クラウドサービス利用のための情報セキュリティマネジメントガイドライン
ログ活用.COM 編集部
更新日:2017/2/6
| タイトル: | クラウドサービス利用のための情報セキュリティマネジメントガイドライン |
|---|---|
| URL: | http://www.meti.go.jp/press/2013/03/20140314004/20140314004.html |
| 対象: | クラウドサービス利用者、クラウドサービス事業者 |
| 公表: | 経済産業省 |
| 公表日/更新日: | 2013年3月14日 |
クラウドサービスとログ管理
ITシステムのリソースを、水道や電気、ガスのように、必要なときだけ、必要な分だけ使えるサービスとして、また、大規模震災の影響を受け、事業継続の観点からシステムを自社外に出す先として、 クラウドサービスの利活用が進みつつあります。
しかし、ITの運用コストやリスク管理上、効果が高いと思われるクラウドサービスの普及を妨げる要因があります。それは「セキュリティ」です。
クラウドサービスに関する様々な意識調査に於いて、「セキュリティ・情報漏えいに対する不安」が常にトップにランクされるなど、クラウドサービスの運用がブラックボックスである事への不安が、
普及の妨げになっている事は明らかです。
そういった背景から、クラウドサービスに対するセキュリティの向上や運用の可視化の必要性などが叫ばれ、ガイドラインの策定や様々なクラウド・セキュリティ・ソリューションの登場など、状況は大きく変わってきました。
特に、利用者側のクラウドサービスに対する心理的な抵抗を軽減し、安心を提供する手段である「可視化」は利用促進の重要なポイントとして認識されており、それを実現するための「ログ」の管理が注目されています。
クラウドサービス利用のためのセキュリティガイドライン
2011年4月、経済産業省から「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」(以下、クラウドセキュリティガイドライン)初版が公表されました。
その後、クラウドサービス、セキュリティを取り巻く環境の変化を踏まえ、2014年3月に改訂版として、「2013年度版」が公表されています
http://www.meti.go.jp/press/2013/03/20140314004/20140314004.html
このガイドラインは「情報セキュリティ」および「事業者におけるシステム運用」が見えないことに関する不安を「見える化」するために、下記を目的として策定されました。
- 「利用者視点によるセキュリティリスクの共通認識の形成」
- 「事業者選択における基準として利用できる対策基準」
- 「情報セキュリティ監査による利用者と事業者の信頼関係の構築」
このガイドラインの特徴的なところは、「クラウド利用者」「クラウドサービス事業者」双方の観点からのチェック項目が整理されている点で、クラウドサービスの利用者と事業者間で、 サービスレベルに関する認識の齟齬が生じないよう、コミュニケーションを取るツールとしての活用が期待されています。
このガイドラインの目的は「情報セキュリティ」「システム運用」の可視化ですから、その肝であるアクセス記録・証跡管理(ログ管理)についてどのような形で求められているのか、詳しく見ていきたいと思います。
クラウドセキュリティガイドライン 【10.10 監視】
クラウドセキュリティガイドラインでは、ログに関する内容は「10.10 監視」に書かれています。
【10.10 監視】
目的:認可されていない情報処理活動を検知するため。
- システムを監視することが望ましく、また,情報セキュリティ事象を記録することが望ましい。
- システム運用担当者の作業ログ及び障害ログは,情報システムの問題を識別することを確実とするために利用することが望ましい。
- 組織は,監視及び記録の活動に適用されるすべての関連した法的要求事項を順守することが望ましい。
- システムの監視は,採用している管理策の有効性の点検及びアクセス方針モデルに対する適合性の確認のために利用することが望ましい。
【10.10 監視】はログ管理に関する要件を下記の6項目で定義しています。
| 項番 | 内容 | 管理策 |
|---|---|---|
| 10.10.1 | 監査ログ取得 | 利用者の活動,例外処理及びセキュリティ事象を記録した監査ログを取得することが望ましく、また、将来の調査及びアクセス制御の監視を補うために、合意された期間、保持することが望ましい。 |
| 10.10.2 | システム使用状況の監視 | 情報処理設備の使用状況を監視する手順を確立すること,及び監視活動の結果を定めに従ってレビューすることが望ましい。 |
| 10.10.3 | ログ情報の保護 | ログ機能及びログ情報は,改ざん及び認可されていないアクセスから保護することが望ましい。 |
| 10.10.4 | 実務管理者及び運用担当者の作業ログ | システムの実務管理者及び運用担当者の作業は,記録することが望ましい。 |
| 10.10.5 | 障害のログ取得 | 障害のログを取得し,分析し,また,障害に対する適切な処置をとることが望ましい。 |
| 10.10.6 | クロックの同期 | 組織又はセキュリティ領域内のすべての情報処理システム内のクロックは,合意された正確な時刻源と同期させることが望ましい。 |
「10.10.1 監査ログ取得」~「10.10.5 障害のログ取得」は、あらゆる法令・制度・ガイドラインで求められるログ管理の2大要件「ログを適切な期間、安全に保管すること」「継続的なログのモニタリングを行うこと」と同義で、ログ管理の根幹と言える重要な要件です。
「10.10.6 クロックの同期」は他と比べると細かい要件のように見えますが、ログに記録される時刻のズレは、ログのモニタリングを適切に行う上で致命的な問題となりますので、
敢えてこの項目レベルで挙げられたものと思います。
さて、ここまでは他のガイドラインにもあるような、通常の「ログ管理」要件と何ら違いはありません。
クラウドサービス特有の要件は、【10.10.1 監査ログの取得】の「実施の手引き」に詳細が書かれています。
クラウドセキュリティガイドライン 【10.10.1 監査ログ取得】
【10.10.1 監査ログ取得】
| クラウド利用者のための 実施の手引き |
クラウド利用者は、クラウドサービス上で取得されるクラウドサービスの利用者の活動、例外処理及びセキュリティ事象を記録した監査ログの存在を確認することが望ましい。 |
|---|---|
| クラウド利用者は、クラウドサービス上で取得された監査ログは、将来の調査及びアクセス制御の監視を補うために、適切な期間、保持されることを確認することが望ましい。 | |
| クラウド利用者は、クラウドサービス上で取得される監査ログが、クラウドサービスの利用者の活動、例外処理及びセキュリティ事象を記録できていることを確認することが望ましい。 | |
| クラウド利用者は、クラウドサービス上で取得された監査ログが提供される方法、提供のタイミングについて、適切かどうか確認することが望ましい。 | |
| クラウド利用者は、クラウドサービス上で取得された監査ログが保持される期間が、将来の調査及びアクセス制御の監視を補うために適切かどうか確認することが望ましい。 | |
| クラウド事業者の実施が 望まれる事項 |
(上記、利用者の為の実施の手引きの裏返しの内容) |
ここで重要なのは、ブラックボックス化しているクラウドサービスの利用状況・運用状況について、それを可視化するためのログを利用者が適切に入手できる仕組みを、利用者・事業者の双方にて確認・提供する、
という事が求められている点です。
利用者はサービス利用に際し、それらログが存在する事、ログに適切な内容が記録されている事、適切な方法・タイミングでログの提供を受けられる事、などを確認するよう求められており、事業者はそれを提供するよう求めています。
クラウドサービス事業者様へのLogstorageの導入
このような背景もあり、クラウド事業者から利用者への、ログ管理サービスの提供が進んでいます。
下記は統合ログ管理システム「Logstorage」の、クラウド事業者への導入・サービス提供例です。
クラウド事業者 システム構成
このように、クラウド利用者のアクセス記録のみならず、クラウド事業者の運用状況(ファイアウォールの稼動状況やバックアップの実行状況など)のログもクラウド利用者に開示する等、 運用の透明性を高める取り組みが進んでいます。