クラウド市場の動向と利用状況から浮き彫りになったクラウドの課題について、又その課題への対策に一役を担うであろうクラウド関連の国際規格を規格毎に、その特徴を解説します。

▼目次
1. クラウド市場の動向
2. 産業別のクラウド利用状況
3. クラウドサービスの利用に対する課題
4. クラウド関連規格のラインナップ
5. ISO/IEC 27017：2015の特徴
6. ISO/IEC 27018：2014の特徴

1. クラウド市場の動向

　昨今、企業がIT戦略を検討する上でクラウドは欠かせません。オンプレミスからクラウドへの移行は加速度を増し、クラウドを優先的に検討するクラウドファーストの時代は一般的になってきています。この伸びは国内パブリッククラウドの市場予測を見ても明らかです。（図１参照）

　2016年から2017年の1年間だけで、前年比29.8％増の5,016億円の規模に成長しています。更に予測では2022年の市場規模は2.5倍以上（2017年比）の1兆4,065億円にまで成長すると予測されています。

図 1. 国内パブリッククラウドサービス市場 売上額予測、2017年～2022年

Note: 2017年は実績推定値、2018年以降は予測
出典： IDC Japanプレスリリース「国内パブリッククラウドサービス市場予測を発表」（2018年4月2日）

2. 産業別のクラウド利用状況

　クラウドサービスの成長はこれまで採用に慎重だった大手企業の積極的なクラウドの利用が大きく牽引しています。

　クラウドサービスは、繁忙期、イベント時に発生する業務量の急増、利用期間の変更など、IT環境の変化に対応する限定的な利用が中心となっていました。しかし、大手企業でもクラウド利用を本格的に検討し始めた結果、近年クラウドの導入に時間がかかると思われていた産業でも積極的に採用されていることが総務省の動向利用調査から確認出来ます。（図2参照）

　特にクラウド化は困難とみられていた金融・保険業界が積極的に採用していることがわかります。平成25年は4割の利用に留まっていましたが、翌年には5割を超え、平成28年には7割を超える金融事業者がクラウドを利用しています。この聖域なきクラウドシフトの動向は、全ての産業、全てのシステムが対象になるのは時間の問題ともいえるでしょう。

図 2. 産業別クラウドサービスの利用状況
Source : 平成24年‐29年　「通信利用動向調査（企業編）」（総務省）を加工して作成
(http://www.soumu.go.jp/johotsusintokei/statistics/data/180525_1.pdf)

3．クラウド利用に対する課題

　クラウドサービスの利用は年々増加の一途をたどっていますが、日本国内全体から見ると、平成29年時点で5割に留まっています。（図3参照）

　この統計データを見るとまだ半数以上の企業がクラウドを利用していないことが分かります。

図 3. 日本国内クラウドの利用状況推移
Source : 平成24年‐29年　「通信利用動向調査（企業編）」（総務省）を加工して作成
(http://www.soumu.go.jp/johotsusintokei/statistics/data/180525_1.pdf)

　また、これらクラウドを利用しない企業から寄せられた調査結果を見ると、クラウド利用に対する課題が下記のように浮き彫りになってきます。（図4参照）

• 課題 1. 情報セキュリティなどセキュリティに不安がある
• 課題 2. クラウドの導入によって自社のコンプライアンスに支障をきたす

　前者はサービス提供側（クラウドサービスプロバイダ）のセキュリティ対策への不安によるもの、後者はクラウド利用を想定した利用者側（クラウドサービスユーザ）にセキュリティルールが不在というコンプライアンスの欠如によるものと考えられます。

　この結果からも、クラウドサービスの普及には提供側、利用側双方において課題はありそうです。これらの課題を背景に、その対策として一翼を担うであろうクラウドセキュリティ及びクラウド上の個人情報保護に関連する国際規格が発行されています。

図 4. クラウドサービスを利用しない理由（複数回答）
Source: 平成24年‐29年　「通信利用動向調査（企業編）」（総務省）を加工して作成
(http://www.soumu.go.jp/johotsusintokei/statistics/data/180525_1.pdf)

4. クラウド関連規格のラインナップ

　クラウドの関連規格は、ISO/IEC　27000シリーズ（情報セキュリティ規格群）の中にラインナップされています。

　まず、2014年にISO/IEC 27018:2014（パブリッククラウドサービス提供者が管理する個人情報を保護するための実践規範、以下ISO/IEC 27018）が発行されています。この規格の対象は、クラウドサービスプロバイダです。

　2015年には、ISO/IEC 27017:2015(クラウドサービスのための情報セキュリティ管理策の実践規範、以下ISO/IEC 27017)が発行されました。この規格の対象は、クラウドサービスプロバイダに加え、クラウドサービスカスタマも対象に含まれています。

　各々の規格は、その時のIT環境の変化に応じて開発された規格です。

　クラウドのセキュリティを検討構築する上で広く活用されているISO/IEC 27017は、経済産業省情報セキュリティ政策室の下で結成されたガイドラインタスクフォースが中心になって策定した「クラウドサービス利用のための情報セキュリティガイドライン」の内容を原案としています。このガイドラインを日本からISO（国際標準化機構）及びIEC（国際電気標準会議）へ提案し、2015年にISO国際規格であるISO/IEC 27017:2015の発行に至っています。2016年には、日本規格協会からJIS Q 27017:2016が発行されており日本語訳を入手することも可能です。

5. ISO/IEC 27017：2015の特徴

　ISO/IEC 27017:2015（以下、ISO/IEC 27017）の特徴は、クラウドサービスを提供するクラウドサービスプロバイダとクラウドサービスを利用するクラウドサービスカスタマ双方で、セキュリティ対策が実施できるように構成されている点です。

　クラウドサービスカスタマのセキュリティ対策はクラウドサービスプロバイダのセキュリティ対策に依存するため、相互に乖離が生じないよう透明性の確認をもって連携を取ることが必要とされています。また、ISO/IEC 27017はクラウドサービスを形成するクラウドサービスプロバイダのサプライチェーン間もカバーしています。下位のレイヤから上位のレイヤにクラウドサービスを提供する関係、上位のレイヤが下位のレイヤのクラウドサービスを利用する関係においてもISO/IEC 27017を適用できる領域となっています。

　クラウドサービスを利用する責任はクラウドサービスカスタマにあります。クラウドサービスカスタマはクラウドサービスプロバイダを選定する際、情報セキュリティの実施能力についても注意を払わなければなりません。クラウドサービスカスタマは、クラウドサービス及びクラウドサービスプロバイダの情報セキュリティに関する信頼性の確認として、ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証制度の適用状況を要件とすることも有効と言えるでしょう。

　ISO/IEC 27017のクラウドサービスプロバイダ及びクラウドサービスユーザの情報セキュリティを含んで拡張されたISO/IEC 27001への適合性を示すISMSクラウドセキュリティ認証制度については、後日公開予定の記事にてご説明いたします。

6.ISO/IEC 27018：2014の特徴

　ISO/IEC 27017:2015の発行よりも1年早く国際規格として発行されたISO/IEC 27018:2014は、クラウドにおいて個人データの保護に焦点を当てた国際規格です。

　国際規格が発行された2014年頃は個人情報を管理保護する組織、団体に対する信頼はかつてないほど低下していました。大手IT企業が米国家安全保障局（NSA）の個人情報収集に協力して米電話会社の通話記録を毎日数百万件収集していたという疑惑がNSA契約社員エドワード・スノーデン容疑者の告発で発覚しました。さらに、アメリカの密接な同盟国であるドイツのメルケル首相の通話が傍受されていた事実も発覚しました。

　一連の事件を契機に人々は個人データのプライバシーは侵害される危険性があることを認識し始めました。また、クラウドサービスプロバイダは、個人データのプライバシーとデータの安全性を維持して、人々の信頼を得るための対策を講じる必要性に追われてきました。

　全てのクラウドサービスが等しく対策を講じることはできませんので、個人データを保護する品質はクラウドサービスプロバイダ間ではかなりの差があることが予想できます。ここでの最も重要な問題はクラウドサービスカスタマへの信頼です。

　個人データの保護に関する管理策が含まれているISO/IEC 27018への適合によって、クラウドサービスプロバイダ（データプロセッサ）は顧客の信頼を高めることを実現できます。

　この規格の特徴はISO/IEC 29100（プライバシーフレームワーク）が組み込まれている点です。このプライバシーフレームワークが組み込まれていることで、クラウドサービスプロバイダ（データプロセッサ）は個人データの処理に一定の制限が課されることになります。

　クラウドサービスプロバイダ（データプロセッサ）は個人情報の管理者（データコントローラー）から指示のない処理（例：目的以外の個人情報の収集、第3者への開示など）は制限されることになります。クラウドサービスプロバイダ（データプロセッサ）は顧客が抱いているプライバシーへの不安に対処するために、ISO/IEC　27018に適合することで、クラウド業界に信頼をもたらす実質的基盤を構築できます。

　このISO/IEC 27018のクラウドサービスプロバイダの個人データの保護に関する管理策を含んで拡張されたISO/IEC 27001への適合性を示す認証制度については、以下の「クラウド利用の動向とセキュリティの国際規格」よりご覧いただけます。

• クラウド利用の動向とセキュリティの国際規格
• クラウド上の個人情報保護とクラウドサービスプロバイダ
• クラウド環境における第3者認証制度