本文へジャンプします。

ISMSを持っているから当社のクラウドは安心です! は本当か?

ニフティ久保田です。もう秋ですね。歳をとると時間が流れるのが早くなっていけません・・・
ところで以前にセキュリティは苦手なんて書いたら、方々から矢が飛んできたので今回はクラウドと情報セキュリティのお話しです。

以前に経済産業省が策定中の「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン改訂版(案)」及び「クラウドセキュリティガイドライン活用ガイド(案)」に対する、意見募集(パブリックコメント)をご紹介しましたが、世界に先行したガイドラインとはいえ、利用者のみなさまの立場では各ベンダーがガイドラインに準拠しているか否かをパッと見て判断するのは難しいですよね。
それはそうなんです。なぜならば、ガイドラインには準拠しているか否かの認証制度がないからなんです。

情報セキュリティには様々な認証制度があります。たとえばもっとも有名なものは「ISMS」(ISO/IEC 27001:2005 またはJIS Q 27001:2006)です。
個人情報の取り扱いに関する認証制度では「プライバシーマーク(Pマーク)」(ISO/IEC 15001ベース)があり、クレジットカード情報の取り扱いについては「PCI DSS」があります。

このほかにも内部統制評価制度(SSAE16やISAE3402やSOCなど)や品質向上に関する認証(ISO20000)なども存在し、まさに百花繚乱な状態です。

上述の「クラウドセキュリティガイドライン活用ガイド」にも記載があります(厳密にいえば当該箇所は私が記載したので、記載しました)が、これらの外部認証は、持っていないより保有しているに越したことはありません。しかしながら、認証保有が必ずしもシステムの安全性を保証しているものではないのです。

たとえばISMSは「情報セキュリティに関わるルールを制定しPDCAを適切に回しているか?」を審査し認証するものです。マネージメントに関する認証ですからシステムの安全性に関して認証しているものではありません。
さらにいえば、PDCAが適切に行われているかが審査対象で、ルールの実装に関して細かな定義がなされているわけではなく、各社がルールを制定するものですから、ルールが厳密な企業もあればゆるめな企業も存在してしまいます。それでも一定の範囲内ではルール制定しますから、持っていないより持っているよりは安心感が高いことは疑いない事実です。

したがって、認証=システムの安全性ということはできないわけです。もし、「ISMSを持っているから安心です!」と高らかに唄っているベンダーがあれば、それは、そもそも情報セキュリティ認証について正しい理解ができていないということですから、眉に唾をつけてお話しを聞いた方が良いでしょう。

なお、システム実装を検査する認証としてはPCI DSSやSOC2/SOC3などがあります。これらの認証はシステムの稼働時代まで含めて安全性検査が行われますから、認証の範囲内においての安全性は確保されているといっても良いでしょう。

ちなみに、5月に日韓セキュリティシンポジウムという会合に出席させていただきましたが、韓国では対外的にサービスを実施するITシステムは法律で規定されたセキュアコーディングが義務付けられているそうです。しかし、日本ではそのようなルールはありませんから、安全か否かは信頼するベンダーを利用者側が選択する他ないのが実情です。

このような環境ですので、「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン」を用いたクラウドサービスの安全性に関わる監査認証制度への取り組みも始まっています。
そもそも「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン」は、2015年にISMSのSector SpecificであるISO/IEC 27017(Cloud Security)として国際基準化する方向で調整が進んでいます。ISMSファミリーに入れば認証も行われますから当然といえば当然です。
現在、プライバシーマークの領域となっている個人情報の取り扱いについても、クラウドサービスのシステム的側面からISO/IEC 27018(Code of practice for data protection controls for public cloud computing services)として基準化が進んでいますので、特にクラウドサービスを展開されているベンダー・事業者の方々は、利用者の方の期待に応えるためにも、2015年から早い時期に27017や27018の認証を受ける必要が生じるものと思われます。

ではその対応を始めるのはいつから? いまでしょ!

・・・ということで、実は27017や27018に対応するためのシステム実装や監査認証についても世界に先駆けて日本で研究が進んでおり、当然のことながらニフティクラウドでもその対応を始めています。

現時点でISO/IEC 27017もISO/IEC 27018も内容は一般に公開されていませんので、クラウド事業者のみなさまが、いち早くこれらの国際基準への対応を実行するためには、国際基準制定に協力するグループに属して活動いただく必要が生じます。

現在は、NPO法人日本セキュリティ監査協会(JASA)がとりまとめ団体となり、総務省・経済産業省・IPAなど関連団体の指導と協力の下、JASA-クラウドセキュリティ推進協議会という形で活動しています。
クラウドサービスへのセキュリティ実装の研究やサービス監査の手法の開発を国内外40社のベンダーが集って活動し、その成果を国際標準化WGおよびISO/IEC JTC 1/SC 27メンバーの会員を通じISOの規格化にフィードバックしています。

ご興味のあるクラウド事業者の関係者の方はぜひ「JASA – クラウドセキュリティ推進協議会」にご入会ください。
いち早く情報が入手できるということのみならず、なにせ作り手側にいて今は存在しない基準の策定も行っているわけですから、自分たちの知識や経験を活かして作成されたクライテリアが国際基準として発効されるチャンスですよ!

JASA-クラウドセキュリティ推進協議会「普及WG」リーダー・久保田でした(笑)←本当の話

ニフティクラウド 導入相談窓口
ニフティクラウド 無料セミナー

閉じる

閉じる

クラウドブログ編集部

クラウドブログ編集部

ニフティクラウド ユーザーブログ編集部のアカウントです。 編集部からのお知らせや、レギュラーライター以外のゲストによる寄稿記事を掲載していきます。

浜中 慶

浜中 慶

1980年、神奈川県生まれ。2003年ニフティ入社。 ポータルサイト開発を中心に、音楽配信サービス、CGMサービスなど様々なプロジェクトに企画/デザイン/システム担当として参加。現在は@niftyのポータルサービス向けコンテンツ管理システムの企画/開発/運用を担当。

吉田 雄哉

吉田 雄哉

株式会社co-meetingの創業メンバー。「取締役&External- facing Technologist」と名乗り新しいIT技術を広く伝える活動とWebアプリケーション開発を行う毎日。パッケージベンダーでのSaaS立上げ・製造業の情報システム部門で企画やPM・受託開発と従事してきたため、ベンダーサイドとユーザサイド の両方の視点を持ち合わせる。

石田 健亮

石田 健亮

株式会社ドリーム・アーツで小売事業者向けSaaS「Shopらん」を企画、開発。メインの仕事はプログラマーだがサーバー管理や営業もこなすユーティリティプレイヤー。最近好きな事はパフォーマンスチューニング。特に並列化プログラミングがマイブーム。キライなことはデータセンターでの作業。騒音と乾燥が弱点。ニフティクラウドでデータセンターに行く必要が無くなったことが本当の利点だ と思っている。

五月女 雄一

五月女 雄一

ニフティでは「インフラを守る簡単な様で奥が深いお仕事」をしています。 夢はインフラの気持ちが読めるエンジニアになること。

わたなべ かずひろ

わたなべ かずひろ

専門学校卒業後、ソフトウェア開発会社で電力系統制御システムの開発に従事。その後、CD-ROM等マルチメディア系PCソフトの開発を経て、1998年フリーランスに。 2000年8月に株式会社イーツーの設立に参画。携帯を含む様々なWeb系のシステム開発に携わる。現在はiPhone/Androidアプリなどの開発も手がけている。

市角

市角

ニフティクラウドのコントロールパネル設計・開発をメインに、たまにインフラの運用やお手伝いもやっていたりします。コントロールパネルや新機能の活用方法、アイデアなどを中心に書いていく予定です。

仲山 昌宏

仲山 昌宏

歌って踊れるインフラエンジニア兼、PHPもRubyもJavaも書くPerl使い。 物理サーバの運用に飽きて、フルラックに格安サーバ詰めて自宅プライベートクラウドを構築中。 今年は個人的には分散処理を攻めていきます。

猪飼 賢広

猪飼 賢広

1984年、愛知県名古屋市生まれ。大学は福島県にある某大学。2008年ニフティに入社。 開発系部署に配属後、主に各種テーマサイト開発のシステム面調整、開発進行管理役などとして参加。 現在もPC・ガラケーサイトの開発まわりを担当。インフラまわりを触る案件にも携わっており、日々修行中。 好きな芸人はなかやまきんに君とレイザーラモンRG。

久江 裕之

久江 裕之

ニフティクラウドのインフラ運用、OS提供の仕事をしています。 新しいOSやイメージが出る時にこのブログでご紹介いたします。入社5年目。一流のインフラエンジニアを目指して日々勉強中。

竹内 豪

竹内 豪

ニフティクラウド エンジニア

山口

山口

ニフティクラウドの基盤設計、新サービス/アライアンス/インフラ企画、その他雑用全般を担当しています。 クラウドに欲しい機能や、こんなふうに使ってほしいという想いが共有できれば良いですね。

芳中 隆幸

芳中 隆幸

ニフティクラウドの開発、運用を担当しています。

酒井 浩平

酒井 浩平

ニフティクラウドの中にいます。 ネットワークまわりの運用・開発や自動化などに取り組んでいます。 すべてのエンジニアを幸せにすることを目指しています。

higebu

higebu

ニフティクラウド IaaSのエンジニアです。 ネットワーク、DRサービス with VMware vCloud® Air™ Technology辺りの担当をしています。

武田

武田

ニフティクラウドの開発・運用を担当しています。 各種機能の内容についてなどで執筆させていただく予定です。

森藤 大地

森藤 大地

データに関する仕事が好きです。

宮原徹

宮原徹

日本仮想化技術株式会社 代表取締役社長兼CEO。仮想化技術に関するコンサルタントとして長年活動しており、特にベンチマークテストによる性能評価を得意としている。

荒谷翔

荒谷翔

株式会社はてなでMackerelのセールスデベロッパーとして勤務しています

東條 望

東條 望

2014年にニフティへ中途入社。 入社後から現在まで、ニフティクラウドのサービス企画・開発を担当しています。 各サービスの紹介を執筆させていただく予定です。