ニュース

日本マイクロソフト、クラウド情報セキュリティ監査制度のゴールドマークを取得

外部監査人による“お墨付き”でMicrosoft Azureの信頼性をアピール

 日本マイクロソフト株式会社は、2月10日付けで、クラウド情報セキュリティ監査制度の「クラウドセキュリティ(CS)ゴールドマーク」を日本で初めて取得したことを発表した。さらに同社は2月15日に都内でプレス向けのラウンドテーブルを開催し、CSゴールドマーク取得の目的や、クラウド情報セキュリティ監査制度のしくみについて説明を行った。

クラウド情報セキュリティ監査制度とは

 クラウド情報セキュリティ監査制度は、特定非営利活動法人 日本セキュリティ監査協会(以下、JASA)が、その下部組織として「JASA - クラウドセキュリティ推進協議会(略称:クラウドセキュリティ推進協議会)」を発足させ、クラウドサービス事業者向けに制定した認定制度だ。クラウドサービス事業者が行うべき情報セキュリティマネジメントの基本的な要件を定め、その内容を順守しているかを監査し、安全性が確保されていることを利用者に明確にするしくみとなっている。

 JASA 事務局長の永宮直史氏は、クラウドサービスに監査が必要な理由として、「システム状態をリアルタイムに把握しにくい」「障害の原因切り分けが難しい」「説明責任が果たせない」といったクラウドサービス利用者の懸念を挙げた。

 永宮氏は「クラウド環境において信頼性を担保するには、利用者にクラウド環境におけるセキュリティ対策を理解する基礎知識が必要になる。しかし、クラウドサービスは、それほど専門的な知識を必要とせず、手軽で簡単に利用できることがメリットと言える。そのため、専門的な知識を持っている専門家によって公正で的確な評価をしてもらい、信頼性を担保できる監査制度が求められている」と述べ、クラウドサービス市場が拡大するには、公平な監査制度が重要であることをアピールした。

JASA 事務局長の永宮直史氏

 クラウド情報セキュリティ監査制度は、経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」をベースとしているが、国際規格である「ISO/IEC 27017」が制定されたことを受け、同基準の基本的な要件(基本言明要件)を満たしているかを監査し、認定するしくみである。

 監査の結果、要件を満たしていると認定されるとCSマークが付与される。CSマークにはシルバーとゴールドの2種類があり、クラウドサービス事業者自身が行う内部監査が完了した事業者にはCSシルバーマーク、内部監査の結果が外部監査人によって適合監査まで完了すればCSゴールドマークが付与される。

クラウド情報セキュリティ監査のしくみ。内部監査完了でCSシルバーマーク、外部監査完了でCSゴールドマークが認定される

 米国のService Organization Control(SOC)のように、独立した外部の監査人が監査して認定する方式とは異なり、クラウド情報セキュリティ監査制度では内部の監査人がJASAの定めた基本言明要件を満たしていることを監査する方式であるため、監査にかかる時間や費用を軽減することができる。

 基本言明要件に対しては1500項目におよぶ管理基準があるが、内部監査報告書は標準化された様式(手順)が用意されているので、個々の監査人の報告内容やレベルには大きな差は生じにくく、外部の監査人は常に決められた基準で各事業者の監査を実施することができるという。

 PwCあらた監査法人 システム・プロセス・アシュアランス部 シニアマネージャーの川本大亮氏は、「クラウドサービス利用者の多くは、セキュリティに対する漠然とした不安を抱えており、クラウドサービス事業者の開示しているセキュリティ対策への説明が十分ではないと感じている。一方でクラウドサービス事業者は、説明責任を果たすことに不慣れなことが多い」と説明。さらに「クラウド情報セキュリティ監査制度は、監査基準にって内部監査の水準を維持し、外部監査で公正さを担保できる。監査にかかるコストを抑えながら、信頼性を担保できるしくみ」と同制度のメリットをアピールした。

PwCあらた監査法人 システム・プロセス・アシュアランス部 シニアマネージャーの川本大亮氏

 すでにISMSなど一般の内部監査制度がある中で、クラウドに特化した監査制度が求められる理由として、JASAの永宮氏は、「ISMSは、自身の環境における有効性を、経営者が求める水準で評価するしくみ。一方クラウドで求められる監査では、クラウド環境における対策の有効性を、クラウド利用者の水準で評価する必要がある。そのため、クラウドに特化した情報セキュリティ基準や、セキュリティ対策、情報や機能の提供といった利用者への支援といった独自の基準で評価している」と述べた。

日本マイクロソフトがCSゴールドマークを取得した理由とは

 なお日本マイクロソフトは、自社が提供するすべてのクラウドサービスにおいて、CSゴールドマークを取得している。全世界で同じクラウドサービスを提供することを明言している同社では、すでに米国のSOC 1および2をはじめ、さまざまな基準を満たしている。にもかかわらず、コストをかけて日本の監査制度の認定を取得することにした理由について、Skypeでラウンドテーブルに参加した米Microsoft サイバーセキュリティ&クラウド戦略担当ディレクターのTim Rains氏は、「当社は、Trusted Cloud(信頼できるクラウド)の活動を展開し、セキュリティ、プライバシー、法令順守、透明性の確保を進めている。それぞれの地域や業界にはさまざまな規制や法令があり、それぞれ求められる基準が違う。日本だけでなく世界各国で国際的な認証の取得を進めている」と述べた。

 また、Microsoft Azureグローバルエコシステム コンプライアンス&トラストマネージャーのYen-Ming Chen氏は、「コンプライアンスの要件を満たすことが担保できなければ、多くの企業がクラウドのメリットを享受することができない。今回のCSゴールドマークの取得によって、日本のクラウドサービス利用が加速する」と述べ、公正な外部監査人による信頼性の担保により、国内におけるクラウドサービス利用者が増えることに期待を寄せている。

米Microsoft Azureグローバルエコシステム コンプライアンス&トラストマネージャーのYen-Ming Chen氏

 日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏は、「これまで、企業が自社のITシステムのセキュリティ対策を表明するには、自分たちが定めたポリシーに沿っていればよかった。しかし、企業がクラウドサービスを利用するようになったことで、そのサービスは信頼できるのか、なぜそのサービスを選択したのかといったことを明確に表明することができなくなってしまった」とコメント。、「クラウドサービス事業者の提供するサービスが公正な外部監査人によって信頼性を確保されていれば、自社のポリシーに沿っていること、国際基準を満たしていること、サービスの選択根拠などを取引先に提示することができるようになる」と述べた。

日本マイクロソフト チーフセキュリティアドバイザー 高橋 正和氏

 さらに高橋氏は、今回のCSゴールドマーク取得によって、日本マイクロソフトの提供するクラウドサービスは公正な外部監査人によって信頼性が担保されたことを受け、「当社のクラウドが信用できないと思っている企業に対し、信頼性を証明できた。AzureやOffice 365をはじめとするクラウドサービスを、ぜひ活用してほしい」と述べた。

北原 静香