クラウドサービス事業者及びクラウドサービスを評価する認証の制度について解説します。

▼ 目次
1. クラウド環境における信頼性とは
2. クラウド環境の信頼性を評価する第3者認証制度
3. クラウド認証に対する組織の取り組み状況

1. クラウド環境における信頼性とは

　クラウド利用者は、なぜクラウドサービス事業者及びクラウドサービスを客観的に評価する必要があるのでしょうか。

　昨今、クラウドのマーケット成長に合わせて、自社のビジネスプロセスをクラウドサービスにアウトソースするケースは年々増えています。クラウドのマーケット成長に合わせ、クラウドの利便性にのみイメージは形成されていますが、クラウドサービス事業者（以下、クラウド事業者）毎にサービスレベルは変わりますので、当然リスクレベルも変わってきます。そのため、クラウド利用者はクラウドサービスを検討する際、クラウドを利用するリスクを低減するためにクラウドサービスの特徴を見分ける目利きの能力が問われてきます。

　バックアップを例に目利きの必要性について解説してみます。

　単一の組織がICTシステムをオンプレミスで保有して、そのバックアップを自社で行う場合、バックアップの方針、スペックなど仕様の決定、バックアップの取得は自組織で行います。よって、全てのプロセスは単一組織内で完結します。
しかし、自組織で完結していたバックアップを、クラウドを利用したバックアップに移行する場合、自組織はクラウド利用者に変わります。そしてバックアップのプロセスを、クラウド利用者とクラウド事業者の間で分担して実行します。クラウド利用者は、クラウド事業者の特徴を見定めた上でバックアッププロセスの見直しを行うことになります。

　すなわち、クラウド利用者は自社のバックアップ方針に基づいたスペックを要求し、クラウドサービス事業者は、その要求スペックに準じたバックアップサービスを提供する構図になります。この場合、どのデータを、どちらがバックアップするのか、又要求するスペックは機能的、技術的に提供可能かなど、クラウドサービスに対する目利きが必要です。提供されるクラウドサービスの範囲を曖昧にせず、プロセスの分担と責任範囲、保証及び補償の対象等を明確にすることで、初めて双方のリスクが最小化されてプロセスの連携を図ることができます。

図 1. バックアップ

　バックアップを一例として取り上げましたが、クラウド利用者は、ビジネスプロセスの一部をクラウド事業者と分担し、パートナーとして連携を図ることになります。クラウド利用者にとってビジネスパートナーとなり得るクラウドサービス事業者を検討する際、透明性を持った確認に基づく信頼性の評価という目利きのモノサシとなる判断基準が必要です。

　国際規格を使用したセキュリティ関連の認証制度には、情報セキュリティ、クラウドセキュリティ、クラウド上の個人情報保護がラインナップされています。次の章では、現在ラインナップされているクラウドも含めたセキュリティ関連の認証制度についてご説明します。

2. クラウド環境の信頼性を評価する第3者認証制度

　セキュリティ関連の認証制度には、情報セキュリティ、クラウドセキュリティ、クラウド上の個人情報保護がラインナップされています。組織が求めるニーズによって、認証を選択することが出来るため利用しやすい制度になっています。

図 2. 第 3 者認証制度

　組織が求めるニーズとして、ステークホルダー対策が一番に上げられるかと思います。そのステークホルダーが取引先に求める取引条件に、セキュリティ対策は欠かせません。例えば、ステークホルダーが取引先内部のセキュリティ対策を条件とするならば、ISO/IEC 27001の情報セキュリティマネジメントシステムの認証取得が条件の一つとして上げられます。またステークホルダー（クラウド利用者）がクラウドサービスを利用する場合、クラウドサービスのセキュリティ対策を条件とするならば、ISO/IEC 27017に基づくISMSクラウドセキュリティ認証取得がクラウド事業者に求める条件の一つに上げられます。

　更に、ステークホルダー（クラウド利用者）がクラウドサービスを利用した個人データの処理を依頼する場合、クラウドサービスの個人データの保護対策を条件とするならば　ISO/IEC　27018　パブリッククラウド上の個人情報保護の認証取得がクラウド事業者に求める条件の一つにあげられます。

　また最近、ステークホルダーはクラウドサービスを利用する際に、クラウドセキュリティ、クラウド上の個人情報保護、両方の対策を条件とする傾向が見受けられます。そのためISO/IEC 27017、ISO/IEC 27018の両方を認証取得してステークホルダーからの期待に応えているクラウド事業者も徐々に増えています。認証制度の利用状況については次の章でご紹介します。

　これまではステークホルダーにむけた外的な理由による制度をご紹介しましたが、ここからは自社内にセキュリティマネジメントシステムを取り入れる場合についてご説明します。

　自社内の情報セキュリティ対策にはISO/IEC 27001　情報セキュリティマネジメントシステムが効果的です。この規格は組織、人に起因する情報セキュリティ事故に対して、組織活動を通して低減を図っていくセキュリティ対策が盛り込まれています。例えば、セキュリティ方針、従業員トレーニング、内部監査など、組織が導入しやすいセキュリティ対策が盛り込まれた内容になっています。

　また、自社のビジネスプロセスにクラウドを利用している場合には、ISO/IEC 27017　クラウド利用者に向けた管理策が効果的です。クラウドサービスを供給者と見なして、クラウド利用におけるリスクに対してセキュリティ対策講じることが出来ます。自社のセキュリティルールがクラウド利用を想定した作りになっていない場合には、ISO/IEC27017のクラウド利用を参考にされることをお勧めします。

　これまで国際規格を利用したセキュリティ対策を説明して来ましたが、いずれの規格にもおいても第3者認証の制度が設けられています。組織は認証審査の準備に向けて、情報セキュリティ対策（ISO/IEC 27001）にクラウドセキュリティ（ISO/IEC 27017）対策、又はクラウド上の個人情報保護（ISO/IEC　27018）対策を追加してセキュリティマネジメントシステムを構築していきます。ISO/IEC 27017及びISO/IEC 27018の認証取得審査は、情報セキュリティの審査と同時に審査を行いますので、審査を受ける組織にとって追加の負担なく、取り組みやすい制度になっています。　

　この制度を利用して認証取得したクラウドサービス事業者は、国際規格に基づいたセキュリティ対策に適合していることを評価された組織です。取引を開始する前に、第3者機関が透明性をもった審査を実施していますので、ステークホルダーは認証という信頼性の裏付けをもって、クラウド事業者と安心して取引を開始することが出来ます。

3．クラウド認証に対する組織の取り組み状況

　海外大手クラウドベンダーは、クラウドを検討している顧客企業のニーズに応えるべく、意欲的にクラウドサービスの情報公開（ 「SLA:Service Level Agreement」、「ホワイトベーパー」等）と、企業の信頼性を評価する認証の取得に努めています。国際規格に基づいた認証取得は、企業の信頼性に直結する評価にあたりますので、客観的な選定の材料として多くの組織が活用しています。

企業の信頼性向上といった効果を活用すべく、海外の大手クラウドベンダーはいち早くクラウドセキュリティのマネジメントシステムを導入し、認証取得することでクラウドマーケット内の競争を優位に進め、業界のシェアを拡大しています。

　クラウドセキュリティ（ISO/IEC 27017）とクラウド上の個人情報保護（ISO/IEC 27018）は、規格が発行された直後から海外大手クラウドベンダーが先導して認証を取得し、クラウドマーケットの信頼性を形成してきたように見えます。海外大手クラウドベンダーが先行していたISO/IEC 27017とISO/IEC 27018の認証は、いま国内のクラウド事業者から注目され始めています。この背景として、マイナンバー制度が導入されたことにより、個人情報のデータ化が進んだことが挙げられます。個人データを取り扱うクラウドサービスプロバイダは、ISO/IEC 27017とISO/IEC 27018の認証制度を利用して国内のクラウドマーケットの信頼性を形成することに積極的に努めています。

さいごに

　クラウド上のデータに不備が生じた場合、その責任の所在はクラウド利用者にあります。しかし、実質的なセキュリティ対策の主体はクラウドサービス事業者にあります。

図 3. セキュリティ対策とプライバシー対策の調和

　クラウドサービスは、クラウド利用者側にデータの責任が伴います。そのためクラウドサービスを選択する際には、クラウド利用者の責任として、国際規格の認証制度を評価基準の一つとして活用頂き、リスクを最小限に抑えることをご提案いたします。

　本記事の関連記事については、以下よりご覧いただけます。

• クラウドのマーケットとセキュリティの国際規格
• クラウド利用の動向とセキュリティの国際規格
• クラウド上の個人情報保護とクラウドサービスプロバイダ