クラウドサービスに特化したセキュリティ基準 ~各ガイドラインや認証制度の比較~
掲載:2020年07月31日
改訂:2021年11月25日
執筆者:アソシエイトシニアコンサルタント 廣田 哲弥
改訂者:アソシエイトシニアコンサルタント 廣田 哲弥
コラム
ITを自分たちで持つオンプレミスという前提からクラウドサービスの活用へと選択肢が広がり、その利便性によって現在では半数以上の企業がなんらかのクラウドサービスを利用しているといわれています。コロナ禍で脚光を浴びるテレワークにおいても、クラウドサービスの利用はほぼ必要不可欠となっており、今後ますますその利用は加速することが予想されます。
一方、未だにクラウドサービスを利用していない企業は約3割あるとされ、背景には情報漏えい等のセキュリティに不安があるといわれています。
クラウドサービス事業者にとっては、提供事業者やサービスが増える中で、他社との差別化にも課題が出ています。堅牢なセキュリティを証明することは、クラウドサービス未利用者や競合他社顧客に対して大きなアピールにつながります。
本記事では、情報セキュリティの各種規格や基準の中で、特にクラウドセキュリティに特化したものを紹介し、何に準拠していくことが望ましいのかを検討します。
情報セキュリティの各種規格や基準
まず、情報セキュリティに関連する主な規格や基準を紹介します。
情報セキュリティ全般については以前から複数の基準が公表されていましたが、クラウドサービスの隆盛により、クラウドセキュリティに特化した基準が充実してきました。
【図表1: 情報セキュリティの各種規格や基準】
クラウドサービスのセキュリティ基準の特徴
クラウドサービスに特化したセキュリティ基準には、2つの特徴があります。それは情報セキュリティの汎用的な基準に比べて、インターネットを中心とした技術であること、サプライチェーンリスクがより大きいことを踏まえている点です。(図表2)
# | クラウドサービスの性質 | セキュリティリスク |
---|---|---|
1 | インターネットを中心とした技術である | クラウドサービスはインターネット経由で利用するサービスであるため、通信傍受の攻撃による影響が大きい |
2 | サプライチェーンリスクがある | クラウドサービス同士が連携してサービスを提供している場合も多く、オンプレミスと比べると、サービスの利害関係者が多く存在する (例) AWSをベースにSaaSを提供するクラウドサービスを利用 |
クラウドサービスに特化したセキュリティ基準
クラウドサービスに特化したセキュリティ基準では上記2点を網羅した、以下が知られています。
1)ISMSクラウドセキュリティ認証(ISO27001/ISO27017)
2)CSマーク
3)CSA STAR認証(CSA Security)
4)StarAudit Certification
5)FedRAMP
6)SOC2,SOC2+
一つずつ、取得の比較的容易なものから順番に、これらのクラウドサービスに特化したセキュリティ基準を簡単に紹介します。
1)ISMSクラウドセキュリティ認証(ISO27001/ISO27017)
ISO/IEC 27017:2015はISOより発行されたクラウドセキュリティに関する国際規格で、クラウドサービスの提供および利用に関する情報セキュリティ管理のためのガイドラインです。認証取得する際は、前提としてISO/IEC 27001の認証取得が必要なアドオン規格です。
- 対象は全世界
- SO27001を補完するクラウド固有の情報セキュリティ管理策を認証する
- 認定後、年一回のサーベイランス審査と3年に一度の継続審査を受ける必要がある
2)CSマーク
日本の特定非営利活動法人日本セキュリティ検査協会(JASA)による情報セキュリティ監査制度で、その認定マークがCSマークです。認証段階にはゴールド(第三者認証)とシルバー(自主監査)があり、レベルや目的に応じて対象を選択できます。
- 対象は日本のみ
- 認定された組織は監査を受けた基本言明書にCSマークが付与される
- CSマークの使用許諾期間は自主監査の報告日から3年6か月で、延長申請によって更に3年延長することができる
- ISMSにおけるクラウドサービス固有の管理策(ISO/IEC 27017:2015)と整合している
3)CSA STAR認証 (CSA Security)
Cloud Security Alliance (CSA、クラウドコンピューティングのセキュリティを確保するための米国業界団体)によるセキュリティ成熟度を評価する制度で、これもISO/IEC 27001アドオン規格になります。
- 対象は米国を含む全世界
- 認証にあたっては自己認証から第三者認証まで3段階に分けられる
レベル1:自己評価
○ CCM(Cloud Controls Matrix)やCIAQを基に自己評価を行うレベル2:第三者認証(CSA STAR実践認証)
○ Trust Service基準やCloud Controls Matrixを利用し、評価を行う
○ SOC2と同一の基準を使っているため、SOC2との親和性も高い
○ CCMを基にISO/IEC27001の管理要求事項も含めた第三者認証を実施するレベル3:継続審査
○ 常に監視されていることを保証するために定期的な監査を実施する
4)StarAudit Certification
EuroCloud Europe (ECE)による認証制度であり、CSP(クラウドソリューションプロバイダ)の情報、法的事項、セキュリティとプライバシー、データセンター、運用プロセス成熟度、クラウド形態の6つの領域に分類し、それぞれ星の数を3つから5つまでを評価します。
- 対象は欧州を含む全世界
- 部分的な認定(データセンターやSaaS等)があり、スモールスタートから認定を受けることが可能。星の数により管理策も異なるため、中小企業でも認定が受けやすい
- セキュリティ領域ではISO/IEC 27001認証取得が前提となる
- 運用プロセス成熟度で星5つを取得する場合にはISO/IEC 20000-1が前提となる
5)FedRAMP
米国政府機関がクラウドサービスを調達するにあたって採用している共通認証制度で、製品やサービスに対するセキュリティ評価、認証、継続的監視に関する標準的なアプローチを示しています。
- 対象は米国 (米国政府機関向けのビジネス)
- ISO/IEC 27001と整合したNIST SP800-53をベースとしたガイドラインを使う
- セキュリティレベルはFedRAMP Low、Moderate、Highの3段階に分類される
- 認証継続のため、年次で認証機関の審査を受ける必要があり、かつ月次でセキュリティモニタリング状況を報告する必要がある
なお、FedRAMPについて詳細はこちらの記事でも解説しています。
6)SOC2,SOC2+
SOCR (Service Organization Control Reporting) は米国公認会計士協会(AICPA)が定める、委託会社の内部統制やサイバーセキュリティについての内部統制保証報告の枠組みです。
SOC報告書は3種類あり、SOC1は財務諸表リスクに関わる保証報告書です。SOC2とSOC3は財務諸表以外のリスクについての保証報告書で、SOC2は限定的に公開する、SOC3は一般ユーザー向けに広く公開する、というように公開範囲が変わります。
SOC2,3におけるリスクとは、具体的にはセキュリティ、可用性、インテグリティ、機密保持、プライバシーに関わるものです。これらのリスクについて、適切に対応できていることを保証する報告書がSOC2,3です。
- 対象は米国を含む全世界
- SOC2ではAICPAによるTrustサービス基準に則り、外部委託業者を評価、SOC2+では任意の基準を加えて範囲を拡張する
- 報告書には2種類あり、Type1は基準日の時点での内部統制デザインの評価を行い、Type2は内部統制の運用状況も加えて、1年など対象期間を通じて評価を行う
クラウドセキュリティの各種ガイドライン、認証制度の比較
ご紹介したクラウドサービスのセキュリティ基準を比較すると、評価・認定する基準として共通点はあるものの、対応に必要なボリュームや、対応にあたっての難易度は異なります。(図表3)
ガイドライン/認証制度 | 対象地域 | 形態 | 要求/確認事項 | 取得難易度 | 備考 |
---|---|---|---|---|---|
ISMSクラウドセキュリティ認証 | 全世界 | 第三者認証 | 79問 | 低 | |
CSマーク | 日本 | 内部監査可 | 1500問 | 低 | 監査状況はWebで公開される |
CSA STAR認証 | 全世界(米国) | 内部監査可 | 150問 | 低 | Yes、Noで答えられる質問集があるので回答しやすい |
StarAudit Certification | 全世界(欧州) | 第三者認証 | 28問 | 中 | |
FedRAMP | 米国 | 第三者認証 | 700問 | 高 | 一度認証を通ると多くの政府機関で採用が可能 |
SOC2,SOC2+ | 全世界(米国) | 第三者認証 | 100問 | 高 | SOC3を取得するとWebで報告書の内容を公開できる |
例えば、早期に対応したい場合は自己診断ができるCSマークに準拠する、多くのクラウドサービスを持っている場合はISMSクラウドセキュリティ認証を取得する、スモールスタートで認定を受け、同じ仕組みの中でスケールアップしていきたい場合はStarAudit Certificationを選択する、などが考えられます。
また、自社サービスの政府機関への導入を狙う場合には、2020年から運用が始まった「政府情報システムのためのセキュリティ評価制度(ISMAP)」への対応が有効です。他制度を取得、対応した後のステップアップとして目指す場合にはSOC2,SOC2+が視野に入ってきます。
また、多くのクラウドサービスは、それぞれ複数の第三者認証を取得しており、セキュリティ面で安全性のアピールをしています。
サービス事業者 | Amazon | Microsoft | 富士通 | Salesforce | |
---|---|---|---|---|---|
外資・国内 | 外資 | 外資 | 外資 | 国内 | 外資 |
ISMS | ○ | ○ | ○ | ○ | ○ |
CSマーク | ○ | ○ | |||
CSA STAR | ○ | ○ | ○ | ||
Star Audit | |||||
FedRAMP | ○ | ○ | ○ | ○ | |
SOC2(SOC2+) | ○ | ○ | ○ | ○ | ○ |
※各社が公表している情報を基にマッピング
まとめ
クラウドサービスにおけるセキュリティ基準は今回ご紹介した以外にも多岐にわたります。一見すると似た内容に見えてしまうものの、その内容や目的は異なるため、自社のセキュリティレベルや期間、コスト等に応じた選択が必要になります。
例えば、セキュリティ基準がISO/IEC 27001認証取得を前提にしている場合、自社のセキュリティレベル次第では、認証取得まで時間を要する可能性があります。現時点で最適なものは何かという観点もさることながら、中長期的に見た場合にどのようにセキュリティレベルを向上させるのかを含めて、対応を決定することが重要です。
また、クラウドサービスに関するリスクマネジメントをもう一歩進めて、セキュリティの観点だけでなく、全社横断的な観点で捉えたい場合は、米国組織COSO(※1)が公表しているガイドライン「COSO-ERMのクラウドコンピューティングへの適用ガイド」が参考になります。COSO-ERM(※2)のフレームワークを用いて効果的・効率的なリスクマネジメントのあり方・仕組みを解説しています。このガイドラインについては、無料小冊子「クラウドサービスを全社的にリスクマネジメントする方法-COSO-ERM for Cloud Computing徹底解説-」やこちらの記事でも解説しておりますので、興味がある方は併せてご覧ください。
※1米国組織COSO The Committee of Sponsoring Organizations of the Treadway Commission(トレッドウェイ委員会組織委員会)
※2COSO-ERM 米国組織COSOが2004年に発行した全社的リスクマネジメント(ERM)のフレームワーク(2017年に改訂)
参考文献
おすすめ記事
- ISO/IEC27017(CLS)― クラウドサービスのための情報セキュリティ管理策―
- ISMAP:政府情報システムのためのセキュリティ評価制度
- 「クラウドサービス提供における情報セキュリティ対策ガイドライン」第2版を公表 総務省
- セキュリティ評価制度(ISMAP)の紹介動画を公開 IPA
- 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始 経産省・内閣官房・総務省
- NIST CSFとの併用で効果を最大化するフレームワーク~NIST プライバシーフレームワークの活用方法~
- NICE Cybersecurity Workforce Framework(SP800-181)とは
- FFIEC Cybersecurity Assessment Toolによるサイバーセキュリティ監査手法
- 中国サイバーセキュリティ法 ~その内容と施行後の動向~
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- ENISAクラウドセキュリティガイドライン
- クラウドコンピューティング
- クラウドコンピューティングのセキュリティ
- BCMSとISMSにおける事業継続管理の違い
- COSO-ERMのクラウドコンピューティングへの適用ガイド(COSO-ERM for Cloud Computing)
- 今夏公開に向けて意見公募を開始、第3.0版の「スマートシティセキュリティガイドライン」案を公開 総務省
- 設定ミスの防止に向けてクラウドサービス利用者を対象とした設定ミス対策ガイドブックを公表 総務省
- 英国の認証制度を活用、手頃な価格で始めるサイバーセキュリティ対策~IASME Cyber Baseline と IASME Cyber Assurance~
- 重点課題を整理、令和6年度の「デジタル社会の実現に向けた重点計画」を公表 デジタル庁
- AIマネジメントシステム(AIMS)の国際規格「ISO/IEC42001」についても調査、ISMS適合性評価制度に関するアンケート調査結果を公表 ISMS-AC
- システムのブラックボックス化を懸念、「重要情報を扱うシステムの要求策定ガイド」活用の手引き(別冊)を公開 IPA