開始する

CAIQ とは?

CAIQ (Consensus Assessments Initiative Questionnaire) は、クラウドサービスのセキュリティを評価するのに役立つ、クラウドセキュリティアライアンス (CSA) のサーベイです。

SecOps デモ

IaaS (Infrastructure-as-a-Service)、PaaS (Platform-as-a-Service)、SaaS など、さまざまなクラウドサービスに存在すべきセキュリティ管理の概要を示す業界ドキュメントを作成するために、クラウドセキュリティアライアンス (CSA) が着想を得たのが CAIQ です。

CSA はいつ設立されたのか?

CSA は、世界中の安全なクラウド環境を確保するための標準、ベストプラクティス、認証を定義する機関として、2008 年に設立されました。クラウドのベストプラクティスに関する世界的な権威として、CSA は、クラウドの顧客、ベンダー、起業家、政府や、クラウドコンピューティングサービスを使用、提供、操作するその他のすべてのグループに有益となるように設計された重要なナレッジとリソースを提供することに尽力しています。

新世紀に入り、クラウドへの依存度が高まる中で、CSA は、この急成長する技術が何らかの規制なしに導入された場合、セキュリティに大きな欠陥が生じる可能性があることを認識しました。そこで CSA は、クラウドベースのサービス (IaaS、PaaS、SaaS) に対して一般的に受け入れられている業界標準とセキュリティ制御の文書を作成し、共有することにしたのです。CAIQ は、機密データの保護とリスク管理を行うためにクラウドベンダーが採用している手法、技術、ポリシーに関して不可欠な透明性を企業に提供します。

CAIQ は、基本的にアンケート調査です。バージョン 3.1 (最新版) は、クラウドプロバイダーに対する「はい」「いいえ」の 295 問の質問から構成されています。これらの質問は、制定された規制とベストプラクティスをプロバイダーがどの程度遵守しているかについてのインサイトを、クラウド利用者とクラウド監査人に提供するために作成されています。CAIQ-Lite と呼ばれる別のバージョンは、サイバーセキュリティの専門家やクラウド調達モデル向けに作られた 70 問程度の質問から成り、より簡単で、それほど詳細でない評価を提供するものです。

簡単に言えば、ベンダーのリスク管理チームは、標準化された質問票を使用することで、コストを削減しながら効率性を高めることができるのです。CAIQ は、クラウド導入企業が不必要なサイバーセキュリティリスクにさらされることを防ぐのに役立ちます。CAIQ はまた、クラウドプロバイダーにとっても不可欠なサービスを提供します。ベンダーは、CAIQ を使用して自社のセキュリティに関する情報を提供し、標準化された用語と概念を使用しながら、顧客に提供するサービスを効果的に紹介することができます。

サードパーティのクラウドベンダーとの協業には、常に何らかのリスクが伴います。重要なデータやプロセスを、企業組織の管理下にない外部のグループに任せることで、クラウド利用者は、適切なセキュリティの実装を直接確認することができなくなります。最も信頼できるクラウドプロバイダーであっても、ある領域では失敗する可能性があり、企業はそうした失敗が起こりやすい場所や、ベンダーのクラウドソリューションに固有の弱点が何かを把握する必要があります。

CAIQ は、クラウドプロバイダーのセキュリティを評価し、文書化するための一般的な業界標準を作成することを目的としています。これにより、企業はビジネス契約を結ぶ前に、クラウドプロバイダーとそのセキュリティ態勢を理解し、評価することができるようになります。

前述の通り、CAIQ は 295 の質問から構成されています。クラウドの利用者や監査人は、クラウドコントロールマトリックス (CCM) への準拠状況について情報を収集するために、プロバイダーに質問することができます。利用者は、自分たちのニーズや懸念事項、特定のユースケースに対応するため、必要に応じて質問を修正、削除し、より適したものにカスタマイズすることができます。

クラウドコントロールマトリックス (CCM) とは? 

CCM は、クラウドコンピューティングに使用されるサイバーセキュリティのためのコントロールフレームワークです。16 のドメインを中心に構成された 133 のコントロールで構成されています。以下に 16 のドメインを示しています。

  • アプリケーションとインターフェイスのセキュリティ 
  • 監査の確実性とコンプライアンス 
  • 事業継続性管理と運用上のレジリエンス 
  • 変更管理と構成管理 
  • データセキュリティと情報ライフサイクル管理 
  • データセンターセキュリティ 
  • 暗号化と鍵管理 
  • ガバナンスとリスク管理 
  • 人事のセキュリティ 
  • アイデンティティとアクセス管理  
  • インフラストラクチャと仮想化 
  • 相互運用性とポータビリティ 
  • モバイルセキュリティ 
  • セキュリティインシデント管理、電子証拠開示とクラウドの法医学的証拠収集 
  • サプライチェーン管理、透明性と説明責任 
  • 脅威と脆弱性の管理

CCM はどのように利用されるのか?

CCM は、クラウドのサプライチェーン内のどの当事者がどのようなセキュリティ対策を実施すべきかというガイダンスを提供することで、クラウドの実装を体系的に評価するためのツールとして利用することができます。CCM は、セキュリティガイダンス v4 に準拠し、クラウドのセキュリティ保証とコンプライアンスに関する事実上の業界標準とみなされています。CCM を利用することで、プロバイダーは以下のことが可能になります。

  • 情報セキュリティの制御環境の強化:
    クラウドモデルの種類とその環境に応じて異なる、サービスプロバイダーと顧客別のガイダンスを示します。
  • 監査の複雑性の軽減:
    コントロールは、業界標準のセキュリティ規制、コントロールフレームワーク、標準に対応しています。CCM のコントロールを満たすことで、対応する標準や規制を満たすことができます。
  • セキュリティで想定される事項の標準化:
    クラウドに実装される共通のクラウド分類法、セキュリティ、用語を提供します。

STAR (Security、Trust、Assurance、Risk) は、プライバシーのコントロールとセキュリティのクラウドコンピューティングプログラムを文書化した、一般的に利用できるレジストリです。CAIQ と CCM に示されている標準の監査、調和、透明性の原則を包含しています。

企業は、現在と将来的な顧客に、コンプライアンスとセキュリティに対する姿勢、また規制、標準、フレームワークへの準拠を示すことができます。これは最終的には、複雑さを軽減し、複数のアンケートに回答する必要性を緩和することにつながります。

SecOps の開始

脅威をより迅速に特定し、優先順位を付けて対応します。

SecOps デモ
お問い合わせ

リソース

ウェビナー

Vendor Risk Management in the COVID-19 Environment

ソリューション概要

Enhance vendor risk visibility and speed response with BitSight and ServiceNow

アナリストレポート

IDC Analyst Connection: Digital Transformation and the Role of Governance, Risk, and Compliance (GRC)

インフォグラフィック

Total economic impact for vendor risk management

お問合せ
デモ