クラウドサービスにおけるセキュリティ上の懸念を払拭する
クラウドサービスを利用するにあたっての懸念事項は今も変わらず情報セキュリティだ。
クラウドサービスの利用が本格的に始まって10年近くが経つが、セキュリティへの懸念から利用が進まない企業もあり、まだまだ払拭出来ていない状況が伺える。これらの原因の一つとして考えられるのが、クラウドシステムの安全性を評価するための仕組みが整っていなかったことだ。予め、読者の皆さんに知っておいていただきたいのが、「情報セキュリティ」に関する認証制度として既にあるもの、例えば「ISMS(ISO/IEC 27001:2013,JIS Q 27001:2014)」やSOC2については、必ずしもクラウドサービスの安全性を保証するものではないことだ。しかしながら、ようやくクラウドサービスに特化した、安全性を評価するための仕組み・クラウドセキュリティに関する監査制度や認証制度が整ってきたのが昨今の状況である。そこで本記事ではクラウドを安心して利用するにあたって知っておきたいクラウドセキュリティ認証の成り立ちや違いを整理する。
【後編】はこちら
クラウドサービスに求められるセキュリティとは?国内初の認証制度「CSマーク」とその活用
クラウドセキュリティガイドラインの発行
国内のクラウド利用における情報セキュリティ確保のために、利用者自ら行うべきことと、クラウド事業者に対して求めるべきことを整理する手助けとして、2011年に経済産業省が「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(クラウドセキュリティガイドライン)」を発行している。
※クリックすると拡大画像が見られます
このガイドラインはJIS Q 27002(情報セキュリティ管理策の実践のための規範)をベースに構成されており、既にJIS Q 27001(情報セキュリティマネジメントシステム―要求事項)による運用を行っていたり、ISMS適合性評価制度における認証を取得しているような企業に取り組みやすいように提供された。
その後、国内のクラウド利用の変化を踏まえクラウドセキュリティガイドラインは2013年に改定。それにあわせてJIS Q 27002に馴染みのない人でも理解しやすいように「クラウドセキュリティガイドライン活用ガイドブック」が発行された。活用ガイドブックは、具体的な対策と事例が欲しいという利用者の意見に応えたもので、クラウドサービスの提供や利用に関する技術的、運用的な脆弱性について解説するとともに、それぞれのリスクについてガイドラインへの参照が明確になっている。
このように、クラウドサービスセキュリティに関する知見がまとめられつつ、安全な利用についてのガイダンスもまとめられてきた。
クラウドサービスプロバイダーによるセキュリティ情報の提供
クラウドサービスに関するセキュリティについての知見がまとめられる一方で、利用者がクラウドサービスプロバイダー(Cloud Service Provider:以下CSP)を選択する際に役立つ情報提供をするCSPも出てきた。
いくつかのCSPがセキュリティに関するホワイトペーパーを提供するようになり、そのベースとしてクラウドセキュリティガイドラインを使うことで、取組の網羅性を確認出来るようになった。また、同じガイドラインを使ってホワイトペーパーが書かれているため、利用者目線でのCSPの比較が容易に出来るようになった。
しかし同時に、利用者にとっては、これらのホワイトペーパーや報告書の内容が適切であるかどうかを判断することが難しいという問題があった。
また、国内のガイドラインを使うことに対しては、以下のような課題もある。
① 海外のベンダーが日本のガイドラインを使うのかどうか、② 国内のプロバイダーが海外でサービスを提供する際に日本のガイドラインで訴求できるかということだ。
クラウドセキュリティガイドラインの国際化
このような課題を払拭するために、経済産業省ではクラウドセキュリティガイドラインの国際標準化を視野に入れた開発が予め行われていた。それがJIS Q 27002(ISO/IEC 27002)をベースにした開発であった。
2009年ごろから開発されていたガイドラインは同時に英語化も行われており、2010年には国際標準を策定しているJTC1/SC27にて標準化の提案をすることになった。この提案が受け入れられて、多くの内容が取り入れられる形でISO/IEC 27017が策定された。現在はJIS(日本工業規格)の制定に向けて作業が行われている。