日本マイクロソフトは、「クラウド情報セキュリティ監査制度」の「クラウドセキュリティ(CS)ゴールドマーク」を日本で初めて取得したことを2月10日に発表した。日本のユーザー企業は「Micrsoft Azure」と「Office 365」が客観的な基準で安全性と信頼性が確認されたサービスとして選択できることになる。これを受けて同社は2月15日に記者発表会を開催し、CSゴールドマーク取得の背景と、Microsoftがグローバルで取り組む「Trusted Cloud」について説明した。
クラウド情報セキュリティ監査制度は、特定非営利活動法人 日本セキュリティ監査協会(JASA)による監査制度。JASA事務局長 永宮直史氏によれば、同監査制度は、経済産業省が2011年4月に公開し、2014年5月に改訂した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」がベースになっているという。
JASA 永宮直史氏
永宮氏は「クラウドは、サービスの障害情報やシステム状態を把握しにくいなど透明化されていないため、クラウド事業者は自社の顧客に対する説明が果たせていないと考えてる」と説明。また、PwCあらた監査法人 システム・プロセス・アシュアランス部シニアマネージャー 川本大亮氏も、「クラウド側も情報発信に不慣れ。クラウド利用者に情報が提供できていないケースが目立つ」と語る。このような背景からクラウドに必要な監査システムが必要だと2者は指摘した。
「クラウド情報セキュリティ監査制度」の構造
だが、情報セキュリティの規格としては、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同策定した「情報セキュリティマネジメントの実践のための規範(ISO/IEC 27017)」や、米国公認会計士協会(AICPA)が定める「SOC(Service Organization Controls)2」などが存在する。この点について川本氏は、「SOCレポートは保証業務という枠組みで作成される公正なものだが、そのままクラウドに適用するとコスト増につながる」と説明した。ちなみに、ISO/IEC 27017の中でクラウドセキュリティを規定している「クラウドコンピューティングサービスのIS制御の実践のための規範」は現時点で準備中だ。
PwCあらた監査法人 川本大亮氏
クラウド情報セキュリティ監査制度は、サービスに対する情報セキュリティ内部監査を標準化することで、信頼性を高めることを目的としている。具体的には、クラウドサービスプロバイダー(CSP)が行うべきセキュリティ管理要件を「基本言明要件」として定め、これをCSPがルールどおり実施しているかを基準に評価し、安全性が確保されていることを顧客に明確にする。監査はCSPが行う内部監査と独立した第3者が評価するダブルチェックシステムだ。
外部評価手続きの構造。あくまでもCSチェックは監査資格を持つクラウド技術者が行い、その結果を会計監査人が担保する仕組み
「SOCは監査人がすべてを行うダイレクト方式だが、CSゴールドマークはCSPの内部監査人が作成したレポートが正しいかチェックするインダイレクト方式だ」と永宮氏。監査の知識を習得したクラウド技術者が内部監査を実施することで技術的評価を担保しつつ、時間や費用面を抑制可能だという。
外部評価手続きについて川本氏は、コスト増を避けるため「AUP(合意された手続き:実施結果の事実のみの報告を目的として、公認会計士などが業務依頼者および実施結果利用者との間で合意した手続き)」と用いると説明した。公認会計士は事実を確認し、JASAがジャッジを行うことで、一定以上の保証を担保できるとする。
MicrosoftのYen-Ming Chen氏
発表会には、米MicrosoftのAzureグローバルエコシステム コンプライアンス & トラストマネージャー Yen-Ming Chen氏が登壇。同社のサイバーセキュリティ & クラウド戦略担当ディレクター Tim Rains氏もSkype経由で参加した。
Rains氏は、同社が掲げる「Trusted Cloud」の理念について、「セキュリティ、プライバシーとコントロール、法令遵守、透明性の4つを信条としている。SOC2 Type2を取得するためにデータセンターの作業に9カ月を費やした」と語った。またChen氏は、CSゴールドマーク取得により、「日本のクラウドサービスがさらに加速する」と述べた。
日本マイクロソフト チーフセキュリティアドバイザー 高橋正和氏は、AzureやOffice 365を使うユーザー企業が、自社システムがセキュアであることを取引先など外部に向けて表明できる保証システムが重要だと語る。
「昨今、(ITにまつわる)さまざまな事件が発生し、ITに消極的な雰囲気が世間に生まれつつある。だが、ワールドワイドで見れば少額投資で先に進めるクラウドが広まる世界は変わらない。(今回のCSゴールドマーク取得が)ITやクラウドを積極的に使える環境の普及につながればよい。Microsoftのクラウドが信用できないという顧客に安心してデータを預けてもらうための仕組みの1つだ」(高橋氏)
