San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
閉じる
プライバシー設定
ウェブサイト運営に必要なCookieや類似技術を使用しています。追加のCookieは貴社の同意がある場合のみ利用されます。同意は「Agree」をクリックすることでいただけます。どのデータが収集され、どのようにパートナーと共有されているかの詳細は、Cookieポリシープライバシーポリシーをご確認ください。
Cookieは、貴社デバイスの特性や、IPアドレス、閲覧履歴、位置情報、固有識別子などの特定の個人情報を取得、解析、保存するために使用されます。これらのデータは様々な目的で利用されます。分析Cookieによりパフォーマンスを評価し、オンライン体験やキャンペーンの効果向上に役立てます。パーソナライズCookieは、利用状況に応じた情報やサポートを通じ、貴社専用の体験を提供します。広告Cookieは、第三者が貴社のデータをもとにオーディエンスリストを作成し、ソーシャルメディアやネット上でのターゲット広告に使用します。貴社は各ページ下部のリンクから、いつでも同意の許可、拒否、または撤回が可能です。
ご送信ありがとうございます。内容を受け付けました。
申し訳ありません。フォーム送信時にエラーが発生しました。
Wallarm
/
Wallarmラーニングセンター
/
Cloud Controls Matrixとは?意味
WAF

Cloud Controls Matrixとは?意味

はじめに

キャッチーな名称やロゴだけでCSPを選ぶのは簡単ではありません。貴社は、CSPが機密情報やアプリを守るためのすべての安全基準を満たしているか確認する必要があります。企業はリスク評価を実施し、自社のプライバシー対策が情報を守るための業界基準に沿っているか検証すべきです。企業やネットワークアプリの利用者は、CSA Cloud Controls Matrixを活用し、運用サービスの内部管理が協会の基準に準じているか評価できます。

Cloud Controls Matrixとは?意味

CSAとは

これは、ネットワークセキュリティで得た知識を他の枠組みに活かすための研究に対し、資金支援を行う慈善団体です。CSAは、実務家、協会、政府、企業の各メンバーの知見を活かし、セキュリティに重点を置いた分析、教育、資格、イベント、製品を提供しています。

CSP(クラウドサービスプロバイダー)、エンドユーザー、経営者、立法者は、協会の活動や知見からそれぞれ利益を得ることができます。CSAは、技術分野に関わる多くの参加者が協力して自社サービスの安全な環境を構築・維持するための集いの場を提供しており、これもまたCSAの魅力のひとつです。

この業界団体は、CSPがソフトウェアの提供形態におけるセキュリティ対策を講じるのを支援するとともに、クラウド導入の各段階にある企業に最適な手法を教育しています。ネットワークのプライバシー向上に貢献できるスキルと知識をお持ちの方は、どなたでもCSAに参加可能です。

Cloud Controls Matrixとは

非営利団体であるCSAが、権限、リスク管理、遵守の観点からまとめたセキュリティパネル群として作成しました。CCMを活用することで、企業やCSPは、プライバシーやリスク管理の目標に合わせた適切な内部統制を実施し、安全なネットワーク環境の構築と運用に必要な対策を講じていることを確認できるようになります。CSAは、業界基準を満たす、またはそれ以上のレベルのメッシュコンピューティングサービスを企業が調達できるよう、これらの対策を策定しました。

CCMがカバーする業界分野は

CSPを比較する際、提供する機能や価格だけを見るのでは十分ではありません。CSA CCMを利用すれば、情報セキュリティ環境の理解を深め、クラウドプロバイダーの内部プライバシー対策が貴社のリスク管理や保護目標に合致しているかどうか、またクラウド上に保管される情報やアプリに潜むプライバシーリスクを特定することができます。

CSA CCMを活用することで、クラウドサービス供給者のデータセンターに求める機能や条件を明確にできます。これにより、貴社独自の事業構造に合わせた柔軟かつ先手の安全管理システムを設計することが可能となります。内部基準を活用してクラウドプロバイダーの提供する機能やサービスを評価し、データセキュリティの観点から最適な選択ができるようになります。

Structure CCM

CCM V4がカバーする業界構造は

現在開発中の最新バージョン、CSA CCM 4.0は、ログとモニタリング(LOG)の新ドメインを追加し、既存のドメインも再編することで、前バージョン3.0.1(GRC、A&A、UEM、CEK)から大幅な改良が施されています。新たなコントロールの導入と既存の改善により、求められる対策も大幅に強化される予定です。

CCM v4では、以下のような機能も更新されています:

  • 最先端の技術革新に伴うニーズに十分対応
  • プライバシーマネジメントと責任マトリックスの強化
  • ベンチマークとの適合性向上、監査性の強化、相互運用性の改善

CCM v4がカバーするドメインは以下の通りです:

  • アプリ/インターフェイスの守り、監査及び保証
  • BCM M&Oの変更管理と耐性
  • 情報プライバシーの維持
  • データセンターの安全
  • 暗号化と暗号技術
  • リスク、コンプライアンス、ガバナンス
  • 人事セキュリティ
  • ID・アクセス管理
  • サイバーセキュリティと仮想化
  • ポータビリティ/相互運用性
  • UEMT
  • SIM、E-ディスカバリー、クラウド・フォレンジクス
  • 透明性、説明責任、SCM
  • T&V管理
  • 追跡
CCM V4

仕組み

これは、企業が従うべき典型的な構造やルールのデータベースです。CCMの基準を満たすことで、その他のセキュリティベンチマーク、ポリシー、フレームワークの要件も同時にクリアできます。よく知られたクラウドセキュリティ基準を一箇所に集約することで、複数のフレームワークを個別に用いる必要がなくなります。各基準に対して、どの要件を満たしているか確認できるため、たとえば3種類の異なる構造やルールの前提条件を1回のチェックで満たせる場合もあります。

各CCMコントロールは、責任を持つ当事者(CSP)と、その管理が適用されるクラウドモデル(IaaSPaaSSaaS)または環境(パブリック、ハイブリッドプライベート)を示しています。ガイダンス文書のどの部分がCSPに適用されるかを明示することで、それぞれの役割と責任が定義されています。

CSA CCMを導入すべき対象は

これはCSPが自社のプライバシー対策を評価し報告するためのアウトラインです。また、クラウドソリューションを導入する企業が、メッシュ環境のセキュリティ評価にも活用しています。このように、CSPとメッシュサービスを利用する企業双方に、CSA CCMの利用が求められるケースがあります。包括的なセキュリティ対策を提供し、ISO 27001やNIST SP 800-53など国際的に認められたプライバシー基準と照らし合わせることで、クラウド上のプライバシーが業界の最善慣行に沿っているか確認する手助けをしています。

クラウドプロバイダー向けCCM

STAR(Security, Trust, Assurance, and Risk)アーカイブは、CCMを使って企業のプライバシーを評価します。STARパッケージは、柔軟で先進的かつ多角的な認証を促し、一般的なアウトソース審査と連携することで手間やコストの削減を実現します。業界の価値観、基準、法令に沿っていることを示すため、プライバシー提供者は膨大なCCM質問セットを活用し、見込み客や既存顧客に提示できます。供給者は、顧客が参照できるよう、CAIQをSTARアーカイブにアップロードすべきです。

クラウド顧客・事業組織向けCCM

CAIQは、クラウド顧客や監査人がクラウド供給者に対し「はい」か「いいえ」で答えられる質問を行うための、CCMの派生ツールです。これにより、供給者のIaaS、PaaS、SaaSにおける安全対策をCCMに基づいて評価できます。企業はCAIQの情報をもとに、さらなる対策強化のためのRFPを作成し、RFPの面接を通じて供給者の回答を確認することができます。500社以上がCAIQを用いてSTARレジストリの自己評価を実施しています。

FAQ

Open
誰がCCMを利用できるか?
Open
CCMの目的は?
Open
Cloud Controls Matrix (CCM)とは何ですか?
Open
CCMを使うメリットは?
Open
CCM準拠は義務ですか?
Open
CCMは実際どのように使われているのか?
Open
CCMはどう構成されている?

参考資料

最新情報を購読

更新日:
February 25, 2025
学習目標
securing apps on aws with wallarm
ウェビナー
March 13, 2025
Secure Your AI: Protecting Agentic AI in an API-Driven World

Learn how to protect your AI ecosystem and ensure business continuity with actionable insights from Wallarm Security Lab

Register now
最新情報を購読
購読
著者 |
認定エキスパート
システムエンジニアリング、セキュリティ分析、ソリューションアーキテクチャなどで20年以上のIT経験があります。Windows、Linux、UnixなどのOS、C++、Python、HTML/CSS/JS、Bashなどのプログラミング、およびMySQL、Oracle、MongoDB、PostgreSQLなどのDBを熟知しています。PowerShellやPythonによるスクリプト作成、マイクロサービスやコンテナ、CI/CDなどのDevOps、Node.js、React、AngularなどのWeb開発にも習熟しています。ITシステムの運用管理で豊富な実績を持っています。
レビュー担当 |
認定エキスパート
サイバーセキュリティ分野で10年以上の経験があり、システムエンジニアリング、セキュリティ分析、ソリューションアーキテクチャに精通しています。Ivanは各種オペレーティングシステム、プログラミング言語、データベース管理の幅広い知識を有しています。さらに、スクリプト作成、DevOps、ウェブ開発にも対応できるため、多才で高度なスキルを備えた専門家です。Bughunterとして、Google、Facebook、Twitterなどの大手テック企業で活躍し、Blackhatの講演も行っています。
関連トピック
<