「クラウドサービス提供における情報セキュリティGL」の第3版を公開 - 総務省

総務省は、「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」を公表した。クラウドサービスにおける責任分界のあり方を追加している。

同ガイドラインは、クラウドサービス事業者が、提供サービスに即したセキュリティ対策を実施するための指針として、具体的な対策項目や対策事例を提示したもの。7月から8月にかけて実施したパブリックコメントを経て決定した。

2018年に公開した第2版から約3年ぶりの改定で、クラウドサービスの責任分界に関する記載を追加したほか、国際的な規格との整合性を取りつつ、読みやすいよう構成を見直した。

具体的には「SaaS」「PaaS」「IaaS」の特性やクラウドサービス同士の相関性を踏まえ、責任分界のあり方について整理して追記。事業者に共通で求められるセキュリティ対策や提供形態ごとのセキュリティ対策を示した。

あわせて国際規格「ISO/IEC 27017:2016」や、米国立標準技術研究所（NIST）のガイドライン「NIST SP800-53 rev.5」に記載されているセキュリティ対策との整合性を保つよう見直しを行っている。

クラウドサービス提供における情報セキュリティ対策ガイドラインの第3版における改定概要（図：総務省）

（Security NEXT - 2021/10/01 ） ツイート

PR

関連記事

クレカセキュリティGLが改訂 - 2025年までに「EMV-3Dセキュア」原則導入
IPA、中小企業向けECサイトのセキュリティガイドラインを公開
メタバースセキュリティガイドラインの一部を公開 - 関連3団体
政府、クレカ会社にフィッシング対策強化を要請 - DMARC導入など
2022年4Qの脆弱性届出 - ソフトとサイトいずれも減少
ビルシステムのセキュリティ対策カタログをリリース - CSSC
経産省、工場向けのセキュリティガイドラインを策定
個情委への漏洩報告が約3倍に - 医療機関や不正アクセスなどに起因
下請へのセキュ要請、問題なし - ただし優越的地位の濫用となるケースも
2022年3Qの脆弱性届け出、ソフトとサイトのいずれも増加