独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)は、ENISA (*1)(European Network and Information Security Agency:欧州 ネットワーク情報セキュリティ庁)が2009年11月に発行したクラウドコンピューティングのセキュリティに関するガイドライン「クラウドコンピューティング:情報セキュリティ確保のためのフレームワーク」と「クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項」の2件の文書を翻訳し、2010年10月25日からIPAのウェブサイトにて公開いたしました。
IPAでは、2010年3月に「クラウド・コンピューティング社会の基盤に関0する研究会 報告書」の公開(*2)、2010年6月に、クラウドセキュリティアライアンスと相互協力協定を締結(*3)するなど、クラウドコンピューティングの可能性に着目し、様々な事業を行ってきました。現在も、中小企業等におけるクラウドコンピューティングの利用に関する実態調査や、中小企業におけるクラウドコンピューティング利活用ガイダンスの作成などの事業を実施中です。今回の翻訳は、これらのクラウドコンピューティング関連事業の一環として位置付けられます。
クラウドコンピューティングにおいては、情報セキュリティの確保が重要な課題となっています。今回翻訳を行ったガイドラインでは、クラウドコンピューティングを利用する際に、そのセキュリティリスクを評価・管理しつつ、利便性を引き出すための具体的な提言が記載されています。EUの産業界は、主に中小企業で構成されているため(*4)、これらのガイドラインは、中小企業の利用に配慮したものとなっています。
(*1) ENISA:2004年3月に設立された欧州連合(EU)の機関。本部所在地は、ギリシャ共和国ヘラクリオン。ENISAは、ネットワークセキュリティ及び情報セキュリティに関する予防・対応能力を促進することを任務とし、EU加盟国および欧州諸機関へ、アドバイスや提言を提供すると共に、欧州諸機関、EU加盟国ならびに民間企業・産業関係者との連携を促進している。http://www.enisa.europa.eu/
(*2) http://www.ipa.go.jp/about/press/20100324.html
(*3) http://www.ipa.go.jp/about/press/20100607_2.html
(*4) European Commissionの調査によれば、EUの産業界の中小企業の割合は99%
翻訳文書(ダウンロード)
・ダウンロードファイルは全てPDF形式です。
1. クラウドコンピューティング:情報セキュリティ確保のためのフレームワーク
| 原文名称 | Cloud Computing: Information Assurance Framework |
|---|---|
| 対象読者 | クラウドコンピューティングを利用する企業(特に中小企業)、クラウドプロバイダ |
| 概要 | 企業(特に、中小企業)がクラウドサービスを利用する際に、情報セキュリティ確保のために、クラウドプロバイダに対して質問すべき項目を、「人的セキュリティ」、「サプライチェーンにおける情報セキュリティの確保」、「データおよびサービスのポータビリティ」、「法的要求事項」等の10のカテゴリーに分割しまとめている。さらに、利用者側・プロバイダ側の法的責任の範囲や責務の範囲をまとめた上で、クラウドコンピューティング利用者は何が自己の責任に含まれるかを検証すべきであるとしている。 |
2. クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項
| 原文名称 | Cloud Computing: Benefits, risks and recommendations for information security |
|---|---|
| 対象読者 | クラウドコンピューティングを利用する企業(特に中小企業)、クラウドコンピューティングを利用する個人 |
| 概要 | クラウドコンピューティングを利用する際のセキュリティ上のリスクと利点の評価を可能にするために、クラウドコンピューティングの既存および潜在ユーザーに対して、セキュリティ上のガイダンスを提供する文書。リスクの評価に関しては、「ポリシーと組織関連のリスク」、「技術関連のリスク」、「法的なリスク」、「クラウドコンピューティングに特化していないリスク」の4つのカテゴリーにおいて、計35項目のリスクを提示し、そのリスクにどのような脆弱性と資産が関連するかを示している。なお、取り上げている脆弱性は53項目あり、一般的な情報セキュリティ上の脆弱性と、クラウドコンピューティングに特化した脆弱性の両方をとりまとめている。資産については、「企業の評判」、「顧客の信頼」、「個人の秘密データ」、「人材データ」など23項目について、その所有者と認識される価値の高低を明示している。また、以下3つの付録により、法律上の問題点やケーススタディを示している。 付録I - クラウドコンピューティング - 法律上の重要な問題点 |
3. 項目2の文書に記載のある、35のリスク項目の対訳、53の脆弱性項目の対訳、23の資産項目の対訳
免責事項
ここに公開されている翻訳文書は、原文にできるだけ忠実に翻訳するよう努めていますが、完全性、正確性を保証するものではありません。翻訳監修主体であるIPAは、本翻訳物に記載されている情報より生じる損失または損害に対して、いかなる人物あるいは団体にも責任を負うものではありません。原文のありのままの内容を理解する必要のある場合は、ENISAサイトに掲載されている原文をお読み下さい。
ENISA HP:http://www.enisa.europa.eu/
原文URL:
1. クラウドコンピューティング:情報セキュリティ確保のためのフレームワーク
Cloud Computing: Information Assurance Framework
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-information-assurance-framework
2. クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項
Cloud Computing: Benefits, risks and recommendations for information security
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
