レポート

ISMSクラウドセキュリティ認証の概要
JIPDEC 情報マネジメントシステム認定センター
センター長  星 昌宏

印刷用

 この度JIPDECが新たに開始する「ISMSクラウドセキュリティ認証」は、ISMSの認証規格であるJIS Q 27001(ISO/IEC 27001)に加え、ISO/IEC 27017:2015に基づいたクラウドサービス固有の追加事項に考慮したうえでのISMS認証、すなわちクラウドサービスを扱う組織のISMS認証である。

ISO/IEC 27017発行の経緯

 ISO/IEC 27017は、正式名称を「ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範」という。認証基準ではなく実践の規範(ベストプラクティス)であり、そのまま認証の要求事項にはならないので、そこをつなぐ仕組みとしてJIPDECが「JIP-ISMS517-1.0」という認証基準を新たに設け、これを用いた認証を行うこととした。
 昨今、クラウドサービスの利用が盛んになる一方で、たとえばサーバ内のデータ消失や、意図しない者とのデータ共有等の事例が出て来ており、クラウドサービス利用における情報セキュリティの不安が高まっていた。そうした中、2011年に、ISO/IEC 27002(ISMS実践のための規範)と整合性をとったかたちで「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」が経済産業省から出され、ISO/IECへの提案の末、国際標準化が決定し、2015年12月15日にISO/IEC 27017:2015が発行された。

ISO/IEC 27017の概要・構成

 ISO/IEC 27017は、ISO/IEC 27002(ISO/IEC 27001に対するベストプラクティス)規定の指針に、クラウドサービス固有の事項に関する指針を追加・補足する位置づけとなっている(図1)。実際にクラウドサービスのためのISMSを構築する際には、リスクアセスメントの結果をふまえて必要な管理策を決定し、それを27002やこの27017に示す管理策と比較することで、必要な管理策の見落としがないかを検証することになる。

講演資料(抜粋)「ISO/IEC 27017:2015の概要」(図1)

(図1)

ISO/IEC 27017:2015の構成は以下の図のとおりである(図2)。
0~4は27017独自の内容であり、5~18は27002と同じ構成になっている。

講演資料(抜粋)「ISO/IEC 27017:2015の構成」(図2)

(図2)

 このうち「1.適用範囲」において、ISO/IEC 27017は、クラウドサービスの提供及び利用に適用できる情報セキュリティ管理策のための指針を示しており、この指針の管理策及び実施の手引きは、クラウドサービスプロバイダ及びクラウドサービスカスタマの両方に対して提供されるものであると定められている。例えば他社のIaaSを利用して、その上に構築したサービスを更に他社に提供するような場合、つまり一方ではカスタマ、他方ではプロバイダであるような場合には、両者の立場で認証を取得することが求められる。
 追加の実施の手引の例として「18.1.1適用法令及び契約上の要求事項の特定」では、クラウドサービスカスタマは「クラウドサービスプロバイダにどの国の法律が適用されるのか」を考慮することが望ましいとし、他方、プロバイダはカスタマに、クラウドサービスに適用される法域を知らせることが望ましいとしている。

ISMSクラウドセキュリティ認証について

 今回新しくスタートするISMSクラウドセキュリティ認証は、ISMS(ISO/IEC 27001)認証を前提としている。つまりマネジメントシステムとしてPDCAを回す部分はISMS本体であり、その中で、適用する管理策に対応したISO/IEC 27017の実施の手引が参照されるという枠組みになっている。当認証の対象は、クラウドサービスを提供している組織(クラウドサービスプロバイダ)、または、クラウドサービスを利用している組織(クラウドサービスカスタマ)のいずれか、あるいは両方である組織であり、その組織が提供または利用するクラウドサービスの分類(IaaS、PaaS、SaaS)は問わない。
 また、ISMSクラウドセキュリティ認証の認証基準は、ISO/IEC 27017:2015に基づく要求事項「JIP-ISMS517-1.0」である。このJIP-ISMS517-1.0は、ISO/IEC 27017を要求事項として扱うための基準である。JIP-ISMS517-1.0は現在ドラフトの段階であり、実際にこの要求事項に基づいて認証が開始されるのは、2016年8月以降となる予定である。