ニフクラ ブログ

ニフクラ/FJ Cloud-Vやクラウドの技術について、エンジニアが語るブログです。

ISMSを持っているから当社のクラウドは安心です! は本当か?

ニフティ久保田です。もう秋ですね。歳をとると時間が流れるのが早くなっていけません・・・ ところで以前にセキュリティは苦手なんて書いたら、方々から矢が飛んできたので今回はクラウドと情報セキュリティのお話しです。

以前に経済産業省が策定中の「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン改訂版(案)」及び「クラウドセキュリティガイドライン活用ガイド(案)」に対する、意見募集(パブリックコメント)をご紹介しましたが、世界に先行したガイドラインとはいえ、利用者のみなさまの立場では各ベンダーがガイドラインに準拠しているか否かをパッと見て判断するのは難しいですよね。 それはそうなんです。なぜならば、ガイドラインには準拠しているか否かの認証制度がないからなんです。

情報セキュリティには様々な認証制度があります。たとえばもっとも有名なものは「ISMS」(ISO/IEC 27001:2005 またはJIS Q 27001:2006)です。 個人情報の取り扱いに関する認証制度では「プライバシーマーク(Pマーク)」(ISO/IEC 15001ベース)があり、クレジットカード情報の取り扱いについては「PCI DSS」があります。

このほかにも内部統制評価制度(SSAE16やISAE3402やSOCなど)や品質向上に関する認証(ISO20000)なども存在し、まさに百花繚乱な状態です。

上述の「クラウドセキュリティガイドライン活用ガイド」にも記載があります(厳密にいえば当該箇所は私が記載したので、記載しました)が、これらの外部認証は、持っていないより保有しているに越したことはありません。しかしながら、認証保有が必ずしもシステムの安全性を保証しているものではないのです。

たとえばISMSは「情報セキュリティに関わるルールを制定しPDCAを適切に回しているか?」を審査し認証するものです。マネージメントに関する認証ですからシステムの安全性に関して認証しているものではありません。 さらにいえば、PDCAが適切に行われているかが審査対象で、ルールの実装に関して細かな定義がなされているわけではなく、各社がルールを制定するものですから、ルールが厳密な企業もあればゆるめな企業も存在してしまいます。それでも一定の範囲内ではルール制定しますから、持っていないより持っているよりは安心感が高いことは疑いない事実です。

したがって、認証=システムの安全性ということはできないわけです。もし、「ISMSを持っているから安心です!」と高らかに唄っているベンダーがあれば、それは、そもそも情報セキュリティ認証について正しい理解ができていないということですから、眉に唾をつけてお話しを聞いた方が良いでしょう。

なお、システム実装を検査する認証としてはPCI DSSやSOC2/SOC3などがあります。これらの認証はシステムの稼働時代まで含めて安全性検査が行われますから、認証の範囲内においての安全性は確保されているといっても良いでしょう。

ちなみに、5月に日韓セキュリティシンポジウムという会合に出席させていただきましたが、韓国では対外的にサービスを実施するITシステムは法律で規定されたセキュアコーディングが義務付けられているそうです。しかし、日本ではそのようなルールはありませんから、安全か否かは信頼するベンダーを利用者側が選択する他ないのが実情です。

このような環境ですので、「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン」を用いたクラウドサービスの安全性に関わる監査認証制度への取り組みも始まっています。 そもそも「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン」は、2015年にISMSのSector SpecificであるISO/IEC 27017(Cloud Security)として国際基準化する方向で調整が進んでいます。ISMSファミリーに入れば認証も行われますから当然といえば当然です。 現在、プライバシーマークの領域となっている個人情報の取り扱いについても、クラウドサービスのシステム的側面からISO/IEC 27018(Code of practice for data protection controls for public cloud computing services)として基準化が進んでいますので、特にクラウドサービスを展開されているベンダー・事業者の方々は、利用者の方の期待に応えるためにも、2015年から早い時期に27017や27018の認証を受ける必要が生じるものと思われます。

ではその対応を始めるのはいつから? いまでしょ!

・・・ということで、実は27017や27018に対応するためのシステム実装や監査認証についても世界に先駆けて日本で研究が進んでおり、当然のことながらニフティクラウドでもその対応を始めています。

現時点でISO/IEC 27017もISO/IEC 27018も内容は一般に公開されていませんので、クラウド事業者のみなさまが、いち早くこれらの国際基準への対応を実行するためには、国際基準制定に協力するグループに属して活動いただく必要が生じます。

現在は、NPO法人日本セキュリティ監査協会(JASA)がとりまとめ団体となり、総務省・経済産業省・IPAなど関連団体の指導と協力の下、JASA-クラウドセキュリティ推進協議会という形で活動しています。 クラウドサービスへのセキュリティ実装の研究やサービス監査の手法の開発を国内外40社のベンダーが集って活動し、その成果を国際標準化WGおよびISO/IEC JTC 1/SC 27メンバーの会員を通じISOの規格化にフィードバックしています。

ご興味のあるクラウド事業者の関係者の方はぜひ「JASA - クラウドセキュリティ推進協議会」にご入会ください。 いち早く情報が入手できるということのみならず、なにせ作り手側にいて今は存在しない基準の策定も行っているわけですから、自分たちの知識や経験を活かして作成されたクライテリアが国際基準として発効されるチャンスですよ!

JASA-クラウドセキュリティ推進協議会「普及WG」リーダー・久保田でした(笑)←本当の話