「5.23 クラウドサービス利用のための情報セキュリティ」

「クラウドサービスの調達,利用,管理及び利用終了のプロセスを,組織の情報セキュリティ要求事項に従って確立しなければならない。」

弊社でも非常に多くのクラウドサービスを使用していますが、利用選定基準、申請・承認フロー、アカウント管理、インシデント発生時の体制などの整備が必要となります。

規格改訂前でもアカウント管理は必須の要求事項でしたので、あまり変更はなかったのですが、参考まで実施していることをご紹介します。

利用開始 申請・承認フロー

弊社サービス「Colorkrew Workflows」を使用してクラウドサービスの利用開始申請を行います。
このとき、申請にはサービスの利用基準を定義したセキュリティチェックシートの提出を義務付けます。
承認者はISMS体制上の部門管理責任者とし、セキュリティチェックシートの確認を行います。「Colorkrew Workflows」は申請・承認データをエクスポートできますので、それを証跡として残します。

アカウント管理

クラウドサービスに限りませんが、アカウント管理も審査で必ずチェックされます。
こちらも「Colorkrew Workflows」に承認フローを集約し、証跡が残るようにしています。

見落としがちなポイントとして、利用終了時のフローがあります。
利用終了時に適切な対処を行わず放置されるケースもありますので、利用終了時の対処をあらかじめ決めておき
定期的な棚卸しを行うようにしています。

「5.30 ビジネス継続のためのICTの備え」

「組織は,事業の中断・阻害時に情報セキュリティを適切なレベルに維持する方法を計画しなければならない」

もともとBCPに関する要求はありましたが、ICTに限定した計画を立てる必要があります。
例えば、クラウドサービスあるいはオフィスのIT機器に障害が発生した場合の対応フローを定義します。

また、その対応フローの教育・訓練を部門ごとに定期的に行い、そのエビデンスを残します。
避難訓練、WiFi機器障害時の代替機運用、またはクラウドストレージ障害時のリストアなどが考えられるでしょう。

「7.4 物理的セキュリティ監視」

「施設は,認可していない物理的アクセスについて継続的に監視しなければならない」

こちらは、オフィスビル設備、監視カメラ、入館証などのセキュリティはどの企業も実施されていると思いますので
あらためてその仕様把握や、監視カメラの記録を参照できるかチェックしておくことが必要です。

「8.9 構成管理」

「ハードウェア,ソフトウェア,サービス及びネットワークのセキュリティ構成を含む構成を確立し,文書化し,実装し,監視し,レビューしなければならない」

各システムのインフラ、ミドルウエア構成を整理し定期的に見直す運用としました。
脆弱性の把握のためにも重要な情報ですので、形骸化しないよう定期MTGを開催し、その議事録を残すことでエビデンスとしました。

審査時の評価

以上の申請・承認データや運用実態をエビデンスとして提出することで、問題ありませんでした。
構成管理などの定期的な見直しについては、システムの導入・アップデートいわゆる変化点で必ず見直し、証跡を取っているかどうか、が重要なようです。

11の管理策のうち5つまで紹介しました。また次回。