規格対応箇所
規格 | 規格項番 | タイトル |
---|---|---|
JIS Q 27017:2016 | A.8.1.1 | 資産目録 |
JIS Q 27001:2023 | A.5.9 | 情報やその他の関連資産の許容可能な使用 |
JIS Q 27001:2023 | 6.1.2 | 情報セキュリティリスクアセスメント |
要求されていること
クラウドサービスプロバイダ、クラウドサービスカスタマの観点で、情報資産(利用者に影響を及ぼす登録データ)、ソフトウェア資産(CSPやCSCそのものと、CSPの提供に関わるもの)を洗い出すことが求められます。
情報資産(データ)では、以下の2つを洗い出す必要があります。
- クラウドサービスカスタマデータ:利用者にて投稿されたデータ(本番投稿データ)、そのデータのバックアップデータ
- クラウドサービス派生データ:システムにて生成された加工データやログデータ
登録時はどちらに該当するかは気にしなくても大丈夫ですが(違いの明記までは不要)、審査では口頭で確認されることがありますのでご注意ください(カスタマーデータだけ登録されていて、派生データが登録されていなかった場合は、不適合になることもあります)
また、ソフトウェア資産では、以下3つを洗い出す必要があります。
- クラウドサービスプロバイダ:自社SaaS(内側で機能が分かれていても1つとして問題ありません)
- クラウドサービスカスタマー:停止してしまうと自社SaaSの稼働に影響のあるクラウドサービス
- ピアクラウド:自社SaaSの機能の一部として連携しているSaaS
具体的な登録例は以下をご参考ください。
資産登録例
CSP(ソフトウェア > CSP)
- 自社SaaS(内側で機能が分かれていても1つとして問題ありません)
CSC(ソフトウェア > CSC)
- Amazon Web Services
- Google Cloud Platform
- Microsoft Azure
- Heroku
クラウドサービスカスタマデータ(情報 > データ)
- 本番投稿データ
- バックアップデータ
クラウドサービスカスタマ派生データ(情報 > データ)
- ログ
- システムが生成するデータ
ピアクラウド(ソフトウェア > クラウド)
- 認証サービス(Auth0、Cognito、Firebase)
- オンライン接客(Karte、テックタッチ)
- データ処理(AI-OCR、翻訳) etc
やること
ここではCSPとCSCの登録を例に、登録手順を記載します。
1. SecureNaviの左側メニューから「リスクの管理」をクリックし、表示されたウィンドウから「資産」を選択しクリックします。
2. 「資産を登録」ボタンから登録を進めます。
3. 資産登録用モーダルが開くので、カテゴリから「3. ソフトウェア」を選択します。サブカテゴリが表示されるので、「4. CSP」もしくは「5. CSC」を選択して資産を作成していきます。
資産登録が完了したら、08. 洗い出しを完成させ「情報資産リスト」を承認する にて資産管理台帳を承認してきましょう。資産管理台帳はISMS認証とクラウドセキュリティ認証では、同一の台帳を用いています。