クラウドセキュリティ

クラウドセキュリティに不安はありませんか? 無償で手軽に評価ができるCSIJのフレームワークを紹介

クラウドセキュリティに不安はありませんか? 無償で手軽に評価ができるCSIJのフレームワークを紹介

目 次

はじめに
CSIJとは
クラウド版フレームワークとは
クラウド版フレームワークのメリット
クラウド版フレームワークをご利用になるには
おわりに

はじめに

クラウドサービスの不適切な利用によるインシデント事例が多く発生している現状をふまえ、wiz LANSCOPEでは何度かクラウドセキュリティを取り上げてきました。

https://www.lanscope.jp/tags/クラウドセキュリティ/

また、今年7月には、弊社が独自で実施したクラウドサービスの利用に対するセキュリティ対策の実態調査の結果を公表しています。

中小企業の情報システム担当者1,000名に聞いた!「『クラウドサービスのセキュリティ対策』実態調査」を発表

この調査では、中小企業の対策状況について、以下のような結果が得られています。

「お勤め先の企業では、クラウドサービスで秘密情報を取り扱う際のセキュリティ対策はできていますか?」という質問に対し、「しっかりと対策できている(28%)」「ある程度は対策できている(57%)」となっており、対策できていると回答された方が8割以上となりました。

一見したところでは多くが対策できているようですが、「ある程度は対策できている」と回答された場合であっても、では何の対策が十分で何が不十分なのか、明確に整理できている方は少ないのではないでしょうか。むしろ、どこかに漠然とした不安を抱えているのが実情ではないかと思われます。

本記事は、クラウドサービスのセキュリティ対策に不安がある、またはできていないといった方々に向けて、簡単なアンケートで対策状況を評価し、課題を洗い出すことができる「CSIJのクラウド版フレームワーク」をご紹介するものです。

CSIJとは

サイバーセキュリティイニシアティブジャパン(CSIJ)は、日本国内におけるサイバーセキュリティ対策を加速させるために、2022年に設立された任意団体です。国内のセキュリティベンダーで構成され、これからのデジタル社会に必要となるセキュリティ対策や、その実装に必要な人材の輩出にむけた各種フレームワークを策定しています。
私どもエムオーテックスもその趣旨に賛同し、立上げ初期から活動に参加しています。

クラウド版フレームワークとは

ここでは、CSIJが策定した共通対策評価フレームワークのクラウド版を指して「クラウド版フレームワーク」と呼びます。クラウド版フレームワークは、クラウド環境を利用しようと検討中の企業や、すでにクラウドを利用しているものの安全性に不安をもっている企業を対象に、今現在のクラウドの利用状況や管理状況を見える化し、課題を浮かび上がらせることで、あるべき姿とのフィット&ギャップを明らかにできるよう策定されました。
Web上のアンケートに回答するだけで自社の現状を把握することができるため、クラウドのセキュリティ対対策を強化する上でのファーストステップとして取り組みやすいものとなっています。

Webアンケート画面

以下は、アンケートの質問項目の具体例です。

  • ・クラウドサービス利用に関して、利用申請・承認フローを整備していますか
  • ・クラウドサービス環境で発生したインシデント対応に関して、役割や担当を定義していますか
  • ・クラウドサービス環境に関するシステムの構成情報を管理していますか
  • ・特権アカウント、運用者・開発者用アカウント、利用者用アカウントについて、認証機能を用いて認証を実施していますか
  • ・クラウドサービス環境と重要情報を送受信(ダウンロードやアップロード)する場合や、クラウドサービス環境に重要情報を保存する場合、通信や保存中のデータを暗号化していますか

アンケートへの回答が完了すると、評価結果レポートが提供されます。

評価結果レポート(サンプル)

クラウド版フレームワークのメリット

クラウド版フレームワークには、以下のような特徴があります。

  • ・無償で利用できる
  • ・アンケート内容は約50項目に絞り込まれている
  • ・技術面だけでなく、体制面なども含めて広く評価できる

クラウド版フレームワークでは、クラウドサービスを安全に利用するためには、セキュリティ設定などの直接的な対策だけでなく、社内手続きやインシデント対応体制などの環境的な対策も重要であると考えています。そのため、アンケートでは「ガバナンス」、「インシデント対応」、「コンプライアンス」、「設定や脆弱性の管理」、「ID管理」、「データ保護」の6つの観点から評価を行います。
例えば、「プラットフォーム診断やWebアプリケーション診断を実施し、結果の確認を行っていますか」という質問があります。これは、クラウドサービスそのものについてではなく、IaaSやPaaS上に構築したシステムについての質問となりますが、こうしたことを伺うのは、クラウドサービスの利用に関連する総合的な運用状況を評価するためです。

つまり、クラウド版フレームワークの評価結果をもとに改善を行うことで、クラウド利用に限らず、自社のセキュリティマネジメント全般の強化につなげることができます。

「そのような多くの観点からの評価は必要ない」、「個別クラウドサービスの具体的なセキュリティ設定の妥当性を評価してほしい」といった明確な問題意識をお持ちのお客様は、弊社のクラウドセキュリティ診断(有償)のご利用もご検討ください。
https://www.lanscope.jp/professional-service/service/assess_consulting/cloudsecurity_assess/

クラウド版フレームワークをご利用になるには

ここまでお読みになって、「では試しにクラウド版フレームワークを使ってみようか」と思っていただけたとしても、恐縮ですが直ちにご利用いただくことはできません。お申込みが必要となります。

【ご利用の流れ】
1.申込みフォームに必要事項を記入し、弊社宛てにお申込みください。
2.弊社からお客様に、WebアンケートのURLと利用IDをメールでお知らせします。
3.発行された利用IDでWebアンケートにログインし、約50項目の質問に回答します。(所要時間は30分程度)
4.Webアンケート回答後、評価結果レポートがお客様にメールで送信されます。
5.ご希望があれば、弊社からより詳細なPDFレポートを発行します。 ※ここまで無償

クラウド版フレームワークによる評価はクラウドサービス単位となっていますので、複数のクラウドサービスをご利用になっている場合は、それぞれのサービスの利用状況をお答えいただくと、より正確に評価を行うことができます。複数回分の利用IDが必要となりますので、申込みフォームにご希望の回数をご記入ください。
複数のサービスを使っていても、利用状況に大きな違いがないような場合は、1回にまとめて回答してもよいでしょう。

なお、評価結果レポートを見て、お客様だけでは対策が難しいと思われる課題があれば、ぜひ弊社までご相談ください。これ以降の対応は有償となりますが、弊社でも支援できますし、CSIJ加盟各社から支援することも可能です。

おわりに

CSIJでは、このクラウド版フレームワークをより多くのお客様にご活用いただきたいと考えています。ぜひご利用いただき、お客様のセキュリティレベル向上に役立てていただければ幸いです。