まず、情報セキュリティに関連する主な規格や基準を紹介します。
情報セキュリティ全般については以前から複数の基準が公表されていましたが、クラウドサービスの隆盛により、クラウドセキュリティに特化した基準が充実してきました。

クラウドサービスに特化したセキュリティ基準には、２つの特徴があります。それは情報セキュリティの汎用的な基準に比べて、インターネットを中心とした技術であること、サプライチェーンリスクがより大きいことを踏まえている点です。(図表2)

クラウドサービスに特化したセキュリティ基準では上記2点を網羅した、以下が知られています。

1）ISMSクラウドセキュリティ認証(ISO27001/ISO27017)
2）CSマーク
3）CSA STAR認証(CSA Security)
4）StarAudit Certification
5）FedRAMP
6）SOC2,SOC2＋

一つずつ、取得の比較的容易なものから順番に、これらのクラウドサービスに特化したセキュリティ基準を簡単に紹介します。

1）ISMSクラウドセキュリティ認証(ISO27001/ISO27017)

ISO/IEC 27017:2015はISOより発行されたクラウドセキュリティに関する国際規格で、クラウドサービスの提供および利用に関する情報セキュリティ管理のためのガイドラインです。認証取得する際は、前提としてISO/IEC 27001の認証取得が必要なアドオン規格です。

• 対象は全世界
• SO27001を補完するクラウド固有の情報セキュリティ管理策を認証する
• 認定後、年一回のサーベイランス審査と3年に一度の継続審査を受ける必要がある

2）CSマーク

日本の特定非営利活動法人日本セキュリティ検査協会(JASA)による情報セキュリティ監査制度で、その認定マークがCSマークです。認証段階にはゴールド(第三者認証)とシルバー(自主監査)があり、レベルや目的に応じて対象を選択できます。

• 対象は日本のみ
• 認定された組織は監査を受けた基本言明書にCSマークが付与される
• CSマークの使用許諾期間は自主監査の報告日から3年6か月で、延長申請によって更に3年延長することができる
• ISMSにおけるクラウドサービス固有の管理策(ISO/IEC 27017:2015)と整合している

3）CSA STAR認証 (CSA Security)

Cloud Security Alliance (CSA、クラウドコンピューティングのセキュリティを確保するための米国業界団体)によるセキュリティ成熟度を評価する制度で、これもISO/IEC 27001アドオン規格になります。

• 対象は米国を含む全世界
• 認証にあたっては自己認証から第三者認証まで3段階に分けられる
   

  レベル1：自己評価
  ○ CCM(Cloud Controls Matrix)やCIAQを基に自己評価を行う

  レベル2：第三者認証(CSA STAR実践認証)
  ○ Trust Service基準やCloud Controls Matrixを利用し、評価を行う
  ○ SOC2と同一の基準を使っているため、SOC2との親和性も高い
  ○ CCMを基にISO/IEC27001の管理要求事項も含めた第三者認証を実施する

  レベル３：継続審査
  ○ 常に監視されていることを保証するために定期的な監査を実施する

4）StarAudit Certification

EuroCloud Europe (ECE)による認証制度であり、CSP（クラウドソリューションプロバイダ）の情報、法的事項、セキュリティとプライバシー、データセンター、運用プロセス成熟度、クラウド形態の6つの領域に分類し、それぞれ星の数を3つから5つまでを評価します。

• 対象は欧州を含む全世界
• 部分的な認定(データセンターやSaaS等)があり、スモールスタートから認定を受けることが可能。星の数により管理策も異なるため、中小企業でも認定が受けやすい
• セキュリティ領域ではISO/IEC 27001認証取得が前提となる
• 運用プロセス成熟度で星5つを取得する場合にはISO/IEC 20000-1が前提となる

5）FedRAMP

米国政府機関がクラウドサービスを調達するにあたって採用している共通認証制度で、製品やサービスに対するセキュリティ評価、認証、継続的監視に関する標準的なアプローチを示しています。

• 対象は米国 (米国政府機関向けのビジネス)
• ISO/IEC 27001と整合したNIST SP800-53をベースとしたガイドラインを使う
• セキュリティレベルはFedRAMP Low、Moderate、Highの3段階に分類される
• 認証継続のため、年次で認証機関の審査を受ける必要があり、かつ月次でセキュリティモニタリング状況を報告する必要がある

なお、FedRAMPについて詳細はこちらの記事でも解説しています。

6）SOC2,SOC2+

SOCR (Service Organization Control Reporting) は米国公認会計士協会(AICPA)が定める、委託会社の内部統制やサイバーセキュリティについての内部統制保証報告の枠組みです。

SOC報告書は3種類あり、SOC1は財務諸表リスクに関わる保証報告書です。SOC2とSOC3は財務諸表以外のリスクについての保証報告書で、SOC2は限定的に公開する、SOC3は一般ユーザー向けに広く公開する、というように公開範囲が変わります。

SOC2,3におけるリスクとは、具体的にはセキュリティ、可用性、インテグリティ、機密保持、プライバシーに関わるものです。これらのリスクについて、適切に対応できていることを保証する報告書がSOC２,３です。

• 対象は米国を含む全世界
• SOC2ではAICPAによるTrustサービス基準に則り、外部委託業者を評価、SOC2+では任意の基準を加えて範囲を拡張する
• 報告書には2種類あり、Type1は基準日の時点での内部統制デザインの評価を行い、Type2は内部統制の運用状況も加えて、1年など対象期間を通じて評価を行う

ご紹介したクラウドサービスのセキュリティ基準を比較すると、評価・認定する基準として共通点はあるものの、対応に必要なボリュームや、対応にあたっての難易度は異なります。(図表3)

例えば、早期に対応したい場合は自己診断ができるCSマークに準拠する、多くのクラウドサービスを持っている場合はISMSクラウドセキュリティ認証を取得する、スモールスタートで認定を受け、同じ仕組みの中でスケールアップしていきたい場合はStarAudit Certificationを選択する、などが考えられます。

また、自社サービスの政府機関への導入を狙う場合には、2020年から運用が始まった「政府情報システムのためのセキュリティ評価制度(ISMAP)」への対応が有効です。他制度を取得、対応した後のステップアップとして目指す場合にはSOC2,SOC2+が視野に入ってきます。

また、多くのクラウドサービスは、それぞれ複数の第三者認証を取得しており、セキュリティ面で安全性のアピールをしています。

※各社が公表している情報を基にマッピング

クラウドサービスにおけるセキュリティ基準は今回ご紹介した以外にも多岐にわたります。一見すると似た内容に見えてしまうものの、その内容や目的は異なるため、自社のセキュリティレベルや期間、コスト等に応じた選択が必要になります。

例えば、セキュリティ基準がISO/IEC 27001認証取得を前提にしている場合、自社のセキュリティレベル次第では、認証取得まで時間を要する可能性があります。現時点で最適なものは何かという観点もさることながら、中長期的に見た場合にどのようにセキュリティレベルを向上させるのかを含めて、対応を決定することが重要です。

また、クラウドサービスに関するリスクマネジメントをもう一歩進めて、セキュリティの観点だけでなく、全社横断的な観点で捉えたい場合は、米国組織COSO（※1）が公表しているガイドライン「COSO-ERMのクラウドコンピューティングへの適用ガイド」が参考になります。COSO-ERM（※２）のフレームワークを用いて効果的・効率的なリスクマネジメントのあり方・仕組みを解説しています。このガイドラインについては、無料小冊子「クラウドサービスを全社的にリスクマネジメントする方法－COSO-ERM for Cloud Computing徹底解説－」やこちらの記事でも解説しておりますので、興味がある方は併せてご覧ください。

※1米国組織COSO　The Committee of Sponsoring Organizations of the Treadway Commission（トレッドウェイ委員会組織委員会）
※２COSO-ERM　米国組織COSOが2004年に発行した全社的リスクマネジメント（ERM）のフレームワーク（2017年に改訂）