クラウドって色々便利って聞く一方でセキュリティ面の不安もあるよな~。
本当にクラウドって安全で信頼していいのだろうか。
そうですね。
クラウドの利用についての不安の声は、昔から多く挙げられてますね。
クラウドサービスを提供する事業者も、そんな声に応えるために、外部の公的機関による第3者認証を取得しています。
セキュリティの安全性を伝えるためにホワイトペーパーと呼ばれる公開資料を提示している企業も多くあります。
今回は、クラウドの安全性・信頼性を語る上で知っておきたい第3者認証について紹介します。
クラウド事業者が取得している第3者認証にはどんなのものがあるのか。
クラウド事業者ではサービス運営の信頼性を提示するため、様々な外部機関における第3者認証を取得しています。
クラウド事業者の第3認証には色々なものがあります。
何の認証が、どのようなものと捉え、安全で信頼できるものなのか。
まずは一部の情報をまとめた一覧表を掲載します。
| 名称 | 概要 |
| ISO27001 | ・ISOの国際規格 ・情報セキュリティマネジメントシステムについて適切に構築・運用を示すもの ・規定 |
| ISO27002 | ・ISOの国際規格 ・ISO27001の具体的な情報セキュリティマネジメントの管理策を示すもの ・実践のための規範 |
| ISO27017 | ・ISOの国際規格 ・ISO27002のクラウドサービスの情報セキュリティ管理策の実践の規範を示すもの ・日本発にてISOとして認められた ・27001のアドオン認証 ・実践のための規範 |
| ISO27018 | ・ISOの国際規格 ・クラウドサービスの個人情報保護を示すもの ・27001のアドオン認証 ・実践のための規範 |
| NIST SP800-88/ DoD5220.22-M | ・データの消去・破棄を示すもの ・米国国立標準技術研究所の発行 ※日本の規格でデータ消去に関して示すものがないので、参考とするニーズが高い |
| NIST SP800-171 | ・調達する製品や技術を開発・製造する企業に対する一定のセキュリティ基準を示すもの ・米国国立標準技術研究所の発行 |
| NIST SP800-53 | ・セキュリティ及びプライバー管理に関する管理策を示すもの ・米国国立標準技術研究所の発行 |
| FedRAMP | ・米国政府のクラウド調達の基準 ・米国行政管理予算局 (OMB)、米国一般調達局 (GSA)、米国国土安全保障省 (DHS)、 米国国防総省 (DoD)、米国国立標準技術研究所 (NIST)、連邦情報統括官 (CIO) 協議会の協力により発行 ※日本版FedRAMPの発行が求められている |
まずは国際認証のISOについて理解したい
規定とか、実践のための規範とかめっちゃわかりずらいです。
何を言ってるんだろうってなりますね。
① 規定:大きな枠組みを記載しているもの
② 実践のための規範:ベストプラクティスを記載しているもの
ISO27017は提供しているクラウドサービスの安全性・信頼性について、認定された国際的な認証の一つになります。
IS27001があって、ISO27017をアドオン的に取得するとなっています。
政府が提示している『 政府情報システムにおけるクラウド サービスの利用に係る基本方針 』でも、P.13『 4.1 セキュリティクラウド認証等 』にて取得している認証について、どんな認証を取得していればよいかの見解を記載しています。
ISO27001と27002の違いについて
情報システムの安全性と信頼性についての認定証には、ISO27001とISO27002があります。以下、ISO27001とISO27002の違いについて述べられているページの引用を掲載します。
ISO 27001とISO 27002の両方を読むと、おそらく、ISO 27002の方がはるかに詳細かつ厳密であることに気づくでしょう。ではISO 27001は何のためにあるのでしょうか。
(中略)
ISO 27002の管理策は、ISO 27001の[link]附属書Aの管理策と同じ名前になっています。たとえば、ISO 27002の管理策6.1.6は「関係当局との連絡」という名前ですが、ISO 27001のA.6.1.6も「関係当局との連絡」です。 けれども、違うのはその細かさです。平均すると、ISO 27002では一つの管理策を一ページ全体で説明していますが、ISO 27001では各管理策に一行しか割り当てていません。
ISO27001は、実施すべき運用、体制、セキュリティ対策等についてまとめたものです。認証するものです。
ISO27001をより詳細に落とし込んだのが、ISO27002です。
ISO27002に準拠していることは、高い安全性・信頼性が得られます。
ISO27002は認証ではありません。その辺も引用先のリンクで参照してみてください。
ISO27001と27002と27017の関係(規定と実践のための規範)
更にISO27001と、ISO27017との関係を記載したのが以下になります。
ISO27018の位置づけの図
クラウドサービスの安全性・信頼性を評価するものに、ISO27017だけでなく、ISO27018があります。
ISO27018は、クラウドサービスの個人情報保護に関する安全性・信頼性を示すものになります。
情報システムの大きな枠組みとして、ISO27001があります。
クラウドサービスの提供を考慮すると、クラウドサービス提供事業者の側面と、クラウドサービス利用者の側面で安全性・信頼性を評価できる必要があります。
クラウドサービス提供事業者側をCSP(Cloud Service Provider)といいます。
クラウドサービス利用者側をCSC(Cloud Service Customer)といいます。
ISO27017には両方の側面で、どのようなことが実施できるようになっているかの観点として、必要な項目が記載されています。
出典:ISO27017/クラウドセキュリティ認証取得コンサルティング
ISO27000ファミリーについて
情報システムに関するISO2700の関係を示した図になります。
出典:atmarkit
クラウド事業者、データを勝手に使って悪さをしないのか
クラウドサービス上にアップロードしたデータの扱いについては、クラウド事業者の利用規約、使用条件 プライバシーポリシー等をしっかりと確認して、データの個人情報保護に関して、どのように考えているのかを確認することが重要です。
AWS等は、データの所有権はお客様にあるとしっかりと明記してくれています。
また、日本国内のデータセンタを選定し、日本に閉じたシステム開発をすれば、海外へのデータ転送も行わないことを表明しています。
国外へのデータ転送に関しては、安全性・信頼性を語る上で重要な項目であり、クラウドサービスの普及に応じて、議論されている領域になります。
データの消去、破棄は適切にやっているのか
データの所有権や、データ転送だけなく、クラウドサービスを解約した場合は、ストレージに保存していたデータを削除した際には、勝手な再利用なく、運用されているかも気になると思います。
NIST SP800-88、DoD5220.22-Mに準拠していれば、かなり確実な方法でデータの消去・破棄を行っているクラウドサービスであることが証明されます。
SOCの重要性について
今回一覧には掲載していませんが、SOC2の重要性について言及していることも結構WEBに掲載されています。
SOC2は、 Service Organization Controls の略で、『受託業務に係る内部統制の保証報告書』なるものです。
SOCは認証を取得するものでなく、報告書として提供するものです。
SOCの内容に準拠して報告書を提出しているか。またSOCの中身を見て判断するのもいいかもしれません。
SOC3は公開していますが、SOC2の取得は同意が必要であったりします。
AWSでは AWS Artifact からSOC2をダウンロードが可能ですが、利用における同意が必要になります。
まとめ
・クラウドサービスの安全性・信頼性を評価するものには、ISO27017、ISO27018がある。
・クラウドサービスにアップロードしたデータの個人情報保護の扱いには、利用規約、使用条件、プライバシーポリシー等を確認する。
・データの勝手な再利用等が無いか、データ消去・破棄について、NIST SP800-88、DoD5220.22-Mに準拠しているか確認する。
オススメ参考書籍
昨今のSaaS提供企業で、ISOを取得していない企業があると思いますが、類似サービスが増えることを考えると、今後の競争上の差別化を行う意味では上記認証を取得していることが安全性のアピールにつながります。
クラウドサービスの安全性・信頼性を勉強するとっかかりとして、以下の書籍が参考になりました。
■ISOの認証に関する書籍
書籍:【最新ISO27017とISO27018がよ~くわかる本 クラウドセキュリティの国際規格 (図解入門ビジネス)[本/雑誌] / 打川和男/著】
コメント