2014年3月14日 19:59
経済産業省では、平成23年に公表した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(以下、ガイドライン)」を改訂いたしました。
初版の公開以来、クラウドサービスの本格的な普及が進む一方、国内外のサービスで 大規模な障害や障害対応過程での情報漏えいの発生等、リスクが顕在化した事例が見受けられるようにもなりました。クラウドサービスを取り巻くこうした環境の変化を踏まえ、 所要の追加等を行いました。
また、本ガイドラインが広く利用されることを期待して、ガイドラインの利用のシーンを具体的に示す「クラウドセキュリティガイドライン活用ガイドブック(以下、活用ガイドブック)」 を新たに作成しました。
本ガイドラインに併せ、活用ガイドブックを利用することで、安心してクラウドサービスを利用できる環境の整備に貢献することを目指します。
経済産業省は、情報セキュリティ確保のためにクラウド利用者自ら行うべきことと、クラウド事業者に対して求めるべきことをまとめたガイドラインを平成23年4月に公表しました。
ガイドライン作成当時に想定されていたリスクにしたがって、クラウドサービス利用者および 事業者が対策すべき事項を整理しましたが、クラウドサービスが多様化し、急速にサービスが普及し、また、国内外で大規模な障害が発生する等情報セキュリティのリスクが顕在化し、 クラウドサービスを取り巻く環境が著しく変化したため、現状に合わせた内容の追加等を行いました。
本ガイドラインは、様々なシーンで活用できる標準的な内容である反面、具体的な対策と事例が欲しいという意見がありました。そこで、新たに「活用ガイドブック」を作成して、クラウド サービス利用におけるそれぞれのリスクに対して解説をするとともに、クラウドセキュリティガイドラインの参照先を示すこととしました。
本ガイドラインは、情報セキュリティマネジメントのベストプラクティスをまとめた国際規格(ISO/IEC27002:2005)を参照して、情報セキュリティ確保のために、クラウド利用者自ら行 うべきことと、クラウド事業者に対して求めるべきことをまとめています。
新たに作成した活用ガイドブックでは、(1)クラウドサービスの構造、(2)クラウドセキュリテ ィの考え方、(3)ガイドラインを利用したリスク分析手法、(4)クラウド利用者のためのガイドライン活用、(5)クラウド事業者のためのガイドライン活用、(6)クラウド契約時の契約書やサービスレベル合意書(SLA)を具体的に解説しています。
商務情報政策局 情報セキュリティ政策室
平成26年3月14日(金)
