質問
「ISMAPクラウドサービス登録規則」及び「ISMAP-LIUクラウドサービス登録規則」第9章において、「利用者に重大な影響を及ぼしうる情報セキュリティインシデント」として報告が必要となるのは具体的にどのような場合でしょうか。
回答
「利用者に重大な影響を及ぼしうる情報セキュリティインシデント」としては以下のような事象が考えられます。(なお、以下はあくまでも例示であり、これらに限定するものではありません。)
・クラウドサービス利用者のデータ侵害(情報の外部公開、不正閲覧、窃取、消失、改ざん等)、またはそのおそれがある事象(機密性・完全性の侵害)
・クラウドサービスの予期しない停止または著しい低下が生じる事象(CSPがSLA・SLO等で定めるサービス稼働率を下回る場合等)であって、利用者へ影響を及ぼしうるもの(可用性の損失)
・クラウドサービス事業者において、重大インシデントと定義した事象
なお、上記の事象においては、例えば以下のような原因が考えられますが、これだけに限定されるものではありません。
・クラウドサービスの提供に係る情報処理装置、関連サービス等への外部からの不正侵入や攻撃
・クラウドサービスの提供に係る不正プログラムへの感染
・クラウドサービス事業者の内部不正や、設定ミスまたは不適切な変更管理
・クラウドサービスの障害
・クラウドサービスの悪用・乱用・不正利用
・クラウドサービスを収容する施設の停電・火災
ただし、上記の事象については、クラウドサービスにおける責任共有モデルの考え方及びクラウドサービス契約に基づき、利用者側ではなくクラウドサービス側の責任範囲(利用しているサービス、供給者管理の対象等含む)である場合及びその可能性がある場合に報告対象となります。
※インシデント報告の方法については下記のFAQをご確認ください。
(なお、以下の報告方法については、令和6年1月4日以降に発生を認知した情報セキュリティインシデントについて適用される点、ご留意ください。)
・「ISMAPクラウドサービス登録規則」第9章に基づき、情報セキュリティインシデント報告を行う際の具体的な方法や基準、項目などを教えてください。
・「ISMAP-LIUクラウドサービス登録規則」第9章に基づき、情報セキュリティインシデント報告を行う際の具体的な方法や基準、項目などを教えてください。
【用語の定義について】
●「利用者」とは、クラウドサービス事業者が提供するクラウドサービス(言明対象サービス)の利用者を指します。政府機関等の利用者に限定するものではなく、一般の利用者を含みます。
●「利用者に重大な影響」とは、上記に例示したような事象等により、クラウドサービス利用者が影響を被る又はそのおそれがある場合(影響を及ぼしうる場合)を指します。例えば、機密性・完全性の観点における「データ侵害」により利用者の管理する情報の外部公開、不正閲覧、窃取、消失等が想定される場合や、可用性の観点における「クラウドサービスの停止」により利用者がサービスの利用を継続できなくなる場合などが考えられます。
なお、利用者数や利用機関数の多寡に関わらず、利用者に影響を及ぼしうる場合を想定しています。
●「影響を及ぼしうる」とは、対象に「既に、影響を与えた・受けた」「現在、影響を与えている・受けている」「将来、影響を与える・受ける可能性がある」ことを指します。また、「影響を与えた・受けたおそれがある」「影響を与えた・受けたおそれがあるものの、その確証はない」「影響を与えていない・受けていないと断定できない」ケースについても含みます。いずれか1つ又は複数が複合する場合があり得ます。
●「情報セキュリティインシデント」とは、「JIS Q 27000:2019における情報セキュリティインシデント」を指します(政府機関等のサイバーセキュリティ対策のための統一基準(令和5年度版) 1.3「統一基準における用語定義」)。https://www.nisc.go.jp/policy/group/general/kijun.html