Ske48 10期生 辞退 36, トップシークレット デモカー 販売 10, アマンダ メニュー カロリー 6, ぐるナイ 平野紫耀 再放送 24, オイル 野田秀樹 解説 4, 伊良部 嫁 なんj 9, スカイリム 種族 人気 19, 女性 クライマー 体 脂肪 率 8, プジョー3008 エアコン 効かない 10, 赤 白 キャラクター 4, ウルトラマン ティガ 客演 7, ボカロp Youtube 収入 29, 明治学院大学 ジャニーズ 2018 40, 補導 学校 嘘 14, ベータ版 正式版 英語 5, ポケモン 金銀 アニメ Bgm 9, 青い海の伝説 最終回 感想 5, Canon Lbp661c 説明書 6, ロシア 名前 男 31, 勝どき ビュータワー 芸能人 10, 竹野内豊 実家 茨城 20, セルフィコレクション Switch 評判 38, ラファエル Fe 聖人 16, Posh Boy 意味 10, Hamzy 食べ方 汚い 19, 質問箱 メッセージ 匿名じゃない 10, 工事写真 ソフト 比較 4, アゼルバイジャン 金融 カンファレンス 9, 2020年 再婚 占い 無料 10, 食品 飲料 違い 28, 魔法戦隊マジレンジャー 動画 フリドラ 17, D 02k Wiki 7, Zip 圧縮率 計算 15, がっこうぐらし 大学編 つまらない 41, ディズニーストア エコバッグ スティッチ 12, ポケモンgo アーマードミュウツー 交換 36, 主張 根拠 例 5, 麻雀 最高得点 プロ 37, 中居 ローラ 金スマ 4, 忍べ 右左 エ 門 再放送 6, 仕事 3年目 辛い 6, テリー伊藤 死亡 メール 6, サザエさん 視聴率 平均 4, 松崎ナオ 松崎 しげる 16, ジュノ 猫 名前 28, 渋谷 新橋 バス 06 5, Pixiv 小説 コナン夢 ギャグ 14, ゴゴスマ プレゼント キーワード 6, Company Optional 意味 33, 丸亀製麺 つゆ 販売 4, ハナミズキ 楽譜 リコーダー 12, 欅坂46 センター なぜ笑わない 7, ジョーズ Tシャツ Gu 4, 歌舞伎役者 演技 うまい 12, るろうに剣心 強さ議論 63 33, リカルド ホンダ 後悔 9, Autodesk アカウント 製品 登録 6, 世界にいいね つぶやき英語 エリカ 19, 真っ暗 な 空 類語 10, ウィッチャー3 難易度 経験値 14, ø 出し方 アンドロイド 13, Pso2 ドゥームブレイク2 掘り 18, 湯婆婆 銭婆 違い 22, ドラクエウォーク 回復スポット 効率 4, Windows10 1903 システムフォント 変更 4, 創味シャンタン Cm 歴代 6, 蚊 がい なくなる スプレーb 27, さんま御殿 20190611 動画 4, Kimi Ni Todoke Movie 6, 総合商社 ハル 打ち切り 6, 北陸新幹線 混雑状況 自由席 リアルタイム 11, 新入社員 日報 書けない 7, Qoo10 アプリ クーポン 併用 16, にの つく ことわざ 4, オートバックス ホーン交換 工賃 11, 我 が強い 自己 Pr 4, シスター 韓国 現在 16, Teams ブラウザ版 画面共有 10, さんまの東大方程式 大津くん 歌 5, 鶴島のあ インスタ 公式 8, 凪のお暇 46話 ネタバレ 4, Restore Purchases 意味 24, 64 神ゲー 多い 26, グランデ 連戦 編成 23, 銃 メーカー ランキング 8, 東福岡サッカー 監督 不祥事 10, ガキの使い 動画 2020年1月12日 10, 小説 お題 ファンタジー 5, 魔界塔士sa Ga ストーリー 36, Pso2 仮面 緊急 38, 仮説 演繹 帰納 10, へ ず ま りゅう ガチギレ 11, ナルシスト 英語 スラング 7, Cloudy Heart 歌詞 12, Cv 固定 長さ 23, ウィッチャー3 グリフィン流派の強化4 バグ 9, 泣きの 十 六 意味 13, " />

jis q 27002 脅威 5


10月 10 0000003459 00000 n 1253 28 Hong Kong OGCIO 2013,Security & Privacy Checklist for Cloud Service Providers in Handling Personal. [15] ENISA 2009,Cloud Computing Benefits, risks and recommendations for information security. �x������- �����[��� 0����}��y)7ta�����>j���T�7���@���tܛ�`q�2��ʀ��&���6�Z�L�Ą?�_��yxg)˔z���çL�U���*�u�Sk�Se�O4?׸�c����.� � �� R� ߁��-��2�5������ ��S�>ӣV����d�`r��n~��Y�&�+`��;�A4�� ���A9� =�-�t��l�`;��~p���� �Gp| ��[`L��`� "A�YA�+��Cb(��R�,� *�T�2B-�

附属書B(参考)クラウドコンピューティングの情報セキュリティリスクに関する参考文献  38, この規格は,工業標準化法第12条第1項の規定に基づき,一般社団法人情報処理学会(IPSJ)及び一般, 財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格を制定すべきとの申出があり,, この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意, を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実, Information technology-Security techniques-Code of practice for, information security controls based on ISO/IEC 27002 for cloud services, この規格は,2015年に第1版として発行されたISO/IEC 27017を基に,技術的内容及び構成を変更する, この規格で規定する指針は,JIS Q 27002に規定する指針に追加し,これを補うものである。, 特に,この規格は,クラウドサービスカスタマ及びクラウドサービスプロバイダのための情報セキュリ, ティ管理策の実施を支援する指針を提示する。ある指針は管理策を実施するクラウドサービスカスタマの, ためのものであり,他の指針はクラウドサービスプロバイダがそれらの管理策の実施を支援するためのも, のである。適切な情報セキュリティ管理策の選択及び提示されている実施の手引の適用は,リスクアセス, メント及び法的,契約上,規制又はその他のクラウド分野固有の情報セキュリティ要求事項に依存する。, この規格は,次の事項を提供することによって,クラウドサービスの提供及び利用に適用できる情報セ, この規格は,管理策及び実施の手引を,クラウドサービスプロバイダ及びクラウドサービスカスタマの, ISO/IEC 27017:2015,Information technology−Security techniques−Code of practice for information, security controls based on ISO/IEC 27002 for cloud services(IDT), なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ, 次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの, 引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。), は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。)を適用する。, JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語, 注記 対応国際規格:ISO/IEC 27000,Information technology−Security techniques−Information, security management systems−Overview and vocabulary(MOD), JIS Q 27002:2014 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範, 注記 対応国際規格:ISO/IEC 27002:2013,Information technology−Security techniques−Code of, practice for information security controls(IDT), 注記 対応国際規格:ISO/IEC 17788,Information technology−Cloud computing−Overview and, ISO/IEC 17789,Information technology−Cloud computing−Reference architecture, この規格で用いる用語及び定義は,JIS Q 27000,JIS X 9401及びISO/IEC 17789によるほか,次による。, 転送,保存若しくはその他の方法で処理される保護されたデータの,偶発的若しくは不法な破壊,損失,, 改ざん,認可されない開示又はその保護されたデータへのアクセスにつながる情報セキュリティの侵害。, データ侵害から防御するために情報セキュリティ管理策を使用し,適切なガバナンスに対するこれらの, 注記1 セキュアマルチテナンシは,それぞれのテナントのリスクがシングルテナント環境の場合の, 注記2 特に強いセキュリティの求められる環境においては,テナントのアイデンティティですら秘, 注記 仮想マシンは,仮想ハードウェア,仮想ディスク,及び関連するメタデータを全てカプセル化, したものである。仮想マシンは,ハイパーバイザと呼ばれるソフトウェア層によって,基盤と, IaaS インフラストラクチャアズアサービス(Infrastructure as a Service), PaaS プラットフォームアズアサービス(Platform as a Service), 個人を特定できる情報(Personally Identifiable Information), SaaS ソフトウェアアズアサービス(Software as a Service), クラウドコンピューティングの利用によって,コンピューティング資源の技術的な設計,運用及びガバ, ナンスに重大な変化が生じ,それによって組織が情報セキュリティリスクを評価し低減する方法も変化し, た。この規格は,クラウドサービス固有の情報セキュリティの脅威及びリスクに対処するため,JIS Q 27002, に基づきクラウドサービス固有の追加の実施の手引を提供するとともに,追加の管理策を提供する。, この規格の読者は,管理策,実施の手引及び関連情報について,JIS Q 27002の箇条5〜箇条18を参照, することが望ましい。JIS Q 27002は汎用的に適用可能であるため,その管理策,実施の手引及び関連情報, の多くは,組織の一般的な場面及びクラウドコンピューティングの場面のいずれにも適用される。例えば,, JIS Q 27002の6.1.2(職務の分離)はクラウドサービスプロバイダであるか否かを問わず適用できる管理, 策である。また,クラウドサービスカスタマにおけるクラウドサービス実務管理者とクラウドサービスユ, ーザとの分離など,クラウドサービスカスタマは,同じ管理策からクラウド環境における職務の分離の要, JIS Q 27002の拡張として,この規格は,さらに,クラウドサービスの技術的及び運用上の特徴に伴うリ, スク(附属書B参照)を低減するための,クラウドサービス固有の管理策,実施の手引及び関連情報(4.5, 参照)を提供する。クラウドサービスカスタマ及びクラウドサービスプロバイダは,JIS Q 27002及びこの, 規格を,管理策及び実施の手引を選択するために参照し,必要であればその他の管理策を追加することも, できる。このプロセスは,クラウドサービスが利用又は提供される組織及び事業の状況における,情報セ, キュリティリスクアセスメント及びリスク対応の実施によって行うことができる(4.4参照)。, JIS Q 27002の箇条15(供給者関係)は,供給者関係における情報セキュリティの管理のための管理策,, 実施の手引及び関連情報を提供する。クラウドサービスの提供及び利用は,クラウドサービスカスタマを, 調達者,クラウドサービスプロバイダを供給者とする一種の供給者関係である。したがって,この箇条は,, クラウドサービスカスタマ及びクラウドサービスプロバイダは,さらに,サプライチェーンを形成する, ことがある。クラウドサービスプロバイダがインフラストラクチャ能力型のサービスを提供していると仮, 定する。そのサービス上で,別のクラウドサービスプロバイダがアプリケーション能力型のサービスを提, 供しているとする。この場合,後者のクラウドサービスプロバイダは,前者のクラウドサービスプロバイ, ダに対してはクラウドサービスカスタマであり,自身のクラウドサービスのカスタマに対してはクラウド, サービスプロバイダである。この例は,この規格を,一つの組織にクラウドサービスカスタマ及びクラウ, ドサービスプロバイダの両方の立場で適用する場合を示している。クラウドサービスカスタマ及びクラウ, ドサービスプロバイダは,クラウドサービスの設計及び実装を通してサプライチェーンを形成しているた, 部編成の国際規格ISO/IEC 27036は,製品及びサービスの調達者及び供給者に対して,供給者関係にお, ける情報セキュリティについての詳細な手引を提供している。ISO/IEC 27036-4は,供給者関係における, クラウドサービスの情報セキュリティを直接扱っている。この規格も,クラウドサービスカスタマを調達, クラウドコンピューティング環境においては,クラウドサービスカスタマデータはクラウドサービスに, よって保存され,転送され,処理される。したがって,クラウドサービスカスタマのビジネスプロセスは, クラウドサービスの情報セキュリティに依存し得る。クラウドサービスの管理が十分でない場合,クラウ, ドサービスカスタマは,情報セキュリティの実践に当たり,必要以上の注意を払わなければならない可能, クラウドサービスカスタマは,クラウドサービスプロバイダとの供給者関係に入る前に,クラウドサー, ビスカスタマの情報セキュリティ要求事項とクラウドサービスが提供できる情報セキュリティの実施能力, との間に存在し得るかい離を考慮し,クラウドサービスを選択する必要がある。クラウドサービスカスタ, マが,一旦クラウドサービスを選択したならば,クラウドサービスカスタマの情報セキュリティ要求事項, に適合するように,クラウドサービスの利用を管理することが望ましい。この供給者関係において,クラ, ウドサービスプロバイダは,クラウドサービスカスタマがその情報セキュリティ要求事項を満たすために, 必要な情報及び技術支援を提供することが望ましい。クラウドサービスプロバイダが実施している情報セ, キュリティ管理策があらかじめ設定されたもので,クラウドサービスカスタマに変更できないものであっ, た場合,クラウドサービスカスタマはリスクを低減するために,自らの追加の管理策を実施することが必, クラウドサービスカスタマ及びクラウドサービスプロバイダは,いずれも,情報セキュリティリスクマ, ネジメントプロセスを備えていることが望ましい。情報セキュリティマネジメントシステムにおけるリス, クマネジメントを実施するための要求事項についてはJIS Q 27001を参照し,情報セキュリティリスクマ, ネジメントそのものの更なる指針については,ISO/IEC 27005を参照することを勧める。JIS Q 27001及び, ISO/IEC 27005はJIS Q 31000に整合性がとれており,そのJIS Q 31000はリスクマネジメントの一般的な, 情報セキュリティリスクマネジメントプロセスの一般的な適用性とは対照的に,クラウドコンピューテ, ィングには,その特性(例えば,ネットワーク,システムのスケーラビリティ及び弾力性,資源共有,セ, ルフサービスプロビジョニング,オンデマンド管理,法域を超えたサービスの提供及び管理策の実施につ, いての可視性が限られていること)に由来する,固有の,脅威及びぜい弱性を含むリスク源がある。附属, 書Bに,クラウドサービスの提供及び利用における,これらのリスク源及び関連するリスクについて,情, この規格の箇条5〜箇条18及び附属書Aの管理策及び実施の手引は,クラウドコンピューティング固有, この規格は,JIS Q 27002に類似した形式で構成されている。この規格は,各箇条及び段落においてJIS, Q 27002の該当するテキストの適用を記載することによって,JIS Q 27002の箇条5〜箇条18を包含して, JIS Q 27002で規定する管理目的及び管理策が,追加の情報を必要とすることなく適用できる場合には,, JIS Q 27002の管理目的又は管理策に加えて,管理策を伴う管理目的又はJIS Q 27002の管理目的の配下, の管理策が必要な場合は,これらを“附属書A(規定)クラウドサービス拡張管理策集”に記載している。, JIS Q 27002又はこの規格の附属書Aの管理策が,管理策に関連する追加のクラウドサービス固有の実施, の手引を必要とする場合には,これを“クラウドサービスのための実施の手引”の見出しの下に示す。手, タイプ1は,クラウドサービスカスタマ及びクラウドサービスプロバイダに対し,個別の手引がある場, タイプ2は,クラウドサービスカスタマ及びクラウドサービスプロバイダの両者に対し,同じ手引があ, 考慮が必要となり得る追加の情報は,“クラウドサービスのための関連情報”の見出しの下にこれを示, JIS Q 27002の5.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマのクラウドコンピューティングのための情報セキュリティ方針は,JIS Q, 27002の5.1.1に定めるトピック固有の方針の一つである。組織の情報セキュリティ方針は,その組織の情, 報及びビジネスプロセスを扱う。組織がクラウドサービスを利用する際には,クラウドサービスカスタマ, として,クラウドコンピューティングのための方針をもつことができる。組織の情報は,クラウドコンピ, ューティング環境に保存及び維持することができ,ビジネスプロセスは,クラウドコンピューティング環, 境にて運用することができる。一般的な情報セキュリティ要求事項を最上位の情報セキュリティ方針に定, これとは対照的に,クラウドサービスを提供するための情報セキュリティ方針は,クラウドサービスカ, スタマの情報及びビジネスプロセスを扱うが,クラウドサービスプロバイダの情報及びビジネスプロセス, は扱わない。クラウドサービスの提供のための情報セキュリティ要求事項は,クラウドサービスの利用が, 見込まれる者の情報セキュリティ要求事項を満たすことが望ましい。その結果,クラウドサービスの提供, のための情報セキュリティ要求事項は,クラウドサービスプロバイダの情報及びビジネスプロセスの情報, セキュリティ要求事項と不整合が生じる可能性がある。情報セキュリティ方針の適用範囲は,組織構造又, クラウドコンピューティングにおける仮想化セキュリティには,仮想インスタンスのライフサイクル管, 理,仮想イメージの保存及びアクセス制御,休止状態又はオフラインの仮想インスタンスの扱い,スナッ, プショット,ハイパーバイザの保護,並びにセルフサービスポータルの利用を管理する情報セキュリティ, JIS Q 27002の5.1.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の6.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 責任の割当てを当事者内及び当事者間で決定しても,なお,クラウドサービスカスタマは,サービスを, 利用するという決定に責任を負う。その決定は,クラウドサービスカスタマの組織内で定められた役割及, び責任に従って行うことが望ましい。クラウドサービスプロバイダは,クラウドサービスの合意書の一部, として定める情報セキュリティに対して責任を負う。情報セキュリティの実装及び提供は,クラウドサー, 特に第三者に対応する際に,データの管理責任,アクセス制御,基盤の保守のような事項の,役割並び, に責任の定義及び割当てが曖昧なことによって,事業上の又は法的な紛争が起こる可能性がある。, クラウドサービスの利用中に生成又は変更される,クラウドサービスプロバイダのシステム上のデータ, 及びファイルは,サービスのセキュリティを保った運用,回復及び継続にとって極めて重要であり得る。, 全ての資産の管理責任,並びにバックアップ及び回復の運用のような,これらの資産に関連する運用に責, 任をもつ当事者を,定義し,文書化することが望ましい。そうでなければ,クラウドサービスプロバイダ, は,クラウドサービスカスタマが当然これらの不可欠の業務を実施すると想定し,又はクラウドサービス, カスタマは,クラウドサービスプロバイダが当然これらの不可欠な業務を実施すると想定することによっ, JIS Q 27002の6.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマデータを保存,処理又は伝送する可能性のある地理的位置の情報は,クラウ, JIS Q 27002の6.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.1.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の6.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の6.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.1.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の7.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の7.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の7.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービス派生データをクラウドサービスカスタマデータに付加することで,情報管理のための, 機能を提供するようなクラウドサービスがある。そのようなクラウドサービス派生データを資産として特, JIS Q 27002の8.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, 資産の管理責任は,利用しているクラウドサービスの分類によって異なる場合がある。PaaS又はIaaS, を利用している場合,アプリケーションソフトウェアはクラウドサービスカスタマに属することになる。, 一方でSaaSの場合,アプリケーションソフトウェアはクラウドサービスプロバイダに属することになる。, JIS Q 27002の8.1.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の8.2.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.3.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の8.3.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の8.3.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスプロバイダは,第三者のアイデンティティ管理技術及びアクセス管理技術を,提供す, るクラウドサービス及び関連する管理インタフェースで利用できるように支援することが望ましい。これ, らの技術は,シングルサインオンとして提供することによって,クラウドサービスカスタマの複数のシス, テム及びクラウドサービスにまたがる統合及び利用者のアイデンティティ管理を容易にし得るものであり,, JIS Q 27002の9.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマは,自らの又は第三者のアイデンティティ管理技術及びアクセス管理技術を, JIS Q 27002の9.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドコンピューティング環境では,アクセス制御が必要となる追加の領域がある。クラウドサービ, ス又はクラウドサービスの機能の一部として,ハイパーバイザ管理機能及び管理用コンソールのような機, JIS Q 27002の9.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の9.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の9.4.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の10.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 法域によっては,健康データ,住民登録番号,パスポート番号,運転免許証番号などの特定の種類の情, JIS Q 27002の10.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の11.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.1.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.5に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.1.6に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.3に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の11.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, セキュリティを保った処分に関する追加の情報が,ISO/IEC 27040に示されている。, JIS Q 27002の11.2.8に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の11.2.9に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.1.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の12.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 通知に含めるべき事項の一覧は,合意書(例えば,基本契約書又はSLA)に含めることができる。, JIS Q 27002の12.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスには,クラウドサービスプロバイダの管理下にあって,基本契約書及び関連するSLA, の条件に基づきクラウドサービスカスタマに使用させる資源がある。このような資源には,ソフトウェア,, クラウドサービスにおける弾力性がありスケーラブルで,かつ,オンデマンドの資源割当てによって,, 一般に,サービス全体の容量・能力は高まる。しかしながら,クラウドサービスカスタマは,提供される, 資源に容量・能力の制限があり得ることを認識しておく必要がある。容量・能力の制約の例に,アプリケ, ーションに割り当てられるコアプロセッサの数,利用可能なストレージ容量,及び利用可能なネットワー, この制約は,特定のクラウドサービス又はクラウドサービスカスタマが購入する特定のサービス内容, (subscription)によって異なり得る。クラウドサービスカスタマの要求がこの制約を超える場合,クラウ, クラウドサービスカスタマがクラウドサービスの容量・能力の管理を実施するために,クラウドサービ, スカスタマは,次のような関連する資源使用についての統計情報にアクセスできることが望ましい。, JIS Q 27002の12.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.3.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドコンピューティング環境におけるバックアップの取得に関する責任分担は,曖昧になりがちで, ある。IaaSの場合,バックアップ取得の責任は一般的にはクラウドサービスカスタマ側にある。しかしな, がら,クラウドサービスカスタマは,クラウドコンピューティングシステムにおいて生成される全てのク, ラウドサービスカスタマデータ(例えば,PaaSの開発機能の利用によって生成される実行可能なファイル), 注記 幾つかのレベルのバックアップ及び復旧が,追加費用のサービスとして提供される場合がある。, この場合,クラウドサービスカスタマは,バックアップ取得の対象及び時点を選ぶことができ, JIS Q 27002の12.4.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, イベントログ取得に関するクラウドサービスカスタマ及びクラウドサービスプロバイダの責任は,利用, しているクラウドサービスの種類に応じて異なる。例えば,IaaSでは,クラウドサービスプロバイダのロ, グ取得の責任はクラウドコンピューティングの基盤を構成する要素に関するログ取得に限られる場合があ, り,クラウドサービスカスタマが自らの仮想マシン及びアプリケーションのイベントログ取得に責任を負, JIS Q 27002の12.4.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.4.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマとクラウドサービスプロバイダとの間の責任の割当て(6.1.1を参照)は,ク, ラウドサービスに関する特権的な操作を対象としていることが望ましい。特権的な操作の誤った利用に対, する予防処置及び是正処置を支援するために,特権的な操作の利用を監視し,また,ログを取得する必要, JIS Q 27002の12.4.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマのシステムと,クラウドサービスカスタマが利用するクラウドサービスを実, 行しているクラウドサービスプロバイダのシステムとの間のクロックの同期を考慮する必要がある。この, ような同期がなされない場合,クラウドサービスカスタマのシステムにおけるイベントとクラウドサービ, JIS Q 27002の12.5.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の12.6.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の12.6.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の12.7.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の13.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 法令及び規制によって,ネットワークの分離又はネットワークトラフィックの分離が求められることが, JIS Q 27002の13.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の13.2.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, 守秘義務契約を結んでいるクラウドサービスカスタマ又は潜在的なクラウドサービスカスタマに提供す, るクラウドサービスに関係するため,情報セキュリティ管理策に関して,その実施の詳細については,開, JIS Q 27002に定める14.1.2の管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスプロバイダのセキュリティに配慮した開発の手順及び実践は,SaaSのクラウドサービ, JIS Q 27002の14.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, 14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー, JIS Q 27002の14.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の14.2.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.6に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の14.2.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.8に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の14.2.9に定める管理策及び付随する実施の手引を適用する。, クラウドコンピューティングにおいては,システムの受入れ試験の手引は,クラウドサービスカスタマ, JIS Q 27002の14.3.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の15.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の15.2.1に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の15.2.2に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の16.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の16.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, この仕組みでは,手続を規定するだけでなく,クラウドサービスカスタマ及びクラウドサービスプロバ, イダの両者の連絡先電話番号,電子メールアドレス,サービス時間などの必須の情報も提示することが望, 情報セキュリティ事象は,クラウドサービスカスタマ及びクラウドサービスプロバイダのいずれも検知, することがある。そのため,クラウドコンピューティングにおいては,事象を検知した当事者が他の当事, JIS Q 27002の16.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.4に定める管理策及び付随する実施の手引を適用する。, JIS Q 27002の16.1.5に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.6に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の16.1.7に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, クラウドサービスカスタマ及びクラウドサービスプロバイダは,クラウドコンピューティング環境内で, 生成される,ディジタル証拠となり得る情報及びその他の情報の提出要求に対応する手続について合意す, JIS Q 27002の17.1.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の17.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の18.1.1に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, クラウドサービスの提供及び利用に適用される法的及び規制の要求事項は,特に処理,保存及び通信の, 機能が地理的に分散し,複数の法域が関係し得る場合に,これを特定することが望ましい。, 法的又は契約上のいずれであれ,順守の要求事項への対応は,クラウドサービスカスタマにその責任が, JIS Q 27002の18.1.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.1.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.1.4に定める管理策並びに付随する実施の手引及び関連情報を適用する。, ISO/IEC 27018[Code of practice for protection of personally identifiable information (PII) in public clouds, acting as PII processors]は,この話題に追加の情報を提供する。, JIS Q 27002の18.1.5に定める管理策及び付随する実施の手引を適用する。次のクラウドサービス固有の, JIS Q 27002の18.2.1に定める管理策並びに付随する実施の手引及び関連情報を適用する。次のクラウド, JIS Q 27002の18.2.2に定める管理策並びに付随する実施の手引及び関連情報を適用する。, JIS Q 27002の18.2.3に定める管理策並びに付随する実施の手引及び関連情報を適用する。, この附属書は,クラウドサービスのための拡張管理策集として,追加の管理目的,管理策及び実施の手, 引を記載している。管理策の管理目的がJIS Q 27002と同じ場合は管理目的の再載を省略した。, JIS Q 27001に適合するISMSにおいてこれらの管理策を実施しようとする組織は,この附属書に記載さ, 目的 情報セキュリティマネジメントに関してクラウドサービスカスタマとクラウドサービスプロバイ, CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担, クラウドサービスの利用に関して共有し分担する情報セキュリティの役割を遂行する責任は,クラウド, サービスカスタマ及びクラウドサービスプロバイダのそれぞれにおいて特定の関係者に割り当て,文書化, クラウドコンピューティングでは,役割及び責任は,典型的にはクラウドサービスカスタマの従業員と, クラウドサービスプロバイダの従業員とに分けられる。役割及び責任の割当てにおいては,クラウドサー, ビスプロバイダが管理者となるクラウドサービスカスタマデータ及びアプリケーションを考慮することが, クラウドサービスプロバイダの施設にあるクラウドサービスカスタマの資産は,クラウドサービスの合, 意の終了時に,時機を失せずに除去されるか又は必要な場合には返却されることが望ましい。, CLD.9.5 共有する仮想環境におけるクラウドサービスカスタマデータのアクセス制御, 目的 クラウドコンピューティングにおける共有する仮想環境利用時の情報セキュリティリスクを低減, クラウドサービス上で稼動するクラウドサービスカスタマの仮想環境は,他のクラウドサービスカスタ, − ソフトウェア仮想化機能が仮想環境(例えば,仮想オペレーティングシステム)を提供する場合は,, ネットワーク及びストレージ構成を仮想化することができる。また,ソフトウェア仮想化環境でのク, ラウドサービスカスタマの分離は,ソフトウェアの分離機能を用いて設計し実装することができる。, − クラウドサービスカスタマの情報がクラウドサービスの“メタデータテーブル”とともに物理的共有, ストレージ領域に保存されている場合は,他のクラウドサービスカスタマとの情報の分離は“メタデ, ISO/IEC 27040(Information technology−Security techniques−Storage security)に記載されている,セキュ, アマルチテナンシ及び関連する手引は,クラウドコンピューティング環境に適用することができる。, クラウドコンピューティング環境の仮想マシンは,事業上のニーズを満たすために要塞化することが望, クラウドサービスカスタマ及びクラウドサービスプロバイダは,仮想マシンを設定する際には,適切な, 側面からの要塞化(例えば,必要なポート,プロトコル及びサービスだけを有効とする。)及び利用する, 各仮想マシンへの適切な技術手段(例えば,マルウェア対策,ログ取得)の実施を確実にすることが望ま, クラウドコンピューティング環境の管理操作のための手順は,これを定義し,文書化し,監視すること, クラウドコンピューティングには,迅速な提供及び管理並びにオンデマンドセルフサービスという利点, がある。これらの操作は,多くの場合,クラウドサービスカスタマ及びクラウドサービスプロバイダの実, 務管理者が行う。これらの重要な操作への人間の介入は重大な情報セキュリティインシデントを引き起こ, す可能性があるため,操作を保護するための仕組みの導入を検討することが望ましく,必要に応じてこれ, を定義し実施することが望ましい。重大なインシデントの例としては,多数の仮想サーバの消去若しくは, クラウドサービスカスタマは,クラウドサービスカスタマが利用するクラウドサービスの操作の特定の, 仮想ネットワークを設定する際には,クラウドサービスプロバイダのネットワークセキュリティ方針に, 基づいて,仮想ネットワークと物理ネットワークとの間の設定の整合性を検証することが望ましい。, 仮想化技術を基にして設定されたクラウドコンピューティング環境では,仮想ネットワークは物理ネッ, トワーク上の仮想基盤上に設定される。このような環境では,ネットワーク方針の矛盾は,システムの停, 注記 クラウドサービスの種類によって,仮想ネットワークを設定する責任は,クラウドサービスカ, この規格で提供する情報セキュリティ管理策の適切な利用は,組織の情報セキュリティリスクアセスメ, ント及び対応に依存する。これらは重要な主題であるが,この規格は情報セキュリティリスクアセスメン, ト及び対応の取組みに焦点を当てたものではない。次のリストは,クラウドサービスの提供及び利用にお, けるリスク源及びリスクの説明を含む参考文献のリストである。リスク源及びリスクはサービスの種類及, び性質並びにクラウドコンピューティングの新技術に応じて変化することに留意することが望ましい。こ.
H��TMk1����.�2�oA�I ���C��^�������7��NB( �Ȼ+i��{o�]��j|��%X�j�# ���1/���/�wsv���+.�}���%�����/���m��PֲvN1;�,�88m�2^{�ɨ���#�!��!�8�k��x �Tɋ��Kt����6g�[V�P���kלu�A�݈�luN�W��Q�Sђ������������x�=6ߺ�YMA�ً|�C��7E�\U��J�S\�K����Bʀe��K�R�#�����̢��!+�\,��8O���2Y8�D:�jx�q�D��Ƽ����n���ѫg��wuwOj�2.������KP�&��Dq��G� O ��yFuO�p�qc0� Mj�N>��I48���dW����loP�H��iH�Z �T[����J3���@� �>�цht:'�f�ZBg��� nH���c�÷��2����I�������}w��mP��Sc8����?�:Ԛ: Z�cA+��ƒ��R����PG���. 0000001076 00000 n H���c�a �W۶m۶m��ֶm۶m۶�N�?^'�ٛ��Kf_�����g�o ` h d l b j f n �-�[(��na��.�]x�v�"�#2� SPRING Singapore 2012,Annex A: Virtualisation Security Risk Assessment of Singapore Technical Reference. A��"���bLq�SRP�) �a�
%PDF-1.4 %����

[19] ISACA,Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives. 0000002580 00000 n 0000002961 00000 n

Australian Government Information Management Office 2013,Summary of Checkpoints in: Privacy and Cloud. http://www.asd.gov.au/publications/protect/Cloud̲Computing̲Security̲for̲Cloud̲Service̲Providers.pdf. 特徴を示すことが多い。 0000003509 00000 n security management systems −Requirements(IDT) [5] JIS Q 27002 0 0000012254 00000 n 2012年. n�r[pGpא{���<4�!�Oy*xf�sS^�ҐW��6�)o y� � ����|v�/�՗���|�`?�x���~�1뷧�#� !��� LEA%�2T��*��T�j05���:P]���>� j�4bCM���fLs��R�JКi��e�1��LGA'Ag�ԕ��t�z0=��ސ�G�WЏ� ` [14] NIST 2009,Effectively and Securely Using the Cloud Computing Paradigm. H���yTSw�oɞ����c [���5la�QIBH�ADED���2�mtFOE�.�c��}���0��8�׎�8G�Ng�����9�w���߽��� �'����0 �֠�J��b� 0000011567 00000 n 0000018860 00000 n 8. http://www.finance.gov.au/files/2013/02/privacy-and-cloud-computing-for-australian-government-agencies-v1.1.pdf. 0000002451 00000 n

八戸 ウルスラ 事件 14, Tokyo Speakeasy ラジオ 4, 山本 キッド 晩年 30, Ske48 10期生 辞退 36, トップシークレット デモカー 販売 10, アマンダ メニュー カロリー 6, ぐるナイ 平野紫耀 再放送 24, オイル 野田秀樹 解説 4, 伊良部 嫁 なんj 9, スカイリム 種族 人気 19, 女性 クライマー 体 脂肪 率 8, プジョー3008 エアコン 効かない 10, 赤 白 キャラクター 4, ウルトラマン ティガ 客演 7, ボカロp Youtube 収入 29, 明治学院大学 ジャニーズ 2018 40, 補導 学校 嘘 14, ベータ版 正式版 英語 5, ポケモン 金銀 アニメ Bgm 9, 青い海の伝説 最終回 感想 5, Canon Lbp661c 説明書 6, ロシア 名前 男 31, 勝どき ビュータワー 芸能人 10, 竹野内豊 実家 茨城 20, セルフィコレクション Switch 評判 38, ラファエル Fe 聖人 16, Posh Boy 意味 10, Hamzy 食べ方 汚い 19, 質問箱 メッセージ 匿名じゃない 10, 工事写真 ソフト 比較 4, アゼルバイジャン 金融 カンファレンス 9, 2020年 再婚 占い 無料 10, 食品 飲料 違い 28, 魔法戦隊マジレンジャー 動画 フリドラ 17, D 02k Wiki 7, Zip 圧縮率 計算 15, がっこうぐらし 大学編 つまらない 41, ディズニーストア エコバッグ スティッチ 12, ポケモンgo アーマードミュウツー 交換 36, 主張 根拠 例 5, 麻雀 最高得点 プロ 37, 中居 ローラ 金スマ 4, 忍べ 右左 エ 門 再放送 6, 仕事 3年目 辛い 6, テリー伊藤 死亡 メール 6, サザエさん 視聴率 平均 4, 松崎ナオ 松崎 しげる 16, ジュノ 猫 名前 28, 渋谷 新橋 バス 06 5, Pixiv 小説 コナン夢 ギャグ 14, ゴゴスマ プレゼント キーワード 6, Company Optional 意味 33, 丸亀製麺 つゆ 販売 4, ハナミズキ 楽譜 リコーダー 12, 欅坂46 センター なぜ笑わない 7, ジョーズ Tシャツ Gu 4, 歌舞伎役者 演技 うまい 12, るろうに剣心 強さ議論 63 33, リカルド ホンダ 後悔 9, Autodesk アカウント 製品 登録 6, 世界にいいね つぶやき英語 エリカ 19, 真っ暗 な 空 類語 10, ウィッチャー3 難易度 経験値 14, ø 出し方 アンドロイド 13, Pso2 ドゥームブレイク2 掘り 18, 湯婆婆 銭婆 違い 22, ドラクエウォーク 回復スポット 効率 4, Windows10 1903 システムフォント 変更 4, 創味シャンタン Cm 歴代 6, 蚊 がい なくなる スプレーb 27, さんま御殿 20190611 動画 4, Kimi Ni Todoke Movie 6, 総合商社 ハル 打ち切り 6, 北陸新幹線 混雑状況 自由席 リアルタイム 11, 新入社員 日報 書けない 7, Qoo10 アプリ クーポン 併用 16, にの つく ことわざ 4, オートバックス ホーン交換 工賃 11, 我 が強い 自己 Pr 4, シスター 韓国 現在 16, Teams ブラウザ版 画面共有 10, さんまの東大方程式 大津くん 歌 5, 鶴島のあ インスタ 公式 8, 凪のお暇 46話 ネタバレ 4, Restore Purchases 意味 24, 64 神ゲー 多い 26, グランデ 連戦 編成 23, 銃 メーカー ランキング 8, 東福岡サッカー 監督 不祥事 10, ガキの使い 動画 2020年1月12日 10, 小説 お題 ファンタジー 5, 魔界塔士sa Ga ストーリー 36, Pso2 仮面 緊急 38, 仮説 演繹 帰納 10, へ ず ま りゅう ガチギレ 11, ナルシスト 英語 スラング 7, Cloudy Heart 歌詞 12, Cv 固定 長さ 23, ウィッチャー3 グリフィン流派の強化4 バグ 9, 泣きの 十 六 意味 13,

  • لا توجد منتجات في السلة