ISMSクラウドセキュリティ認証とは?取得メリット・流れを解説
クラウドサービスの利用が拡大する中、情報セキュリティ対策の証明として注目されるのが、ISMSクラウドセキュリティ認証です。ISMSクラウドセキュリティ認証は、ISMS(JIS Q 27001)にクラウド特有の管理策(ISO/IEC 27017)を加えたもので、第三者機関が審査・認証します。
当記事では、認証の基準や取得が必要な企業の特徴、取得によるメリット、具体的な取得の流れなどを詳しく解説します。
目次
ISMSクラウドセキュリティ認証とは
ISMSクラウドセキュリティ認証は、ISMS(JIS Q 27001)に加え、クラウド特有の管理策(ISO/IEC 27017)が適切に導入・運用されていることを基準に認証する制度です。利用者が安心してクラウドを選べる状態を支えます。ここでは、ISO/IEC 27017と認定機関・認証機関を解説します。
認定基準となる「ISO/IEC 27017」
ISO/IEC 27017は、ISO/IEC 27002を基に、クラウドサービスに特有の情報セキュリティ管理策と実施の手引きを定めた国際規格(JIS Q 27017として国内規格化)です。クラウド提供者(CSP)と利用者(CSC)双方の立場で必要となる管理策を示し、クラウド固有リスクへ対応する基準になります。監査では管理策の運用状況も確認します。
なお、ISMSクラウドセキュリティ認証は、ISMS(ISO/IEC 27001/JIS Q 27001)に追加するアドオン認証であり、単独では取得できず、ISMS認証の取得が前提です。
ISMSクラウドセキュリティ認証の認定機関・認証機関
認定機関は制度全体を管理し、認証機関が規格や認証基準に沿って審査できる能力(手順、審査員の力量、中立性など)を評価して認定し、定期的に監督します。ISMSクラウドセキュリティ認証ではISMS-AC(情報マネジメントシステム認定センター)が認証機関を認定します。認証機関は企業・サービスを審査し、適合した場合に認証書を発行します。両者は、 認定機関が枠組みと品質 保証、認証機関が現場審査を担う分担関係です。取得する企業は、ISMS-AC認定の認証機関を選び審査を受け、認証情報は認証機関からISMS-ACへ報告されます。
ISMSクラウドセキュリティ認証が必要な企業
ISMSクラウドセキュリティ認証が必要になりやすいのは、クラウド上で重要な情報を扱い、取引先へ安全対策を説明する責任が大きい企業です。たとえばSaaSなどのクラウドサービス提供者(CSP)は、会員情報や業務データを預かり、マルチテナント運用や委託先を含めて管理するため取得を検討します。利用側(CSC)でも、基幹業務をクラウドで動かし、セキュリティチェックシートやRFPで第三者認証の提示を求められる場合は有効です。
官公庁・自治体案件の提案や入札で要件になることもあります。金融・医療・通信など要求が厳しい業界、海外取引で国際規格準拠を求められる企業にも向きます。顧客の信頼を高め、説明資料を整える目的でも役立ち、社内の運用ルールを見直す機会にもなります。
ISMSクラウドセキュリティ認証を取得するメリット
ISMSクラウドセキュリティ認証を取得すると、対外的な信頼の獲得だけでなく、商談や入札での評価、運用リスクの抑制にもつながります。ここでは、ISMSクラウドセキュリティ認証を取得するメリットを詳しく解説します。
企業や組織の社会的信頼性が向上する
ISMSクラウドセキュリティ認証は、第三者機関の審査を通じて、クラウド特有の管理策(ISO/IEC 27017)が組織で導入・運用されていることを客観的に示します。取引先や利用者に対して、情報を適切に取り扱う体制が整っていると説明しやすくなり、安心してサービスを選んでもらう材料になります。
特に大手企業は、取引先や利用するクラウドサービスの情報管理を厳しく確認する傾向があり、第三者認証が評価項目や条件になる場合があります。機密情報や個人情報を扱うサービスでは、信頼の裏付けとして効果が大きく、監査や契約の場面でも「国際基準に沿った運用」を示す根拠として活用できます。
ビジネスにおける競争優位性を確立できる
ISMSクラウドセキュリティ認証を持つと、セキュリティ面での差別化ができ、ベンダー選定での強い材料になります。クラウドの導入が進むほど、価格や機能だけでなく「安全に運用できるか」が比較ポイントになり、第三者認証の有無が判断材料として使われます。特にRFPやセキュリティチェックシートでは、認証があると説明が簡潔になり、審査を通しやすくなります。
官公庁・自治体や大手企業の案件では、第三者認証が参加条件や評価項目に入る場合があり、取得済みだと提案の土台に立ちやすくなります。結果として、受注機会の拡大や商談の短縮につながり、競合との差を作りやすくなります。
クラウド環境の情報セキュリティリスクを低減できる
ISMSクラウドセキュリティ認証の取得プロセスでは、ISO/IEC 27017に沿ってクラウド特有のリスクを洗い出し、管理策を計画的に整備します。たとえば、権限設定の誤り、委託先管理の不足、ログ取得の不備、利用者と提供者の役割のあいまいさなど、クラウドで起きやすい弱点を前提に点検できます。管理策を文書化し、運用手順として定着させるため、担当者の属人化も抑えられます。
結果として、不正アクセスや情報漏えいなどの事故が起きにくい体制になり、起きた場合も検知・対応が早くなります。利用者への説明にも使えるため、安心材料の裏付けにもなります。
サービス提供や利用における責任範囲が明確になる
クラウドでは「どこまでが事業者(CSP)の責任で、どこからが利用者(CSC)の責任か」があいまいになりやすく、設定ミスや対応遅れの原因になります。ISO/IEC 27017はCSPとCSCそれぞれの管理策を示すため、認証取得の過程で、役割分担を文書で整理しやすくなります。
たとえば、基盤の防御、アカウント管理、暗号化、ログの取得、バックアップ、脆弱性対応などについて、誰が何を実施し、証跡をどこに残すかを決められます。責任範囲が明確になると、契約やSLAでの確認が進み、監査への説明も簡単になります。インシデント発生時も連絡先と手順が定まり、初動が早くなります。
ISMSクラウドセキュリティ認証を取得するまでの流れ
ISMSクラウドセキュリティ認証は、ISMS(JIS Q 27001)の取得を前提に、クラウド向け要求事項(JIP-ISMS517)への適合を審査で確認して取得します。取得の流れは以下の通りです。
| 1 | ISMS(JIS Q 27001)を取得済みか確認(未取得なら先に、または同時に取得) |
|---|---|
| 2 | 対象範囲と立場(CSP/CSC)を決める |
| 3 | ISO/IEC 27017の管理策を踏まえ、手順書・記録・役割分担・委託先管理などを整備する |
| 4 | 内部監査とマネジメントレビューで運用を点検する |
| 5 | ISMS-AC(情報マネジメントシステム認証センター)が公開する認証機関から審査を依頼し、審査(文書確認→運用確認)を受ける |
| 6 | 不適合が出た場合は期限内に是正し、判定後に認証書が発行される |
なお、ISMSのサーベイランス審査や更新審査に合わせて拡張審査として実施できる場合もあります。審査では、設定管理やログ、委託先管理などの証跡も確認されます。
まとめ
ISMSクラウドセキュリティ認証は、ISMS(JIS Q 27001)にクラウド特有の管理策(ISO/IEC 27017)を加えたアドオン認証です。クラウドサービス提供者や利用者が、安全な情報管理体制を第三者機関の審査で証明できます。取得により社会的信頼が向上し、商談や入札での競争優位性を確立できるほか、権限設定ミス、委託先管理の不足などクラウド特有のリスクを低減し、提供者と利用者の責任範囲を明確化できます。
取得にはISMS認証が前提となるので、対象範囲の決定、管理策の整備、内部監査を経て、ISMS-AC認定の認証機関による審査を受けましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい