ISO27017は、クラウドサービスに関する管理策集(情報セキュリティに関する対策集)であることは、今まで多くのブログで説明してきました。

しかし、ISO27017には「こうすればリスクが低減できる」という内容は書かれていますが、そもそもクラウド上にどんなリスクがあるのか、そして、そのリスクはどれほどの大きさなのか、そのリスクを適切にアセスメントするにはどうすれば良いのか、といった内容は書かれていません。

とはいえ、ありがたいことに(?)、ISO27017には「附属書B」という形で、クラウドコンピューティングの情報セキュリティリスクに関する参考文献が掲載されています。

これらを読むことで、クラウドリスクについて、より深い理解を得ることが出来ます。

ですが、国際規格ですので掲載されている参考文献は、すべて英語です。

しかし、幾つかの文献は、IPAなどの組織によって日本語に訳されているものもあるため、今回は、日本語に訳されているものに限定して、ご紹介してみます。

ITU-T X.1601 クラウドコンピューティングに対するセキュリティの枠組み（国際電気通信連合）

ASP・SaaS・クラウドコンソーシアムによって、一部が日本語化されています。

クラウドコンピューティングおける脅威を、クラウドサービスの提供者と利用者に分けて、説明しています。
また、脅威に対抗するセキュリティ対策の例も掲載されています。

・英語版

クラウドコントロールマトリクス（クラウドセキュリティアライアンス）

日本のIPAなどが提携しているアメリカの非営利活動法人である「クラウドセキュリティアライアンス(CSA)」が発行している133個の管理策が掲載された表です。

既存のISO27001などの規格との対応表もついています。

Excelファイルの日本語版は、BSIジャパンのWebページのフォームから必要事項を入力することで、手に入れることができます。

・日本語版(Excel)

クラウドコンピューティング：情報セキュリティ確保のためのフレームワーク(ENISA)

欧州ネットワークセキュリティ庁(ENISA)が発行している、クラウドサービスを利用する中小企業が、クラウドサービスを利用する前に、クラウドサービスの提供者に向けて質問すべき内容が記載されています。
IPAが日本語翻訳版を発行しています。

・日本語版
・英語版

クラウドコンピューティング：情報セキュリティに関わる利点、リスクおよび推奨事項(ENISA)

同じくENISAが発行している文書です。合計35個のクラウドセキュリティリスクや、そのリスクが顕在化することによって被害を受ける情報資産の例が掲載されています。
・日本語版
・英語版

以上、今回は4つのリスクアセスメントの参考文献を紹介しました。

正直、大まかな記載内容はどの文書もほとんど同じで、これら全てに目を通す必要性はそこまで感じていません。

ただ、クラウドセキュリティ対策を行う場合には、これらの文書のうち幾つかに実際に目を通し、あらかじめどのようなリスクが想定されるのかを、確認しておくことをお奨めします。

LRMがご提供するISO27017認証取得コンサルティングについてはこちら！