クラウドセキュリティ用語集

A~Z

CSC
クラウドサービスカスタマ(Cloud Service Customer:クラウドサービス利用者)の略。
自社が、他社の提供するクラウドサービスを利用している場合は、自社を「そのクラウドサービスのCSC」とみなす事ができる。
正式な定義として、JIS X 9401には「クラウドサービスを使うためにビジネス関係にあるパーティー」と定められている。ISO/IEC 17789には、より詳細にCSCに関する分類が記載されている。
CSP
クラウドサービスプロバイダ(Cloud Service Provider:クラウドサービス提供者)の略。
自社が自らクラウドサービスを開発・運用し、他社に提供している場合は、自社を「そのクラウドサービスのCSP」とみなす事ができる。
正式な定義として、JIS X 9401には「クラウドサービスを利用できるようにするパーティ」と定められている。ISO/IEC 17789には、より詳細にCSPに関する分類が記載されている。
ENISA
欧州ネットワーク情報セキュリティ庁のこと。
正式名称は「European Network and Information Security Agency」。
ISO27017では、リスクアセスメントのための参考資料として、ENISAが公開している「Cloud Computing: Information Assurance Framework」を挙げている。
IaaS
インフラストラクチャを提供するクラウドサービスの総称。
正式名称は、Infrastructure as a Service(インフラストラクチャ アズ ア サービス)。
有名なサービスとして、Amazon Web ServicesのEC2や、Google Cloud PlatformのGCEなどが挙げられる。
JIP-ISAC100
ISMSクラウドセキュリティ認証制度において審査を行う審査機関(認証機関)に対する規格。
審査工数の算出方法などが記載されている。
JIP-ISMS517
JIPDECが運営する「ISMSクラウドセキュリティ認証制度」の要求規格。
この規格の中で「組織は、ISO27017に記載されている管理策を比較し、見落としていないことを確認する」という表現が記載されている。
PaaS
プラットフォームを提供するクラウドサービスの総称。
正式名称は、Platform as a Service(プラットフォーム アズ ア サービス)。
有名なサービスとして、Amazon Web ServicesのS3や、Herokuなどが挙げられる。
SaaS
ソフトウェアを提供するクラウドサービスの総称。
正式名称は、Software as a Service(ソフトウェア アズ ア サービス)。
文脈によっては「クラウドサービス = SaaS」として利用されるケースも多い。
有名なサービスとして、G Suite(Gmail, Google Dirveなど)や、Dropboxなどが挙げられる。
SLA
サービス提供者と利用者間で結ぶ、サービス品質に関する合意書。
実際のサービス品質(稼働率や通信速度等)が、SLAに記載されている値を下回った場合は、返金などの措置が実施されるケースも多い。
ISO27017でCSPに要求されている「CSCへの情報提供」の一部は、このSLAを通じて実施されることもある。
WAF
ウェブサービスに特化したファイアウォールのこと。正式名称は「Web Application Firewall」。

あ行

アドオン認証
既に何らかの認証を取得している組織を対象に、その認証を取得していることを前提として、追加の認証を付与する仕組みのこと。
ISMSクラウドセキュリティ認証は、ISMS認証のアドオン認証と呼ばれており、ISMS認証の取得を前提として、認証が付与される。

か行

仮想マシン
本来のコンピュータの動作を真似るソフトウェアのこと。別名「バーチャルマシン(VM)」とも。
従来の物理的なサーバやコンピュータにインストールして利用する。
この仮想マシン技術を利用することで、1つの物理サーバ上に、複数のサーバが動作しているように見せかけることができる。
ISO27017では、仮想マシンのセキュリティ対策を実施することが要求されており、具体的な対策としては、
必要なポートのみに限定したポート開放、マルウェア対策、ログ対策などが記載されている。
クラウドコンピューティング
複数の利用者で共有されたリソースについて、利用者の要求に応じて適切に配分し、ネットワークを経由して提供する事ができる技術のこと。
経済産業省やISOなどの各組織が、「クラウドコンピューティング」という用語に対して様々な定義を公開している。
詳細は、https://www.iso27001.jp/blog/security/5591/ に記載している。
クラウドサービス派生データ
クラウドサービスカスタマが、クラウドサービスを利用することによって生じるデータ。
具体的には、誰が、いつ、どの機能を使ったか等を記録した「ログデータ」や、クラウドサービスカスタマがクラウドサービスを利用するために設定した「設定情報」などが該当する。
ISO27017の8.1.1によると、クラウドサービスプロバイダは、情報資産として、クラウドサービスカスタマデータのみだけではなく、この「クラウドサービス派生データ」も合わせて特定することが望まれている。

た行

多要素認証
知識、所有、生体の中から2つ以上の要素を組み合わせた認証のこと。
2つの要素を組み合わせる場合は「2要素認証」と表現される場合もある。
例えば、パスワードと、スマートフォンに表示されるトークンを組み合わせたログインの仕組みは、知識と所有を組み合わせた多要素認証(2要素認証)である。
ISO27017では、CSPは、利用者の特権アカウントのログインとして、多要素認証を始めとした十分に強い認証を提供する必要があると定められている。

は行

ピアクラウドサービスプロバイダ
「ピアクラウドサービス」を提供しているプロバイダのこと。「ピアクラウドサービス」とは、他のクラウドサービスプロバイダが提供するクラウドサービスの一部として利用されるクラウドサービスのこと。ISO17789に定義されている。
例えば、自社がSaaS型のクラウドサービス(Aサービス)を提供しており、そのサービスの一部の機能として、別の会社(B社)のSaaS型のクラウドサービス(Bサービス)を利用している場合、自社にとって、Bサービスはピアクラウドサービスであり、B社はピアクラウドサービスプロバイダになる。
ISO27017の15.1.3によると、自社のクラウドサービスがお客様と約束したサービスレベルを満たすために、自社のクラウドサービスのピアクラウドサービスのセキュリティ水準を確認することが望まれている。
ベースラインアプローチ
既存の基準やガイドラインを元にして、自社のルールを構築していく手法。
ISO27017の管理策を元としたベースラインアプローチによる社内ルール構築を実施することで、自社のセキュリティルールにISO27017を取り入れる事ができる。

ま行

マルチテナント
1つのシステムを、複数の利用者が同時に利用するシステムの形態。
例えば、1つの物理サーバ上に、複数の仮想マシン(テナント)を用意し、それぞれの仮想マシンを、別のユーザーが利用している場合が該当する。
マルチテナント特有のリスクとして、自社のテナントが入っているシステムと同じシステムに同居しているユーザーが不正を働かせた場合、自社のテナントにも影響が及ぶことが考えられる。
具体例としては、同居しているユーザーが高負荷の処理を行うことにより、システム全体の処理能力が枯渇し、自社のテナントに割当てられる処理能力の低下がもたらされ、通常の処理が行えなくなる可能性があることが挙げられる。

ISO27017新規取得に関する無料相談・お見積り

ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

お問合せはTEL:03-5719-6234 / 受付時間 10:00~18:00(平日)

メールフォーム (24時間受付)

ISO27017認証取得コンサルティングへのお問い合わせフォームはこちら

ISO27017/ISO27018新規取得に関する無料相談・お見積り

ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。

お問い合わせフォーム(24時間受付)

ページの先頭へ戻る