クラウドサービスは、今日では業務の遂行に欠かせないものになりました。 システムの柔軟性やスケーラビリティ、コスト最適化といった利点により、業種や企業規模を問わず導入が進んでいます。
一方で、セキュリティリスクの増加も、無視できない要素となっています。自社で直接管理しないクラウド環境では、どこにデータが保存されているのか、どのように保護されているのか、といった不透明さが、情報漏えいやサイバー攻撃への懸念につながります。
さらに、取引先や顧客から「クラウドのセキュリティは万全ですか?」と問われた際、その安全性をどのように説明・証明するかも大きな課題です。
こうした背景から、クラウドサービスのセキュリティ対策を第三者が認証する仕組みとして、ISMSクラウドセキュリティ認証が注目を集めています。
本記事では、このISMSクラウドセキュリティ認証について、その概要や仕組み、要求される事項の特徴などを解説していきます。
目次
ISMS クラウドセキュリティ認証とは
ISMSクラウドセキュリティ認証は、クラウドサービスにおける情報セキュリティ対策の妥当性を、第三者が確認・証明するための認証制度です。
この認証は、クラウドサービスのセキュリティに関する国際的な管理策(ISO/IEC 27017)に基づいて、提供者や利用者が実施している管理体制を評価するもので、特にクラウド特有のリスクや責任分界への対応が重要な観点となります。
どんな企業が取得しているか
取得の中心となっているのは、クラウドサービスを外部に提供している事業者(クラウドサービスプロバイダ)です。
自社のクラウドサービスが安全に設計・運用されていることを示すことで、顧客企業やパートナーからの信頼獲得や、サービス選定時の競争力向上に繋げています。
一方で、クラウドサービスを利用するのみの立場(クラウドサービスカスタマ)の企業が、クラウド環境の統制状況を対外的に示す目的で認証を取得するケースもあります。
公共機関に対してシステム設計・構築サービスを提供する企業が、Microsoft Azureのクラウドサービスカスタマーとして認証を取得するケースなどがこれに当たります。
認証を取得することで得られること
ISMSクラウドセキュリティ認証を取得することにより、クラウドサービスの提供者や利用者は、セキュリティ面における自社の信頼性を客観的に示すことが可能になります。
顧客やパートナーに対して、このサービスは適切なセキュリティ対策が講じられている、というメッセージを明確に伝える手段となり、対外的な信頼の獲得につながります。
また、企業間の取引やクラウドサービスの選定において、情報セキュリティに関する認証の有無が評価項目となるケースは少なくありません。
例えば、提案依頼書(RFP)や入札条件の中で、ISMSやクラウドセキュリティ認証の取得を要件や加点対象として挙げる企業も多く、セキュリティ認証が商談の前提となる場面も増えています。
市区町村へクラウドサービスを提供する際に、条件としてクラウドセキュリティ認証の取得を要求され、急ぎ認証取得を目指す、という事例もあります。
さらに、認証を取得する過程では、クラウド特有のリスクに対する統制や管理体制の整備が求められるため、社内のセキュリティ対策そのものの成熟度が高まるという効果もあります。
これは単なる外向けのアピールにとどまらず、日常的な運用の中でインシデントの発生を未然に防ぎ、対応力を強化することにもつながります。
このように、認証取得は「信頼の獲得」と「実装レベルでの強化」の両面で組織に貢献し、結果として他社との差別化や営業上の競争力向上にも寄与するのです。
認証の仕組み
ISMSクラウドセキュリティ認証は、ISMS認証(ISO/IEC 27001)に、クラウド特有の管理策を定めたISO/IEC 27017を加えたAdd-on認証という形をとっています。
これは、単独で取得するものではなく、あくまでISMS認証をベースに、クラウド固有の観点を追加で審査する形式です。そのため、ISMS認証を取得しないまま、クラウドセキュリティ認証のみを取得することはできません。
※ISMS認証取得については、ISMS認証はどうやって取得する?取得までの流れで解説しています。
日本では、この認証制度は一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が運用しています。審査自体は、ISMS-ACの認定を受けた第三者認証機関によって行われます。
ISMS + クラウドの組み合わせ
クラウドサービスには特有のリスクや運用形態があります。
例えば、仮想環境の管理やクラウドサービス提供者と利用者の責任分界など、クラウド特有のリスクには、より専門的な管理策が必要です。
そこで登場するのがISO/IEC 27017です。
これは、クラウド環境におけるリスクに対応するための拡張的な管理策を定めたガイドラインであり、ISMSのフレームワークの上に追加される形で運用されます。
Add-on認証としての構造
ISMSクラウドセキュリティ認証では、まずISO/IEC 27001に基づいた基本的な情報セキュリティ管理体制が整っているかが評価され、そのうえで、ISO/IEC 27017に定められたクラウド特有の管理策が適切に実装されているかが審査されます。
この二層構造によって、クラウドサービスの提供・利用における包括的なセキュリティ対策の妥当性を第三者が証明する、というのが、ISMSクラウドセキュリティ認証の基本的な仕組みです。
要求事項の特徴
ISMSクラウドセキュリティ認証では、ISO/IEC 27001に基づいた一般的な情報セキュリティ管理策に加えて、クラウド特有のリスクに対応するための追加管理策(ISO/IEC 27017)が求められます。
ISO/IEC 27017は、クラウドサービスにおけるセキュリティの考慮点を整理し、提供者であるクラウドサービスプロバイダ(CSP:Cloud Service Provider)と、利用者であるクラウドサービスカスタマー(CSC:Cloud Service Customer)の双方の立場に対して整理されている点が大きな特徴です。
ISO/IEC 27017では、クラウドにおけるセキュリティ管理策を、以下のような3つの観点で強化することが求められています。
契約に関する明確化
クラウドサービスでは、CSPとCSCの責任分界が曖昧になりやすく、セキュリティ事故時の対応や管理の抜け漏れにつながるリスクがあります。
そのため、CSPとCSCの間で交わされる契約には、セキュリティ対策の分担や運用範囲、対応責任などを明確に定めることが重視されています。
具体的には、データの保管場所、データの保持方針、利用者の責任範囲、法的要求事項への対応体制など、セキュリティ管理に関わる役割と責任が契約文書で明確になっていなければなりません。
さらには、その契約文書に基づいて双方が合意していることも重要になります。
情報提供と透明性の確保
クラウドの環境では、CSCがシステムの内部構造やセキュリティ対策の実施状況を直接確認しにくいため、CSPからの十分な情報提供と運用の透明性が重要になります。
例えば、サービスの提供範囲、バックアップの有無、ログの取得・閲覧方法、ピアクラウドサービス*の情報など、利用者がリスクを把握できるようにすることが求められます。
AWSやGoogleCloudなど大手クラウドベンダーでは、これらの情報をWebサイト上で公開しており、高いレベルで透明性を担保している一例といえます。中小企業などであれば、必要最小限の情報に絞り、ホワイトペーパーなどで利用者に情報提供しているケースもあります。
*提供するクラウドサービスに付帯するクラウドサービスを指す。例えば、顧客管理クラウドサービスを提供するケースで、メール送信するために利用するサービス(SendGridなど)が該当する。
一方、CSCに対しても、CSPから提供された情報をもとに、自社のセキュリティポリシーに沿ったクラウド利用の方針を明確化し、利用実態を管理できるようにする責任があります。
CSP側が前述のようにWebサイトやホワイトペーパーによって情報提供されていれば、それを確認すれば把握することが可能です。もしその方法で確認できなければ、問い合わせするなどして、情報を集める必要があります。
技術的な統制と実装の整備
クラウドサービスでは、仮想化やリソース共有といった技術的な特性に起因するリスクが存在するため、実装レベルでの統制措置が不可欠です。ISO/IEC 27017では、こうしたクラウド特有のリスクに対応するための技術的管理策についても、具体的に言及されています。
例えば、CSPに対しては、仮想マシンの設定管理やネットワーク分離の実施、ログ管理、暗号化の適用など、クラウド基盤全体のセキュリティ水準を維持するための実装責任が求められます。
これにより、CSPはユーザー企業ごとの環境を適切に分離・保護し、不正アクセスや設定ミスによる情報漏えいを防止する役割を担います。
CSCにおいても、クラウドのセキュリティ対策をCSP任せにするのではなく、CSPが提供する機能を正しく利用・設定する責任があります。
例えば、アクセス権限の管理、利用者ごとの多要素認証の設定、APIの使用制限、暗号鍵管理ポリシーの整備といった、利用者側で完結する設定や運用ルールの確立が求められます。
このように、ISMSクラウドセキュリティ認証で求められる技術的管理策は、CSPとCSCそれぞれの立場に応じて、実装すべきセキュリティ対策が明確に整理されている点が特徴です。
特に責任分界が不明確なままでは、事故やトラブル発生時にどちらが対応すべきか判断がつかず、迅速な対応を妨げる要因になります。
これらのことから、技術的な統制は契約・情報提供と密接に関連しながら、認証審査でも重視されるポイントとなっています。
安全なクラウドサービスの安全性を証明するために
クラウドサービスは、その利便性と拡張性の高さから、あらゆる業界で活用が広がっています。
一方で、クラウド環境の不透明さや責任分界の複雑さは、セキュリティ管理における新たな課題を生み出しています。
こうした背景の中で、クラウドサービスのセキュリティ対策が十分であることを、第三者の視点で客観的に証明できる仕組みとして、ISMSクラウドセキュリティ認証が注目されています。
この認証では、一般的な情報セキュリティ管理に加えて、クラウド特有のリスクに対応するための管理策が求められます。
契約内容の明確化、情報提供による透明性の確保、そして技術的な統制の実装といった観点から、クラウドサービスプロバイダ(CSP)とクラウドサービスカスタマー(CSC)の双方が、適切に責任を分担し、セキュアなクラウド環境を維持することが重視されているのです。
ISMSクラウドセキュリティ認証を取得することにより、クラウドサービスの安全性を第三者の立場から証明できるようになり、顧客や取引先からの信頼獲得や、ビジネス上の競争力強化にもつながります。
特に最近では、ISMSクラウドセキュリティ認証の有無がクラウド事業者の評価基準として明示されるケースも増えており、「認証取得済み」であることが取引先への安心材料として期待されています。
クラウドサービスを取り巻くリスクと責任が複雑化する今だからこそ、外部に対して安全性を証明できる手段を持つことが、組織にとって重要な戦略のひとつになっています。
