経済産業省受託事業の成果である「クラウドセキュリティ監査」について報道発表
クラウドセキュリティ監査の普及促進に向けた取組について
特定非営利活動法人 日本セキュリティ監査協会(会長:土居範久、本部:東京都江東区、以下、 JASA と略す)は、2011年度の経済産業省委託事業の一部として実施したクラウドセキュリティ監査の普及促進のための検討結果を公表いたしました。
クラウドセキュリティ監査とは
クラウドセキュリティ監査は、クラウドサービスを提供する事業者が取り組んでいると言明した情報セキュリティ対策の設計・実装・運用について監査し、言明に対する保証を行うものです。クラウド利用者が懸念するリスクとクラウド事業者が実施する対策とを対応させることで、両者の相互理解を促進する効果も得られます。クラウドサービスにおける大規模な事故なども生じているわが国のクラウドサービスの中で、情報セキュリティに真剣に取り組んでいる事業者のサービスの信頼性を保証するために、クラウドセキュリティ監査が活用されることが望ましいと考えます。
監査の具体的内容は、まず、クラウド事業者が、クラウドセキュリティ管理基準(注1)に基づいて対策を実施したうえで、情報セキュリティ対策を適切に行っている旨の言明を行います。この言明を監査で保証することで、利用者がサービスを信頼することができます。クラウドセキュリティ監査では、従来、管理の詳細を説明する必要があった言明について、一定の要件を定め、監査でその要件を満たしている場合には、詳細な管理策を開示しなくても保証できる基本言明を定義しました(図1)。
新たにレイヤーモデルによってクラウド情報セキュリティ管理基準を整理
今回は新たに、クラウドの技術的な特徴を踏まえ、クラウドセキュリティ管理基準の管理策を、いわゆるレイヤーモデルを踏まえて、レイヤーごとに示すことで、各レイヤー担当の管理者の行う事項が明確になり、組織全体としてリスクに対応した管理が行えるように配慮したものを作成し、公表したものです(注2,図2)。
これらの結果、クラウド事業者が、セキュリティ管理をより行いやすく、また、その状況について監査を受け、信頼を得ることが容易になります。
今回の公表を踏まえて、当協会は経済産業省のご支援を受けて、今年度、クラウド事業者へのクラウド監査の周知を図ってまいります。
また、当協会として、今回作成した、新たなレイヤーモデルの管理基準を活用したパイロット監査等を実施し、その結果を踏まえ、同管理基準による標準的な監査手続き等を定めることを計画しています。
そして、来年度にはクラウド監査を主要な事業者に実施していただき、本格化したいと考えております。
今回の、レイヤーモデルの管理基準の公表に際して、経済産業省商務情報政策局情報セキュリティ政策室の上村昌博室長は、「今年の春に起こったクラウドサービスの事案など、クラウドのセキュリティに対する不安が聞かれます。今回の、クラウド情報セキュリティ管理基準のレイヤーモデルに基づく整理結果の公表においては、クラウド事業者が行うべき管理策について、事業者内で、より的確な対応が図りやすくなるよう、現時点での追加的な努力を最大限払われたものであり、これらの管理策を各事業者において実施することを試みられると共に、第三者による監査が図られることにより、クラウドサービスが利用者の方々にとってより良いものとなっていくことを期待しています。」と述べています。
(注1)クラウドセキュリティ管理基準は、昨年4月に経済産業省が公表した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を踏まえ、クラウド事業者が行うべき事項を「情報セキュリティ管理基準(平成20年改正版)」(平成20年経済産業省告示第246号)に基づいて、整理したものです。
(注2)クラウドの技術的な特徴を踏まえたレイヤーモデル(技術的な観点から、機能や特性の相違によってクラウドを構成するシステム的な要素を切り分けたもの)を用いて検討を行い、同じリスクに対してもレイヤーにより異なった管理策が必要であることを示しました。