ISMSクラウドセキュリティ認証は、組織やエンドユーザーが安心してクラウドサービスを利用できることを目的とした認証です。具体的には、ISMS認証を取得している/今後取得する組織に対し、ISO/IEC 27017に規定されるクラウドサービス固有の管理策が追加で実施されていることを認証します。
本記事では、前提となる通常のISMS適合性評価制度(ISO/IEC 27001)について簡単に説明した上で、ISMSクラウドセキュリティ認証制度やISO/IEC 27017の概要についてわかりやすく解説します。また、認証取得のメリットや、取得の方法・プロセスについても紹介しています。
目次
・ISMSのアドオン規格(ISO/IEC 27017、ISO/IEC 27018)
2, ISMSクラウドセキュリティ認証を取得すべき企業とは?
・クラウドサービスをめぐるリスク・脅威
・マキナレコードの認証取得支援サービス
4, 参考資料
ISMSクラウドセキュリティ認証とは?
ISMS(情報セキュリティマネジメントシステム)とは?
ISMSクラウドセキュリティ認証について詳しく見ていく前に、まずはISMS適合性評価制度(以下、ISMS)について簡単に説明します。ISMSとは、「Information Security Management System」の略で、国際規格「ISO/IEC 27001(日本版はJIS Q 27001:2014)」で定められている要求事項(※)に沿ったマネジメントシステムが構築・運用ができているかを認証する仕組みのことをいいます。ISO/IEC 27001には要求事項とともに、「管理策」と呼ばれる情報セキュリティの対策集も記載されています。
認証機関の審査を受け、ISO/IEC 27001の要求事項に則ったマネジメントシステムを運用できていることが認められれば、ISMSを取得することができます。その他、ISMSの詳細については、こちらの記事をご覧ください:「ISMSとは:なぜ必要?ISOとの違いや認証制度について解説」
※要求事項:情報セキュリティを効果的かつ継続的に行うための具体的なルールのことです。ITセキュリティの管理方法、アクセスコントロール、オペレーションセキュリティ、人的セキュリティといった、ITシステム全体のリスクを踏まえた内容が盛り込まれています。
ISMSのアドオン(拡張)規格
ISMSには、ISO/IEC 27001の取得を前提として追加することが可能なアドオン規格がいくつか存在します。多数あるアドオン規格のうち、クラウドサービスに関係するのがISO/IEC 27017(JIS Q 27017:2016)とISO/IEC 27018です。
ISO/IEC 27017
クラウドサービスに関する情報セキュリティ管理策のガイドライン規格で、クラウドを提供する組織(「クラウドサービスプロバイダー」)と利用する組織(「クラウドサービスカスタマー」)の双方に適用されます。ISMSクラウドセキュリティ認証は、この規格を基にした認証です。
ISO/IEC 27018
クラウド上に保管されている個人情報の取り扱いに特化したもので、クラウドサービスプロバイダーにのみ適用される規格です。
ISMSクラウドセキュリティ認証の概要
ISMSクラウドセキュリティ認証とは、ISO/IEC 27017に規定されるクラウド固有の管理策が実施されていることを認証する制度です。ISMS認証を取得している/取得する組織に対し、その適用範囲内に含まれるクラウドサービスについて、情報セキュリティ全般に関するマネジメント規格であるISO/IEC 27001の取り組みをISO/IEC 27017に規定されるクラウドサービス固有の管理策で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。
(ISMSクラウドセキュリティ認証適用範囲のイメージ。ISMS認証の適用範囲内または同一でなければならない)
ただ、ISO/IEC 27017はクラウド固有の情報セキュリティ管理策やその実施のための手引きが記載されたガイドライン規格であり、認証基準ではありません。そのため、ISO/IEC 27017の内容を取り込むための基準として、「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517-1.0)」がJIPDEC(財団法人 日本情報処理開発協会)によって策定されています。組織は、この「JIP-ISMS517-1.0」の要求事項を満たすことによって、ISMSクラウドセキュリティ認証を取得することができます。
なお、ISMSクラウドセキュリティ認証はISMSの取得を前提とした認証であり、単独で取得することはできません(同時取得は可能)。
💡ISMSクラウドセキュリティ認証のポイント
・ISO/IEC 27017が基となった、ISMS取得を前提とする追加の認証
・対象組織:クラウドサービスを提供/利用するあらゆる組織
・認証基準は、JIP-ISMS517-1.0 【ISO/IEC 27017:2015(JIS Q 27017:2016)】
JIP-ISMS517-1.0の要求事項
JIP-ISMS517-1.0の要求事項は、大きく3つに分けられています。
1, クラウドサービスを含む情報セキュリティマネジメントシステムの適用範囲の決定
クラウドサービスを含めたISMSの適用範囲を定めねばならないことや、適用範囲を示す文書(クラウドサービス名の記載が必須)を作成しておく必要があることなどが記載されています。
2, ISO/IEC 27017の規格に沿ったクラウド情報セキュリティ対策の実施
情報セキュリティリスクアセスメントおよび情報セキュリティリスク対応のプロセスや適用に関する事項が定められています。
3, 内部監査
定期的に行わねばならない内部監査に関する事項が定められています。
ISMSクラウドセキュリティ認証を取得すべき企業とは?
ISMSクラウドセキュリティ認証の目的
そもそもISMSクラウドセキュリティ認証は、クラウドサービスを利用する組織/提供する組織がクラウド特有のリスク(※)への対策を行っている事を証明するための基準であり、組織やエンドユーザーが安心してクラウドサービスを利用できることを目的としています。
(※)クラウドサービスをめぐるリスク・脅威
クラウドサービスならではのリスクや脅威には、主に以下のようなものがあります。
カテゴリ | リスクや脅威 |
Dos攻撃やDDoS攻撃 | クラウドサービスはネットワークで提供されるため、Dos攻撃やDDoS攻撃を受けた場合、すべてのサービスが停止してしまう恐れがあります。 |
APIの侵害 | クラウドサービスの管理や操作に使用されているAPI(アプリケーション・プログラミング・インターフェース)に脆弱性があると、脅威アクターに悪用されてクラウド上の資産を侵害される恐れがあります。 |
EDoS攻撃 | 従量課金制(利用したリソース量に応じて料金が課金される契約形態)のクラウドサービスの場合、処理を必要以上に増加させて攻撃対象に経済的負担を与えるような攻撃(EDoS攻撃)が外部から行われることがあります。 |
設定ミス | クラウド上のデータへのアクセス権限やファイアウォールの設定などについて利用者が設定ミスを起こすと、ネットワーク経由で情報が漏洩し、甚大な影響が出るというリスクがあります。 |
シャドーIT | 企業のIT部門から承認されておらず、安全性に懸念のあるクラウドサービス(「シャドーIT」)を従業員が独断で使用している場合、不正利用などの被害が出る恐れがあります。 |
データ消失 | クラウドプロバイダーの事業終了や、火災など物理的災害によるハードウェアの損傷が原因で、クラウド上に保存していたデータが失われる場合があります。 |
マルチテナント | サーバーやデータベースなどを複数の利用者(「テナント」)が共有して利用するマルチテナント型のクラウドサービスの場合、プラットフォームを狙った攻撃が実施されると本来の標的ではない他の利用者にまで被害が及ぶ可能性があります。 |
サプライチェーン | プロバイダーと利用者との間で取り決めたセキュリティ要件を、プロバイダーの委託先(インフラや運用、メンテナンスなどを委託されている外部企業)が満たしていないという事態が起こり得ます。 |
(複数資料を参考に作成。参考資料一覧についてはページ下部に記載)
認証取得のメリット・効果
上記のようなクラウドサービス固有のリスクについて網羅的なアセスメントを実施していることや、必要な管理策を導入していることを対外的に証明できるというのが第一のメリットです。これにより、認証取得企業は、ユーザーや顧客からの信頼が向上する、他社との差別化を図れる、といった効果を期待できます。
認証取得のメリットや効果について、以下の表にまとめました。
プロバイダー側のメリット | カスタマー側のメリット |
・ユーザーや顧客からの信頼が向上する ・自社サービスが選ばれやすくなる(認証取得がクラウド事業者の選定基準になりつつある) ・通常のISMSとの同時取得により、準備や審査にかかる工数や費用を抑えられる | ・クラウドサービスを適切に運用できるようになり、情報漏洩などのリスクが低減する ・顧客や取引先などから信頼を得やすくなる ・通常のISMSとの同時取得により、準備や審査にかかる工数や費用を抑えられる |
認証取得が必要な企業
こういったISMSクラウドセキュリティ認証の目的やメリットを踏まえ、以下のいずれかに当てはまる場合には取得を検討してみることをお勧めします。
・クラウド固有のリスクへの対策を強化したいと考えている企業(プロバイダー、カスタマー)
・セキュリティへの取り組みを強く求められる事業やサービスを展開しており、対外的信頼を高めたいと考えている企業(プロバイダー、カスタマー)
・政府機関や府省庁へのサービス提供を検討しているクラウドサービスプロバイダー(ISMSクラウドセキュリティ認証取得が入札要件となっている場合があるため)
・海外の顧客との取引があるなど、国際セキュリティ規格への準拠が求められる企業
なお、ISMSクラウドセキュリティ認証取得企業・組織の数は、2022年8月31日時点で327です。
(参考:情報マネジメントシステム認定センター【ISMS-AC】のページ)
ISMSクラウドセキュリティ認証を取得するまでの流れ
認証取得の方法
ISMSクラウドセキュリティ認証を取得するには、通常のISMS認証と同様に、専門の認証機関による審査を受けなければなりません。この審査で認められれば、認証機関より登録証が発行されます。また登録後も、少なくとも年1回のサーベイランス審査と、3年に1回の更新審査を受ける必要があります。
認証取得までのステップ
以下が、認証取得までの大まかな流れです。
また、認証取得後もPDCAサイクルを取り入れて組織的・継続的な改善を行うことが求められます。
認証取得支援コンサルサービスの利用
ISMSクラウドセキュリティ認証を取得したいが何から始めれば良いのかわからない、そもそも認証取得が必要かどうかがわからない、といった悩みや課題をお持ちの場合は、情報セキュリティを専門とするコンサル会社などの取得支援サービスの利用を検討してみてください。特に、通常のISMS認証の取得が未了の場合は、工数ややるべきことが増えるため、自社単独で取得を目指すのは難しい場合があります。
マキナレコードの認証取得支援サービス
弊社マキナレコードでも、ISMS認証の取得支援サービスを提供しています。適用範囲の決定から運用、審査、取得まですべてのステップを通してサポートを行い、認証取得後の維持運用・更新まで支援いたします。また、ISMS以外にもPマークやPCI DSSといった各種認証(※)の取得支援サービスもご用意しており、認証の種類で迷っている、違いを明確にしたい、などのお悩みがある場合には、コンサルタントから最適な認証を提案させていただくことも可能です。
※関連記事:「ISMSとPマークの違いは?取得のメリット・デメリット」、「PCI DSSとは?要件や準拠までの流れをわかりやすく解説」
サービスの詳細については、弊社ホームページをご確認ください。
また、セキュリティ体制構築支援に関する詳細資料を無料で配布しております。以下のリンクからお申し込みください。
参考資料
[1] https://www.jipdec.or.jp/project/smpo/FAQ1_ISMS_cloud.html
[2] https://isms.jp/isms-cls/about-cls.pdf
[3] https://www.jipdec.or.jp/archives/publications/JIP-ISMS517-10.pdf
[4] https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf
[5] https://www.boj.or.jp/research/brp/fsr/data/fsrb201126a.pdf
[6] https://www.ipa.go.jp/files/000096929.pdf
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。