クラウドサービスを利用する際は、セキュリティに関する不安があるユーザーも多く、利用するまでに至らない方も多いのではないでしょうか。そのような不安を解消するべく登場したのが、クラウドセキュリティ認証制度です。サービス事業者側のセキュリティ対策だけでは不安という方も、第三者による認証制度があることで、より信頼感をもってクラウドサービスを利用できるようになるでしょう。
今回はISMSクラウドセキュリティ認証の概要と、現在認証制度が普及している背景について解説していきます。
クラウドを利用する際にセキュリティが不安になる理由
クラウドサービスにおける最大のメリットといえば、IaaSを除き、ユーザー側で情報管理やセキュリティ対策を行う必要がないことです。一方で、ユーザー側がコントロールできる範囲が限られており、セキュリティに関してもサービスを提供するベンダー側に一任することになります。自社でセキュリティ対策を行う場合はセキュリティチームが対応し、どんなセキュリティ対策を行っているかを常に把握できます。しかし、クラウドを利用する際は自社の希望でセキュリティ対策を行うことはできず、現在行われているセキュリティの対象範囲が把握できないというリスクがあるため、不安に感じてしまうユーザーが多いのです。
また、当然のことながらクラウドサービスを利用しているのは自社だけではなく、他社との共有サービスとなります。自社の個人情報やデータが他社へ漏洩しないかといったクラウド固有のリスクも、クラウドサービスのセキュリティが不安な理由の1つとして挙げられます。
客観的にセキュリティ対策を評価するための認証制度もある
現在ではクラウドサービスにおけるセキュリティ面への不安を抱える方に向けて、客観的にセキュリティ対策を評価する認証制度が存在します。ユーザー側の不安を解消するべくセキュリティ対策の向上に努めるサービス事業者が多く、ユーザーに一定の安心感は与えられるものの、サービスの安全性が確証されたわけではありません。
そこで独立機関である第三者が、一定のセキュリティ基準からサービスを評価し、基準をクリアしているサービスにのみ認証を行うという制度があります。第三者が判断することで、公平な視点からセキュリティの信ぴょう性が評価でき、ユーザーもより安心してサービスを利用できるようになります。セキュリティ対策に注力しているサービス事業者は、積極的に認証制度の導入に取り組んでいます。クラウドサービスを選ぶうえで、第三者による認証制度を受けているかどうかや、複数の認証を受けているかどうかを判断基準の1つにすると良いでしょう。
ISMSクラウドセキュリティ認証とは?
「ISMSクラウドセキュリティ認証」とは、クラウドサービスをより安心・安全に提供・利用できるよう、クラウドのセキュリティを客観的に評価する認証制度の中でも特に有名な「ISMS(情報セキュリティマネジメントシステム)」の強化を目的としてつくられたガイドライン規格です。
ISMS自体は2001年に登場しましたが、“クラウド”という概念が生まれる前であったため、作成された基準では、クラウドサービスが発展した現在に考えられるセキュリティリスクのすべてをカバーすることはできませんでした。そこで、2013年に経済産業省を中心に、国内有識者やクラウド事業者が協力し、クラウドのセキュリティ基準を設けるための「クラウド情報セキュリティ管理基準」や「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を策定しました。これらをベースに、クラウドサービス固有のセキュリティリスクに対するガイドラインである「ISO/IEC 27017(JIS Q 27017)」を国際基準として作り、これをISMSとして認証制度化したものを「ISMSクラウドセキュリティ認証」と定めたのが、本制度の創設の流れです。
「ISMSクラウドセキュリティ認証」を代表する「ISO27001認証」の他には、「ISO27001認証」のアドオン規格として「ISO27018認証」が存在します。「ISO27018認証」とは、クラウド上の個人情報保護に特化した国際規格のことで、クラウド上に保管されている個人情報を限定としているため、規格の対象者はサービスの提供者のみとなります。
事業側が個人情報の取り扱いが適正に行われていることや、システムの堅牢性や運用における透明性など世界標準に準拠しているかについてチェックします。そのような厳しい審査をクリアした証拠をもつクラウドサービスなら、導入している組織内だけでなく、外部からの信頼も得られることでしょう。現在は「BSIジャパン」や「DNV GL」といった審査機関で、「ISO27018認証」の認証審査が行われています。
ISMSクラウドセキュリティ認証普及の背景
「ISMSクラウドセキュリティ認証」は現在多くのサービス事業者に普及しつつあります。クラウドサービスが普及している現代では、政府機関や行政といった公的機関においてもクラウドサービスが利用され始めています。
政府機関などは機密情報を多く抱えるため、セキュリティ対策に注力せざるを得ません。そこで、クラウドサービスを利用する際に、国際的な基準のもとに評価される「ISMSクラウドセキュリティ認証」を用いて、クラウドサービスの安全性や信頼性をチェックしているのです。
このように公的機関が利用しているため、「ISMSクラウドセキュリティ認証」の信頼性も高まり、民間企業がクラウドサービスを利用するうえでの判断基準の1つとして、有効となりつつあります。政府機関から民間企業に至るまで、ユーザー側の信頼性が高まっていることから、より安心・安全であることをアピールするために「ISMSクラウドセキュリティ認証」を取り入れるサービス事業者が増えているのです。
その他認証制度の種類
クラウドのセキュリティを客観的に評価する認証制度は複数存在します。ISMS以外の情報セキュリティに関する認証制度をいくつかご紹介します。
プライバシーマーク
プライバシーマークとは、日本国内でのみ適用される認証制度です。ISMSが国際標準規格ISO/IEC27001、日本工業規格JISQ27001を対象規格としている一方、プライバシーマークはJISQ15001のみが対象規格となります。
また、対象とする情報資産の範囲も異なり、ISMSでは適用範囲の個人情報を含めた情報資産すべてを保護するとしている反面、プライバシーマークでは企業全体の個人情報を保護するのみとなっています。
たとえば、企業に届く履歴書はISMSとプライバシーマークのどちらでも保護されます。しかし、財務に関する情報はISMSでは保護対象となるものの、プライバシーマークでは対象外です。
ISMSとプライバシーマークでは、一見同じ条件を要求する認証制度に思えますが、ISMSでは「情報を守るための体制や仕組み」が求められるため、企業に合わせてルールを作るなど対応ができます。しかしプライバシーマークでは、「現在保有する個人情報を守る」ことが要求されるため、作成しなければいけない文書や手順、ルールなどの規格が定められているため、要求に合わせて企業が対応していかなければならず、規格から外れた場合は認証されません。
PCIDSS
PCIDSSとは、企業の情報資産を守るための認証制度の中でも、クレジットカード情報の保護に特化した認証制度です。対象とする情報資産の範囲が広いISMSでは、企業の状況やリスクに合わせて社内で対応できることが多いため、パスワードの設定に関しても企業内で管理する仕組みを整え、要求を満たすことができますが、PCIDSSでは具体的なセキュリティ基準が設けられており、より細かな要求が求められます。
PCIDSSの主な要求として、パスワードの文字数や変更期間といった条件に加え、同じパスワードの使用制限や、連続するアクセス試行の回数制限といったパスワードの使用に関する制限が挙げられます。さらにアイドル時間が15分を超えた場合は再びパスワードの入力が必要となるほか、ロックアウト時間には最低30分を要するように設定されていない場合、PCIDSSの認証はおりません。
まとめ
クラウドセキュリティ認証制度をクリアしているということは、クラウドサービスにおけるセキュリティ対策がきちんと行われていることの証明となり、ユーザーからの信頼性も向上するでしょう。しかし、サービス事業者が行うセキュリティ対策に加え、自社でもセキュリティ対策を行うことで、より効果を高めることができます。
昨今はクラウドベースで提供されるセキュリティサービスも増加してきましたが、つい機能面に気を取られて運営体制をチェックするクラウドセキュリティ認証については軽視しがちです。この機会に一度認証取得状況を確認してみてはいかがでしょうか。
