目次
クラウドセキュリティ認証とは
クラウドセキュリティ認証とは、クラウド上でのセキュリティを適切に管理していることを証明する、第三者認証のことを指します。
クラウドサービスを扱う企業が増えていく中で、情報セキュリティの管理を担保するクラウド認証の必要性は徐々に高まってきています。
クラウドセキュリティ認証は種類が豊富ですが、代表的なものをご紹介します。
①ISO クラウドセキュリティ認証(ISO27017)
ISO27017はISOより発行されたクラウドセキュリティに関する国際規格です。
クラウドサービスの提供や利用に関する情報セキュリティ管理を目的としたガイドラインです。
②CSマーク
クラウドサービスのセキュリティ水準を満たしていることを証明するマークを指します。日本セキュリティ監査協会(JASA)によるクラウド情報セキュリティ監査制度です。
③CSA STAR認証
セキュリティを確保するための米国業界団体であるCSAが提供するクラウドセキュリティの認証制度です。
ISMSとクラウドセキュリティ認証の関係性は?
有名なセキュリティ認証の規格として多くの方が思い浮かべるのが、ISMS(27001:2022)ではないでしょうか。このISMS認証に追加して取得ができる「アドオン認証」となっているのが、クラウドセキュリティ認証(ISO27017)です。ISO27001は単体での取得が可能ですが、ISO27017は単体での取得はできません。事前あるいは同時にISMS認証の取得も求められますので、検討する際は注意が必要です。
ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
クラウドセキュリティ認証を取得するメリット・デメリットは?
クラウドセキュリティ認証を取得して得られる最大のメリットは、顧客に対して安全性をアピールできることです。現在、急速に利用者が拡大しているクラウドサービスのニーズに応えられるため、他社サービスとの差別化を図りたい企業におすすめです。
クラウドサービスは、今後ますますニーズが高まっていくことが予想され、クラウドセキュリティ認証の取得を目指す企業も増えていくでしょう。ライバルよりも一足先に動き出すことによって、新たな顧客の獲得に繋がる可能性も大いにあります。
また、大企業や公共機関では、クラウドサービスを選定する際に、セキュリティ認証の有無を重要視していることも多く、セキュリティ認証の取得がビジネス拡大にも貢献してくれます。
また『ISO/IEC 27017』に基づいた情報セキュリティ管理体制を構築し、ISMSクラウドセキュリティ認証を取得することで、クラウドサービスの提供および利用に伴う情報セキュリティリスクを低減できます。情報漏洩などのインシデントを未然に防ぐことで、お客様にも安心してクラウドサービスをご利用いただける環境を提供できるでしょう。
取得に向けての準備作業が多く、マンパワーの確保ができないという理由でクラウドセキュリティ認証の取得を躊躇している企業もあり、その点はデメリットだと言えるかもしれませんが、長い目で見ればメリットのほうがはるかに大きいのではないでしょうか。
クラウドセキュリティ認証を取得するデメリット
ISMS クラウドセキュリティ認証の取得に入る前に、デメリットについて説明いたします。
1つは認証取得・運用の工数が多いことです。
SMSクラウドセキュリティ認証、ひいてはISMS認証を取得するためには、さまざまな準備が必要です。たとえば、情報セキュリティに関する規程を整備したり、社内で実施した取り組みを文書として残したりする必要があります。
さらに、ISMS認証に必要な文書を含めると、作成すべきISMS関連文書は60種類以上にのぼることもあり、その管理には相当な労力を要します。
加えて、情報セキュリティに関するルールが増えることや、社員がセキュリティ教育を受講する必要があるなど、従業員への負担が増えるケースも少なくありません。
2つ目は審査費用がかかることです。
ISMSクラウドセキュリティ認証(ISMS認証)を取得するには、審査機関による審査を受ける必要があります。この審査には費用がかかります。
審査費用は、認証の対象範囲や企業規模、依頼する審査機関によって異なるため、事前に複数の審査機関から見積もりを取って比較検討することをおすすめします。
クラウドセキュリティ認証取得までの流れ
クラウドセキュリティ認証取得の流れは、下記の通りです。
①適用範囲を決める
② ISO27017規格への対応
③審査
④認証取得
③の「審査」を受けるには、あらかじめ クラウドセキュリティ認証の審査機関への依頼が必要です。
クラウドサービス大手の取得状況は?
では、実際にクラウドサービスを提供している企業における、クラウドセキュリティ認証(ISO27017)の取得状況を見てみましょう。
AWS(Amazon Web Services)
<認定取得済み>
AWSは、オランダの認定機関「EY CertifyPoint」からISMSクラウドセキュリティ認証を受けています。この認定機関は、国際認定機関フォーラムの加盟会員となるため、世界17の国と地域で認証の効力があり、日本でもグローバル認証が自動適用されています。
Google Cloud
<認定取得済み>
AWSと同様に、オランダの認定機関「EY CertifyPoint」からISMSクラウドセキュリティ認証を受けています。前述したとおり、日本でもグローバル認証が自動適用となっています。
Microsoft Azure
<認定取得済み>
Microsoft Azureは、グローバル認証に加えて各国固有認証も受けており、その認証数は業界トップを誇ります。日本では、総務省と経済産業省が情報セキュリティを強化するためにタッグを組んで設立した非営利法人「日本セキュリティ監査協会 (JASA)」によって、クラウドセキュリティ(CS)ゴールドマークに認定されています。国内では、日本マイクロソフトが初めて取得しています。
以上のように、大手3社はすでに認証を取得済みという状況です。
その他にも、下記の企業が取得済みです。
- NTTデータ
- サイボウズ
- Chatwork
- Sansan
- ソフトバンク
など…。
今後、クラウドセキュリティ認証の取得が当たり前になる時代がやってくるのも、そう遠くはないかもしれません。「あとで考えよう…」「いつかはやろう…」と思っている方は、ぜひこの機会に動き出してみてはいかがでしょうか。
特に【SaaS】【PaaS】【IaaS】関連のサービスを提供している企業であれば、取得を強くおすすめします。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
- コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。創業20年、実績数も3,500件を超えました。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
