ISMS(ISO27001)認証お役立ちコラム
2023年11月22日
クラウド認証とは、クラウドサービスにおける情報セキュリティ管理が適切に行われている組織であることを、第三者の視点で証明する認証のことです。
取得企業数が一番多くメジャーなものは、ISOのクラウドセキュリティ認証(ISO27017)です。
1.最近よく聞くクラウド認証とは
クラウド認証とは、クラウド上でのセキュリティを適切に管理していることを対外的に示す認証のことです。
クラウドサービスを扱う企業が増加するに連れて、情報セキュリティを適切に管理している証明となるクラウド認証の必要性も高まっています。
クラウド認証には様々な種類がありますが、代表的なものをご紹介します。
(1)クラウドセキュリティ認証の種類
①ISO クラウドセキュリティ認証(ISO27017)
ISO/IEC 27017:2015はISOより発行されたクラウドセキュリティに関する国際規格で、クラウドサービスの提供および利用に関する情報セキュリティ管理のためのガイドラインです。
②CSマーク
日本の特定非営利活動法人日本セキュリティ検査協会(JASA)による情報セキュリティ監査制度です。
③CSA STAR認証(CSA Security)
Cloud Security Alliance (CSA、クラウドコンピューティングのセキュリティを確保するための米国業界団体)によるセキュリティ成熟度を評価する制度です。
この中で、ISO27017は、情報セキュリティのISO規格であるISMS認証を前提としたものであり、比較的認証のハードルが低く、取得を目指す企業が増えています。
(2)クラウドセキュリティのポイント
クラウドセキュリティのポイントは大きく3つあります。
- クラウド上に保存されているデータの秘匿性
- クラウドベンダー側に起因する、大規模システム障害発生時の可用性の低下
- クラウドベンダーが内部で利用している別サービスのトラブルによる影響など、クラウドベンダーのサプライチェーンが抱えるリスク
クラウドで提供されるサービスのうち、クラウドベンダーの責任範囲にある部分は、運用をベンダーに任せることができます。
こうした運用負荷の軽減は、クラウドを採用する大きなメリットの1つです。
しかし、これはユーザーが自由にカスタマイズしたり、直接コントロールすることが困難であることも意味します。
そのため、利用するクラウドサービスを選定する際には、システムが要求する水準・必要なコスト・得られるメリットといった面だけでなく、懸念されるこれらのリスクを総合的に評価する必要があります。
2.クラウドサービスに対する不安と対策
(1)クラウドサービスを利用する際の不安、懸念点
クラウドサービス会社に対する不安で一般的なものは以下の3点が挙げられます。
①データプライバシーとセキュリティ
クラウドサービスにデータを保存することで、データが外部のサーバーやデータセンターに置かれるため、データプライバシーとセキュリティが懸念されます。
顧客のデータが不正アクセスやデータ漏洩のリスクにさらされる可能性があるため、クラウドプロバイダーのセキュリティ対策やプライバシー政策に信頼性があるのかという点が不安です。
②サービスの可用性と障害への対応
クラウドサービスは、プロバイダーのサーバーやネットワーク上で提供されるため、サービスの可用性と障害への対応が懸念されます。
クラウドプロバイダーがサーバーやネットワークの障害を経験した場合、顧客のビジネスに影響を及ぼす可能性があるため、この点についての計画や対策が重要です。
③ロックインとデータ携帯性
クラウドプロバイダーに依存している場合、サービスのロックイン(移行の難しさ)とデータ携帯性が問題になることがあります。
クラウドプロバイダーを変更する場合やサービスをオンプレミスに移行する場合、データとアプリケーションの移行が複雑でコストがかかることがあり、この点が不安材料となります。
(2)不安への対策
前述したように、不安は様々ありますが、特に不安を感じるのがセキュリティです。
クラウドにはクラウド環境に適応したセキュリティ対策、つまりクラウドセキュリティ対策が求められます。
対策は大きく3つあります。
クラウドセキュリティ対策とは、「情報セキュリティ対策」「サイバー攻撃対策」「セキュリティガバナンス施策」から成り立っており、これらのクラウドセキュリティ対策を総合的に講じることで安全にクラウドサービスを利用できます。
クラウドセキュリティ認証(ISO27017)を認証するためには、これらのセキュリティ対策を講じなければなりません。
①情報セキュリティ対策
データの可用性・機密性・完全性の3要素から構成されるセキュリティ対策です。
可用性:必要なときにいつでも安全にデータへアクセスできること
機密性:許可された利用者だけがデータにアクセスできるように制限されていること
完全性:データが改ざん、破壊されておらず、すべて最新の状態になっていること
②サイバー攻撃対策
クラウドサービスで提供されているサーバーやネットワーク、システムやアプリケーションへのサイバー攻撃を防ぐ施策のことを指します。
③セキュリティガバナンス施策
クラウドセキュリティ対策においては、セキュリティに関する意識や取り組みなどの仕組みが、クラウドセキュリティに関する標準規格に即して運用されているかというセキュリティガバナンスが適用されていることも大切です。
3.クラウド認証を取得するメリットとデメリット
(1)クラウド認証を取得するメリット
クラウド認証、特にISO クラウドセキュリティ認証(ISO27017)を認証するメリットは3つあります。
①セキュリティ、信頼性の向上
クラウド特有のリスクに配慮したセキュリティを構築していることの宣言となりますのでセキュリティ、信頼性の向上につながります。
②入札への参加
今まではPマーク、ISMSが入札への参加要件になっている自治体が多かったのですが、最近ではISO27017を入札への参加要件にしている自治体もでてきています。
③セキュリティチェックシートへの対応
大手企業からのセキュリティチェックシートへの対応についても今まではPマーク、ISMSについての質問が多かったですが、最近ではISO27017についても質問があることが多くなっており、認証していれば信頼を得られるケースも増えています。
ISMS認証取得のメリットについて、詳細が知りたい方はこちらの記事をご確認ください。
https://ninsho-partner.com/isms/column/isms-merit-demirit/
(2)クラウド認証を取得するデメリット
一方、クラウドセキュリティ認証(ISO27017)を取得するデメリットは2つあります。
①費用がかかる
クラウド認証を維持するとなると、毎年審査費用が発生します。また、コンサル会社のサポートを利用する場合はサポート料もかかるでしょう。
②手間がかかる
クラウド認証を取得するには、マニュアル作成・リスクアセスメント・内部監査・マネジメントレビューなどやることが発生します。
クラウド認証の担当者はこれを一手に引き受けるので、負担が大きくなるケースも多くあります。
4.クラウドセキュリティ認証とISMSとの関係性
セキュリティ認証の規格として有名なものに、ISO27001(ISMS)があります。
ISO27001は単体で取得できますが、クラウドセキュリティ認証(ISO27017)は、単体での取得はできません。
(1)そもそも情報セキュリティマネジメントシステムとは
ISMS(情報セキュリティマネジメントシステム)とは、企業において情報セキュリティを適切に管理するためのマネジメントシステムのことです。
Information Security Management Systemの略称で、情報セキュリティマネジメントシステムと訳されます。
ISMSは、情報を扱う際のリスクを事前に察知して、そのリスクに対して企業としてどのような対策を取るかを策定するための仕組みです。
ISMS認証の取得方法、期間や費用についてはこちらの記事で解説しております。
よろしければご覧ください。
https://ninsho-partner.com/isms/column/isms_syutoku_guide/
(2)クラウドセキュリティ認証とISMS
クラウドセキュリティ認証(ISO27017)は、ISMSのアドオン認証となっています。
言い換えるとISO クラウドセキュリティ認証(ISO27017)単体での認証はできません。必ずISMSとセットで認証する必要があります。
ISMS認証を取得していない企業がISO27017の取得を目指す場合、ISMSと合わせて2規格の認証を取得することになります。
5.クラウドセキュリティ認証の要求事項(ISO/IEC 27017:2015)
クラウドセキュリティ認証ISO27017の要求事項について、ざっくりいうと、ISMSには無い7つの項目を追加する必要があります。
この7項目に対して、社内でセキュリティルールを決め、運用していく必要があります。
以下がISO27017の新しい基準7項目です。
- CLD.6.3.1 クラウドコンピューティング環境における役割及び責任の共有及び分担
- CLD.8.1.5 クラウドサービスカスタマの資産の除去
- CLD.9.5.1 仮想コンピューティング環境における分離
- CLD.9.5.2 仮想マシンの要塞化 CLD.12.1.5 実務管理者の運用のセキュリティ
- CLD.12.4.5 クラウドサービスの監視
- CLD.13.1.4 仮想及び物理ネットワークセキュリティ管理の整合
ISO27017の認証取得についてお考えの方へ、取得の際の注意事項をまとめています。下記記事をご覧ください。
https://ninsho-partner.com/isms/column/iso27001_iso27017_shutoku_chuui-point/
6.まとめ
クラウド認証とは、クラウドサービスにおける情報セキュリティ管理が適切に行われている組織であることを第三者の視点で証明する認証のことです。
クラウド認証には様々な種類があり、組織や目的に合わせて認証制度を選ぶことが重要です。
比較的認証が取りやすく、メジャーなものがISOのクラウドセキュリティ認証(ISO27017)です。
クラウド認証をご検討されている企業様はまず、ISO27017の取得についてご検討されてみてはいかがでしょうか。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ