ISMS クラウド認証とは

クラウドサービスを利用する企業、クラウドサービス提供する企業の双方が、クラウド特有のリスク対策を行っている事を証明するための基準です。
ISMS(JIS Q 27001)認証に加えて、クラウドサービス固有の管理策(ISO/IEC 27017)が適切に導入、実施されていることを認証するためのものです。
この認証は、「クラウド情報セキュリティ管理基準」「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を元に、国際基準ISO/IEC 27017として策定され、ISMSの追加認証として「ISMSクラウドセキュリティ認証」が日本発のセキュリティ基準として定められています。
クラウドサービスの普及に伴い、経済産業省を中心として、クラウドセキュリティのガイドライン、公的認証制度策定の動きから、2013年にクラウド事業者などの協力により策定されました。

ISMSクラウド認証の目的と背景

目的

企業やエンドユーザが安心してクラウドサービスを利用できることを目的とします。クラウドサービスを利用する企業、クラウドサービス提供する企業の双方が、クラウド特有のリスク対策を行っている事を証明するための基準となります。

背景

クラウドサービスの普及に伴い経済産業省を中心として、クラウドセキュリティのガイドライン、公的認証制度策定の動きから、2013年にクラウド事業者などの協力により策定されました。

クラウド認証の位置付け

クラウド認証は通常のISMSに追加して取得する認証であり、既存の管理策に追加するものと、クラウド認証独自の管理策の2つの要素で構成されています。
クラウド認証はカスタマ（クラウドサービス利用における点）サービスプロバイダ（クラウドサービスを提供する側での点）の2つの種類により管理策が制定されます。
通常のISMSに加えて「カスタマ」「サービスプロバイダ」「両方」いずれかのパターンで追加する事になりますが、「カスタマ」だけを追加するケースはあまりありません。（通常のISMSでもカバーできるため）

関連記事：ISMS構築対応について

クラウド認証取得による効果

クラウド認証は通常のISMSの追加規格であり、単独での取得は不可となります。
通常のISMSと併せて取得する事で、準備や審査にかかる工数や費用を圧縮する事ができるため、クラウドサービスを立ち上げるベンチャーやスタートアップ企業での同時取得事例が増加しています。
特にB2Bビジネスにおいては、従来のISMSやPマークではなくクラウド認証取得の有無が、企業側がクラウド事業者を選定する上での重要な選定要素となりつつあります。