2011年11月1日火曜日

Office365 の Cloud Control Matrix への対応

英語版では少し前(6月)にリリースされていた Office365 の Cloud Control Matrix ( CCM ) への対応に関するドキュメント「Request for Information (情報提供依頼書) に対する標準的なレスポンス - セキュリティおよびプライバシー」の日本語版が10月末にリリースされました。

- ダウンロード URL
 http://www.microsoft.com/downloads/ja-jp/details.aspx?FamilyID=6dd73e12-95d9-4834-98b4-49bd65a85cbe

で、CCM って何よ?という人のために簡単に解説しておくと、以前も紹介したことのある Cloud Security Alliance ( CSA ) という団体が出しているコントロール・フレームワークで、以下の様に説明されています。

The CSA CCM provides a controls framework that gives detailed understanding of security concepts and principles that are aligned to the Cloud Security Alliance guidance in 13 domains. The foundations of the Cloud Security Alliance Controls Matrix rest on its customized relationship to other industry-accepted security standards, regulations, and controls frameworks such as the ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP and will augment or provide internal control direction for SAS 70 attestations provided by cloud providers.

簡単に要約すると、これまた別に CSA が出しているセキュリティ・ガイダンスの13のドメインに沿った形で、且つ業界標準であるISO27001/27002やCOBIT、PCI DSS、HIPPAなどとの関係性を含めて各種コントロール仕様をまとめたもの、ということです。
中を見るとわかりますが、 NIST のサービスデリバリモデル( SaaS / PaaS / IaaS ) 毎の適用有無、およびサービスプロバイダ / テナント別の適用有無などかなり詳細にまとまっている資料です。

CSA ガイドラインの13ドメインの中の12番目が「Identity and Access Management」だったり何故か Identity and Access Management に関してだけ別冊があったり、と CSA の中でもアイデンティティ管理はかなり重要視されている領域なので、もちろんこの CCM の中にもアイデンティティ管理に関連する項目が登場します。

先の Office365 での適用状況について少しピックアップしてみたので、紹介してみたいと思います。
(ちなみにベースとなっているのは CCM 1.1 Final 2010/12/17版の様です。現在は1.2が出ています)


  • HR-03 人事 -  雇用の終了
    • 要求
      • 雇用手続きにおいて雇用の終了や変更を行う際の役割や責任に関して、割り当て、文書化、コミュニケーションを行う必要があります。
    • 対応
      • 従業員の雇用終了プロセスは、Microsoft 米国本社の人事ポリシーによって行われます。 
      • 当社がお客様のアカウントを作成することはありません。お客様自身が、Microsoft Online 管理センターで直接アカウントを作成するか、またはローカルの Active Directory 内にアカウントを作成します。それらのアカウントは、Microsoft Online Services と同期することができます。そのため、作成するユーザー アカウントの正確性については、お客様がその責任を負います。
  • IS-07 情報セキュリティ - ユーザー アクセス ポリシー
    • 要求
      • アプリケーション、データベース、サーバー、ネットワーク インフラストラクチャへの通常のアクセス権および特権付きのアクセス権を付与/無効化するためのユーザー アクセスに関するポリシーと手順を文書化し、承認し、実装する必要があります。これは、ビジネス、セキュリティ、コンプライアンス、サービス レベル契約 (SLA) の要件に準拠している必要があります。
    • 対応
      • アクセス制御ポリシーはポリシー全体を構成するコンポーネントの 1 つであり、正式な確認および更新のプロセスが適用されます。Microsoft Online Services の資産に対するアクセス権は、ビジネス要件に基づいて、資産の所有者の承認を得たうえで付与されます。加えて、以下の項目が適用されます。
      • 資産に対するアクセス権は、知る必要性のある人間に限定する原則、および最小特権の原則に基づいて付与されます。
      • 適用可能であれば、役割ベースのアクセス制御を使用して、個人ではなく、特定の職務または責任領域に対して論理的なアクセス権を割り当てます。
      • 物理的および論理的なアクセス制御ポリシーは、規格に準拠します。
      • ISO 27001 規格 (具体的には付属文書 A の項 11) で、"アクセス制御" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。 
  • IS-08 情報セキュリティ - ユーザー アクセスの制限/承認
    • 要求
      • アプリケーション、システム、データベース、ネットワーク構成、および機密度の高いデータや機能に対する通常のユーザー アクセス権や特権付きのユーザー アクセス権は制限される必要があります。また、それらのアクセス権を付与する前に管理者によって承認される必要があります。
    • 対応
      • アクセス制御ポリシーはポリシー全体を構成するコンポーネントの 1 つであり、正式な確認および更新のプロセスが適用されます。Microsoft Online Services の資産に対するアクセス権は、ビジネス要件に基づいて、資産の所有者の承認を得たうえで付与されます。加えて、以下の項目が適用されます。
      • 資産に対するアクセス権は、知る必要性のある人間に限定する原則、および最小特権の原則に基づいて付与されます。
      • 適用可能であれば、役割ベースのアクセス制御を使用して、個人ではなく、特定の職務または責任領域に対して論理的なアクセス権を割り当てます。
      • 物理的および論理的なアクセス制御ポリシーは、規格に準拠します。
      • ISO 27001 規格 (具体的には付属文書 A の項 11.2) で、"ユーザー アクセスの管理と特権の管理" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。  
  • IS-09 情報セキュリティ - ユーザー アクセスの無効化
    • 要求
      • 従業員、契約業者、顧客、ビジネス パートナー、またはサード パーティの状況に何らかの変更があった場合に、組織のシステム、情報資産、およびデータに対するユーザー アクセスの準備解除、無効化、変更のタイムリーな実行を実装する必要があります。こうした状況の変化には、雇用、契約、または合意の終了、雇用状態の変更、組織内での異動などが含まれます。
    • 対応
      • 管理者、およびアプリケーションやデータの所有者は、誰がアクセスしているかを定期的に確認する責任を負います。オンラインのさまざまな場所で、アクセスをチェックするためのツールを入手できます。適切なアクセスの準備が行われていることを検証するために、定期的にアクセスの確認監査が行われます。
      • ISO 27001 規格 (具体的には付属文書 A の項 8.3.3) で、"アクセス権の削除" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。 
  • IS-10 情報セキュリティ - ユーザー アクセスの確認
    • 要求
      • すべてのレベルのユーザー アクセスは、管理者によって計画された間隔で確認され、文書化されます。アクセス違反が見つかった場合は、文書化されているアクセス制御に関するポリシーと手順に従って改善策を実行する必要があります。
    • 対応
      • 管理者、およびアプリケーションやデータの所有者は、誰がアクセスしているかを定期的に確認する責任を負います。オンラインのさまざまな場所で、アクセスをチェックするためのツールを入手できます。Microsoft Online では、提供しているサービスの中でお客様がエンド ユーザーによるアクセスの監査と委任を行うための強化された機能を用意しています。詳細については、対応するサービスの説明を参照してください。
      • ISO 27001 規格 (具体的には付属文書 A の項 11.2) で、"ユーザー アクセスの管理と特権の管理" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。  
  • IS-15 情報セキュリティ - 職務分離
    • 要求
      • 職務の適切な分離を実施、保証するためのポリシー、プロセス、手順を実装する必要があります。興味の制約に関するユーザーの役割の競合が発生する場合は、組織の情報資産の承認されない変更や意図しない変更、または誤使用によって生じるリスクを軽減するための技術的な制御を行う必要があります。
    • 対応
      • Office 365 サービスは、異なるホスティング サービスの開発スタッフ、運用スタッフが職務分離の原則に従うことを必要とします。これにはソース コード、ビルド サーバー、および運用環境に対するアクセス制御が含まれます。例:
        • Office 365 サービスの運用環境に対するアクセスは運用担当者に制限されます。開発チームとテスト チームには、運用環境内から提供された情報に対してアクセス権が与えられる場合があり、問題のトラブルシューティングに役立てることができます。
        • Office 365 サービスのソース コード管理に対するアクセスは開発担当者に制限され、運用担当者がソース コードを変更することはできません。
      • マイクロソフトの担当者は、マルチテナント環境の委託が行われる前にサーバーを構築します。サーバーの構築が完了すると、構築チームは自身のアクセス許可を削除します。サーバーを委託した時点から、マイクロソフトの担当者が委託されたサーバー上で実行されるシステムへのアクセス許可を得ることができる方法は限られています。ヘルプ デスクのスタッフは、アクセスを求めるサービス チケットの直接の結果として、またはソフトウェアのインストールや問題解決のためのシステム更新の直接の結果として、アクセス権を入手する場合があります。このような場合、監査ログによって、誰がいつログインしたかが示されます。マイクロソフトが採用しているプロセスは、保持している認定に準拠しています。
      • 不正行為、誤使用、またはエラーの可能性を最小限に抑えるため、Microsoft Online Services の環境内の機密度の高い機能や重要な機能に対して、職務の分離が実装されています。                     
      • ISO 27001 規格 (具体的には付属文書 A の項 10.1.3) で、"職務の分離" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。
  • SA-02 セキュリティ アーキテクチャー - ユーザー ID 資格情報
    • 要求
      • アプリケーション、データベース、サーバーおよびネットワーク インフラストラクチャにユーザー資格情報およびパスワード制御を (自動化を通じて) 実装および実施します。この場合、以下の最低条件を満たす必要があります。
        • パスワードをリセットする前にユーザー ID を検証する。
        • ユーザー以外の人物 (管理者など) がパスワードのリセットを行った場合、ユーザーが最初に使用する際にパスワードを即座に変更する必要がある。
        • 契約終了となったユーザーのアクセスの無効化をタイムリーに行う。
        • 少なくとも 90 日ごとに、非アクティブなユーザー アカウントを削除または無効にする。
        • 一意のユーザー ID を使用し、グループ、共有、または汎用のアカウントおよびパスワードを禁止する。
        • パスワードの有効期限を 90 日以内にする。
        • パスワードの最小文字数を 7 文字以上にする。
        • 数字とアルファベットの両方を含んだ強力なパスワードを使用する。
        • パスワードの再使用は、少なくとも 4 つのパスワードが使用された後に許可する。
        • ユーザー ID をロックアウトする試行回数は、多くても 6 回までにする。
        • ユーザー ID のロックアウト期間は最低 30 分にするか、管理者がユーザー ID を有効にするまでとする。
        • セッション アイドル時間が 15 分以上経過した場合に、端末を再度アクティブにするには、パスワードを再入力するようにする。
        • 特権付きのアクセスに対するユーザー アクティビティ ログを保持する。
    • 対応
      • Microsoft Online Services では、Active Directory を使用して、パスワード ポリシーの適用状況を管理しています。Microsoft Online Services システムは、強制的にユーザーに複雑なパスワードを使用させるように構成されています。パスワードには最長の有効期限と最小文字数が割り当てられます。
      • Microsoft Online Services が所有されている環境または運用されている環境に関連サービスまたはシステムを導入する場合、その前に契約者提供の既定のパスワードを変更することが、パスワードの取り扱い要件に含まれています。
      • ISO 27001 規格 (具体的には付属文書 A の項 11.2.1 および 11.2.3) で、"ユーザー パスワードの管理およびユーザー登録" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。  
  • SA-07 セキュリティ アーキテクチャー - リモート ユーザーの多要素認証
    • 要求
      • すべてのリモート ユーザー アクセスに対して多要素認証が必要です。
      • 高い保証を必要とする操作には、どの形式の認証を使用しますか。これには、管理インターフェイスへのログイン、キー作成、複数のユーザー アカウントへのアクセス、ファイアウォール構成、リモート アクセスなどが含まれます。
      • ファイアウォールなど、インフラストラクチャ内の重要なコンポーネントを管理する場合に、2 要素認証が使用されていますか。
    • 対応
      • スタッフおよび契約業者のスタッフによる Microsoft Online Services の運用環境へのアクセスは、厳しく制御されています。
      • ターミナル サービス サーバーは、高度な暗号化設定を使用するように構成されています。
      • マイクロソフトのユーザーには、リモート アクセス セッションを確立するために、有効な証明書と有効なドメイン アカウントが含まれているスマートカードが Microsoft Online Services から発行されます。
      • ISO 27001 規格 (具体的には付属文書 A の項 11.4.2) で、"外部接続に対するマイクロソフトのユーザー認証" が規定されています。詳細については、マイクロソフトが認定を取得し、公開されている ISO 規格を確認することをお勧めします。 


関連する項目を抜粋しただけですが結構なボリュームになりますね。これもライフサイクル管理、アクセス制御、認証、職務分掌など様々な角度での要求への対応を行っているためだと言うことが出来ます。

実際に内情がどうなっているかは別として各パブリック・クラウド事業者はこのようなガイドラインへの対応度合を利用者からはかなり厳しくみられる傾向にあるので、今回のように公開文書という形での対応を含め色々と対策を打ってきているように感じます。特にOffice365やGoogleAppsなどはメールやグループウェアという形でかなりの生情報をクラウド上へ配置することになるので、利用者の不安を払しょくすることが最大のポイントになりがちです。
同じような対応をプライベート・クラウドで行おうと思うと結構難しいような気もしますので、国内のクラウド事業者も色々と苦労があるんでしょうね。。と遠い目をしてしまいます。

0 件のコメント:

コメントを投稿