ニフクラ ブログ

ニフクラやクラウドの技術について、エンジニアが語るブログです。

クラウドセキュリティガイドライン(パブコメ募集中!)

ニフティ久保田です。本ブログでは「はじめまして」になります。

さて現在、経済産業省が策定中の「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン改訂版(案)」及び「クラウドセキュリティガイドライン活用ガイド(案)」に対する、意見募集パブリックコメント)が実施されています。 このガイドラインの立ち位置や背景をご説明しますと、弊社でもニフティクラウドを提供し多くのお客様から利用をいただいていることからもわかる通り、日本でもクラウドサービスの利用が急速に進んでいます。ところが米国や中国に比べてもまだまだ日本企業におけるクラウドサービスの利用は進んでいるとは言い難いのが実情です。

日本においてクラウドサービスの普及が進まない原因分析が各種調査を通じてなされていますが、その多くの調査において、クラウドサービスの導入を検討される企業が導入の際に障壁となる問題の第一位が“セキュリティ”となっています。(必要ない方を除く)

※参考:総務省「情報通信白書」平成25年版 「クラウドサービスを導入しない理由」

ところが、この“セキュリティ”という言葉がナカナカの曲者でして、詳しく調査をすると具体的な要因が明らかでない場合が多いのです。 現実的には各企業でサーバー等を保有し管理する体制に比べて、クラウドサービスを利用する方がトータルでのセキュリティレベル向上が図れる場合が多いのですが、実際にはそのように理解されておらず、結果としてクラウド事業者側にとっても機会損失をしていますし、利用者側としてもクラウドサービスがもたらすコスト削減その他の便益を享受できない形となってしまっています。

多くの企業では各社でそれぞれの情報セキュリティポリシーを制定している事例が多く、その規範としてISMS(ISO/IEC 27001:2005)の実施規範(ISO/IEC 27002)を参照していることが分かっています。 そこで、ISMSの実施規範をクラウドサービス利用に適用させるためのガイドラインとして作成されたものが経済産業省から発表されている「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン」です。初版は2010年度に有識者による検討が実施され2011年の4月に発表されています。 日本ではこの1年で急速にクラウドサービスの利用が数においても領域においても拡大していることや、上述のガイドラインがISO/IEC 27017(Cloud Security)として国際標準化される方向性で検討されていることから、利用実態や国際会議における改変などを含めた改変が実施されています。

利用者の皆様の声を反映し、より実態に即し、かつ使いやすいガイドラインとすることで、日本のみならず世界全体のクラウドサービスの安全性向上やセキュリティレベル向上にも寄与できますので、ぜひ、一度お読みいただいて、コメントをお寄せいただければと思います。 (文字ばっかりでごめんなさい)