クラウドのマーケットとセキュリティの国際規格

 クラウドサービスの隆盛により、企業はオンプレミスの環境を維持するのか、それともクラウドに移行する方が望ましいのかどうか、判断するための指針が必要になってきています。

 オンプレミスの環境であれば、企業が主体となって技術的な設計、運用、ガバナンスを決定し、IT資源を利用してきたが、クラウドサービスに移行すると、その環境は一遍しクラウドサービスプロバイダのIT資源を利用することになります。この場合、クラウドサービスカスタマのIT利用は、クラウドサービスプロバイダのサービス仕様に依存しますので、自社のITプロセスを分担することを意味します。この分担は、クラウドサービスプロバイダが提供するクラウドサービスの内容に加え、実施可能な技術的能力をクラウドサービスカスタマが見極める必要があることを認識しておく必要があります。

 本記事では、クラウドサービスのセキュリティと個人データの保護に焦点を当て、クラウドサービスの利用側、提供側の役割と責任について、また最後に、クラウドサービスの信頼性を評価する認証制度について解説していきます。


▼目次
1. クラウドマーケットの動向
2. 産業別のクラウド利用状況
3. クラウドサービスの利用に対する課題
4. クラウド関連規格のラインナップ
5. ISO/IEC 27017:2015の特徴
6. ISO/IEC 27018:2014の特徴






1. クラウドマーケットの動向

 昨今、企業がIT戦略を検討する上でクラウドは欠かせません。オンプレミスからクラウドへの移行は加速度を増し、クラウドを優先的に検討するクラウドファーストの時代は一般的になってきています。この伸びは国内パブリッククラウド市場のマーケット予測を見ても明らかです。(図1参照)

 2016年から2017年の1年間だけで、前年比29.8%増の5,016億円の規模に成長しています。更に予測では2022年の市場規模は2.5倍以上(2017年比)の1兆4,065億円にまで成長すると予測されています。

クラウドセキュリティ

図 1. 国内パブリッククラウドサービス市場 売上額予測、2017年~2022年

Note: 2017年は実績推定値、2018年以降は予測
出典: IDC Japanプレスリリース「国内パブリッククラウドサービス市場予測を発表」(2018年4月2日)





2. 産業別のクラウド利用状況

 クラウドサービスの成長はこれまで採用に慎重だった大手企業の積極的なクラウドの利用が大きく牽引しています。

 クラウドサービスは、繁忙期、イベント時に発生する業務量の急増、利用期間の変更など、IT環境の変化に対応する限定的な利用が中心となっていました。しかし、大手企業でもクラウド利用を本格的に検討し始めた結果、近年クラウドの導入に時間がかかると思われていた産業でも積極的に採用されていることが総務省の動向利用調査から確認出来ます。(図2参照)

 特にクラウド化は困難とみられていた金融・保険業界が積極的に採用していることがわかります。平成25年は4割の利用に留まっていましたが、翌年には5割を超え、平成28年には7割を超える金融事業者がクラウドを利用しています。この聖域なきクラウドシフトの動向は、全ての産業、全てのシステムが対象になるのは時間の問題ともいえるでしょう。

クラウドセキュリティ

図 2. 産業別クラウドサービスの利用状況
Source : 平成24年‐29年 「通信利用動向調査(企業編)」(総務省)を加工して作成
(http://www.soumu.go.jp/johotsusintokei/statistics/data/180525_1.pdf)




3.クラウド利用に対する課題

 クラウドサービスの利用は年々増加の一途をたどっていますが、日本国内全体から見ると、平成29年時点で5割に留まっています。(図3参照)

 この統計データを見るとまだ半数以上の企業がクラウドを利用していないことが分かります。

クラウドセキュリティ


図 3. 日本国内クラウドの利用状況推移
Source : 平成24年‐29年 「通信利用動向調査(企業編)」(総務省)を加工して作成
(http://www.soumu.go.jp/johotsusintokei/statistics/data/180525_1.pdf)

 また、これらクラウドを利用しない企業から寄せられた調査結果を見ると、クラウド利用に対する課題が下記のように浮き彫りになってきます。(図4参照)

  • 課題 1. 情報セキュリティなどセキュリティに不安がある
  • 課題 2. クラウドの導入によって自社のコンプライアンスに支障をきたす


 前者はサービス提供側(クラウドサービスプロバイダ)のセキュリティ対策への不安によるもの、後者はクラウド利用を想定した利用者側(クラウドサービスユーザ)にセキュリティルールが不在というコンプライアンスの欠如によるものと考えられます。

 この結果からも、クラウドサービスの普及には提供側、利用側双方において課題はありそうです。これらの課題を背景に、その対策として一翼を担うであろうクラウドセキュリティ及びクラウド上の個人情報保護に関連する国際規格が発行されています。

クラウドセキュリティ

図 4. クラウドサービスを利用しない理由(複数回答)
Source: 平成24年‐29年 「通信利用動向調査(企業編)」(総務省)を加工して作成
(http://www.soumu.go.jp/johotsusintokei/statistics/data/180525_1.pdf)




4. クラウド関連規格のラインナップ

 クラウドの関連規格は、ISO/IEC 27000シリーズ(情報セキュリティ規格群)の中にラインナップされています。

 まず、2014年にISO/IEC 27018:2014(パブリッククラウドサービス提供者が管理する個人情報を保護するための実践規範、以下ISO/IEC 27018)が発行されています。この規格の対象は、クラウドサービスプロバイダです。

 2015年には、ISO/IEC 27017:2015(クラウドサービスのための情報セキュリティ管理策の実践規範、以下ISO/IEC 27017)が発行されました。この規格の対象は、クラウドサービスプロバイダに加え、クラウドサービスカスタマも対象に含まれています。

 各々の規格は、その時のIT環境の変化に応じて開発された規格です。

 クラウドのセキュリティを検討構築する上で広く活用されているISO/IEC 27017は、経済産業省情報セキュリティ政策室の下で結成されたガイドラインタスクフォースが中心になって策定した「クラウドサービス利用のための情報セキュリティガイドライン」の内容を原案としています。このガイドラインを日本からISO(国際標準化機構)及びIEC(国際電気標準会議)へ提案し、2015年にISO国際規格であるISO/IEC 27017:2015の発行に至っています。2016年には、日本規格協会からJIS Q 27017:2016が発行されており日本語訳を入手することも可能です。

クラウドセキュリティ




5. ISO/IEC 27017:2015の特徴

 ISO/IEC 27017:2015(以下、ISO/IEC 27017)の特徴は、クラウドサービスを提供するクラウドサービスプロバイダとクラウドサービスを利用するクラウドサービスカスタマ双方で、セキュリティ対策が実施できるように構成されている点です。

 クラウドサービスカスタマのセキュリティ対策はクラウドサービスプロバイダのセキュリティ対策に依存するため、相互に乖離が生じないよう透明性の確認をもって連携を取ることが必要とされています。また、ISO/IEC 27017はクラウドサービスを形成するクラウドサービスプロバイダのサプライチェーン間もカバーしています。下位のレイヤから上位のレイヤにクラウドサービスを提供する関係、上位のレイヤが下位のレイヤのクラウドサービスを利用する関係においてもISO/IEC 27017を適用できる領域となっています。

 クラウドサービスを利用する責任はクラウドサービスカスタマにあります。クラウドサービスカスタマはクラウドサービスプロバイダを選定する際、情報セキュリティの実施能力についても注意を払わなければなりません。クラウドサービスカスタマは、クラウドサービス及びクラウドサービスプロバイダの情報セキュリティに関する信頼性の確認として、ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証制度の適用状況を要件とすることも有効と言えるでしょう。

 ISO/IEC 27017のクラウドサービスプロバイダ及びクラウドサービスユーザの情報セキュリティを含んで拡張されたISO/IEC 27001への適合性を示すISMSクラウドセキュリティ認証制度については、後日公開予定の記事にてご説明いたします。

クラウドセキュリティ



6.ISO/IEC 27018:2014の特徴

 ISO/IEC 27017:2015の発行よりも1年早く国際規格として発行されたISO/IEC 27018:2014は、クラウドにおいて個人データの保護に焦点を当てた国際規格です。

 国際規格が発行された2014年頃は個人情報を管理保護する組織、団体に対する信頼はかつてないほど低下していました。大手IT企業が米国家安全保障局(NSA)の個人情報収集に協力して米電話会社の通話記録を毎日数百万件収集していたという疑惑がNSA契約社員エドワード・スノーデン容疑者の告発で発覚しました。さらに、アメリカの密接な同盟国であるドイツのメルケル首相の通話が傍受されていた事実も発覚しました。

 一連の事件を契機に人々は個人データのプライバシーは侵害される危険性があることを認識し始めました。また、クラウドサービスプロバイダは、個人データのプライバシーとデータの安全性を維持して、人々の信頼を得るための対策を講じる必要性に追われてきました。

 全てのクラウドサービスが等しく対策を講じることはできませんので、個人データを保護する品質はクラウドサービスプロバイダ間ではかなりの差があることが予想できます。ここでの最も重要な問題はクラウドサービスカスタマへの信頼です。

 個人データの保護に関する管理策が含まれているISO/IEC 27018への適合によって、クラウドサービスプロバイダ(データプロセッサ)は顧客の信頼を高めることを実現できます。

 この規格の特徴はISO/IEC 29100(プライバシーフレームワーク)が組み込まれている点です。このプライバシーフレームワークが組み込まれていることで、クラウドサービスプロバイダ(データプロセッサ)は個人データの処理に一定の制限が課されることになります。

 クラウドサービスプロバイダ(データプロセッサ)は個人情報の管理者(データコントローラー)から指示のない処理(例:目的以外の個人情報の収集、第3者への開示など)は制限されることになります。クラウドサービスプロバイダ(データプロセッサ)は顧客が抱いているプライバシーへの不安に対処するために、ISO/IEC 27018に適合することで、クラウド業界に信頼をもたらす実質的基盤を構築できます。

 このISO/IEC 27018のクラウドサービスプロバイダの個人データの保護に関する管理策を含んで拡張されたISO/IEC 27001への適合性を示す認証制度については、下記よりご覧いただけます。


関連記事を読む

著者プロフィール

著者アイコン
登山慎一
BSI グループジャパン株式会社(英国規格協会)営業本部に在職中|1. セキュリティカンファレンスへの登壇、業界紙への執筆等を通してクラウドセキュリティ、クラウド上の個人情報保護の分野を中心に情報セキュリティビジネスをリード | 2. これまでの担当業務 : ネットワーク機器のベンダーでエンジニアを経験した後、SIerでシステム運用の管理業務に従事

関連記事はこちら