クラウドのセキュリティ監査基準を策定へ、国内企業25社が協議会を発足

JASAの土井範久会長

クラウドセキュリティ推進協議会 会長を務める工学院大学 情報学部コンピュータ科学科教授の大木榮二郎氏

経済産業省 情報セキュリティ政策室長の上村昌博氏

　特定非営利活動法人日本セキュリティ監査協会（JASA）は25日、普及の進むクラウドコンピューティングにおいて、利用者が高品質で安心・安全なサービスを選択しやすい環境を実現することで、一層の普及に貢献することを目的とし、国内クラウド事業者および監査事業者25社と、「クラウドセキュリティ推進協議会」を発足すると発表。JASA、工学院大学、経済産業省、あらた監査法人、CTC、IIJ、セールスフォース、新日本有限責任監査法人、ISID、NTT、ニフティ、日立、富士通の関係者が登壇し、記者会見を開いた。

　「情報通信白書（平成24年版）」によると、国内企業におけるクラウドサービス導入率はすでに20％を超え、地方自治体においては75.4％が導入済みもしくは導入検討中と大幅に市場が拡大しており、2015年には2.4兆円規模への拡大が見込まれている。

　一方で、クラウドの導入を見送る企業の理由のもっとも大きな要因として、セキュリティの懸念が挙げられる。これに対し、クラウドサービス事業者は各社独自の方法で、堅牢なシステム構築やセキュリティへの取り組みを行っている。

　ここで問題となるのが「クラウドセキュリティについて多くの事業者は真摯に対応しており、それをSLAや開示情報などで利用者に伝えているが、実際のところを利用者が確認するのは難しく、また開示する情報の内容や範囲は各社バラバラなため、必ずしも利用者に状況を伝え切れていない。利用者からすると選定のための明確な安全性の判断基準が存在しないことが、クラウドセキュリティへの懸念を招いている」と、JASAの土井範久会長は指摘した。

　新たに立ち上げるクラウドセキュリティ推進協議会では、この課題に対して“明確な安全性の判断基準”を創出することを目的とする。具体的には、「クラウドサービスのセキュリティ監査を軸に、セキュリティ対策によるエンドユーザーの信頼確保の方針を具体化し、来年度をめどにクラウド情報セキュリティ監査制度を開始する」（土井氏）。

　現状、クラウドセキュリティに対する評価としては、事業者による開示情報による評価がある。しかし、その内容や開示範囲は事業者次第となる。また、ISMS適合性評価もあるが、クラウド固有の内容ではなく、あくまで管理指針を示すものなので、こちらも利用者による選定の判断材料とするには物足りない。一方、明確な保証となる外部監査による直接評価も存在するが、費用がネックとなり、監査を受ける事業者数が少なく対象が限られてしまう。

　クラウドセキュリティ推進協議会が行うのは、これらのすき間を埋める「内部監査による評価」と「外部監査人による内部監査の有効性評価」の標準化である。「クラウドセキュリティの管理基準の策定および監査方法、利用者への開示方法を含めた各種基準の策定を進める」（土井氏）。

　具体的には各種基準として、クラウドセキュリティへの顧客の懸念を解消するために必要な事項を追加した「セキュリティ管理基準」、基本的なセキュリティマネジメント基準を満たしていることを利用者に宣言するための「セキュリティ基本言明要件」、同基準および同言明要件の利用法を解説する「セキュリティ監査基準利用ガイド」、技術的視点にたったセキュリティ実装および監査手続き方法を解説する「セキュリティ監査技術ガイド」を策定。

　加えて、クラウドセキュリティ監査制度の開発・普及・実施として、「パイロット監査」「セキュリティ監査制度の開発と普及促進」「セキュリティ監査人の育成」「セキュリティ監査の実施」、適切な監査により基本言明要件を満たしていることが確認されたと証明する「CS（Cloud Security）マークの付与」などを行う。

監査の仕組み。内部監査人をJASAが資格認定。内部監査基準および外部監査人による内部監査の有効性評価基準を策定し、監査を受けた事業者は利用者に言明書を公開する

協議会のロゴとCSマーク

　会見に登壇したCTC、IIJ、セールスフォース、ISID、NTT、ニフティ、日立、富士通などの事業者は、ここでの「パイロット監査」に協力している。それぞれ自社のクラウドサービスにて、試験的な監査を受けた。これ以外にも、NTT Com、NTTコムウェア、NTTスマートコネクト、NTTPCコミュニケーションズがパイロット監査に参加している。

　こうして来年度をめどに監査制度がスタートすれば、「クラウドセキュリティについて一定の基準で監査が行えるようになるため、監査人による監査のばらつきを平準化できるほか、認証マーク（CSマーク）が発行されるので、利用者側からは安心・安全なクラウドサービスを選びやすくなる」（土井氏）。

　また、「こうした取り組みを日本発で行うことで国際的な競争力強化に寄与することも目的」（土井氏）という。現在、日本が提案して策定作業が進められている「ISO/IEC 27017（クラウドセキュリティ国際標準）」が2015年に発効し、それと同時にクラウドセキュリティの国際認証が開始される見通しである。「それに先がけての取り組み。同協議会で得た知見は国際標準化ワーキンググループの活動を通じて、ISO/IEC 27017などの策定にもフィードバックするほか、『技術者のためのクラウド情報セキュリティ監査の手引き』は新たなISO規格としての採用を目指す」としている。

　NTT代表取締役副社長の片山泰祥氏やセールスフォース代表取締役社長の宇陀栄次氏らも「クラウド事業者がセキュリティをアピールしてもなかなか伝わらない。客観性が必要。そういった意味で今回のような基準は重要であるとともに、クラウドはグローバル。国際標準に先がけて取り組むこと、それを国際標準に取り込むことは、国際的な競争力強化につながるはず。世界の“リーディングカントリー”になるチャンス」などとコメントした。

JASA、工学院大学、経済産業省、あらた監査法人、CTC、IIJ、セールスフォース、新日本有限責任監査法人、ISID、NTT、ニフティ、日立、富士通の関係者が登壇

協議会の体制図

　登壇した団体も含め、今回、同協議会に参加を表明した団体は以下の通り。

・あらた監査法人
・伊藤忠テクノソリューションズ株式会社（CTC）
・株式会社インターネットイニシアティブ（IIJ）
・株式会社エス・シー・ラボ
・NRIセキュアテクノロジーズ株式会社
・NTTコミュニケーションズ株式会社（NTT Com）
・NTTコムウェア株式会社
・NTTソフトウェア株式会社
・株式会社NTTデータ
・株式会社NTTPCコミュニケーションズ
・株式会社KDDI
・新日本有限責任監査法人
・株式会社セールスフォース・ドットコム（セールスフォース）
・株式会社ディアイティ
・株式会社電通国際情報サービス（ISID）
・西日本電信電話株式会社
・日本電気株式会社
・日本電信電話株式会社（NTT）
・ニフティ株式会社
・日本ユニシス株式会社
・東日本電信電話株式会社
・株式会社日立製作所（日立）
・株式会社ビットアイル
・富士通株式会社
・三菱電機情報ネットワーク株式会社