본문

WhaTap Monitoring
WhaTap!CSAP(クラウドセキュリティ認証制度)認証を受ける

작성일 2021.06.16

こんにちは、WhaTap Labs DevOpsチームのイユンサンです。

世界中の様々な産業において、レガシーインフラをクラウドに移行する動きが盛んに行われています。2019年には、公共機関もクラウドを導入できるように政策が改正され、セキュリティが敏感な公共機関の懸念を解消するために客観的にクラウドサービスを評価できる「クラウドセキュリティ認証」制度が設けられました。

公共機関にクラウドサービスを提供するためには、「セキュリティ認証」を取得する必要があります。WhaTap Labsのサービスも公共機関に提供するために約半年という時間をかけて「CSAP(クラウドセキュリティ認証)」認証を獲得し、今回のポストを通じて認証過程を共有しようと思います。

クラウドセキュリティ認証制とは?

公共機関に安定性と信頼性が検証された民間クラウドサービスを供給するため、客観的で公正なクラウドサービスセキュリティ認証を実施し、利用者のセキュリティ懸念を解消し、クラウドサービスの競争力確保のために2016年7月から施行されている制度です。

https://isms.kisa.or.kr/main/csap/intro/KISA [情報保護および個人情報保護管理体系認証]  ※ 以下はWhaTapで認証されたSaaS簡易等級中心の説明ですので、その他の詳細は韓国インターネット振興院クラウドセキュリティ認証サイトをご参照ください。

評価と認証の種類

levelTest.jpg

認証の種類

  • IaaSおよびDaaS:有効期間5年
  • SaaS標準等級:有効期間5年
  • SaaS簡易等級:有効期間3年

評価の種類

  • 最初の評価は、セキュリティ認証を初めて取得する際に進行する評価であり、認証取得期間中に重要な変更がある場合、変更事項について常時評価が行われることがある  ※ 最初の評価を通じて認証を取得すると、5年(SaaS簡易等級は3年**)**の有効期間を付与
  • 事後評価は、セキュリティ認証を取得した後、継続的にクラウドサービスのセキュリティ評価・認証基準を遵守していることを確認するための評価であり、認証有効期間(3~5年)内に毎年施行
  • 更新評価はセキュリティ認証有効期間(3~5年)が満了する前にクラウドサービスに対する認証の延長を希望する場合に行う評価  ※ 更新評価を通過する場合、3~5年の有効期間を再付与

認証基準

SaaS簡易等級認証は、管理的・技術的および公共機関向けの追加保護措置で、合計11分野30の制御項目で構成 (詳細は韓国インターネット振興院ホームページ資料室添付ファイルで確認可能です)

SaaSLevelScore.jpg

評価と認証手順

下の画像は、最初の評価に基づいて作成した画像です。事後評価には評価、認証段階から行います。

出典:韓国インターネット振興院クラウドセキュリティ認証制度ホームページ出典:韓国インターネット振興院クラウドセキュリティ認証制度ホームページ

・**SaaS簡易等級(合計14日)**の場合、「事前コンサルティング2日→書面/現場評価(4日)・脆弱点チェック(4日)(同時進行)4日→模擬侵入テスト5日→履行 チェック3日」の順に行われます。

*** 事前コンサルティング後に補完の脆弱性が発見された場合、措置して認証を申請し、認証評価段階で出た脆弱性を再補完して履行点検を進めるため、上に作成された日程は実際に点検が進行される日程のみ含まれており、実際の認証完了までの時間は、少なくとも2ヶ月から最大半年以上の時間がかかる場合があります。**

これまでは「クラウドセキュリティ認証制度」について簡単に説明し、次はワタップで行った認証進行手順について説明します。

進行プロセス

1.事前コンサルティングを申請する

円滑な認証を行うために、WhaTapは事前コンサルティングを受けました。事前コンサルティング申請は、韓国インターネット振興院クラウドセキュリティ認証資料室で事前コンサルティング申請に必要な文書をダウンロードして作成し、メールで申請しました。

(申請後の点検チームがすぐに点検が可能なわけではないので、認証完了目標日程がある場合は参考に進行する必要があります。WhaTapの場合、申請後3週間後に事前コンサルティングが行われました。)

事前コンサルティングは、認証総括1名、書面/現場評価遂行担当者1名、脆弱性点検担当者1名、合計3名が訪問し、両日間行われました。事前コンサルティングの後、脆弱性を含む結果レポートを受け取り、この脆弱性を補完して本点検を準備しました。

2. このチェックの進行

事前コンサルティングの際に発生した脆弱性をすべて補完し、本点検を申請しました。

本点検には、認証総括1名、書面/現場評価1名、脆弱性点検4名(CCE 2名、CVE 2名)、ソースコード点検1名計7名が訪問し、4日間行われました。本点検では模擬浸透も行われたが、模擬浸透は点検が完了した翌日から4日間模擬浸透評価チーム(2人)がオンラインで行われました。

事前コンサルティングとは異なり、やはり本点検はより細かく、詳細に点検が行われました。4日間の質疑応対やデモなどを行い、書面/現場評価不適合8件、脆弱性10,542件(ソースコードを含む)が補完措置要件として出ました。

補完措置は30日以内に100%措置が完了しなければならず、期間内に措置が難しい場合には補完措置延長公文を送ったら延長が可能です。(最大3ヶ月)

WhaTapは30日以内にすべての措置を完了し、履行点検を申請しました。

3. 履行確認

履行点検は、本点検に出てきた脆弱点の補完可否を確認する点検であり、履行措置時に新規に生成された資産については点検対象に含まれていません。

履行点検には本点検とほぼ同じ人員が参加しました。認証総括1名、書面/現場評価1名、脆弱性点検(CCE2名、CVE1名)、ソースコード1名計6名が訪問し、3日間行われました。模擬浸透は、模擬浸透評価チーム(2名)がオンラインで履行確認日と同じ日に行われました。

証明書の発行は100%の措置が原則なので、履行点検が行われる3日間に発見される脆弱性に対してすべて措置を取るために、WhaTapの開発者および各担当者は総力を入れました。

4. 完了

事前コンサルティング、本点検、履行点検計3回の点検を受けてからようやく証明書を獲得しました!

WhaTapが受け取ったクラウドセキュリティ証明書!WhaTapが受け取ったクラウドセキュリティ証明書!

まとめ

WhaTapの全員が長い間一生懸命に準備したおかげで、一回で認証を受けることができました。

多くの努力を入れて受けた認証のため、公共機関も安心でき、セキュリティが一層強化された「モニタリングサービスである、WhaTap」を導入したらいかがでしょうか?

WhaTap Monitoringを体験してみましょう。
難しかったモニタリングと分析が容易に実現できます。