信頼できるクラウド事業者を選ぶためにはCSマークやPCI DSSといった情報セキュリティ認定の有無が参考になる。機密性・完全性・可用性に対するリスク対策を施し、内部監査・外部監査に耐えられるIaaS事業者を選択したい。

▼ ハイライト
1. IaaS利用者とクラウド事業者が相互に協力し合う情報セキュリティ監査
2. 基本リスク対策と内部監査によって認定が受けられるCSシルバーマーク
3. クラウド特有の国際規格と、クレジットカード情報セキュリティ基準

1. IaaS利用者とクラウド事業者が相互に協力し合う情報セキュリティ監査

　IaaSの利用は自社の機密情報やプロセス、データベース、ネットワークを外部へ委託することを意味する。自社や顧客の情報資産を保護するためには、情報セキュリティの対策が必須となる。情報セキュリティ対策はクラウド利用者と提供者が相互に責任を果たし合うプロセスだ。セキュリティに関するリスク項目を洗い出し、適切な対策や監視の仕組みを設け、クラウド利用者と提供者が情報交換していく。
　リスク評価の例として、2013年に経済産業省が公表した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」にあるリスク・マトリクスが上げられる。IaaS利用者とクラウド事業者における役割とその責任範囲を以下のように定義している。

• 一般ユーザー（IaaS利用者）
• アプリケーションの操作
• アプリケーション開発者（IaaS利用者）
• API利用、データ管理
• システム管理者（IaaS利用者）
• ID、実行環境、仮想イメージ、バックアップの管理
• 運用担当者（クラウド事業者）
• ファイアーウォール、仮想マシン、バックアップの管理
• 開発技術者（クラウド事業者）
• 運用中仮想イメージの管理

　利用者としてIaaSを選択する際には、上記のような情報セキュリティ管理体制の整備を要件として提示することになるだろう。基本的な要件を順守し安全性が確保されている事業者でなければ、会社の情報資産を預けられない。このような課題はクラウド業界全体で認識されるようになり、業界標準の認定制度が設けられるようになってきた。セキュアなIaaSを見極めるために、この認定制度を基準とするのも一案だ。

表 1. IaaS におけるシステム管理権限設定の例

2. 基本リスク対策と内部監査によって認定が受けられるCSシルバーマーク

　クラウドセキュリティの代表的な認定制度として、JASA（日本セキュリティ監査協会）が策定したCSマーク（クラウドセキュリティ・マーク）が上げられる。クラウド事業における基本的なリスクに対して管理策が講じられている、及び、その実施状況が内部監査によって確認されている場合、CSマークの使用が許諾される仕組みだ。基本リスクとしては、具体的に、保護すべき情報が漏えいするリスク（機密性）、情報及び処理が改ざんされるリスク（完全性）、サービス提供ができなくなるリスク（可用性）が指摘された。
　CSマークには2段階の認定があり、CSシルバーマークと、より認定基準の厳しいCSゴールドマークが存在する。基本リスクの部分的な管理と内部監査に対して付与されるのがCSシルバーマークだ。「ElasticCUVIC」「IIJ GIOサービス」「ニフティクラウド」「Bizひかりクラウド」などがCSシルバーマークの使用許諾を受けた。一方で、CSゴールドマークでは、基本リスクの全てを網羅し、第三者機関による外部監査が必要になる。マイクロソフトの「Microsoft Azure」「Office 365」がCSゴールドマークの認定を取得している。

図 1. 情報セキュリティ監査の例

　CSマークを表示しているIaaS事業者は、クラウド運営においてどのようなリスクが存在し、そのリスクについて対策が施されているかについて、回答できるようになっており、信頼性の高さが担保される。また、情報セキュリティにおける標準的な監査に基づいているため、内部監査及び外部監査自体の品質も確かなものだ。IaaS事業者を選ぶ際に、CSマークの有無を参考にしても悪くはないだろう。

3. クラウド特有の国際規格「ISO/IEC 27017」と、クレジットカード情報セキュリティ基準「PCI DSS」

　CSマークの他にも、IaaS事業者選定に役立つ認定制度は存在する。まず、国際的な規格としてクラウド情報セキュリティ監査制度を定めた「ISO/IEC 27017」が考えられる。以前より知られていた「ISO 27001」に対して、クラウド特有に見られる環境を勘案し、情報資産の削除、管理者の運用におけるセキュリティ、仮想及び物理ネットワークなどの要件を追加した。
　ISMS認証で知られる情報マネジメント推進センターは「ISO/IEC 27017」に基づいたクラウドセキュリティ認証の導入予定を発表している。クラウドサービスの情報セキュリティ規格を満たしている組織を認証する仕組みだ。クラウド利用者とクラウド事業者の双方を認証の対象としている点が特徴と言える。
情報セキュリティ認証としてはPCI DSS（Payment Card Industry Data Security Standard）が、よく知られている。PCI DSSは、VISAやJCBといったクレジットカードブランドによって設立されたクレジットカード業界におけるセキュリティ基準である。「安全なネットワークとシステムの構築と維持」「カード会員データの保護」「脆弱性管理プログラムの維持」「強力なアクセス制御手法の導入」といった要件に合致するよう、システム構築を行い、運用プロセスを策定する必要がある。
PCI DSSは、クレジットカード情報を管理していない企業にとっても、”クレジットカードのような機密情報を取り扱える”程度に高い管理体制を敷いている点を訴求できる手段として活用されてきた。AWSやCUVICmc2では、利用者が容易にPCI DSSを取得できるよう、要件に準拠した機能を提供している。IaaSのセキュリティ要件の確認方法としても有効になるだろう。

　IaaSのセキュリティ対策はクラウド事業者に“丸投げ”して済む話ではない。利用者が積極的にリスクの洗い出しと監査状況のチェックを行う必要がある。CSマークなどの認定制度はIaaS事業者の見極めに一定の効果があるだろう。

最後に

　クラウドは利便性が高い反面、自社の機密情報やプロセス、データベースを外部へ委託するために情報セキュリティの対策が不可欠です。信頼できるクラウド事業者を選択する上では、内部監査・外部監査に耐えられるIaaS事業者の選択が必須となります。自社に適した IaaS 事業者の選定にお困りの場合は、お気軽にご相談ください。