特別鼎談 クラウドサービスは“選別の時代”へ 目に見える「信頼」なくして未来はない

クラウドサービスの普及に伴い、その安全性を担保する「クラウドセキュリティ」の関心が高まっている。そのガイドラインとなるのが「ISO/IEC 27017」だ。すでに管理策や運用状況を評価する「ISMSクラウドセキュリティ認証」もこの8月から開始された。クラウドを経営の武器にするために、いま何をなすべきか——。ISO/IEC 27017の枠組み作りに尽力した工学院大学の山﨑 哲氏、ISMSクラウドセキュリティ認証の実現を目指すJIPDECの高取 敏夫氏、日本マイクロソフトでパートナーとのクラウドビジネスを推進する後藤 里奈氏の3者が語り合った。

クラウド固有のセキュリティ対策が喫緊の課題に

工学院大学 情報学部 コンピュータ科学科 客員研究員 山﨑 哲氏
——パブリッククラウドの利用が拡大する中、その安全性を担保する「クラウドセキュリティ」のニーズが高まっています。

山﨑クラウドサービスは事業者が提供するアプリケーションやインフラを利用する「サービス」です。オンプレミスで運用していたものをクラウドに移行するケースも増えつつあります。当然、事業者によるセキュリティ対策は必須です。しかし「何をどこまでやるのか」「それをどこまで公開するのか」という明確な指針がなかったため、その取り組みは事業者側の判断に委ねられていました。
 明確な指針がないと、利用者は事業者のクラウドセキュリティの取り組みを評価できません。事業者が「何をどこまでやっているか」がわからないと、利用者がやるべき具体的なセキュリティ対策も見えてこない。このままでは「クラウドサービス固有のセキュリティリスク」に対する対策が進まず、クラウド市場の健全な発展も見込めません。

——「クラウドサービス固有のセキュリティリスク」とは何でしょうか。
図1:クラウド固有のセキュリティリスク 図1:クラウド固有のセキュリティリスク クラウドはリソース共有型のサービス。自社の管理を離れ、情報の所在を特定できないケースもある。提供されるリソースが厳格に論理分割されていることを把握するのも難しく、情報セキュリティリスクが見えにくい点が最大のリスクだ。

山﨑クラウドサービスはコンピューティング資源を共有し、その上に個々の利用者が運用するシステムが構築されています。つまり1台の物理サーバに複数の利用者がいる場合、ある特定の利用者による不具合が別の利用者に影響を及ぼす懸念があるわけです。
 オンプレミスの場合は自分たちのシステムをしっかり守っていれば問題ありませんでしたが、多くの利用者のシステムを預かるクラウドサービスの場合はそうはいかない。リソース共有型のサービスに起因する懸念が、「クラウドサービス固有のセキュリティリスク」の特性です(図1)。
 サービス提供の仕組みがブラックボックスのままではセキュリティを担保できない。利用者も自分たちで何をすればいいのか見えづらい。「クラウドサービス固有のセキュリティリスク」に関して、事業者と利用者双方が取り組むべき要件を明らかにする必要がある。それを取りまとめた規格が「ISO/IEC 27017」です。

——情報セキュリティの規格に関しては「ISO/IEC 27002」もあります。こちらでクラウドセキュリティを扱うことはできないのですか。
図2:ISO/IEC27017の必要性 図2:ISO/IEC27017の必要性 組織における情報セキュリティマネジメントシステムの仕様を定めたISO/IEC 27002では具体的なセキュリティ施策を定義しているがクラウド固有のセキュリティリスクに対応する管理の仕組みが定義されていない。その穴を埋めるべく、クラウドサービス固有のセキュリティリスク対策を示すガイドラインとして新たに策定したものがISO/IEC27017だ

高取ISO/IEC 27002は組織における情報セキュリティマネジメントシステムを実施するためのガイドライン。これはより具体的なセキュリティ施策を定義したものです。しかし、具体的な半面、「クラウドサービス固有のセキュリティリスク」に対応する管理の仕組みが定義されていないのです(図2)。
 つまりISO/IEC 27002だけでは「クラウドサービス固有のセキュリティリスク」に対応できず、クラウドを安全に利用するためのガイドラインがどうしても必要になる。こうした理由から、今回ISO/IEC 27017が規格化されたことは大きな意義があると思います。

“日本発”の国際規格がクラウドセキュリティを牽引する

——ISO/IEC 27017とは、どのような規格なのでしょうか。

山﨑国際標準化機構(ISO)と国際電気標準会議(IEC)の合同技術委員会(JTC 1)で情報セキュリティを担当する副委員会(SC 27)が策定し、2015年に発行されたクラウドセキュリティに関する国際標準規格です。この規格はクラウドサービスの事業者と利用者に関するセキュリティ対策のためのガイドラインを規定しています。セキュリティ対策の実践に向けた規範として広く利用されている情報セキュリティマネジメントシステム「ISMS(ISO/IEC 27001)」をベースに、事業者として何をどこまでやるべきか、それを受けて利用者側がどのような管理策を行うべきかを示したものです。
 ベースになったのは、経済産業省が主導した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」。これを基にしたものを世界に先駆けて国際会議の場で提案し、各国の協力を取り付けました。
 委員会での企画・策定作業にはマイクロソフトをはじめとする数多くの事業者からメンバーとして参加してもらい、様々なすり合わせを行いました。中立的な立場から強力なサポートを受けられたからこそ、“日本発”の国際標準規格を策定することができたのです。

——具体的にどのような内容が定義されているのですか。
日本マイクロソフト株式会社 ホスティング&マネージドサービスプロバイダービジネス本部 パートナーホスティングチャネルエグゼクティブ 後藤 里奈氏

山﨑クラウドサービスにおける情報セキュリティの維持には、利用者側とクラウドサービスを提供する事業者側が、お互いに協力しなければ達成できないことが明らかになってきており、ISO/IEC 27017では、利用者と事業者の対策が対となって記述されています。例えば、利用者が使用するクラウドコンピューティング環境を提供する事業者に対しては、技術的な面では利用者のデータ、アプリケーションやオペレーティングシステム、ストレージやネットワークなどを含む環境を、物理的あるいは論理的に分離し、適切なセキュリティ対策を施すことを求めています。
 法規制への対応も必須です。クラウドサービスはグローバルに展開されていることが多く、利用者が国内で契約したのにデータが海外のデータセンターで保管される場合もあるからです。ISO/IEC 27017では、契約の段階で事業者はそのことを利用者に説明することが求められる一方、利用者は、国内外を問わず、関連する法規制を考慮することを求めています。
 利用者によるクラウドサービスへの操作・運用手順を明確にすることも重要な要件となります。利用者側の対策の不備やオペレーションのミスなどでシステムに回復不能な損害を与えるリスクもあるからです。これを防ぐため、利用者側にも事業者の対策に基づいて自分たちで行うべき対策を策定し、適正に運用していくことを求めています。

後藤事業者と利用者がやらなければいけないことが規定されているため、互いの役割と責任が明確になりましたね。“日本発”の国際標準規格という点も大きな特徴です。日本のビジネス要件や商習慣にマッチした基準で、クラウドをグローバルレベルで使っていける。日本企業にとって、大きなアドバンテージになるのではないでしょうか。

クラウドセキュリティへの取り組みが
「認証」という形で分かりやすく認知可能に

——ISO/IEC 27017に準拠していれば、クラウド固有のセキュリティ対策が施されたクラウドサービスといえるわけですね。利用者はそれをどうやって知ることができるのですか。
日本マイクロソフト株式会社 ホスティング&マネージドサービスプロバイダービジネス本部 パートナーホスティングチャネルエグゼクティブ 後藤 里奈氏

高取ISO/IEC 27017に準拠したクラウドサービスであることを示すために、JIPDECでは「ISMSクラウドセキュリティ認証」をこの8月から開始しています。これはISMS認証を前提として、ISO/IEC 27017が求める要件を満たす組織や企業を認証する仕組み。JIPDECが認定した第三者機関が実際の審査を行い、認証を発行します。

後藤ISO/IEC 27017はクラウドサービスにおける情報セキュリティの管理策の体系。これに従って対策を策定し、それを実施するクラウドサービスのリスク管理のためのガイドライン。いわば組織が行う「健康管理のメニュー」という位置づけですね。
 それを組織内に取り込んで、確実に実施できるようにシステムを組む必要がある。システムには、自身の健康診断に当たる監査も含まれています。このシステム全体がきちんとしているかを見るのが、ISMSクラウドセキュリティ認証。求められる健康管理活動についてのお墨付きですね。

——ISMSクラウドセキュリティ認証を取得することで、事業者にどのようなメリットがありますか。

高取クラウドサービス特有の情報セキュリティ対策に取り組んでいることを証明することが可能となり、利用者を含むステークホルダーの信頼を高めることができます。

山﨑ISO/IEC 27017はあくまでガイドライン。それが適正に策定・運用されているかどうかは、第三者機関が客観的に評価する必要がある。クラウド市場の健全な発展を図る上でも、ISMSクラウドセキュリティ認証には大いに期待しています。
 一方で、ISO/IEC 27017は事業者だけでなく、利用者の情報セキュリティ対策まで定義しています。クラウドは事業者、利用者双方が適正に運用・管理することで、その価値を高めていきます。事業者だけでなく、利用者もISMSクラウドセキュリティ認証を取得することが望ましい。それが利用者の先にいる顧客の信頼獲得につながります。

後藤サイバー攻撃や情報管理体制の不備などから、最近は国内外で情報漏えいをはじめとするセキュリティ事故が相次いでいます。事故を起こさないことはもちろん大切ですが、それを100%防ぐことも難しくなっています。
 万が一、事故が起こってしまった場合、事業者も利用者もステークホルダーに対して、どういう対策を行っていたか、きちんと説明責任を果たす必要がある。ただ「きちんとやっていました」では評価のしようがない。でも、ISMSクラウドセキュリティ認証を取得していれば、少なくとも説明責任を果たす客観的な材料になります。ステークホルダーの理解と納得も得やすくなるのではないでしょうか。

特別鼎談 クラウドサービスは“選別の時代”へ 目に見える「信頼」なくして未来はない

情報セキュリティはITを安全に活用するために不可欠な投資

——情報セキュリティの重要性は今後ますます高まっていきそうですね。

山﨑情報セキュリティはリスク対策であると同時に、ITを活用するための安全を担保するために必要不可欠な投資です。ネガティブ思考ではなく、前向きに捉えて先手を打つことが大切です。事業者も利用者もISO/IEC 27017を活用した運用に努め、ISMSクラウドセキュリティ認証の取得を積極的に考えてほしいですね。

後藤クラウドセキュリティをきっかけにして、いまITの本質的な目的が問われているのだと思います。お客様はなぜクラウドを利用するのか。それは事業目的を達成するためです。クラウドの価値を高めるには、セキュリティをしっかりして、その取り組みを対外的にも示す必要がある。
 マイクロソフトは情報セキュリティを重要な経営課題の柱に据え、様々な対策を進めています。その一環として、Microsoft AzureやOffice 365などのパブリッククラウドサービスにおいて、今年1月に「CSゴールドマーク」を取得しました。これは日本セキュリティ監査協会(JASA)が進める「クラウド情報セキュリティ監査制度」で、外部監査人の評価に基づき認定された監査を行った事業者に与えられる認証です。
 これに加え、ISO/IEC 27017への準拠を進め、ISMSクラウドセキュリティ認証の取得に向けた取り組みも加速しています。サービスはグローバルに展開しているため、様々な国際規格や海外の法規制への対応にも積極的に取り組んでいます。

——クラウド市場の発展に向けて、今後どのような活動を推進していきますか。

山﨑ISO/IEC 27017は“日本発”の国際標準規格。日本が世界をリードして策定したものです。日本企業が取り組みやすい管理策や実施の手引きが定義されています。さらに、ISO/IEC 27017は、2013年に改訂されたISO/IEC 27001の新しい情報セキュリティマネジメントシステム(ISMS)の要求事項に基づいています。この新しいISMSとISO/IEC 27017を組み合わせることで、経営目的に資するクラウドサービスの情報セキュリティが実現可能となります。このメリットを訴求し、クラウドセキュリティのガイドライン標準として普及を目指していきます。

高取JIPDECはISMSクラウドセキュリティ認証の認定機関。この認定を受けた第三者機関が“実行部隊”として実際の認証作業を行います。認証依頼に迅速に対応できるように、より多くの第三者機関に参加を促し、認証制度の普及促進に努めます。同時に監査人の育成やスキル向上も支援していきたい。

後藤クラウド事業者にとって最も大切なものは「信頼」だと思います。マイクロソフトはISO/IEC 27017をはじめとするガイドラインへの準拠、ISMSクラウドセキュリティ認証の取得などを積極的に進め、利用者が安心してクラウドサービスを利用できる環境づくりに注力していきます。

特別鼎談 クラウドサービスは“選別の時代”へ 目に見える「信頼」なくして未来はない
Column

ISMS認証とISMSクラウドセキュリティ認証の違いとは?

 情報セキュリティのガイドラインに関しては既に「ISMS認証」も存在する。なぜ新たに 「ISMSクラウドセキュリティ認証」を制度に組み込む必要があったのだろうか。
 その理由はISMS認証とISMSクラウドセキュリティ認証の対象範囲にある。
 そもそもISMSは情報セキュリティの技術対策のほかに、リスクアセスメントなど、組織としてのマネジメント体制を含めた管理の仕組み。その順守を証明するのが「ISMS適合性評価制度」だ。JIPDECが認定した第三者機関が監査を行い、ガイドラインに準拠した管理の仕組みが適正に策定・運用されている組織を認証する。
 もちろん、このISMSの枠組みに基づいて、クラウドセキュリティを監査することも可能だ。ただし、情報セキュリティに関する管理の仕組みなので、対象がオンプレミスでもクラウドでも監査・認証できる。ただ、そうなると切り分けがつけにくくなる。
 例えば、ISMS認証を持つ事業者がクラウドサービスを提供していたとしても、それがクラウド固有のセキュリティ対策を踏まえて取得した認証なのかどうかわからない。認証の経緯や中身までは示せないからだ。そのため、ISMS認証だけが独り歩きすると、利用者に誤解を与えてしまう。こうした経緯からISMSクラウドセキュリティ認証を制度に組み入れることになったのである。
お問い合わせ
日本マイクロソフト株式会社
TEL:0120-41-6755 受付時間:9:00〜17:30 (土日祝、指定休業日を除く)
URL:https://www.microsoft.com/ja-jp/business/enterprise-security/inquiry.aspx