このクラウドは安全？――指針となる「クラウドセキュリティ認証制度」が登場

　BSIグループジャパン株式会社は26日、BSI（英国規格協会）とクラウドセキュリティアライアンス（CSA）がクラウドセキュリティ認証制度「STAR認証プログラム」を開始すると発表した。

　STAR認証プログラムは、ISO/IEC 27001:2005（情報セキュリティ）の要求事項とCSAのクラウドコントロールマトリックス（以下、CCM）を用いて、クラウドサービス事業者のセキュリティを第三者が評価する制度。CCMにはクラウドサービスのセキュリティの成熟度を測る具体的な基準が記載されている。

　クラウドサービス事業者にサービスを依頼している組織にとって、そのデータや情報のセキュリティ確保は大きな懸念事項となっている。クラウドサービス事業者はSTAR認証を受けることで、顧客に安心して自社のクラウドサービスを使ってもらえるようになる。

　STAR認証は、ISO/IEC 27001とCCMの基準への達成をベースとしており、以下の11の管理エリアがある。

1. コンプライアンス（Compliance）
2. データのガバナンス（Data Governance）
3. 設備のセキュリティ（Facility Security）
4. 人的資源のセキュリティ（Human Resources　Security）
5. 情報セキュリティ（Information Security）
6. 法律（Legal）
7. 作業管理（Operations Management）
8. リリース管理（Release Management）
9. 耐障害性（Resiliency）
10. リスク管理（Risk Management）
11. セキュリティアーキテクチャ（Security Architecture）

　BSIのようにCSAから認定を受けた認証機関の審査によって、11の管理エリアにおける成熟度の点数が付けられる。事業者は審査レポートにより、プロセスの成熟度とどの分野に改善の余地があるかを知ることができる。また、その成熟度のレベルに応じて「ブロンズ」「シルバー」「ゴールド」のいずれかの賞が授与され、認証を受けた事業者はSTAR認証として、CSAのWebページに掲載される。

　BSIグループジャパンでは、STAR認証の情報発信を積極的に行っていく。その一環としてSTAR認証について、より詳しく学べるトレーニングコースを実施する予定。