特別鼎談 クラウドはセキュリティ強化の切り札 監査制度で「安全」と「信頼」がさらに向上する

クラウド技術が飛躍的に進化する中、企業は徐々にクラウドシフトを進めている。事業継続やコスト削減、IT統合、そしてなによりビジネスをドライブするために、パブリッククラウドに対する期待は高い。さらに最近ではセキュリティ強化の1つの手段としても注目を集めるようになった。クラウドでは高度な知識を持つ専門家がセキュリティ対策を行うため、適切な事業者を選定すれば、逆に安全性も高めていくことができるからだ。ただし、「クラウドならば何でもいい」わけではない。「このクラウドなら信用できる」という確固たる裏付けも必要だ。それではクラウドをより安全・安心に使うにはどうすべきなのか。政府のクラウド調達における統一基準策定に尽力した東京電機大学教授の佐々木 良一氏、クラウドセキュリティ推進協議会会長を務める工学院大学 名誉教授の大木 榮二郎氏、日本マイクロソフトでクラウドビジネスを推進する後藤 里奈氏の3者が、クラウドの有効性と監査制度の重要性について語り合った。

セキュリティレベルの向上も
パブリッククラウド活用の大きなメリット

工学院大学 常務理事 大木 榮二郎氏

後藤事業継続やコスト削減、IT統合といった目的に加え、ビジネスをドライブするソリューションとしてパブリッククラウドを選択する企業が増えつつあります。こうした動きが加速している理由をどのように見ていますか。

大木パブリッククラウドはインフラやアプリケーションを「サービス」として利用できることが最大のメリット。自前でインフラを持つことなく、必要な時に必要な機能とリソースを必要な分だけ調達できます。やりたいことをすぐに始められるので、コスト負担とサービス提供までの時間軸が大きく変わる。ITの柔軟性とスピードを飛躍的に高められることが広く認知されてきたのだと思います。

佐々木民間企業だけでなく、政府機関や地方自治体などの公共分野でもパブリッククラウドを活用しようという機運が高まっています。

後藤クラウドに対する潮目は確実に変わりつつある一方、未だにその利用に慎重な組織も少なくないようです。
 ある調査ではクラウドを利用しない理由として「セキュリティ」を挙げる企業が3割を占めています。利用の広がりとともに「クラウドはよくわからない」とか「漠然と不安」といった理由は減っているのに「セキュリティ」を懸念する割合は5年前の調査と変わっていないようなのですが、この点についてどのようにお考えですか?

図1:クラウドサービスの利用阻害要因 図1:クラウドサービスの利用阻害要因

大木信頼できる事業者が提供するクラウドは、最新の技術を駆使し専門家が責任を持ってセキュリティ対策を施しています。オンプレミスでこれをやろうとしたら、莫大な投資と手間が必要になりますが、クラウドならそれを「サービス」として享受できる。コスト削減やインフラの柔軟性向上というメリットに加え、セキュリティレベルの向上もクラウドの大きなメリットなのです。しかし、これがあまり理解されていない。

ユーザーがクラウドに求めるのは「安全」と「信頼」

後藤クラウドはセキュリティ強化に寄与できる一方で、セキュリティを懸念する声が少なくない。矛盾する見方が根強いのは、どうしてでしょうか。

東京電機大学教授 サイバーセキュリティ研究所所長 (内閣官房サイバーセキュリティー補佐官) 工学博士 佐々木 良一氏

大木オンプレミスはセキュリティも含めて自前でシステムを構築・運用する形が基本です。大変な半面、自分たちが「何を、どこまでやっているか」をお客様や取引先に示すことができます。しかし、リソース共用型のパブリッククラウドの場合はそれが難しい。
 例えば「日本にあると思っていたデータがいつの間にか海外のサーバーに移管されてしまうのではないか」「経営者が営利主義に走ってセキュリティ面で手を抜くのではないか」——。そんな不安を抱くユーザーも少なくないようです。その結果、ユーザーの見る目もなかなか変わっていかないのではないでしょうか。

佐々木ユーザーが求める「安心」の中には、「安全」とともに「信頼」が含まれています。クラウド事業者がこの期待に十分に応えられていないことも原因の1つだと思います。
 セキュリティの仕組みやルールが整備されているといわれても、データセンターの中に入って物理的に確認するのは困難だし、それが適切に運用されているのか確認することもできない。いくら「安全」だとアピールされても、それを担保する術がなければ「信頼」は生まれないわけです。事業者に対する「信頼」がなければ、ユーザーは慎重にならざるを得ないでしょう。

パブリッククラウドサービスの選択に欠かせない
「監査」の必要性

日本マイクロソフト株式会社 ホスティング&マネージドサービスプロバイダービジネス本部 パートナーホスティングチャネルエグゼクティブ 後藤 里奈氏

後藤サービスの中身がどうなっているのか。それを知る術を提供することが、ユーザーの適切な選択をサポートし、市場の健全な発展にもつながっていくわけですね。そのためには事業者の信頼性を評価できる仕組みが求められているということでしょうか?

大木日本の提案をもとに策定されたクラウドセキュリティの国際標準「ISO/IEC 27017」はその1つです。これはクラウド事業者が取り組むべき情報セキュリティ管理策をガイドラインとして示しています。
 しかし、クラウド事業者の信頼性を評価し、なおかつユーザー企業がお客様や取引先に説明責任を果たしながらクラウドを使っていくには、ただ国際標準に対応しているということだけでなく、もう一歩踏み込んでクラウドの透明性を確保する仕組みが必要です。そこで整備されたのが「クラウド情報セキュリティ監査制度」です。日本セキュリティ監査協会(JASA)の下部組織にあたるクラウドセキュリティ推進協議会が中心となって策定・運営しています。
 具体的にはクラウド事業者が行うべき情報セキュリティマネジメントの基本的な要件を定め、設備の実装や運用が有効に機能しているかを総合的・客観的に評価します。最大の狙いは、クラウドセキュリティの安全性が確保されていることを明確にすることです。

後藤クラウドの利用にあたって、説明責任が求められるのは政府や自治体も同じですね。特に政府は「世界最先端IT国家創造宣言」などのIT戦略施策としてクラウドの積極的な活用を提言しています。そうした中、意見公募が行われた政府の情報セキュリティ統一基準にも、クラウド調達に関する記載がなされていますね。

佐々木新たな統一基準は大きく5つの項目で成り立っています。1つ目は「クラウドサービスを利用するにあたり、扱う情報の格付けおよび取扱い制限を踏まえ、情報の取扱いを委ねることの可否を判断すること」。
 2つ目は「クラウドサービスで扱われる情報に対して国内法以外の法律が適用されるリスクを考慮して委託業務の実施場所や裁判管轄をあらかじめ指定しておくこと」。
 3つ目は「クラウドサービスの中断や終了時に円滑に業務を移行するために対策を検討し、委託先を選定する際の要件とすること」。
 4つ目は「クラウドサービスの特性を考慮した上でクラウドサービス流通全体にわたる適切なセキュリティがなされるように情報の流通経路全般を見直した上でセキュリティ設計を行うこと」。
 そして5つ目が「クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定、認証制度の適用状況からクラウドサービスおよび当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断すること」です。
 これらの要件を満たすには、設備や体制面の整備だけでなく、その運用まで踏み込んで事業者の信頼性を見極めることが重要です。政府の統一基準でも監査の必要性を強く訴えています。

CSマークは事業者の信頼を裏付ける

後藤監査制度はクラウド事業者やユーザー企業にどのようなメリットをもたらすのでしょうか。

大木例えばクラウド情報セキュリティ監査制度では、準拠した内部監査を行った事業者に「CSシルバーマーク」、その結果を独立した第三者が外部監査で確認した事業者に「CSゴールドマーク」を発行します。
 この「CSマーク」の認定を受けていれば、クラウド事業者は自社サービスの安全性と信頼性を担保できます。サービスの利用拡大が期待できるでしょう。
 ユーザー側は安心してクラウドサービスを利用できることはもちろん、対外的に説明責任を果たすことができます。
 クラウドはセキュリティ強化にも有効であることは先ほどお話しましたが、どんなに安全をアピールしても、それを裏付けるものがないと市場での信頼はなかなか獲得できません。きちんとした監査を受けていれば、信頼を裏付けるエビデンスの1つとして有効です。なお、現在、マイクロソフトやNTT東日本がCSゴールドマークの認定を取得しています。

後藤はい。マイクロソフトもこの制度にいち早く対応し、Microsoft AzureとOffice 365で、CSゴールドマークを取得しました。監査の透明性を高めることで、セキュリティ対策の実効性を確保するとともに、お客様の信頼に応えるサービスを提供したいという強い思いがあるからです。
 インフラ面では最新のセキュリティ技術を実装するほか、日本を含む世界主要拠点に展開する「マイクロソフト サイバークライムセンター」でサイバー脅威の監視・情報収集・分析、政府機関や企業と連携したテイクダウンなどの対策に日々取り組んでいます。
 こうした活動から得た情報や知見を、マイクロソフトの製品やクラウドサービスの技術開発に反映し、お客様のより安全なIT環境の構築・維持に注力しています。また、情報セキュリティの国際的資格であるCISSP取得者を増やす活動も積極的に行っています。

佐々木クラウド情報セキュリティ監査制度では、具体的にどのように監査を行うのですか。

図2:クラウド情報セキュリティ監査制度における監査の概要 図2:クラウド情報セキュリティ監査制度における監査の概要

大木監査項目は全部で1000以上あります。ハード面に関しては拠点ごとにサービスを構成する機器やシステムなどの情報を収集し、詳細にチェックします。これを人手でやるのは至難の業。そこでこれらの作業を自動化する可視化ツールを使い、情報の収集・分析・評価の効率化を図ろうとしています。人手では半年かかる作業も、このツールを使えば1カ月程度に短縮できます。ハード面の評価に加え、組織・体制、運用面についても監査人によるヒアリングや検証を行い、厳しくチェックします。
 この可視化ツールは今秋にもリリースする予定です。事業者やユーザー企業も利用できるので、自分たちで一定の内部監査を行えるようになります。ユーザー企業が利用すれば、内部監査の結果と事業者の報告内容を照らし合わせるなど、サービスの適正性を評価するコミュニケーションツールの1つとして役立つのではないでしょうか。

佐々木監査結果をもとに、事業者とユーザーがコミュニケーションできるようになれば、お互い納得した上でサービスを利用できるようになりますね。

大木ユーザーが求めているのは「クラウドを利用する上でどのようなリスクがあり、それをどれだけカバーできているか」ということ。それがわかれば、自分たちの業務やデータの特性に応じて、最適なサービスを選びやすくなる。
 クラウド情報セキュリティ監査制度でもその点を踏まえ、リスクと対策のマッピングが可能な仕組みづくりを進めています。これが整えば、事業者とユーザーのコミュニケーションもより具体的で活発なものになるでしょう。

特別鼎談 クラウドはセキュリティ強化の切り札 監査制度で「安全」と「信頼」がさらに向上する

信頼できるクラウドの利用が市場の健全な発展を促す

後藤監査制度はまだ始まったばかり。さらなる普及・促進に向け、今後どのような取り組みが必要でしょうか?

大木監査制度を根付かせるには、監査人の数がまだ十分とはいえません。監査制度の普及・発展と併せて、人材の確保に向け外部監査人を育成する取り組みに注力していきます。

佐々木政府の統一基準は公共分野におけるクラウド利用の方向性を示すものです。監査によって安全と信頼を担保することで、中央官庁だけでなく地方自治体でのクラウド利用もますます広がっていくのではないでしょうか。

大木公共分野でのクラウド利用が進めば、様々な不安が払拭されるとともに期待も高まり、民間企業の利用をさらに後押しする効果も期待できますね。

後藤高度なサイバー攻撃に対抗するセキュリティ対策を自社で構築するとなると多大なコストがかかる上、すぐに陳腐化してしまう恐れもあります。その点、クラウドは技術進化に応じて、最新のセキュリティ対策が迅速に展開されます。セキュリティに関わるコスト構造を改善し、本来業務により多くのリソースを投資できるようになります。それを支える「信頼できるクラウド」の提供に向け、マイクロソフトはさらなるサービス品質の向上に努めていきます。

大木高品質なサービスを提供するには、一定の投資が必要です。当然、サービスの価格も相応のものになる。しかし、中身がどうなっているかわからないと、価格が選択基準の中で大きな比重を占めてしまう。その結果、安いものしか売れなくなる、いわゆる「レモン市場」に陥り、市場そのものが廃れてしまう恐れがあります。監査制度はそれを防ぐ予防線としても、大きな意義と責任を担っている。今後もそうした観点からも監査制度の発展に尽力していきたいですね。

特別鼎談 クラウドはセキュリティ強化の切り札 監査制度で「安全」と「信頼」がさらに向上する
お問い合わせ
日本マイクロソフト株式会社
TEL:0120-41-6755 受付時間: 9:00〜17:30(土日祝、指定休業日を除く)
URL:https://www.microsoft.com/ja-jp/business/enterprise-security/inquiry.aspx