business_senryaku_sakuryaku_man.png

ISMSがあるのに「なぜ?」クラウドセキュリティ?

ISO/IEC27001/27002があるのに「なぜ?」ISO/IEC27017が必要なのでしょうか?

なぜ今クラウドセキュリティ認証なのか?を理解するためには ISMS の制度設計そのものが持つ特徴を理解する必要があります。

スライド4.jpg

第一に ISMS は情報セキュリティのマネジメントの考え方を表したもので、情報セキュリティのレベルを定義するものでなく、セキュリティのレベルは各組織で決定するものとなっています。

このため、 ISMS には情報セキュリティ保護にかかわる具体的な対策手法や手順については規定されていません。 

 
各組織では JIS Q 27001 及び実施規範となる JIS Q 27002 に記載された管理項目とその目的に応じ、それぞれに管理策を定義し文書化しています。

ISMS 認証とは、これらの管理策が定義され適用宣言し、そのPDCA が正しく回っているかを審査しています。 
 
これまでは情報やIT資産を所有することが前提

これらの前提に加え、ISO/IEC 27001 及び ISO/IEC 27002(管理策の実践の規範)がベースとなった ISMS はコンピュータシステムなどの IT 資産を「所有」することを前提として作られた規格です。 
 
ハードウェアやソフトウェアを「利用」するクラウドサービスの登場
ハードウェアやソフトウェアなどの情報資産を「利用」するクラウドサービスでは、従来の ISMS の実施規範がそのまま適用できない場合が発生しています。

クラウド利用により、これまで適用範囲内にあったシステムやデータが適用範囲外であるクラウド事業者の環境下に置かれて運用されます。従って、業務プロセスや ID などのアクセス管理方法が変更されます。クラウドサービス提供者側(事業者)は、自社が所有する資産に加え利用者のシステムやデータが集積(集約)されることにともなうリスクがあります。
 これらの課題を解決し、リスクを低減させるために ISO/IEC 27002 を補うことを目的にした管理策(クラウドサービス固有の実施の手引きや関連情報)をまとめたベストプラクティスが ISO/IEC 27017です。 
 
クラウドサービス提供者(クラウドサービスプロバイダ)
クラウド事業者側では利用者の不安を解消し、より多くの利用者を獲得していくために、クラウドサービスの構築段階で ISO/IEC 27017 に記載された管理目的・管理策や実施の手引きを参照し、管理策を実装し、利用者に適切に情報提供を行うことが大切です。
 
クラウドサービス利用者(クラウドサービスカスタマ)
クラウド利用者は、サービス事業者から情報を得て、クラウド利用による多くのメリットを引き出すとともに、固有のリスクを低減させることを目的に ISMS を見直すことが大切です。 
 
認証取得も大切ですが、最も大切なのは『技術の高度化に伴う ISMS の見直し、追加管理策を実装すること[ISMS 本文 6.1.3 c)注記 2]』です。
                          
本文書は一部ガイドラインを引用しています ISMS-CLS 講師中西孝治