【ISO/IEC 27017紹介】クラウドセキュリティを考えよう
今回はクラウドサービスの情報セキュリティ対策について、国際規格であるISO/IEC 27017をもとに考えていきたいと思います。
クラウドサービス起因のセキュリティ事故
便利なクラウドサービスですが、クラウドサービスを起因としたセキュリティ事故が数多く発生しています。次の表はクラウドサービス起因のセキュリティ事故を抜粋したものです。
ここで取り上げた事故はほんの一部で、ほかにもクラウドサービス関連のセキュリティ事故は多く発生しています。
クラウドサービスカスタマとクラウドサービスプロバイダ
これらのセキュリティ事故を詳しく見ていくために、分類分けしてみます。
この色分けされた①と②ですが、どんな分け方をしていると思いますか?
この①と②は「発生起因」で分類しています。①は誤操作や誤設定などクラウドサービスを利用する側、つまりクラウドサービスカスタマが起因の事故。一方、②はサービスを動かす基盤へのセキュリティ対策不足などクラウドサービスを提供する側、つまりクラウドサービスプロバイダが起因の事故です。
●プロバイダとカスタマって?
・クラウドサービスカスタマ …クラウドサービスを使う組織、企業
・クラウドサービスプロバイダ…クラウドサービスを提供する組織、企業
クラウドサービスの特性上、クラウドサービスカスタマ/プロバイダのどちらかのみで情報セキュリティが担保されることはなく、どちらも事故発生の起因となる可能性があります。つまり、クラウドサービスの情報セキュリティの確保は、双方がそれぞれの責任範囲を理解した上で、情報セキュリティ対策を実施する必要があります。
クラウドサービスのセキュリティ対策に役立つ「ISO/IEC 27017」とは
クラウドサービスカスタマ/プロバイダが各々の情報セキュリティ対策を実施するにあたり、有効な国際規格「ISO/IEC270017」というものがあります。
ISO/IEC 27017は、クラウドサービスにおける情報セキュリティの確保を支援するための国際規格です。クラウドサービスカスタマ/プロバイダに求められる具体的な要求事項が管理策として掲げられています。ISMSでおなじみのISO/IEC 27001に対する補足規格という位置づけであり、クラウドサービス観点の強化方法・管理策が記されています。
ISO/IEC 27001とは…
情報セキュリティマネジメントシステム(ISMS)に関する国際規格のこと。ISMSを確保・維持し、組織をセキュリティ脅威から守るために組織に求める対応が「要求事項」としてまとめられている。
管理策を実施することで、セキュアなクラウドサービスを提供/利用することに繋がります。
ISO/IEC 27017がもたらす効果
ISO/IEC 27017でクラウドセキュリティを高めるメリットについてご説明します。
クラウドサービスカスタマへの効果
・組織にとって適切なクラウドサービスの選定に繋がる
クラウドサービスのセキュリティはサービスの仕様に依存する部分が多くあります。ISO/IEC 27017に準拠しているクラウドサービスでは、提供されるセキュリティの内容が公開されているため、自組織が要求するセキュリティレベルのクラウドサービスを選定することができます。
・セキュアなクラウドサービスの利用に繋がる
クラウドサービスカスタマの責任で実施する、セキュリティ対策の領域(パスワードの管理や、バックアップなど)について知ることができるため、セキュリティを確保したクラウドサービスの利用が行えます。
クラウドサービスプロバイダへの効果
・クラウドサービスカスタマに対して提供や公開しなければならない情報が分かる
ラベル付けの機能や利用者登録削除の機能、利用規約に含める内容など提供・公開する必要のある情報を知ることができます。
・クラウドサービスカスタマからの信頼を獲得できる
クラウドサービスカスタマは預けた情報の保護について、サービスの選定から利用の際も注意深く確認しています。ISO/IEC 27017は国際規格であるため、クラウドサービスが確かな情報セキュリティ体制下で運用されていることがアピールできます。
まとめ
このように、クラウドサービスを利用することは組織にさまざまなメリットをもたらしますが、利用と同時にセキュリティ対策・対応の責任が降りかかってきます。クラウドサービスのセキュリティリスクから自組織を守るためにも、クラウドサービスをセキュアに提供/利用するための対応について今一度確認、検討してみてはいかがでしょうか。
ライター:古市
