ISMSとクラウドサービスにおける情報セキュリティ

投稿日:

ISOプロ担当者

最終更新日: 2019年10月02日

photo-1509803874385-db7c23652552 (1)

近年ITの技術はますます進歩し、便利なサービスがどんどん出てきています。クラウドサービスもその一つで、スピード感のある事業展開にはクラウドサービスの利用は欠かせないものになりつつあります。

しかし、企業がクラウドサービスを利用しながら情報セキュリティを担保するためには、超える必要がある壁がいくつかあります。今回は、クラウドサービスを利用するにあたって、どのようなISMSの枠組みを構築していく必要があるのかということについてご紹介していきましょう。

そもそもクラウドサービスって?

そもそもですが、クラウドサービスとはどのようなものでしょうか? 代表的なクラウドサービスとしては、Yahoo!メールやGmailがあります。また、Googleが提供するスプレッドシートやブラウザ上で利用可能な会計ソフトもクラウドサービスと呼べるものでしょう。

クラウドサービスとは、これらのサービスのように、どこにいても、インターネットにアクセスすることさえできればインストール不要で利用することができるサービスのことを言います。

クラウドサービスは、ブラウザ上で動かすことができるという性質上、メリットとデメリットがあります。

メリットとしては、以下のようなことが挙げられます。

  • どこからでも利用することが可能
  • どの端末でも利用することが可能
  • ログイン情報を知っていれば複数人が利用することが可能

一方、デメリットとしては、以下のようなことが挙げられます。

  • 不正アクセスの可能性があり、情報流出のリスクが高い
  • WEB上という場所にあるため、情報がいつ失われるか分からない
  • 自社・他社を含む複数の人間がアクセスするため、他社が情報を持ち出すリスクがある

ISMSを構築する上では、このクラウドサービスの性質を十分に理解した上で取り組むことが求められることになります。

従来のISMSは、クラウドサービスの利用を想定していない

しかし、従来のISMSでは、クラウドサービス利用しながら情報管理の安全性を保つことは難しいとされています。ITの技術は非常にスピーディーに進化を遂げていますから、比較的新しいサービスの利用を考慮したマネジメントシステムに対応できないことがあるのです。

——どういうことかというと、クラウドサービスを利用するということは、社外の人間にも情報の閲覧が可能ということです。クラウドサービスを共通で利用する社外の人間も情報流出のリスクになることがありますし、クラウドサービスを提供する企業もリスクになるでしょう。

つまり、いかに自社で優れた情報マネジメントシステムを構築していたとしても、「社外の人間による情報流出」というリスクがつきまとうわけです。

従来のISMSでは社外の人間を巻き込んだISMSというものを構築することは難しいのです。しかしクラウドサービスを利用する以上、社外を巻き込んだ情報セキュリティマネジメントは必須といえます。

ISO27017ならクラウド・セキュリティにも対応可能

そこで登場するのが、ISO27017やISO27018です。これらの規格は情報セキュリティマネジメントシステム規格であるISO27001の管理策の延長としての認証で、ISO27001と同時に取得することも可能です。

ISO27017とISO27018はどちらもクラウドコンピューティングに関する第三者認証であり、これに従ってISMSを構築することでクラウドサービスを利用しながら情報セキュリティマネジメントを行うことができるのです。

ISO27017とISO2018の違い

では、ISO27017とISO27018の違いは何でしょうか? 両規格ともにクラウドサービスに関する第三者認証でありますが、対象とする情報が異なりますので、以下でご紹介していきましょう。

ISO27017はリスク対策の枠組みをクラウドサービスに拡大したもの

ISO27017は、ISO27001でも行うリスク対策の枠組みをクラウドサービスまで延長した規格です。ISO27017は、クラウドサービスの利用者とクラウドサービスの提供者両方を対象としています。

ISO27018は個人情報に限定した規格

ISO27018は、クラウド上に保管されている個人情報の取扱に関する枠組みで、クラウドサービスの利用者のみを対象としています。

どちらの認証を取得すれば良い?

クラウドサービスに関する情報セキュリティマネジメントシステムを構築するにあたって、ISO27017とISO27018のどちらの認証を取得すべきかと検討することがあるかもしれませんが、基本的には目的に合わせた認証を取得することが望ましいです。

ISO27017のほうが適用範囲も広いため、優秀に思えてしまいますが、それだけ管理するものが多く、企業によっては負担となってしまう可能性もありあます。もし皆さんの会社が個人情報のセキュリティを重視すべきである場合はISO27018を取得したほうが良いかもしれません。

マネジメントシステムは取得するだけでなく、運用していくことが重要ですから、自社の状況に合わせてできるだけ負担の少ない規格を導入していくことが最適な選択といえるのではないでしょうか。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1 text_contents05
2 ssl
3 EYE-1
4 checklist-2470307_960_720 (1)
5 無題5
6 03296b0dc8f905069a76056b80a28c26_s
7 00000
8 5aff54b4714e9006fb985d0a02457112_s

関連するおすすめ記事