等級保護2.0取得って、どうやるの？

Transcript

1. 等級保護2.0取得って、どうやるの︖ アリババクラウドが提供する サイバーセキュリティ法コンサルティングサービス ©Copy right by Alibaba Cloud. All rights

   reserved. アリババクラウド・ジャパン GoChina Office シニア・コンサルタント ⼤和⽥ 健⼈

2. ͝ଘ஌Ͱ͔͢ʁ தࠃαΠόʔηΩϡϦςΟ๏.-14ͷऔಘ͸ɺதࠃਐग़اۀͷٛ຿ͱͳ͍ͬͯ·͢ɻ േଇنఆ΋͋Γɺ೔ܥاۀͷఠൃࣄྫ΋͋Γ ࠓޙɺதࠃݸਓ৘ใอޢ๏͕ެ෍͞ΕΔݟࠐΈͰɺҬ֎ద༻΋ݕ౼͞Ε͍ͯ·͢ɻ

3. ͜Μͳํʹݟ͍͖͍ͯͨͩͨʂ தࠃݱ஍๏ਓɾຊࣾͰίϯϓϥΠΞϯεʹऔΓ૊·Ε͍ͯΔํ தࠃͷ৘ใγεςϜΛ؅ཧ͞Ε͍ͯΔํ தࠃਐग़اۀ޲͚ʹ৘ใαʔϏεΛఏڙ͞Ε͍ͯΔํ

4. ΞϦόόΫϥ΢υͷ͝঺հ

5. ΞϦόόΫϥ΢υͷੈքͰͷ࣮੷ Ψʔτφʔࣾൃද ೔ຊΛؚΉΞδΞଠฏ༸஍Ҭʹ͓͍ͯ/Pͷ࣮ྗɾੈքͰୈҐͷ࣮੷

6. ΞϦόόΫϥ΢υͷதࠃͰͷ࣮੷ தࠃ࠷େͷΫϥ΢υϕϯμʔͱͯ͠ͷΞϦόόΫϥ΢υ Alibaba Cloud 2-7位の ベンダー その他 上海 ⾹港 深セン

   杭州 フフホト 北京 張家⼝ ⻘島 Source: IDC Semiannual Public Cloud Services Tracker, 2018H1 •2018年前半、アリババクラウドは中国市場全体の43％ のシェアを獲得している •2-7位のベンダーの合計より上回っている 市場認識 市場シェア 中国展開地域 •プロダクトの数およびパフォーマンスは 共に中国No.1 •11リージョン •30+アベイラビリティ ゾーン •1000+ CDN サーバー Source: The Forrester Wave Full-stack public cloud development platforms in China Challengers Contenders Strong Performers Leaders Weaker strategy Stronger strategy Stronger current offerings Weaker current offerings Baidu Cloud UCloud Ping An Technology QingCloud JD Cloud Tencent Cloud Amazon Web Services Microsoft Huawei Alibaba Cloud Market Presence Kingsoft Cloud NetEase

7. άϩʔόϧελϯμʔυͳίϯϓϥΠΞϯεج४ ੈքͷΫϥ΢υϕϯμʔͱಉ༷ͷίϯϓϥΠΞϯεਫ४ɺ೔ຊͷελϯμʔυʹ΋ରԠ NISC政府機関等の情報セキュリティ対策 のための統⼀基準群（平成30年度版） FISC 安全対策基準（第9版）

8. ΞϦόόΫϥ΢υ தࠃαΠόʔηΩϡϦςΟྖҬʹ͓͚Δ έΠύϏϦςΟ

9. தࠃʹ͓͚ΔηΩϡϦςΟྖҬͰͷέΠύϏϦςΟ  ౳ڃอޢୈڃΛऔಘͨ͠Ϋϥ΢υαʔϏε  தࠃʹ͓͚ΔηΩϡϦςΟྖҬͰͷ๛෋ͳ࣮੷  ଟ਺ͷηΩϡϦςΟϓϩμΫτΛఏڙɺ੍౓ରԠ͕༰қ  ౳ڃอޢࡦఆͷओཁϝϯόʔͱͯ͠ɺ੓෎ͷಈ޲Λख़஌ 

   ΦϖϨʔγϣϯͱιϦϡʔγϣϯͰ౳ڃอޢೝఆऔಘΛαϙʔτ

10. ᶃΞϦόόΫϥ΢υ͸౳ڃอޢڃΛऔಘࡁΈ • IaaS 62.4%、PaaS 36.8%、SaaS 33.8% ΞϦόόΫϥ΢υͷऔಘࡁΈ౳ڃอޢΛద༻͢Δ͜ͱͰɺධՁ߲໨ͷ࡟ݮ͕Մೳ

11. 40% 50% 60 億 100 万 576 万 対応件数 66

    件 中国国内のウェブサイト の 40% 以上を保護 1 日に 60 億以上の 攻撃を防御 クラウド上で修正さ れたハイリスク脆 弱性 脅威による緊急事態 に年間で 66 件タイム リーに対応 100 万社以上の企業 にセキュリティ保護 サービスを提供 グローバル CSP ネイティブセキュリティ機能比較 2020、 ガートナー Alibaba Cloud Alibaba Cloud は 7 つのセキュリティ分野における 24 の評価基準のうち、 11 の評価基準でハイレベルと評価されました。 • インフラセキュリティ • クラウドガバナンスおよびコンプライアンス • ネットワークセキュリティ • アプリケーションおよびコンテナセキュリティ • データセキュリティ • ロギングおよび警告 • ワークロードおよびアプリケーション保護 中国における高度な DDoS 攻撃の 50% 以上を防御 ᶄதࠃʹ͓͚ΔηΩϡϦςΟྖҬͰͷ๛෋ͳ࣮੷

12. 中国へのデータ移行 中国でローカルにデー タを保存 データバックアップ 6 ヶ月間のログの 保持 越境データ転送および保管 モデレーション 一般にアクセス

    可能なコンテン ツの管理 セキュリティモニタリング およびディフェンス リスクのモニターおよび評価 サイトの改ざん ログネットワークトラフィック データ保護 データの分類 および保護 規則に関する課題 Cloud Enterprise Network VPN Gateway Smart Access Gateway Express Cloud Connect ネットワーク ソリューション ストレージ ソリューション Hybrid Data Backup Log Service Content Moderation Security Center Managed Security Service Sensitive Data Discovery & Protection セキュリティソリューション 主要製品 Key Management Service 実名検証 検証 ID の確認およ び認証 ᶅଟ਺ͷηΩϡϦςΟϓϩμΫτΛఏڙɺ੍౓ରԠ͕༰қ

13. ᶆ౳ڃอޢࡦఆϝϯόʔͱͯ͠੓෎ͷಈ޲Λख़஌

14. ެ҆෦౳ڃอޢධՁηϯλʔͱڞಉͰதࠃॳͷ ΦϯϓϨϛε޲͚.-14ϗϫΠτϖʔύʔΛൃߦ

15. ᶇΦϖϨʔγϣϯͱιϦϡʔγϣϯͰೝఆऔಘΛαϙʔτ 第 1 章 概要 第 2 章 ネットワークセキュリティへのサポートおよびプロモーション 第

    3 章 ネットワークオペレーションセキュリティ 第 4 章 ネットワークインフォメーションセキュリティ 第 5 章 モニタリング、早期警告および緊急時対応 第 6 章 法的責任および罰則 第 7 章 付録 等級保護 技術的対策 ガバナンス セキュリティ モニタリング ログおよび記録の 保持 ウイルスおよび脆弱性管理 インシデント管理 危機管理 セキュリティオペレーション データセキュリティ データ分類 データバックアップ データ暗号化 ネットワーク製品およびサービスの調達 実名登録 重要情報インフラ (Critical Information Infrastructure：CII) セキュリティ 専門セキュリティ部門および CSO データローカライゼーション 緊急事態を想定した定期訓練 年次サイバーリスク評価 個人情報保護 苦情管理 データ漏洩インシデントへの 対応および報告 インターネットコンテンツ ガバナンス セキュリティインシデントモニタリングおよび対応 早期警告および情報報告 緊急時計画および訓練 ౳ڃอޢΛϕʔεͱͨ͠γεςϜ࣮૷ ٕज़తରࡦ ͱ૊৫੔උ Ψόφϯε ͕ٻΊΒΕΔ

16. サイバーセキュリティ 対策の義務化 セキュリティポリシー プライバシーポリシー データ分類と セキュリティ実装 個⼈情報と重要データの 中国国内保存 セキュリティレポート 統合監視

    国内情報と重要データの 越境移転制限 γεςϜ࣮૷ ૊৫੔උ αΠόʔηΩϡϦςΟͷ࣮૷ • ϲ݄ؒͷϩάอଘ • όοΫΞοϓɾ҉߸Խ • ෆਖ਼৵ೖݕ஌ɾෆਖ਼ίϯςϯπ๷ࢭ • ࿙Ӯɾࡡऔ๷ࢭ தࠃࠃ಺Ͱͷσʔλอଘ ӽڥ࣌ͷதࠃւ֎ͱͷద੾ͳ઀ଓ ϦεΫΞηεϝϯτ ݸਓ৘ใ΍धཁσʔλ༗ແ֬ೝͳͲ ౳ڃอޢධՁɾਃ੥ ηΩϡϦςΟ୲౰ɾମ੍੔උ ηΩϡϦςΟϙϦγʔࡦఆ ΠϯγσϯτରԠ ๏ྩͷΞοϓσʔτ ΞϦόόΫϥ΢υɾηΩϡϦςΟؔ࿈੡඼ ΞϦόόΫϥ΢υɾ౳ڃอޢίϯαϧςΟϯάαʔϏε ᶇΦϖϨʔγϣϯͱιϦϡʔγϣϯͰೝఆऔಘΛαϙʔτ

17. ΞϦόόΫϥ΢υɾ౳ڃอޢ ίϯαϧςΟϯάαʔϏε

18. 1. 分類 2. 申請 3. 実行および修正 4. 評価 5. 当局による検査

    分類する対象の決定 マルチレベル保護のレベルの決定 申請書の記入 申請書の提出 申請書の受領および見直し 実施／修正計画の 策定 情報システムセキュ リティの状況分析の 実施 セキュリティ保護戦 略の決定 情報システムセキュリティ の構築および修正の実施 セキュリティ自主検査および 自己評価の準備 計画／準備 スキーム編集 評価 レポート編纂 修正およびその後 の評価（必要に応 じて） 評価レポート の承認 定期的自主検査 業界団体による監督および検査 PSB による監督および検査 会社 + コンサルタント コンサルタント 公認検査官 + コンサルタント PSB 業界団体 ౳ڃอޢऔಘϑϩʔ

19. 01 分類およびギャップ 解析 申請 分類 修正 評価 評価試験失敗 不正確な等級レベル 資料不十分

    02 修正およびセキュリティ の強化 03 評価 l 対象の該当レベルにおける現状と基準規格のギャップを特定 l 修正を計画 l セキュリティ管理ポリシーの設計および実施ガイド l 適切なセキュリティプロダクトを選定することを促進 l クラウドセキュリティプロダクト設定の最適化 l セキュリティ管理修正サポート l ネットワークセキュリティ強化サポート l VM セキュリティ強化サポート l データベースセキュリティ強化サポート l アプリケーションセキュリティ強化サポート l 政府の承認した評価機関 (第三者機関など) と協業して評価試験を完了 l 評価試験に合格しレポートの承認を受ける 当局による検査 総合的な MLPS 2.0 コンプライアンスサービスには、CCSP コンプライアンスを容易かつ利便的に達成するため、相談、アセスメント、修正、 および評価試験サービスが含まれており、オンクラウドとオンプレミスの対象の両方をカバーしています。 ౳ڃอޢίϯαϧςΟϯάαʔϏε ※オンプレミスのコンサルティングは規模により費⽤・期間を別途お⾒積もり

20. ΞϦόόΫϥ΢υͷίϯαϧςΟϯάαʔϏεಛ௃ ஈ֊ ओཁͳ಺༰ ΞϦόόΫϥ΢υ .-14ίϯαϧςΟϯάαʔϏε ධՁػؔʹΑΔ.-14ධՁ ෼ྨ ౳ڃอޢ෼ྨग़ئࢿྉͷ࡞੒ͱ ෼ྨग़ئͷઐ໳ՈධՁ ਃ੥ॻྨɿΞϦόόΫϥ΢υͷϦʔυɺ͓٬༷

    ͱڞʹࢿྉΛ࡞੒ ઐ໳ՈධՁɿΞϦόόΫϥ΢υͷϦʔυͰɺઐ ໳Ո΁ͷ৹ࠪඅ༻Λࢧ෷͍ɺධՁػؔͱͷௐ੔ ਃ੥ॻྨɿ͓٬༷Ͱॻྨ࡞੒ɺධՁػؔΑΓ ΞυόΠεՄೳ ઐ໳ՈධՁɿ͓٬༷ࣗ਎Ͱઐ໳ՈΛબ୒ɺධ Ձʹ͋ͨͬͯͷඅ༻ͷࢧ෷͍͕ඞཁɻධՁػ ؔ͸ઐ໳ՈΛਪનՄೳɻ मਖ਼఺ͷ໌֬Խ ৘ใγεςϜηΩϡϦςΟͷݱঢ়ͱ౳ ڃอޢج४ͷཁٻͱͷࠩҟΛධՁ͠ɺ मਖ਼Λߦ͏ɻ ΞϦόόΫϥ΢υͷΤϯδχΞ͕࣮஍ௐࠪΛߦ ͍ɺ౳ڃอޢج४ͱͷࠩ෼Λ໌֬Խ͢Δɻ ͓٬༷ͷ૊৫੔උɾӡ༻ମ੍΁ͷΞυόΠεΛ ఏڙɻ ౳ڃอޢਫ४ ධՁػؔ͸౳ڃอޢج४ͱͷࠩ෼ͷΞυόΠ ε͸ఏڙ͠ͳ͍ɻҰ෦ͷখن໛ͳධՁػؔ͸ ఏڙ͢ΔՄೳੑ͕͋Δ͕ɺ৴པੑʹ͚ܽΔɻ େ෦෼ͷධՁػؔ͸૊৫੔උɾӡӦମ੍΁ͷ ΞυόΠε͸ఏڙ͠ͳ͍ɻ ౳ڃอޢ ධՁ ධՁػؔͱڠྗͯ͠ݱ஍Ξηεϝϯτ Λ࣮ࢪ͠ɺݟ௚͠Λߦ͏ɻ ධՁػؔͷ৹ࠪʹ͋ͨΓɺΞϦόόΫϥ΢υͷ ΤϯδχΞཱ͕ͪձ͍ɺରԠΛߦ͏ɻ ධՁػؔͷ৹ࠪʹ͋ͨΓɺࣗࣾͷΤϯδχΞ ཱ͕ͪձ͍ɺରԠΛߦ͏ɻ मਖ਼ ٕज़తͳΞυόΠεΛ௨ͯ͡ɺ౳ڃอ ޢ֫ಘͷͨΊͷج४Λ࣮ݱ͢Δɻ ΞϦόόΫϥ΢υ͸ΦϯϓϨϛεͷվળɺमਖ਼Ҋ ͷఏҊΛߦ͏ɻ ධՁػؔ͸मਖ਼ࢦಋ͸ߦ͏͕ɺৄࡉͳվળͷ ఏҊ͸ߦΘͳ͍ɻ ෼ੳɾใࠂ ධՁػ͕ؔใࠂॻΛ࡞੒͠ɺݱ஍ͷެ ҆౰ہʹఏग़͢Δɻ ΞϦόόΫϥ΢υ͕αϙʔτ͠ɺධՁػؔʹϨ ϙʔτΛఏग़ ͓٬༷͕ࣗΒධՁػؔʹϨϙʔτΛఏग़

21. ౳ڃอޢίϯαϧςΟϯάαʔϏε • 標準⾦額：環境により異なるため、お⾒積もりとさせていただきます。 • オンプレミス・パブリッククラウド • 運⽤主体の数 • 等級保護を取得したデータセンターで運⽤しているか否か •

    お⾒積もりにあたり必要な項⽬ • サーバー構成図、利⽤シーン（⽇本と中国） • 運⽤アプリケーション⼀覧（特に個⼈情報と財務、会計情報の有無） • 運⽤者・管理者情報（委託先企業名等）

22. ౳ڃอޢͰΑ͋͘Δ࣭໰

23. ͲΜͳॲേ͕͋Δͷʁ վળ໋ྩ͔ΒӦۀڐՄऔফ·Ͱɺ േۚ͸࠷ߴສݩ ๏ਓ ɺ࠷ߴສݩ ๏ਓ੹೚ऀ

24. ຊ౰ʹॲേ͞ΕΔͷʁ ݱࡏ·Ͱ๏ਓ͕ॲേ ๭େख೔ܥاۀ΋ؚΉ േۚɿສݩɺߦ੓ޯཹɿਓɺࣄۀఀࢭɿ݅

25. தࠃʹσʔληϯλʔͳ͍ͷͰɺେৎ෉Ͱ͢ΑͶʁ ͍͍͑ɻதࠃ༝དྷͷػඍͳσʔλΛऔΓѻ͍ͬͯΔ৔߹ɺ ౳ڃอޢʹ४ͨ͡ରࡦ͕ඞཁʹͳΓ·͢ɻ

26. ίʔϧηϯλʔΛݱ஍Ͱ։ઃ͓ͯ͠Γɺ ೔ຊͷސ٬σʔλΛѻ͍ͬͯ·͕͢ .-14ͷର৅Ͱ͔͢ʁ ͍͍͑ɻ७ਮʹ೔ຊ༝དྷͷσʔλΛऔΓѻ͍ͬͯΔ৔߹͸ɺ ن੍ର৅֎ͱͳΔͱࢥΘΕ·͢ɻ

27. ޻࡞ػցͷγεςϜ͸౳ڃอޢͷର৅Ͱ͔͢ʁ ޻࡞ػցͷγεςϜ΍*P5ͱ͍ͬͨྖҬͰ͋ͬͯ΋ ౳ڃอޢͷର৅ͱͳΔՄೳੑ͕͋Γ·͢ɻ

28. 4BMFTGPSDFͷւ֎αʔόʔΛ࢖͍ͬͯΔͷͰ͕͢ɺ ໊ࢗσʔλͳͷͰɺ౳ڃอޢͷର৅֎Ͱ͔͢ʁ σʔλʹΑΓ·͕͢ɺҰൠతʹܞଳి࿩ͷ൪߸ؚ͕·ΕΔͱ ػඍͳσʔλΛΈͳ͞Ε·͢ɻ ΞϦόόΫϥ΢υ͸தࠃͰ4BMFTGPSDFΛ҆৺͓ͯ͠࢖͍͍ͨͩ͘ εΩʔϜΛఏڙ͓ͯ͠Γ·͢ɻ

29. ౳ڃอޢΛऔಘ͍ͯ͠ΔσʔληϯλʔΛ࢖͍ͬͯΔ͔Βɺ ౳ڃอޢͷਃ੥͸ෆཁͰ͢ΑͶʁ ͍͍͑ɻΞϓϦέʔγϣϯ΍Ψόφϯε΋ධՁର৅ͱͳΔͷͰɺ .-14ͷධՁΛऔಘ͢Δඞཁ͕͋Γ·͢ɻ

30. ݱ஍ʹෳ਺ͷࢠձ͕ࣾ͋ΓɺͦΕͧΕ͕αʔόʔΛӡ༻͍ͯ͠·͢ɻ ֤๏ਓ͝ͱʹɺ.-14Λਃ੥͢Δඞཁ͕͋Γ·͔͢ʁ έʔεόΠέʔεͰ͢ɻ ୭͕࣮࣭తͳ؅ཧऀͰ͋Γɺӡ༻ओମͰ͋Δ͔͕ϙΠϯτͰ͢ɻ

31. ౳ڃอޢ͸௿͘ਃ੥ͯ͠΋͍͍ͷʁ ΤΩεύʔτύωϧϨϏϡʔͱۀք؂ಜ෦໳ͷϨϏϡʔͰ ౳ڃอޢϨϕϧ͕ܾ·Γ·͢ɻ ௿͘ਃ੥Λߦ͏ͱɺ๏ྩҧ൓ͱΈͳ͞ΕΔՄೳੑ͕͋Γ·͢ɻ

32. ౳ڃอޢ͸Ұճਃ੥͢Ε͹ɺऴΘΓͰ͔͢ʁ ҰൠతͳاۀͰٻΊΒΕΔೋڃͰ͸ִ೥ɺ ࡾڃͰ͸ຖ೥ͷ؂͕ࠪඞཁʹͳΓ·͢ɻ

33. ਃ੥ʹ͸ɺͲΕ͘Β͍ͷඅ༻ͱظ͕͔͔ؒΓ·͔͢ʁ ࣗ͝਎Ͱਃ੥͞ΕΔ৔߹ʹ͸ɺධՁඅ༻͸਺ສݩͰ͢ɻ ධՁػؔͱͷંিɺॻྨ࡞੒ͳͲͷͨΊɺ ίϯαϧςΟϯάΛར༻͠ɺ໿̏ϲ݄͕Ұͭͷ໨ॲͰ͢ɻ ߏ੒ʹΑΓֹۚ͸มԽ͠·͢ɻධՁػؔͷεέδϡʔϧͷௐ੔͸֬ఆͰ͖·ͤΜ

34. ·ͱΊ

35. • ๏ྩ९क͸ւ֎ਐग़اۀͷେݪଇ • ࣗࣾͷ৘ใ΍ࡒ࢈ΛकΔͱ͍͏؍఺͔Β΋औΓ૊Έ͸ඞਢ • ϓϥΠόγʔอޢ๏ͷެ෍΋͍ۙͱݴΘΕɺૣٸͳରԠ͕ඞཁ • ౳ڃอޢࡦఆϝϯόʔͰ͋ΔΞϦόό͕ɺίϯαϧςΟϯάͱςΫϊϩδʔ Ͱ͓٬༷ͷ.-14ରԠΛαϙʔτ

36. ౳ڃอޢऔಘ ແྉ૬ஊձ࣮ࢪதʂ

37. ͓໰͍߹Θͤ େ࿨ా݈ਓ アリババクラウド・ジャパンサービス GoChinaオフィス：シニアコンサルタント Email : [email protected] SanSan:

38. None