ビジネスに活用するためのクラウドセキュリティ標準

security training / consulting

CyberSecurity, 企業

ビジネスに活用するためのクラウドセキュリティ標準


クラウドセキュリティ標準とは、クラウドのセキュリティのためのベストプラクティスの一覧です。

これらの標準はあなたのビジネスになくてはならないものであり、多くの利点を提供します。

これらの利点は、次のとおりです。

  • インフラストラクチャのセキュリティを強化する
  • 顧客のデータのプライバシーを保護する
  • 運用に構造を提供する
  • リソースの最適な利用を確保する
  • 信頼と評判を築く
  • あなたのために多くのビジネスチャンスを解き放つ

いくつかのクラウドセキュリティ標準と、ビジネスに最適なものを選択する方法について紹介します。

これら全てを実装する必要はなく、企業に適したものを用いていきましょう。

クラウドセキュリティ標準

クラウドセキュリティ標準は、移植性、セキュリティ、プライバシー、相互運用性など、多くの組織の目標をサポートしています。

ただし、この分野では何百もの標準が存在します。

最も古いものの1つは、1946年に設立されたISOです。

これらの標準はすべて、デファクト(事実上のもの)のものからデジュリ(規則的なもの)なものまでさまざまです。

ここで、デファクトとは、広く受け入れられている一連のベストプラクティスを意味します。

逆に、デジュリは必須の基準です。たとえば、ISOとGDPRはデジュリなものですが、ACSCEssentialEightはデファクトの標準です。

クラウドセキュリティ標準とは何か、そしてそれらがどのように役立つかがわかったところで、次に、トップのクラウドセキュリティ標準とフレームワークについて説明しましょう。

米国国立標準技術研究所(NIST)

米国国立標準技術研究所(NIST)は、クラウドコンピューティングプログラムを設計しました。

これは、クラウドインフラストラクチャを最適化、保護、および保守するための一連のベストプラクティスです。

このプログラムの一環として、NISTは、企業がクラウドインフラストラクチャを構築するために使用できる技術文書を提供しています。

さらに、セキュリティ評価と技術文書を設計および提供しています。

このドキュメントでは、企業のクラウドセキュリティ監視機能を評価します。

多くの州政府および連邦政府も、クラウドのイニシアチブとプログラムを評価するためにこれらの標準に利用しています。

クラウドサービスに関連するいくつかのガイドラインと標準を紹介します。

SP 800-210

SP 800-210は、クラウドシステムの一般的なアクセス制御ガイダンスとしても知られています。

LaaS、PaaS、およびSaaSのセキュリティの課題を特定するために実行できる手順を示します。

また、クラウドセキュリティを向上させることができるアクセス制御設計と潜在的なポリシーシステムに関する推奨事項も提供します。

SP 800-53

SP 800-53フレームワークは、戦略、要素、および制御を提供します。

このフレームワークは、企業がサイバーセキュリティを強化するのに役立ちます。

特に、連邦情報システムの機密性、完全性、および可用性の維持に重点を置いています。

次に、NIST監査を実施する方法について説明します。

NIST監査の実施方法

NISTに準拠するには、各規格に記載されている推奨事項に従ってください。

さらに、さまざまな側面のサポートドキュメントを提出してください。

これらの側面は、情報の機密性、システムにアクセスできるユーザー、以前および現在の脆弱性などである可能性があります。

次に、国際標準化機構とは何かをよりよく理解するのに役立ちます。

国際標準化機構

国際標準化機構(ISO)は、ビジネスと運用のほぼすべての領域にわたって国際標準を開発および公開する組織です。

現時点で、24,362の国際規格を開発しています。

具体的には、技術および対象分野の専門家がこれらの標準を開発します。

また、サービスの効率的な提供、製品の構築、セキュリティの強化、プライバシーの維持などにも役立ちます。

これらの標準のうち、クラウドのセキュリティと監視に関連するものはごくわずかです。

ISO-27001 / ISO-27002

これらはクラウドセキュリティ監視標準です。

これらは、クラウドシステムのセキュリティを構築、維持、および継続的に改善するための要件を定義します。

また、コンプライアンスを決定する評価も含まれます。

2つの規格の違いを簡単に説明します。

ISO27001は、認証のために従わなければならないクラウドセキュリティコンプライアンス規格です。

一方、ISO 27002は、情報セキュリティ管理システム(ISMS)のさまざまな側面に対応する補足標準です。

通常、これにはセキュリティ制御の選択と実装が含まれます。

ISO-27017

ISO 27017は、クラウド環境のリスクを低減するために開発されたクラウドセキュリティ標準です。

クラウドサービスプロバイダー専用です。

また、クラウドのISMSベストプラクティスも定義しています。

さらに、ISO 27002規格に基づいて構築されているため、特にクラウド環境向けの追加のセキュリティ対策も含まれています。

ISO-27018

ISO 27018は、プライバシーに重点を置いたクラウドセキュリティ標準です。

具体的には、パブリッククラウド内の顧客の個人情報(PII)を保護するためのガイドラインと標準を定義します。

上記のISO規格はすべてよく認識されているため、コンプライアンスはビジネスチャンスを大幅に高めることができます。

これはまた、これらの標準に対するクラウドセキュリティコンプライアンスをどのように監査できるかという問題を提起します。

ISO監査の実施方法

ISOはコンプライアンスを監査しないことに注意してください。

むしろ、それは他の監査会社によって行われています。

これらの標準のいくつかの側面は必須ですが、他の側面はオプションです。

それでは、ISACAについて詳しく見ていきましょう。

ISACA

ISACAは、クラウドセキュリティのガバナンスベンチマークとツールを提供する専門家協会です。

また、個人を教育し、それぞれの組織のセキュリティ環境を変革するのに役立ちます。

ISACAは何を提供しますか?確認してみましょう!

CCAK

ISACAは、クラウドセキュリティアライアンス(CSA)と協力して、クラウド監査知識(CCAK)の証明書を提供します。

この証明書は、IT監査およびセキュリティの専門家にベンダーに中立で技術的な教育も提供します。

次に、この情報により、組織に適したクラウドサービスと展開を選択できます。

ISACA監査の実施方法

ISACAは認定を提供しているため、個人はこれらの試験をクリアして認定を取得する必要があります。

また、この監査プロセスでは、計画、フィールドワーク、およびレポートの3つのフェーズを実行することをお勧めします。

ペイメントカード業界データセキュリティ標準(PCI DSS)

PCI DSSは、クレジットカード情報を受け入れ、保存し、処理する企業向けのクラウドセキュリティ標準です。

組織がサイバーセキュリティのギャップを埋めるのに役立つため、サイバー犯罪者は機密性の高い個人データを盗むことができません。

PCI DSSに準拠することで、お客様の運用に対する信頼も高まります。

さらに、それはあなたの評判を高めるのを助けることができます。

また、お客様とクラウドサービスプロバイダーが、顧客の機密情報を保護するために必要なセキュリティ管理を確実に実施します。

PCISS監査を実施する方法

PCI監査は、POSシステムやその他のITインフラストラクチャを調べてコンプライアンスを判断するセキュリティ評価者によって行われます。

監査の前にも十分な準備が必要です。

一般データ保護規則(GDPR)

一般データ保護規則(GDPR)は、EU内でビジネスを行っている、または顧客を抱えているすべての組織に適用されるEU標準です。

クラウドセキュリティに関しては、GDPRは、個人データを必要以上に長く保存してはならないと述べています。

さらに、データ処理、セキュリティ、およびプライバシーに関連する承認された行動規範を定義しています。

すべてのクラウドサービスプロバイダーと企業は、EUでの運用を継続するために、これらの要件にも準拠する必要があります。

GDPR監査の実施方法

GDPRは特に監査について言及していません。

ただし、企業がコンプライアンスを監査するためにサードパーティの評価者を雇うことは良い考えです。

違反すると重い罰金や罰則が科せられる可能性があるため、これも重要です。

システムおよび組織管理(SOC)

System and Organization Controls(SOC)2は、米国公認会計士協会(AICPA)によって開発された自主的なコンプライアンス基準です。

顧客データを管理するための一連のベストプラクティスを明示的に規定しています。

また、整合性、プライバシー、機密性、および処理に関するAICPAの原則にも準拠しています。

これは任意ですが、SOC2に準拠することで評判が大幅に向上します。

SOC2の監査方法

公認会計士事務所の資格のある監査人がSOC2監査を実施します。

これらの監査もAICPAによって規制されています。レポートに基づいて、SOC2認定を取得します。

CISコントロール

CIS Critical Security Controlsは、サイバー攻撃の可能性を減らすように設計された一連の保護手段です。

これらは、セーフガードへのコンプライアンスを確保するために必要な法的およびポリシーのフレームワークにマッピングされています。

この規格は、グローバルITコミュニティによっても開発されています。

その結果、クラウドコンピューティング、仮想化、アウトソーシング、在宅勤務などの企業に最適です。

CISコントロールを監査する方法

コンプライアンスの証明がインターネットセキュリティセンター(CIS)に提出されると、証拠と補足文書が評価されます。

これに基づいて、適合証明書が発行されます。

ACSCエッセンシャルエイト

ACSC Essential Eightは、企業がサイバーセキュリティのEssentialEightの原則を段階的に実装するのに役立つ成熟度モデルです。

これらの8つの原則は、次の分野にあります。

  • アプリケーション制御
  • パッチアプリケーション
  • MicrosoftOfficeのマクロ設定
  • ユーザーアプリケーションの強化
  • 制限的な管理者権限
  • 多要素認証
  • バックアップ
  • オペレーティングシステムにパッチを適用する

ACSCエッセンシャルエイトの監査方法

組織は、オーストラリアのサイバーセキュリティセンター(ACSC)にコンプライアンスの証明を提出する必要があります。

これに基づいて、コンプライアンス証明書が発行されます。

  • 投稿者:
  • 投稿日: 2022年7月2日
0

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


© 2024年 セキュリティトレーニング/コンサルティング. Built using WordPress and EmpowerWP Theme.