コラム

クラウドサービスに特化したセキュリティ基準 ~各ガイドラインや認証制度の比較

2020年07月31日

コンサルタント

廣田 哲弥

コンサルタント 廣田 哲弥

ITを自分たちで持つオンプレミスという前提からクラウドサービスの活用へと選択肢が広がり、その利便性によって現在では半数以上の企業がなんらかのクラウドサービスを利用しているといわれています。コロナ禍で脚光を浴びるテレワークにおいても、クラウドサービスの利用はほぼ必要不可欠となっており、今後ますますその利用は加速することが予想されます。
一方、未だにクラウドサービスを利用していない企業は約3割あるとされ、背景には情報漏えい等のセキュリティに不安があるといわれています。

クラウドサービス事業者にとっては、提供事業者やサービスが増える中で、他社との差別化にも課題が出ています。堅牢なセキュリティを証明することは、クラウドサービス未利用者や競合他社顧客に対して大きなアピールにつながります。

本記事では、情報セキュリティの各種規格や基準の中で、特にクラウドセキュリティに特化したものを紹介し、何に準拠していくことが望ましいのかを検討します。

情報セキュリティの各種規格や基準

まず、情報セキュリティに関連する主な規格や基準を紹介します。
情報セキュリティ全般については以前から複数の基準が公表されていましたが、クラウドサービスの隆盛により、クラウドセキュリティに特化した基準が充実してきました。

【図表1: 情報セキュリティの各種規格や基準】

クラウドサービスのセキュリティ基準の特徴

クラウドサービスに特化したセキュリティ基準には、2つの特徴があります。それは情報セキュリティの汎用的な基準に比べて、インターネットを中心とした技術であること、サプライチェーンリスクがより大きいことを踏まえている点です。(図表2)

 

【図表2:クラウドサービス固有のセキュリティリスク】
# クラウドサービスの性質 セキュリティリスク
1 インターネットを中心とした技術である クラウドサービスはインターネット経由で利用するサービスであるため、通信傍受の攻撃による影響が大きい
2 サプライチェーンリスクがある クラウドサービス同士が連携してサービスを提供している場合も多く、オンプレミスと比べると、サービスの利害関係者が多く存在する
(例) AWSをベースにSaaSを提供するクラウドサービスを利用

 

クラウドサービスに特化したセキュリティ基準

クラウドサービスに特化したセキュリティ基準では上記2点を網羅した、以下が知られています。

1)ISMSクラウドセキュリティ認証(ISO27001/ISO27017)
2)CSマーク
3)CSA STAR認証(CSA Security)
4)StarAudit Certification
5)FedRAMP
6)SOC2,SOC2+

一つずつ、取得の比較的容易なものから順番に、これらのクラウドサービスに特化したセキュリティ基準を簡単に紹介します。

 

1)ISMSクラウドセキュリティ認証(ISO27001/ISO27017)

ISO/IEC 27017:2015はISOより発行されたクラウドセキュリティに関する国際規格で、クラウドサービスの提供および利用に関する情報セキュリティ管理のためのガイドラインです。認証取得する際は、前提としてISO/IEC 27001の認証取得が必要なアドオン規格です。

  • 対象は全世界
  • ISO27001を補完するクラウド固有の情報セキュリティ管理策を認証する
  • 認定後、年一回のサーベイランス審査と3年に一度の継続審査を受ける必要がある

 

2)CSマーク

日本の特定非営利活動法人日本セキュリティ検査協会(JASA)による情報セキュリティ監査制度で、その認定マークがCSマークです。認証段階にはゴールド(第三者認証)とシルバー(自主監査)があり、レベルや目的に応じて対象を選択できます。

  • 対象は日本のみ
  • 認定された組織は監査を受けた基本言明書にCSマークが付与される
  • CSマークの使用許諾期間は自主監査の報告日から3年6か月で、延長申請によって更に3年延長することができる
  • ISMSにおけるクラウドサービス固有の管理策(ISO/IEC 27017:2015)と整合している

 

3)CSA STAR認証 (CSA Security)

Cloud Security Alliance (CSA、クラウドコンピューティングのセキュリティを確保するための米国業界団体)によるセキュリティ成熟度を評価する制度で、これもISO/IEC 27001アドオン規格になります。

  • 対象は米国を含む全世界
  • 認証にあたっては自己認証から第三者認証まで3段階に分けられる
     

    レベル1:自己評価
    ○ CCM(Cloud Controls Matrix)やCIAQを基に自己評価を行う

    レベル2:第三者認証(CSA STAR実践認証)
    ○ Trust Service基準やCloud Controls Matrixを利用し、評価を行う
    ○ SOC2と同一の基準を使っているため、SOC2との親和性も高い
    ○ CCMを基にISO/IEC27001の管理要求事項も含めた第三者認証を実施する

    レベル3:継続審査
    ○ 常に監視されていることを保証するために定期的な監査を実施する

 

4)StarAudit Certification

EuroCloud Europe (ECE)による認証制度であり、CSP(クラウドソリューションプロバイダ)の情報、法的事項、セキュリティとプライバシー、データセンター、運用プロセス成熟度、クラウド形態の6つの領域に分類し、それぞれ星の数を3つから5つまでを評価します。

  • 対象は欧州を含む全世界
  • 部分的な認定(データセンターやSaaS等)があり、スモールスタートから認定を受けることが可能。星の数により管理策も異なるため、中小企業でも認定が受けやすい
  • セキュリティ領域ではISO/IEC 27001認証取得が前提となる
  • 運用プロセス成熟度で星5つを取得する場合にはISO/IEC 20000-1が前提となる

 

5)FedRAMP

米国政府機関がクラウドサービスを調達するにあたって採用している共通認証制度で、製品やサービスに対するセキュリティ評価、認証、継続的監視に関する標準的なアプローチを示しています。

  • 対象は米国 (米国政府機関向けのビジネス)
  • ISO/IEC 27001と整合したNIST SP800-53をベースとしたガイドラインを使う
  • セキュリティレベルはFedRAMP Low、Moderate、Highの3段階に分類される
  • 認証継続のため、年次で認証機関の審査を受ける必要があり、かつ月次でセキュリティモニタリング状況を報告する必要がある

 

6)SOC2,SOC2+

SOCR (Service Organization Control Reporting) は米国公認会計士協会(AICPA)が定める、委託会社の内部統制やサイバーセキュリティについての内部統制保証報告の枠組みです。

SOC報告書は3種類あり、SOC1は財務諸表リスクに関わる保証報告書です。SOC2とSOC3は財務諸表以外のリスクについての保証報告書で、SOC2は限定的に公開する、SOC3は一般ユーザー向けに広く公開する、というように公開範囲が変わります。

SOC2,3におけるリスクとは、具体的にはセキュリティ、可用性、インテグリティ、機密保持、プライバシーに関わるものです。これらのリスクについて、適切に対応できていることを保証する報告書がSOC2,3です。

  • 対象は米国を含む全世界
  • SOC2ではAICPAによるTrustサービス基準に則り、外部委託業者を評価、SOC2+では任意の基準を加えて範囲を拡張する
  • 報告書には2種類あり、Type1は基準日の時点での内部統制デザインの評価を行い、Type2は内部統制の運用状況も加えて、1年など対象期間を通じて評価を行う

 

クラウドセキュリティの各種ガイドライン、認証制度の比較

ご紹介したクラウドサービスのセキュリティ基準を比較すると、評価・認定する基準として共通点はあるものの、対応に必要なボリュームや、対応にあたっての難易度は異なります。(図表3)

 

【図表3: 各認証制度の比較】
ガイドライン/認証制度 対象地域 形態 要求/確認事項 取得難易度 備考
ISMSクラウドセキュリティ認証 全世界 第三者認証 79問  
CSマーク 日本 内部監査可 1500問 監査状況はWebで公開される
CSA STAR認証 全世界(米国) 内部監査可 150問 Yes、Noで答えられる質問集があるので回答しやすい
StarAudit Certification 全世界(欧州) 第三者認証 28問  
FedRAMP 米国 第三者認証 700問 一度認証を通ると多くの政府機関で採用が可能
SOC2,SOC2+ 全世界(米国) 第三者認証 100問 SOC3を取得するとWebで報告書の内容を公開できる

 

例えば、早期に対応したい場合は自己診断ができるCSマークに準拠する、多くのクラウドサービスを持っている場合はISMSクラウドセキュリティ認証を取得する、スモールスタートで認定を受け、同じ仕組みの中でスケールアップしていきたい場合はStarAudit Certificationを選択する、などが考えられます。

また、自社サービスの政府機関への導入を狙う場合には、高難度ではありますが、日本版の展開も噂されるFedRAMPへの対応が有効です。他制度を取得、対応した後のステップアップとして目指す場合にはSOC2,SOC2+が視野に入ってきます。

また、多くのクラウドサービスは、それぞれ複数の第三者認証を取得しており、セキュリティ面で安全性のアピールをしています。

 

【図表4: 国内外各社の認証取得状況】
サービス事業者 外資・国内 ISMS CSマーク CSA STAR Star Audit FedRAMP SOC2(SOC2+)
Amazon 外資    
Google 外資    
Microsoft 外資  
富士通 国内        
Salesforce 外資    

※各社が公表している情報を基にマッピング

まとめ

クラウドサービスにおけるセキュリティ基準は今回ご紹介した以外にも多岐にわたります。一見すると似た内容に見えてしまうものの、その内容や目的は異なるため、自社のセキュリティレベルや期間、コスト等に応じた選択が必要になります。

また、ISO/IEC 27001認証取得を前提にしている場合も多く、目的としているクラウドサービスのセキュリティ基準の認証取得まで時間がかかる可能性があります。現時点で最適なものは何かという観点もさることながら、中長期的に見た場合にどのようにセキュリティレベルを向上させるのかを含めて、対応を決定することが重要です。

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる