一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

2019.05.22

ニューストピックス

「クラウドサービスに関連する国内外の制度・ガイドライン紹介」資料公開

【お知らせ】 「クラウドサービスに関連する国内外の制度・ガイドライン紹介」資料公開 -クラウドサービスの健全活用を目指して-

一般財団法人日本情報経済社会推進協会(会長 杉山 秀二、以下JIPDEC)はこのたび、国内外のクラウドサービスの評価制度・ガイドライン、国際規格等を特に安全性の観点から文献調査等に基づきとりまとめ、公開しました。

わが国では、2016年1月に政府が決定した「第5期科学技術基本計画」において、サイバー空間とフィジカル空間を高度に融合させた超スマート社会「Society5.0」の実現が掲げられていますが、その基盤となる仕組みの1つとして、クラウドサービスが脚光を浴びています。初期導入コストが小さく、IT資産の管理やシステム保守に係る負荷を軽減するクラウドサービスは、中小企業、公的機関等において幅広く普及が進んでいます。

一方で、クラウドサービスは、データが組織の外部に立地するデータセンターに置かれる等、従来のオンプレミスとは異なる観点に基づく安全性の確保が重要となっており、サービス利用に際しては適切なクラウドサービスを選択することは容易ではありません。このため、諸外国は、官民ともに、様々な視点に基づき、クラウドサービスの安全性評価の制度・ガイドライン等を整備していますが、その中ではISMS(情報セキュリティマネジメントシステム)の国際規格であるISO/IEC 27001※1が引用されている場合が見られます。

国内でも、2016年8月、ISMS適合性評価制度の一環として、クラウドサービスプロバイダ又はクラウドサービスカスタマがクラウドサービス固有の管理策を追加して実施していることを認証する「ISMSクラウドセキュリティ認証」が開始され、既に110を超える組織が認証を取得しています。

今般、JIPDECは、国内外で実施されているクラウドサービスの提供や利用に対する適合性評価制度、医療分野等におけるクラウドサービスの扱いに関するガイドライン等の概要・特徴を、ISMSとの関連性に注目して、クラウドサービスを利用する際に有益と思われる情報をとりまとめましたのでご紹介します。

【ISMSクラウドセキュリティ認証について】
 ISO/IEC 27001に基づくISMS認証を前提として、その適用範囲内に含まれるクラウドサービスの提供もしくは利用に関して、ISO/IEC 27017※2に規定されるクラウドサービス固有の管理策が実施されていることを認証する仕組み。ISMS適合性評価制度※3の下で実施される。

※1 ISO/IEC 27001: 組織によるISMSの確立、実施、維持及び改善についての要求事項を規定する国際規格。同規格の内容を変えることなく翻訳し、国内規格化したものがJIS Q 27001である。
※2 ISO/IEC 27017: ISMSを前提としたクラウドサービス固有の管理策のベストプラクティスを示した国際規格。クラウドサービスを提供する組織と利用する組織の両方を対象としている。本規格の内容を変えることなく翻訳し、国内規格化したものがJIS Q 27017である。
※3 ISMS適合性評価制度: 一般社団法人情報マネジメントシステム認定センター(ISMS-AC)によって認定された認証機関が、組織のISMSをISO/IEC 27001(JIS Q 27001)に基づいて審査・認証する枠組みのこと。

【本件に関するお問い合わせ先】
一般財団法人日本情報経済社会推進協会 セキュリティマネジメント推進室