クラウドサービスの業務利用が当たり前になった今、「ISMS認証は取ったけど、クラウド固有のリスクまでカバーできているのか?」という疑問を抱く担当者は多いのではないでしょうか。
その解決策の一つが、ISMS認証に上乗せして取得する「ISMSクラウドセキュリティ認証」です。本記事では、認証の仕組みや取得条件、ISMAPなど他制度との違いまで解説します。
クラウドセキュリティ対策の進め方に迷っている方は、セキュリティ専門家への無料相談もぜひ活用してみてください。
ISMSクラウドセキュリティ認証は、ISMS認証の上にクラウド固有の管理策を上乗せするアドオン認証です。基準となるのはISO/IEC 27017で、提供者・利用者の双方に求められる管理策が定められています。
ここでは、以下の3点を押さえておきましょう。
ISMS認証(ISO/IEC 27001)は、組織全体の情報セキュリティマネジメントシステムの枠組みです。一方、ISMSクラウドセキュリティ認証は、そのISMSの適用範囲内にあるクラウドサービスの提供、または利用において、クラウド特有のリスクに応じた管理策が追加で実施されていることを第三者が証明するものです。
ポイントは、この認証が単独では取得できない「アドオン認証」であることです。ISMS認証をすでに取得しているか、同時に審査を受けることが必須です。認証基準はJIPDECが策定した「JIP-ISMS517」で、2016年8月に制度運用が始まりました。現在は2018年4月にJIPDECから独立した一般社団法人ISMS-ACが認定機関として運用を担っています。
参考:ISMS-AC|ISMSクラウドセキュリティ認証
参考:JIPDEC|FAQ1:制度一般(ISMSクラウドセキュリティ)
ISO/IEC 27017は、ISO/IEC 27002(ISMSの管理策ガイドライン)をベースに、クラウド固有のリスクへの対処方法を追加したガイドライン規格です。国内対応規格はJIS Q 27017:2016になります。
規格の構成は大きく2つに分かれます。
ISO/IEC 27002の既存管理策に対して、クラウドサービスの観点での留意事項やガイダンスが追記されています。CSP(提供者)とCSC(利用者)の双方に向けた管理策が記載されている点が特徴です。
既存の管理策ではカバーしきれないクラウド特有のリスクに対応するため、以下のような追加管理策が設けられています。
ISMSクラウドセキュリティ認証の取得プロセスには、「認定機関」と「認証機関」という2つの組織が登場します。
認定機関(審査機関を審査する組織)
認証機関が「国際基準に従って適切に審査を行う能力があるか」を厳格に評価・認定する最高位の立場です。日本では、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が認証機関にあたります。
認証機関(企業を審査する組織)
認定機関(ISMS-AC)から「審査の権限」を与えられ、実際に企業(申請組織)のクラウドセキュリティを審査し、合格後に認証証明書を発行する組織です。
一般社団法人日本能率協会(JMAQA)など民間を含め複数の機関があり、一覧はISMS-ACの公式サイトで公開されています。
参考:JMAQA|ISMSクラウドセキュリティ認証(ISO/IEC27017)
ISMS認証だけではカバーしきれないクラウド固有のリスクが顕在化し、取引先や顧客からセキュリティ認証の取得を求められる場面が増えています。
ここでは、認証ニーズが高まっている2つの背景を整理します。
クラウドサービスには、オンプレミスでは起きにくいリスクがつきまといます。
とくに厄介なのが、CSP(クラウドサービスプロバイダ)とCSC(クラウドサービスカスタマ)の間の責任分界点の曖昧さです。たとえばIaaS環境では、OS以上のレイヤーは利用者の管理責任ですが、この切り分けを正しく認識できていないケースは少なくありません。アクセス権限やストレージ公開設定の誤りによる情報漏洩、マルチテナント環境での不正アクセス、データ保管場所の不透明性なども、いずれもクラウド固有の課題です。
こうしたリスクは、ISO/IEC 27001の管理策だけでは十分にカバーできません。クラウドに特化したISO/IEC 27017が必要とされる理由はここにあります。
政府のクラウド・バイ・デフォルト原則の推進もあり、大手企業や官公庁がクラウドサービスの調達先にセキュリティ認証の取得を求めるケースが増えています。とくにBtoB向けSaaSの提供企業にとっては、認証未取得が取引機会の損失に直結しかねない状況です。
現在、政府機関がクラウドサービスを調達する際は、政府が定める厳格なセキュリティ評価制度ISMAP(イスマップ)に登録されたサービスから選定することが原則となっています。
しかし、ISMAPの登録維持には膨大な監査コストと強固な体制が必要となるため、中小・中堅のSaaSベンダーにとってはハードルが高いのが実情です。
そのため、民間取引や、後述する自治体調達においてまずは現実的かつ信頼性の高い証明として、ISMSクラウドセキュリティ認証(ISO/IEC 27017)を取得するアプローチが多くの企業の最適解となっています。
参考:各府省CIO連絡会議|政府情報システムにおけるクラウドサービスの利用に係る基本方針(2018年)
参考:総務省自治行政局デジタル基盤推進室「地方公共団体のISMAP制度の取り扱いについて」
参考:pwc「ISMAPから考えるデジタルサプライチェーン管理」
認証取得には工数も費用もかかりますが、それに見合う実務上の効果が得られます。具体的には、以下の3つです。
認証取得のプロセスそのものが、自社のクラウドセキュリティを根底から見直す機会となります。ISO/IEC 27017の管理策に照らし合わせてリスクを体系的に洗い出し、これまで見過ごされていた脆弱性や設定ミスへの対策を導入していくためです。ISO/IEC 27001と27017を組み合わせることで、クラウドにも対応した管理体制が構築できます。
加えて、毎年の維持審査があるため、セキュリティ体制が形骸化せず、PDCAサイクルによる継続的な改善が組織の制度として定着する点も大きなメリットです。
国際規格に基づく第三者認証は、クラウドセキュリティ体制の客観的な証明として機能します。とくに機密情報や個人情報を預かるサービスでは訴求力が高く、官公庁や大手企業との取引で認証取得が入札条件になるケースも出てきています。
ISO/IEC 27017はCSP(クラウドサービス事業者)とCSC(クラウドサービス利用者)の双方に管理策を示しているため、認証取得に取り組む過程で、両者の責任分界が自然と整理されます。
「どこまでがサービス提供者の責任で、どこからが自社の対応範囲か」が曖昧なまま運用を続けていると、インシデント発生時に対応が遅れるリスクがあります。この曖昧さを事前に解消しておくことで、設定ミスによる情報漏洩を未然に防げるだけでなく、万が一のインシデント発生時にも迅速な初期対応が可能となり、被害の拡大を最小限に抑えることができます。
ISMSクラウドセキュリティ認証の対象は、クラウドサービスを提供する組織(CSP)、利用する組織(CSC)、またはその両方です。
たとえば、自社でSaaSを開発・提供しつつ、インフラとして他社のIaaSを利用しているケースでは、CSPとCSCの両面で管理策への対応が求められます。どの立場で認証を取得するかによって適用すべき管理策が変わるため、取得準備の最初のステップは「自社がCSP・CSC・両方のどれにあたるか」を明確にすることです。
なお、ISMS認証の適用範囲と完全に一致していなくても、範囲内にクラウドサービスが含まれていれば取得は可能です。
ISMSクラウドセキュリティ認証を取得するには、ISMS認証(ISO/IEC 27001)が前提です。すでに取得済みなら追加取得、未取得ならISMS認証と同時に審査を受ける形になります。
ISMSクラウドセキュリティ認証はアドオン認証なので、ISO/IEC 27001認証の取得か同時審査が必須です。ISMS-ACの公式ページでも、ISMS認証の取得を前提とする旨が明記されています。
注意点として、ISMS認証が一時停止や取消しになると、クラウドセキュリティ認証も連動して同じ措置を受けます。つまり、クラウドセキュリティ認証を維持するには、ISMS認証そのものの維持が不可欠です。
参考:JMAQA|ISMSクラウドセキュリティ認証(ISO/IEC27017)
一般的な取得の流れは、以下の5ステップです。
ISMS認証と同時に取得する場合と、取得済みの状態から追加で取る場合では工程が異なります。後者では、ISMSの継続審査や再認証審査のタイミングに合わせて受審することも可能です。
認証は取得して終わりではありません。毎年の維持審査(サーベイランス審査)に加え、ISMS認証と連動した更新審査が必要です。
クラウドセキュリティ認証の有効期間はISMS認証の有効期間に従うため、ISMSの更新審査がそのままクラウドセキュリティ認証の更新審査になります。
日々のクラウド環境の変化(新しいサービスの採用や設定変更)に合わせて、セキュリティルールを常にアップデートしていく体制が欠かせません。
認証の取得・維持にかかる費用は、大きく3つのカテゴリに分かれます。
| 費用カテゴリ | 概要 | 主な変動要因 |
|---|---|---|
| 審査費用 | 認証機関に支払う費用。初回・維持・更新の各審査で発生 | 審査工数(日数)、適用範囲、組織規模 |
| コンサルティング費用 | 外部の専門会社に支援を依頼する場合に発生。規程整備〜審査対策まで | 支援範囲、コンサルティング会社 |
| 内部コスト | 担当者の工数、従業員教育費、セキュリティツール導入費など | 組織規模、既存体制の成熟度 |
金額は組織規模や認証機関によって大きく変わります。検討段階で複数の認証機関から見積もりを取っておくのがおすすめです。
ISMSクラウドセキュリティ認証と混同されやすい制度として、ISMAPとISO/IEC 27018があります。それぞれの違いを整理しておきましょう。
ISMAPは、2018年の「クラウド・バイ・デフォルト原則」をきっかけに、政府機関が利用するクラウドサービスのセキュリティを統一的に評価するために作られた日本政府独自の制度です。
ISMSクラウドセキュリティ認証との主な違いを表にまとめます。
| 比較項目 | ISMSクラウドセキュリティ認証 | ISMAP |
|---|---|---|
| 制度の性質 | 国際規格(ISO/IEC 27017)ベースの第三者認証 | 日本政府独自のセキュリティ評価制度 |
| 主な対象 | 民間取引を含む幅広い組織 | 政府機関向けクラウドサービス提供事業者 |
| 審査の仕組み | ISMS-AC認定の認証機関が審査 | 監査法人が監査 → IPAに登録申請 |
| 有効期間 | ISMS認証に連動(最大3年、毎年維持審査) | 監査対象期間末日の翌日から1年4ヶ月 |
| 管理基準の関係 | ISO/IEC 27017の管理策に準拠 | ISO/IEC 27017の管理策を多く取り込んでいる |
ISMAPの管理基準にはISO/IEC 27017の管理策が多く含まれているため、クラウドセキュリティ認証を取得していれば、ISMAP対応の土台ができている状態になります。民間企業間の取引が中心ならISMSクラウドセキュリティ認証、政府・自治体向けにサービスを提供しているならISMAPを優先的に検討するとよいでしょう。
ISO/IEC 27018は、クラウド環境での個人情報保護に特化した国際規格です。主にCSPが個人情報処理者として実施すべき管理策を定めたもので、ISO/IEC27017と同じくISMS認証のアドオン規格にあたります。
27017がクラウドセキュリティ全般をカバーするのに対し、27018は個人情報保護にフォーカスしている点が大きな違いです。個人情報を扱うクラウドサービスでは、両方の取得を検討する価値があります。
ISMSクラウドセキュリティ認証は、ISMS認証をベースにISO/IEC 27017が定めるクラウド固有の管理策の実施を第三者が証明するアドオン認証です。CSP・CSCいずれの立場でも取得可能で、立場によって適用すべき管理策が異なります。
取得を検討するなら、まずは自社がCSP/CSCのどちらにあたるかを明確にし、ISO/IEC 27017の管理策と現状のギャップを把握するところから始めてみてください。ISMAPやISO/IEC 27018との違いも踏まえたうえで、自社の事業特性や取引先の要求に合った制度を選ぶことが大切です。
認証の要否判断や準備の進め方に迷ったら、セキュリティ専門家への無料相談で自社の状況に合ったアドバイスを受けてみてはいかがでしょうか。