本文へジャンプします。

TOP
クラウド トップ>クラウドナビ>技術解説>日本発祥のISO/IEC 27017を適用した「ISMSクラウドセキュリティ認証」

技術解説

日本発祥のISO/IEC 27017を適用した「ISMSクラウドセキュリティ認証」

2018年6月7日


リードレプリカ

クラウドサービスの利用を躊躇している人からは、クラウドに対する「セキュリティが不安」という声がよく聞かれます。

それは主にサーバー機器をクラウド事業者が管理し、しかも他社と共有することで発生するというクラウド固有のリスクに対する不安であり、クラウド黎明期から長らくそのことがクラウドの普及を阻害していると言われていました。

しかし、近年ではそれらのセキュリティに対する不安を解消するためにクラウド事業者がセキュリティの強化に努めるだけではなく、客観的にセキュリティ対策を評価するための認証制度の整備・利用も進んできました。

ここではクラウド選定の際に参考となる、クラウドに特化したセキュリティに関する第三者認証である「ISMSクラウドセキュリティ認証」について説明します。

本記事をご覧いただいた方向けに、おすすめの記事をまとめました。こちらもあわせてご確認ください。

情報セキュリティに関する認証制度について

情報セキュリティに関する認証制度として有名なのはISMS(ISO/IEC27001)ですが、それ以外にも、認証制度や基準として下記のようなものが存在します。

  • ISMSファミリー
  • FISC安全対策基準
  • SOC
  • PCIDSS
  • プライバシーマーク

それぞれに関する説明は本題ではありませんので別の機会に譲りますが、これらの認証の取得・基準に対応しているクラウドに対して、一定の安心感は得られるのは事実です。

しかし、これらがクラウドの安全性を証明しているかというと決してそうではありません。もともとクラウドという概念がなかった頃に作られたセキュリティに関する基準であり、クラウド固有のセキュリティリスクをカバーしていない部分が多いからです。

クラウドサービス固有のリスクに対し安全性を証明するには?

そこで、2010年頃から経済産業省が中心になり、クラウドのセキュリティに関するガイドラインやそれに基づく公的認証制度を作ろうということになり、2013年に国内有識者や当社も含むクラウド事業者も協力して策定されたのが下記の文書です。

そして、これらの日本発のガイドラインをベースにして国際基準ISOとして認められたのがISO/IEC 27017であり、それをISMSとして認証制度化したのが「ISMSクラウドセキュリティ認証」です。

「ISMSクラウドセキュリティ認証」の登場により、クラウドのユーザーが、クラウドサービスの安全性を客観的に評価しやすくなったと言えます。

「ISMSクラウドセキュリティ認証」とは、どのような認証制度か?

「ISMSクラウドセキュリティ認証」は基本的に、安全で安心なクラウドサービスの利用・提供に向け、「ISMS(情報セキュリティマネジメントシステム)」の強化を目的としたガイドライン規格です。

組織における情報セキュリティマネジメントシステムを実施するためのガイドラインには、「ISO/IEC 27002」が定められていますが(※要求事項については「ISO/IEC 27001」があります)、このガイドラインでは「クラウドサービス固有のセキュリティリスク」に対する仕組みは定義されていません。

そこで「クラウドサービス固有のセキュリティリスク」に対するガイドラインとして、「ISO/IEC 27017(JIS Q 27017)」が、国際標準化機構(ISO)と国際電気標準会議(IEC)の合同技術委員会(JTC 1)であり、情報セキュリティを担当する副委員会(SC 27)により策定されました。

ちなみに、2011年に当社(当時ニフティ株式会社)も協力して経産省が策定した「クラウド情報セキュリティ管理基準」が原案として提案されています。

「JQA(日本品質保証機構)」は、ISO/IEC 27017審査によるメリットとして、次の点を挙げています。

ISO/IEC 27017審査によるメリット

  • クラウドサービスに関するリスクの低減
  • クラウドサービスを適切に提供/利用する組織体制の確立
  • 認証取得による、組織内外からの信頼向上
  • ISO/IEC 27001との組合せ審査による効率的な認証取得

※出典:JQA(日本品質保証機構)

「ISMSクラウドセキュリティ認証」は「JIS Q 27001」認証に加えて、クラウドサービス固有の管理策である「ISO/IEC 27017」が適切に導入・実施されていることを、情報マネジメントシステム認定センターをはじめとした9つのISMSクラウドセキュリティ認証機関が認証するものです。

なお、「ISMSクラウドセキュリティ認証」は、単独では取得できず「ISO/IEC 27001」によるISMS認証を取得していることが必須になります。

「ISMSクラウドセキュリティ認証」が普及しつつある背景

クラウドサービスの普及に伴い、政府機関や府省庁がクラウドサービスを利用するケースも増加しています。

入札要件にはさまざまな条件が設定されますが、セキュリティへのニーズが高まっている現在、「ISMSクラウドセキュリティ認証」の取得が入札要件になる例が増えています。

「政府機関の情報セキュリティ対策のための統一基準」などでも、発注先の信頼性を客観的に評価することが求められ、そのための判断基準として認証制度が利用され始めています。

これは、「ISMSクラウドセキュリティ認証」がクラウド事業者のセキュリティレベルを見極める基準の1つとなっていることを意味します。

つまり、民間企業がクラウド事業者を選定する際のセキュリティレベルの判断基準としても、「ISMSクラウドセキュリティ認証」が有効であると言えるでしょう。

ニフクラのセキュリティはどうなっているのか

当社では、長年先に紹介したクラウドセキュリティに関するガイドラインに沿ってニフクラを運営してきました。

そして、2018年5月に「ISMSクラウドセキュリティ認証」を取得しました。

さらに今後は「ISO/IEC 27017認証」の対象範囲をIaaS/PaaS以外にも拡大していくなど、引き続き、お客様がより安心・安全にクラウドサービスを利用できる環境づくりに努めていく予定です。

「ISMSクラウドセキュリティ認証」を踏まえてクラウドサービスのセキュリティを再考する

現在、クラウドサービスにおけるセキュリティレベルは、オンプレミスよりもクラウドの方がよりセキュアなケースもあるとさえ言われるようになってきています。

その客観的なセキュリティの指標として、各種セキュリティ認証の取得はサービス選定時の目安の1つになりますが、公的認証を取得しているクラウドであっても、100%のセキュリティを保証されるわけではなく、物理機器を使用している以上何らかのトラブルで停止する可能性もあります。

しかし、具体的にそれに対してどのような対策を行っているか把握した上で、何らかの方法で回避する方法があるかないか、果たしてそれが許容できるリスクなのかをサービス利用前に判断することが重要です。

また、追加でセキュリティ対策を行う必要がある場合、サービスとして提供されているのかどうか、導入コストがどれくらい必要なのかも確認しなくてはなりません。

認証の取得有無は判断材料の1つとしてとらえ、自社が求めるセキュリティの要件を満たしているかを具体的に確認してサービスを選択することが、最終的なポイントとなってきます。そのためには、セキュリティに関する情報公開レベルも確認しておきましょう。

ニフクラでは、「セキュリティホワイトペーパー」として具体的な対策内容を公開しています。

  • このエントリーをはてなブックマークに追加