4. 主なクラウドサービス固有の管理策(参考)
Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 3
. P 8 .
P 5 L
.5 . C
. . P 1
D . C
. .
. C
. 1 . 2 .
C
. P L .
.
. L .
.
.1
S C
S
. . C .
P
. 3
. .S C
D3
D
6
5. CSA STAR認証
Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 4
Ø CSA (⽶国クラウドセキュリティアライアンス)が提供する Security, Trust &
Assurance Registry (STAR) のセルフアセスメントに登録して、⾃⼰評価する
レベル1とSystem and Organization Controls (SOC) 2 レポートおよび
ISO 27001 規格の第三者の監査による判定に基づいたレベル2があります。
Ø CSA STAR認証は、クラウドサービスのセキュリティ成熟度を第三者が評価する
認証サービスです。
Ø CSAから認定を受けた認証機関の審査によって、11の管理エリアにおける成熟
度の点数が付けられます。
審査レポートにより、プロセスの成熟度とどの分野に改善の余地があるかを知るこ
とができ、その成熟度のレベルに応じて「ブロンズ」「シルバー」「ゴールド」のいずれ
かの賞が授与され、認証を受けた事業者はSTAR認証として、CSAのWebペー
ジに掲載されます。
7. ⽶国連邦政府クラウド統⼀セキュリティ基準「FedRAMP」
Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 6
Ø 「FedRAMP」(Federal Risk and Authorization Management
Program)は、連邦政府共通のクラウドサービス調達のためのセキュリティ基準
です。クラウドサービスプロバイダーが、このプログラムの認証を受けて登録されると、
省庁ごとの調達評価の⼿続きを経ることなく、提供することが可能な仕組みです。
Ø クラウドサービス事業者がFedRAMPの認定を受けるには、FedRAMP認定の
第三者評価機関による評価報告書を提出し、「合同認定委員会」(JAB=
Joint Authorization Board)による承認を受ける必要があります。
Ø 連邦政府機関の中でも、より⾼いセキュリティレベルが要求される国防・軍事分
野では、クラウドサービス事業者およびそのユーザーに対して、国防総省が
FedRAMPに独⾃の要求事項を加味した認証制度を構築しています。
※国防総省・国防情報システム局(DISA)のクラウドコンピューティングセキュリ
ティ要求事項ガイド(SRG)
8. アメリカ合衆国国防総省(SP800-171への準拠要求)
Copyright (c) GLOBAL SECURITY EXPERTS Inc., All Rights Reserved. 7
Ø SP800-171 とは、2015年6⽉に出されたNIST(アメリカ国⽴標準技術研究
所︓National Institute of Standards and Technology)のガイドライン
です。
Ø ⽶国の政府機関ではCUI(管理された⾮格付け情報︓Controlled
Unclassified Information)の取扱に関する基準としています。
Ø DoD(アメリカ合衆国国防総省︓United States Department of
Defense)と取引のある企業では2017年12⽉31⽇までに当該基準への遵守
が求められました。