ニュース
» 2016年02月16日 07時00分 UPDATE

MSが日本で取得したセキュリティ監査認定、事業者にメリットは?

日本マイクロソフトは日本セキュリティ監査協会の「クラウドセキュリティ ゴールドマーク」を国内で初めて取得した。関係者はこの監査がクラウド事業者にメリットのあるものと説明するが、その特徴とは。

[國谷武史,ITmedia]

 日本マイクロソフトは、2月10日に日本セキュリティ監査協会(JASA)のクラウドセキュリティ推進協議会が制定するクラウド情報セキュリティ監査制度の「クラウドセキュリティ(CS)ゴールドマーク」を国内で初めて取得したと発表した。CSゴールドマークを取得するメリットなどを同社や関係者が説明した。

 この制度は、クラウド事業者の提供するサービスのセキュリティが「ISO/IEC 270171」で求められる水準にあることを示すことを目的に2013年に創設され、サービス提供の実態が情報セキュリティマネジメントの要件を満たしているかを評価するもの。CSゴールドマークは、外部監査によってこれを認定する制度で、国際的には「Service Organization Controls 2」に並ぶ日本初の制度。CSゴールドマーク取得事業者のサービス利用企業などは、自社の監査結果にこのマークを利用できるとしている。

cldadit001.jpg クラウドサービスにおける代表的なセキュリティ監査制度

 JASA事務局長の永宮直史氏によると、クラウドサービスのセキュリティ監査は、利用者側が事業者に預けているシステムの稼働状態などを把握しづらいことや、事業者側も利用者の問い合わせに対して詳細な説明がしづらいといった事情を背景に創設された。クラウドサービスは、マルチテナントなどの複雑なシステム環境で運営されることや、常に新しい技術が採用されることなど、セキュリティにまつわる情報の提供や理解には高度な知識が必要とされ、それができる人材も限られることから、公正な立場で利用者に事業者の取り組みを評価する監査の必要性が高まっているという。

 クラウドサービスのセキュリティ監査には大きく2つあり、1つは米国公認会計士協会が制定するService Organization Controls、もう1つはJASAのCSシルバーマークなどがある。Service Organization Controlsは、独立した監査人がクラウド事業者を監査、報告する方式で完全な公正性が担保されるものの、その取得には多額のコストや作業負荷を伴うという。一方、CSシルバーマークは、JASAが標準化した監査手法によってクラウド事業者が内部監査を行うため、費用面はService Organization Controlsより少ないが、監査結果などの透明性について利用者側が考慮しなければならないなどの課題があるとしている。

cldadit002.jpg CSゴールドマーク認定の流れ。取得コストと監査結果に対する透明性のバランスを考慮した制度になるという

 CSゴールドマークは、2つの監査制度のギャップを補う目的もあり、監査ではJASAの認定資格を持つ監査人が、JASAが標準化した監査手法をもとに内部監査を実施し、その結果についてさらに外部機関が外部監査を行って確認をする。標準化した監査手法を用いることでコストなどを抑制しつつ、内部監査の結果を外部機関が評価することで透明性を高められるメリットがある。ただし、その評価について外部機関が保証するものではない。

 Microsoftは既にService Organization Controlsを取得しており、今回は日本の利用者に同社のサービスの安全性を示す目的でCSゴールドマークも取得した格好だ。なお、認定の対象は日本向けのサービスに限定するものではないという。

cldadit003.jpg Microsoftが取得しているセキュリティ監査の認定(一部)

 Microsoft サイバーセキュリティおよびクラウド戦略担当ディレクターのティム・レインズ氏は、「当社のクラウドサービスでは安全性の向上とプライバシーへの配慮、コンプライアンス、透明性の確保に努めている。利用者に安心していただくためにも、監査には積極的に取り組んでいる」と述べた。日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏は、「クラウド化によって、提供者のセキュリティを利用者に保証することが難しくなっている。クラウドサービスを保証する仕組みが求められる中で、当社としてできることに取り組んでいる」と語る。

cldadit004.jpg 透明性の高いクラウドサービスであれば、利用企業はセキュリティリスクにおける自社としての対応も示しやすいという(写真は標的型攻撃の各プロセスにおいてMicrosoftがどのように製品やサービスで対応するのかの概念図)

 日本マイクロソフトの内部監査の結果を外部機関として評価したPwCあらた監査法人 システム・プロセス・アシュアランス部 シニアマネージャーの川本大亮氏は、「クラウド事業者が一足飛びにService Organization Controlsを取得するのは非常に難しく、現状ではグローバルベンダーなど一部しかない。セキュリティを段階的に高めていく取り組みの中で、CSゴールドマークを役立てていただきたい」と話している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -