5.23 クラウドサービス利用のための情報セキュリティ
管理策:
クラウドサービスの取得、利用、管理及び終了のプロセスを、組織の情報セキュリティ要求事項に従って確立しなければならない。
解説:
組織がクラウドサービスを利用する際に、情報セキュリティを適切に維持するためのガイダンスを提供する。
クラウドサービスは、インフラストラクチャ、プラットフォーム、ソフトウェアなど、様々な形態で提供されるため、組織は適切なセキュリティ対策を講じる必要がある。
対応方法:
①クラウドサービスプロバイダを選定する際の基準やプロセスを明確にする。
②クラウドサービスプロバイダとの契約に、情報セキュリティに関する適切な条項や取り決めを含める。
③クラウドサービス内でのデータの保護策(暗号化、バックアップなど)を適切に行う。
④クラウドサービスへのアクセスを制御し、権限管理を確実にする。
⑤クラウドサービスプロバイダとの連携におけるセキュリティインシデント対応のプロセスを明確にする。
⑥クラウドサービスの終了や移行が必要になった際は、計画的に行い、データを適切に取り扱う。
⑦クラウドサービスプロバイダに対して、情報セキュリティを維持・向上するための取組が行われていることを確認する。
⑧クラウドサービスの利用に関連する法規制や業界基準に漏れがないよう抽出し順守する。
※メルマガで配信したコラムを修正・加筆したものです