多くのCSPが制度策定に関わったからこそ信頼できる「CSマーク」
-ニフティでは「ニフティクラウド」での「CSマーク(シルバー)」取得に向けて、どのような取り組みを行われてきたのでしょうか。
監物氏
ニフティは、設立当初からJASAに参加しており、「CSマーク」制度のパイロット段階から、協力していました。ニフティには、もともと社内にセキュリティ部門があり、情報セキュリティの内部監査はそこで行っていたのですが、「CSマーク」のパイロット監査を行った結果、被監査部門であるクラウド事業部側にもクラウドセキュリティ監査の知識をもった人材を、さらに増やしていく必要があると感じました。セキュリティ部門にはJASAの主任監査人と監査人補の資格を持つメンバーが居たのですが、クラウドの内部監査をスムーズに進める上で、特に被監査部門側の理解と協力が必須になります。
JASAのワーキンググループなどにも参加しながら、クラウド事業部に監査人補の資格を持つ人材を増やしていき、「CSマーク」制度が開始された段階で、セキュリティ部門と現場側のクラウド事業部と2チーム体制で内部監査のプロジェクトを推進して認証を取得しました。
河野氏
「CSマーク」制度のポイントのひとつは、「内部監査」に対する認証を行うスキームを用意したところにあります。適切な内部監査が行われていることが認められれば「シルバー」、さらに多くの項目について外部の監査人による監査にパスすれば「ゴールド」が付与されます。
従来の認証制度では、業界の異なる「監査法人」が業界特有の技術的な知識を学び、その上で監査を行う形が一般的でした。しかし、特に「ITセキュリティ」「クラウド」といった分野では、実際にビジネスを行っている業界内のプレイヤーが自ら「監査人」を置き、他の事業者とサービス提供上の課題や技術上の知見を共有しながら監査を進めていくほうが、結果的に質の高い監査、認証が行えるはずだという認識があったのです。
規格に沿った「ガイドライン」があり、業界内の各プレイヤーが「監査人」を置き、手法を客観的に示しながら監査を行うことで、業界全体でセキュリティに対する取り組みを向上させていくこと、さらにその取り組みを外部に示していくことが「CSマーク」制度を設立した本来の趣旨です。JASAにおいては、多くのCSPのみなさんが積極的に参加してくださったことで、それが可能になりました。
今後、こうした認証スキームは、スマートメーターなどを扱う電気事業者による団体などでも採用されようとしています。国内については、この形が今後の監査や認証制度のスタンダードになっていくのではないでしょうか。
監物氏
「CSマーク」を取得すると、定期的に内部監査を行っていくことが求められます。それによって、ユーザーに対して適切に情報公開を行うことの重要性はさらに高まります。ニフティクラウドでは、ユーザーに対するクラウドサービス選定および利用時のセキュリティ対策実装のための補助的な情報として、「セキュリティホワイトペーパー」の提供を行っております。
-ニフティでは他にも複数の第三者認証を取得されていますが、実際に内部監査を行っていく中で「CSマーク」の監査項目に対して、どのような印象を持たれていますか。
監物氏
内部監査のチェックリストは、無駄がなく、一方でインフラに関する部分など、必要なところは十分に踏み込んでいるものになっていると思いました。従来のセキュリティ監査の枠組みを、クラウドに当てはめようとすると、どうしても無理が出てくる部分があったのですが、「CSマーク」は、はじめからCSPの監査に特化した内容になっており、解釈に無理がないという点で実施がスムーズだったと聞いています。
河野氏
経済産業省が策定した「クラウドセキュリティガイドライン」を国際的に事業者も加えた多くの視点で洗練させてきた成果が「ISO/IEC 27017」であり、認証制度である「CSマーク」取得のためのガイドラインにもなっていくと思います。ですので、結果的に技術的な部分では無理や無駄がないものになっています。また、クラウドサービスを提供するにあたっての標準的なセキュリティ要件は規定されていながら、その上で各CSPが独自の優位性を打ち出して、他社との差別化を図る余地も残されている点も特長的です。
監物氏
監査項目がリスクベースで考えられているという点も、実際のサービス運用の現場に即しており、使いやすい部分ですね。
河野氏
監査項目のチェックリストは、リスクベースで継続的にアップデートされていきます。「ISO/IEC 27002」や「27017」というのは、基本的に数年単位の長い時間をかけてアップデートされるのですが、JASAでは、参加企業間で協議をしつつ、新しい脅威や攻撃手法発生の状況を見ながら、必要に応じて随時、ガイドラインや監査項目をアップデートしていく方針です。短いタイムスパンでの内部監査を繰り返すことで、多くの事業者が、同じレベルでセキュリティレベルをアップデートしていけるというのも良い点だと思います。よりコストや手間がかかる「外部監査」を年に1回やるより、最新のガイドラインに基づいた「内部監査」が四半期単位で行われていれば、結果的に実効性や信頼性は上がり、監査のためのコストを下げることにもつながるはずです。
監物氏
現状では、CSPが取得している「認証」に対するエンドユーザーの理解・関心は、それほど高くない印象があります。ただ「CSマーク」のような認証の内容について、今後より詳しく知っていただけるようになると、例えばサービス検討時に「このようなリスクに対して、このCSPではどのような対策を取っているのだろう」という疑問が出たときに、「この認証を取得している事業者であれば、このような体制を取っている」ということが明確に分かり、比較検討を容易にする材料になると思います。
河野氏
エンタープライズ向けにクラウドを販売するパートナーにとっても、扱っている商材のセキュリティ面での大きなアピールポイントになるはずですよね。
また、これは今後の展開になりますが、一次プロバイダーが提供しているIaaSやPaaSの上でサービスを構築して、それをエンドユーザー向けに提供している企業(二次プロバイダー)にも「CSマーク」を取得していってほしいと思っています。
例えば、ニフティクラウドの場合はIaaS部分で「CSマーク(シルバー)」を取得していますよね。その上でサービスを作るのであれば、自社で独自に構築した残りの部分に関してのみ、適切な内部監査を行うことで、そのサービスとして「CSマーク」を取得することができるわけです。より、少ないコストと労力で、自社が提供するクラウドサービスのセキュリティ面での優位性を対外的に示すことができる仕組みになると思います。
監物氏
ニフティクラウドでは、PaaSの機能も拡充していますし、パートナーのソリューションとしてSaaSの提供も行っていますので、今後はPaaS、SaaSに対しても範囲を広げていくことも検討したいですね。
河野氏
「CSマーク」は、例えばマイクロソフトが「Azure」と「Office 365」で取得されていることからも分かるように、同じ企業であってもサービス別に認証を受けられます。ニフティの場合、インフラ部分を含めたIaaSで既に取得されているわけですから、少し監査の範囲を広げることでPaaSやSaaSでも取得が可能だと思います。
