皆さんご存知かもしれませんが、2018年8月にクラウドセキュリティ認証は日本での制度設立2周年を迎えました。

遂に3年目に突入ということもあり、クラウドセキュリティ認証の「認知度」も高まってきたのではないでしょうか。

内閣官房IT総合戦略室という政府組織は、2018年6月に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を発行しました。

この方針には、下記のような記述が見られます。

1. 政府情報システムのシステム方式について、クラウドサービスの採用を第一候補として考えること
2. そのクラウドサービスの選定には、クラウドセキュリティ認証などの活用により、基準を満たしていることを確認すること

このように、政府のクラウドサービス利用基準にもクラウドセキュリティ認証という単語が利用されるほど制度が一般的になってきており、認知度の向上が伺えます。

認知度と取得組織数は右肩上がり！でも、審査実態はいまだ闇の中…

また、認知度に比例するかのごとく、クラウドセキュリティ認証を取得している組織数も、増加の一途をたどっています。

認証が開始された2016年は年間で約10件ほどだった認証取得件数が、2017年には約30件増え、今年(2018年)はすでに30件超えのスピードで増加しています。

ただ、認証取得件数は増加しているにもかかわらず、審査実態についての情報は、あまり世間には流れていません。

そこで、以下では認証取得済みの組織の皆様に向け、継続審査を迎える上での重要なポイントについて、情報提供できればと思います。

まだクラウドセキュリティ認証を取得されていない企業様も今後の審査のご参考までにご一読いただけると幸いです。

継続審査では運用フローが重視される!?

初回の審査では、各管理策を一通り舐めるように広く浅く聞かれた企業様も多いと思いますが、継続審査では【各管理策について、より細かく聞かれる】というような傾向があるようです。

認証を取得している組織は、ISO27017に準拠して1年が経過するため、運用実績が溜まっているはずです。

そのため、例えば「この1年間で退会されたユーザーはいますか？そのユーザーのデータはどのように取り扱われていますか？」といった、運用フローの確認が重点的に行われる可能性があります。

また、1年間でクラウドサービスの様々な機能やシステム構成を変更したものの、その変更がセキュリティのホワイトペーパーや契約書などに反映されていない可能性もあります。

それが審査で発覚すると、場合によっては不適合になりかねません。

2年目以降の審査を無事に乗り切るためには、

1. 定めたルール通りに確実な運用を行うこと
2. 現在のシステム構成と、公開している各種資料とのギャップを埋めておくこと

の2つが重要なポイントになりそうです。

上記2点を踏まえ、ぜひ次の継続審査に向けてご準備いただければと思います。