C5 について教えてください



 

Uptime Institute

クラウドコンピューティングコンプライアンスコントロールカタログ (C5) は、連邦情報セキュリティ庁 (BSI) によってドイツで導入されたドイツ政府の認定スキームです。これは、ドイツ政府の「クラウドプロバイダーへのセキュリティ勧告」のコンテキスト内での一般的なサイバー攻撃に対して、企業が運用上のセキュリティを実現するのに役立ちます。

C5 認定を使用することにより、AWS のお客様やコンプライアンスアドバイザーはワークロードをクラウドに移行する際、AWS で提供される IT セキュリティ保証サービスの範囲を把握できます。C5 では、クラウド特有のコントロールの追加とともに、IT 基本保護法 (IT-Grundschutz) と同等の規制上定義された IT セキュリティレベルが追加されます。

C5 では、データのロケーション、サービスのプロビジョニング、管轄の場所、既存の認証、情報公開義務、および全サービスの説明に関連した情報を提供する詳細なコントロールも追加されます。この情報を使用して、お客様は法的規制 (データプライバシーなど)、独自のポリシー、または脅威環境がクラウドコンピューティングサービスの使用にどのように関連しているかを検討できます。


AWS のお客様は、AWS 上で実行するクラウドアプリケーションに対して C5 認定を達成できます。2016 年 11 月現在、AWS はクラウドサービスプロバイダーとしてドイツで最初にインフラストラクチャーレベルで C5 を受けました。AWS は C5 レポートで、C5 コンプライアンスをサービスとしてのインフラストラクチャー (IaaS) プロバイダーとして記録する基盤を築きました。

AWS のお客様はデータセンターの物理的なセキュリティーやクラウドのインフラストラクチャーの監査を受ける必要なく、そのクラウドアプリケーションに C5 認定を受けられるようになりました。お客様は、サービスとしてのソフトウェア (SaaS) やサービスとしてのプラットフォーム (PaaS) としてデプロイしたアプリケーションも C5 認定フレームワークで認定を受けられるようになりました。したがってお客様のお客様も、BSI 標準レベルの IT セキュリティーをあらゆるレイヤーで実質的に実装しているという証拠を受けることになります。


BSI のクラウドコンピューティングコンプライアンスコントロールカタログ (C5) では、安全に運用されるクラウドサービスに関するすべての側面が取り上げられています。現在の AWS のお客様にとっては、セキュリティおよびコンプライアンスマネージャーとの内部ディスカッションがかなり容易になります。利用見込みのあるお客様にとっては、AWS へのユースケースの移行がさらに容易になります。どちらの場合にしても、認定によってサービスの利用量が大幅に増大します。
Computacenter AG & Co oHG
BSI C5 認定は、Box Cloud はエンタープライズコンテンツ管理に対するセキュアなクラウドソリューションであることの証明です。Box はドイツ、ヨーロッパ両方でのコンプライアンスへの決意と投資で、当社にとってこれらの市場がどれほど重要であるかを示しています。Box は中でもフランクフルト地区で AWS のインフラストラクチャーを使用しており、これも C5 準拠です。
Box, Inc.
AWS の C5 認定は、インフラストラクチャー管理のためのスキームで、データセンター、サーバー、ネットワークとデータに分野で、当社と当社顧客にとって情報のセキュリティーに対する大きな証となります。AWS のセキュリティーには大きな信頼を寄せることができるので、当社ではエネルギーを自身の事業に集中させることができます。
e-Spirit AG

次の良くある質問はSaaS、PaaS アプリケーションに対する C5 認定を受けられる際のガイドとなることを意図しています。C5 の詳細と、「クラウドコンピューティングコンプライアンス管理カタログ (C5) – クラウドサービスの情報セキュリティーの評価条件」は次の BSI ウェブサイトでご覧になれます。

既に C5 の対象範囲内となっている AWS の対象サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスで確認できます。このサービスの使用方法やその他のサービスの詳細に関心をお持ちの場合は、お問い合わせください。

C5 (クラウドコンピューティングコンプライアンス管理カタログ、Cloud Computing Compliance Controls Catalogue) はドイツの「クラウドコンピューティング IT セキュリティー」標準です。2016 年 2 月に BSI によって設計および公表された C5 のコントロールセットにより、複雑で規制されたワークロードを AWS のようなクラウドコンピューティングサービスプロバイダーに移行する際、ドイツのお客様に対する保証が向上されます。C5 は次の国際標準をカバーしています:

ISO/IEC 27001:2013 (ISO – 国際標準化機構)

CSA Cloud Controls Matrix 3.01 (CSA – クラウドセキュリティアライアンス)

AICPA Trust Service Principles Criteria 2014 (AICPA – 米国公認会計士協会)

ANSSI Référentiel Secure Cloud 2.0 (Draft) (ANSSI – フランス国立コンピューターセキュリティー局、Agence nationale de la sécurité des systèmes d'information)

IDW ERS FAIT 5 04.11.201 (会計報告書の草稿: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" [クラウドコンピューティングを含む会計関連サービスの外部委託のための基本的な会計原則]、2014 年 11 月 4 日版)

BSI IT-Grundschutz Catalogues、2014 年第 14 版

BSI SaaS Sicherheitsprofile 2014 [BSI SaaS セキュリティプロファイル 2014]

ドイツの国立コンピューター規制局であるBundesamt für Sicherheit in der Informationstechnik (BSI) が C5 標準を作成しました。BSI はすべての政府システムに対するセキュリティー要件を策定し、ドイツの大部分の企業はその IT セキュリティー戦略を BSI 標準に合わせています。

上記の標準からの管理規定が収集され、特にクラウドコンピューティングに対して編纂されました。これによって CSP と顧客は、CSP の役割と顧客の役割について責任共有モデルで明確な理解を得られるようになりました。

IT-Grundschutz は組織の情報の適切な保護を確立、維持するための標準です。IT-Grundschutz カタログには通常の業務プロセス、IT システム、アプリケーションを安全に守ることが記載されており、エンタープライズ自身の情報の保護を取り扱っています。C5 はクラウドサービスプロバイダー (CSP) の提供するものに関するガイダンスです。

認証は認可を受けた専門企業が発行するもので、通常1 年から 3 年有効です。認定はコンプライアンス監査、または資格のある者による吟味で受けることがでます。認定は継続的な実施に重点を置いており、そのため再監査周期ははるかに短く、6 か月のものもあります。ISAE 3000 / 3402 によると、監査プロセスは過期間中の適切性と有効性に対する証拠を提示します。認証は単に時系列である時点を映したものに過ぎません。

具体的には、ドイツの顧客は通常 BSI の定めるドイツ IT-Grundschutz (IT のベースラインセキュリティー) で認定されたサービスを求めます。IT-Grundschutz はオンプレミスや従来のアウトソース関係には良く当てはまりますが、クラウドコンピューティングに対しては最適化されたものではありません。C5 はクラウドコンピューティングに対するあらゆる IT セキュリティー項目を取り扱いながら、 IT-Grundschutz と同等レベルの IT セキュリティーを網羅したレポートを顧客に発行します。規制当局にとっては、C5 認定は購買プロセスでの基本的な要件です。

C5 は主にプロのクラウドサービスプロバイダー、その監査員、クラウドサービスプロバイダーの顧客を主に意図したものです。C5 はクラウドプロバイダーが準拠すべき要件 (コントロールとも呼ばれる) または満たすべき最小要件を定めています。AWS のお客様はインフラストラクチャー (IaaS) レイヤーに C5 認定を受けられると、SaaS / PaaS レイヤーのアプリケーションへの認定に集中できるようになります。

2016 年 11 月現在、AWS はクラウドサービスプロバイダーとしてドイツで最初にインフラストラクチャーレベルで C5 を受けました。この C5 認定により、お客様はその監査員からクラウドアプリケーションへの C5 認定を受ける基盤を築きました。このため、AWS のお客様はその個々の監査に、データセンターの物理的セキュリティーを含めたり、クラウドのインフラストラクチャー部分を管理する必要なく、自社の C5 認定を受ける機会があります。サービスとしてのソフトウェア (SaaS) やサービスとしてのプラットフォーム (PaaS) としてデプロイしたアプリケーションも C5 認定フレームワークで認定を受けられます。したがってお客様のお客様も、BSI 標準レベルの IT セキュリティーをあらゆるレイヤーで実質的に実装しているという証拠を受けることになります。

コンプライアンス管理カタログには、公の監査員が国際的に認められた手順に従って検査されたクラウドサービスに対して認定を発行するとしています。この認定の元となっているのは監査報告書で、ここでは監査員は要件が満たされ、有効に実施されているかどうかを実証します。

C5 監査の準備と実施に関するご質問は、監査員にお寄せください。

年次監査は通常公の監査員個人が行うのではなく、チームが行います。このチームには IT の専門家も入っています。コンプライアンス管理カタログに従って証明するには、チームのメンバーは資格を有することを検証する必要があります (セクション 3.5.1 参照)。例としては ISACA (CISACISMCRISC)、CSA (CCSK) または ISO 27001 および IT-Grundschutz 監査員からの認定があります。これらの資格は認定に列挙し、検証されたものである必要があります。

監査の長さは対象企業がすでに持つ認定書によります。ISO 27001 などの認定書があると監査が短くてすみます。ISO IEC 27001 の要件はすべてコンプライアンス管理カタログにあるものばかりですので、認証と共に認定も受けることをお勧めします。

BSI はこの事業を ANSSI と、その近日発表される Secure Cloud Label と整合させています。C5 標準はフランスの Secure Cloud 標準から影響を受け、また影響を与えており、この明確な目的は ESCloud と呼ぶ共通のラベルの元での共通認識へのオプションを持つことです。

 

お問い合わせ