近年、クラウドは企業システムの構成要素として「当たり前」に検討されるようになっている。しかしながら、クラウドの「セキュリティ」に対するユーザーの懸念がなくなったわけではない。より重要度の高いシステムをオンプレミスからクラウドへ移行するといった利用形態も増えている今、そのセキュリティ確保にどのように取り組んでいくか、さらには、その取り組みをどのように担保していくかは、クラウドサービスプロバイダー(CSP)とユーザーの双方にとって、ますます重要な課題になっている。
当企画の前編では、クラウドセキュリティへの取り組みを担保する仕組みとしての「認証制度」に関して触れた。そこで後編では、よりビジネスに貢献するIT基盤を作っていくために、CSPやユーザーが、それぞれの立場でどのように認証制度を活用し「クラウドセキュリティ」と向き合うべきかについて考えてみたい。
ニフティ、クラウド事業部の監物岳夫氏と、ディアイティ、クラウドセキュリティ研究所所長である河野省二氏に話を聞いた。
ディアイティ
クラウドセキュリティ研究所所長
河野省二氏
ニフティ クラウド事業部事業部長代理 兼 クラウドプラットフォーム部部長
監物岳夫氏
セキュリティの不安を払拭するニフティクラウドの「見える」取り組みと「見えない」取り組み
-企業のクラウド活用事例は増加傾向にありますが、依然として「セキュリティ」への懸念を持っているユーザーも多いようです。ニフティクラウドにおいては、こうした懸念を払拭するために、どのような取り組みを進めていらっしゃるのかについて、改めて聞かせて下さい。
監物氏
これまでオンプレミスで稼働していたようなシステムを、お客様が時間をかけながらクラウドへ集約していくという方向性は、今後も続いていくとみています。ニフティクラウドでは、エンタープライズのお客様向けにIaaSを提供していますが、近年では、そのお客様に対する「標的型攻撃」なども増加しています。システムを運用しているお客様自身の「セキュリティ」に対する責任も増していますが、同時にわれわれのようなCSP側でも、しっかりとした対策を行い、お客様に対して必要な情報やソリューションを提供していく必要性も高まっています。
具体的には、お客様から「見える」部分と、「見えない」部分の双方で取り組みを進めています。
「見える」部分というのは、ニフティクラウド上で提供しているサービスに関するものです。われわれはパートナーとの協業によるソリューション提供に力を入れており、その中でセキュリティに関するソリューションも提供しています。クラウドに対する脅威の変化も注視しつつ、今後も引き続きラインアップの拡充を行っていきます。
「見えない」部分は、クラウドサービスを提供するにあたっての「運用」を適切に行っていくという内部での努力です。その信頼性を担保するため、ニフティでは経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(クラウドセキュリティガイドライン)」や「クラウドセキュリティガイドライン活用ガイドブック」などに準じた運用を行い、ホワイトペーパーや対策リストなどの公開を通じて、その取り組みを示してきました。
さらに「情報セキュリティマネジメントシステム(ISMS)適合性認証(ISO/IEC 27001:2013,JIS Q 27001:2014)」「SOC2」、そして「CSマーク(シルバー)」といった公的認証を取得することで、運用面でのセキュリティを客観的に評価していただける状況を整えています。また、ISMSに関しては、JIPDECのISMSクラウドセキュリティ認証の追加取得も検討したいと思っています。
-ニフティクラウドが「CSマーク(シルバー)」を取得されたのは2015年5月とのことですが、これは、どのような認証制度で、どういったニーズに基づいてスタートしたものなのでしょうか。認証の主体となる「クラウドセキュリティ推進協議会(JASA)」の運営に携わっておられる河野さんにお伺いします。
河野氏
「CSマーク(シルバー)」は、多数のCSPが加盟するJASAが「同協議会が定める基本リスクに対し必要な管理策を実施していること」「実施状況について、標準監査に準拠した内部監査により確実であると確認されていること」の2つの条件を満たしたCSPに対してマークの使用を許可する認証制度です。ベースとなっているのは、JASAが中心となって提案と策定を行い、クラウド情報セキュリティの国際標準規格となった「ISO/IEC 27017」になります。(規格の詳細については前編を参照)
これまでも、クラウドセキュリティに関しては米国のアライアンス団体による認証制度などが展開されていましたが、認証を取得している企業自体の数がまだ少なく、ユーザーが判断基準にしづらかったという状況があると思います。
「CSマーク」は、日本発の初めてのクラウドセキュリティ認証制度として運用をスタートしました。そのベースとなる規格の策定や、監査ガイドラインの作成には、パイロット段階からニフティをはじめとして、多くのCSPのキープレイヤーが参加しており、非常に実践的な議論の中で「スジが良い」ものになったと感じています。
既に、ニフティをはじめ、日本マイクロソフト、NTT東日本、電通国際情報サービス(ISID)、IIJ、日立製作所、ビットアイル・エクイニクスといったクラウドサービスを提供する企業が「CSマーク(シルバー)」「同(ゴールド)」の認証を取得しています。今後、さらに「CSマーク」に対する、CSPやユーザーの関心が高まるだろうと期待しています。
