以下の内容はhttps://infomation-sytem-security.hatenablog.com/entry/csa-ccm-explainedより取得しました。

最終更新日

クラウドセキュリティの羅針盤:CSAとCCMを徹底解説

セキュリティ技術解説 クラウドセキュリティ
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

クラウドの普及とセキュリティの重要性

皆さん、こんにちは。情シスセキュリティ担当の城咲子です。

近年、企業のITインフラは急速にクラウドへ移行しています。利便性やコスト削減といったメリットがある一方で、セキュリティ面での懸念も増しています。クラウドのセキュリティ対策は、自社だけではなくクラウドサービスプロバイダー(CSP)との共同責任です。しかし、どこまでが自社の責任で、どこからがCSPの責任なのか、その境界線が曖昧だと感じている方も多いのではないでしょうか。

この記事では、そんなクラウドセキュリティの課題を解決するための羅針盤となる、CSA(Cloud Security Alliance)とCCM(Cloud Controls Matrix)について、私の経験も交えながら徹底的に解説します。

CSA(Cloud Security Alliance)とは

CSAは、クラウドコンピューティングにおけるセキュリティのベストプラクティスを推進するための、世界的な非営利団体です。私がCISSPや登録セキスペの勉強をしていた頃から、この団体の存在は知っていましたが、その活動の幅広さには驚かされます。

CSAは、クラウドセキュリティに関する知識を普及させるための様々な活動を行っており、代表的なものとして以下の3つが挙げられます。

  • CCM (Cloud Controls Matrix) の策定
  • CAIQ (Consensus Assessments Initiative Questionnaire) の提供
  • CCSK (Certificate of Cloud Security Knowledge) の認定資格

CCMは後ほど詳しく解説しますが、CAIQはCSPのセキュリティ体制を評価するための質問集、CCSKはクラウドセキュリティの知識を証明する資格です。これらはすべて、私たちがクラウドを安全に利用するための助けとなります。

CCM(Cloud Controls Matrix)とは

CCMは、CSAが策定したクラウドセキュリティの管理策フレームワークです。簡単に言うと、クラウドサービスに必要なセキュリティ対策を網羅的にまとめたチェックリストのようなものです。

CCMは複数のドメイン(カテゴリ)に分かれており、それぞれに具体的な管理策が定義されています。たとえば、アクセス管理や暗号化、インシデント対応などが含まれます。

このCCMの大きな利点は、以下の点にあります。

  1. 網羅性: クラウドセキュリティに関する様々なリスクに対応するための管理策が、体系的にまとめられています。
  2. 標準化: ISO 27001やNIST SP 800-53といった、既存の国際的なセキュリティ基準とのマッピングも提供されており、複数の基準を個別に適用する手間が省けます。
  3. 可視化: CCMをCSPが公開することで、利用者はそのサービスがどの程度のセキュリティ対策を講じているかを客観的に評価できます。

実際に私は、社内のクラウド導入プロジェクトでCSPを選定する際に、CCMとCAIQを使ってセキュリティ評価を行った経験があります。CSPから提出されたCAIQの回答をCCMのフレームワークと照らし合わせることで、各社のセキュリティレベルを比較し、適切なサービスを選択することができました。

CSA STAR Program とは

CSAは、CCMの運用をさらに発展させたSTAR (Security, Trust & Assurance Registry)というプログラムも提供しています。これは、CSPが自社のセキュリティ対策状況を公開し、CSAがそれを認証する仕組みです。

STARには以下の3つのレベルがあり、セキュリティ対策の進捗度合いによって異なります。

  • STAR Level 1 (自己評価): CSPがCCMやCAIQを用いて、自社のセキュリティ対策を自己評価し、その結果を公開するレベルです。
  • STAR Level 2 (第三者認証): ISO 27001やSOC 2といった既存の認証に加え、CCMに基づいた第三者機関による評価を受けるレベルです。
  • STAR Level 3 (継続的な監視): さらに高度なセキュリティを要求される政府機関など向けに、継続的な監視と保証を提供するレベルです。

まとめ:なぜCSAとCCMが重要なのか

今日のブログでは、クラウドセキュリティの羅針盤となるCSACCMについて解説しました。

クラウドの利用が当たり前になった今、セキュリティ対策は企業の生命線です。CSAとCCMは、その対策を効率的かつ体系的に進めるための強力なツールとなります。

特に、情シスやセキュリティ担当者の皆さんには、CCMのフレームワークを理解し、CSPの選定や自社のセキュリティ管理に活かしていくことを強くお勧めします。これにより、CSPとの責任分界点を明確にし、より安全なクラウド環境を構築できるようになるはずです。

今回の内容が、皆さんのクラウドセキュリティ対策の一助となれば幸いです。



以上の内容はhttps://infomation-sytem-security.hatenablog.com/entry/csa-ccm-explainedより取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14