クラウド情報セキュリティ管理基準をはじめとする制度について触れ、日本で行われているCSマーク、ISMSクラウド情報セキュリティ認証方法についてご紹介します。
また、海外発のクラウド情報セキュリティ認証方法についても言及し、多方面からクラウドセキュリティを紹介していきます。クラウド情報セキュリティ管理基準について知りたい方は、ぜひ参考にしてみましょう。
クラウド情報セキュリティ管理基準とは
クラウド情報セキュリティ管理基準(平成28年度版)とは、「情報セキュリティ管理基準」を基礎として経済産業省が公表したものです。
「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」をベースに、クラウドサービスにおける固有の性質を反映した事項を追加または修正して策定されました。経済産業省が出している最新版は、2015年(平成28年改正版)のものになります。
クラウド事業者は、特定非営利活動法人日本セキュリティ監査協会(JASA)が定めた基本リスクに対して、クラウド情報セキュリティ管理基準に沿って自社クラウドの情報セキュリティを明言することになります。
クラウド情報セキュリティ管理基準に基づくCSマーク
CSマーク(クラウドセキュリティ・マーク)とは、クラウド情報セキュリティ管理基準に基づき、クラウドサービスに求められるセキュリティ水準を満たした監査を行った際に付与されるものです。
CSマークはJASAが行っており、クラウド情報セキュリティ監査制度の要件を満たした基本言明書に付与されます。
CSマークにはゴールドとシルバーの2種類存在します。これら2つはクラウド情報セキュリティ強度の2つの差を表すものではなく、クラウド情報セキュリティの保証レベルについて表すものです。CSマーク ゴールドの方が、より信頼度という面で高いことが示されています。
CSマーク シルバー
CSマークのシルバーは、自主監査を実施したCS証明を、クラウドセキュリティ推進協議会(JASA)が受理したときに特定非営利活動法人日本セキュリティ監査協会が使用を許可します。
CSマークのシルバーは、クラウド情報セキュリティ監査人が監査をした後に申請することになります。また、CSマークのシルバーは、JASAの会員でなければ申請できません。そのため、CSマークのシルバーを取得するためには会員になる必要があります。
CSマーク ゴールド
CSマークのゴールドは、適合監査が実施されたCS証明をクラウドセキュリティ推進協議会が受理したときに、特定非営利活動法人日本セキュリティ監査協会が使用を許可します。
CSマークのゴールドでは、シルバーにはなかった外部監査評価を行う必要があります。また、シルバーより厳しい1000を超える監査項目に基づいた認証であるため、ゴールドの方がシルバーよりもセキュリティに対する信頼度が高いということができます。
外部監査が必要
CSマークのゴールドを取得するためには、内部監査のほかにも外部監査が必要となります。クラウド情報セキュリティ外部監査人により外部監査評価され、外部監査評価手続きに沿って内部監査の品質が評価されます。
内部監査人の実施した監査の品質を評価するだけであるため、SOC保証報告書のような保証業務などとは異なります。また、JASA会員でなければCSマーク一般応募事業者審査が必要になります。
クラウド情報セキュリティ管理基準と関連する国際規格ISO/IEC 27017とは
ISO/IEC 27017とは、クラウド情報セキュリティ管理基準に基づいた国際規格であり、クラウドサービスに関する情報セキュリティ管理策のベストプラクティスをまとめたものです。
ISO/IEC 27017審査は、クラウドサービスのリスクを低減したり、信頼度を向上させたりするメリットがあります。
ISMSクラウドセキュリティ認証
ISMSクラウドセキュリティ認証とは、一般財団法人日本情報経済社会推進協会(JIPDEC)が実施する認証の仕組みです。
ISMSクラウドセキュリティ認証は、ISMS認証を前提としてクラウドサービス固有の管理策が適切に導入・実施されている組織を認証する仕組みです。そのため、ISMSクラウドセキュリティ認証を取得するためには、まずISMS認証を取得する必要があります。
ISMS(ISO/IEC 27001)認証がまず必要
ISMSクラウドセキュリティ認証では、ISO/IEC 27017にある管理策をとり入れた情報セキュリティマネジメントシステム(ISMS)の構築を目的とするため、ISMSの認証がまず必要になります。
まずは、情報セキュリティの基礎であるISMS認証を取得し、ISMS認証ではカバーできないクラウドセキュリティリスクを補うために、ISMSクラウドセキュリティ認証があります。
組織単位の認証
CSマークのようにサービス単位での認証ではなく、ISMS認証では組織レベルのマネジメントが求められます。自らのリスク評価により必要なセキュリティレベルを設定し、プランにも続く資源配分などのシステムを運用する必要があります。
ISMSの目的は組織単位での認証のため、ISMSを組織やマネジメント構造全体の中に取り込む必要があるでしょう。
海外発のクラウドセキュリティの認証
海外発のクラウドセキュリティの認証としてCSA STAR認証(CSA Security)、StarAudit Certificationと言う認証方法があります。
これらの認証方法は認証対象地域が全世界となります。その分ISMSクラウドセキュリティ認証やCSマークよりも、認証取得難易度があがるでしょう。
CSA STAR認証(CSA Security)
Cloud Security Aliance(CSA)はアメリカ発の認証方法です。Security, Trust & Assurance Registry(STAR)を管理しています。STARは一般アクセスが可能な無料のレジストリで、クラウドサービスプロバイダーがCSAに関連する評価を公開することができます。
CSA STAR認証を取得するにあたり、自己認証、第三者認証、継続審査の三段階の認証を受ける必要があります。
ISMS(ISO/IEC 27001)認証が必要
CSA STAR認証は、ISMS認証ではカバーできないクラウドセキュリティリスクにも対応可能な認証です。
そのため、CSA STAR認証ではISMSクラウドセキュリティ認証と同様にISMS認証取得を前提としているため、ISMS認証が取得されていなければCSA STAR認証も取得することができません。
また、CSA STAR認証を取得するときには、ISMS認証と同時に認証取得を進めることも可能です。
StarAudit Certification
EuroCloud Europe(ECE)による認証制度で、6つの領域についてそれぞれ星の数を3つから5つで評価します。
セキュリティとプライバシーの領域ではISMS認証が必要となります。また、運用プロセス成熟度の領域ではISO/IEC 20000-1の取得が前提となります。
対象の地域は全世界で部分的な認定も可能であるため、さまざまな形態の企業が認定を受けやすいでしょう。
部分的な認定がある
StarAudit Certificationでは、6つの領域や星の数を3つから5つで評価するという方法を取り入れているため、部分的な認定を受けることができます。
部分的な認定方法では、それぞれの星の評価によって管理策も違います。そのため、StarAudit Certificationは大手企業だけでなく中小企業でも認定が受けやすいという特徴があるでしょう。
まとめ
日本におけるクラウド情報セキュリティの認証方法としては、JASAがクラウド情報セキュリティ管理基準(平成28年版)に基づいて付与するCSマークが存在します。
また、クラウド情報セキュリティ管理基準に関連するISMSクラウドセキュリティ認証は、JIPDECが行っている認証でISMS認証ではカバーできないクラウドセキュリティのリスクなどをカバーします。そして、海外発のクラウドセキュリティ認証方法も多数存在します。
日本でクラウドセキュリティを専門として取り扱っているTIS株式会社では、クラウド情報セキュリティ管理基準をベースとして、ガイドラインが求めるセキュリティ要求事項や個人情報保護に関わる基準などを整理・統合し、セキュリティ要求事項を明確化する取り組みを実施しています。
クラウドサービスは今後、専門的な知識を持たずに簡単に利用できる必要があります。そのためにも、TIS株式会社のクラウドサービスを検討してみましょう。