MSが日本で取得したセキュリティ監査認定、事業者にメリットは?
日本マイクロソフトは日本セキュリティ監査協会の「クラウドセキュリティ ゴールドマーク」を国内で初めて取得した。関係者はこの監査がクラウド事業者にメリットのあるものと説明するが、その特徴とは。
日本マイクロソフトは、2月10日に日本セキュリティ監査協会(JASA)のクラウドセキュリティ推進協議会が制定するクラウド情報セキュリティ監査制度の「クラウドセキュリティ(CS)ゴールドマーク」を国内で初めて取得したと発表した。CSゴールドマークを取得するメリットなどを同社や関係者が説明した。
この制度は、クラウド事業者の提供するサービスのセキュリティが「ISO/IEC 270171」で求められる水準にあることを示すことを目的に2013年に創設され、サービス提供の実態が情報セキュリティマネジメントの要件を満たしているかを評価するもの。CSゴールドマークは、外部監査によってこれを認定する制度で、国際的には「Service Organization Controls 2」に並ぶ日本初の制度。CSゴールドマーク取得事業者のサービス利用企業などは、自社の監査結果にこのマークを利用できるとしている。
JASA事務局長の永宮直史氏によると、クラウドサービスのセキュリティ監査は、利用者側が事業者に預けているシステムの稼働状態などを把握しづらいことや、事業者側も利用者の問い合わせに対して詳細な説明がしづらいといった事情を背景に創設された。クラウドサービスは、マルチテナントなどの複雑なシステム環境で運営されることや、常に新しい技術が採用されることなど、セキュリティにまつわる情報の提供や理解には高度な知識が必要とされ、それができる人材も限られることから、公正な立場で利用者に事業者の取り組みを評価する監査の必要性が高まっているという。
クラウドサービスのセキュリティ監査には大きく2つあり、1つは米国公認会計士協会が制定するService Organization Controls、もう1つはJASAのCSシルバーマークなどがある。Service Organization Controlsは、独立した監査人がクラウド事業者を監査、報告する方式で完全な公正性が担保されるものの、その取得には多額のコストや作業負荷を伴うという。一方、CSシルバーマークは、JASAが標準化した監査手法によってクラウド事業者が内部監査を行うため、費用面はService Organization Controlsより少ないが、監査結果などの透明性について利用者側が考慮しなければならないなどの課題があるとしている。
CSゴールドマークは、2つの監査制度のギャップを補う目的もあり、監査ではJASAの認定資格を持つ監査人が、JASAが標準化した監査手法をもとに内部監査を実施し、その結果についてさらに外部機関が外部監査を行って確認をする。標準化した監査手法を用いることでコストなどを抑制しつつ、内部監査の結果を外部機関が評価することで透明性を高められるメリットがある。ただし、その評価について外部機関が保証するものではない。
Microsoftは既にService Organization Controlsを取得しており、今回は日本の利用者に同社のサービスの安全性を示す目的でCSゴールドマークも取得した格好だ。なお、認定の対象は日本向けのサービスに限定するものではないという。
Microsoft サイバーセキュリティおよびクラウド戦略担当ディレクターのティム・レインズ氏は、「当社のクラウドサービスでは安全性の向上とプライバシーへの配慮、コンプライアンス、透明性の確保に努めている。利用者に安心していただくためにも、監査には積極的に取り組んでいる」と述べた。日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏は、「クラウド化によって、提供者のセキュリティを利用者に保証することが難しくなっている。クラウドサービスを保証する仕組みが求められる中で、当社としてできることに取り組んでいる」と語る。
透明性の高いクラウドサービスであれば、利用企業はセキュリティリスクにおける自社としての対応も示しやすいという(写真は標的型攻撃の各プロセスにおいてMicrosoftがどのように製品やサービスで対応するのかの概念図)日本マイクロソフトの内部監査の結果を外部機関として評価したPwCあらた監査法人 システム・プロセス・アシュアランス部 シニアマネージャーの川本大亮氏は、「クラウド事業者が一足飛びにService Organization Controlsを取得するのは非常に難しく、現状ではグローバルベンダーなど一部しかない。セキュリティを段階的に高めていく取り組みの中で、CSゴールドマークを役立てていただきたい」と話している。
関連記事
クラウドのセキュリティ監査を推進する協議会発足、25の事業者や監査法人が参加
日本セキュリティ監査協会の下部組織となる「JASA-クラウドセキュリティ推進協議会」が発足。クラウド環境のセキュリティ監査の確立し、2014年から監査制度を正式にスタートさせる予定だ。
クラウド時代のシステム監査 あなたが担当ならどうする?
企業の情報システムでは「仮想化」や「クラウド化」が全盛を迎えつつある。この先、情報システムの評価をどうしていくべきか――。
マイクロソフトがクラウド推進新体制 「金融業界対応」強化
日本マイクロソフトが金融機関向けクラウド推進体制を強化する方針を示した。6月改定予定のFISC安全対策基準へSIと対応し、監査対応などの需要に応じたサービスの強化を図る。
Microsoftがセキュリティの新センターと部門を設置、企業の対策支援を強化
企業がサイバー攻撃にさらされるリスクが増大する中で、攻撃を阻止、検出、対応するためには新しいアプローチが求められるとMicrosoftは説明する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。