どうも、サイバ課長サイよー。
「サイバ課長が突撃取材!サイバーセキュリティ最前線」第2回は、ビジネスシーンにおいて幅広く活用するクラウドサービスのセキュリティについて。よく使われるGmailやYahoo!メール、写真を保管するオンラインストレージもクラウドサービスだサイね。
また、業務の効率化や経営情報の可視化を図るため、基幹システムをクラウド化する企業も増えているサイ。そんな大事な情報が集約しているところをクラウド化すれば、当然しっかりとしたセキュリティ対策も必要。
ということで、クラウドセキュリティに関わる各種基準の策定や、クラウド情報セキュリティ監査制度の開発、普及、実施などを行っている【JASA-クラウドセキュリティ推進協議会(以下、JCISPA)】の事務局長、永宮直史さんにお話を聞いてみるサイよー!
ごめんくだサーイ。
大手IT企業らが会員の協議会
JASA発足の経緯を教えてくだサイ!
JASA事務局長、永宮直史氏(以下、永宮)
2010年代に入って、クラウドサービスを導入する企業が増えてきました。しかし、セキュリティ面において当時、情報セキュリティマネジメントシステムの評価制度「ISMS認証」の取得が難しいなどの問題があったのです。
それに対して経済産業省がガイドラインを出し、企業診断を実施する監査機関が必要になりました。そこで2013年に日本セキュリティ監査協会(JASA)の下部組織として設立されたのがJCISPAです。
人の健康管理に例えれば、ISMSは健康管理システム。監査は健康診断という役割があります。組織の情報セキュリティを正しく診断すれば、企業は何をすべきか分かります。そのPDCAサイクルをサポートしていくのが私たちの役目なのです。
会員数は約40社。日本マイクロソフト株式会社や日本アイ・ビー・エム株式会社、富士通株式会社、アマゾンといったITの大手企業や監査法人トーマツなどが所属しています。
自社で監査はできないサイか?
永宮
クラウドサービスは、世界のどこにサーバがあるのか分かりません。そのサービスをどうやって信用すれば良いか。それは、第3者に外部監査を依頼し、安全を証明してもらうことです。
しかし、外部監査を行うには、多くのコストがかかります。そこで私たちは「クラウド情報セキュリティ監査制度」を策定しました。
これは、事業者が基本的な要件を満たす情報セキュリティ対策を実施し、その通り実施しているか、あらかじめ定められた要件を満たしているかを、定められた方法に基づいた自社の監査で評価し、安全性が確保されていることを顧客に公開する制度。つまり、クラウドサービスにおける内部監査を標準化させたのです。
CSマーク取得サービスは現在15件
クラウド情報セキュリティ監査制度について詳しく教えてくだサイ!
永宮
クラウド情報セキュリティ監査制度では、ビジネス利用に必要なリスク対策の対象となる基本リスクに対する対策として約800の項目にわたる管理策を定めています。
そして、これが適切に実装され運用されているかを定められた方式の監査でをチェックします。チェック項目それぞれのアプローチの仕方が異なるので、8,000から10,000通り評価技法を定めているのです。
また、JASAでは事業者の技術者などに監査実務教育を行い、一定以上の知識・技術をもつ監査人を認定しています。この監査人が、膨大な評価技法から提供するクラウド環境に合った適切な技法を選択し、これらの項目をチェックします。
監査の方法、監査人、監査の公正さを保つルール、報告の仕方などを標準にしているので、精度と信頼性の高い評価が得られるます。このため、大変明確な保証となる一方、自社で行うので監査の負担軽減にもつながります。
CSマークとは?
永宮
CSマークは、協議会が定めたルールに則った監査であることを認定するものです。これを公開することによって、ユーザーはセキュリティの安全性が確保されているサービスであることが分かります。
「CSマーク」はシルバーとゴールドの2種類。シルバーマークは自主監査です。対象となるクラウドサービス及び情報セキュリティ対策を施し、基本リスクを明確にしていることを明言します。その申請を当協議会が受理することでシルバーマークを取得することができます。
ゴールドマークの取得はどうすれば?
永宮
ゴールドマークは、事業者が申告した監査を第三者である会計法人の監査人が評価し、その結果に基づいて協議会が発行します。シルバーマークよりも、より客観性が高いので、信頼度も高いものです。
現在、「CSマーク」取得サービスは15。シルバーマークを取得しているサービスは11、ゴールドは4となっています。私たちはこのマークの普及に努め、少しずつ積み上げている段階です。
安心できるクラウドの上でサービスを
どのようなサービスに「CSマーク」が必要サイか?
永宮
まずは基幹部分(IaaS)のサービスです。クラウドサービスの中枢部分として重要な情報が集約されますので、しっかりと安全を担保しなければならないでしょう。クラウドサービスを扱い、セキュリティを意識している事業者であれば、ほとんど負担がなくシルバーマーク取得ができます。
医療や金融関係のクラウドサービスは最低でもゴールドマークが必要になってくると思います。特にデータの取得。例えばマイナンバーなどの個人情報を取得するにはセキュアなサービスである証明が必要になります。
また、今後注目すべきはサプライチェーンにおけるクラウドサービスでしょう。ISMSの取得が難しい中小企業でプライバシーマークを取得する企業が多いのですが、それだけでサイバーセキュリティ対策ができるのか、という問題があります。CSマークを取得したセキュアなクラウドを使った方が、安全性が高いと思います。
なるほど。協議会としての活動は?
永宮
この2年間でセミナーなどの普及活動を展開してきました。安心できるクラウドの上にサービスを提供すること。そのために正しい監査をしていくこと。それを今後日本で広めることが私たちの使命です。
課題はアプローチの仕方。「CSマーク」も取得しやすくすることは簡単ですが、ハードルを下げることで後にハシゴを外しにくくなってしまう。時間がかかっても広く太く、セキュアなクラウドサービスを啓蒙していきたいと考えています。
ありがとうございました!
日頃の健康診断で病気を予防サイね!
監査の難しいクラウドサービスの中で、監査を標準化するという合理的な制度が斬新だったサイね。健康な体を保つにはまず、健康診断でお医者さんのチェックを受ける。クラウドサービスも全くそれに当てはまることが分かったサイよ〜!
団体概要
団体名 | 特定非営利活動法人 日本セキュリティ監査協会(Japan Information Security Audit Association) |
---|---|
住所 | 〒135-0016 東京都江東区東陽3-23-21 プレミア東陽町ビル〈関西地区オフィス〉 〒532-0011 大阪府大阪市淀川区西中島五丁目14番10号 サムティ新大阪フロントビル(株式会社ディアイティ内) |