日本MS、クラウドセキュリティで“ゴールド”取得の狙いを説明

阿久津良和 2016年02月16日 07時00分

  • このエントリーをはてなブックマークに追加

 日本マイクロソフトは、「クラウド情報セキュリティ監査制度」の「クラウドセキュリティ(CS)ゴールドマーク」を日本で初めて取得したことを2月10日に発表した。日本のユーザー企業は「Micrsoft Azure」と「Office 365」が客観的な基準で安全性と信頼性が確認されたサービスとして選択できることになる。これを受けて同社は2月15日に記者発表会を開催し、CSゴールドマーク取得の背景と、Microsoftがグローバルで取り組む「Trusted Cloud」について説明した。

 クラウド情報セキュリティ監査制度は、特定非営利活動法人 日本セキュリティ監査協会(JASA)による監査制度。JASA事務局長 永宮直史氏によれば、同監査制度は、経済産業省が2011年4月に公開し、2014年5月に改訂した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」がベースになっているという。


JASA 永宮直史氏

 永宮氏は「クラウドは、サービスの障害情報やシステム状態を把握しにくいなど透明化されていないため、クラウド事業者は自社の顧客に対する説明が果たせていないと考えてる」と説明。また、PwCあらた監査法人 システム・プロセス・アシュアランス部シニアマネージャー 川本大亮氏も、「クラウド側も情報発信に不慣れ。クラウド利用者に情報が提供できていないケースが目立つ」と語る。このような背景からクラウドに必要な監査システムが必要だと2者は指摘した。


「クラウド情報セキュリティ監査制度」の構造

 だが、情報セキュリティの規格としては、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同策定した「情報セキュリティマネジメントの実践のための規範(ISO/IEC 27017)」や、米国公認会計士協会(AICPA)が定める「SOC(Service Organization Controls)2」などが存在する。この点について川本氏は、「SOCレポートは保証業務という枠組みで作成される公正なものだが、そのままクラウドに適用するとコスト増につながる」と説明した。ちなみに、ISO/IEC 27017の中でクラウドセキュリティを規定している「クラウドコンピューティングサービスのIS制御の実践のための規範」は現時点で準備中だ。


PwCあらた監査法人 川本大亮氏

 クラウド情報セキュリティ監査制度は、サービスに対する情報セキュリティ内部監査を標準化することで、信頼性を高めることを目的としている。具体的には、クラウドサービスプロバイダー(CSP)が行うべきセキュリティ管理要件を「基本言明要件」として定め、これをCSPがルールどおり実施しているかを基準に評価し、安全性が確保されていることを顧客に明確にする。監査はCSPが行う内部監査と独立した第3者が評価するダブルチェックシステムだ。


外部評価手続きの構造。あくまでもCSチェックは監査資格を持つクラウド技術者が行い、その結果を会計監査人が担保する仕組み

 「SOCは監査人がすべてを行うダイレクト方式だが、CSゴールドマークはCSPの内部監査人が作成したレポートが正しいかチェックするインダイレクト方式だ」と永宮氏。監査の知識を習得したクラウド技術者が内部監査を実施することで技術的評価を担保しつつ、時間や費用面を抑制可能だという。

 外部評価手続きについて川本氏は、コスト増を避けるため「AUP(合意された手続き:実施結果の事実のみの報告を目的として、公認会計士などが業務依頼者および実施結果利用者との間で合意した手続き)」と用いると説明した。公認会計士は事実を確認し、JASAがジャッジを行うことで、一定以上の保証を担保できるとする。


MicrosoftのYen-Ming Chen氏

 発表会には、米MicrosoftのAzureグローバルエコシステム コンプライアンス & トラストマネージャー Yen-Ming Chen氏が登壇。同社のサイバーセキュリティ & クラウド戦略担当ディレクター Tim Rains氏もSkype経由で参加した。

 Rains氏は、同社が掲げる「Trusted Cloud」の理念について、「セキュリティ、プライバシーとコントロール、法令遵守、透明性の4つを信条としている。SOC2 Type2を取得するためにデータセンターの作業に9カ月を費やした」と語った。またChen氏は、CSゴールドマーク取得により、「日本のクラウドサービスがさらに加速する」と述べた。

 日本マイクロソフト チーフセキュリティアドバイザー 高橋正和氏は、AzureやOffice 365を使うユーザー企業が、自社システムがセキュアであることを取引先など外部に向けて表明できる保証システムが重要だと語る。

 「昨今、(ITにまつわる)さまざまな事件が発生し、ITに消極的な雰囲気が世間に生まれつつある。だが、ワールドワイドで見れば少額投資で先に進めるクラウドが広まる世界は変わらない。(今回のCSゴールドマーク取得が)ITやクラウドを積極的に使える環境の普及につながればよい。Microsoftのクラウドが信用できないという顧客に安心してデータを預けてもらうための仕組みの1つだ」(高橋氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算