クラウドサービスは現在企業活動になくてはならないものです。提供者・利用者によっても、その品質評価については客観的な観点からフレームワークを提供する外部評価機関の認証制度を利用するのが便利です。
SOC2、SOC3などの認証をクラウドサーバについて取得するのにとどまらず、現在はサービスそのものについてCSマークを取得することや、組織としてクラウドサービスに関するISO 27017認証を取得する例が増え、今後業界標準となることが期待されています。
クラウドセキュリティ推進協議会が評価した事業者に対して付与するCSマークと、クラウドセキュリティに関する認証制度ISO27017とはどのようにちがうのでしょうか。
訪問回数無制限!認証取得100%保証!
ISMSクラウドセキュリティ認証制度(ISO27017)の特徴
ISMSクラウドセキュリティ認証制度は、組織に対する認証であり、ISMS認証により情報セキュリティマネジメントを確立している組織に対して認証を付与する制度です。そのため、ISO27001のアドオン認証である点や、管理策はISMSのフレームワークの中で施されていることを審査の対象としている点に特徴があります。
認証範囲が組織単位
ISMSクラウドセキュリティ認証制度の適用範囲は、組織単位で行われます。CSと異なり、ある特定のサービスを対象にして、認証を取得することは出来ません。ISMS認証のアドオン認証であるISMSクラウドセキュリティ認証制度は、組織の情報セキュリティマネジメントシステムを対象としているためです。
したがって適用範囲は、サービスを開発・運用している組織です。そのため、サービスは認証の対象にはなりませんが、サービスの開発や運用に携わる組織を対象とすることは可能です。
ISMS(JIS Q 27001)のアドオン認証
ISMSクラウドセキュリティ認証は、単独で認証を受けることはできません。前提としてISMS認証 (JIS Q 27001)、すなわち情報セキュリティマネジメントシステムに関する認証を取得していないと、認証を受けることが出来ません。
ISMSクラウドセキュリティ認証制度の目的は、単にクラウドセキュリティのための管理策を施していることに認証を与えることではなく、セキュリティマネジメントシステムを組織のガバナンス・システムとして確立している組織に対して認証を与えているものだからです。
ISMSが枠組み・フレームワークであるとすると、管理策はフレームワークの構成要素という関係にあります。
79の管理策を検討する
認証機関では、審査をする際、79の管理策の利用状況をチェックします。利用状況とは、情報マネジメントシステム全体について、79の管理策をどのように利用しているかを審査します。
より具体的に言うと、どのように文書化し、実行しているかを審査します。管理策がISMSに適合した文書体系に組み込まれ、同様に文書に従い実行されているかどうかをチェックしているのです。
79の管理策は、すべてをまんべんなく管理策として施すものではなく、自ら提供しているか、あるいは利用しているクラウドサービスのリスクに関する対策を選択したうえ文書化して実施する必要があります。
こちらの資料は、ISO27017の79個の管理策に対し、ひとつひとつ弊社の熟練した情報セキュリティコンサルタントが一言解説を加えた一覧表でございます。お気軽に無料でダウンロードしてご覧ください。
クラウド情報セキュリティ監査(CSマーク)の特徴
クラウド情報セキュリティ監査は、ISO27017 と異なり、組織に対してではなくクラウドサービスに対して行われます。また、情報セキュリティマネジメントシステムの一部である内部監査の適切性の確保に向けて審査が行われ、第三者がサービスに対して直接監査をするのではないこと、かかる監査の適切性の確保のために1000を超える非常に多くの項目に関してチェックが行われる点に特徴があります。
認証範囲がサービス単位
ISO27017が組織に対する認証であるのに対し、クラウド情報セキュリティ監査の対象は、特定のクラウドサービスです。
監査認定を経て、CSマークを取得した時に公開する文書である「言明書」には、対象となるサービス名を明記することが必要です。
内部監査が適切に実施されていることに関する認証
CSマークは、内部監査が適切に実施されていることを評価して認証する制度です。ISO/IEC 27017や、JIS Q 27001(ISMS規格)には、内部監査を実施するための明確な手順が定められているわけではありません。
そのため内部監査の有効性や技量は、組織ごとに大きく異なる可能性が生じ、内部監査の適切性が確保できない結果、認証取得時の品質がその後維持しにくくなる恐れも生じる場合があります。
明確な手順を内部監査について定めているのがクラウドセキュリティ監査制度です。定められた監査手順・標準・文書の様式に従い内部監査を進めることができれば、適切であると評価され、サービスにCS認定が付与されることとなります。
1000を超えるチェック項目がある
認定サービスに付与されるマークは、CSシルバーマークとCSゴールドマークの二種類です。ゴールドマークは、内部監査に加え、外部監査を受けた場合に付与されます。
ゴールドマークを取得するための監査項目は、1000以上存在し、監査手順を正しく履践したかどうかも細かくチェックされます。非常に多くの項目のチェックが行われるため、クラウドセキュリティ推進協議会では、会員用に監査ツールを提供しています。
監査にかかる時間は、このツールを使うと1か月程度とされており、エクセル等、人の手で行う場合は約半年かかるといわれるので、6分の1の工程短縮を行うことができます。
以上、ISMSクラウドセキュリティ認証制度は、ISMSのアドオン認証であり、基本的にISMSと性質が変わりません。そのため、組織の実情に合わせてフレームワークを設定することができる余地が大きく、細かい手順までは問題になりにくく、結果に到達できる手順であればよい、といった面があります。
これに対して、CSは、内部監査の適切性を評価することによりサービスの品質評価を間接的に行うものです。ISMSのような裁量の余地は小さく、非常に厳密な認証制度であるという違いがあります。
どちらが取得しやすい、ということはひとくくりに言えない面がありますが、適切なコンサルティングさえ受けられれば自由度が高いISMSは事業者の規模にはあまりかかわりなく認証を取得できる面があり、中小企業にも無理なく取得が可能です。
LRMではISO27017の認証取得支援コンサルティングをおこなっています。「ISO27017についてもっと詳しく知りたい!」「認証取得までにどれくらい費用がかかるの?」などなど、気になる点についてお気軽にお問合せ下さい。
クラウドセキュリティ推進協議会とは
最後に、CS認証を行う、クラウドセキュリティ推進協議会についてご紹介します。
クラウドセキュリティ推進協議会は、クラウド事業者が外部監査人による監査を行うことの負担や、クラウドに専門性を持つ外部監査人の不足した現状に合わせたCS認証制度を運営する機関です。
事業者による内部監査に対して外部監査人が評価、お墨付きを与える仕組みをとることにより、セキュリティ監査の簡素化を図ることを目的にしています。
さらに、協議会では、クラウド情報セキュリティ管理基準・クラウド情報セキュリティ基本言明要件など、基準・手順に関する文書を定めて公開しています。また、会員となると、より多くの文書・手順集などを閲覧することが可能になります。
これらの文書はISO27017よりも具体性が高い文書であるため、実務における情報セキュリティ標準のひとつとして今後は多くの企業・組織において利用されることが期待されます。
まとめ
ISO27017と、CSマークでは、情報セキュリティマネジメントシステムの構築を基礎として、クラウド情報セキュリティマネジメントシステムに伴う管理策が適切に機能しているかをチェックする点では同じです。
しかし、ISO27017と、CSでは、組織に対する認証か、あるいはサービスに対する認証か、外部からの管理策の評価を行うのか、あるいは内部監査の適切性を評価するのか、さらに、審査項目数にも違いがあります。
どちらもクラウドサービスの品質評価に関する認証制度として今後の利用拡大が見込まれますので、早めの着手をおすすめします。
また、弊社ではISO27017/クラウドセキュリティ認証取得コンサルティングサービスをご提供しております。まずはクラウドセキュリティに関するお困りごとなど、お気軽に無料でご相談ください。
