サービス

クラウドセキュリティ成熟度評価

Deloitte Cloud Risk Control Frameworkに基づく“現状の見える化”

クラウドに関する主要なグローバルスタンダード等を取り込んだデロイトのフレームワークを用いて、組織のクラウド上のセキュリティ管理態勢を評価し、改善に向けた提言を行います。

クラウドセキュリティリスク管理態勢の強化

クラウドには“誰でも手軽に使いだしやすい”という特性がある一方、従来のIT環境と比較して、全体最適化の視点およびクラウド活用に伴うアタックサーフェスの増加※への対応等、新たな課題が生じます。クラウド環境を含めたセキュリティリスク管理態勢を強化するためには、クラウドの特性を反映したフレームワークに基づく段階的な対応が必要です。

  • 短期的には、まず”現状の見える化”を行い、フレームワークとのギャップがある場合に対策を検討する
  • 中長期的には、テクノロジーや法制度、その他ビジネス環境の変化に合わせてセキュリティレベルを維持するためにPDCA等継続的な改善サイクルを推進する

本サービスでは、デロイトが作成したフレームワーク”Deloitte Cloud Risk Control Framework”をもとに、クラウドセキュリティ対策に係る”現状の見える化”を提供します。

※従来のサイバー攻撃対策は、社内と社外に境界を設け、社外からの脅威を境界上で検証して社内への侵害を防ぐ「境界型防御」が一般的でした。しかし最近では、クラウドサービスの普及や働き方の多様性等により、社外にも守るべき資産が多く存在するようになり、アタックサーフェス(サイバー攻撃の対象となり得る領域)が増加しています。

 

Deloitte Cloud Risk Control Framework

クラウドコントロール分野のグローバルスタンダードとして、CSA[1]、ISO[2]、FedRAMP[3]、NIST[4]、AICPA[5]等の基準があります。デロイトでは、知見に基づくリスク管理体系と、これらグローバルスタンダードをバックボーンとした”Deloitte Cloud Risk Control Framework”を策定しており、当該フレームワークの378のコントロールにより、包括的なリスクアセスメントを実現します。

Deloitte Cloud Risk Control Framework

アプローチ概要

標準的には3カ月程度を目安として、以下の流れでアセスメントを実施します。対応期間は、組織体制やシステム規模等の諸条件により変動します。

アプローチ概要

アウトプット(イメージ)

1. アセスメントシート

Deloitte Cloud Risk Control Frameworkの9つのドメイン(領域)における378のアセスメント項目に対して、整備・運用の状況を文書確認とヒアリングを通してまとめていきます。各項目は状況に応じて副次的なチェック質問を用いて評価されます。

2. 評価結果レポート

評価結果レポートでは、現状把握と今後のアクションプラン策定に繋がるように、発見事項を以下のスタイルで提示します。

  • 現時点での領域別の達成状況一覧
  • ギャップ事項の改善に対する推奨事項 
  • 推奨事項の優先順位付けとマイルストーン

 

[1] CSA (Cloud Security Alliance) は、安全なクラウドコンピューティング環境を確保するベストプラクティス等の普及のために、国際的に活動している非営利法人です。
https://cloudsecurityalliance.org/
[2] ISO (International Organization for Standardization) は、グローバルな課題に対するソリューションとして、コンセンサスに基づく国際規格を提供している非営利法人です。
https://www.iso.org/
[3] FedRAMP (Federal Risk and Authorization Management Program) は、米連邦政府によるクラウドサービス利用を目的とした、費用対効果の高いリスクベースアプローチを提供するために設置された団体です。
https://www.fedramp.gov/
[4] NIST (National Institute of Standards and Technology) は、科学技術分野における計測と標準に関する研究成果を公表している、米商務省に属する政府機関です。
https://www.nist.gov/
[5] AICPA (Association of International Certified Professional Accountants) は、米国公認会計士協会であり、サイバーセキュリティに関する内部統制保証報告の枠組みも提供しています。
https://www.aicpa.org/

プロフェッショナル

石井 友貴/Tomoki Ishii

石井 友貴/Tomoki Ishii

デロイト トーマツ サイバー合同会社 マネージングディレクター

外資系ソフトウェアベンダー、大手システムインテグレータを経て2013年に有限責任監査法人トーマツに入社。2019年よりデロイト トーマツ サイバー合同会社のディレクターに就任。 ITおよびIoT領域におけるセキュリティバイデザイン(Security by Design)、サービス開発の超上流工程におけるセキュリティ構想策定、PCI DSS等の各種規制・ガイドラインに基づくセキュリティ要件定義が専門... さらに見る