特定非営利活動法人(NPO)の日本セキュリティ監査協会(JASA)は4月25日、同協会の下部組織として「JASA-クラウドセキュリティ推進協議会(略称:クラウドセキュリティ推進協議会)」を発足させた。
現在、クラウドサービスの導入を検討している企業が増加している反面、データの消失や未許可のアクセス、システムの停止といったリスクへの不安から導入を見送る企業も多い。
クラウドサービスの提供各社は、堅牢なシステムの構築や情報セキュリティに取り組んでいるが、各社独自の方法を採用しているため、ユーザー企業にとっては判断が難しい。
現在、外部監査人による直接評価する制度として「SOC2」「SOC3」があるが、非常に高価であり監査を受けている事業者も少ない。また「ISMS適合性評価」という制度もあるが、クラウド固有の内容でなく、評価の判断材料としては物足りない。
こうした背景から、情報セキュリティ対策に高い意識を持つという事業者が連携し、各クラウドサービス特有の技術的課題に対応したナレッジを集約、クラウド情報セキュリティ監査制度を立ち上げ実施していくことを目的にクラウドセキュリティ推進協議会を発足させた。
クラウド情報セキュリティ監査は、事業者が行うべき情報セキュリティマネジメントの基本的な要件(基本言明要件)を定め、事業者が順守しているかを評価し、安全性が確保されていることを利用者に明確にする仕組み。基本言明要件は、経済産業省が公開している「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」に基づいている。
クラウド情報セキュリティ監査の仕組み
協会のロゴと交付されるロゴ
監査は、事業者が実施する「内部監査」と、作成された内部監査報告書を外部の第三者が評価する「外部監査」の2種類が規定される。それぞれ監査を追えた事業者には、ウェブサイトなどに貼り付ける「言明書ロゴ(サービスロゴ)」が提供される。外部監査を終えた場合は“ゴールド”、内部監査のみ終えた場合は“シルバー”と色で区別できるようになっている。
