セキュリティ管理のメモ帳

セキュリティに関する備忘録

「供給者のサービス提供の監視、レビュー及び変更管理」について

ISO27002管理策の考察

はじめに

 情報セキュリティのための管理策の中で組織的対策として分類されている「供給者のサービス提供の監視、レビュー及び変更管理」について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。

1.管理策の概要

 先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。

ISO/IEC 27002:2022 5.22 Monitoring, review and change management of supplier services から引用

Purpose:
To maintain an agreed level of information security and service delivery in line with supplier agreements.
管理目的:
供給者の契約に基づき、合意されたレベルの情報セキュリティ及びサービス提供を維持するため。

Control:
The organization should regularly monitor, review, evaluate and manage change in supplier information security practices and service delivery.
管理策:
組織は、供給者の情報セキュリティの活動状況とサービス提供状況の変化を定期的に監視、レビュー、評価し、管理することが望ましい。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

 過去にも投稿した通り、セキュリティの管理責任(accountability)は組織にあり、組織自らが必要と判断した「供給者により提供されるサービス利用に関連する各管理策の実施を含むセキュリティ要件」が満たされることを、供給者との合意により担保します。
 さらに、情報セキュリティリスクを適切に維持するためには、組織は供給者との合意事項であるセキュリティ要件の実施*1状況の変化を見極め、意図したレベルが維持されていることを確認する必要があります。
 しかしながら、供給者から提供されるサービスの利用に伴うセキュリティリスクに影響を及ぼすであろう変化を明らかにすることは容易ではなく、そのための特別な管理策の実施が必要となります。

 上記のような背景を踏まえ、本管理策では「組織は、供給者の情報セキュリティの活動状況とサービス提供状況の変化を定期的に監視レビュー評価し、管理する」ことが求められています。
 具体的には、次のような事項を含むリスクアセスメント(運用サイクル)及びリスク対応の実施が求められていると解釈しました。(あくまで私個人が解釈した内容です)

  • 監視:組織の状況の理解
  • レビュー:リスク特定、リスク分析
  • 評価:リスク評価
  • 管理:リスク対応を含むリスクマネジメント全般

 リスクアセスメント(運用サイクル)については、過去の記事で考察しています。  blg8.hatenablog.com

2.具体的な実施例

 具体的には、供給者により提供されるサービス利用に関し、下表のような変更管理を実施します。

図 供給者によるサービス提供に対する変更管理の実施例

 次項以降で、上記に対する具体的な実施内容を考えます。

2-1)合意文書による遵守事項の維持

 供給者との間で合意された内容の遵守が変わらずに維持されることを監視、レビュー、評価により管理します。

a)監視手法

 監視手法について、具体的な実施例とともに紹介します。

  • サービスのパフォーマンスレベル
     例えば、各種パフォーマンス指標を表示するダッシュボードなど、サービスの可用性やパフォーマンスの状態を可視化してくれるクラウドサービスの支援機能を利用することで組織は容易にそのパフォーマンスレベルを確認することができます。

  • 供給者によるサービスレポート
     供給者から毎月提供されるサービスレポートにより、サービスのパフォーマンス、ダウンタイム、セキュリティインシデント等の情報を入手することができます。

  • 三者による監査やリスクアセスメントなどの報告書
     クラウドサービスを利用している場合、クラウドサービスプロバイダの監査を組織が自ら実施することは現実的ではないため、SOC2レポートのような客観的な評価レポートを入手し確認することが一般的です。

  • 組織による第二者監査
     合意文書により事前に監査権を主張しておくことで、組織自らが監査により確認することが可能になります。

b)レビュー内容

 SLAなどに記載されている合意事項と監視結果との比較によりレビューを行います。

c)評価内容

 レビューの結果、合意事項への違反が確認された場合は、改善内容などその対応について供給者と協議します。
 なお、合意事項への違反が判明した場合の補償及び改善内容は合意事項により事前に明らかにしておくことも重要です。
 上記内容を含む、供給者との合意については、過去の記事が参考になります。

blg8.hatenablog.com

2-2)セキュリティ事象、インシデント、及び問題に対する適切な管理

 セキュリティ事象、インシデント、及び問題に対し速やか且つ適切な対処をするために、監視、レビュー、評価により管理します。

a)監視手法

 監視手法について、具体的な実施例とともに紹介します。

  • 脆弱性の特定
     脆弱性はサービスリリース後に発見されることもあるため、定期的な確認によりその管理を行うことが必要です。具体的には、脆弱性スキャンやペネトレーションテスト、SBOMの管理とコンポーネント脆弱性調査の実施などです。

  • インシデント、及びインシデントに関連する可能性のある事象の報告
     事前に合意しておくことで、例えば、セキュリティ侵害や情報の漏洩などの組織が利用しているサービスに関連するインシデントなどが発生した場合の報告を供給者から入手することができます。

  • 供給者が管理している監査証跡
     供給者と事前に合意が得られているケースでは、セキュリティ事象が発生した時に、サービスの利用状況、セキュリティ関連の活動の情報*2を含む監査証跡を入手することができます。

  • 不審なアクティビティの検知
     稀なケースではありますが、供給者が提供するサービスの支援機能としてログを確認する事ができる場合は、モニタリングにより事前に設定した判定基準*3との比較や不審なアクティビティ*4の検知が可能になります。

b)レビュー内容

 レビューは、リスク対応の必要性を見極めるためのリスク分析が主な内容となります。次のような項目についてレビューが必要になると思われます。

  • 事象がインシデントに発展する可能性
  • インシデントの原因の特定と影響の分析
  • 再発防止策の必要性
c)評価内容

 レビューの結果から、事象又はインシデントへの対応の必要性、緊急度、及び対応内容を検討します。
 内容によっては供給者との協議が必要になる可能性があります。

2-3)供給者による変更がサービス提供に影響を与えないことの確認

 供給者による変更がサービス提供に影響を与えないことを確認するために監視、レビュー、評価により管理します。
 なお、適切な変更管理を行うために、次を含む内容について事前に供給者との合意により明らかにすることも検討します。

  • 変更を実施する前の組織への通知の要否
  • 変更を実施する前の組織の承諾の要否
  • 変更実施時の組織への通知内容と実施から通知までの期限
a)監視手法

  • サービスの提供に関連する変更
      例えば、新製品、又は新バージョンの採用やサービス施設の物理的な位置の変更など、供給者が提供するサービスの品質、性能及びセキュリティに影響を与える可能性のある変更を監視します。
     ※)サービス施設の物理的な位置の変更について
     データの保管、転送、処理の物理的な位置が変わる場合、法域(関連法令の適用)に影響する可能性があることを理解し、リスクを特定する必要があります

  • サービス内容の変更
     例えば、サービスの改善や新しいセキュリティ管理策の採用や実施内容の変更など、供給者がサービスに加える変更が、組織が利用するサービスの品質、性能及びセキュリティに与える影響を監視します。

b)レビュー内容

 レビューは、リスク対応の必要性を見極めるためのリスク分析が主な内容となります。ここでは、変更がサービス提供やセキュリティに与える影響を分析する必要があります。

c)評価内容

 レビューの結果から、変更内容への必要性、緊急度、及び対応内容を検討します。
 内容によっては供給者との協議が必要になる可能性があります。

まとめ

 例えば、「合意文書の遵守状況の維持」、「セキュリティ事象、インシデント、及び問題に対する適切な管理」、「供給者による変更がセキュリティリスクに影響を与えないことの確認」など、供給者が提供するサービス利用に係るセキュリティリスクを適切に管理するためには、対象となるサービスに対する監視、レビュー、変更管理が欠かせません。本稿では、その具体的な実施内容について考察しました。
 上記は、組織のみで完結できるものではなく、供給者の協力が必須となる項目が多く含まれていますので、その内容に関し事前に明確かつ具体的な合意を得ることが、インシデントの未然防止だけではなく、事象発生時の速やかな対応のために必要となります。併せて、リスクコミュニケーションなどによる協力関係、信頼関係を築くことも重要と考えます。

参考資料

  • ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
  • NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations SR-6, SR-10

脚注

*1:具体的には、リスクマネジメントや管理策の実施などの情報セキュリティに関する活動全般やサービスの提供など

*2:例えば、ログインやログアウト、システムへのアクセス、データの変更などです。

*3:例えば、ルールベースや正常なアクティビティのパターンを学習し、異常なアクティビティを検知するために機械学習により設定される基準などです。

*4:例えば、ログインエラーが一定回数以上発生した場合や、不審なIPアドレスからのアクセスなどです。