編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

日本MS、クラウドセキュリティで“ゴールド”取得の狙いを説明

阿久津良和

2016-02-16 07:00

 日本マイクロソフトは、「クラウド情報セキュリティ監査制度」の「クラウドセキュリティ(CS)ゴールドマーク」を日本で初めて取得したことを2月10日に発表した。日本のユーザー企業は「Micrsoft Azure」と「Office 365」が客観的な基準で安全性と信頼性が確認されたサービスとして選択できることになる。これを受けて同社は2月15日に記者発表会を開催し、CSゴールドマーク取得の背景と、Microsoftがグローバルで取り組む「Trusted Cloud」について説明した。

 クラウド情報セキュリティ監査制度は、特定非営利活動法人 日本セキュリティ監査協会(JASA)による監査制度。JASA事務局長 永宮直史氏によれば、同監査制度は、経済産業省が2011年4月に公開し、2014年5月に改訂した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」がベースになっているという。


JASA 永宮直史氏

 永宮氏は「クラウドは、サービスの障害情報やシステム状態を把握しにくいなど透明化されていないため、クラウド事業者は自社の顧客に対する説明が果たせていないと考えてる」と説明。また、PwCあらた監査法人 システム・プロセス・アシュアランス部シニアマネージャー 川本大亮氏も、「クラウド側も情報発信に不慣れ。クラウド利用者に情報が提供できていないケースが目立つ」と語る。このような背景からクラウドに必要な監査システムが必要だと2者は指摘した。


「クラウド情報セキュリティ監査制度」の構造

 だが、情報セキュリティの規格としては、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同策定した「情報セキュリティマネジメントの実践のための規範(ISO/IEC 27017)」や、米国公認会計士協会(AICPA)が定める「SOC(Service Organization Controls)2」などが存在する。この点について川本氏は、「SOCレポートは保証業務という枠組みで作成される公正なものだが、そのままクラウドに適用するとコスト増につながる」と説明した。ちなみに、ISO/IEC 27017の中でクラウドセキュリティを規定している「クラウドコンピューティングサービスのIS制御の実践のための規範」は現時点で準備中だ。


PwCあらた監査法人 川本大亮氏

 クラウド情報セキュリティ監査制度は、サービスに対する情報セキュリティ内部監査を標準化することで、信頼性を高めることを目的としている。具体的には、クラウドサービスプロバイダー(CSP)が行うべきセキュリティ管理要件を「基本言明要件」として定め、これをCSPがルールどおり実施しているかを基準に評価し、安全性が確保されていることを顧客に明確にする。監査はCSPが行う内部監査と独立した第3者が評価するダブルチェックシステムだ。


外部評価手続きの構造。あくまでもCSチェックは監査資格を持つクラウド技術者が行い、その結果を会計監査人が担保する仕組み

 「SOCは監査人がすべてを行うダイレクト方式だが、CSゴールドマークはCSPの内部監査人が作成したレポートが正しいかチェックするインダイレクト方式だ」と永宮氏。監査の知識を習得したクラウド技術者が内部監査を実施することで技術的評価を担保しつつ、時間や費用面を抑制可能だという。

 外部評価手続きについて川本氏は、コスト増を避けるため「AUP(合意された手続き:実施結果の事実のみの報告を目的として、公認会計士などが業務依頼者および実施結果利用者との間で合意した手続き)」と用いると説明した。公認会計士は事実を確認し、JASAがジャッジを行うことで、一定以上の保証を担保できるとする。


MicrosoftのYen-Ming Chen氏

 発表会には、米MicrosoftのAzureグローバルエコシステム コンプライアンス & トラストマネージャー Yen-Ming Chen氏が登壇。同社のサイバーセキュリティ & クラウド戦略担当ディレクター Tim Rains氏もSkype経由で参加した。

 Rains氏は、同社が掲げる「Trusted Cloud」の理念について、「セキュリティ、プライバシーとコントロール、法令遵守、透明性の4つを信条としている。SOC2 Type2を取得するためにデータセンターの作業に9カ月を費やした」と語った。またChen氏は、CSゴールドマーク取得により、「日本のクラウドサービスがさらに加速する」と述べた。

 日本マイクロソフト チーフセキュリティアドバイザー 高橋正和氏は、AzureやOffice 365を使うユーザー企業が、自社システムがセキュアであることを取引先など外部に向けて表明できる保証システムが重要だと語る。

 「昨今、(ITにまつわる)さまざまな事件が発生し、ITに消極的な雰囲気が世間に生まれつつある。だが、ワールドワイドで見れば少額投資で先に進めるクラウドが広まる世界は変わらない。(今回のCSゴールドマーク取得が)ITやクラウドを積極的に使える環境の普及につながればよい。Microsoftのクラウドが信用できないという顧客に安心してデータを預けてもらうための仕組みの1つだ」(高橋氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]